Citrix Endpoint Management 风险指示器

检测到非托管设备

Citrix Analytics 基于非托管设备活动检测访问威胁,并触发相应的风险指示器。

设备处于以下状态时触发检测到 的非托管设备风险指示器:

  • 由于自动化操作,远程擦除。

  • 由管理员手动擦除。

  • 用户已取消注册。

检测到非托管设备的风险指示器何时触发?

当用户 的设备变为非托管时,将报告检测到 的非托管设备风险指示器。由于以下原因,设备更改为非托管状态:

  • 用户执行的操作。

  • 由 Endpoint Management 管理员或服务器执行的操作。

在您的组织中,使用 Endpoint Management 服务,您可以管理访问网络的设备和应用程序。有关详细信息,请参阅管理模式

当用户的设备更改为非托管状态时,Endpoint Management 服务会检测到此事件并将其报告给 Citrix Analytics。用户的风险评分将更新,您将在“警报”面板中看到一条通知。然后,将 检测到的非托管设备 的风险指示器添加到用户的风险时间表中。

如何分析非托管设备检测到的风险指示器?

假设用户 Georgina Kalou 的设备是通过服务器上的自动化操作远程擦除。Endpoint Management 将此事件报告给 Citrix Analytics,后者将更新的风险评分分配给 Georgina Kalou。

从 Georgina Kalou 的风险时间表中,您可以选择报告的非托管设备检测到的风险指示器。事件的原因与详细信息一起显示,如触发风险指示器的时间、事件描述等。

要查看用户 检测到的未托管设备 风险指示器,请导航到“安全”>“用户”,然后选择用户。

检测到非托管设备

  • 发生了什么部分,您可以查看事件的摘要。您可以查看检测到的非托管设备的数量以及事件发生的时间。

未受管设备检测到发生了什么

  • 事件详细信息 — 检测到设备部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到时间。检测到事件的时间。

    • 设备。使用的移动设备。

    • 设备 ID。移动设备的设备 ID。

    • 操作系统。移动设备的操作系统。

    检测到未受管设备的事件详细信息

您可以对用户应用哪些操作?

您可以执行设备安全操作,例如从 Citrix Analytics 撤销或擦除设备。选择包含设备的行,然后选择以下选项之一:

  • 撤销设备。禁止设备连接到 Endpoint Management 服务器。

  • 擦除设备。删除设备上的所有数据。对于 Android 设备,它还包括擦除任何存储卡的选项。

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 锁定设备。当设备上存在异常活动时,您可以应用“锁定设备”操作以确保用户的设备已锁定。但是,用户可以在设备的屏幕上轻扫、输入密码并继续工作。

  • 通知 Endpoint Management 管理员。当用户的 Endpoint Management 帐户上存在任何异常或可疑活动时,将通知 Citrix Endpoint Management 管理员。

  • 通知用户。应用“通知用户”操作时,用户会看到管理员关于其帐户的消息。用户看到的通知是管理员在应用操作时输入的消息。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

检测到越狱或获得 Root 权限的设备

Citrix Analytics 基于越狱或获得 Root 权限的设备活动检测访问威胁,并触发相应的风险指示器。

当用户使用越狱或获得 Root 权限的设备连接到网络时,触发越狱或获得 Root 权限的设备风险指示器。Secure Hub 检测设备并将事件报告给 Endpoint Management 服务。此警报可确保您组织的网络中只有授权的用户和设备。

检测到越狱或获得 Root 权限的设备的风险指示器何时触发?

安全官员必须能够确保用户使用符合网络要求的设备进行连接。检测到越狱或获得 Root 权限的设备风险指示器会向具有越狱的 iOS 设备或获得 Root 权限的设备的 Android 设备的用户发出警报。

当注册的设备越狱或获得 Root 权限时,越狱或获得 Root 权限的设备风险指示器将触发。Secure Hub 检测设备上的事件并将其报告给 Endpoint Management 服务。

如何分析越狱或获得 Root 权限的设备检测到的风险指示器?

假设用户 Georgina Kalou 注册的 iOS 设备最近将成为越狱设备。Citrix Analytics 检测到这种可疑行为,并将风险评分分配给 Georgina Kalou。

从 Georgina Kalou 的风险时间表中,您可以选择报告的检测到越狱或获得 Root 权限的设备风险指示器。事件的原因与详细信息一起显示,例如触发风险指示器的时间、事件的描述等。

要查看用户检测到越狱或获得 Root 权限的设备风险指示器,请导航到安全 > 用户,然后选择用户。

检测到越狱或获得 Root 权限的设备

  • 发生了什么部分,您可以查看事件的摘要。您可以查看检测到的越狱或获得 Root 权限的设备的数量以及事件发生的时间。

检测到越狱或获得 Root 权限的设备发生了什么

  • 事件详细信息 — 检测到设备部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到时间。检测到越狱或获得 Root 权限的设备的时间。

    • 设备。使用的移动设备。

    • 设备 ID。有关用于登录会话的设备 ID 的信息。

    • 操作系统。移动设备的操作系统。

    检测到越狱或获得 Root 权限的设备的事件详细信息

注意

除了以表格格式查看详细信息外,您还可以单击警报实例上的箭头以查看更多详细信息。

您可以对用户应用哪些操作?

您可以执行设备安全操作,例如从 Citrix Analytics 撤销或擦除设备。选择包含设备的行,然后选择以下选项之一:

  • 撤销设备。禁止设备连接到 Endpoint Management 服务器。

  • 擦除设备。删除设备上的所有数据。对于 Android 设备,它还包括擦除任何存储卡的选项。

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 锁定设备。当设备上存在异常活动时,您可以应用“锁定设备”操作以确保用户的设备已锁定。但是,用户可以在设备的屏幕上轻扫、输入密码并继续工作。

  • 通知 Endpoint Management 管理员。当用户的 Endpoint Management 帐户上存在任何异常或可疑活动时,将通知 Citrix Endpoint Management 管理员。

  • 通知用户。应用“通知用户”操作时,用户会看到管理员关于其帐户的消息。用户看到的通知是管理员在应用操作时输入的消息。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

检测到黑名单应用程序的设备

Citrix Analytics 会根据具有列入黑名单的应用程序的设备中的活动来检测访问威胁,并触发相应的风险指示器。

当 Endpoint Management 服务在软件清单期间检测 到列入黑名单的应用程序时,触发检测到黑名单的应用程序的设 备风险指示器。此警报可确保仅在组织网络上的设备上运行授权的应用程序。

什么时候检测到带有黑名单应用程序的设备的风险指示器触发?

当用户 设备上检测到黑名单应 用程序时,会报告检测到黑名单应用程序的设备风险指示器。当 Endpoint Management 服务在软件清点期间检测到设备上的一个或多个列入黑名单的应用程序时,会向 Citrix Analytics 发送一个事件。

Citrix Analytics 会监视这些事件,更新用户的风险评分,并在“警报”面板中创建通知。此外,它将 检测到风险指示器条目的黑名单应用程序的设备 添加到用户的风险时间线。

如何分析设备与被列入黑名单的应用程序检测到的风险指示器?

假设用户 Andrew Jackson 使用了最近安装了黑名单应用程序的设备。Endpoint Management 将此情况报告给 Citrix Analytics,Citrix Analytics 将更新的风险评分分配给 Andrew Jackson。

从 Andrew Jackson 的风险时间表中,您可以选择被 列入黑名单的应用程序检测到的风险指示器的报告设备 。此时将显示事件原因以及详细信息,例如列入黑名单的应用程序列表、Endpoint Management 检测到黑名单的应用程序的时间等。

要查看 检测到用户风险指示器的黑名单应 用程序的设备,请导航到“安全”>“用户”,然后选择用户。

检测到黑名单应用程序的设备

  • 在“发生了什么”部分,您可以查看事件的摘要。您可以查看 Endpoint Management 服务检测到的具有列入黑名单的应用程序的设备数量以及事件发生的时间。

检测到黑名单应用程序的设备

  • 事件详细信息 — 列入黑名单的应用程序设备访问部分,事件以图形和表格格式显示。事件也在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到时间。当 Endpoint Management 报告列入黑名单的应用程序的存在。

    • 列入黑名单的应用程序。设备上列入黑名单的应用程序。

    • 设备。使用的移动设备。

    • 设备 ID。有关用于登录会话的设备 ID 的信息。

    • 操作系统。移动设备的操作系统。

    检测到黑名单应用程序的设备事件详细信息

注意

除了以表格格式查看详细信息外,您还可以单击警报实例上的箭头以查看更多详细信息。

您可以对用户应用哪些操作?

您可以执行设备安全操作,例如从 Citrix Analytics 撤销或擦除设备。选择包含设备的行,然后选择以下选项之一:

  • 撤销设备。禁止设备连接到 Endpoint Management 服务器。

  • 擦除设备。删除设备上的所有数据。对于 Android 设备,它还包括擦除任何存储卡的选项。

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 锁定设备。当设备上存在异常活动时,您可以应用“锁定设备”操作以确保用户的设备已锁定。但是,用户可以在设备的屏幕上轻扫、输入密码并继续工作。

  • 通知 Endpoint Management 管理员。当用户的 Endpoint Management 帐户上存在任何异常或可疑活动时,将通知 Citrix Endpoint Management 管理员。

  • 通知用户。应用“通知用户”操作时,用户会看到管理员关于其帐户的消息。用户看到的通知是管理员在应用操作时输入的消息。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。