用户控制板
概述
用 户 控制板是进入用户行为分析和威胁防护的起点。
此控制板提供了对整个组织中用户行为模式的可见性。利用此数据,您可以主动监视、检测和标记超出常态的行为,例如网络钓鱼或勒索软件攻击。
要查看“用户”控制面板,请导航到“安全”>“用户”。“用户”控制板包含以下部分:
-
概述:概述部分提供指标摘要,可帮助了解贵组织的整体安全状况。
-
用户风险分布:根据选定时间段内计算出的最高风险分数,处于高、中、低和非风险配置文件的用户数量。
-
热门用户:按风险评分排序的热门用户,按所有用户、特权用户、监视列表用户细分。
-
风险类别:显示 Citrix Analytics 支持的风险类别。具有类似行为模式的风险指示器分为几类。
-
风险指示器和行动:在选定时段内绘制的风险指示器和操作在组织中所有用户的分布情况。
-
访问摘要:汇总用户尝试访问组织内资源的总次数。
-
策略和操作:显示应用于用户配置文件的前五个策略和操作。
-
风险指示器:显示组织中排名前五的风险指示器。
所有发现的用户
组织中使用已启用 Analytics 的数据源的用户总数。他们的帐户可能有也可能没有关联的风险评分。在“用户”控制面板上发现的用 户 数可能超过了存在风险的用户数量。
单击控制板上的“所有发现的用户”图块以查看“用户”页面,该页面显示 Citrix Analytics 发现的用户的完整列表。 用户 页面显示数据源、风险评分和工作区应用程序状态以及发现的用户。
注意
在“用户”控制板和“用户”页面上,无论选定的时间段如何,都会显示最近 13 个月内发现的用户数。操作和事件计数会根据时间选择而变化。
Facets
根据以下类别筛选用户事件:
-
风险评分:基于高风险、中风险、低风险和零风险评分的用户事件。
-
用户: 基于管理员权限、执行权限和监视列表用户的用户事件。
-
发现的数据源:基于您已载入的数据源的用户事件。
-
Workspace 应用程序状态:用户设备上使用的 Citrix Workspace 应用程序版本的支持性状态。
注意
Workspace 应用程序的状态由从 Citrix Director 接收的用户事件确定。要查看状态,必须将 Citrix Analytics 连接到 Citrix Director。否则,所有 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 用户的状态将显示为非活动。
搜索框
使用搜索框搜索用户的事件。您可以在查询中使用运算符来缩小搜索范围。有关可在查询中使用的有效运算符的信息,请参阅 自助搜索。
最新分数
风险评分决定了用户在特定时间段内对组织构成的风险级别。风险评分值是动态的,根据用户行为分析的不同而有所不同。根据最新的风险评分,用户可以属于以下类别之一:高风险用户、中等风险用户、低风险用户和风险评分为零的用户。
用户
Analytics 发现的所有用户的列表。选择用户名以查看用户的用户信息和风险时间表。用户可能触发或可能未触发任何风险指示器。如果没有与此用户关联的危险事件,您将看到以下消息。
如果存在与用户相关的风险事件,您将在风险时间表上看到风险指示器。选择用户以查看其 风险时间表。
已发现的数据源
与用户关联的数据源。当用户主动使用数据源时,Analytics 会从该数据源接收用户事件。要接收用户事件,必须在“数据源”页面上提供的数据源站点卡片上打开 数据 处理。
工作区应用程序状态
使用以下标签来识别 Workspace 应用程序的状态:
-
支持:Citrix Workspace 应用程序版本受 Citrix Analytics 支持,用户事件是从应用程序接收的。
-
部分支持:支持 Citrix Workspace 应用程序版本,但未从该应用程序接收到任何用户事件。要识别和解决问题,请参阅故障排除指南。
-
不支持:不支持 Citrix Workspace 应用程序版本,并且未从该应用程序接收到任何用户事件。用户必须将 Citrix Workspace 应用程序更新到支持的版本。有关受支持版本的列表,请参阅 支持的客户端。
-
不可用 (NA):用户未使用 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源。他们可能正在使用不同的数据源,例如 Content Collaboration、Secure Private Access 和网关。
-
非活动:在过去一周内,用户在 Citrix Virtual Apps and Desktops 和 Citrix DaaS 中没有任何活动会话。因此,不会从用户那里收到任何事件。
在过去的一周内,如果用户将 Citrix Workspace 应用程序更新为四个不同的版本(例如:xx、xy、yx 和 yy),则工具提示会显示四个不同的版本。状态将根据以下情况而变化。
| 场景 | Workspace 应用状态 |
|---|---|
| 当所有四个版本(xx、xy、yx 和 yy)都受支持时。 | 支持 |
| 在这四个版本中,至少有一个版本 (xx) 不受支持,其余版本(xy、yx 和 yy)受支持。 | 不受支持 |
| 在这四个版本中,至少有一个版本 (xx) 受到部分支持,其余版本(xy、yx 和 yy)受支持。 | 部分支持 |
| 在这四个版本中,(xx) 版本不受支持,(yx) 版本受部分支持,其余两个版本(yx、yy)受支持。 | 不受支持 |
注意
“不支持”状态优先于“受支持”状态和“部分支持”状态。
触发的指标
表示在选定持续时间内用户触发的风险指示器数量。单击“触发指标”图块以查看风险指示器的详细信息。风险指示器表提供以下详细信息:
- 名称:风险指示器名称。
- 严重性:与事件相关的风险的严重程度。风险可以是高、中或低。
- 数据源:风险指示器模板所适用的数据源。
- 类型:风险指示器的类型。风险指示器可以是 默认 的或 自定义的。
- 发生次数:为用户触发风险指示器的次数。当您选择时间段时,风险指示器的出现次数会根据所选时间而变化。
- 上次出现:显示上次出现的日期和时间。
已应用的操作
表示在选定持续时间内对用户应用的操作数量。这包括管理员手动应用的操作和策略驱动的操作。单击“已应用的操作”图块以查看操作的详细信息。此部分不显示您在用户配置文件上手动应用的操作。
操作 表提供以下信息:
- 操作:根据策略应用的操作的名称。
- 用户:已应用操作的用户数。
- 发生次数:操作的发生次数。
- 日期和时间:应用操作的日期和时间。
已处理的事件
从您的连接数据源收到并由 Analytics 处理的用户事件总数。
用户风险分布
您可以根据所选时间段内计算出的最高风险分数,查看高、中、低和无风险配置文件中的用户数量。在总人数下方,条形图显示了低、中、高风险用户分布随时间推移而发生的变化。
风险等级分为三种颜色代码。
- 红色 -代表高风险用户。
- 橙色 -代表中等风险用户。
- 灰色 -代表低风险用户。
您可以查看风险用户的数量(高、中和低),同时根据特定时间段将鼠标悬停在颜色栏上。您可以使用数据间隔信息查看上次更新的详细信息(日期和时间)。单击“刷新”选项以获取更新的数据。
用户总数
单击“用户总数”选项以查看“用户”页面。
此页面显示所有用户及其风险分数。您可以使用分面和搜索栏来筛选事件。
有风险的用户
有风险的用户是已发现的具有关联风险事件并且至少触发了一个风险指示器的用户。用户在特定时间段内对网络构成的风险级别取决于与用户相关的风险评分。风险评分值是动态的,基于用户行为分析。
随着时间的推移,每个用户的风险都会根据用户活动定期更新。因此,用户可能在某个时间点处于中等或高风险,但稍后会降至较低的风险级别。根据风险评分,有风险的用户可能属于以下类别之一:
在风险用户页面上,您可以使用分面根据与所选时间段相关的风险级别进行筛选,也可以使用搜索栏来查询一个或多个特定用户。
单击该 用户的电子邮件 ID 以查看该特定选定用户的风险时间表页面。此页面根据所选时间段显示风险指示器以及最新和最高风险评分的详细信息。
高风险
风险评分在 90 到 100 之间的用户。这些用户表现出多种与中度至重度风险因素一致的行为,可能对组织构成直接威胁。
在 用户 控制面板上,您可以根据所选时间段内计算出的最高风险分数查看高风险用户的数量。
单击“高风险”选项以查看“风险用户”页面。该页面显示有关高风险用户的详细信息。
中等风险
风险评分在 70 到 89 之间的用户。这些用户通常有一个或多个看似可疑和/或异常的活动,可能值得密切监视。
单击“中等风险”选项以查看“风险用户”页面。该页面显示有关中等风险用户的详细信息。
低风险
风险评分在 1 到 69 之间的用户。这些用户至少有一个风险指示器反映了一些异常或意想不到的行为,但不足以进行更严重的风险分类。
单击“低风险”选项以查看“风险用户”页面。该页面显示有关低风险用户的详细信息。
不冒险
零风险评分的用户。在选定的时间段内,这些用户的帐户中没有触发任何风险指示器。尽管这些无风险用户的风险评分为零,但他们可能会出现与之相关的风险指示器。
热门用户
您可以查看所选时间段内按最高风险评分排序的各种用户类别中的热门用户。下面的“热门用户”表根据在选定时间段内计算的风险分数而不是最新的风险分数,显示了风险最高的五名用户(所有用户、特权用户和监视列表用户)。
注意
在早期版本中,无论选择的时间段如何,“热门用户”表始终显示最新的风险评分。
特权用户
特权用户是指对组织中的敏感数据和系统设置具有合法访问权限的员工。由于特权用户的特权,他们的恶意行为通常与他们的日常活动无法区分开来。因此,特权用户的操作长期以来一直未被检测到。此类行动使组织面临各种各样的风险。为了克服这一挑战,Citrix Analytics 提供了特权用户监视功能。此功能使您能够密切监视组织中特权用户的行为异常情况。
在“用户 控制面板”>“热门用户”部分下,您可以根据最高风险评分查看排名前五的权限用户。特权用户分为管理员和管理人员。
-
管理员。对产品或服务具有管理员权限的用户。例如,在 Content Collaboration 服务中将用户权限提升为管理员时,此信息将显示在“用户”页面上。然后,您可以监视管理员用户的活动。
考虑在 Content Collaboration 服务中被分配了管理员权限的用户 Maria Brown。Maria 开始过度删除文件和文件夹,并触发检测到异常行为的计算机学习算法。文件或文件夹删除过多 风险指示器将添加到用户的风险时间表中。Citrix Analytics 可帮助您将此风险指示器与“用户”页面上的可用信息进行比较。您可以决定是否在 Content Collaboration 中为用户分配管理员权限后触发风险指示器。如果是,则可以对特权用户的配置文件采取适当的操作。
-
管理人员。用户,最好来自组织的高层管理人员。在“用 户”页面上,您可以添加或删除作为执行用户的用户。有关说明,请参阅 添加为特权用户 和以特 权用户身份删除 部分。
考虑一下您已将用户添加为特权用户的情况。用户开始过度删除文件和文件夹,并触发检测到异常行为的计算机学习算法。文件或文件夹删除过多 风险指示器将添加到用户的风险时间表中。Citrix Analytics 可帮助您将风险指示器与 用户 页面上的信息进行比较。比较信息时,可以确定风险指示器是否在用户被标记为执行用户后触发。如果是,则可以对用户的个人资料采取适当的操作。
单击“所有用户”选项卡中的“查看更多”链接以查看显示特权 用户 详细信息的“用户”页面。导航到用户页面后,您可以根据需要使用分面获取更多详细信息。例如,您可以选择用户作为 管理员 或 高管 ,同时选择当前的风险分数。特权用户在 USER 列中用 一个图标表示。
注意
在“用户”控制板和“用户”页面上,无论选定的时间段如何,都会显示过去 13 个月的特权用户数。选择时间段时,风险指示器的出现情况会根据所选时间而变化。
以特权用户身份添加
-
在“用 户”页上,导航到“所有用户”表格,然后选择要添加为执行用户的用户。
-
单击 标记为特权。
以特权用户身份删除
-
在“用 户”页上,导航到“所有用户”表格,然后选择要作为执行用户删除的用户。
-
单击“从特权中删除”。
监视列表用户
密切监视潜在威胁的用户列表。例如,您可以通过将这些用户添加到监视列表来监视组织内不是全职员工的用户。您还可以监视频繁触发特定风险指示器的用户。您可以手动将用户添加到监视列表,也可以定义将用户添加到监视列表的 策略 。
如果您已将用户添加到监视列表,则可以根据最高分查看监视列表中排名前五的用户。
单击“所有用户”窗格上的“查看更多”链接以查看“用户”页面。该页面显示监视列表中所有用户的列表。
注意
在“用户”控制面板和“用户”页面上,无论选定的时间段如何,监视列表中的用户数都会显示最近 13 个月的用户数。选择时间段时,风险指示器的出现情况会根据所选时间而变化。
了解更多:关 注列表
风险类别
风险类别 圆环图汇总了所选时间段内按风险类别划分的指标出现次数。将鼠标悬停在每个图表段上时,会显示唯一的用户数量,这反过来又链接到相应的 风险指示器类别 概述页面。默认和自定义风险指示器支持风险分类。
风险类别 控制板的目的是使 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 管理员无需具备专家级安全知识即可管理用户风险并简化与安全同行的讨论。它允许安全实施在组织级别生效,而不仅限于安全管理员。
用例
假设您是 Citrix Virtual Apps and Desktops 管理员,并且管理组织中员工的应用程序访问权限。如果转到“风险类别”>“受感染的用户”>“身份验证失败过多-Citrix Gateway 风险指示器”部分,则可以评估您授予访问权限的员工是否受到威胁。如果您进一步浏览,则可以更准确地了解此风险指示器,例如失败原因、登录位置、时间轴详细信息和用户摘要。如果您发现被授予访问权限的用户与受到攻击的用户之间存在任何差异,则可以通知安全管理员。这种及时向安全管理员发出的通知有助于在组织层面强制实施安全性。
如何分析“风险类别”控制面板
当您在“风险类别”控制面板上选择“查看更多”时,您将被重定向到汇总风险类别详细信息的页面。此页面包含以下详细信息:
-
风险类别报告:表示在选定时间段内每个类别的总风险指示器出现次数。
-
时间轴详细信息:提供选定时间段内每个风险类别的总风险指示器出现次数的图形表示。如果您导航到本部分的底部,则可以根据风险类别进行排序,以获得有关风险指示器的更准确的见解。
-
风险类别摘要:本部分提供与每个类别相关的风险指示器的影响、发生次数和严重程度等详细信息。选择任何风险类别以查看与该类别关联的风险指示器的详细信息。例如,当您选择“受感染的用户”类别时,您将被重定向到“受感染的用户”页面。
受 感染的用户 页面显示以下详细信息:
-
风险指示器报告:显示在选定时间段内属于“受感染用户”类别的风险指示器。它还显示在选定时间段内触发的风险指示器的总出现次数。
-
时间轴详细信息:提供在选定时间段内出现的风险指示器的图形表示。
-
风险指示器摘要:显示在“受感染用户”类别下生成的风险指示器的摘要。此部分还显示严重性、数据源、风险指示器类型、发生次数和最后一次出现的情况。
当您选择风险指示器时,您将被重定向到汇总该指标详细信息的页面。例如,如果选择 首次从新设备访问 风险指示器,则会重定向到汇总此指示器详细信息的页面。摘要包括有关此事件发生次数的时间表详细信息以及列出触发此风险指示器的用户、风险指示器发生次数和事件发生时间的用户摘要。选择用户时,系统会将您重定向到该用户的风险时间表。
注意
Citrix Analytics 将默认风险指示器分组在适当的风险类别下。对于自定义风险指示器,您必须在创建指示器页面上选择风险类别。有关详细信息,请参阅自定义风险指标。
风险类别的类型
数据泄露
此类别将由恶意软件或员工触发的风险指示器进行组织中的设备进行未经授权的数据传输或数据盗窃。您可以深入了解在指定时间段内发生的所有数据泄露活动,并通过主动对用户配置文件应用操作来降低与此类别相关的风险。
数据泄露风险类别将以下风险指示器组合在一起:
| 数据源 | 用户风险指示器 |
|---|---|
| Citrix Content Collaboration | 过度访问敏感文件 |
| Citrix Content Collaboration | 文件下载过多 |
| Citrix Content Collaboration | 过多的文件共享 |
| Citrix Virtual Apps and Desktops 和 Citrix DaaS | 潜在的数据泄露 |
内幕威胁
此类别对组织内员工触发的风险指示器进行分组。由于员工对公司特定应用程序的访问级别更高,因此组织面临安全风险的可能性更高。危险活动可能是由恶意内部人员故意造成的,也可能是人为错误造成的。在这两种情况下,对组织的安全影响都是破坏性的。此类别提供了在指定时间段内发生的所有内部威胁活动的见解。借助这些见解,您可以通过主动对用户个人资料应用操作来降低与此类别相关的风险。
内幕威胁风险类别将以下风险指示器组合在一起:
| 数据源 | 用户风险指示器 |
|---|---|
| Citrix Content Collaboration | 删除过多的文件或文件夹 |
| Citrix Content Collaboration | 文件上载过多 |
| Citrix Content Collaboration | 检测到恶意软件文件 |
| Citrix Secure Private Access | 尝试访问列入黑名单的 URL |
| Citrix Secure Private Access | 数据下载过多 |
| Citrix Secure Private Access | 网站访问风险 |
| Citrix Secure Private Access | 不寻常的上传量 |
受影响的用户
此类别将风险指示器分组,其中用户显示异常行为模式,例如可疑登录、登录失败。或者,异常模式可能是由于用户帐户遭到入侵造成的。您可以深入了解在指定时间段内发生的所有受感染用户事件,并通过主动对用户个人资料应用操作来降低与此类别相关的风险。
受感染的用户风险类别将以下风险指示器组合在一起:
| 数据源 | 用户风险指示器 |
|---|---|
| Citrix Content Collaboration | 不可能旅行 |
| Citrix Content Collaboration | 怀疑勒索软件活动 |
| Citrix Content Collaboration | 异常的验证失败 |
| Citrix Gateway | 端点分析扫描失败 |
| Citrix Gateway | 验证失败过多 |
| Citrix Gateway | 不可能旅行 |
| Citrix Gateway | 从可疑 IP 登录 |
| Citrix Gateway | 异常的身份验证 |
| Citrix Virtual Apps and Desktops 和 Citrix DaaS | 可疑登录 |
| {page.cvadand-daas-product-name}} | 不可能旅行 |
| Microsoft Graph 安全性 | Azure AD 身份保护风险指示器 |
| Microsoft Graph 安全性 | Microsoft Defender 的端点风险指示器 |
受损的端点
此类别将当设备表现出可能表明存在危险的不安全行为时触发的风险指示器进行分组。
受损端点风险类别将以下风险指示器组合在一起:
| 数据源 | 用户风险指示器 |
|---|---|
| Citrix Endpoint Management | 检测到未托管设备 |
| Citrix Endpoint Management | 检测到越狱或获得 Root 权限的设备 |
| Citrix Endpoint Management | 检测到已列入黑名单的应用 |
风险指示器和行动
您可以查看所选时间段内触发的风险指示器和适用于您的用户的操作。新的 风险指示器和操作 条形图提供了一段时间内的指标、操作和事件的数量,总时间范围和柱间隔来自所选时间段。
单击指标或操作的条形段可分别向下深入查看每个指标或操作的计数。
在指标向下钻取中,单击单个指标栏将进入选定时间段内的相应风险指示器页面。
访问摘要
此控制面板汇总了选定时间段内的所有网关访问事件。它显示了通过 Citrix Gateway 的总访问次数、成功访问次数和失败访问次数。
单击图表上的指针可查看“网关的自助搜索”页。对于成功的登录方案,网关访问事件按页面上的状态代码进行排序。
策略和操作
显示在选定时间段内应用于用户配置文件的前五个策略和操作。单击 策略和操作 窗格上的 查看更多 链接以获取有关策略和操作的详细信息。
热门政策
前五个已配置的策略是根据出现次数确定的。当您在控制面板的“顶级政策”部分并选择“查看更多”时,您将被重定向到“所有策略”页面。
所有政策
本页提供有关所有已配置策略的详细信息。当您选择任何策略时,您将被重定向到 自助搜索策 略页面。在左窗格中,您可以根据应用的操作进行筛选。
选择用户名后,系统会将您重定向到风险时间表。基于策略的操作将添加到用户的风险时间表中。选择操作时,其详细信息将显示在风险时间轴的右窗格中。
热门动作
与应用于用户配置文件的策略相关联的前五个操作。此部分不显示您在用户配置文件上手动应用的操作。顶级操作取决于发生次数。
单击查 看更多 以查看“操作”页面上的所有基于策略的 操作 。
操作
该页面提供了在选定时间段内对用户应用的所有基于策略的操作的列表。您可以查看以下信息:
-
根据策略应用的操作的名称
-
已应用操作的用户数
-
操作发生的次数
-
与操作关联的策略数
-
应用操作的日期和时间
单击某个操作以查看所有关联的策略。这些策略根据发生次数进行排序。例如,在“操作”页面上单击“请求最终用户响应”。“所有策略”页面显示与“请求最终用户响应”操作关联的所有策略。
在 所有策 略页面上,单击策略以查看已应用该操作的用户事件。
风险指示器
总结了选定时间段内的前五个风险指示器。风险指示器可以是 默认 的或 自定义的。对于默认风险指示器,Citrix Analytics 会从已发现的数据源中收集数据,并启用了数据处理功能。
对于自定义风险指示器,Citrix Analytics 会根据生成的风险事件从以下数据源收集数据:
- Citrix Content Collaboration
- Citrix Gateway
- Citrix Secure Private Access
- Citrix Virtual Apps and Desktops
- Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)
在“风险指示器”窗格中,您可以查看前五个风险指示器,并根据总发生次数或严重程度对它们进行排序。
单击 风险指 示器窗格上的查 看更多 以查看 风险指示器概述 页面。
