“用户”控制板

控制板是用户行为分析和威胁防范的启动点。

此控制板提供了对组织中用户行为模式的可见性。使用此数据,您可以主动监视、检测和标记不属于常规范范围的行为,例如网络钓鱼或勒索软件攻击。默认情况下,此控制板显示用户过去一个月的风险配置文件。

“用户”控制板包含以下部分:

  • 已发现用户。组织中使用已启用 Analytics 的数据源的用户总数。单击控制板上的链接以查看 Citrix Analytics 发现的用户的完整列表。

  • 有风险的用户。以危险方式行事或表现出危险行为的用户。风险评分最高、风险评分变化最高、风险指示器、风险指示器发生和与其账户相关的风险指示器发生变化的风险用户列表。单击顶部的“ 风险用户 ”链接或“风险用户”窗格上的“ 查看更多 ”链接。您可以查看所有风险用户的列表和风险指示器。

  • 高风险用户。对组织构成直接威胁的用户。单击链接查看所有高风险用户列表及其触发的风险指示器。

  • 中等风险使用者。账户中可能存在多个严重违规行为的用户,必须密切监视。单击链接查看所有中等风险用户的列表以及他们触发的风险指示器。

  • 低风险用户。在其账户上检测到一些违规行为,但可能没有威胁的用户。单击链接查看所有低风险用户列表及其触发的风险指示器。

  • 播放列表中的用户。管理员密切监视用户。单击“ 监视列表中的用户 ”框或“监视 列表中的用户 ”窗格上的“查 看更多 ”链接,以查看添加到监视列表中的用户列表。

  • 特权用户。可以在组织中查看敏感数据和修改关键系统设置的用户。单击“特权用户”窗格上的“特权用户”链接或“查看更多”链接以查看所有特权用户的列表。

  • 风险指示器。显示前五个默认值和自定义风险指示器。单击窗格底部的查 看更多 以查看 风险指示器概览 页面。

  • 访问摘要。汇总用户尝试访问组织内资源的总次数。

  • 策略和操作。显示应用于用户配置文件的前五个策略和操作。单击“ 策略和操作 ”窗格上的“查 看更多 ”链接以查看应用的策略和操作的列表。

已发现用户

组织中使用已启用 Analytics 的数据源的用户总数。他们可能有或可能没有与他们的账户关联的风险分数。“用户”控制板上发现的用 数可能超过风险用户数。

单击控制板上的链接以查看 Citrix Analytics 发现的用户的完整列表。

已发现用户

“已发 现用户 ”页面显示在一段时间内发现的所有用户的列表。您可以查看过去 1 小时、12 小时、1 天、1 周或 1 个月的数据。

使用以下界面映射了解如何与“ 已发现用户 ”页面进行交互。

已发现用户部分

查看以下信息:

用户

分析发现的所有用户列表。单击用户名以查看用户的用户信息和风险时间表。用户可能触发或可能未触发任何风险指示器。如果没有与此用户关联的危险事件,您将看到以下消息。

无危险事件

如果存在与用户关联的风险事件,您可以看到带有风险指示器详细信息的风险时间表。

有关详细信息,请参阅风险时间表

设备

用户用于访问数据源的设备数量。Citrix Analytics 从 Citrix Endpoint Management 和 Citrix Virtual Apps and Desktops 收集此数据。单击用户名,然后导航到用 户信息 以查看用户使用的设备名称和数量。右上角的 趋势视 图链接提供了有关特定时间段内用户设备历史记录的图形表示。

用户信息设备

位置

用户可能已登录到数据源的位置。Citrix Analytics 从 Citrix Content Collaboration 和 Citrix Gateway 收集数据。单击用户名,然后导航到 用户信息 以查看用户访问数据的名称和位置数。右上角的“ 地图视图 ”链接提供特定时间段的用户登录位置历史记录。

用户信息位置

数据使用情况

用户使用的数据量可能包括上载或下载的数据、上载或下载的文件以及共享或删除的文件。Citrix Analytics 从 Citrix Content Collaboration 中收集此数据。单击用户名,然后导航到用户信息以查看用户数据使用情况的详细信息。趋势视图链接提供有关特定时间段内用户数据使用历史记录的图形表示。

用户信息数据使用情况

已使用的应用程序

用户在此期间访问的应用程序数。Citrix Analytics 从 Citrix Virtual Apps and Desktops 收集此数据。单击用户名,然后导航到用 户信息 以查看用户使用的应用程序的名称和数量。右上角的 趋势视 图链接提供了有关特定时间段内用户应用程序历史的图形表示。

用户信息数据使用情况

访问

用户从不同位置访问数据的总次数。单击用户名,然后导航到 用户信息 以查看用户访问数据的次数。

例如,在下图中,您可以看到用户“共享文件用户”具有“24”访问权限。

跨产品重型用户

现在,单击用户名并导航到“ 风险时间轴 ”页面上的“ 用户信息 ”窗格。您可以看到此用户有来自两个不同位置的 24 次访问。

用户信息访问

有风险的用户

风险用户是发现与风险事件相关并触发至少一个风险指示器的用户。用户在特定时间段内对网络构成的风险级别由与用户关联的风险评分决定。风险评分值是动态的,基于用户行为分析。根据风险评分,风险用户可分为三类之一:高风险用户、中风险用户或低风险用户。

Users 控制板上,您可以查看根据最高分或最高风险指示器出现次数排序的前五位风险用户。

  • 单击“ 最高分数变化 ”以查看基于一段时间内最高分数变化的前五位风险用户。

有风险的用户链接

  • 单击 风险指示器 查看最大发生率的前五个风险指示器。

  • 单击 风险指示器更改 ,查看发生率最大变化的前五个风险指示器。

风险“用户”控制板

单击顶部的“风 险用户 ”链接或“风 险用户 ”窗格中的“查 看更多 ”链接以查看所有风险用户和风险指示器的列表。

风险用户 ”页面显示一段时间内所有风险用户的列表。您可以查看过去 1 小时、12 小时、1 天、1 周或 1 个月的数据。

使用以下界面映射了解如何与“ 风险用户 ”页面进行交互。

有风险的用户

查看以下信息:

得分

评分或风险评分决定用户在特定时间段内对网络构成的风险级别。风险评分值是动态的,基于用户行为分析。根据风险评分,风险用户可分为三类之一:高风险用户、中风险用户或低风险用户。

更改

变化是指一段时间内风险评分的变化。风险评分变化可以是正面或负面。正风险评分变化以减号 (-) 表示,这意味着用户的风险评分在一段时间内已经下降。用加号 (+) 表示负风险评分变化,这意味着用户的风险评分在一段时间内有所增加。例如,如果用户前一天的风险评分为 72,而当前风险评分为 92,则风险评分变化为负数,并计算为 +20。

风险评分变化

访问、数据、应用程序

为用户触发的风险指示器类型。这些栏显示了在特定时期内向用户提出的不同类型的风险指示器的数量。

用户

由 Citrix Analytics 的机器学习算法识别的所有风险用户的列表。单击用户名以查看用户的用户信息和风险时间表。

与用户相关的风险指示器和风险指示器触发的时间显示在风险时间表中。单击每个风险指示器以查看详细信息。单击“用户信息”以查看详细的用户信息,如设备、位置、数据使用情况和应用程序。

了解更多信息: 风险时间表

发现用户的风险时间表

发现用户的风险时间表

注意 目前,身份验证和域数据在用户信息配置文件上不可用。

显示从 Active Directory 导入的组。如果您已将 Citrix Analytics 与 Active Directory 集成,则会显示用户组名称。组名称 N/A 表示您尚未集成 Citrix Analytics 与 Active Directory。

发生次数和发生次数更改

  • 发生次数:所选时间段内默认和自定义风险指示器的总出现次数。

  • 发生次数更改:所选时间段内默认和自定义风险指示器的出现次数更改。

    正事件变化用减号 (-) 表示,这意味着风险指示器的总出现次数在一段时间内有所减少。 用加号 (+) 表示负次数得分变化,这意味着风险指标的总出现次数在一段时间内有所增加。 例如,如果在当前小时或天有 4 个风险指标出现,并且在前一小时或天有 6 个相同风险指标出现, 则这两者之间的风险指标出现变化将计算为 4-6,并且发生变化为显示为-2。

有风险的用户事件和事件发生变化

如何从“数据源”页面导航到“用户信息”?

  1. 转到“ 设置 ”>“ 数据源 ”。
  2. 在任何数据源的站点卡上,选择用户数。
  3. 在“ 户”页上,选择一个用户,然后单击“ 用户信息 ”。显示基于应用程序、设备、位置和数据使用情况的用户信息配置文件。

高风险用户

风险评分介于 91 至 100 之间的用户。这些用户表示对组织的直接威胁。

在“ 用户 ”控制板上,您可以看到特定时间内高风险用户数的摘要。这显示了高风险用户的总数和高风险用户的增加情况。

例如,下图显示了过去 12 小时的数据。目前,有 5 个高风险用户,其中 2 个在过去 12 小时内被确定为高风险用户。

高风险用户

单击此框可查看有关高风险用户的详细信息,例如风险评分、分数变化、分数变化趋势、最新触发的风险指示器以及风险指示器类型。

了解更多信息: 有风险的用户

高风险用户详细信息

中等风险使用者

风险评分介于 71 至 90 之间的用户。这些用户的帐户可能有多个严重违规行为,必须密切监视。

在“ 用户 ”控制板上,您可以看到特定时间中等风险用户数的摘要。您可以看到中度风险用户的总数和中度风险用户的数量增加。

例如,下图显示了过去 12 小时的数据。目前,有 8 个中等风险使用者,其中 7 个在过去 12 小时内被确定为中等风险使用者。

中等风险使用者

单击该框可查看有关中等风险用户的详细信息,例如风险评分、分数变化、分数变化趋势、最新触发的风险指示器以及风险指示器类型。

了解更多信息: 有风险的用户

中等风险用户详细信息

低风险用户

风险评分介于 0 到 70 之间的用户。这些用户的帐户中可能检测到一些违规行为。它们还可以包括以前是高风险或中风险用户的用户,在预先确定的时间段内经过重新评估。

在“ 用户 ”控制板上,您可以看到特定时间内低风险用户数的摘要。您可以看到低风险用户的总数和低风险用户的数量增加。

例如,下图显示了过去 12 小时的数据。目前,有 147 名低风险使用者,其中 61 名在过去 12 小时内被确定为低风险使用者。

低风险用户

单击此框可查看有关低风险用户的详细信息,例如风险评分、分数变化、分数变化趋势、最新触发的风险指示器以及风险指示器类型。

了解更多信息: 有风险的用户

低风险用户详细信息

播放列表中的用户

密切监视潜在威胁的用户列表。例如,您可以通过将这些用户添加到监视列表来监视组织内非全职员工的用户,也可以监视频繁触发特定风险指示器的用户。

您可以手动向监视列表添加用户,也可以定义在触发时将用户添加到监视列表的策略。如果没有用户添加到监视列表中,您将在“ 用户 ”控制板上看到以下屏幕。

观察列表中的零用户

如果您已将用户添加到播放列表中,则可以在“ 用户 ”控制板上查看播放列表中根据最高分排序的前五位用户。您还可以查看分数变化数据和分数变化趋势。

单击“ 监视列表中的用户 ”框或“监视列表中的用户”窗格上的“查 看更多 ”链接,以查看添加到监视列表中的所有用户的列表。

了解更多信息: 播放列表

播放列表中的“用户”控制板用户

特权用户

考虑到对敏感数据和系统设置的合法访问,特权用户的恶意行为往往与他们的日常活动无法区分。因此,特权用户的操作长期未被检测。这种行动使各组织面临各种各样的风险。为了克服这一挑战,Citrix Analytics 引入了特权用户监视功能。此功能使您能够密切监视特权用户的行为异常。

在“用 ”控制板上,您可以查看根据最高分排序的前五位特权用户。

“用户”控制板特权用户

单击顶部的“ 特权用户 ”链接或“特 权用户 ”窗格中的“ 查看更多 ”链接。您可以查看“ 用户 ”页面,该页面显示在“ 筛选器 ”窗格中选择了 管理员 管的特权用户,以及最新的风险指示器详细信息。特权用户使用 USER 列中的图标表示。您可以查看过去 1 小时、12 小时、1 天、1 周或 1 个月的数据。

“用户”控制板特权用户

Citrix Analytics 支持以下类型的特权用户:

  • 管理员具有产品或服务管理员权限的用户。在 Content Collaboration 服务中将用户的权限提升为管理员时,此信息将在用户页面上提供。Citrix Analytics 可帮助您以管理员身份监视其用户的活动。

    考虑在 Content Collaboration 服务中被分配管理员权限的用户玛丽亚·布朗。Maria 开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。过多的文件或文件夹删除 风险指示器添加到用户的风险时间线。Citrix Analytics 可帮助您将此风险指示器与用户页面上的可用信息进行比较。您可以确定在 Content Collaboration 中为用户分配管理员权限后是否触发了风险指示器。如果是这样,您可以对特权用户的配置文件执行适当的操作。

  • 管理人员用户,最好是来自组织的最高管理层。将 Active Directory (AD) 用户组标记为执行组时,Citrix Analytics 会将此组中的所有用户设置为特权用户。它甚至监视这些用户作为高管的活动。有关详细信息,请参阅将 AD 组标记为执行组删除 AD 组作为执行组

    请考虑标记为执行组 的 AD 用户组域管理员。用户开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。过多的文件或文件夹删除 风险指示器添加到用户的风险时间线。Citrix Analytics 可帮助您将风险指示器与用户用户组页面上提供的信息进行比较。比较信息后,您可以确定是否在 AD 组被标记为执行组后触发了风险指示器。如果是这样,您可以对特权用户的配置文件执行适当的操作。

    播放列表中的“用户”控制板用户

特权用户组页面包含特权成员、工作位置和组织的列表。

播放列表中的“用户”控制板用户

将 AD 组标记为执行组

  1. 导航到“ 设置 ”>“ 用户组 ”。

  2. 选择要标记为执行组的用户组的名称。

  3. 作下,选择 标记为执行组

删除 AD 组作为执行组

  1. 导航到“ 设置 ”>“ 用户组 ”。

  2. 选择要作为执行组删除的用户组的名称。

  3. 在“ 作”下,选择“ 以执行身份删除”组

风险指示器

总结用户的前五个默认和自定义风险指示器。对于默认风险指示器,Citrix Analytics 会从已启用的数据源收集数据。

对于自定义风险指示器,Citrix Analytics 会根据生成的风险事件从以下数据源收集数据:

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Virtual Apps and Desktops

您可以查看前五个风险指示器,甚至可以根据总发生率、发生率变化或严重程度对它们进行排序。

风险指示器控制板

当您在 风险指示器 控制板上单击 查看更多 时,您将被重定向到 风险指示器概述 页面。

风险指示器概述 页面提供了对相应数据源的默认风险指示器和自定义风险指示器的见解。顶部窗格根据严重程度总结了风险指示器出现的情况。该表格提供了所选时间段内所有默认和自定义风险指示器的详细视图。当您选择风险指示器时,您将被重定向到 风险指示器详细信息 页面。或者,您可以在风险指 标控制板上选择一个风险指示器 ,以查看 风险指示器详细信息 页面。

风险指示器概览

风险指示器详细信息 页面总结了风险指示器的总出现情况。它还提供有关事件时间、用户名和事件详细信息的详细信息。

要查看风险指示器的详细信息,请单击事件详细信息列上的查看。您将被重定向到用户风险时间表上的风险指示器。用户风险时间表显示在选定时间段内生成的风险指示器。

风险指示器概览

有关默认用户风险指示器的信息,请参阅Citrix 用户风险指示器。有关自定义风险指示器的信息,请参阅自定义风险指示器

访问摘要

此控制板总结了所有网关访问事件。该图表指示所选时间段内访问事件的数量。

当您选择图表上的指针时,您将被重定向到面向网关的自助搜索页面。对于成功登录方案,数据将按“面向网关的自助搜索”页面上的状态代码排序。

访问摘要控制板

策略和操作

显示应用于用户配置文件的前五个策略和操作。单击“ 策略和操作 ”窗格上的“ 查看更多 ”链接以获取有关策略和操作的详细信息。

策略和行动控制板

主要策略

根据出现次数确定的前五个已配置策略。当您处于控制板的 顶级策略 部分并选择“ 查看更多 ”时,您将被重定向到“ 所有策略 ”页面。

策略和行动控制板

所有策略

此页面提供有关所有已配置策略的详细信息。当您选择任何策略时,您将被重定向到面向策略的自助搜索页面。在左窗格中,您可以根据应用的操作进行筛选。

当您选择用户名时,您将被重定向到风险时间轴。基于策略的操作将添加到用户的风险时间表中。当您选择操作时,其详细信息将显示在风险时间轴的右窗格中。

最高操作

对用户配置文件执行的前五个操作。最高的操作是根据出现次数确定的。当您处于控制板的“ 最高操 作”部分并选择“ 查看更多 ”时,您将被重定向到“ 操作 ”页面。

策略和行动控制板

操作

此页面提供有关每个应用操作、受影响的用户、事件、策略和操作时间事件的详细信息。选择任何操作时,您将被重定向到“ 所有策略 ”页面,其中数据基于左窗格上的指定操作进行排序。例如,当您在“ 作”页面上选择“ 请求用户响应 ”时,您将被重定向到“ 所有策略 ”页面,该页面显示与“ 请求用户响应 ”操作关联的所有已配置策略。

策略和行动控制板