面向策略的自助搜索

Citrix Analytics for Security 允许您创建 策略 和应用用户帐户 操作 上的异常或可疑事件。当用户事件符合您定义的策略时,操作会自动应用于用户帐户,以隔离威胁并防止将来发生异常事件。使用自助搜索,您可以查看满足定义策略的用户事件,并查看应用于这些异常事件的操作。

有关搜索功能的详细信息,请参阅自助搜索

选择策略数据集

要查看与已定义策略相关的事件,请在搜索框中从列表中选择 策略 。选择要查看事件的时间段,然后单击搜索

策略选择

默认情况下,自助服务页面会显示过去一个月的事件。该页面还为您提供了多个方面和一个搜索框,用于筛选和关注所需事件。

策略页面

注意

您还可以从安全 > 用户 > 策略和操作控制板访问“面向策略的自助搜索”页面。在控制板上选择策略以查看与策略相关的用户事件。有关详细信息,请参阅策略和操作控制板。

选择要过滤事件的方面

Facet 列表显示了对用户事件应用的操作。从多面列表中选择应用的操作,然后根据应用的操作查看事件。有关配置策略时可以应用的操作的详细信息,请参阅 什么是行动?

策略过滤器

下图显示了应用的操作将使所有链接过期的事件。

策略示例

指定搜索查询以筛选事件

将光标放在搜索框中可查看与策略相关的事件的维度列表。使用维度和指 运营商 定查询并搜索所需事件。

策略层面

例如,您希望查看用户“user8”的异常事件,其中应用于这些事件的动作是“禁用用户”。

  1. 在搜索框中输入“user”以获取相关尺寸。

    策略查询 1

  2. 选择用 户名 并使用相等运算符输入值“user8”。

    策略查询 2

  3. 选择 AND 运算符,然后选择应用操作维度。使用相等运算符输入字符串“禁用 用户”应 用的操作。

    注意

    如果字符串值包含两个或多个单词,则必须用运算符将其括起来 “”。例如 “Disable user”,“停止会话录制”。

    策略查询 3

    若要标识“应用操作”的可能字符串值,请展开方面列表,并在搜索查询中使用筛选器名称作为字符串。

    策略方面的价值观

  4. 选择时间段,然后单击“搜索”以查看 数据 表上的事件。

面向策略的自助搜索