Citrix Analytics for Security

Splunk 中的 Citrix Analytics 仪表板

注意

这些仪表板处于预览中。

必备条件

要使用以下 Citrix Analytics 仪表板,请确保您已经配置并设置了适用于 Splunk 的 Citrix Analytics 应用程序

用户风险评分概述

此仪表板提供了组织中存在风险的用户的综合视图。用户按风险级别进行分类-高、中和低。风险级别基于用户活动中的异常情况,因此会分配风险评分。有关风险用户类型的更多信息,请参阅用 户仪表板

要查看此仪表板,请单击 Citrix Analytics-仪表板 > Citrix Analytics-用户风险评分概述

风险评分概述下拉列表

选择预设的时间范围或自定义时间范围以查看有风险的用户的时间轴及其详细信息。

风险评分概述仪表板 1

“风险用户” 表提供以下信息:

  • 用户:表示用户名。单击用户名可在 Citrix Analytics-实体详细信息仪表板上查看有关用户风险行为的详细信息。

  • 现的受损端点风险:表示属于受感染终端风险类别的用户触发的风险指示器的数量。

  • 现的受感染用户风险:表示属于受感染用户风险类别的用户触发的风险指示器的数量。

  • 现的数据泄露风险:表示属于数据泄露风险类别的用户触发的风险指示器的数量。

  • 现的内部威胁风险:表示属于内部威胁风险类别的用户触发的风险指示器的数量。

  • 风险评分:表示用户的风险评分。

您还可以按用户名搜索用户并获取所需的详细信息。

有关更多信息,请参阅 风险类别

危险的用户列表

风险指标概述

控制面板提供了组织中用户触发的风险指示器的综合视图。

要查看仪表板,请单击 Citrix Analytics-仪表板 > Citrix Analytics-风险指示器概述

风险指标概述菜单

选择类别以查看报告

通过选择一个或多个类别来搜索风险指标:

  • 时间范围:选择预设时间范围或自定义时间范围以查看该时间段内触发的风险指示器。

  • 风险指示器类型:选择风险指示器的类型:内置或自定义。

  • 实体类型:选择用户或共享 ID 以查看关联的风险指示器。共享 ID 仅与 Citrix Content Collaboration 风险指示器相关联。

  • :选择一个条件以按数据源、指标类别、指标名称、指标类型或实体类型对用户事件进行分组,然后查看关联的风险指标。

    风险指标概述类别

查看报告

通过选择一个或多个类别,使用以下报表查看有关风险指示器的详细信息:

  • 触发的风险指示器数量:显示在选定期间内触发的风险指示器的数量。使用此报告可以确定风险活动的模式和区域。另外,确定组织中风险最大的活动。

  • 风险指示器事件的总数和不同实体计数:显示与风险指示器对应的事件总数和唯一事件。使用此报告可以确定组织中每个风险指示器的出现次数和最高风险指示器。您还可以确定触发了特定风险指示器的唯一用户数量,并检查风险指示器是由更大还是较小的用户组触发的。

  • 按位置划分的风险指示器:显示用户在不同位置触发的风险指示器的数量。使用此报告可以确定显示风险较高的活动的位置,并检查这些地点是否在组织的运营区域之外。

  • 风险指示器详细信息:显示有关风险指示器的详细信息,例如关联的数据源、指标类别、指标类型和出现次数。

风险指标概述报告 1

风险指标概述报告 2

风险指标详情

仪表板提供有关用户触发的内置和自定义风险指标的详细信息。有关详细信息,请参阅 Citrix 用户风险指示 器和 自定义风险指示器。

要查看仪表板,请单击 Citrix Analytics-仪表板 > Citrix Analytics-风险指示器详细信息

风险指标详情选择

选择类别以查看报告

通过选择一个或多个类别来查看风险指标的详细信息:

  • 时间范围:选择预设的时间范围或自定义时间范围以查看该时间段内触发的风险指示器的详细信息。

  • 实体类型:选择用户或共享 ID 以查看相关风险指示器的详细信息。

  • 风险指示器类型-选择内置或自定义的风险指标类型以查看其详细信息。

  • 数据源-选择数据源以查看相关风险指示器的详细信息。

  • 风险指示器类别-选择风险类别以查看相关风险指标的详细信息。

  • 风险指示器-选择风险指示器以查看其详细信息。

查看报告

例如,从选择风险指示器列表中,选择 异常身份验证失败 (Citrix Content Collaboration),单击 提交,然后查看以下信息:

  • 与风险指示器关联的前 10 名用户或共享 ID

  • 有关风险指标的详细信息,例如

    • 触发的日期和时间

    • 关联的数据源

    • 关联的风险类别

    • 关联的实体 ID 和实体类型(用户或共享)

    • 风险严重程度-高、中或低

    • 用户事件的风险概率

    • 风险指示器的唯一标识 (UUID)

      排名前 10 的实体

按风险指示器排名前 10 位的实体中,单击实体以在 Citrix Analytics-实体详细信息仪表板上查看其详细信息

风险指标详情

单击 “ 风险指示器详细信息 ” 表的每一行可查看所选风险指示器的事件摘要、事件详细信息和原始事件。

风险指示器事件摘要部分中,单击 Citrix Analytics UI 链接,直接从 Splunk 转到 Citrix Analytics for Security 上的用户时间轴。在用户时间轴上,查看风险指示器、相关事件以及针对用户应用的任何操作。

有关事件摘要和事件详细信息的更多信息,请参阅 SIEM 的 Citrix Analytics 数据格式

活动摘要详情

实体详情

使用仪表板查看有关实体(用户或共享 ID)及其风险行为的详细信息。

要查看仪表板,请单击 Citrix Analytics-仪表板 > Citrix Analytics-实体详细信息

活动详情选择

查看报告

输入时间范围和实体(用户名或共享 ID),然后单击 提交 以查看详细信息。

或者,您也可以从以下仪表板中查看有关实体的详细信息:

  • Citrix Analytics-风险指示器详细信息上,转到 按风险指示器排名前 10 位的实体,然后单击一个实体。

    实体视图

  • Citrix Analytics-风险评分概述上,转到风 险用户,然后单击用户名。

    用户名选择

将显示以下详细信息:

  • 所选时间范围内的当前风险评分和风险评分时间表。

  • 风险指标的百分比分布。帮助您分析实体的危险活动模式。

  • 风险指标的地理分布。帮助您识别异常和高风险的位置。

  • 与风险活动相关的客户端 IP 详细信息。

  • 与风险活动相关的用户设备详细信息。

  • 风险指示器详细信息,例如关联的数据源、风险类别、风险严重程度等。

  • 使用情况指标,如应用程序使用情况、设备使用情况、访问的位置、共享的文件等。

    实体详细信息视图 1

    实体详细信息视图 2

将与风险活动关联的客户端 IP 和用户设备与从 Splunk 中连接的其他安全源收集的事件相关联。例如,单击 “客 户端 IP 详细信息 ” 表中的一行。

客户端 IP 详情

Citrix Analytics 事件关 联仪表板上,您可以查看与所选客户端 IP 关联的事件,这些事件与其他安全数据源(基于索引和源类型)相关联。这些事件可以更深入地了解与客户端 IP 相关的恶意活动。

事件关联仪表板

用户资料概述

使用控制面板查看与组织中的用户关联的事件量度。

要查看仪表板,请单击 Citrix Analytics-仪表板 > Citrix Analytics-用户配置文件概述

用户配置文件概述选

查看活动

选择时间范围并查看以下指标:

  • 用户使用的前 10 个应用程序

  • 用户使用的十大设备

  • 用户使用的前 10 个位置

  • 使用的 Web 和 SaaS 应用程序的数量

  • 使用的设备数量

  • 跨位置访问过的用户数量

  • 数据使用情况指标,例如上传、下载、共享的文件

这些指标可让您深入了解组织中的用户活动。您可以识别最重要的应用程序和设备、使用模式、不合规的设备和应用程序、异常位置、存在风险的访问以及异常的文件活动。

用户资料概述

收到的活动

使用控制板查看从 Citrix Analytics for Security 接收的事件。事件表示用户活动的类型。

要查看仪表板,请单击 Citrix Analytics-仪表板 > Citrix Analytics-已收到的事件

收到的事件选择

查看报告

选择一个时间范围以查看和比较收到的各种类型的事件。控制面板提供以下信息:

  • 收到的事件总数:它是从 Citrix Analytics for Security 接收的所有事件的汇总,其中包括以下内容:

    • 风险指示器事件总数:表示用户与触发的风险指示器关联的事件。

    • 总风险指示器详细信息事件:表示与触发的风险指示器的详细信息相关联的事件。

    • 总风险评分更改事件:表示与用户的风险评分更改关联的事件。

    • 用户配置文件风险评分事件总数:表示与用户的风险评分关联的事件。

    • 用户配置文件应用程序事件总数:表示与用户使用的应用程序相关联的事件。

    • 用户配置文件设备事件总数:表示与用户使用的设备相关联的事件。

    • 用户配置文件数据使用事件总数:表示与用户的数据使用情况相关联的事件。

    • 用户配置文件位置事件总数:表示与用户访问的位置相关联的事件。

      “收到的事件”

示例事件关联

使用控制板将从 Citrix Analytics for Security 接收的事件与从在 Splunk 中配置的其他安全数据源收集的事件关联起来。您可以更深入地了解从多个数据源收集的用户风险活动,查找事件之间的关系,并识别任何威胁。

要查看仪表板,请单击 SIEM 关联-示例仪表板 > Citrix Analytics 事件关联

事件关联选择

必备条件

要执行关联,请确保执行以下操作:

  • 您必须具有来自其他安全数据源的事件才能关联。例如,与从 Splunk 中配置的其他数据源接收的用户、设备和客户端 IP 地址相关联的事件。

  • 在配置过程中,您必须已经定义了相关索引。

关联事件

可以查看 Citrix Analytics for Security 检测到的风险最高的实体和风险最高的 IP 地址。要将这些事件与其他数据源(在索引和源类型中定义)关联起来,请单击表中的实体或 IP 地址。

风险最大的事件

查询字段中显示的索引值是在配置应用程序期间定义的。您可以根据需要将索引值更改为其他安全数据源。

来自其他数据源的事件

没有事件的故障排除

如果未在所有仪表板上找到任何事件,则可能是因为适用于 Splunk 的 Citrix Analytics 应用程序和适用于 Splunk 的 Citrix Analytics 附加组件中存在配置问题。在这种情况下,验证索引值和源类型值。确保应用程序和插件中的索引和源类型的值相同。

要查看适用于 Splunk 的 Citrix Analytics 应用程序的配置设置:

  1. 单击 应用 > 管理应用程序

    配置应用

  2. 从列表中找到适用于 Splunk 的 Citrix Analytics 应用程序。单击 设置

    设置

  3. 检查源类型和索引。

    来源类型

要查看适用于 Splunk 的 Citrix Analytics 附加组件的配置设置:

  1. 单击 设置 > 数据输入

    数据输入

  2. 单击 Citrix Analytics 加载项

    选择添加

  3. 单击从中获取事件的租户。

  4. 选择 更多设置

    配置

  5. 检查源类型和索引。

    来源类型

有关配置的更多信息,请参阅 为 Splunk 配置 Citrix Analytics 加载项

Splunk 中的 Citrix Analytics 仪表板