Citrix Gateway 风险指示器

EPA 扫描失败

Citrix Analytics 基于 EPA 扫描故障活动检测基于用户访问的威胁,并触发相应的风险指示器。

EPA 扫描故障风险指示器何时触发?

当用户尝试使用 Citrix Gateway 的终端点分析 (EPA) 扫描策略未通过进行身份验证前或身份验证后的设备访问网络时,将报告 EPA 扫描故障风险指示器。

Citrix Gateway 检测到这些事件并将它们报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否有太多 EPA 扫描故障。当 Citrix Analytics 为用户确定过多的 EPA 扫描故障时,它会更新用户的风险评分,并在“警报”面板中创建通知。此外,它还将 EPA 扫描故障风险指示器条目添加到用户的风险时间表中。

如何分析 EPA 扫描故障风险指示器?

假设用户 Lemuel Kildow 最近尝试多次使用 Citrix Gateway 的 EPA 扫描失败的设备访问网络。Citrix Gateway 将此故障报告给 Citrix Analytics,后者会将更新的风险评分分配给 Lemuel Kildow。您将在“警报”面板中收到通知,EPA 扫描失败风险指示器将添加到 Lemuel Kildow 的风险时间表中。

要查看用户的 EPA 扫描失败条目,请导航到“安全”>“用户”,然后选择用户。

从 Lemuel Kildow 的风险时间表中,您可以选择为用户报告的最新 EPA 扫描故障 风险指示器。当您从时间轴中选择 EPA 扫描故障风险指示器条目时,右侧窗格中会显示相应的详细信息面板。

EPA 扫描失败

  • 发生了什么”部分简要介绍了 EPA 扫描故障风险指示器。并且,包括在选定时间段内报告的登录后 EPA 扫描失败的数量。

EPA 扫描失败发生了什么

  • 事件详细信息 — 扫描故障部分包括在选定时间段内发生的单个 EPA 扫描故障事件的时间线可视化。此外,它还包括一个表,该表提供了有关每个事件的以下关键信息:

    • 时间。EPA 扫描失败的时间。

    • 客户端 IP。导致 EPA 扫描失败的客户端的 IP 地址。

    • 网关 IP。报告 EPA 扫描失败的 Citrix Gateway 的 IP 地址。

    • FQDN。Citrix Gateway 的 FQDN。

    • 事件描述。EPA 扫描失败原因的简要说明。

    • 策略名称。在 Citrix Gateway 上配置的 EPA 扫描策略名称。

    • 安全表达式。在 Citrix Gateway 上配置的安全表达式。

    EPA 扫描失败事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

身份验证失败过多

Citrix Analytics 根据过多的身份验证失败检测基于用户访问的威胁,并触发相应的风险指示器。

何时触发身份验证失败过多风险指示器?

当用户在指定时间段内遇到多个 Citrix Gateway 身份验证失败时,将报告登录失败风险指示器。Citrix Gateway 身份验证失败可以是主要、辅助或三级身份验证失败,具体取决于是否为用户配置了多重身份验证。

Citrix Gateway 检测所有用户身份验证失败,并将这些事件报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否遇到过多的身份验证失败。当 Citrix Analytics 确定过多的身份验证失败时,它会更新用户的风险评分。在“警报”面板中收到通知,并将“过多的身份验证失败风险指示器添加到用户的风险时间表中。

如何分析过多的身份验证失败风险指示器?

假设用户 Lemuel Kildow 最近多次尝试验证网络身份验证失败。Citrix Gateway 将这些故障报告给 Citrix Analytics,并将更新的风险评分分配给 Lemuel Kildow。在“警报”面板中收到通知,并将“过多的身份验证失败 风险指示器添加到 Lemuel Kildow 的风险时间表中。

要查看用户的身份验证失败过多风险指示器条目,请导航到“安全”>“用户”,然后选择该用户。

从 Lemuel Kildow 的风险时间表中,您可以选择为用户报告的最新过度身份验证失败风险指示器。从风险时间轴中选择过多的身份验证失败风险指示器条目时,右窗格中将显示相应的详细信息面板。

身份验证失败过多

  • 发生了什么部分提供了风险指示器的简要摘要,包括在选定时段内发生的身份验证失败的数量。

过多的身份验证失败发生了什么

  • 事件详细信息”部分包括在选定时间段内发生的单个过度验证失败事件的时间线可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。登录失败发生的时间。

    • 错误计数。在事件发生时和过去 48 小时内为用户检测到的身份验证失败数。

    • 事件描述。登录失败原因的简要说明。

    过多的身份验证失败事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

授权失败过多

Citrix Analytics 根据过多的授权失败检测基于用户访问的威胁,并触发相应的风险指示器。

何时触发过多授权失败风险指示器?

当企业中的用户尝试在没有足够权限的情况下访问资源时,Citrix Analytics 会报告授权失败过多风险指示器。

对用户进行身份验证后,Citrix Gateway 会根据为用户配置的授权策略和表达式执行组授权检查。Citrix Gateway 从 LDAP、RADIUS 或 TACACS+ 服务器收集用户的组信息。

Citrix Gateway 检测授权失败并将这些事件报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否有过多的授权失败。当 Citrix Analytics 检测到用户的过多授权失败时,它会更新用户的风险评分。在“警报”面板中收到通知,并将“过多授权失败”风险指示器添加到用户的风险时间表中。

如何分析过多授权失败风险指示器?

假设用户 Georgina Kalou 最近尝试多次访问网络中未经授权的资源。Citrix Gateway 将这些事件报告给 Citrix Analytics,并将更新的风险评分分配给 Georgina Kalou。在“警报”面板中收到通知,并将“过多授权失败”风险指示器添加到 Georgina Kalou 的风险时间表中。

要查看用户的授权失败过多条目,请导航到“安全性”>“用户”,然后选择该用户。 从 Georgina Kalou 的风险时间表中,您可以选择为用户报告的最新过多授权失败风险指示器。从时间轴中选择过多授权失败风险指示器条目后,右窗格中将显示相应的详细信息面板。

授权失败

  • “发 生了什么”部分简要介绍了风险指示器,包括在选定时间段内发生的授权失败次数。

授权失败发生了什么

  • 事件详细信息 — 授权失败部分包括在选定时间段内发生的单个授权失败事件的时间线可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。授权失败发生的时间。

    • 客户端 IP。导致授权失败的客户端的 IP 地址。

    • 网关 IP。报告授权失败的 Citrix Gateway 的 IP 地址。

    • FQDN。Citrix Gateway 的 FQDN。

    • App Name(应用程序名称)。用户用于访问资源的应用程序。

    • VPN 服务器。已建立的 VPN 会话类型。

    • 事件描述。授权失败原因的简要说明。

    • N 个因子。授权失败原因的简要说明。

    授权失败事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

从新位置首次访问

Citrix Analytics 根据对网络的 首次登录访问检测基于用户访问的威胁,并触发相应的风险指示器。

何时触发来自新位置风险指示器的首次访问?

当您组织中的用户从与其通常行为相反的异常位置登录时,您可能会收到通知。

Citrix Gateway 检测到这些事件并将它们报告给 Citrix Analytics。Citrix Analytics 接收事件,增加用户的风险评分。在“警报”面板中收到通知,并将从新位置的首次访问风险指示器添加到用户的风险时间表中。

如何分析从新位置风险指示器首次访问?

假设用户 Georgina Kalou 从俄罗斯莫斯科登录,但她以前只从北卡罗来纳州罗利登录。Citrix Gateway 将这些事件报告给 Citrix Analytics,后者将更新的风险评分分配给 Georgina Kalou。在“警报”面板中收到通知,从新位置风险指示器首次访问将添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的从新位置首次访问风险指示器。事件的原因与详细信息(如事件的时间、登录位置等)一起显示。

从新位置 Gateway 首次访问

  • “发 生了什么”部分提供了风险指示器的简要摘要,包括在特定时间段内发生的可疑登录尝试次数。

从新的位置 Gateway 首次访问发生了什么

  • 事件详细信息部分包括在所选时间段内发生的来自异常地理位置的各个登录事件的时间线可视化。此外,它还包括一个表,该表提供了有关每个事件的以下关键信息:

    • 时间。每次登录尝试的时间。

    • 位置。进行登录尝试的位置。

    • 客户端 IP 地址。使用的客户端 IP 地址。

    • 操作系统。客户端使用的操作系统。

    • 浏览器。用户使用的浏览器。

    从新位置 Gateway 事件详细信息首次访问

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

从新 IP 首次访问

Citrix Analytics 基于从新 IP 地址首次访问来检测用户访问威胁,并触发相应的风险指示器。

当 Citrix Receiver 用户在至少 90 天后从 IP 地址登录时,将触发首次从新 IP 访问风险指示器。这是因为 Citrix Receiver 在过去 90 天内没有用户从此 IP 地址登录记录。

何时触发新 IP 风险指示器的首次访问?

当用户在 90 天后从 IP 地址登录时,会报告新 IP 风险指示器的首次访问。当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并将风险评分分配给相应的用户。新 IP 风险指示器的首次访问将添加到用户的风险时间表中,并在“警报”面板中显示一个警报。

如何分析新 IP 风险指示器的访问?

假设用户 Adam Maxwell 通过 Citrix Receiver 从用户至少 90 天没有使用的 IP 地址登录到会话。从 Adam Maxwell 的时间表中,您可以选择报告的首次访问新的 IP 风险指示器。将显示首次访问新 IP 警报的原因以及事件时间、IP 地址等详细信息。

从新 IP 首次访问

要查看为用户报告的首次访问新 IP 风险指示器,请导航到“安全”>“用 ”,然后选择用户。

  • 在“发生了什么”部分,您可以查看从新 IP 首次访问事件的摘要。您可以查看从新 IP 地址发生的登录实例数以及事件发生的时间。

从新 IP 首次访问

  • 事件详细信息部分,来自新 IP 地址的访问事件以图形和表格格式显示。事件在图表中显示为单个条目,该表提供了有关事件的以下关键信息:

    • 时间。登录实例发生的时间。

    • 客户端 IP。用于登录的设备的 IP 地址。

从新 IP 首次访问

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

从可疑 IP 登录

Citrix Analytics 基于可疑登录活动检测用户访问威胁,并触发相应的风险指示器。

何时触发来自可疑 IP 的登录风险指示器?

当用户尝试从 Citrix Gateway 标识为可疑的 IP 地址访问网络时,将报告从可疑 IP 登录风险指示器。根据以下任何情况,IP 地址 被视为可疑:

  • 在外部 IP 威胁智能源上列出

  • 具有来自异常位置的多个用户登录记录

  • 登录尝试失败过多,可能表明存在暴力攻击

Citrix Gateway 检测到此事件并向 Citrix Analytics 报告。Citrix Analytics 会监视此事件,以检测用户是否有过多的可疑 IP 登录尝试。Citrix Analytics 确定用户的可疑 IP 登录尝试时,会更新用户的风险评分,并在警报面板中创建通知。此外,它将从可疑 IP 风险指示器条目添加登录到用户的风险时间表。

如何从可疑的 IP 风险指示器分析登录?

假设用户 Lemuel Kildow 试图从 Citrix Gateway 识别为可疑的 IP 地址访问网络。Citrix Gateway 向 Citrix Analytics 报告此事件,后者将更新的风险分数分配给 Lemuel Kildow。您会在 警报 面板中收到通知,并从可疑 IP 登录风险指示器添加到 Lemuel Kildow 的风险时间表中。

从可疑 IP 登录

若要查看为用户报告的可疑 IP 风险登录指示器,请导航到“安全”>“用 ”,然后选择用户。从 Lemuel Kildow 的风险时间表中,您可以从为用户报告的可疑 IP 风险指示器中选择最新的登录。当您从时间轴中选择“从可疑 IP 风险指示器条目登录”时,右窗格中将显示相应的详细信息面板。

  • 发生了什么”部分提供了来自可疑 IP 风险指示器的登录的简要摘要。和,包括在选定时间段内报告的来自可疑 IP 地址的登录数。

从可疑 IP 登录

  • 事件详细信息部分包括在选定时间段内发生的单个登录尝试的时间轴可视化。此外,它还包括一个表,该表提供了有关每个事件的以下关键信息:

    • 时间。登录实例发生的时间。

    • 客户端 IP。用于登录的设备的 IP 地址。

    • 位置。进行可疑登录尝试的位置。

    • 野蛮力量。表示检测到暴力行为。

    • 外部威胁。指示 IP 地址位于外部 IP 威胁智能源上。

    • 不寻常的地理位置访问。表示检测到来自异常地理位置的访问。

从可疑 IP 登录

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。