用户仪表板
概述
用户仪表板是用户行为分析和威胁预防的起点。
此仪表板可让您全面了解组织中的用户行为模式。利用这些数据,您可以主动监控、检测并标记超出常规的行为,例如网络钓鱼或勒索软件攻击。
要查看“用户”仪表板,请转至安全 > 用户。 “用户”仪表板包含以下部分:
-
用户活动状态:总用户、活跃用户和非活跃用户的分布。
-
用户风险分布:活跃用户、非活跃用户、总用户的分布,以及根据所选时间段内计算出的最高风险评分,将风险用户分为高、中、低风险配置文件。
-
热门用户:热门用户按其风险评分排序,并按所有用户、特权用户和观察列表用户进行细分。
-
风险类别:显示 Citrix Analytics 支持的风险类别。具有相似行为模式的风险指示器被分组到类别中。
-
风险指示器和操作:在选定持续时间内,组织中所有用户的风险指示器和操作的分布图。
-
访问摘要:总结用户尝试访问组织内资源的尝试总次数。
-
策略和操作:显示应用于用户配置文件的前五项策略和操作。
-
风险指示器:显示组织中的前五项风险指示器。
用户活动状态
组织中使用已启用 Analytics 的数据源的用户总数。他们可能具有也可能不具有与其帐户关联的风险评分。此磁贴显示活跃用户的数量。活跃用户是指在选定时间段内检测到事件的用户。您可以单击“用户活动状态”下拉菜单,查看总用户在活跃用户和非活跃用户之间的分布。
- 总用户:在选定时间段内的用户总数。
- 活跃用户:在选定时间段内检测到事件的用户。
- 非活跃用户:在选定时间段内未检测到事件的用户。
用户仪表板上的用户总数可能多于风险用户数,因为并非所有用户都预期存在风险。
注意
在用户页面上,无论选择的时间段如何,都将显示过去 30 天的用户总数。
方面
根据以下类别筛选用户事件:
-
风险评分:基于高风险、中风险、低风险和零风险评分的用户事件。
-
用户:基于管理员特权、执行特权和观察列表用户的用户事件。
-
发现的数据源:基于已载入的数据源的用户事件。
搜索框
使用搜索框搜索用户的事件。您可以在查询中使用运算符来缩小搜索范围。有关可在查询中使用的有效运算符的信息,请参阅自助搜索。
最新评分
风险评分决定了用户在特定时间段内对组织构成的风险级别。风险评分值是动态的,并根据用户行为分析而变化。根据最新风险评分,用户可分为以下类别之一:高风险用户、中风险用户、低风险用户和零风险评分用户。
用户
Analytics 发现的所有用户列表。选择一个用户名可查看该用户的用户信息和风险时间线。该用户可能已触发或未触发任何风险指示器。如果此用户没有关联的风险事件,您将看到以下消息。
如果用户存在关联的风险事件,您将在其风险时间线上看到风险指示器。选择该用户可查看其风险时间线。
用户可以标记为 privileged 并添加到观察列表。
发现的数据源
与用户关联的数据源。当用户主动使用数据源时,Analytics 会从该数据源接收用户事件。要接收用户事件,您必须在数据源页面上可用的数据源站点卡上启用数据处理。
触发的指示器
指示在选定持续时间内跨用户触发的风险指示器数量。单击触发的指示器磁贴可查看风险指示器详细信息。风险指示器表提供以下详细信息:
- 名称:风险指示器名称。
- 严重性:与事件关联的风险严重性。风险可以是高、中或低。
- 数据源:应用风险指示器模板的数据源。
- 类型:风险指示器类型。风险指示器可以是默认或自定义的。
- 发生次数:风险指示器为用户触发的次数。当您选择时间段时,风险指示器发生次数会根据时间选择而变化。
- 上次发生时间:显示上次发生日期和时间。
应用的操作
指示在选定持续时间内跨用户应用的操作数量。这包括管理员手动应用的操作和策略驱动的操作。单击应用的操作磁贴可查看操作详细信息。此部分不显示您手动应用于用户配置文件的操作。
操作表提供以下信息:
- 操作:根据策略应用的操作名称。
- 用户:已应用操作的用户数量。
- 发生次数:操作的发生次数。
- 日期和时间:应用操作的日期和时间。
已处理的事件
从连接的数据源接收并由 Analytics 处理的用户事件总数。
用户风险分布
您可以根据所选时间段内计算出的最高风险评分,查看高、中、低风险配置文件中的用户数量。在总计数下方,条形图显示了低、中和高风险用户分布随时间的变化。
风险级别分为三种颜色代码。
- 红色 - 表示高风险用户。
- 橙色 – 表示中风险用户。
- 灰色 – 表示低风险用户。
将鼠标悬停在颜色条上,您可以根据特定时间段查看风险用户(高、中和低)的数量。您可以查看上次更新的详细信息(日期和时间)以及数据间隔信息。单击任何颜色条可查看该持续时间内的风险用户。单击刷新选项可获取更新的数据。
风险用户
风险用户是指具有关联风险事件并已触发至少一个风险指示器的用户。用户在特定时间段内对网络构成的风险级别由与用户关联的风险评分决定。风险评分值是动态的,并基于用户行为分析。
每个用户的风险会根据用户活动随时间定期更新。因此,用户在某个时间点可能是中风险或高风险,但随后会降至较低的风险级别。根据风险评分,风险用户可分为以下类别之一:
在风险用户页面上,您可以使用方面根据与选定时间段关联的风险级别进行筛选,并使用搜索栏查询特定用户。
单击用户的电子邮件 ID 可查看该特定选定用户的风险时间线页面。此页面显示风险指示器以及基于选定时间段的最新和最高风险评分详细信息。
高风险
风险评分介于 90 到 100 之间的用户。这些用户表现出与中度到重度风险因素一致的多种行为,可能对组织构成直接威胁。
在用户仪表板上,您可以根据所选时间段内计算出的最高风险评分查看高风险用户的数量。
单击高风险选项可查看风险用户页面。该页面显示有关高风险用户的详细信息。
中风险
风险评分介于 70 到 89 之间的用户。这些用户通常具有一项或多项可能可疑和/或异常的活动,可能值得密切监控。
单击中风险选项可查看风险用户页面。该页面显示有关中风险用户的详细信息。
低风险
风险评分介于 1 到 69 之间的用户。这些用户至少有一个风险指示器反映了一些不寻常或意外的行为,但不足以构成更严重的风险分类。
单击低风险选项可查看风险用户页面。该页面显示有关低风险用户的详细信息。
热门用户
您可以查看按所选时间段内最高风险评分排序的各种用户类别中的热门用户。以下热门用户表显示了根据所选时间段内计算出的风险评分(而非最新风险评分)排名前五的最高风险用户(所有用户、特权用户和观察列表用户)。
注意
在早期版本中,“热门用户”表始终显示最新风险评分,无论选择的时间段如何。
观察列表用户
密切监控以防潜在威胁的用户列表。例如,您可以通过将非组织全职员工添加到观察列表来监控这些用户。您还可以监控频繁触发特定风险指示器的用户。您可以手动将用户添加到观察列表,也可以定义策略以将用户添加到观察列表。
如果您已将用户添加到观察列表,则可以根据最高评分查看观察列表中的前五名用户。
单击所有用户窗格上的查看更多链接可查看用户页面。该页面显示观察列表中的所有用户。
注意
在用户仪表板和用户页面上,无论选择的时间段如何,都将显示过去 13 个月内观察列表中的用户数量。当您选择时间段时,风险指示器发生次数会根据时间选择而变化。
了解更多:观察列表
风险类别
风险类别圆环图总结了在选定时间段内按风险类别划分的指示器发生次数。将鼠标悬停在每个图表段上会显示唯一用户计数,这反过来又链接到相应的风险指示器类别概述页面。默认和自定义风险指示器都支持风险分类。
风险类别仪表板的目的是使 Citrix Virtual Apps and Desktops 和 Citrix DaaS 管理员能够管理用户风险,并与他们的安全同行进行简化讨论,而无需具备专家级的安全知识。它允许安全强制措施在组织层面生效,并且不限于安全管理员。
用例
假设您是 Citrix Virtual Apps and Desktops 管理员,并且您管理组织中员工的应用程序访问权限。如果您转到风险类别 > 受感染用户 > 身份验证失败过多 - Citrix Gateway 风险指示器部分,您可以评估您已授予访问权限的员工是否已受到感染。如果您进一步导航,您可以获得有关此风险指示器的更准确的见解,例如失败原因、登录位置、时间线详细信息和用户摘要。如果您发现已授予访问权限的用户与受感染用户之间存在任何差异,您可以通知安全管理员。这种及时通知安全管理员有助于在组织层面强制执行安全。
如何分析风险类别仪表板
当您在风险类别仪表板上选择查看更多时,您将被重定向到总结风险类别详细信息的页面。此页面包含以下详细信息:
-
风险类别报告:表示在选定时间段内每个类别的风险指示器总发生次数。
-
时间线详细信息:提供在选定时间段内每个风险类别的风险指示器总发生次数的图形表示。如果您导航到此部分的底部,您可以根据风险类别进行排序,以获取有关风险指示器的更准确的见解。
-
风险类别摘要:此部分提供有关与每个类别关联的风险指示器的影响、发生次数和严重性等详细信息。选择任何风险类别可查看与该类别关联的风险指示器的详细信息。例如,当您选择受感染用户类别时,您将被重定向到受感染用户页面。
受感染用户页面显示以下详细信息:
-
风险指示器报告:显示在选定时间段内属于“受感染用户”类别的风险指示器。它还显示在选定时间段内触发的风险指示器的总发生次数。
-
时间线详细信息:提供在选定时间段内风险指示器发生次数的图形表示。
-
风险指示器摘要:显示在受感染用户类别下生成的风险指示器的摘要。此部分还显示严重性、数据源、风险指示器类型、发生次数和上次发生时间。
当您选择一个风险指示器时,您将被重定向到总结该指示器详细信息的页面。例如,如果您选择首次从新设备访问风险指示器,您将被重定向到总结此指示器详细信息的页面。摘要包括有关此事件发生的时间线详细信息以及列出触发此风险指示器的用户、风险指示器发生次数和事件时间的用户摘要。当您选择一个用户时,您将被重定向到该用户的风险时间线。
注意
Citrix Analytics 将默认风险指示器分组到适当的风险类别下。对于自定义风险指示器,您必须在创建指示器页面上选择一个风险类别。有关更多信息,请参阅自定义风险指示器。
风险类别类型
数据泄露
此类别将由恶意软件或由在组织中执行未经授权的数据传输或数据盗窃(到设备或从设备)的员工触发的风险指示器分组。您可以深入了解在指定时间段内发生的所有数据泄露活动,并通过主动对用户配置文件应用操作来缓解与此类别相关的风险。
数据泄露风险类别将以下风险指示器分组:
| 数据源 | 用户风险指示器 |
|---|---|
| Citrix Virtual Apps and Desktops 和 Citrix DaaS | 潜在数据泄露 |
内部威胁
此类别将由组织内员工触发的风险指示器分组。由于员工对公司特定应用程序具有更高级别的访问权限,因此组织面临更高的安全风险。风险活动可能是由恶意内部人员故意造成的,也可能是人为错误的结果。在任何一种情况下,对组织的安全影响都是破坏性的。此类别提供了对在指定时间段内发生的所有内部威胁活动的见解。借助这些见解,您可以通过主动对用户配置文件应用操作来缓解与此类别相关的风险。
内部威胁风险类别将以下风险指示器分组:
| 数据源 | 用户风险指示器 |
|---|---|
| Citrix Secure Private Access™ | 尝试访问黑名单 URL |
| Citrix Secure Private Access | 数据下载过多 |
| Citrix Secure Private Access | 风险网站访问 |
| Citrix Secure Private Access | 异常上传量 |
受感染用户
此类别将用户显示异常行为模式(例如可疑登录和登录失败)的风险指示器分组。或者,异常模式可能是用户帐户受到感染的结果。您可以深入了解在指定时间段内发生的所有受感染用户事件,并通过主动对用户配置文件应用操作来缓解与此类别相关的风险。
受感染用户风险类别将以下风险指示器分组:
| 数据源 | 用户风险指示器 |
|---|---|
| Citrix Gateway | 端点分析扫描失败 |
| Citrix Gateway | 身份验证失败过多 |
| Citrix Gateway | 不可能行程 |
| Citrix Gateway | 从可疑 IP 登录 |
| Citrix Gateway | 异常身份验证失败 |
| Citrix Virtual Apps and Desktops 和 Citrix DaaS | 可疑登录 |
| Citrix Virtual Apps and Desktops 和 Citrix DaaS | 不可能行程 |
| Microsoft Graph Security | Azure AD Identity Protection 风险指示器 |
| Microsoft Graph Security | Microsoft Defender for Endpoint 风险指示器 |
受感染的端点
此类别将设备表现出不安全行为(可能表明受到感染)时触发的风险指示器分组。
受感染的端点风险类别将以下风险指示器分组:
| 数据源 | 用户风险指示器 |
|---|---|
| Citrix Endpoint Management™ | 检测到非托管设备 |
| Citrix Endpoint Management | 检测到越狱或已 Root 的设备 |
| Citrix Endpoint Management | 检测到具有黑名单应用程序的设备 |
风险指示器和操作
您可以查看在选定时间段内为用户触发的风险指示器和应用的操作。新的风险指示器和操作条形图提供了指示器、操作和事件详细信息随时间变化的计数,其中总体时间范围和条形间隔源自选定时间段。
单击指示器或操作的条形段会分别显示每个指示器或操作的计数钻取可视化。
在指示器钻取中,单击单个指示器条形图会转到相应的风险指示器页面,以显示选定时间段的数据。
访问摘要
此仪表板总结了选定时间段内的所有 Gateway 访问事件。它显示了通过 Citrix Gateway 的总访问次数、成功访问次数和失败访问次数。
单击图表上的指针可查看Gateway 自助搜索页面。对于成功的登录场景,Gateway 访问事件按页面上的状态代码排序。
策略和操作
显示在选定时间段内应用于用户配置文件的前五项策略和操作。单击策略和操作窗格上的查看更多链接可获取有关策略和操作的详细信息。
热门策略
前五项配置的策略是根据发生次数确定的。当您在仪表板的热门策略部分并选择查看更多时,您将被重定向到所有策略页面。
所有策略
此页面提供有关所有已配置策略的详细信息。当您选择任何策略时,您将被重定向到策略自助搜索页面。在左侧窗格中,您可以根据应用的操作进行筛选。
当您选择一个用户名时,您将被重定向到风险时间线。基于策略的操作将添加到用户的风险时间线。当您选择该操作时,其详细信息将显示在风险时间线的右侧窗格中。
热门操作
与应用于用户配置文件的策略关联的前五项操作。此部分不显示您手动应用于用户配置文件的操作。热门操作是根据发生次数确定的。
单击查看更多可在操作页面上查看所有基于策略的操作。
操作
该页面提供了在选定时间段内已应用于用户的所有基于策略的操作列表。您可以查看以下信息:
-
根据策略应用的操作名称
-
已应用操作的用户数量
-
操作的发生次数
-
与操作关联的策略数量
-
应用操作的日期和时间
单击一个操作可查看所有关联的策略。这些策略根据发生次数排序。例如,单击操作页面上的请求最终用户响应。所有策略页面显示与请求最终用户响应操作关联的所有策略。
在所有策略页面上,单击一个策略可查看已应用该操作的用户事件。
风险指示器
总结了选定时间段内的前五项风险指示器。风险指示器可以是默认的或自定义的。对于默认风险指示器,Citrix Analytics 从发现的数据源收集数据,并对这些数据源启用了数据处理。
对于自定义风险指示器,Citrix Analytics 根据生成的风险事件从以下数据源收集数据:
- Citrix Gateway
- Citrix Secure Private Access
- Citrix Virtual Apps and Desktops™
- Citrix DaaS (以前称为 Citrix Virtual Apps™ and Desktops service)
在风险指示器窗格上,您可以查看前五项风险指示器,并根据总发生次数或严重性对其进行排序。
单击风险指示器窗格上的查看更多可查看风险指示器概述页面。
