Citrix Analytics for Security

用户仪表板

仪表板是进入用户行为分析和威胁防护的起点。

此仪表板提供了对整个组织中用户行为模式的可见性。使用这些数据,您可以主动监控、检测和标记超出常规范的行为,例如网络钓鱼或勒索软件攻击。

“用户” 仪表板包含以下部分:

  • 发现的用户。组织中使用已启用 Analytics 的数据源的用户总数。

  • 有风险的用户。以危险方式行事或表现出危险行为的用户。具有最高风险评分和与其帐户关联的风险指示器出现次数的风险用户列表。

  • 高风险用户。对组织构成直接威胁的用户。

  • 中等风险用户。帐户中可能存在多次严重违规行为的用户,必须密切监视。

  • 低风险用户。在其帐户中检测到一些违规行为但可能不是威胁的用户。

  • 非风险用户。没有在其帐户中检测到任何活动违规的用户。在选定的时间段内,这些用户不会被视为威胁。

  • 监视列表中的用户。用户受到管理员的密切监视。

  • 特权用户。可以查看组织中敏感数据和修改关键系统设置的用户。

  • 风险指标。显示组织中排名前五的风险指示器。

  • 访问摘要。汇总用户尝试访问组织内资源的总次数。

  • 政策和行动。显示应用于用户配置文件的前五个策略和操作。

  • 风险类别。显示 Citrix Analytics 支持的风险类别。具有类似行为模式的风险指标分为几类。

发现的用户

组织中使用已启用 Analytics 的数据源的用户总数。他们的帐户可能有也可能没有关联的风险评分。在 “用户” 控制面板上发现的用 数可能超过了存在风险的用户数量。

单击仪表板上的 “发现的用户” 链接可查看显示 Citrix Analytics 发现的用户的完整列表的 “用户” 页面。 “用 ” 页面还显示数据源、风险评分以及与发现的用户相关联的风险指示器出现次数。

发现的用户

注意

在 “ 用户 ” 控制板和 “ 用户 ” 页面上,无论选定的时间段如何,都会显示最近 13 个月内发现的用户数。选择时间段时,风险指示器的出现情况会根据所选时间而变化。

发现的用户部分

查看以下信息:

Facets

根据以下类别筛选用户事件:

  • 风险评分:基于高风险、中风险、低风险和零风险评分的用户事件。

  • 用户: 基于管理员权限、执行权限和监视列表用户的用户事件。

  • 发现的数据源:基于您已载入的数据源的用户事件。

  • Workspace 应用程序状态:用户设备上使用的 Citrix Workspace 应用程序版本的支持性状态。

    注意

    Workspace 应用程序的状态取决于从 Citrix Director 接收到的用户事件。要查看状态,必须将 Citrix Analytics 连接到 Citrix Director。否则,所有 Citrix Virtual Apps and Desktops 用户的状态都将显示为不活动

    使用以下标签识别状态:

    • 支持:Citrix Workspace 应用程序版本受 Citrix Analytics 支持,并且会从应用程序接收用户事件。

    • 部分受支持:支持Citrix Workspace 应用程序版本,但不会从该应用程序接收到用户事件。要识别问题并进行故障排除,请参阅 故障排除指南

    • 不支持:Citrix Workspace 应用程序版本不受支持,也不会从该应用程序接收到任何用户事件。用户必须将 Citrix Workspace 应用程序更新到受支持的版本。有关受支持版本的列表,请参阅 支持的客户端

    • 不可用 (NA):用户未使用 Citrix Virtual Apps and Desktops 数据源。他们可能正在使用不同的数据源,例如 Content Collaboration、访问控制和网关。

    • 不活动:在过去一周内,用户的 Citrix Virtual Apps and Desktops 中没有任何活动会话。因此,不会从用户那里收到任何事件。

    在过去的一周内,如果用户将 Citrix Workspace 应用程序更新为四个不同的版本(例如:xx、xy、yx 和 yy),则工具提示将显示四个不同的版本。状态将根据以下情况而变化。

    场景 Workspace 应用状态
    当所有四个版本(xx、xy、yx 和 yy)都受支持时。 支持
    在这四个版本中,至少有一个版本 (xx) 不受支持,其余版本(xy、yx 和 yy)受支持。 不受支持
    在这四个版本中,至少有一个版本 (xx) 受到部分支持,其余版本(xy、yx 和 yy)受支持。 部分支持
    在这四个版本中,(xx) 版本不受支持,(yx) 版本受部分支持,其余两个版本(yx、yy)受支持。 不受支持

    注意

    “不支持” 状态优先于 “受支持” 状态和 “部分支持” 状态。

搜索框

使用搜索框搜索用户的事件。您可以在查询中使用运算符来缩小搜索范围。有关可在查询中使用的有效运算符的信息,请参阅 自助搜索

得分

风险评分决定了用户在特定时间段内对组织构成的风险级别。风险评分值是动态的,根据用户行为分析的不同而有所不同。根据风险评分,用户可以属于以下类别之一:高风险用户、中风险用户、低风险用户和零风险评分用户。

用户

Analytics 发现的所有用户的列表。选择用户名以查看用户的用户信息和风险时间表。用户可能触发或可能未触发任何风险指示器。如果没有与此用户关联的危险事件,您将看到以下消息。

没有危险的事件

如果存在与用户相关的风险事件,您将在风险时间表上看到风险指标。选择用户以查看其 风险时间表

用户可以被标记为 特权 并添加到 监视列表中。

风险指示器出现

为用户触发风险指示器的次数。风险指示器可以是 默认 的或 自定义的。当您选择时间段时,风险指示器的出现次数会根据所选时间而变化。

已发现的数据源

与用户关联的数据源。当用户主动使用数据源时,Analytics 会从该数据源接收用户事件。要接收用户事件,必须在 “数据源” 页面上提供的数据源站点卡片上打开 数据 处理。

有风险的用户

有风险的用户是已发现的具有关联风险事件并且至少触发了一个风险指示器的用户。用户在特定时间段内对网络构成的风险级别取决于与用户相关的风险评分。风险评分值是动态的,基于用户行为分析。根据风险评分,有风险的用户可以分为三类之一:高风险用户、中风险用户或低风险用户。

风险用户窗格中,您可以根据最高分或最高风险指标出现情况对前五位风险用户进行排序。

  • 选择 最高分 可以根据最高风险分数查看前五名风险用户。

  • 选择 风险指示器 以查看具有最大发生次数的前五个风险指标。

风险的用户链接

单击顶部的 “ 风险用户 ” 链接或 “风 险用户 ” 窗格中的 “查 看更多 ” 链接以查看 “ 用户 ” 页面。此页面显示所有有风险的用户及其风险指示器。您可以使用 facets 和搜索栏根据自己的要求过滤事件。

注意

在 “ 用户 ” 控制面板和 “ 用户 ” 页面上,无论选定的时间段如何,都会显示过去 13 个月的风险用户数。选择时间段时,风险指示器的出现情况会根据所选时间而变化。

风险用户仪表板

高风险用户

风险评分在 90 到 100 之间的用户。这些用户对组织构成了直接威胁。

在 “用 ” 控制面板上,您可以查看过去 13 个月的高风险用户数量。例如,下图显示了过去 13 个月中的五个高风险用户。

高风险用户

单击 “ 高风险用户 ” 磁贴以查看 “用 ” 页面。该页面显示有关高风险用户的详细信息,例如风险评分、风险指示器出现次数及其数据源。当您选择时间段时,风险指示器的出现次数会根据所选时间而变化。

了解更多: 有风险的用户

中等风险用户

风险评分在 70 到 89 之间的用户。这些用户的帐户可能存在多个严重违规行为,必须密切监视。

在 “用 ” 控制面板上,您可以查看过去 13 个月中风险用户的数量。例如,下图显示了过去 13 个月中的 8 个中等风险用户。

中等风险用户

单击 “中 等风险用户 ” 磁贴以查看 “用 ” 页面。该页面显示有关中等风险用户的详细信息,例如风险评分、风险指示器出现次数及其数据源。当您选择时间段时,风险指示器的出现次数会根据所选时间而变化。

了解更多: 有风险的用户

低风险用户

风险评分在 1 到 69 之间的用户。这些用户的帐户中可能检测到一些违规行为。它们还可以包括以前是高风险或中等风险用户的用户。这些用户已在预先确定的时间段内进行了重新评估。

在 “用 ” 控制面板上,您可以查看过去 13 个月的低风险用户数量。例如,下图显示了过去 13 个月中有 147 个低风险用户。

低风险用户

单击 “ 低风险用户 ” 磁贴以查看 “用 ” 页面。该页面显示有关低风险用户的详细信息,例如风险评分、风险指示器出现次数及其数据源。当您选择时间段时,风险指示器的出现次数会根据所选时间而变化。

了解更多: 有风险的用户

非风险用户

零风险评分的用户。在所选时间段内,这些用户的帐户中未检测到任何活动违规行为。

非风险用户

单击 非风险用户 磁贴以查看用 页面。该页面显示选定了零风险评分的用户及其数据源。在选定的时间段内,尽管风险评分为零,但这些非风险用户的风险指示器事件可能与他们相关联。

监视列表中的用户

密切监视潜在威胁的用户列表。例如,您可以通过将这些用户添加到监视列表来监视组织内不是全职员工的用户。您还可以监控频繁触发特定风险指示器的用户。您可以手动将用户添加到监视列表,也可以定义将用户添加到监视列表的 策略

如果没有用户添加到监视列表,您将在 “ 用户 ” 仪表板上看到以下屏幕。

监视列表中没有用户

如果您已将用户添加到监视列表中,则可以在 “ 用户 ” 控制面板上根据最高分查看监视列表中排名前五的用户。

监视列表中的用户仪表板用户

单击 “监视 列表中的用户 ” 磁贴或 “监视 列表中的用户” 窗格中 的 “查 看更多 ” 链接以查看 “ 用户 ” 页面。该页面显示监视列表中所有用户的列表。

注意

在 “ 用户 ” 控制面板和 “ 用户 ” 页面上,无论选定的时间段如何,监视列表中的用户数都会显示最近 13 个月的用户数。选择时间段时,风险指示器的出现情况会根据所选时间而变化。

了解更多:关 注列表

特权用户

特权用户是指对组织中的敏感数据和系统设置具有合法访问权限的员工。由于特权用户的特权,他们的恶意行为通常与他们的日常活动无法区分开来。因此,特权用户的操作长期以来一直未被检测到。此类行动使组织面临各种各样的风险。为了克服这一挑战,Citrix Analytics 提供了特权用户监控功能。此功能使您能够密切监视组织中特权用户的行为异常情况。

在 “用 ” 控制面板上,您可以根据最高风险评分查看前五名特权用户。特权用户分为管理员和管理人员。

  • 管理员。对产品或服务具有管理员权限的用户。例如,在 Content Collaboration 服务中将用户权限提升为管理员时,此信息将显示在 “ 用户 ” 页面上。然后,您可以监视管理员用户的活动。

    考虑在 Content Collaboration 服务中被分配了管理员权限的用户 Maria Brown。Maria 开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。文件或文件夹删除过多 风险指示器将添加到用户的风险时间表中。Citrix Analytics 可帮助您将此风险指示器与 “ 用户 ” 页面上的可用信息进行比较。您可以决定是否在 Content Collaboration 中为用户分配管理员权限后触发风险指示器。如果是,则可以对特权用户的配置文件采取适当的操作。

  • 管理人员。用户,最好来自组织的高层管理人员。在 “用 ” 页面上,您可以添加或删除作为执行用户的用户。有关说明,请参阅 添加为特权用户 和以特 权用户身份删除 部分。

    考虑一下您已将用户添加为特权用户的情况。用户开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。文件或文件夹删除过多 风险指示器将添加到用户的风险时间表中。Citrix Analytics 可帮助您将风险指示器与 用户 页面上的信息进行比较。比较信息时,可以确定风险指示器是否在用户被标记为执行用户后触发。如果是,则可以对用户的个人资料采取适当的操作。

用户仪表板特权用户

单击顶部的 “特权用户” 链接或 “特用户” 窗格中的 “查看更多” 链接以查看 “用户” 页面,该页面显示具有管理员和高管的特权用户以及最新的风险指示器详细信息。 特权用户在 USER 列中用 一个图标表示。

注意

在 “ 用户 ” 控制板和 “ 用户 ” 页面上,无论选定的时间段如何,都会显示过去 13 个月的特权用户数。选择时间段时,风险指示器的出现情况会根据所选时间而变化。

以特权用户身份添加

  1. 在 “用 ” 页上,导航到 “ 所有用户 ” 表格,然后选择要添加为执行用户的用户。

  2. 单击 标记为特权

特权用户

以特权用户身份删除

  1. 在 “用 ” 页上,导航到 “ 所有用户 ” 表格,然后选择要作为执行用户删除的用户。

  2. 单击 “ 从特权中删除”。

特权用户

风险指标

总结了选定时间段内的前五个风险指标。风险指示器可以是 默认 的或 自定义的。对于默认风险指示器,Citrix Analytics 会从已发现的数据源中收集数据,并启用了数据处理功能。

对于自定义风险指示器,Citrix Analytics 会根据生成的风险事件从以下数据源收集数据:

  • Citrix 访问控制
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

在 “ 风险指示器 ” 窗格中,您可以查看前五个风险指示器,并根据总发生次数或严重程度对它们进行排序。

风险指标仪表板

单击 风险指 示器窗格上的查 看更多 以查看 风险指示器概述 页面。

风险指标概述 页面提供了对默认和自定义风险指标的见解。选择时间段以查看风险指示器及其出现次数。

风险指标概述

单击 名称 列上的风险指示器可查看有关风险指示器的详细信息,例如时间轴视图、用户、事件和触发时间。或者,您可以单击 “风险指标” 控制面板上的 风险指 示器以查看其详细信息。下图显示了对敏感文件的过度访问(DLP 警报)的详细信息。

DLP 警报详细信息

访问摘要

此控制面板汇总了选定时间段内的所有网关访问事件。它显示了通过 Citrix Gateway 的总访问次数、成功访问次数和失败访问次数。

单击图表上的指针可查看 “ 网关的自助搜索 ” 页。对于成功的登录方案,网关访问事件按页面上的状态代码进行排序。

访问摘要仪表板

策略和操作

显示在选定时间段内应用于用户配置文件的前五个策略和操作。单击 策略和操作 窗格上的 查看更多 链接以获取有关策略和操作的详细信息。

策略和行动控制板

热门政策

前五个已配置的策略是根据出现次数确定的。当您在控制面板的 “ 顶级政策 ” 部分并选择 “ 查看更多” 时,您将被重定向到 “ 所有策略 ” 页面。

策略和行动控制板

所有政策

本页提供有关所有已配置策略的详细信息。当您选择任何策略时,您将被重定向到 自助搜索策 略页面。在左窗格中,您可以根据应用的操作进行筛选。

选择用户名后,系统会将您重定向到风险时间表。基于策略的操作将添加到用户的风险时间表中。选择操作时,其详细信息将显示在风险时间轴的右窗格中。

热门动作

与应用于用户配置文件的策略相关联的前五个操作。此部分不显示您在用户配置文件上手动应用的操作。顶级操作取决于发生次数。

单击查 看更多 以查看 “操作” 页面上的所有基于策略的 操作

操作

该页面提供了在选定时间段内对用户应用的所有基于策略的操作的列表。您可以查看以下信息:

  • 根据策略应用的操作的名称

  • 已应用操作的用户数

  • 操作发生的次数

  • 与操作关联的策略数

  • 应用操作的日期和时间

策略和行动控制板

单击某个操作以查看所有关联的策略。这些策略根据发生次数进行排序。例如,在 “ 作” 页面上单击 “ 请求用户响应 ”。“ 所有策略 ” 页面显示与 “ 请求用户响应 ” 操作关联的所有策略。

策略和行动控制板

所有策 略页面上,单击策略以查看已应用该操作的用户事件。

风险类别

此控制面板提供组织在选定时间段内的风险敞口级别的汇总视图。风险指标根据相似的风险分为已知类别。默认和自定义风险指标支持风险分类。

风险类别仪表板

风险类别控制板的目的是使 Citrix Virtual Apps and Desktops 管理员能够管理用户风险,并简化与安全同行的讨论,而无需具备专家级的安全知识。它允许安全实施在组织级别生效,而不仅限于安全管理员。

用例

假设您是 Citrix Virtual Apps and Desktops 管理员,并且管理组织中员工的应用程序访问权限。如果转到 “ 风险类别 ” > “ 受感染的用户 ” > “ 身份验证失败过多-Citrix Gateway 风险指示器” 部分,则可以评估您授予访问权限的员工是否受到威胁。如果您进一步浏览,则可以更准确地了解此风险指示器,例如失败原因、登录位置、时间轴详细信息和用户摘要。如果您发现被授予访问权限的用户与受到攻击的用户之间存在任何差异,则可以通知安全管理员。这种及时向安全管理员发出的通知有助于在组织层面强制实施安全性。

风险类别用例

如何分析 “风险类别” 控制面板

当您在 “ 风险类别 ” 控制面板上选择 “ 查看更多 ” 时,您将被重定向到汇总风险类别详细信息的页面。此页面包含以下详细信息:

  • 风险类别报告:表示在选定时间段内每个类别的总风险指示器出现次数。

    风险类别页面

  • 间轴详细信息:提供选定时间段内每个风险类别的总风险指示器出现次数的图形表示。如果您导航到本部分的底部,则可以根据风险类别进行排序,以获得有关风险指标的更准确的见解。

    风险类别页面

  • 风险类别摘要:本部分提供与每个类别相关的风险指示器的影响、发生次数和严重程度等详细信息。选择任何风险类别以查看与该类别关联的风险指示器的详细信息。例如,当您选择 “ 受感染的用户 ” 类别时,您将被重定向到 “ 受感染的用户 ” 页面。

    风险类别页面

感染的用户 页面显示以下详细信息:

  • 风险指示器报告:显示在选定时间段内属于 “受感染用户” 类别的风险指示器。它还显示在选定时间段内触发的风险指示器的总出现次数。

    受损的用户页面

  • 间轴详细信息:提供在选定时间段内出现的风险指示器的图形表示。

    受损的用户页面

  • 风险指示器摘要:显示在 “受感染用户” 类别下生成的风险指示器的摘要。此部分还显示严重性、数据源、风险指示器类型、发生次数和最后一次出现的情况。

    受损的用户页面

当您选择风险指示器时,您将被重定向到汇总该指标详细信息的页面。例如,如果选择 首次从新设备访问 风险指示器,则会重定向到汇总此指示器详细信息的页面。摘要包括有关此事件发生次数的时间表详细信息以及列出触发此风险指示器的用户、风险指示器发生次数和事件发生时间的用户摘要。选择用户时,系统会将您重定向到该用户的风险时间表。

受损的用户页面

注意

Citrix Analytics 将默认风险指示器分组在适当的风险类别下。对于自定义风险指标,您必须在 创建指 标页面上选择风险类别。有关更多信息,请参阅 自定义风险指标

风险类别的类型

数据泄露

此类别将由恶意软件或员工触发的风险指示器进行组织中的设备进行未经授权的数据传输或数据盗窃。您可以深入了解在指定时间段内发生的所有数据泄露活动,并通过主动对用户配置文件应用操作来降低与此类别相关的风险。

数据泄露风险类别将以下风险指标组合在一起:

数据源 用户风险指标
Citrix Virtual Apps and Desktops 潜在的数据泄露
Citrix Content Collaboration 过度访问敏感文件
Citrix Content Collaboration 过多的文件共享
Citrix 访问控制 不寻常的上传量

内幕威胁

此类别对组织内员工触发的风险指示器进行分组。由于员工对公司特定应用程序的访问级别更高,因此组织面临安全风险的可能性更高。危险活动可能是由恶意内部人员故意造成的,也可能是人为错误造成的。在这两种情况下,对组织的安全影响都是破坏性的。此类别提供了在指定时间段内发生的所有内部威胁活动的见解。借助这些见解,您可以通过主动对用户个人资料应用操作来降低与此类别相关的风险。

内幕威胁风险类别将以下风险指标组合在一起:

数据源 用户风险指标
Citrix Content Collaboration 删除过多的文件或文件夹
Citrix Content Collaboration 文件上载过多
Citrix 访问控制 数据下载过多
Citrix 访问控制 尝试访问列入黑名单的 URL
Citrix 访问控制 网站访问风险

受影响的用户

此类别将风险指示器分组,其中用户显示异常行为模式,例如可疑登录、登录失败。或者,异常模式可能是由于用户帐户遭到入侵造成的。您可以深入了解在指定时间段内发生的所有受感染用户事件,并通过主动对用户个人资料应用操作来降低与此类别相关的风险。

受感染的用户风险类别将以下风险指标组合在一起:

数据源 用户风险指标
Citrix Content Collaboration 从不寻常的位置访问
Citrix Content Collaboration 异常的验证失败
Citrix Content Collaboration 怀疑勒索软件活动
Citrix Content Collaboration 文件下载过多
Citrix Gateway 从可疑 IP 登录
Citrix Gateway 验证失败过多
Citrix Gateway 授权失败过多
Citrix Gateway 从不寻常的位置访问
Microsoft Graph 安全 Azure AD 身份保护风险指示器
Microsoft Graph 安全 微软 Defender 的端点风险指标

受损的端点

此类别将当设备表现出可能表明存在危险的不安全行为时触发的风险指示器进行分组。

受损端点风险类别将以下风险指标组合在一起:

数据源 用户风险指标
Citrix Gateway 端点分析 (EPA) 扫描失败
Citrix Endpoint Management 检测到非受管设备
Citrix Endpoint Management 检测到越狱或获得 Root 权限的设备
Citrix Endpoint Management 检测到已列入黑名单的应用
用户仪表板