Citrix Virtual Apps and Desktops 风险指示器

从不寻常的位置访问

Citrix Analytics 会根据 Citrix Workspace 的异常登录来检测基于访问的威胁,并触发相应的风险指示器。

从异常位置访问风险指示器何时触发?

当组织中的用户从异常位置登录时,您会收到通知。位置取决于用户设备的 IP 地址。Citrix Workspace 会检测这些用户事件并将其报告给 Citrix Analytics。Citrix Analytics 接收事件并提高用户的风险评分。当用户从与新国家/地区相关的 IP 地址登录或远离以前任何登录位置异常远的新城市登录时,将触发风险指示器。其他因素包括用户的整体移动性水平以及组织中所有用户从城市登录的相对频率。在所有情况下,用户位置历史记录都基于过去 30 天的登录活动。

从异常位置访问 风险指示器将添加到用户的风险时间表中。

如何分析从异常位置访问风险指示器?

考虑首次从美国圣何塞登录的用户亚当·麦克斯韦尔。他通常的登录地点是美国阿拉斯加。Citrix Workspace 将这些登录事件报告给 Citrix Analytics,后者将更新的风险评分分配给亚当·麦克斯韦尔。从异常位置访问风险指示器被触发并添加到亚当·麦克斯韦尔的风险时间表中。

从亚当·麦克斯韦尔的风险时间表中,您可以从不寻常的位置风险指示器中选择报告的访问。活动的原因以及详细信息(如活动时间和登录位置)一起显示。

要查看为用户报告的 “从异常位置访问” 风险指示器,请导航到 “ 安全” > “用户”,然后选择该用户。

位置不寻常

  • 发生了什么:提供包括登录尝试次数、异常位置和事件时间的简要摘要。

    出现的症状

  • 登录位置:显示用户常用登录位置和异常登录位置的地理地图视图。通常的位置数据是过去 30 天的数据。您可以将鼠标悬停在地图上的指针上以查看每个位置的确切详细信息。

    登录

  • Usual 位置-过去 30 天:显示过去 30 天内用户登录位置前六个常见登录位置的饼图视图。

    位置不寻常

  • 不寻常的位置事件详细信息:提供用户发生的异常登录事件的时间轴可视化。此外,此表还提供了有关异常登录事件的以下信息:

    • 日期和时间。异常登录位置事件的日期和时间。

    • 客户端 IP。客户端设备的 IP 地址。

    • 设备操作系统。用户登录到异常位置的设备的操作系统。

    • 设备浏览器。用户登录应用程序时使用的 Web 浏览器。

    • 事件类型。指示用户活动是会话登录还是帐户登录。当用户对其账户的身份验证成功时,会触发账户登录事件。而当用户输入凭据并登录其应用程序或桌面会话时,会触发会话登录事件。

      活动详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。

  • 开始会话录制。如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在未来登录会话中的活动。但是,如果用户使用 Virtual Apps 程序和桌面 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件,然后选择适当的风险指示器。从操作菜单中,选择一个操作,然后单击应用

首次从新设备访问

Citrix Analytics 基于从新设备首次访问来检测访问威胁,并触发相应的风险指示器。

当 Citrix Workspace 用户在至少 90 天后从设备登录时,将触发从新设备首次访问风险指示器。触发此风险指示器的原因是 Citrix Receiver 在过去 90 天内没有该新设备或不熟悉设备的用户登录记录。

从新设备首次访问风险指示器何时触发?

当用户在 90 天后从设备登录时,会报告从新设备首次访问风险指示器。

当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并向相应的用户分配风险评分。首次从新设备风险指示器访问 将添加到用户的风险时间表中。

如何分析首次从新设备访问风险指示器?

假设用户 Adam Maxwell 通过 Citrix Receiver 从用户在过去 90 天内未使用过的设备登录到会话。

从亚当·麦克斯韦尔的 时间表中,您可以从新设备风险指示器中选择首次访问 。将显示从新设备警报访问的原因以及事件时间和设备 ID 等详细信息。

要查看为用户报告 的新设备首次访问 风险指示器,请导航到“安全”>“用户”,然后选择用户。

首次从新设备访问

  • 发生了什么 部分,您可以查看从新设备事件首次访问的摘要。您可以查看从新设备发生的登录实例的数量以及事件发生的时间。

    首次从新设备访问发生了什么

  • 在 “事 件详细信息 ” 部分中,来自新设备的访问事件以表格格式显示。这些事件在图表中显示为单个条目,表格提供了有关事件的以下关键信息:

    • 时间。登录实例的发生时间。

    • Receiver 类型。使用的 Citrix Receiver 类型,例如 Windows 和 Mac。

    • 设备 ID。用于登录的设备的 IP 地址。

      从新设备事件详细信息访问

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。

  • 开始会话录制。如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在未来登录会话中的活动。但是,如果用户使用 Virtual Apps 程序和桌面 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

潜在的数据泄露

Citrix Analytics 会根据对数据进行过多尝试来检测数据威胁,并触发相应的风险指示器。

当 Citrix Receiver 用户尝试将文件下载或传输到驱动器或打印机时,将触发潜在数据泄露风险指示器。此数据可能是文件下载事件,例如将文件下载到本地驱动器、映射驱动器或外部存储设备。它也可以是使用剪贴板或通过复制粘贴操作泄露的数据。

注意

剪贴板操作仅受 SaaS 应用程序的支持。

潜在数据泄露风险指示器何时触发?

当用户在特定时间段内将过多文件传输到驱动器或打印机时,您可能会收到通知。当用户在其本地计算机上使用复制粘贴操作时,也会触发此风险指示器。

当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并向相应的用户分配风险评分。潜在数据泄露 风险指标将添加到用户的风险时间表中。

如何分析潜在数据泄露风险指标?

假设用户 Adam Maxwell 登录到会话并尝试打印超过预定义限制的文件。通过此操作,Adam Maxwell 已经超出了他基于机器学习算法的正常文件传输行为。

从 Adam Maxwell 的时间线中,您可以选择潜在数据泄露风险指示器。此时将显示事件的原因以及传输文件所使用的设备等详细信息。

要查看为用户报告的 潜在数据泄露 风险指示器,请导航至“安全”>“用户”,然后选择用户。

潜在的数据泄露

  • 发生了什么”部分,您可以查看潜在数据泄露事件的摘要。您可以查看特定时间段内的数据泄露事件的数量。

    潜在的数据泄露发生了什么

  • 事件详细信息部分,数据泄露尝试以图形和表格格式显示。这些事件在图表中显示为单个条目,表格提供以下关键信息:

    • 时间。数据泄露事件的发生时间。

    • 文件。已下载、打印或复制的文件。

    • 文件类型。下载、打印或复制的文件类型。

      注意

      打印的文件名仅在 SaaS 应用程序打印事件中可用。

    • 操作。执行的数据泄露事件类型 — 打印、下载或复制。

    • 设备。使用的设备。

    • 大小。正在泄露的文件的大小。

    • 位置。用户试图泄露数据的城市。

      潜在的数据泄露事件详情

  • 附加上下文信息”部分,在事件发生期间,您可以查看以下内容:

    • 已泄露的文件数。

    • 执行的操作。

    • 使用的应用程序。

    • 用户使用的设备。

      潜在的数据泄露额外的上下文信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户上存在任何异常或可疑活动时,会向所有 Citrix Cloud 管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。

  • 开始会话录制。如果用户的 Virtual Desktops 帐户发生异常事件,管理员可以开始记录用户在未来登录会话中的活动。但是,如果用户使用 Virtual Apps and Desktops 7.18 或更高版本,则管理员可以动态启动和停止记录用户的当前登录会话。

要了解有关操作以及如何手动配置这些操作的详细信息,请参阅策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从“ 作”菜单中,选择一个操作,然后单击“应用”。

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

Citrix Virtual Apps and Desktops 风险指示器