面向策略的自助搜索
Citrix Analytics for Security 允许您创建策略并对用户帐户中的异常或可疑事件应用操作。当用户事件符合您定义的策略时,这些操作将自动应用于用户帐户,以隔离威胁并防止将来发生异常事件。使用自助搜索,您可以查看符合定义策略的用户事件,并查看对这些异常事件应用的操作。
有关搜索功能的详细信息,请参阅 自助搜索。
选择策略数据集
要查看与定义的策略相关的事件,请从列表中选择 策略 。默认情况下,自助服务页面显示最近一天的事件。您还可以选择要查看事件的时间段。
注意
您还可以从“安全”>“用户”>“策略 和操作”控制板访问“自助搜索策略”页面。在控制面板上选择一个策略以查看与该策略相关的用户事件。有关更多信息,请参阅“策略和操作”控制板。
选择要过滤事件的平面
Facet 列表显示对用户事件应用的操作。从 Facet 列表中选择已应用的操作,然后根据应用的操作查看事件。有关在配置策略时可以应用的操作的更多信息,请参阅 什么是操作?
指定搜索查询以筛选事件
将光标置于搜索框中可查看与策略相关的事件的维度列表。使用维度和 运算符 指定查询并搜索所需的事件。
例如,您想查看用户“user8”的异常事件,其中应用于这些事件的操作是“禁用用户”。“
-
在搜索框中输入“user”以获取相关维度。
-
选择用 户名 ,然后使用等于运算符输入值“user8”。
-
选择 AND 运算符,然后选择“已应用操 作”维度。使用等于运算符为应用 操作输入字符串“禁用 用户”。
注意
如果字符串值包含两个或更多单词,则必须用运算符
“”<!--NeedCopy-->将其括起来。例如“Disable user”<!--NeedCopy-->,“停止会话录制”。
要确定 ActionApplied 的可能字符串值,请展开 Facet 列表,然后在搜索查询中使用筛选器名称作为字符串。
-
选择时间段,然后单击“搜索”以查看 数据 表上的事件。