Citrix Analytics for Security

用户风险时间表和概况

作为 Citrix Analytics 管理员,您可以通过用户个人资料上的用户风险时间表更深入地了解用户的风险行为。默认情况下,将显示最近一个月的用户风险时间表。您还可以查看在选定时间段内对他们的帐户执行的相应操作。从用户风险时间表中,您可以深入研究用户的个人资料,以了解以下内容:

此外,您还可以查看用户的风险评分和风险指示器趋势,并确定用户是否为高风险用户。

当您转到用户的风险时间表时,您可以选择风险指示器或已应用于其帐户的操作。如果选择上述选项之一,右窗格将显示风险指示器部分或操作部分。

风险时间表

风险时间表

风险时间表显示以下信息:

  • 风险指标。风险指示器是可疑或可能对组织构成安全威胁的用户活动。当用户的行为偏离其正常行为时,就会触发这些指标。风险指标可以用于以下数据源:

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops/Citrix Workspace

    • Citrix 访问控制

    当您从用户的时间轴中选择风险指示器时,风险指示器信息部分将显示在右窗格中。您可以查看风险指示器的原因以及事件的详细信息。它们大致分为以下几个部分:

    风险时间表信息部分

    • 发生了什么事。您可以在此处查看风险指示器的摘要。例如,如果您选择了 过多的文件共享 风险指示器。在发生了什么部分,您可以查看发送给收件人的共享链接的数量以及发生共享事件的时间。

    • 活动详情。您可以以图形和表格格式查看各个事件条目以及事件的详细信息。单击 事件搜索 以访问自助搜索页面并查看与用户风险指示器对应的事件。有关详细信息,请参阅 自助搜索

    • 其他上下文信息。在此部分中,您可以查看事件发生期间共享的数据(如果有)。

    了解更多: 风险指标

  • 操作。操作可帮助您应对可疑事件并防止将来发生异常事件。已应用于用户个人资料的操作将显示在风险时间轴上。这些操作可以通过配置的策略自动应用到用户的帐户,也可以手动应用特定操作。

    了解更多信息: 政策和行动

    风险时间表操作

  • 特权用户事件。每当用户的 Admin 或 Executive 权限状态发生变化时,都会触发特权用户事件。当为用户触发风险指示器时,您可以将其与指定的权限状态更改事件关联起来。如有必要,您可以对用户配置文件应用适当的操作。用户风险时间表上显示的管理员或执行人员权限事件如下:

    • 已添加到执行组

    • 已从执行组中删除

    • 权限提升为管理员

    • 管理员权限已移

    以添加到高管特权组 CitrixAnalytics中的用户亚当·麦克斯韦为例。 添加到管理人员组 事件将添加到用户的风险时间表中。现在,亚当开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。文件或文件夹删除过多 风险指示器将添加到用户的风险时间表中。您可以在风险时间表上比较事件和风险指示器。比较之后,您可以确定风险指示器是否是由于事件而触发的。如果是这样,你可以对 Adam 的个人资料应用适当的操作。有关特权用户的详细信息,请参阅 特权用户

从用户的时间轴中选择事件时,事件信息部分将显示在右窗格中。

对于管理人员,右窗格显示诸如 用户状态日期和时间以及Active Directory 组之类的信息。

特权用户

对于管理员权限事件,右窗格会显示 用户状态日期和时间以及在产品中等信息。

风险摘要

查看与影响其风险评分的用户相关的风险因素。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

风险摘要

单击 风险摘要 查看以下信息:

  • 指标出现次数总数:表示过去两周内用户触发的风险指示器总数。这些触发的风险指标决定了用户的风险评分。

  • 风险评分:表示基于用户的风险行为的风险评分。风险评分决定了用户在特定时间段内对组织构成的风险级别。风险评分值是动态的,根据用户行为分析的不同而有所不同。根据风险评分,用户可以属于以下类别之一:高风险用户、中风险用户、低风险用户和零风险评分用户。有关用户类别的更多信息,请参阅 用户仪表板

  • 风险因素:表示与构成风险评分的用户活动相关的风险因素的一个或多个组合。

  • 风险明细:表示用户针对每个风险因素触发的风险指示器的数量。展开该行以查看详细信息。

    风险因素

在用户时间轴上,单击 选,然后选择与用户关联的风险因素、应用的操作或特权用户状态,然后查看相应的事件。

时间轴筛选

用户资料

用户配置文件显示以下信息:

高级用户资料

注意

身份验证 数据当前在用户信息配置文件中不可用。

应用程序

在此时间段内用户访问的应用程序数。Citrix Analytics 从 Citrix Virtual Apps and Desktops 收集这些数据。单击用户名,然后导航到 “用 户信息 ” 以查看用户使用的应用程序的名称和数量。右上角的 “ 趋势视 图” 链接提供了有关特定时间段内用户应用程序历史记录的图形表示。

用户信息数据使用

数据使用量

用户使用的数据量可能包括上传或下载的数据、上传或下载的文件以及共享或删除的文件。Citrix Analytics 从 Citrix Content Collaboration 中收集这些数据。单击用户名,然后导航到 “用户信息” 以查看该用户的数据使用情况详细信息。“ 趋势视图” 链接提供了有关特定时间段内用户数据使用历史记录的图形表示。

用户信息数据使用

设备

用户用来访问数据源的设备数量。Citrix Analytics 从 Citrix Endpoint Management 和 Citrix Virtual Apps and Desktops 收集这些数据。单击用户名,然后导航到 “用 户信息 ” 以查看用户使用的设备的名称和数量。右上角的 “ 趋势视 图” 链接提供了有关特定时间段内用户设备历史记录的图形表示。

用户信息设备

位置

用户从中登录到数据源的位置。Citrix Analytics 会从 Citrix Content Collaboration、Citrix Gateway 以及 Citrix Virtual Apps and Desktops 收集数据。单击用户名,然后导航到 “ 用户信息 ” 以查看用户访问数据的位置以及从这些位置登录的次数。右上角的 “ 地图视图 ” 链接提供了特定时间段内用户的登录位置历史记录。

用户信息位置

用户风险时间表和概况