“用户”控制板

用户控制板是用户行为分析和威胁防范的启动点。

此控制板提供了对组织中用户行为模式的可见性。使用此数据,您可以主动监视、检测和标记不属于常规范范围的行为,例如网络钓鱼或勒索软件攻击。默认情况下,此控制板显示用户过去一个月的风险配置文件。

“用户”控制板包含以下部分:

  • 发现的用户。组织中使用已启用 Analytics 的数据源的用户总数。单击控制板上的链接以查看 Citrix Analytics 发现的用户的完整列表。

  • 有风险的用户。以风险方式行事或表现有风险行为的用户。风险评分最高、风险评分变化最高、风险指示器、风险指示器发生和与其账户相关的风险指示器发生变化的风险用户列表。单击顶部的“风险用户”链接或“风险用户”窗格上的“查看更多”链接。您可以查看所有风险用户的列表和风险指示器。

  • 高风险用户。对组织构成直接威胁的用户。单击链接查看所有高风险用户列表及其触发的风险指示器。

  • 中等风险用户。账户中可能存在多个严重违规行为的用户,必须密切监视。单击链接查看所有中等风险用户的列表以及他们触发的风险指示器。

  • 低风险用户。在其帐户中检测到某些违规,但可能不构成威胁的用户。单击链接查看所有低风险用户列表及其触发的风险指示器。

  • 播放列表中的用户。管理员密切监视用户。单击“监视列表中的用户”框或“监视 列表中的用户”窗格上的“查 看更多”链接,以查看添加到监视列表中的用户列表。

  • 特权用户。可以在组织中查看敏感数据和修改关键系统设置的用户。单击“特权用户”窗格上的“特权用户”链接或“查看更多”链接以查看所有特权用户的列表。

  • 风险指示器。显示前五个默认值和自定义风险指示器。单击窗格底部的查 看更多 以查看 风险指示器概览 页面。

  • 访问摘要。总结用户访问组织内资源的尝试次数。

  • 策略和操作。显示应用于用户配置文件的前五个策略和操作。单击“策略和操作”窗格上的“查 看更多”链接以查看应用的策略和操作的列表。

  • 风险类别。显示 Citrix Analytics 支持的风险类别。具有类似行为模式的风险指示器分为几个类别. 单击“风险类别”窗格中的“查 看更多”以查看每个类别的详细信息。

发现的用户

组织中使用已启用 Analytics 的数据源的用户总数。他们可能具有与其账户关联的风险评分,也可能没有风险评分。“用户”控制板上发现的用 数可能超过风险用户数。

单击控制板上的链接以查看 Citrix Analytics 发现的用户的完整列表。

发现的用户

已发现用户页面显示在一段时间内发现的所有用户的列表。您可以查看过去 1 小时、12 小时、1 天、1 周或 1 个月的数据。

使用以下界面映射了解如何与“已发现用户”页面进行交互。

发现的用户部分

查看以下信息:

用户

分析发现的所有用户的列表。单击用户名可查看用户的用户信息和风险时间表。用户可能触发或可能未触发任何风险指示器。如果没有与此用户关联的风险事件,您将看到以下消息。

无风险事件

如果存在与用户关联的风险事件,您可以看到带有风险指示器详细信息的风险时间表。

有关详细信息,请参阅风险时间表

设备

用户用于访问数据源的设备数量。Citrix Analytics 从 Citrix Endpoint Management 和 Citrix Virtual Apps and Desktops 收集此数据。单击用户名,然后导航到“用户信息”以查看用户使用的设备的名称和数量。右上角的趋势视图链接提供了有关特定时间段内用户设备历史记录的图形表示。

用户信息设备

位置

用户可能已登录到数据源的位置。Citrix Analytics 从 Citrix Content Collaboration 和 Citrix Gateway 收集数据。单击用户名,然后导航到“用户信息”以查看用户访问数据的位置的名称和数量。右上角的“地图视图”链接提供特定时间段的用户登录位置历史记录。

用户信息位置

数据使用情况

用户使用的数据量可能包括上载或下载的数据、上载或下载的文件以及共享或删除的文件。Citrix Analytics 从 Citrix Content Collaboration 中收集此数据。单击用户名,然后导航到“用户信息”以查看用户数据使用情况的详细信息。趋势视图链接提供有关特定时间段内用户数据使用历史记录的图形表示。

用户信息数据使用情况

已使用的应用程序

用户在此时间段内访问的应用程序数。Citrix Analytics 会从 Citrix Virtual Apps and Desktops 收集此数据。单击用户名,然后导航到“用户信息”以查看用户使用的应用程序的名称和数量。右上角的趋势视图链接提供了有关特定时间段内用户应用程序历史记录的图形表示。

用户信息数据使用情况

访问

用户从不同位置访问数据的总次数。单击用户名,然后导航到“用户信息”以查看用户访问数据的次数。

例如,在下图中,您可以看到用户 ShareFileUser 具有“24”访问权限。

跨产品重型用户

现在,单击用户名并导航到“风险时间轴”页面上的“用户信息”窗格。您可以看到此用户具有来自两个不同位置的 24 次访问权限。

用户信息访问

有风险的用户

风险用户是发现与风险事件相关并触发至少一个风险指示器的用户。用户在特定时间段内对网络构成的风险级别由与用户关联的风险评分决定。风险评分值是动态的,基于用户行为分析。根据风险评分,风险用户可以分为三类之一:高风险用户、中风险用户或低风险用户。

Users 控制板上,您可以查看根据最高分或最高风险指示器出现次数排序的前五位风险用户。

  • 单击最高分数更改可查看基于一段时间内最高分数更改的前五名风险用户。

风险用户链接

  • 单击 风险指示器 查看最大发生率的前五个风险指示器。

  • 单击 风险指示器更改 ,查看发生率最大变化的前五个风险指示器。

风险“用户”控制板

单击顶部的“风 险用户”链接或“风 险用户”窗格中的“查 看更多”链接以查看所有风险用户和风险指示器的列表。

风险用户”页显示一段时间内所有有风险用户的列表。您可以查看过去 1 小时、12 小时、1 天、1 周或 1 个月的数据。

使用以下界面映射了解如何与“风险用户”页面进行交互。

有风险的用户

查看以下信息:

得分

评分或风险评分确定用户在特定时间段内对网络构成的风险级别。风险评分值是动态的,基于用户行为分析。根据风险评分,风险用户可以分为三类之一:高风险用户、中风险用户或低风险用户。

更改

变更是指一段时间内的风险评分变化。风险评分变化可以是正的或负的。正风险评分变化以减号 (-) 表示,这意味着用户的风险评分在一段时间内有所下降。以加号 (+) 表示的负风险评分变化,表示用户的风险评分在一段时间内增加。例如,如果用户前一天的风险评分为 72,当前风险评分为 92,则风险评分变化为负数,计算为 +20。

风险评分变化

访问、数据、应用程序

为用户触发的风险指示器类型。这些栏显示了在特定时间段内向用户提出的不同类型的风险指示器的数量。

用户

由 Citrix Analytics 的机器学习算法识别的所有风险用户的列表。单击用户名可查看用户的用户信息和风险时间表。

与用户相关的风险指示器和风险指示器触发的时间显示在风险时间表中。单击每个风险指示器以查看详细信息。单击“用户信息”可查看详细的用户信息,如设备、位置、数据使用情况和应用程序。

了解更多信息: 风险时间表

发现用户的风险时间表

发现用户的风险时间表

注意 当前,身份验证和域数据在用户信息配置文件中不可用。

显示从 Active Directory 导入的组。如果您已将 Citrix Analytics 与 Active Directory 集成,则会显示用户组名称。组名称 N/A 表示您尚未集成 Citrix Analytics 与 Active Directory。

发生次数和发生次数更改

  • 发生次数:所选时间段内默认和自定义风险指示器的总出现次数。

  • 发生次数更改:所选时间段内默认和自定义风险指示器的出现次数更改。

    正发生变化以减号 (-) 表示,这意味着风险指示器的总发生次数在一段时间内有所减少。 以加号 (+) 表示的负出现次数分数变化,这意味着风险指示器的总出现次数在一段时间内有所增加。 例如,如果在当前小时或天内发生了 4 次风险指示器,并且在前一小时或天发生了 6 次相同风险指示器, 则这两者之间的风险指示器变化计算为 4-6,发生变化为显示为-2。

有风险的用户发生次数和发生次数更改

如何从“数据源”页面导航到“用户信息”?

  1. 转到“设置”>“数据源”。
  2. 在任何数据源的站点卡上,选择用户数。
  3. 在“ 户”页上,选择一个用户,然后单击“用户信息”。将显示基于应用程序、设备、位置和数据使用情况的用户信息配置文件。

高风险用户

风险评分介于 91 到 100 之间的用户。这些用户对组织构成直接威胁。

在“用户”控制板上,您可以看到特定时间内高风险用户数的摘要。这显示了高风险用户的总数和高风险用户的人数增加。

例如,下图显示了过去 12 小时的数据。目前,有五个高风险用户,其中两个在过去 12 小时内被确定为高风险用户。

高风险用户

单击此框可查看有关高风险用户的详细信息,例如风险评分、分数变化、分数变化趋势、最新触发的风险指示器以及风险指示器类型。

了解更多信息: 有风险的用户

高风险用户详细信息

中等风险用户

风险评分介于 71 到 90 之间的用户。这些用户的帐户可能存在多个严重违规行为,必须密切监视。

在“用户”控制板上,您可以看到特定时间中等风险用户数的摘要。您可以看到中等风险用户的总数和中等风险用户的数量增加。

例如,下图显示了过去 12 小时的数据。目前,有 8 个中等风险用户,其中 7 个在过去 12 小时内被确定为中等风险用户。

中等风险用户

单击该框可查看有关中等风险用户的详细信息,例如风险评分、分数变化、分数变化趋势、最新触发的风险指示器以及风险指示器类型。

了解更多信息: 有风险的用户

中等风险用户详细信息

低风险用户

风险评分介于 0 到 70 之间的用户。这些用户可能在他们的帐户上检测到一些违规行为。它们还可以包括以前是高风险或中风险用户的用户,并在预先确定的时间段内进行了重新评估。

在“用户”控制板上,您可以看到特定时间内低风险用户数的摘要。您可以看到低风险用户的总数和低风险用户的数量增加。

例如,下图显示了过去 12 小时的数据。目前,有 147 个低风险用户,其中 61 个在过去 12 小时内被确定为低风险用户。

低风险用户

单击此框可查看有关低风险用户的详细信息,例如风险评分、分数变化、分数变化趋势、最新触发的风险指示器以及风险指示器类型。

了解更多信息: 有风险的用户

低风险用户详细信息

播放列表中的用户

密切监视潜在威胁的用户列表。例如,您可以通过将这些用户添加到监视列表来监视组织内非全职员工的用户,也可以监视频繁触发特定风险指示器的用户。

您可以手动将用户添加到监视列表,也可以定义在触发时将用户添加到监视列表的策略。如果没有用户添加到监视列表中,您将在“用户”控制板上看到以下屏幕。

监视列表中的零用户

如果您已将用户添加到播放列表中,则可以在“用户”控制板上查看播放列表中根据最高分排序的前五位用户。您还可以查看分数变化数据和分数变化趋势。

单击监视列表中的用户框或监视列表中的用户”窗格中的“查看更多”链接,以查看添加到监视列表中的所有用户的列表。

了解更多信息: 播放列表

播放列表中的“用户”控制板用户

特权用户

假设对敏感数据和系统设置的合法访问的特权用户的恶意行为往往与他们的日常活动无法区分。因此,特权用户的操作在很长一段时间内仍未被检测到。这种行动使各组织面临各种各样的风险。为了克服这一挑战,Citrix Analytics 引入了特权用户监视功能。此功能使您能够密切监视特权用户的行为异常。

在“用 ”控制板上,您可以查看根据最高分排序的前五位特权用户。

“用户”控制板特权用户

单击顶部的“特权用户”链接或“特 权用户”窗格中的“查看更多”链接。您可以查看“用户”页面,该页面显示在“筛选器”窗格中选择了 管理员 管的特权用户,以及最新的风险指示器详细信息。特权用户在 USER 列中以图标表示。您可以查看过去 1 小时、12 小时、1 天、1 周或 1 个月的数据。

“用户”控制板特权用户

Citrix Analytics 支持以下类型的特权用户:

  • 管理员。对产品或服务具有管理员权限的用户。在 Content Collaboration 服务中将用户的权限提升为管理员时,此信息将在用户页面上提供。Citrix Analytics 可帮助您以管理员身份监视其用户的活动。

    假设在 Content Collaboration 服务中为用户 Maria Brown 分配了管理员权限。Maria 开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。过多的文件或文件夹删除 风险指示器添加到用户的风险时间线。Citrix Analytics 可帮助您将此风险指示器与用户页面上的可用信息进行比较。您可以确定在 Content Collaboration 中为用户分配管理员权限后是否触发了风险指示器。如果是这样,您可以对特权用户的配置文件执行适当的操作。

  • 管理人员。用户,最好来自组织的高层管理层。当您将 Active Directory (AD) 用户组标记为执行组时,Citrix Analytics 会将此组中的所有用户作为特权用户。它甚至监视这些用户作为高管的活动。有关详细信息,请参阅将 AD 组标记为执行组删除作为执行组的 AD 组

    假设 AD 用户组域管理员标记为执行组。用户开始过度删除文件和文件夹,并触发检测到异常行为的机器学习算法。过多的文件或文件夹删除 风险指示器添加到用户的风险时间线。Citrix Analytics 可帮助您将风险指示器与用户用户组页面上提供的信息进行比较。比较信息后,您可以确定是否在 AD 组被标记为执行组后触发了风险指示器。如果是这样,您可以对特权用户的配置文件执行适当的操作。

    播放列表中的“用户”控制板用户

特权用户组页面包含特权成员、工作位置和组织的列表。

播放列表中的“用户”控制板用户

将 AD 组标记为执行组

  1. 导航到“设置”>“用户组”。

  2. 选择要标记为执行组的用户组的名称。

  3. 在“操作”下,选择“标记为执行组”。

删除作为执行组的 AD 组

  1. 导航到“设置”>“用户组”。

  2. 选择要作为执行组删除的用户组的名称。

  3. 在“作”下,选择“以执行身份删除”组

风险指示器

总结用户的前五个默认和自定义风险指示器。对于默认风险指示器,Citrix Analytics 会从已启用的数据源收集数据。

对于自定义风险指示器,Citrix Analytics 会根据生成的风险事件从以下数据源收集数据:

  • Citrix 访问控制
  • Citrix Content Collaboration
  • Citrix Virtual Apps and Desktops

您可以查看前五个风险指示器,甚至可以根据总发生率、发生率变化或严重程度对它们进行排序。

风险指示器控制板

当您在 风险指示器 控制板上单击 查看更多 时,您将被重定向到 风险指示器概述 页面。

风险指示器概述 页面提供了对相应数据源的默认风险指示器和自定义风险指示器的见解。顶部窗格根据严重程度总结了风险指示器出现的情况。该表格提供了所选时间段内所有默认和自定义风险指示器的详细视图。当您选择风险指示器时,您将被重定向到 风险指示器详细信息 页面。或者,您可以在风险指 标控制板上选择一个风险指示器 ,以查看 风险指示器详细信息 页面。

风险指示器概览

风险指示器详细信息 页面总结了风险指示器的总出现情况。它还提供有关事件时间、用户名和事件详细信息的详细信息。

要查看风险指示器的详细信息,请单击事件详细信息列上的查看。您将被重定向到用户风险时间表上的风险指示器。用户风险时间表显示在选定时间段内生成的风险指示器。

风险指示器概览

有关默认用户风险指示器的信息,请参阅Citrix 用户风险指示器。有关自定义风险指示器的信息,请参阅自定义风险指示器

访问摘要

此控制板总结了所有网关访问事件。该图表指示选定时间段内的访问事件数。

当您选择图形上的指针时,您将被重定向到 面向网关的自助搜索 页面。对于成功登录方案,数据将按“面向网关的自助搜索”页面上的状态代码排序。

访问摘要控制板

策略和操作

显示应用于用户配置文件的前五个策略和操作。单击“策略和操作”窗格上的“查看更多”链接以获取有关策略和操作的详细信息。

策略和行动控制板

主要策略

根据发生次数确定的前五个配置策略。当您处于控制板的 顶级策略 部分并选择“查看更多”时,您将被重定向到“所有策略”页面。

策略和行动控制板

所有策略

此页提供有关所有已配置策略的详细信息。当您选择任何策略时,您将被重定向到 面向策略的自助搜索 页面。在左窗格中,您可以根据应用的操作进行筛选。

当您选择用户名时,您将被重定向到风险时间表。基于策略的操作将添加到用户的风险时间表中。选择操作后,其详细信息将显示在风险时间线的右窗格中。

顶级操作

对用户配置文件执行的前五个操作。顶级操作是根据发生次数确定的。当您处于控制板的“最高操 作”部分并选择“查看更多”时,您将被重定向到“操作”页面。

策略和行动控制板

操作

此页提供有关每个应用操作、受影响的用户、发生次数、策略和操作时间事件的详细信息。选择任何操作时,您将被重定向到“所有策略”页面,其中数据基于左窗格上的指定操作进行排序。例如,当您在“ 作”页面上选择“请求用户响应”时,您将被重定向到“所有策略”页面,该页面显示与“请求用户响应”操作关联的所有已配置策略。

策略和行动控制板

风险类别

此控制板提供组织风险风险级别的汇总视图。风险指示器根据类似的风险分为已知类别。默认和自定义风险指示器支持风险分类。

风险类别控制面板

风险类别控制板的目的是使 Citrix Virtual Apps and Desktops 管理员能够管理用户风险, 并简化与安全对应方的讨论,而无需具备专家级安全知识。它允许安全强制在组织级别生效,并且不仅限于安全管理员。

用例

假设您是 Citrix Virtual Apps and Desktops 管理员,管理组织中员工的应用程序访问权限。如果转到“风险类别”>“受威胁的用户”>“过多的身份验证失败-Citrix Gateway 风险指示器”部分,则可以评估已授予访问权限的员工是否已受到威胁。如果您进一步导航,您可以更准确地了解此风险指示器,例如失败原因、登录位置、时间表详细信息和用户摘要。如果您注意到被授予访问权限的用户与被泄露的用户之间存在任何差异,您可以通知安全管理员。这种及时通知安全管理员有助于在组织一级强制执行安全。

风险类别使用案例

如何分析风险类别控制板?

在“风险类别”控制板上选择“查看更多”时,系统将重定向到汇总风险类别详细信息的页面。此页包含以下详细信息:

  • 风险类别报告:表示选定时间段内每个类别的总风险指示器发生次数。

    风险类别页面

  • 时间表详细信息:提供选定时间段内每个风险类别的总风险指示器发生次数的图形表示。如果您导航到本部分的底部,您可以根据风险类别进行排序,以便更准确地了解风险指示器。

    风险类别页面

  • 风险类别摘要:本节提供与每个类别关联的风险指示器的影响、发生次数和严重程度等详细信息。选择任何风险类别以查看与该类别关联的风险指示器的详细信息。例如,当您选择“已入侵的用户”类别时,您将被重定向到“已入侵的用户”页。

    风险类别页面

受侵害的用户”页显示以下详细信息:

  • 风险指示器报表:显示在选定时间段内属于“受损用户”类别的风险指示器。它还显示在选定时间段内触发的风险指示器的总发生次数。

    “被盗用的用户”页

  • 时间表详细信息:提供选定时间段内风险指示器发生次数的图形表示。

    “被盗用的用户”页

  • 风险指示器汇总:显示在受威胁用户类别下生成的风险指示器汇总。此部分还显示严重性、数据源、风险指示器类型、发生次数和最后一次发生次数。

    “被盗用的用户”页

当您选择风险指示器时,您将被重定向到汇总该指标详细信息的页面。例如,如果您选择从新设备首次访问风险指示器,您将被重定向到汇总此指标详细信息的页面。摘要包括有关此事件发生次数的时间表详细信息以及用户摘要,其中列出了触发此风险指示器的用户、风险指示器发生次数和事件发生时间。选择用户时,您将被重定向到用户的风险时间表。

“被盗用的用户”页

注意

Citrix Analytics 将默认风险指示器分组到相应的风险类别下。对于自定义风险指示器,您必须在“创建指示器”页上选择风险类别。有关详细信息,请参阅自定义风险指示器

风险类别的类型

数据泄漏

此类别将恶意软件触发的风险指示器或从组织中的设备进行未经授权的数据传输或数据盗窃的员工触发的风险指示器分组。您可以深入了解在指定时间段内发生的所有数据泄漏活动,并通过主动对用户配置文件应用操作来降低与此类别相关的风险。

数据泄露风险类别将以下风险指示器分组在一起:

数据源 用户风险指示器
Citrix Virtual Apps and Desktops 潜在的数据泄漏
Citrix Content Collaboration 对敏感文件的过度访问
Citrix Content Collaboration 文件共享过多
Citrix 访问控制 不寻常的上载卷

内幕威胁

此类别将组织内员工触发的风险指示器分组。由于员工对公司特定应用程序的访问权限较高,因此组织面临安全风险的可能性较高。危险活动可能是由恶意内幕人员故意造成的,也可能是人为错误的结果。在任何一种情况下,对组织的安全影响都是破坏性的。此类别提供了在指定时间段内发生的所有内部威胁活动的见解。借助这些见解,您可以通过主动对用户配置文件应用操作来降低与此类别相关的风险。

内幕威胁风险类别将以下风险指示器分组在一起:

数据源 用户风险指示器
Citrix Virtual Apps and Desktops 应用程序访问的异常时间(虚拟)
Citrix Virtual Apps and Desktops 应用程序访问 (SaaS) 的异常时间
Citrix Content Collaboration 文件或文件夹删除过多
Citrix Content Collaboration 文件上载过多
Citrix 访问控制 数据下载过多
Citrix 访问控制 尝试访问列入黑名单的 URL
Citrix 访问控制 有风险的网站访问

受到威胁的用户

此类别将用户显示异常行为模式(如可疑登录、登录失败)的风险指示器分组。或者,不寻常的模式可能是用户帐户被盗用的结果。您可以深入了解在指定时间段内发生的所有受损用户事件,并通过主动对用户配置文件应用操作来降低与此类别相关的风险。

受损用户风险类别将以下风险指示器分组在一起:

数据源 用户风险指示器
Citrix Virtual Apps and Desktops 从新设备首次访问
Citrix Content Collaboration 从新位置首次访问
Citrix Content Collaboration 身份验证失败过多
Citrix Content Collaboration 怀疑勒索软件活动
Citrix Content Collaboration 文件下载过多
Citrix Gateway 从可疑 IP 登录
Citrix Gateway 身份验证失败过多
Citrix Gateway 授权失败过多
Citrix Gateway 从新位置首次访问
Microsoft Graph 安全 Azure AD 身份保护风险指示器
Microsoft Graph 安全 Windows Defender ATP 风险指示器

受到破坏的终端节点

此类别将当设备表现出可能表明存在危险的不安全行为时触发的风险指示器分组。

受损终端风险类别将以下风险指示器分组在一起:

数据源 用户风险指示器
Citrix Virtual Apps and Desktops 从具有不支持操作系统的设备访问
Citrix Gateway 端点分析 (EPA) 扫描失败
Citrix Endpoint Management 检测到非托管设备
Citrix Endpoint Management 检测到越狱或获得 Root 权限的设备
Citrix Endpoint Management 检测到黑名单应用程序的设备