Citrix Analytics for Security

Citrix Endpoint Management 风险指示器

检测到已列入黑名单的应用

Citrix Analytics 会根据包含黑名单应用程序的设备中的活动检测访问威胁,并触发相应的风险指示器。

当 Endpoint Management 服务在软件清单期间检测 到列入黑名单的应用程序时,触发检测到黑名单的应用程序的设 备风险指示器。该警报可确保只有授权的应用程序才能在组织网络上的设备上运行。

与检测到已列入黑名单的应用程序的设备风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

什么时候检测到带有黑名单应用程序的设备的风险指示器触发?

在用户的 设备上检测到黑名单应 用程序时,将报告检测到黑名单应用程序的设备风险指示器。当 Endpoint Management 服务在软件清点期间检测到设备上的一个或多个列入黑名单的应用程序时,会向 Citrix Analytics 发送事件。

Citrix Analytics 会监控这些事件并更新用户的风险评分。此外,它还将一个 设备添加到用户的风险时间表中,其中检测到了黑名单应 用程序的风险指示

如何分析设备与被列入黑名单的应用程序检测到的风险指示器?

以用户安德鲁·杰克逊为例,他使用的设备最近安装了黑名单的应用程序。Endpoint Management 将此情况报告给 Citrix Analytics,Citrix Analytics 将更新的风险评分分配给 Andrew Jackson。

从安德鲁·杰克逊的风险时间表中,您可以选择已报告的 设备,其中检测到了黑名单应用程序此时将显示事件的原因以及详细信息,例如列入黑名单的应用程序的列表、Endpoint Management 检测到列入黑名单的应用程序的时间等。

要查看 检测到用户的黑名单应用程序的设备 风险指示器,请导航到“安全”>“用户”,然后选择该用户。

检测到已列入黑名单的应用

  • 在发 生了什么 部分,您可以查看事件的摘要。您可以查看 Endpoint Management 服务检测到的具有列入黑名单的应用程序的设备数量以及事件发生的时间。

    包含黑名单应用的设备检测到发生了

  • 件详细信息 — 列入黑名单的应用程序设备访问 部分,事件以图形和表格格式显示。这些事件还在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到的时间-Endpoint Management 报告的黑名单应用程序存在时。

    • 列入黑名单的应用程序-设备上列入黑名单的应用。

    • 设备-使用的移动设备。

    • 设备 ID-有关用于登录会话的设备 ID 的信息。

    • 操作系统-移动设备的操作系统。

      检测到列入黑名单的应用程序的设备

注意:

除了以表格格式查看详细信息之外,您还可以单击警报实例对应的箭头以查看更多详细信息。

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

检测到越狱或获得 Root 权限的设备

Citrix Analytics 会根据越狱或获得 Root 权限的设备活动检测访问威胁,并触发相应的风险指示器。

当用户使用 已越狱或获得 Root 权限的设备 连接到网络时,将触发越狱或获得 Root 权限的设备风险指示器。Secure Hub 检测设备并将事件报告给 Endpoint Management 服务。该警报可确保您组织的网络上只有授权用户和设备。

与越狱或已获得 Root 权限的设备风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

检测到越狱或获得 Root 权限的设备的风险指示器何时触发?

对于安全管理人员来说,确保用户使用符合网络标准的设备进行连接非常重要。 检测到越狱或获得 Root 权限的设备 的风险指示器会向您发出警报,提醒您使用已越狱的 iOS 设备或已获得 root 权限的 Android 设备的用户。

当注册的 设备越狱或获得 Root 权 限时,会触发越狱或获得 Root 权限的设备风险指示器。Secure Hub 在设备上检测到事件并将其报告给 Endpoint Management 服务。

如何分析检测到的越狱或已获得 Root 权限的设备的风险指示器

以用户 Georgina Kalou 为例,他的注册 iOS 设备最近越狱了。Citrix Analytics 检测到这种可疑行为,并将风险评分分配给 Georgina Kalou。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 已越狱或已获得 Root 设备检测到 的风险指示器。事件的原因与详细信息一起显示,例如触发风险指示器的时间、事件的描述等。

要查看用户的 已越狱或已获得 Root 权限的设备检测到 的风险指示器,请导航到“安全”>“用户”,然后选择该用户。

检测到越狱或获得 Root 权限的设备

  • 发生了什么 部分,你可以查看事件的摘要。您可以查看检测到的越狱或获得 Root 权限的设备的数量以及事件发生的时间。

    已越狱或获得 Root 权限的设备检测到发生

  • 件详细信息 — 检测到设备 部分,事件以图形和表格格式显示。这些事件还在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到时间。检测到越狱或获得 Root 权限的设备的时间。

    • 设备。使用的移动设备。

    • 设备 ID。有关用于登录会话的设备的 ID 的信息。

    • 操作系统。移动设备的操作系统。

    检测到越狱或获得 Root 权限的设备的事件详细信息

注意

除了以表格格式查看详细信息之外,还可以单击警报实例对应的箭头以查看更多详细信息。

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

检测到非托管设备

Citrix Analytics 会根据非托管设备活动检测访问威胁并触发相应的风险指示器。

设备出现以下情况时,会触发检测到的非 托管设备风险指示器:

  • 由于自动操作而远程擦除。

  • 由管理员手动擦除。

  • 用户已取消注册。

与检测到的非托管设备风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

检测到非托管设备的风险指示器何时触发?

当用户的设备处于非托管状态时,将报告检测到的未托管设备风险指示器。由于以下原因,设备更改为非托管状态:

  • 用户执行的操作。

  • Endpoint Management 员或服务器执行的操作。

在组织中,使用 Endpoint Management 服务,您可以管理访问网络的设备和应用程序。有关详细信息,请参阅 管理模式

当用户的设备更改为非托管状态时,Endpoint Management 服务会检测到此事件并将其报告给 Citrix Analytics。用户的风险评分已更新。检测到的未托管设备风险指示器将添加到用户的风险时间表中。

如何分析非托管设备检测到的风险指示器?

考虑用户 Georgina Kalou,他的设备被服务器上的自动操作远程擦除。Endpoint Management 将此事件报告给 Citrix Analytics,后者将更新的风险评分分配给 Georgina Kalou。

从 Georgina Kalou 的风险时间表中,您可以选择报告的检测到的非托管设备风险指示器。事件的原因与详细信息一起显示,如触发风险指示器的时间、事件描述等。

要查看用户的检测到的未托管设备风险指示器,请导航到安全 > 用户,然后选择该用户。

检测到未托管设备

  • 发生了什么 部分,你可以查看事件的摘要。您可以查看检测到的非托管设备的数量以及事件发生的时间。

非托管设备检测到发生了什么

  • 件详细信息 — 检测到设备 部分,事件以图形和表格格式显示。这些事件还在图表中显示为单个条目,并且该表提供了以下关键信息:

    • 检测到时间。检测到事件的时间。

    • 设备。使用的移动设备。

    • 设备 ID。移动设备的设备 ID。

    • 操作系统。移动设备的操作系统。

      检测到未托管设备的事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

Citrix Endpoint Management 风险指示器