Citrix Analytics for Security

Citrix Gateway 风险指示器

从不寻常的位置访问

Citrix Analytics 会根据不寻常的网络登录来检测基于访问的威胁,并触发相应的风险指示器。

从异常位置访问风险指示器何时触发

当组织中的用户从异常位置登录时,您会收到通知。位置由用户设备的 IP 地址确定。Citrix Gateway 检测到这些用户事件并将其报告给 Citrix Analytics。Citrix Analytics 会接收事件并提高用户的风险评分。当用户从与新国家/地区相关的 IP 地址登录或远离以前任何登录位置异常远的新城市登录时,将触发风险指示器。其他因素包括用户的整体移动性水平以及组织中所有用户从城市登录的相对频率。在所有情况下,用户位置历史记录都基于过去 30 天的登录活动。

从异常位置访问 风险指示器将添加到用户的风险时间表中。

如何分析从异常位置访问风险指示器

考虑首次从英国登录的用户 Georgina Kalou。她通常的登录地点是中国北京。Citrix Gateway 将此用户事件报告给 Citrix Analytics,该分析将更新的风险评分分配给 Georgina Kalou。从异常位置访问 风险指示器被触发并添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以 从异常的位置风险指示器中选择报告的访问权限 。活动的原因以及详细信息(如活动时间和登录位置)一起显示。

从不寻常的位置访问

  • 发生了什么:提供包括登录尝试次数、异常位置和事件时间的简要摘要。

    从不寻常的位置访问

  • 登录位置:显示用户常用登录位置和异常登录位置的地理地图视图。通常的位置数据是过去 30 天的数据。您可以将鼠标悬停在地图上的指针上以查看每个位置的确切详细信息。

    从不寻常的位置访问

  • 通常位置 — 过去 30 天:显示过去 30 天内用户登录的最近六个常见登录位置的饼图视图。

    从不寻常的位置访问

  • 不寻常的位置事件详细信息:提供用户发生的异常登录事件的时间轴可视化。此外,此表还提供了有关异常登录事件的以下信息:

    • 日期和时间 — 异常登录地点事件的日期和时间。

    • 客户端 IP — 客户端设备的 IP 地址。

    • 设备操 作系统 — 用户登录到异常位置时使用的设备的操作系统。

    • 设备浏览 器 — 用户 登录应用程序时使用的 Web 浏览器。

    从不寻常的位置访问

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指标的数据源如何,都可以应用与其他数据源相关的操作。

端点分析 (EPA) 扫描失败

Citrix Analytics 基于 EPA 扫描故障活动检测基于用户访问的威胁,并触发相应的风险指示器。

EPA 扫描故障风险指示器何时触发?

当用户尝试使用未通过 Citrix Gateway 的端点分析 (EPA) 扫描策略进行预身份验证或身份验证后的设备访问网络时,将报告 EPA 扫描失败风险指示器。

Citrix Gateway 检测到这些事件并将其报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否有太多 EPA 扫描故障。当 Citrix Analytics 确定用户的 EPA 扫描失败过多时,它会更新用户的风险评分,并将 EPA 扫描失败风险指示器条目添加到用户的风险时间表中。

如何分析 EPA 扫描故障风险指示器?

考虑用户 Lemuel,他最近多次尝试使用 Citrix Gateway EPA 扫描失败的设备访问网络。Citrix Gateway 将此失败报告给 Citrix Analytics,该分析会向 Lemuel 分配更新的风险评分。EPA 扫描失败风险指示器已添加到 Lemuel Kildow 的风险时间表中。

要查看用户的 EPA 扫描失败条目,请导航到“安全”>“用户”,然后选择用户。

从 Lemuel Kildow 的风险时间表中,您可以选择为用户报告的最新 EPA 扫描失败 风险指示器。当您从时间轴中选择 EPA 扫描故障风险指示器条目时,右侧窗格中会显示相应的详细信息面板。

EPA 扫描失败

  • 发生了什么”部分简要介绍了 EPA 扫描故障风险指示器。此外,还包括在选定时段内报告的登录后 EPA 扫描失败的数量。

EPA 扫描失败发生了什么

  • 事件详细信息 — 扫描故障部分包括在选定时间段内发生的单个 EPA 扫描故障事件的时间线可视化。此外,它还包括一个表,其中提供了有关每个事件的以下关键信息:

    • 时间。EPA 扫描失败发生的时间。

    • 客户端 IP。导致 EPA 扫描失败的客户端的 IP 地址。

    • 网关 IP。报告 EPA 扫描失败的 Citrix Gateway 的 IP 地址。

    • FQDN。Citrix Gateway 的 FQDN。

    • 事件描述。EPA 扫描失败的原因的简要说明。

    • 策略名称。Citrix Gateway 上配置的 EPA 扫描策略名称。

    • 安全表达式。Citrix Gateway 上配置的安全表达式。

    EPA 扫描失败事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

验证失败过多

Citrix Analytics 根据过多的身份验证失败检测基于用户访问的威胁,并触发相应的风险指示器。

何时触发身份验证失败过多风险指示器?

当用户在给定时间段内遇到多个 Citrix Gateway 身份验证失败时,将报告登录失败风险指示器。Citrix Gateway 身份验证失败可能是主身份验证、辅助或三级身份验证失败,具体取决于是否为用户配置了多因素身份验证。

Citrix Gateway 检测到所有用户身份验证失败并将这些事件报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否遇到过多的身份验证失败。当 Citrix Analytics 确定过多的身份验证失败时,它会更新用户的风险评分。过度身份验证失败风险指示器已添加到用户的风险时间表中。

如何分析过多的身份验证失败风险指示器?

以最近多次验证网络尝试失败的用户 Lemuel 为例。Citrix Gateway 将这些失败报告给 Citrix Analytics,并将更新的风险评分分配给 Lemuel。过度验证失败 风险指示器添加到 Lemuel Kildow 的风险时间表中。

要查看用户的身份验证失败过多风险指示器条目,请导航到“安全”>“用户”,然后选择该用户。

从 Lemuel Kildow 的风险时间表中,您可以选择为用户报告的最新 过多身份验证失败 风险指示器。从风险时间表中选择 “ 过多身份验证失败 风险指示器” 条目时,右窗格中将显示相应的详细信息面板。

验证失败过多

  • 发生了什么部分提供了风险指示器的简要摘要,包括在选定时段内发生的身份验证失败的数量。

验证失败过多发生了什么

  • 件详细信息 部分包括在所选时段内发生的单个过多身份验证失败事件的时间轴可视化。此外,您可以查看有关每个事件的以下关键信息:

    • 时间。登录失败发生的时间。

    • 错误计数。事件发生时和过去 48 小时内为用户检测到的身份验证失败次数。

    • 事件描述。登录失败的原因的简要说明。

    过多的验证失败事件详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

从可疑 IP 登录

Citrix Analytics 根据来自可疑 IP 的登录活动检测用户访问威胁,并触发此风险指示器。

何时触发来自可疑 IP 的登录风险指示器?

当用户尝试 从 Citrix Analytics 识别为可疑的 IP 地址访问网络时,将触发从可疑 IP 登 录风险指示器。根据以下情况之一,IP 地址被视为可疑:

  • 在外部 IP 威胁智能源上列出

  • 有来自不寻常位置的多个用户登录记录

  • 登录尝试失败过多,可能表明存在暴力攻击

Citrix Analytics 监控从 Citrix Gateway 收到的登录事件,并检测用户是否已从任何可疑 IP 登录。当 Citrix Analytics 检测到来自可疑 IP 的登录尝试时,它会更新用户的风险评分,并将 可疑 IP 风险指示器条目中的登录 添加到用户的风险时间表中。

如何从可疑的 IP 风险指示器分析登录?

考虑试图从 Citrix Analytics 识别为可疑的 IP 地址访问网络的用户勒缪尔。Citrix Gateway 向 Citrix Analytics 报告登录事件,该分析将更新的风险分数分配给 Lemuel。从可疑 IP 登录 风险指示器已添加到 Lemuel Kildow 的风险时间表中。

从可疑 IP 登录

若要查看为用户报告的可疑 IP 风险登录指示器,请导航到“安全”>“用 ”,然后选择用户。从 Lemuel Kildow 的风险时间表中,您可以 从为用户报告的可疑 IP 风险指示器中选择最新的登录 。从时间轴中选择 从可疑 IP 风险指示器条目中选择登录 时,右侧窗格中将显示相应的详细信息面板。

  • 发生了什么”部分提供了来自可疑 IP 风险指示器的登录的简要摘要。此外,还包括在选定时段内报告的来自可疑 IP 地址的登录数量。

    从可疑 IP 登录

  • 可疑 IP 部分提供以下信息:

    可疑 IP 部分

    • 可疑的 IP。与可疑登录活动关联的 IP 地址。

    • 位置。用户的城市、地区和国家/地区。根据数据的可用性显示这些位置。

    • 潜在的组织级风险。表示 Citrix Analytics 最近在您的组织中检测到的任何可疑 IP 活动模式。风险模式包括与潜在的暴力尝试一致的过度登录失败以及多个用户的异常访问。

      如果没有检测到组织中的 IP 地址的风险模式,则会看到以下消息。

      没有风险模式

    • 社区情报。提供在外部 IP 威胁情报源中被确定为高风险的 IP 地址的威胁评分和威胁类别。Citrix Analytics 为高风险 IP 地址分配风险评分。风险评分从 80 开始。

      如果 IP 地址在外部 IP 威胁情报源中没有任何可用的威胁情报,则会看到以下消息。

      没有情报源

  • 件详细 信息部分提供了有关可疑登录活动的以下信息:

    从可疑 IP 登录

    • 时间。可疑登录活动的时间。

    • 客户端 IP。用于可疑登录活动的用户设备的 IP 地址。

    • 设备操作系统。浏览器的操作系统。

    • 设备浏览器。用于可疑登录活动的 Web 浏览器。

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

异常的身份验证

Citrix Analytics 会在用户从异常 IP 地址发生登录失败时检测基于访问的威胁,并触发相应的风险指示器。

异常身份验证失败指示器何时触发

当组织中的用户从不寻常的 IP 地址发生登录失败时,可以通知您,这与其通常行为相反。

Citrix Gateway 检测到这些事件并将其报告给 Citrix Analytics。Citrix Analytics 会接收事件并提高用户的风险评分。异常身份验证失败 风险指示器添加到用户的风险时间表中。

如何分析不寻常的身份验证失败指示器

以用户 Georgina Kalou 为例,他定期从常用的家庭和办公室网络登录 Citrix Gateway。远程攻击者试图通过猜测不同的密码来对 Georgina 的帐户进行身份验证,从而导致来自不熟悉的网络的身份验证失败。

在这种情况下,Citrix Gateway 将这些事件报告给 Citrix Analytics,后者将更新的风险评分分配给 Georgina Kalou。异常身份验证失败风险指示器添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的异常身份验证失败风险指示器。活动的原因与活动时间和地点等详细信息一起显示。

认证失败

  • 在 “ 发生了什么 ” 部分,您可以查看包括身份验证失败总数和事件时间的简要摘要。

  • 在事 件详细信息 — 登录成功和失败 部分中,您可以查看指示异常身份验证失败的图表,以及在同一持续时间内检测到的任何其他登录活动。

  • 在 “ 异常身份验证详细 信息” 部分,表提供了有关异常身份验证失败的以下信息:

    • 登录时间 — 活动的日期和时间

    • 客户端 IP — 用户设备的 IP 地址

    • 位置 — 事件发生的地点

    • 失败原因 — 身份验证失败的原因

      验证失败详细信息

  • 在 “ 用户身份验证活动-过去 30 天 ” 部分中,表提供了有关用户过去 30 天身份验证活动的以下信息:

    • 子网 — 来自用户网络的 IP 地址

    • 成功 — 用户成功的身份验证事件总数和最近成功事件的时间

    • 失败 — 用户的验证失败事件总数和最近失败事件的时间

    • 位置 — 身份验证事件发生的位置

      认证活动

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,将向所有 Citrix Cloud 管理员发送电子邮件通知。您还可以选择接收有关用户活动通知的管理员。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

Citrix Gateway 风险指示器