Citrix Analytics for Security

面向策略的自助搜索

Citrix Analytics for Security 允许您创建策略并对用户帐户中的异常或可疑事件应用操作。当用户事件符合您定义的策略时,这些操作将自动应用于用户帐户,以隔离威胁并防止将来发生异常事件。使用自助搜索,您可以查看符合定义策略的用户事件,并查看对这些异常事件应用的操作。

有关搜索功能的详细信息,请参阅 自助搜索

选择策略数据集

要查看与定义的策略相关的事件,请从列表中选择 策略 。默认情况下,自助服务页面显示最近一天的事件。您还可以选择要查看事件的时间段。

策略选择

注意

您还可以从 “ 安全 ” > “ 用户 ” > “策略 和操作” 仪表板访问 “自助搜索策略 ” 页面。在控制面板上选择一个策略以查看与该策略相关的用户事件。有关更多信息,请参阅 “ 策略和操作 ” 仪表板。

选择要过滤事件的平面

Facet 列表显示对用户事件应用的操作。从 Facet 列表中选择已应用的操作,然后根据应用的操作查看事件。有关在配置策略时可以应用的操作的更多信息,请参阅 什么是操作?

策略过滤器

指定搜索查询以筛选事件

将光标置于搜索框中可查看与策略相关的事件的维度列表。使用维度和 运算符 指定查询并搜索所需的事件。

策略维度

例如,您想查看用户 “user8” 的异常事件,其中应用于这些事件的操作是 “禁用用户”。“

  1. 在搜索框中输入 “user” 以获取相关维度。

    策略查询 1

  2. 选择用 户名 ,然后使用等于运算符输入值 “user8”。

    策略查询 2

  3. 选择 AND 运算符,然后选择 “ 已应用操 作” 维度。使用等于运算符为应用 操作输入字符串 “禁用 用户”。

    注意

    如果字符串值包含两个或更多单词,则必须用运算符 “”<!--NeedCopy--> 将其括起来。例如 “Disable user”<!--NeedCopy--> ,“停止会话录制”。

    策略查询 3

    要确定 ActionApplied 的可能字符串值,请展开 Facet 列表,然后在搜索查询中使用筛选器名称作为字符串。

    政策方面的价值观

  4. 选择时间段,然后单击“搜索”以查看 数据 表上的事件。

面向策略的自助搜索