Citrix Gateway 风险指示器

EPA 扫描失败

Citrix Analytics 基于 EPA 扫描故障活动检测基于用户访问的威胁,并触发相应的风险指示器。

EPA 扫描故障风险指示器何时触发?

当用户尝试使用 Citrix Gateway 的终端点分析 (EPA) 扫描策略未通过进行身份验证前或身份验证后的设备访问网络时,将报告 EPA 扫描故障风险指示器。

Citrix Gateway 检测到这些事件并将其报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否有太多 EPA 扫描故障。当 Citrix Analytics 为用户确定过多的 EPA 扫描故障时,它会更新用户的风险评分,并在“警报”面板中创建通知。此外,它还将 EPA 扫描故障风险指示器条目添加到用户的风险时间表中。

如何分析 EPA 扫描故障风险指示器?

考虑用户 Lemuel Kildow,他最近尝试多次使用 Citrix Gateway 的 EPA 扫描失败的设备访问网络。Citrix Gateway 将此故障报告给 Citrix Analytics,后者将更新的风险分数分配给 Lemuel Kildow。您将在“ 警报 ”面板中收到通知,EPA 扫描失败风险指示器将添加到 Lemuel Kildow 的风险时间表中。

要查看用户的 EPA 扫描失败条目,请导航到“ 安全”>“用户”,然后选择用户。

从 Lemuel Kildow 的风险时间表中,您可以选择为用户报告的最新 EPA 扫描故障 风险指示器。当您从时间轴中选择 EPA 扫描故障风险指示器条目时,右侧窗格中会显示相应的详细信息面板。

EPA 扫描失败

  • 发生了什么 ”部分简要介绍了 EPA 扫描故障风险指示器。并且,包括在选定时间段内报告的登录后 EPA 扫描失败的数量。

EPA 扫描失败发生了什么

  • 事件详细信息 — 扫描故障部分包括在选定时间段内发生的单个 EPA 扫描故障事件的时间线可视化。此外,它还包含一个表,该表提供有关每个事件的以下关键信息:

    • 时间。EPA 扫描失败的发生时间。

    • 客户端 IP。导致 EPA 扫描失败的客户端的 IP 地址。

    • 网关 IP。报告 EPA 扫描失败的 Citrix Gateway 的 IP 地址。

    • FQDN。Citrix Gateway 的 FQDN。

    • 事件描述。EPA 扫描失败原因的简要描述。

    • 策略名称。在 Citrix Gateway 上配置的 EPA 扫描策略名称。

    • 安全表达式。在 Citrix Gateway 上配置的安全表达式。

    EPA 扫描故障事件详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

登录失败

Citrix Analytics 会根据登录失败检测基于用户访问的威胁,并触发相应的风险指示器。

何时触发登录失败风险指示器?

当用户在给定时间段内遇到多个 Citrix Gateway 登录失败时,将报告登录失败风险指示器。Citrix Gateway 登录失败可以是主、辅助或三级身份验证失败,具体取决于是否为用户配置了多重身份验证。

Citrix Gateway 检测到所有用户登录失败并将这些事件报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否登录失败太多。Citrix Analytics 确定过多的登录失败时,会更新用户的风险评分。您会在“ 警报 ”面板中收到通知,并将登录失败风险指示器添加到用户的风险时间轴中。

如何分析登录失败风险指示器?

考虑用户 Lemuel Kildow,谁最近失败了多次尝试验证网络。Citrix Gateway 将这些故障报告给 Citrix Analytics,并将更新的风险评分分配给 Lemuel Kildow。您会在警报面板中收到通知,并将 登录失败 风险指示器添加到 Lemuel Kildow 的风险时间表中。

若要查看用户的 登录失败 风险指示器条目,请导航到“ 安全”>“用户 ”,然后选择用户。

从 Lemuel Kildow 的风险时间表中,您可以选择为用户报告的最新 登录失败 风险指示器。当您从风险时间轴中选择登录失败风险指示器条目时,右窗格中将显示相应的详细信息面板。

登录失败

  • “发 生了什么 ”部分提供风险指示器的简要摘要,包括在所选期间发生的登录失败次数。

登录失败发生了什么

  • 事件详细信息 - 登录失败部分包括在所选时间段内发生的各个登录失败事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。登录失败发生的时间。

    • 错误计数。在事件发生时和过去 48 小时内为用户检测到的登录失败数。

    • 事件描述。登录失败原因的简要说明。

    登录失败事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

授权失败

Citrix Analytics 会根据授权失败检测基于用户访问的威胁,并触发相应的风险指示器。

授权失败风险指示器何时触发?

当企业中的用户尝试在没有足够权限的情况下访问资源时,Citrix Analytics 中会报告授权失败风险指示器。

对用户进行身份验证后,Citrix Gateway 会根据为用户配置的授权策略和表达式执行组授权检查。Citrix Gateway 从 LDAP、RADIUS 或 TACCS+ 服务器收集用户的组信息。

Citrix Gateway 检测授权失败并将这些事件报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否有过多的授权失败。Citrix Analytics 检测到用户过多的授权失败时,会更新用户的风险评分。您将在“警报”面板中收到通知,授权风险指示器将添加到用户的风险时间表中。

如何分析授权失败风险指示器?

考虑用户 Georgina Kalou,谁最近尝试多次访问网络中的未经授权的资源。Citrix Gateway 将这些事件报告给 Citrix Analytics,并将更新的风险评分分配给 Georgina Kalou。您将在“ 警报 ”面板中收到通知, 授权失败 风险指示器将添加到 Georgina Kalou 的风险时间表中。

要查看用户的授权失败条目,请导航到“ 安全”>“用户”,然后选择用户。 从 Georgina Kalou 的风险时间表中,您可以选择为用户报告的最新 授权失败 风险指示器。当您从时间轴中选择授权失败风险指示器条目时,右侧窗格中会显示相应的详细信息面板。

授权失败

  • “发 生了什么 ”部分简要介绍了风险指示器,包括在选定时间段内发生的授权失败次数。

EPA 扫描失败发生了什么

  • 事件详细信息 — 授权失败部分包括在选定时间段内发生的单个授权失败事件的时间线可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。授权失败的发生时间。

    • 客户端 IP。导致授权失败的客户端的 IP 地址。

    • 网关 IP。报告授权失败的 Citrix Gateway 的 IP 地址。

    • FQDN。Citrix Gateway 的 FQDN。

    • App Name(应用程序名称)。用户用于访问资源的应用程序。

    • VPN 服务器。已建立的 VPN 会话类型。

    • 事件描述。授权失败原因的简要描述。

    • 第 N 个因素。授权失败原因的简要描述。

    授权失败事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

不寻常的登录访问权限

Citrix Analytics 会根据用户登录到网络的登录访问来检测基于用户访问的威胁,并触发相应的风险指示器。

何时触发异常登录访问风险指示器?

当您的组织中的用户从与其通常行为相反的异常位置登录时,您可以收到通知。

Citrix Gateway 检测到这些事件并将其报告给 Citrix Analytics。Citrix Analytics 接收事件,增加用户的风险分数。您将在“警报”面板中收到通知,并将“异常登录访问风险指示器添加到用户的风险时间轴中。

如何分析异常登录访问风险指示器?

考虑用户 Georgina Kalou,谁从俄罗斯莫斯科登录,当她只从罗利,北卡罗来纳州登录。Citrix Gateway 将这些事件报告给 Citrix Analytics,后者将更新的风险分数分配给 Georgina Kalou。您将在“ 警报 ”面板中收到通知,并将异常登录访问风险指示器添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 异常登录访问 风险指示器。事件的原因与详细信息一起显示,例如事件的时间、登录位置等。

不寻常的登录访问 Gateway

  • “发 生了什么 ”部分提供了风险指示器的简要摘要,包括在特定时间段内发生的可疑登录尝试次数。

不寻常的登录访问 Gateway 发生了什么

  • 事件详细信息部分包括在所选时间段内发生的来自异常地理位置的各个登录事件的时间线可视化。此外,它还包含一个表,该表提供有关每个事件的以下关键信息:

    • 时间。每次登录尝试的时间。

    • 位置。尝试登录的位置。

    • 客户端 IP 地址。使用的客户端 IP 地址。

    • 操作系统。客户端使用的操作系统。

    • 浏览器。用户使用的浏览器。

    不寻常的登录访问网关事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

从新 IP 首次访问

Citrix Analytics 基于从新 IP 地址首次访问来检测用户访问威胁,并触发相应的风险指示器。

当 Citrix Receiver 用户从不熟悉的 IP 地址登录时,触发首次从新 IP 访问风险指示器。这是因为 Citrix Receiver 没有来自此新 IP 地址的用户登录记录。

何时触发新 IP 风险指示器的首次访问?

当用户从新 IP 地址登录时,会报告首次访问新 IP 风险指示器。Citrix Receiver 检测到此行为时,Citrix Analytics 会接收此事件并将风险评分分配给相应的用户。新 IP 风险指示器的首次访问将添加到用户的风险时间表中,并在“警报”面板中显示一个警报。

如何分析新 IP 风险指示器的访问?

假设用户 Adam Maxwell,他通过 Citrix Receiver 从用户以前未使用的新 IP 地址登录到会话。从 Adam Maxwell 的时间表中,您可以选择报告的首次访问新的 IP 风险指示器。首次访问新 IP 警报的原因与事件时间、IP 地址等详细信息一起显示。

从新 IP 首次访问

要查看为用户报告的首次访问新 IP 风险指示器,请导航到“ 安全 ”>“用 ”,然后选择用户。

  • 在发 生了什么 事部分,您可以查看从新 IP 事件首次访问的摘要。您可以查看从新 IP 地址发生的登录实例数以及事件发生的时间。

从新 IP 首次访问

  • 事件详细信息部分,来自新 IP 地址的访问事件以图形和表格格式显示。这些事件在图表中显示为单个条目,表格提供了有关这些事件的以下关键信息:

    • 时间。登录实例的发生时间。

    • 客户端 IP。用于登录的设备的 IP 地址。

从新 IP 首次访问

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。

从可疑 IP 登录

Citrix Analytics 基于可疑登录活动检测用户访问威胁,并触发相应的风险指示器。

何时触发来自可疑 IP 的登录风险指示器?

当用户尝试从 Citrix Gateway 标识为可疑的 IP 地址访问网络时,将报告从可疑 IP 登录风险指示器。基于以下任何情况,IP 地址 被认为是可疑的:

  • 在外部 IP 威胁智能源上列出

  • 具有来自异常位置的多个用户登录记录

  • 登录尝试失败过多,可能表明暴力攻击

Citrix Gateway 检测到此事件并向 Citrix Analytics 报告。Citrix Analytics 会监视此事件,以检测用户是否有过多的可疑 IP 登录尝试。Citrix Analytics 确定用户的可疑 IP 登录尝试时,会更新用户的风险评分,并在警报面板中创建通知。此外,它将可疑 IP 风险指标条目的登录添加到用户的风险时间表。

如何从可疑的 IP 风险指示器分析登录?

考虑用户 Lemuel Kildow,他试图从 Citrix Gateway 识别为可疑的 IP 地址访问网络。Citrix Gateway 向 Citrix Analytics 报告此事件,后者将更新的风险分数分配给 Lemuel Kildow。您会在 警报 面板中收到通知,并从可疑 IP 登录风险指示器添加到 Lemuel Kildow 的风险时间表中。

从可疑 IP 登录

若要查看为用户报告的可疑 IP 风险登录指示器,请导航到“ 安全 ”>“用 ”,然后选择用户。从 Lemuel Kildow 的风险时间表中,您可以从为用户报告的可疑 IP 风险指示器中选择最新的登录。当您从时间轴中选择“从可疑 IP 风险指示器条目登录”时,右窗格中将显示相应的详细信息面板。

  • 发生了什么 ”部分提供了来自可疑 IP 风险指示器的登录的简要摘要。并且,包括在所选期间报告的可疑 IP 地址的登录次数。

从可疑 IP 登录

  • 事件详细信息部分包括在选定时间段内发生的单个登录尝试的时间轴可视化。此外,它还包含一个表,该表提供有关每个事件的以下关键信息:

    • 时间。登录实例的发生时间。

    • 客户端 IP。用于登录的设备的 IP 地址。

    • 位置。进行可疑登录尝试的位置。

    • 暴力。表示已检测到暴力行为。

    • 外部威胁。指示 IP 地址位于外部 IP 威胁智能源上。

    • 不寻常的地理位置访问。表示已检测到来自异常地理位置的访问。

从可疑 IP 登录

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“ 应用 ”。