“用户”控制板

用户控制板是用户行为分析和威胁防范的启动点。

此控制板提供了对组织中用户行为模式的可见性。使用此数据,您可以主动监视、检测和标记不属于常规范范围的行为,例如网络钓鱼或勒索软件攻击。

“用户”控制板包含以下部分:

  • 发现的用户。组织中使用已启用 Analytics 的数据源的用户总数。

  • 有风险的用户。以风险方式行事或表现出危险行为的用户。与其账户相关的风险评分和风险指标发生率最高的风险用户列表。

  • 高风险用户。对组织构成直接威胁的用户。

  • 中风险用户。账户中可能存在多个严重违规行为的用户,必须密切监视。

  • 低风险用户。在其帐户中检测到某些违规行为但可能没有威胁的用户。

  • 播放列表中的用户。管理员密切监视用户。

  • 特权用户。可以在组织中查看敏感数据和修改关键系统设置的用户。

  • 风险指示器。显示组织中前五个风险指标。

  • 访问摘要。汇总了用户尝试访问组织内资源的总次数。

  • 策略和操作。显示应用于用户配置文件的前五个策略和操作。

  • 风险类别。显示 Citrix Analytics 支持的风险类别。具有类似行为模式的风险指示器分为几个类别.

发现的用户

组织中使用已启用 Analytics 的数据源的用户总数。他们可能有或可能没有与其账户相关的风险评分。“用户”控制板上发现的用 数可能超过风险用户数。

单击仪表板上的已发现的用户链接可查看用户页面,其中显示 Citrix Analytics 发现的用户的完整列表。用户页面还显示数据源、风险评分以及与发现的用户相关的风险指示器出现次数。

发现的用户

注意:

用户仪表板和用户页面上,无论选定的时间段如何,都会显示过去 13 个月内发现的用户数。选择时间段时,风险指示器的出现情况将根据时间选择而变化。

使用以下界面地图了解如何与用户页面进行交互。

发现的用户部分

查看以下信息:

方面

根据以下类别筛选用户事件:

  • 风险评分:基于高风险、中等风险和低风险评分的用户事件。

  • 用户: 基于管理员权限、执行权限和监视列表用户的用户事件。

  • 已发现的数据源:基于已加入的数据源的用户事件。

搜索框

使用搜索框搜索用户的事件。您可以在查询中使用运算符来缩小搜索重点。有关可在查询中使用的有效运算符的信息,请参阅 自助搜索

得分

风险评分决定了用户在特定时间段内对组织构成的风险级别。风险评分值是动态的,根据用户行为分析而有所不同。根据风险评分,用户可能属于以下三种类别之一:高风险用户、中风险用户或低风险用户。

用户

Analytics 发现的所有用户的列表。单击用户名可查看该用户的用户信息和风险时间表。用户可能触发或可能未触发任何风险指示器。如果没有与此用户关联的风险事件,您将看到以下消息。

没有风险的事件

如果存在与用户相关的风险事件,您将在风险时间表上看到风险指标。单击用户以查看他们的 风险时间表

用户可以被标记为 特权 并添加到 关注列表

风险指标发生

为用户触发风险指示器的次数。风险指标可以是 default自定义。选择时间段时,风险指示器出现情况将根据时间选择而变化。

发现的数据源

与用户关联的数据源。当用户主动使用数据源时,Analytics 会从该数据源接收用户事件。要接收用户事件,必须在数据源站点卡片上启用数据处理功能,该卡可在 “ 数据源 ” 页面上找到。

有风险的用户

风险用户是发现与风险事件相关并触发至少一个风险指示器的用户。用户在特定时间段内对网络构成的风险级别由与用户关联的风险评分决定。风险评分值是动态的,基于用户行为分析。根据风险评分,有风险的用户可能属于以下三种类别之一:高风险用户、中风险用户或低风险用户。

风险用户窗格中,您可以根据最高分或最高风险指标出现情况对前五位风险用户进行排序。

  • 单击最高分数以查看基于最高风险评分的前五位风险用户。

  • 单击风险指示器可查看具有最大发生率的前五个风险指标。

风险的用户链接

单击顶部的风险用户链接或风险用户窗格中的查看更多链接以查看用户页面。此页面显示所有有风险的用户及其风险指标。您可以使用平面和搜索栏根据自己的要求过滤事件。

注意:

用户仪表板和用户页面上,无论选定的时间段如何,都会显示过去 13 个月的风险用户数量。选择时间段时,风险指示器的出现情况将根据时间选择而变化。

风险“用户”控制板

高风险用户

风险评分在 90 到 100 之间的用户。这些用户对组织构成直接威胁。

用户控制面板上,您可以查看过去 13 个月的高风险用户数量。例如,下图显示了过去 13 个月中五个高风险用户。

高风险用户

单击该框可查看用户页面,该页面显示了有关高风险用户的详细信息,例如风险评分、风险指示器发生情况及其数据源。选择时间段时,风险指示器出现情况将根据时间选择而变化。

了解更多信息: 有风险的用户

中风险用户

风险评分在 70 到 89 之间的用户。这些用户的帐户可能存在多个严重违规行为,必须密切监视。

用户控制面板上,您可以查看过去 13 个月中风险用户的数量。例如,下图显示了过去 13 个月中有 8 个中度风险用户。

中风险用户

单击该框可查看用户页面,该页面显示了有关中等风险用户的详细信息,例如风险评分、风险指示器发生情况及其数据源。选择时间段时,风险指示器出现情况将根据时间选择而变化。

了解更多信息: 有风险的用户

低风险用户

风险评分在 1 到 69 之间的用户。这些用户的帐户可能会检测到一些违规行为。他们还可以包括以前是高风险或中等风险用户的用户。这些用户已在预先确定的时间段内进行了重新评估。

用户控制面板上,您可以查看过去 13 个月的低风险用户数量。例如,下图显示了过去 13 个月中 147 个低风险用户。

低风险用户

单击该框可查看用户页面,该页面显示了有关低风险用户的详细信息,例如风险评分、风险指示器发生情况及其数据源。选择时间段时,风险指示器出现情况将根据时间选择而变化。

了解更多信息: 有风险的用户

播放列表中的用户

密切监视潜在威胁的用户列表。例如,您可以通过将这些用户添加到监视列表来监控组织内不是全职员工的用户。您还可以监控频繁触发特定风险指示器的用户。您可以手动将用户添加到监视列表中,或者 策略 定义将用户添加到监视列表。

如果没有用户添加到监视列表中,您将在“用户”控制板上看到以下屏幕。

关注列表中的用户为零

如果您已将用户添加到监视列表中,则可以在用户仪表板上根据最高分数查看监视列表中前五名用户。

播放列表中的“用户”控制板用户

单击监视列表中的用户框监视列表中的用户窗格上的查看更多链接,以查看显示监视列表中所有用户列表的用户页面。

注意:

用户仪表板和用户页面上,无论选定的时间段如何,监视列表中的用户数都会显示过去 13 个月。选择时间段时,风险指示器的出现情况将根据时间选择而变化。

了解更多信息: 播放列表

特权用户

特权用户是对组织中敏感数据和系统设置具有合法访问权限的员工。由于特权用户的特权,特权用户的恶意行为往往与他们的日常活动无法区分开来。因此,长期以来,特权用户的行为仍未被检测。这些行动使组织面临各种风险。为了克服这一挑战,Citrix Analytics 提供了特权用户监控功能。此功能使您能够密切监控组织中特权用户的行为异常情况。

用户控制面板上,您可以根据最高风险评分查看前五名特权用户。特权用户被归类为管理员和高管。

  • 管理员。对产品或服务具有管理员权限的用户。例如,当用户的权限在 Content Collaboration 服务中被提升为管理员时,此信息将显示在 “ 用户 ” 页面上。然后,您可以监视管理员用户的活动。

    假设在 Content Collaboration 服务中为用户 Maria Brown 分配了管理员权限。Maria 开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。过多的文件或文件夹删除 风险指示器添加到用户的风险时间线。Citrix Analytics 可帮助您将此风险指示器与用户页面上的可用信息进行比较。您可以决定是否在 Content Collaboration 中为用户分配管理员权限后触发风险指示器。如果是,您可以对特权用户的配置文件执行适当的操作。

  • 高管。用户,最好来自组织中的最高管理层。在用户页面上,您可以添加或删除作为高管用户的用户。有关说明,请参阅以特权用户身份添加以特权用户身份删除部分。

    考虑您已将用户添加为特权用户的情况。用户开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。过多的文件或文件夹删除 风险指示器添加到用户的风险时间线。Citrix Analytics 可帮助您将风险指示器与 用户 页面上的信息进行比较。比较信息时,您可以确定风险指示器是否在用户被标记为高管用户后触发。如果是,您可以对用户的个人资料采取适当的操作。

“用户”控制板特权用户

单击顶部的特权用户链接或特权用户窗格中的查看更多链接,以查看用户页面,该页面向管理员高管显示特权用户以及最新风险指示器详细信息。特权用户在 USER 列中以图标表示。

注意:

用户仪表板和用户页面上,无论选定的时间段如何,都会显示过去 13 个月的特权用户数量。选择时间段时,风险指示器的出现情况将根据时间选择而变化。

添加为特权用户

  1. 用户页面上,导航到所有用户表格,然后选择要添加为执行用户的用户。

  2. 单击标记为特权

特权用户

以特权用户身份删除

  1. 用户页面上,导航到所有用户表格,然后选择要作为执行用户删除的用户。

  2. 单击从特权中删除

特权用户

风险指示器

总结了选定时间段内的五大风险指标。风险指标可以是 default自定义。对于默认风险指示器,Citrix Analytics 从已发现的数据源中收集数据以及已启用数据处理的数据源。

对于自定义风险指示器,Citrix Analytics 会根据生成的风险事件从以下数据源收集数据:

  • Citrix 访问控制
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

风险指标 窗格中,您可以查看前五个风险指标,并根据总发生率或严重程度对其进行排序。

风险指示器控制板

单击 风险指标 窗格上的查 看更多 以查看 风险指示器概述 页面。

风险指标概述 页面提供了对默认风险指标和自定义风险指标的见解。选择时间段以查看风险指标及其发生情况。

风险指示器概览

单击 名称 列上的风险指示器可查看有关风险指示器的详细信息,例如时间轴视图、用户、发生次数和触发时间。或者,您可以单击风险指 标控制面板上的风险指 示器以查看其详细信息。下图显示了过度访问敏感文件的详细信息(DLP 警报)。

DLP 警报详细信息

访问摘要

此控制面板汇总了选定时间段内的所有网关访问事件。它显示了通过 Citrix Gateway 的总访问、成功访问和访问失败的次数。

单击图表上的指针可查看 面向网关的自助搜索 页面。对于成功登录方案,网关访问事件按页面上的状态代码进行排序。

访问摘要控制板

策略和操作

显示在选定时间段内应用于用户配置文件的前五个策略和操作。单击“策略和操作”窗格上的“查看更多”链接以获取有关策略和操作的详细信息。

策略和行动控制板

主要策略

前五个配置的策略是根据发生次数确定的。当您处于控制板的 顶级策略 部分并选择“查看更多”时,您将被重定向到“所有策略”页面。

策略和行动控制板

所有策略

本页提供有关所有已配置策略的详细信息。当您选择任何策略时,系统会将您重定向到 面向策略的自助搜索 页面。在左侧窗格中,您可以根据应用的操作进行筛选。

选择用户名时,您将被重定向到风险时间表。基于策略的操作将添加到用户的风险时间表中。选择操作时,其详细信息将显示在风险时间表的右侧窗格中。

热门动作

对用户配置文件执行的前五个操作。顶级操作是根据发生次数确定的。当您处于控制板的“最高操 作”部分并选择“查看更多”时,您将被重定向到“操作”页面。

策略和行动控制板

操作

本页提供有关每个应用的操作、受影响的用户、事件、策略和操作时间事件的详细信息。选择任何操作时,您将被重定向到“所有策略”页面,其中数据基于左窗格上的指定操作进行排序。例如,当您在“ 作”页面上选择“请求用户响应”时,您将被重定向到“所有策略”页面,该页面显示与“请求用户响应”操作关联的所有已配置策略。

策略和行动控制板

风险类别

此控制面板提供组织在选定时间段内风险风险水平的汇总视图。风险指示器根据类似的风险分为已知类别。默认和自定义风险指示器支持风险分类。

风险类别仪表板

风险类别仪表板的目的是使 Citrix Virtual Apps and Desktops 管理员能够管理用户风险并简化与安全同行的讨论,而无需具备专家级安全知识。它允许安全强制在组织层面生效,而不仅限于安全管理员。

用例

假设您是 Citrix Virtual Apps and Desktops 管理员,管理组织中员工的应用程序访问权限。如果转到“风险类别”>“受威胁的用户”>“过多的身份验证失败-Citrix Gateway 风险指示器”部分,则可以评估已授予访问权限的员工是否已受到威胁。如果您进一步导航,您可以更准确地了解此风险指示器,例如失败原因、登录位置、时间表详细信息和用户摘要。如果您发现被授予访问权限的用户与受到攻击的用户之间存在任何差异,则可以通知安全管理员。这种及时向安全管理员发出的通知有助于在组织层面强制执行安全。

风险类别使用案例

如何分析风险类别控制板?

在“风险类别”控制板上选择“查看更多”时,系统将重定向到汇总风险类别详细信息的页面。本页包含以下详细信息:

  • 风险类别报告:表示选定时间段内每个类别的总风险指示器发生次数。

    风险类别页面

  • 时间表详细信息:提供选定时间段内每个风险类别的总风险指示器发生次数的图形表示。如果您导航到本部分的底部,您可以根据风险类别进行排序,以便更准确地了解风险指示器。

    风险类别页面

  • 风险类别摘要:本节提供与每个类别关联的风险指示器的影响、发生次数和严重程度等详细信息。选择任何风险类别以查看与该类别关联的风险指示器的详细信息。例如,当您选择“已入侵的用户”类别时,您将被重定向到“已入侵的用户”页。

    风险类别页面

受侵害的用户”页显示以下详细信息:

  • 风险指示器报表:显示在选定时间段内属于“受损用户”类别的风险指示器。它还显示在选定时间段内触发的风险指示器的总发生次数。

    “被盗用的用户”页

  • 时间表详细信息:提供选定时间段内风险指示器发生次数的图形表示。

    “被盗用的用户”页

  • 风险指示器汇总:显示在受威胁用户类别下生成的风险指示器汇总。此部分还显示严重性、数据源、风险指示器类型、发生次数和最后一次出现。

    “被盗用的用户”页

当您选择风险指示器时,您将被重定向到汇总该指标详细信息的页面。例如,如果您选择从新设备首次访问风险指示器,您将被重定向到汇总此指标详细信息的页面。摘要包括有关此事件发生次数的时间表详细信息以及用户摘要,其中列出了触发此风险指示器的用户、风险指示器发生次数和事件发生时间。选择用户时,系统会将您重定向到该用户的风险时间表。

“被盗用的用户”页

注意

Citrix Analytics 将默认风险指示器分组到相应的风险类别下。对于自定义风险指示器,您必须在“创建指示器”页上选择风险类别。有关详细信息,请参阅自定义风险指示器

风险类别的类型

数据泄露

此类别将恶意软件触发的风险指示器或从组织中的设备进行未经授权的数据传输或数据盗窃的员工触发的风险指示器分组。您可以深入了解在指定时间段内发生的所有数据泄露活动,并通过对用户配置文件主动应用操作来降低与此类别相关的风险。

数据泄露风险类别将以下风险指示器分组在一起:

数据源 用户风险指示器
Citrix Virtual Apps and Desktops 潜在的数据泄露
Citrix Content Collaboration 过度访问敏感文件
Citrix Content Collaboration 过多的文件共享
Citrix 访问控制 不寻常的上载卷

内幕威胁

此类别将组织内员工触发的风险指示器分组。由于员工可以更高级别访问公司特定应用程序,因此组织面临安全风险的可能性较高。危险活动可能是由恶意内部人员故意引起的,也可能是人为错误造成的。在任何一种情况下,对组织的安全影响都是破坏性的。此类别提供了对指定时间段内发生的所有内部威胁活动的见解。在这些见解的帮助下,您可以通过对用户配置文件主动应用操作来降低与此类别相关的风险。

内幕威胁风险类别将以下风险指示器分组在一起:

数据源 用户风险指示器
Citrix Content Collaboration 删除过多的文件或文件夹
Citrix Content Collaboration 文件上载过多
Citrix 访问控制 数据下载过多
Citrix 访问控制 尝试访问列入黑名单的 URL
Citrix 访问控制 网站访问风险

受影响的用户

此类别将用户显示异常行为模式(如可疑登录、登录失败)的风险指示器分组。或者,不寻常的模式可能是由于用户帐户受到破坏。您可以深入了解在指定时间段内发生的所有受损用户事件,并通过对用户配置文件主动应用操作来降低与此类别相关的风险。

受损用户风险类别将以下风险指示器分组在一起:

数据源 用户风险指示器
Citrix Virtual Apps and Desktops 首次从新设备访问
Citrix Content Collaboration 首次从新位置访问
Citrix Content Collaboration 验证失败过多
Citrix Content Collaboration 怀疑勒索软件活动
Citrix Content Collaboration 文件下载过多
Citrix Gateway 从可疑 IP 登录
Citrix Gateway 验证失败过多
Citrix Gateway 授权失败过多
Citrix Gateway 从不寻常的位置访问
Microsoft Graph 安全 Azure AD 身份保护风险指示器
Microsoft Graph 安全 微软防御端点风险指标

受损的终端节点

此类别将当设备表现出可能表明存在危险的不安全行为时触发的风险指示器分组。

受损终端风险类别将以下风险指示器分组在一起:

数据源 用户风险指示器
Citrix Virtual Apps and Desktops 从不支持的操作系统的设备访问
Citrix Gateway 端点分析 (EPA) 扫描失败
Citrix Endpoint Management 检测到非受管设备
Citrix Endpoint Management 检测到越狱或获得 Root 权限的设备
Citrix Endpoint Management 检测到已列入黑名单的应用
“用户”控制板