Citrix Virtual Apps and Desktops 风险指示器

从新设备首次访问

Citrix Analytics 基于从新设备首次访问来检测访问威胁,并触发相应的风险指示器。

当 Citrix Workspace 用户在至少 90 天后从设备登录时,将触发从新设备首次访问风险指示器。这是因为 Citrix Receiver 在过去 90 天内没有用户从此新设备或不熟悉设备登录记录。

从新设备首次访问风险指示器何时触发?

当用户在 90 天后从设备登录时,会报告从新设备首次访问风险指示器。

当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并将风险评分分配给相应的用户。来自新设备的首次访问 风险指示器将添加到用户的风险时间轴中,并在“警报”面板中显示一个 警报

如何分析来自新设备风险指示器的访问?

假设用户 Adam Maxwell 通过 Citrix Receiver 从用户在过去 90 天内未使用过的设备登录到会话。

从 Adam Maxwell 的时间线中,您可以选择报告的 首次访问新设备 风险指示器。将显示从新设备警报访问的原因以及事件时间、设备 ID 等详细信息。

要查看为用户报告 的新设备首次访问 风险指示器,请导航到“安全”>“用户”,然后选择用户。

从新设备首次访问

  • 发生了什么”部分,您可以查看从新设备事件首次访问的摘要。您可以查看从新设备发生的登录实例数以及事件发生的时间。

从新设备首次访问发生了什么

  • 事件详细信息部分中,来自新设备的访问事件以表格格式显示。事件在图表中显示为单个条目,该表提供了有关事件的以下关键信息:

    • 时间。登录实例发生的时间。

    • Receiver 类型。使用的 Citrix Receiver 类型,例如 Windows、Mac 等。

    • 设备 ID。用于登录的设备的 IP 地址。

    从新设备事件详细信息访问

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。

  • 开始录制会话。如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在将来登录会话中的活动。但是,如果用户使用 Virtual Apps and Desktops 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

潜在的数据泄漏

Citrix Analytics 会根据对数据进行过多尝试来检测数据威胁,并触发相应的风险指示器。

当 Citrix Receiver 用户尝试将文件下载或传输到驱动器或打印机时,将触发潜在数据泄露风险指示器。此数据可能是文件下载事件,例如将文件下载到本地驱动器、映射驱动器、外部存储设备等。它也可以是使用剪贴板或复制粘贴操作泄露的数据。

潜在数据泄露风险指示器何时触发?

当用户在特定时间段内将过多的文件传输到驱动器或打印机时,您可能会收到通知。当用户在其本地计算机上使用复制粘贴操作时,也会触发此风险指示器。

当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并将风险评分分配给相应的用户。潜在数据泄露 风险指示器将添加到用户的风险时间表中,并在“警报”面板中显示一个 警报

如何分析潜在数据泄露风险指示器?

假设用户 Adam Maxwell 登录到会话并尝试打印超过预定义限制的文件。通过此操作,Adam Maxwell 已经超出了他基于机器学习算法的正常文件传输行为。

从 Adam Maxwell 的时间线中,您可以选择潜在数据泄露风险指示器。此时将显示事件原因以及详细信息,例如传输的文件、用于传输文件的设备等。

要查看为用户报告的 潜在数据泄露 风险指示器,请导航至“安全”>“用户”,然后选择用户。

潜在的数据泄漏

  • 发生了什么”部分,您可以查看潜在数据泄露事件的摘要。您可以查看特定时间段内的数据泄漏事件数。

潜在的数据泄漏发生了什么

  • 事件详细信息部分,数据泄露尝试以图形和表格格式显示。事件在图表中显示为单个条目,该表提供了以下关键信息:

    • 时间。数据泄漏事件发生的时间。

    • 文件。已下载、打印或复制的文件。

    • 文件类型。已下载、打印或复制的文件类型。

    • 操作。执行的数据泄漏事件类型 — 打印、下载或复制。

    • 设备。使用的设备。

    • 尺寸。被泄露的文件的大小。

    潜在数据泄露事件详细信息

  • 附加上下文信息”部分,在事件发生期间,您可以查看以下内容:

    • 泄露的文件数。

    • 执行的操作。

    • 使用的应用程序。

    • 用户使用的设备。

    潜在的数据泄露额外的上下文信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。

  • 开始录制会话。如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在将来登录会话中的活动。但是,如果用户使用 Virtual Apps and Desktops 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

从具有不支持操作系统 (OS) 的设备进行访问

Citrix Analytics 基于用户从运行不受支持的操作系统的设备的访问来检测访问威胁,并触发相应的风险指示器。

Citrix Receiver 用户从不受支持的操作系统 (OS) 或浏览器登录时触发从具有不受支持操作系统的设备访问风险指示器。根据 Citrix Receiver 支持的一组操作系统和浏览器版本发出警报。

从不受支持的操作系统风险指示器的设备访问何时触发?

当用户 从运行不受支持的操作系统或浏览器的设备登录时,会报告“从具 有不受支持操作系统的设备访问”风险指示器。当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并将风险评分分配给相应的用户。具有不受支持操作系统风险指示器的“从设备 访问”将添加到用户的风险时间表中,并在“警报”面板中显示一个 警报

注意:

当用户切换到另一个操作系统,但连接到同一会话时,会话登录事件将保留。

如何分析使用不受支持的操作系统风险指示器的设备的访问?

假设用户 Georgina Kalou 登录到运行在 Citrix Receiver 不支持的操作系统或浏览器上的会话。Citrix Analytics 检测到此事件,并为 Georgina Kalou 分配风险评分。然后在“警报”面板中收到通知,并将“从设备访问具有不受支持的操作系统 风险指示器”添加到用户的风险时间表中。

从 Georgina Kalou 的时间表中,您可以选择已报告的“从设备访问”,其操作系统风险指示器不受支持。事件的原因以及事件的详细信息(如操作系统版本、浏览器版本等)显示在屏幕上。

要查看 具有不受支持操作系统的“从设备访问”风险指示器,请导航至“安全”>“用户”,然后选择用户。

从具有不支持操作系统的设备访问

  • 发生了什么事 部分,您可以查看具有不受支持操作系统风险指示器的从设备访问摘要。您可以查看用于启动 Citrix Receiver 的操作系统或浏览器版本不受支持的设备数量以及事件发生的时间。

从具有不支持操作系统的设备访问发生了什么

  • 事件详细信息 - 设备访问部分,不受支持的设备访问事件以图形和表格格式显示。事件在图表中显示为单个条目,该表提供了有关事件的以下关键信息:

    • 启动时间。事件发生的时间。

    • Receiver。Receiver 平台详细信息。

    • 浏览器。用于登录的浏览器版本。

    • 操作系统。用于登录的操作系统版本。

    • 设备 ID。有关用于登录会话的设备 ID 的信息。

    • IP 地址。用于登录的设备的 IP 地址。

    注意

    如果您的设备使用不受支持的浏览器进行访问,则无法在 IP 地址列下看到任何数据。

    从具有不支持操作系统事件详细信息的设备访问

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。

  • 开始录制会话。如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在将来登录会话中的活动。但是,如果用户使用 Virtual Apps and Desktops 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

应用程序访问的异常时间(虚拟)

Citrix Analytics 基于用户从新应用程序访问权限来检测数据威胁,并触发相应的风险指示器。

当 Citrix Receiver 用户出现异常的应用程序使用行为时,将触发应用程序访问异常时间风险指示器。异常行为可能是在一天的特定时间内首次启动 HDX 应用程序。

何时触发应用程序访问风险指示器的异常时间?

当用户尝试访问他们以前没有使用过的应用程序时,会报告应用程序访问异常时间风险指示器,这将考虑到一天中的时间。

当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并将风险评分分配给相应的用户。应用程序访问异常时间风险指示器将添加到用户的风险时间表中,并在“警报”面板中显示警报

如何分析应用程序访问风险指示器的异常时间?

假设用户 Georgina Kalou 登录到会话,并尝试在非工作时间首次访问应用程序。

从 Georgina Kalou 的时间表中,您可以选择报告的应用程序访问风险指示器异常时间。此时将显示事件的原因以及详细信息,例如应用程序的名称、访问该应用程序的时区等。

要查看为用户报告的应用程序访问异常时间风险指示器,请导航到“安全性”>“用户”,然后选择该用户。

不寻常的应用程序访问时间

  • 发生了什么部分,您可以查看事件的摘要。您可以查看访问的新应用程序的数量以及访问这些应用程序的时间。

不寻常的应用程序访问时间发生了什么

  • 事件详细信息部分,事件以图形和表格格式显示。事件在图表中显示为单个条目,该表提供了有关事件的以下关键信息:

    • 时间。访问应用程序的时间。

    • 应用程序名称。访问的应用程序的名称。

    • 时区。访问应用程序的时区。

    应用程序访问事件详细信息的异常时间

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,系统会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。

  • 开始录制会话。如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在将来登录会话中的活动。但是,如果用户使用 Virtual Apps and Desktops 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。