Citrix 的目标是在新功能和产品更新可用时，立即将其交付给 Citrix Analytics 客户。新版本提供更多价值，因此没有理由延迟更新。

对于您（客户）而言，此过程是透明的。初始更新仅应用于 Citrix 内部站点，然后逐步应用于客户环境。以增量波次交付更新有助于确保产品质量并最大限度地提高可用性。

2024 年 4 月 15 日

新增执行摘要报告

您现在可以选择将多个报告整合到一个执行报告中，并可按所需时间段进行安排。借助此新功能，您只需向受众提供必要的图形信息。有关详细信息，请参阅执行摘要报告。

2024 年 1 月 29 日

Workspace 应用程序状态字段更新

• 自助搜索：您现在可以利用为 Citrix Apps and Desktops 数据源新引入的 Workspace 应用程序状态字段，执行查询以查找 Workspace 应用程序版本的支持状态。
• 用户：Workspace 应用程序状态列已删除。

有关详细信息，请参阅应用程序和桌面自助搜索。

2024 年 1 月 25 日

CAS UI 中的不一致之处已精简

Apps and Desktops 数据源的自助搜索功能中已解决以下问题：

• 以前在会话中乱序显示的事件现在可以正确显示。
• 默认列已更新。

2024 年 1 月 24 日

SIEM 环境中增强的用户配置文件事件

导出到 SIEM 环境的用户配置文件事件现在包括：

• IP 地址洞察
• Citrix Virtual Apps and Desktops™ 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）位置洞察

这些新增强功能使您能够识别用于访问组织数据的客户端 IP 地址，并从 Citrix Virtual Apps™ and Desktops 以及 Citrix DaaS 收集用户位置信息。

有关详细信息，请参阅 SIEM 的风险洞察数据。

2023 年 12 月 01 日

用于每周电子邮件和 SIEM 警报的管理员电子邮件设置页面

新的管理员电子邮件设置功能允许您为系统警报配置自定义通讯组列表收件人。此增强功能可确保管理员仅收到与其相关的系统警报。

有关详细信息，请参阅管理员电子邮件设置。

用户控制板 - 新增活动用户计数时间筛选器并更新了“概述”部分

用户控制板中的新时间筛选器允许您查看和修改组织中在特定时间段内的活动用户总数，同时考虑您已启用 Citrix Analytics 的数据源。

用户控制板中增强的概述部分显示了组织中的用户总数，以及当前已登录的活动和非活动用户数。

有关详细信息，请参阅用户控制板。

增强型自定义报告

• 您现在可以使用 Citrix Analytics for Security 中提供的事件和洞察创建和安排自定义报告。自定义报告可帮助您提取特定感兴趣的信息并以图形方式组织数据。
• 您现在可以使用增强的自定义报告平台功能，其中包括基于自助搜索查询的报告、模板、更好的可视化效果、所有数据源和指标的覆盖范围、安排报告以及导出 PDF。

有关详细信息，请参阅自定义报告。

2023 年 11 月 30 日

删除了 Citrix Analytics 中的所有 ShareFile 功能

已删除以下 ShareFile 检测功能：

• 共享链接
• 关联的风险指标
• 具有其发生次数的策略
• 内容协作数据导出配置
• 内容协作报告
• 搜索中的内容协作数据源
• 内容协作保存的搜索
• 内容协作数据源。

删除这些功能可能会导致风险评分和用户时间线暂时不一致。所有其他 Citrix Analytics 功能保持不变。

了解 ShareFile 如何直接从 ShareFile.com 简化对安全控制的访问。

2023 年 9 月 22 日

自定义指标中的 Citrix Secure Browser 数据源

您现在可以为 Citrix Secure Browser 数据源创建风险指标，以跟踪用户在安全浏览器中的活动。有关详细信息，请参阅自定义指标。

增强了带有 SIEM 数据导出的每周电子邮件

每周电子邮件已得到增强，通过启用 SIEM 数据导出，可以更深入地了解组织的安全状况。您现在可以加入并激活更多数据源，以发现围绕用户的各种事件。每周电子邮件包括以下新增内容：

• 数据摘要部分显示 SIEM 环境中的数据消耗状态。
• 根据数据导出消耗状态提供数据导出建议。

有关详细信息，请参阅每周电子邮件通知。

电子邮件中自定义管理员通知首选项的消费

Citrix Analytics for Security 现在遵守自定义管理员在 Citrix Cloud 中设置的通知首选项。此增强功能为自定义管理员提供了更大的灵活性来管理其通知首选项。此首选项在发送通知电子邮件（例如每周电子邮件、通知管理员操作电子邮件和数据导出警报）时也会被利用。

有关详细信息，请参阅管理 Security Analytics 的管理员角色。

2023 年 7 月 04 日

自助搜索和自定义指标中支持 OR 运算符

OR 运算符现在可在自助搜索和自定义风险指标功能中使用。您可以在自助搜索和自定义指标查询等搜索视图中使用 OR 运算符。

有关详细信息，请参阅搜索查询中支持的运算符。

2023 年 6 月 15 日

启用 VDA 剪贴板遥测

当您在 Citrix Apps and Desktops 中启动任何剪贴板操作时，会触发一个名为 VDA.Clipboard 的事件。这些剪贴板日志提供重要信息，例如 VDA 名称、剪贴板大小、剪贴板格式类型、客户端 IP、剪贴板操作、剪贴板操作方向以及是否允许剪贴板操作。VDA 剪贴板事件属性也可在自助搜索和自定义风险指标工作流中使用。

• 自助搜索：您可以生成报告、保存查询并查看 VDA.Clipboard 事件及其所有属性详细信息。
• 自定义风险指标：VDA 剪贴板事件的属性可用于自定义指标工作流。您可以使用这些事件键/值对来配置自定义指标触发器并设置带有操作的自动化策略。

您可以使用用于安全监控的剪贴板位置元数据收集策略来启用剪贴板遥测以及剪贴板日志到 Citrix Analytics for Security 的传输。默认情况下，此策略处于启用状态。要禁用，请导航到“策略”页面并禁用它以停止从 VDA 收集数据。

有关详细信息，请参阅为 Citrix DaaS 启用剪贴板遥测。

2023 年 6 月 14 日

Citrix Analytics for Security 中提供会话录制应用程序生命周期和注册表事件

Citrix Analytics for Security 中现在提供会话录制中的以下应用程序生命周期和注册表事件：

• Citrix.EventMonitor.RegistryChange
• Citrix.EventMonitor.SessionLaunch
• Citrix.EventMonitor.SessionEnd
• Citrix.EventMonitor.Clipboard
• Citrix.EventMonitor.FileTransfer

您可以查看这些事件、创建自定义指标并将这些事件导出到 SIEM 环境。

有关详细信息，请参阅事件类型和支持的字段。

2023 年 6 月 08 日

已修复问题

• 发送到 Citrix Analytics for Security 的某些会话登录事件没有用户名。这导致在自助搜索和访问保障用户登录页面上，某些事件的用户名列显示为 NA。有时，当查看最近 1 小时或最近 1 天等小时间范围的数据时，这还会导致唯一用户计数为零，尽管访问保障 IP 注册组织图表中的总登录计数不为零。此问题现已修复。[CAS-70954]

• 在应用程序和桌面的自助搜索中，对于 Session.Logon 和 Session.end 用户事件，搜索查询中的 App-Name 维度填充的是交付组名称，而不是启动的应用程序或桌面的名称，这可能会误导管理员。App-Name 维度对于 App.Start/App.End 事件的查询更有用，因为它指向正在启动的应用程序。有关更多详细信息，请参阅应用程序和桌面的自助搜索。此问题现已修复。[CAS-67968]

• 如果您的组织在 亚太南部 主区域加入 Citrix Cloud，则您的 Citrix Analytics 租户中不会显示内容协作事件。此问题现已修复。[CAS-62317]

• Citrix Workspace 应用程序和 Citrix Receiver 客户端的少数版本不会向 Citrix Analytics 发送特定事件。因此，Citrix Analytics 无法为这些事件提供洞察并生成风险指标。此问题现已修复。有关详细信息，请参阅检查 6：虚拟应用程序和桌面事件是否传输到 Analytics？。[CAS-16151]

2023 年 5 月 29 日

Citrix Analytics Splunk 附加组件现已在 Splunk Cloud Platform 上提供

Citrix Analytics 的 Splunk 集成利用 Citrix Analytics Splunk 附加组件连接到分析环境，并将业务关键数据引入您的 Splunk 环境。

此前，该附加组件仅由 Splunk 验证可在 Splunk Enterprise 层安装，客户负责在其本地 Splunk 环境中配置该附加组件。最新版本 2.1.2 增加了 Splunk Cloud 的 Splunk 平台兼容性。使用 IDM 的 Classic 实例或 Victoria 实例的客户可以利用此平台兼容性增强功能。现在，客户在考虑部署我们的附加组件以促进 Splunk 集成时，可以灵活选择 Splunk Enterprise 或 Splunk Cloud。

有关详细信息，请参阅Splunk 集成。

SIEM 中的会话录制事件

会话录制事件现在可以以 风险洞察 事件和应用程序和桌面的 数据源 事件的形式导出到 SIEM。新添加的事件类型可在数据导出页面下的“导出阶段的数据事件”中找到。

有关详细信息，请参阅策略和操作。

2023 年 5 月 24 日

通知最终用户全局操作

Citrix Analytics 中的策略和操作功能现在支持通知最终用户全局操作，该操作可以与内置或自定义风险指标触发器配对。管理员可以创建带有通知最终用户操作的策略，该操作仅为最终用户生成电子邮件通知。此操作可用于各种合规性用例，例如通知用户未经授权的应用程序使用，或在不采取任何破坏性操作的情况下提醒其 Citrix 帐户上的可疑行为。管理员可以根据具体情况自定义电子邮件正文和主题行。

有关详细信息，请参阅通知最终用户。

2023 年 5 月 04 日

测试事件生成

测试事件生成功能旨在帮助客户快速测试其 Citrix Analytics - SIEM 管道。此前，如果管理员必须测试此集成，她/他将不得不等待数据源加入和用户活动，以检查 Citrix Analytics 是否正在生成事件并因此由其 SIEM 环境接收。这不再是必需的。只需单击发送测试数据按钮即可将虚拟事件发送到 SIEM 环境，并使用提供的查询检查 Citrix Analytics SIEM 集成是否按预期设置。这对于尝试调试中断数据流的管理员也有效，因为它可以帮助隔离故障点。

有关详细信息，请参阅测试事件生成。

SIEM 电子邮件警报生成

SIEM 电子邮件警报生成功能将数据导出的故障排除过程提升到一个新的便捷水平。Citrix Analytics 会针对可能导致或指示 SIEM 数据流中断的活动发送系统警报。该电子邮件会分发给 Citrix Cloud 管理员、安全完全管理员、安全只读管理员以及安全和性能只读管理员。以下是发送的不同类型的警报：

1. SIEM 数据导出警报 - 密码已重置

   每当从“数据导出”页面重置帐户密码时，都会触发此电子邮件。如果仅在 Citrix Analytics for Security GUI 上完成，可能会导致数据流中断。此警报包含执行密码重置的时间，因此可以更轻松地恢复成功的数据流。

2. SIEM 数据导出警报 - 数据流已停止

   当客户遇到以下情况导致数据流中断时，会触发此电子邮件：

• 超过 24 小时 - 关键时间，可通过警报中提供的有用故障排除提示或利用带有快速指南的数据导出摘要选项卡，快速恢复成功的数据流。

• 超过 7 天 - 每个客户主题的 Kakfa 保留策略为七天，这意味着某些安全态势数据可能已过期。必须使用故障排除工具来恢复到 SIEM 的数据流。

• 超过 30 天 - 这意味着客户已遭受安全相关数据损失，需要立即关注从 Citrix Analytics 恢复到 SIEM 环境的数据流。

有关详细信息，请参阅SIEM 电子邮件警报生成。

2023 年 4 月 13 日

已修复问题

Windows Citrix Workspace™ 应用程序从 Citrix Workspace 应用程序版本 2203 及更高版本发送空文件名、路径和格式属性。因此，Citrix Analytics for Security GUI 为“下载文件名”、“下载文件路径”和“下载文件格式”列显示 NA 值。此问题现已修复。[CAS-73498]

2023 年 3 月 31 日

Citrix Analytics for Security 中的会话录制事件

在 Citrix Apps and Desktops 中，已添加两种新的事件类型，以帮助识别和评估基于会话录制的事件。

• Citrix.EventMonitor.RDPConnection
• Citrix.EventMonitor.UserAccountModification

管理员现在可以轻松识别和评估潜在的安全风险。他们可以使用这些事件收集有关重要数据的信息，例如进程 ID、目标 IP 地址和用户帐户操作的描述。此外，这些事件还可以在自定义风险指标页面和自助搜索页面上找到。

• 自助搜索：您可以查看这些事件及其属性详细信息。
• 自定义风险指标：您可以使用这些事件类型配置任何自定义指标。 有关详细信息，请参阅事件类型和支持的字段。

自助搜索中的应用程序保护事件

当您尝试在 Citrix Apps and Desktops 数据源下的受保护会话中捕获屏幕截图时，会触发一个名为 AppProtection.ScreenCapture 的新事件。AppProtection.ScreenCapture 事件也可在自助搜索和数据导出页面上找到。

• 自助搜索：您可以查看 AppProtection.ScreenCapture 结果及其所有属性详细信息。
• 数据导出：您可以在“数据导出”部分下查看 AppProtection.ScreenCapture 事件类型。导航到设置 > 数据导出 > 配置 > 导出数据事件 > 从“数据源事件 (可选)”类别中选择应用程序和桌面。

您还可以查看 Session.Logon 事件的新属性 App Protection Policies。

有关详细信息，请参阅事件类型和支持的字段。

2023 年 3 月 30 日

自定义角色支持

可以使用 Active Directory 或 Azure Active Directory 中的组，或通过为 Citrix Analytics for Security 设置 Okta 集成来添加自定义角色的管理员。此集成可实现简化的方法来管理所有组管理员的服务访问权限。

成功将管理员添加到 Active Directory 或 Azure Active Directory 后，管理员可以创建组并将自定义角色分配给特定组。如果管理员同时是两个组的成员，则个人权限优先于组权限。

有关详细信息，请参阅自定义角色支持。

SIEM UI 的故障排除面板

数据导出 UI 已通过以下更改得到增强：

• 摘要选项卡：“摘要”选项卡描述了 SIEM 事件指标、数据源加入状态以及以下情况下的数据消耗状态：

  • Citrix Analytics 中可用数据：提供不同数据源的加入状态。
  • 可用于 SIEM 消耗的事件：提供发送到 SIEM 环境的洞察数量。
  • SIEM 的数据消耗：提供数据消耗状态。

• 配置选项卡：“配置”选项卡包含有关您的帐户设置、SIEM 环境设置和数据事件选择的信息。

• 数据导出快速指南：管理员现在可以使用快速指南，这使得设置和维护 SIEM 集成变得更加简单。数据导出快速指南链接可从“摘要”和“配置”选项卡访问。

有关详细信息，请参阅故障排除数据导出。

2023 年 3 月 24 日

用户配置文件视图中的更改

与应用程序、位置、设备和 ShareFile 数据使用相关的用户配置文件数据在用户时间线中的用户信息页面上不可用。以下来自 Active Directory 的用户信息仍然可用：

• 职位
• 地址
• 电子邮件
• 电话
• 位置
• 组织

导出到 SIEM 的用户配置文件数据没有变化。有关详细信息，请参阅用户配置文件。

从所有搜索视图中删除动态自动建议

基于租户历史数据的维度自动建议功能现在已针对以下页面弃用：

• 自助搜索
• 自定义风险指标

但是，搜索框中仍然提供维度（例如 Event-Type 和 Clipboard-Operations）的静态建议。

有关详细信息，请参阅如何使用自助搜索。

2023 年 3 月 21 日

帮助加入本地 StoreFront™ 数据源的建议面板

数据源页面上引入了一个新的建议面板。数据源页面上的建议面板向用户介绍了加入本地 StoreFront 数据源的重要性。它帮助用户轻松加入本地 StoreFront 数据源，并为用户提供了一个选项，以审查并确保加入所有可用数据源。

有关更多详细信息，请参阅连接到 StoreFront 部署。

2023 年 2 月 23 日

已修复问题

对于 Citrix Apps and Desktop 版本 > 1912 的本地 Citrix Apps and Desktop 部署，操作失败。此问题已在手动和基于策略的操作中发现。此问题现已修复。[CAS-69098]

当虚拟应用程序仅启动一次时，应用程序和桌面的自助搜索页面会显示多个应用程序启动和应用程序结束事件。此问题发生在适用于 Linux 客户端版本的 Citrix Workspace 应用程序上。此问题现已修复。[CAS-36236]

2022 年 4 月 4 日之后至 2022 年 5 月底的 Secure Private Access 服务用户事件可能在您的 Citrix Analytics 租户中不可用。此问题现已修复。[CAS-66897]

2023 年 2 月 22 日

每周电子邮件通知的增强功能

Citrix Analytics 会发送每周电子邮件通知，帮助总结组织的安全风险暴露情况。每周电子邮件通知已通过以下更新得到改进：

• 提供用户风险分布视图 - 一周内发现的用户总数、高风险用户数和非高风险用户数
• 一周内处理的事件总数
• 一周内触发的指标总数
• 一周内执行的操作总数
• 已启用数据处理的数据源总数

有关更多详细信息，请参阅每周电子邮件通知。

为 App.SaaS.File.Download 事件类型添加了“下载文件格式”字段

在应用程序和桌面数据源的自助搜索页面中，为 App.SaaS.File.Download 事件类型添加了一个新的下载文件格式字段。通过此更改，您现在可以为下载文件格式字段配置自定义风险指标，并将其作为导出到 CSV 格式的一部分进行导出。

有关详细信息，请参阅应用程序和桌面的自助搜索。

浏览器派生字段中的更改

此前，自助搜索页面提供了浏览器、浏览器主版本和浏览器次版本字段来表示浏览器名称和版本。但是，为了确保清晰度和准确性，现在这些三个字段已弃用，并替换为应用程序和桌面数据源的自助搜索、自定义指标模板和 CSV 下载中的浏览器名称和浏览器版本。

有关详细信息，请参阅应用程序和桌面的自助搜索。

2023 年 2 月 16 日

已修复问题

在获取租户的用户名掩码状态时，一些欧盟和亚太地区客户的每周电子邮件受到影响。因此，由于异常，管理员收到了 10 封相同的每周电子邮件。一旦发生异常，后续租户将不会收到每周电子邮件。此问题现已修复。[CAS-76138]

2023 年 2 月 03 日

适用于欧盟和亚太南部地区的 Citrix Secure Private Access™ 服务的 Analytics 支持

Citrix Analytics for Security 现在处理来自欧盟和亚太南部地区可用的 Citrix Secure Private Access 的用户事件。如果您的组织从欧盟地区或亚太南部地区加入 Citrix Cloud，您可以查看使用 Secure Private Access 服务的用户的风险洞察。

有关详细信息，请参阅数据源。

2023 年 1 月 11 日

从 Secure Private Access 中删除 Web 过滤功能

Web 过滤功能已从 Secure Private Access 类别中删除。由于 Secure Private Access 弃用了基于类别的 Web 过滤，Citrix Analytics for Security 上的以下功能受到影响：

1. “类别组”、“类别”和“URL 信誉”等数据字段不再在 Citrix Analytics for Security 控制板上可用。

2. 依赖相同数据的“高风险网站访问”指标也已弃用，并且不会为客户触发。

3. 任何使用数据字段（“类别组”、“类别”和“URL 信誉”）及其关联策略的现有自定义风险指标不再触发。

4. 用户访问和应用程序访问选项卡。

5. SIEM 导出将继续在一段时间内具有 urlcategory、urlcategorygroup 和 urlcategoryreputation 属性，并具有以下虚拟值：

   • 类别和类别组为 99999
   • 信誉为 0

有关详细信息，请参阅Secure Private Access 的自助搜索。

2022 年 12 月 27 日

自助搜索数据源下拉列表中的更改

数据源列表已更改，默认显示会话而不是应用程序和桌面。此外，“性能”部分已移至顶部，后跟“安全”部分，因为性能数据源不可见。

有关详细信息，请参阅自助搜索。

2022 年 12 月 13 日

用户控制板增强功能

用户控制板已重新设计，包含摘要和图表，以帮助管理员监控组织的安全状况。该视图不仅提供发现的用户、触发的风险指标和应用的操作的详细信息，还提供基于时间的关键指标趋势线，以便更好地评估风险。管理员可以深入研究感兴趣的数据，并导航到具有正确上下文的相关控制板，以加快风险分析。

有关详细信息，请参阅用户控制板。

2022 年 12 月 05 日

访问保障控制板 - 登录网络

新增了“登录网络”部分，提供以下用户详细信息：

• 用户登录所用 IP 地址关联的组织。

• 用户登录所用的唯一公共子网和私有子网总数。

• 用户使用代理和私人 VPN 服务登录的详细信息。

通过这些附加详细信息，管理员可以验证用户登录详细信息，并确保用户登录符合组织的安全预期。

有关更多详细信息，请参阅访问保障控制板。

2022 年 11 月 18 日

已修复问题

• 已修复错误触发的无源事件的地理围栏指标。[CAS-73222]

2022 年 11 月 08 日

重命名操作

Citrix Analytics for Security 中使用的一些操作已重命名，以提供更清晰的说明。这些操作是：

• 通知管理员 - 通知管理员
• 锁定用户 - 锁定用户帐户
• 注销用户 - 注销活动会话
• 解锁用户 - 解锁用户帐户
• 禁用用户 - 禁用用户帐户

有关详细信息，请参阅操作有哪些？

已修复问题

• 如果您从时间线操作下拉列表中选择一个选项，则无法触发任何手动操作，因为“清除”和“应用”按钮不可见。此情况发生在最新版本的 Firefox 中。此问题现已修复。[CAS-72051]

• 在应用程序和桌面数据源的自助搜索中，HardDrive、harddrive 和 HDD 类别合并为一个类别，即 Hard Disk Drive，用于“下载设备类型”字段。[CAS-67188]

• 有时，从 Microsoft Graph 收到具有相同警报 ID 的重复通知，这导致创建重复的风险事件。应用程序内部实施了去重机制以防止此问题。[CAS-66731]

2022 年 10 月 19 日

数据源事件选择和导出

您现在可以利用新的数据事件导出工作流，除了机器学习生成的风险洞察事件和相关数据之外，还可以导出数据源事件。

这使安全和安全运营 (SOC) 管理员能够：

• 将 Citrix Analytics 的数据与聚合在安全信息和事件管理 (SIEM) 上的其他数据源事件关联起来

• 控制哪些数据事件流向 SIEM 以优化存储成本

数据事件将交付给您现有的 SIEM 集成和数据连接器，并与我们自助服务事件搜索视图中可用的数据事件保持一致。

有关详细信息，请参阅从 Citrix Analytics for Security 导出到 SIEM 服务的数据事件。

2022 年 10 月 18 日

允许管理员在 Citrix DaaS™ 站点上运行动态会话录制操作

管理员现在可以在 Citrix DaaS 站点上运行动态会话录制操作，并动态录制用户的虚拟会话。他们可以配置带有策略的操作，以便在 Citrix Analytics for Security 检测到给定用户的危险活动时自动开始录制用户会话。

有关详细信息，请参阅操作有哪些？

2022 年 10 月 14 日

为用户风险指标提供反馈

Citrix Analytics for Security 管理员现在可以通过在指标详细信息面板上提供反馈，将用户风险指标报告为有用或无用。此功能使管理员能够报告误报、减少频繁触发指标的干扰，并与其他管理员共享附加上下文。作为附加结果，无用的风险指标将从用户的时间线中隐藏，并且用户风险评分将重新校准。

有关详细信息，请参阅为用户风险指标提供反馈。

2022 年 9 月 26 日

访问保障支持地理围栏阻止列表

安全和高风险位置选项卡已添加到地理围栏设置下。

• 安全位置地理围栏有助于识别和限制对定义地理围栏区域之外的访问。
• 高风险位置地理围栏有助于根据组织的已知行为检测和缩小高风险用户访问范围。

安全和高风险地理围栏都由其自己的预配置自定义风险指标支持。

有关详细信息，请参阅启用地理围栏。

已修复问题

• Citrix Cloud API 在电子邮件正文中显示客户名称。现在，电子邮件使用昵称在发送给管理员的电子邮件正文中显示客户名称。[CAS-65350]

• Citrix Gateway 数据源卡在 Citrix Analytics for Security 和 Citrix Analytics for Performance™ 之间是通用的。数据处理不断调用 Citrix Analytics for Security 端点，并且对于仅拥有 Citrix Analytics for Performance 权利的客户而言已中断。[CAS-70817]

• 当同时从 Citrix Cloud 收到多个权利消息时，在更新 Redis 缓存时会出现竞争条件。在这种情况下，一个权利消息会更新到缓存中，其余的则丢失。此问题现已修复，以更新缓存中的所有权利消息。[CAS-70823]

2022 年 9 月 13 日

共享链接控制板增强功能

共享链接控制板已通过摘要和详细视图进行了改进。摘要视图包含最活跃的共享和最高风险的共享。详细视图通过引入创建者、活动计数、身份验证类型、权限、共享类型和内容等属性，为管理员提供了更多信息。管理员可以根据需要进一步深入和筛选，并更改/提供时间范围以查看感兴趣的数据。

有关详细信息，请参阅共享链接控制板。

2022 年 9 月 09 日

不可能旅行 RI 增强功能

不可能旅行风险指标已得到增强，可报告客户端 IP 地址的注册组织和路由类型。这些新字段在用户时间线指标详细信息视图和发送到 SIEM 的指标详细信息中均可用。

有关默认策略的更多信息，请参阅以下文章：

• 持续风险评估。
• 策略和操作

2022 年 8 月 19 日

启用 VDA 打印遥测

当在 Citrix Apps and Desktops 中启动打印作业时，会触发一个名为 VDA.Print 的事件。VDA 打印事件也可在自助搜索和自定义风险指标页面上找到。

• 自助搜索：您可以查看 VDA.Print 结果及其所有属性详细信息。
• 自定义风险指标：通过 EventHub 为 VDA 打印遥测提供了新事件，并且也可在自定义指标中使用。您可以使用这些事件键/值对来配置自定义指标触发器。

要启用打印遥测并将打印日志传输到 Citrix Analytics for Security，您需要创建注册表项并配置 VDA。这些打印日志提供有关打印活动的重要信息，例如打印机名称、打印文件名和打印总份数。作为安全管理员，您可以使用这些日志来分析风险并调查用户。

有关详细信息，请参阅为 Citrix DaaS 启用打印遥测。

2022 年 8 月 18 日

已修复问题

• 在应用程序和桌面的自助搜索以及访问保障位置控制板下的用户登录页面中，下载的 CSV 文件中的 Workspace 应用程序版本值填充为 NA（不可用），而该值在页面视图中可用。此问题现已修复。[CAS-70361]

2022 年 8 月 17 日

按策略自定义最终用户电子邮件

您现在可以按策略自定义发送给最终用户的电子邮件内容。具体来说，当您创建带有“请求最终用户响应”操作或对用户帐户的破坏性操作（例如“注销用户”和“锁定用户”）的策略时，当策略应用时发送给最终用户的电子邮件内容是可自定义的。

有关按策略自定义最终用户邮件的更多信息，请参阅策略和操作。

2022 年 8 月 11 日

访问保障 – 地理位置的新问题已添加到 FAQ 文章中。有关更多详细信息，请参阅 FAQ。

已修复问题

• 查看所有通知按钮将管理员重定向到 https://citrix.cloud.com/notifications，该每周电子邮件链接存在拼写错误。[CAS-69236]

2022 年 6 月 17 日

新付费权利默认启用数据处理

此前，拥有 Citrix Analytics for Security 新付费权利的客户必须在特定数据源的站点卡中启用数据处理，才能开始处理这些数据源的数据。

在此版本中，当 Citrix Analytics for Security 的新付费权利配置后，以下 Citrix Cloud 服务将默认启用数据处理：

• Citrix Secure Private Access
• Citrix Content Collaboration™
• Citrix DaaS

有关详细信息，请参阅入门。

2022 年 6 月 09 日

已修复问题

• Azure AD 身份保护和 Microsoft Defender for Endpoint 生成的 Microsoft Graph 风险指标可能会在 Security Analytics 中多次显示。此问题现已修复。[CAS-66593,CAS-66731]

2022 年 6 月 02 日

已修复问题

• 在策略的自助搜索中，当在搜索查询中选择 Policy-Name 维度来筛选事件时，会建议非有效策略以及 Security Analytics 的有效策略。[CAS-66838]

• Windows Citrix Receiver 中 File.Download 事件的下载文件大小在自助搜索中显示不正确。此问题出现的原因是实际值以 KB 为单位，而 UI 将该值视为字节，导致向用户显示不正确的值。[CAS-67105]

2022 年 5 月 24 日

引入内容协作、Citrix DaaS 和 Citrix Virtual Apps and Desktops 以及 Gateway 数据源的不可能旅行风险指标

如果用户从两个相距太远的位置登录，无法在规定时间内到达，Citrix Analytics 会将此活动检测为不可能旅行场景，并触发不可能旅行风险指标。有关不可能旅行风险指标的更多信息，请参阅以下文章：

• Citrix 内容协作风险指标

• Citrix Gateway 风险指标

• Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标

2022 年 5 月 17 日

Virtual Apps and Desktops 已重命名为 Apps and Desktops

在 Security Analytics 控制板和报告中，以及 Security Analytics 发送到 SIEM 服务的数据中，所有 Virtual Apps and Desktops 标签现在都已更新为 Apps and Desktops，以与重命名的产品名称保持一致。

例如，在“数据源”页面上，Virtual Apps and Desktops 标签已重命名为 Apps and Desktops。

Apps and Desktops 标签代表您组织中的 Citrix 本地 Citrix Virtual Apps and Desktops 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）。

已修复问题

Citrix Analytics 不会自动发现与您的 Citrix Cloud 帐户关联的 Citrix DaaS Cloud Monitor 或 Director 站点。[CAS-66801]

2022 年 4 月 05 日

新增功能

Secure Workspace Access 已重命名为 Secure Private Access

在 Analytics 控制板和报告中，所有 Secure Workspace Access 标签现在都已更新为 Secure Private Access，以与重命名的产品名称保持一致。

例如，在数据源页面和自助搜索页面上，Secure Workspace Access 标签已重命名为 Secure Private Access。

2022 年 3 月 21 日

已修复问题

• 在创建风险指标页面中，如果搜索查询的先前条件包含由空格分隔的维度值，则维度的自动建议和运算符不起作用。

  例如，在以下查询中，选择城市为 San Jose 后，自动建议停止工作。此问题现已修复。[CAS-64126]

  

2022 年 3 月 10 日

新增功能

通知管理员电子邮件增强功能

• 通知管理员操作的电子邮件通知现在提供与触发策略关联的多个风险指标的详细信息。

• 您可以查看与策略关联的每个风险指标的名称、严重性级别和触发日期。

• 单击查看风险详细信息可在 Citrix Analytics 中打开用户时间线页面，并查看触发策略的最新风险指标。在用户时间线页面上，您还可以查看为用户触发的所有风险指标。

有关通知管理员操作的更多信息，请参阅策略和操作。

已修复问题

Citrix Analytics 无法从 Secure Workspace Access 数据源接收用户事件。因此，您在相应的自助搜索页面中看不到用户事件。此外，您无法为 Secure Workspace Access 数据源创建自定义风险指标。[CAS-64619]

2022 年 3 月 03 日

新增功能

手动应用请求最终用户响应

以前，您只能通过创建策略来对用户帐户应用请求最终用户响应操作。 在此版本中，您可以从用户时间线上的操作列表中选择该操作，并手动将此操作应用于风险指标。

有关操作以及如何手动应用操作的更多信息，请参阅策略和操作。

策略的最终用户响应请求增强功能

当您创建带有请求最终用户响应操作的策略时，您会看到以下增强功能：

• 选择通知管理员作为下一步操作后，您现在可以查看默认和已创建的电子邮件通讯组列表，您可以从中进行选择。

  

• 您现在可以从 Citrix Content Collaboration 或 Citrix Virtual Apps and Desktops 和 Citrix DaaS 中选择一个操作作为下一步操作。以前，您只能选择一个全局操作或 Citrix Gateway 操作。

  

有关操作的更多信息，请参阅策略和操作。

2022 年 2 月 23 日

新增功能

风险指标的建议操作

当为用户触发以下风险指标时，Citrix Analytics 建议您应用通知管理员、添加到观察列表和创建策略等操作：

• 异常身份验证失败（内容协作数据源）

• 异常身份验证失败（Gateway 数据源）

• 可疑登录（Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源）

当您转到用户时间线并选择风险指标时，您可以在建议操作部分中查看所有建议的操作。

例如，在“异常身份验证失败”风险指标中，您可以查看以下建议操作：

此功能提供了根据用户所面临风险的严重性选择操作的指导。但是，您也可以根据您的风险分析采取推荐列表之外的适当操作。

已修复问题

• 如果您的组织在亚太南部主区域加入 Citrix Cloud，则 Citrix Analytics 可能无法从身份验证数据源接收用户事件。因此，您可能在相应的自助搜索页面中看不到用户事件。此问题已修复。[CAS-62300]

2022 年 2 月 17 日

新增功能

改进了 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源的数据收集和报告

在此版本中，您会看到以下更改：

• 改进了 Citrix Workspace 应用程序客户端和 Citrix Monitor 服务的数据收集、关联和事件报告。

• 改进了从用户和客户端版本接收的事件质量，这些事件可用于自助搜索、自定义风险指标和整体风险检测。

支持内容协作中会话事件和应用程序事件的上下文模板

在自助搜索页面上，您现在只能查看与文件、文件夹、会话、共享和用户事件相关的字段的详细信息。已删除不适用于事件的字段。

例如，您可以查看 File.Copy 事件的以下详细信息：

• 文件 ID

• 文件复制 ID

• 文件路径

• 目标文件路径

• 流 ID

• 区域 ID

这些详细信息有助于您在风险调查和分析与危险行为相关的用户帐户时。您可以深入了解似乎有风险的事件的特定属性。

有关字段的更多信息，请参阅内容协作的自助搜索。

2022 年 2 月 10 日

新增功能

自定义风险指标中维度的自动建议值

在自定义风险指标页面中，当您在条件栏中选择一个维度和有效的运算符时，该维度的值会自动显示。您可以从自动建议列表中选择一个值，或根据您的用例手动输入一个值。当您键入一个值时，记录中可用的匹配值会自动建议。

为维度建议的值列表要么是数据库中预定义的（已知值），要么是基于历史事件的。

例如，当您选择维度 Event-Type 和赋值运算符时，已知值会自动建议。您可以根据您的要求选择一个值。

有关详细信息，请参阅自定义风险指标。

2022 年 2 月 09 日

新增功能

管理员的新自定义角色

作为具有完全访问权限的 Citrix Cloud 管理员，您可以邀请其他管理员管理组织中的 Security Analytics。您现在可以为受邀管理员分配以下自定义角色：

• Security Analytics - 完全管理员

• Security Analytics - 只读管理员

使用自定义角色，您可以为管理员提供只读或完全访问权限，并允许他们管理 Security Analytics 的各种功能。

有关这些自定义角色的访问权限的更多信息，请参阅管理 Security Analytics 的管理员角色。

支持自定义访问管理员的电子邮件通知

如果您是具有自定义访问（只读或完全访问）权限的 Citrix Cloud 管理员，可以管理 Security Analytics，您现在会收到以下通知：

• 关于组织中检测到的安全风险的每周通知。有关详细信息，请参阅每周电子邮件通知。

• 当手动应用或由策略触发通知管理员操作时，关于风险指标的通知。有关详细信息，请参阅策略和操作。

2022 年 1 月 28 日

新增功能

引入内容协作和 Gateway 数据源的可疑登录风险指标

Citrix Analytics for Security 现在根据多个上下文因素检测可疑的用户登录，例如：

• 该位置相对于用户和组织历史记录被视为异常

• 该设备相对于用户和组织历史记录被视为异常

• 该网络相对于用户和组织历史记录被视为异常

• 该 IP 地址根据 IP 威胁情报源被视为可疑

当用户从基于这些因素组合的可疑上下文登录时，会触发风险指标。

此风险指标取代了与 Citrix 内容协作和 Citrix Gateway 数据源关联的“从异常位置访问”风险指标。任何基于“从异常位置访问”风险指标的现有策略都会自动链接到新的风险指标 - “可疑登录”。

有关风险指标的更多信息，请参阅可疑登录 - 内容协作和可疑登录 - Gateway。

有关风险指标架构的更多信息，请参阅Citrix Analytics SIEM 数据格式。

2022 年 1 月 20 日

新增功能

Microsoft Azure Active Directory 集成

您现在可以将 Azure Active Directory 与 Citrix Analytics for Security 连接，以：

• 将用户详细信息和用户组从组织的域导入到 Citrix Analytics for Security。

• 使用职位、组织、办公地点、电子邮件和联系方式等附加详细信息丰富用户配置文件，这有助于您进行风险调查和分析。

有关详细信息，请参阅Azure Active Directory 集成。

2022 年 1 月 18 日

新增功能

支持所有内容协作风险指标上的共享链接操作

以前，您可以对与内容协作服务关联的以下基于共享链接的风险指标应用共享链接操作 - 使所有链接过期和将链接更改为只读共享：

• 匿名敏感共享链接下载

• 过度共享链接下载

• 过度文件共享

在此版本中，您现在可以对与内容协作服务关联的以下基于用户的风险指标应用共享链接操作：

• 从异常位置访问

• 过度访问敏感文件

• 过度文件上传

• 过度文件下载

• 过度文件或文件夹删除

• 检测到恶意软件文件

• 怀疑有勒索软件活动

• 异常身份验证失败

您还可以对与内容协作服务关联的自定义风险指标应用共享链接操作。

有关操作和风险指标的更多信息，请参阅以下文章：

• 策略和操作

• 内容协作风险指标

• 自定义风险指标

与 SIEM 的集成现已正式发布

您可以将 Citrix Analytics for Security 与您的安全信息和事件管理 (SIEM) 服务集成，并将 Citrix IT 环境中的用户数据导出到您的 SIEM。此集成可帮助您关联从各种来源收集的数据，并全面了解组织的安全状况。

目前，您可以将 Citrix Analytics for Security 与以下服务集成：

• Splunk

• Microsoft Sentinel

• Elasticsearch

• 使用 Kafka 或基于 Logstash 的数据连接器的其他 SIEM 服务

有关详细信息，请参阅安全信息和事件管理 (SIEM) 集成。

2021 年 12 月 23 日

新增功能

共享链接风险指标增强功能

进行了以下增强：

• 您现在可以使用匿名敏感共享链接下载风险指标创建策略。

• 匿名敏感共享下载风险指标已重命名为匿名敏感共享链接下载，以将其区分为共享链接风险指标。

• 过度下载风险指标已重命名为过度共享链接下载，以将其区分为共享链接风险指标，并将其与基于用户的过度文件下载风险指标区分开来。

有关详细信息，请参阅 Citrix 共享链接风险指标。

2021 年 12 月 21 日

新增功能

向非 Citrix Cloud 管理员发送有关风险指标的通知

您现在可以使用通知管理员操作通知组织中的非 Citrix Cloud 管理员。

要通知这些管理员，请创建电子邮件通讯组列表。从连接到 Citrix Cloud 的外部域中选择通讯组列表中的管理员，或直接使用他们的电子邮件地址。应用通知管理员操作时，选择包含非 Citrix Cloud 管理员的电子邮件通讯组列表。

有关详细信息，请参阅电子邮件通讯组列表。

2021 年 12 月 20 日

新增功能

向内容协作用户发送用户响应通知

除了 Active Directory 用户之外，您现在还可以将请求最终用户响应操作应用于内容协作用户。

当 Citrix Analytics 检测到其 Citrix 帐户中有任何异常活动时，此操作会向用户发送电子邮件通知。有关请求最终用户响应操作的更多信息，请参阅策略和操作。

Access Control 已重命名为 Secure Workspace Access

在 Security Analytics 控制板和报告中，所有 Access Control 标签现在都已更新为 Secure Workspace Access，以与重命名的产品名称保持一致。

例如，在数据源页面、自助搜索页面和策略页面上，Access Control 标签已重命名为 Secure Workspace Access。

已修复问题

• 对于应用程序和桌面数据源，当您将搜索报告下载为 CSV 文件时，CSV 文件中的某些字段值显示为不可用 (N/A)，尽管它们的值可用。例如，下载文件名、会话启动类型和 Workspace 应用程序版本等字段的值显示在自助搜索页面上，但在下载的 CSV 文件中，您会看到这些值显示为不可用 (N/A)。此问题现已修复。[CAS-62299]

2021 年 12 月 09 日

新增功能

使用模板轻松创建自定义风险指标

您现在可以根据您的用例选择一个模板并创建自定义风险指标。模板通过提供预定义查询和参数来指导您。这简化了您创建自定义风险指标的工作。

有关详细信息，请参阅自定义风险指标。

2021 年 12 月 07 日

已修复问题

• 在 Citrix Analytics for Security 上，您收不到使用 2021 年 9 月发布的 Citrix Secure Browser 的用户的事件。此问题存在的原因是，在 2021 年 9 月发布后，Citrix Secure Browser 中不显示主机名跟踪策略，因此无法启用该策略以与 Citrix Analytics for Security 集成。此问题现已修复。[CAS-62254]

2021 年 12 月 02 日

新增功能

检测到恶意软件文件风险指标

您现在可以在用户在内容协作中上传受感染文件时收到警报。

风险指标检测受恶意软件（例如特洛伊木马、病毒或任何其他恶意威胁）感染的文件。它提供了恶意文件详细信息的可见性，例如文件所有者、病毒名称和文件位置。

与检测到恶意软件文件风险指标关联的风险因素是基于文件的风险指标。

有关风险指标和您可以应用的操作的更多信息，请参阅检测到恶意软件文件风险指标。

内容协作数据源的新操作

当为用户触发检测到恶意软件文件风险指标时，您可以应用以下操作：

• 删除文件夹访问权限。您可以阻止上传受感染文件的用户的访问权限。用户无法访问上传受感染文件的文件夹。

• 删除文件夹上传权限。您可以阻止上传受感染文件的用户的上传权限。用户无法将文件上传到上传受感染文件的文件夹。

有关内容协作操作的更多信息，请参阅策略和操作。

2021 年 11 月 29 日

新增功能

用户通知的电子邮件设置增强功能

作为管理员，您现在可以在用户响应电子邮件模板中添加横幅图像、页眉和页脚文本。这些字段增强了您电子邮件的合法性，从而提高了用户对您电子邮件的关注度和响应。

有关详细信息，请参阅最终用户电子邮件设置。

2021 年 11 月 26 日

新增功能

自定义风险指标和策略菜单更改

以下功能的导航链接已更新：

• 自定义风险指标：通过单击安全 > 自定义风险指标使用此功能。

• 策略：通过单击安全 > 策略使用此功能。

  

2021 年 11 月 25 日

新增功能

安全信息和事件管理 (SIEM) 集成增强功能

注意

此集成处于预览状态。

您现在可以将 Citrix Analytics for Security 与以下 SIEM 服务集成：

• Microsoft Sentinel

• 带有 Kibana 等可视化服务和 LogRythm 等 SIEM 服务的 Elasticsearch

• 使用 Logstash 数据收集引擎的任何其他 SIEM 服务

根据您的业务需求，将用户数据从 Citrix Analytics for Security 导入到您的 SIEM 服务。此集成使您的安全运营团队能够关联、分析和搜索组织中 SIEM 服务中不同日志的数据，帮助他们识别并快速补救安全风险。

有关详细信息，请参阅安全信息和事件管理 (SIEM) 集成。

2021 年 11 月 09 日

已修复问题

• 在少数租户上，用户策略不起作用。当虚拟应用程序的警报具有空字符串域值时，会发生此问题。此问题现已修复。[CAS-60920]

2021 年 11 月 02 日

新增功能

查看 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户的访问配置文件和登录详细信息

在访问保障位置控制板上，您可以查看已登录虚拟应用程序和虚拟桌面的用户的访问配置文件和登录详细信息。此信息有助于您进行威胁调查和分析。

• 访问配置文件页面提供从选定位置访问用户的摘要。您可以查看总用户和唯一用户登录的趋势分析和热门访问事件。

  

• 用户登录页面提供从选定位置登录虚拟应用程序和虚拟桌面的用户的详细信息。

  

有关详细信息，请参阅访问保障位置控制板。

在内容协作的自助搜索页面上查看恶意软件日志

在内容协作的自助服务页面上，您现在可以查看恶意软件事件 File.VirusInfected 及其关联日志。当内容协作用户上传受恶意软件感染的文件时，会触发此事件。

有关详细信息，请参阅内容协作的自助搜索

已修复问题

• 在 Citrix Analytics 中处理事件时，少数内容协作用户被错误地设置为非员工。因此，这些用户未被识别为已发现用户。此问题现已修复。[CAS-59608]

2021 年 10 月 20 日

新增功能

会话录制服务器集成

对于您的 Citrix Virtual Apps and Desktops 和 Citrix DaaS 部署，您现在可以配置您的会话录制服务器，以将用户事件发送到 Citrix Analytics for Security。这些用户事件经过处理，可提供有关用户行为的可操作洞察。

在数据源 > 安全页面上，转到虚拟应用程序和桌面站点卡。在会话录制站点卡上，单击垂直省略号 (⋮)，然后选择连接会话录制服务器。

有关详细信息，请参阅连接到会话录制部署。

2021 年 10 月 19 日

新增功能

通知管理员电子邮件模板增强功能

管理员在应用通知管理员操作后收到的电子邮件通知已得到增强，可提供对用户风险事件的更好洞察。

• 通知现在提供有关触发的风险指标或应用的策略的详细信息。例如，您可以查看默认和自定义风险指标的严重性和触发时间。内容结构已改进，以提高可读性。

• 管理员现在可以直接从电子邮件通知访问用户时间线，并查看有关风险事件的详细信息。

• 通知中添加了反馈选项。此选项有助于收集管理员的响应，并根据响应持续改进通知内容。

有关通知管理员操作的更多信息，请参阅策略和操作。

用户登录摘要增强功能

• 您现在可以查看全球总用户登录和全球唯一用户登录的用户登录趋势（上升或下降）。

  

• 唯一登录位置表中的偏差列显示了特定位置的唯一用户登录的上升或下降变化。

  

这些指标可帮助您了解用户登录与上一时期相比的变化（积极或消极）。它提供了用户与您的 Citrix Virtual Apps and Desktops 和 Citrix DaaS 部署交互的可见性。

有关详细信息，请参阅访问保障位置控制板。

已修复问题

• 在访问保障位置控制板上，当没有用户从地理围栏区域外登录时，用户登录摘要卡无法显示用户登录指标（全球总用户登录、全球唯一用户登录和有用户登录的国家/地区）。此问题现已修复。[CAS-59595]

2021 年 10 月 01 日

新增功能

在内容协作的自助搜索中查看审核日志

在内容协作的自助搜索中，您现在可以查看审核日志。这些日志提供了对内容协作管理员应用于用户帐户的权限和操作的洞察。使用这些数据，您可以验证内容协作管理员是否对用户帐户采取了有效操作。作为安全管理员，这有助于您进行风险调查和分析。

有关审核日志的更多信息，请参阅内容协作的自助搜索。

已修复问题

使用 Azure AD 登录 Citrix Cloud 的管理员无法访问 Citrix Analytics 服务，因为之前的过期会话 ID 与新会话 ID 一起出现。此问题现已修复。[CAS-59385]

2021 年 9 月 29 日

新增功能

访问保障位置控制板现已正式发布

该控制板提供了 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户在选定时间段内登录位置的概览。您可以通过启用地理围栏来识别位置异常的用户，并采取适当措施来防止任何威胁。

要查看控制板，请单击安全 > 访问保障。选择您要查看位置详细信息的时间段。

有关详细信息，请参阅访问保障位置控制板。

2021 年 9 月 15 日

新增功能

自定义风险指标增强功能

• 当自定义风险指标被触发时，它会立即显示在用户时间线上。但是，用户的风险摘要和风险评分会在几分钟后（大约 15-20 分钟）更新。

• 如果您修改现有自定义风险指标的属性（例如条件、风险类别、严重性和名称），在用户时间线上，您仍然可以查看为用户触发的自定义风险指标的先前发生次数（带有旧属性）。

• 如果您删除自定义风险指标，在用户时间线上，您仍然可以查看为用户触发的自定义风险指标的先前发生次数。

有关详细信息，请参阅自定义风险指标。

2021 年 9 月 14 日

新增功能

引入可疑登录风险指标

Citrix Analytics for Security 现在根据多个上下文因素检测可疑的用户登录，例如：

• 该位置相对于用户和组织历史记录被视为异常

• 该设备相对于用户和组织历史记录被视为异常

• 该网络相对于用户和组织历史记录被视为异常

• 该 IP 地址根据 IP 威胁情报源被视为可疑

当 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户从基于这些因素组合的可疑上下文登录时，会触发风险指标。

此风险指标取代了与 Citrix Virtual Apps and Desktops 数据源关联的从异常位置访问风险指标。任何基于从异常位置访问风险指标的现有策略都会自动链接到新的风险指标 - 可疑登录。

有关风险指标的更多信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标。

SIEM 消息增强功能

Citrix Analytics for Security 现在将可疑登录风险指标的架构详细信息发送到您的 SIEM 服务。您可以查看可疑登录风险指标的指标摘要和事件详细信息的架构。有关详细信息，请参阅Citrix Analytics SIEM 数据格式。

已修复问题

• 对于应用程序和桌面的自助搜索，下载的 CSV 文件中缺少客户端 IP 值。此问题现已修复。[CAS-58426]

2021 年 8 月 19 日

新增功能

引入适用于 Splunk 的 Citrix Analytics 应用程序

注意

该应用程序处于预览状态。

适用于 Splunk 的 Citrix Analytics 应用程序使您能够以富有洞察力的控制板形式在 Splunk 上查看从 Citrix Analytics for Security 收集的数据。这些控制板提供了对用户风险事件的洞察。您还可以将 Citrix Analytics 数据与从各种其他数据源收集的日志关联起来。关联有助于您发现事件之间的关系，并及时采取行动来保护您的 IT 环境。

要下载该应用程序，请访问 Splunkbase。在 Splunk 搜索头安装该应用程序。

有关详细信息，请参阅适用于 Splunk 的 Citrix Analytics 应用程序。

SIEM 的自定义风险指标架构

在您的 SIEM 服务中，您现在可以查看为 Citrix Virtual Apps and Desktops 和 Citrix DaaS 创建的自定义风险指标的架构。此数据可帮助您深入了解组织的安全风险状况。

有关自定义风险指标架构的更多信息，请参阅Citrix Analytics SIEM 数据格式。

支持 Citrix Director 作为数据源

您现在可以配置 Citrix Director 上的本地站点，以将事件发送到 Security Analytics。这些事件用于发现连接到 Security Analytics 的用户，并确定用户设备上安装的 Workspace 应用程序版本。

默认情况下，在发现站点后启用数据处理。在监控卡上，您可以查看所有连接的站点。

有关如何配置 Director 上的站点的更多信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源。

访问保障位置控制板中支持地理围栏

您现在可以使用控制板中的地理围栏设置来选择和启用地理围栏区域。启用地理围栏后，地图会显示地理围栏区域（国家/地区）以及从地理围栏外部和内部登录的用户。此功能使用 CVAD-会话在地理围栏外部启动风险指标来监控用户登录。

有关详细信息，请参阅访问保障位置控制板。

用户页面上的 Workspace 应用程序状态

在用户页面上，您现在可以查看 Citrix Analytics 支持的 Citrix Workspace 应用程序客户端的状态。该页面显示以下状态：

• 支持
• 部分支持
• 不支持
• 不可用
• 非活动

此状态可帮助您识别用户使用的任何不受支持的客户端版本，并建议用户将其客户端升级到受支持的版本，以便 Analytics 可以提供对其行为的安全洞察。

注意

要查看 Citrix Workspace 应用程序状态，您必须加入 Citrix Director 数据源。否则，每个 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户的状态都显示为非活动。

有关详细信息，请参阅用户控制板。

支持 IS EMPTY 运算符

在创建自定义风险指标时，您现在可以在条件中使用 IS EMPTY 运算符来检查空或空维度。

注意

该运算符仅适用于字符串类型维度，例如 App-Name、Browser 和 Country。

有关详细信息，请参阅自定义风险指标。

改进的风险评分

在用户的时间线上，您现在可以查看用户的风险摘要。风险摘要提供有关与用户事件相关的风险因素的信息。风险因素可帮助您识别用户事件中的异常类型，并确定风险评分。以下是风险因素：

• 基于设备的风险指标

• 基于位置的风险指标

• 基于 IP 的风险指标

• 基于登录失败的风险指标

• 基于数据的风险指标

• 基于文件的风险指标

• 自定义风险指标

• 其他风险指标

在用户的时间线上，您现在可以应用筛选器，根据风险因素查看用户事件。

有关详细信息，请参阅以下主题：

• Citrix 用户风险指标

• 用户风险时间线和配置文件。

2021 年 7 月 29 日

已弃用功能

与 Citrix Endpoint Management™ 关联的已弃用操作

以下操作已从 Citrix Endpoint Management 数据源中删除。您不能再对风险指标应用这些操作，也不能使用这些操作创建策略。

• 锁定设备

• 通知 Endpoint Management 管理员

• 通知用户

• 撤销设备

• 擦除设备

在您现有的策略中，如果这些操作已在使用中，它们将自动替换为添加到观察列表操作。您可以从观察列表中监控这些用户。

2021 年 7 月 14 日

新增功能

支持 IS NOT EMPTY 运算符

在创建自定义风险指标时，您现在可以在条件中使用 IS NOT EMPTY 运算符来检查维度是否不为空（不为空白）。

注意

该运算符仅适用于字符串类型维度，例如 App-Name、Browser 和 Country。

例如，以下条件检测来自任何国家/地区的用户登录事件，其中国家/地区值不为空。换句话说，指定了国家/地区名称。

Event-Type = “Session.logon” AND Country IS NOT EMPTY

有关详细信息，请参阅自定义风险指标。

2021 年 7 月 06 日

新增功能

在用户控制板上查看非高风险用户

在用户控制板上，您现在可以查看选定时间段内的非高风险用户数量。这些已发现的用户根据选定时间段内的零风险评分被识别为非高风险用户。单击非高风险用户卡片可查看所有风险评分为零的用户。

有关详细信息，请参阅用户控制板。

2021 年 7 月 01 日

新增功能

访问保障位置控制板增强功能

• 在前 10 个唯一登录位置表中，您可以查看来自未知位置的唯一用户登录数量。此列表是前 10 个唯一登录位置的子集。您还可以找到位置未知的原因以及获取用户位置的可能方法。

  

• 在访问位置页面上，如果您选择多个位置，您可以查看和比较所有位置、前五个位置和后五个位置的用户登录时间线详细信息。

  

• 在访问位置页面上，您可以使用嵌套的方面，例如国家/地区及其城市、操作系统 - 主版本和次版本。这些方面使您能够以精细的方式筛选事件。

  

有关详细信息，请参阅访问保障位置。

更新了 Virtual Apps and Desktops 自助搜索中的操作系统方面

您现在可以使用嵌套的操作系统方面筛选应用程序和桌面事件。选择与操作系统关联的主版本和次版本，并以精细的方式筛选事件。有关详细信息，请参阅应用程序和桌面的自助搜索。

2021 年 6 月 30 日

新增功能

在应用程序和桌面的自定义风险指标条件中添加了 Workspace 应用程序版本

对于应用程序和桌面数据源，您现在可以使用 Workspace-App-Version 维度在创建自定义风险指标时定义条件。有关维度的更多信息，请参阅应用程序和桌面的自助搜索。

2021 年 6 月 23 日

新增功能

SIEM 消息增强功能

以下字段现在已添加到风险指标的架构中：

• indicator_vector_name - 指示与风险指标关联的风险向量。风险向量包括基于设备的风险指标、基于位置的风险指标、基于登录失败的风险指标、基于 IP 的风险指标、基于数据的风险指标、基于文件的风险指标和其他风险指标。

• indicator_vector_id - 与风险向量关联的 ID。ID 1 = 基于设备的风险指标，ID 2 = 基于位置的风险指标，ID 3 = 基于登录失败的风险指标，ID 4 = 基于 IP 的风险指标，ID 5 = 基于 IP 的风险指标，ID 6 = 基于数据的风险指标，ID 7 = 其他风险指标，ID 999 = 不可用。

有关详细信息，请参阅Citrix Analytics SIEM 数据格式。

2021 年 6 月 07 日

新增功能

通知管理员操作的增强功能

当您将通知管理员操作应用于风险指标或使用该操作创建策略时，您现在可以选择接收有关用户风险行为通知的管理员。有关该操作的更多信息，请参阅策略和操作。

添加了对只读共享操作的支持

如果用户过度共享文件，Citrix Analytics 会触发过度文件共享风险指标。从用户的风险时间线中，您现在可以将将链接更改为只读共享操作应用于过度文件共享风险指标。您还可以将该操作应用于共享链接风险时间线上的特定共享链接。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关该操作的更多信息，请参阅策略和操作。

2021 年 5 月 18 日

新增功能

将默认风险指标迁移到自定义风险指标

以下默认风险指标已迁移到预配置的自定义风险指标。

默认风险指标	数据源	预配置的自定义风险指标
首次从新设备访问	Citrix Virtual Apps and Desktops 和 Citrix DaaS	CVAD-首次从新设备访问
首次从新 IP 访问	Citrix Gateway	Gateway-首次从新 IP 访问

随着此次迁移到自定义风险指标，默认风险指标和相关的机器学习算法已弃用。

相应的自定义风险指标根据以下预配置条件触发：

• 当用户首次从新设备访问，或从已超过 90 天未使用的现有设备访问时。

• 当用户首次从新 IP 地址登录，或从已超过 90 天未使用的现有 IP 地址登录时。

除了预配置条件之外，您现在还可以为这些自定义风险指标添加自己的条件，以识别 Citrix 环境中的威胁。此选项使您可以灵活地根据安全需求配置自定义风险指标。您还可以创建策略，以对这些自定义风险指标检测到的风险事件应用操作。

但是，在用户的时间线上，您仍然可以查看以前触发的默认风险指标及其事件。

与这些默认风险指标关联的策略会自动链接到相应的预配置自定义风险指标。

有关详细信息，请参阅预配置的自定义风险指标和策略。

Gateway 自助搜索增强功能

• 事件类型筛选器现在已重命名为记录类型。选择以下记录类型之一来筛选事件：VPN_AI、VPN_IF 和 VPN_ST。

• 在数据表中，展开用户事件的行以查看相应的事件类型。事件类型可以是以下之一：身份验证、ICA® 文件或会话注销。

下表描述了记录类型和事件类型之间的关联。

记录类型	事件类型
VPN_AI	身份验证
VPN_IF	ICA 文件
VPN_ST	会话注销

有关详细信息，请参阅Gateway 的自助搜索。

已修复问题

• 自定义风险指标根据条件值的大小写敏感性触发。例如，在包含允许列表中设备 ID 的用户事件中，您会看到以下行为：

  • 如果您以小写形式输入 Device-ID 维度的值，则会触发自定义指标。

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

  • 如果您以大写形式输入同一设备的 Device-ID 维度的值，则不会触发自定义指标。

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

  此问题现已修复，自定义风险指标的触发不受条件值大小写敏感性的影响。

  [CAS-50153]

2021 年 4 月 29 日

新增功能

自定义风险指标的事件详细信息

在用户的风险时间线页面上，您现在可以查看触发自定义风险指标的事件。以前，您只能查看自定义风险指标的定义条件、描述和触发频率。单击事件搜索可查看与用户和风险指标关联的事件的详细信息。 有关详细信息，请参阅自定义风险指标。

已修复问题

• 管理员即使在访问权限从只读管理员更改为完全管理员后，也无法创建自定义风险指标。[CAS-49628]

2021 年 4 月 16 日

新增功能

SIEM 消息增强功能

您可以在风险指标架构格式上查看以下增强功能：

• 客户端 IP 地址现在可用于所有批处理风险指标的架构中。以前，客户端 IP 地址仅适用于少数批处理风险指标：

  • EPA 扫描失败
  • 过度身份验证失败
  • 从可疑 IP 登录
  • 从异常位置访问
  • 异常身份验证失败
  • 匿名敏感共享下载
  • 潜在数据泄露

• 如果整数数据类型字段值不可用，则分配的值为 -999。例如，"latitide" = -999。

• 如果字符串数据类型字段值不可用，则分配的值为 NA。例如，"city"= "NA"。

有关详细信息，请参阅Citrix Analytics SIEM 数据格式。

2021 年 3 月 26 日

新增功能

SIEM 消息限制

Citrix Analytics 为每个风险指标事件向您的 SIEM 服务发送最多 1000 个事件详细信息。这些事件按时间顺序发送。有关详细信息，请参阅Citrix Analytics SIEM 数据格式。

在 SIEM 消息中添加了数据源 ID 和指标类别 ID 字段

以下字段已添加到指标摘要架构和指标事件详细信息架构中。

字段	描述
data_source_id	与数据源关联的 ID。ID 0 = Citrix 内容协作，ID1 = Citrix Gateway，ID 2 = Citrix Endpoint Management，ID 3 = Citrix Virtual Apps and Desktops，ID 4 = Citrix Access Control™
indicator_category_id	与风险指标类别关联的 ID。ID 1 = 数据泄露，ID 2 = 内部威胁，ID 3 = 受损用户

有关详细信息，请参阅Citrix Analytics SIEM 数据格式。

2021 年 3 月 18 日

新增功能

访问保障位置控制板

注意

该功能处于预览状态。

访问保障位置控制板提供了 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户在选定时间段内登录位置的概览。Citrix Analytics 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。

要查看控制板，请单击安全 > 访问保障。选择您要查看位置详细信息的时间段。

有关详细信息，请参阅访问保障位置。

支持 NOT LIKE (!~) 运算符

对于自助搜索查询和自定义风险指标条件，您现在可以使用 NOT LIKE (!~) 运算符。该运算符检查用户事件是否与您指定的模式匹配。它返回不包含指定模式的事件字符串中的事件。

例如，查询 User-Name !~ “John” 显示除 John、John Smith 或任何包含匹配名称“John”的用户之外的所有用户的事件。

有关详细信息，请参阅自助搜索。

翻译的操作系统版本

对于 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源，平台维度现在已翻译为 OS-Major-Version、OS-Minor-Version 和 OS-Extra-Details 维度。根据用户的操作系统详细信息，Citrix Analytics 在自助搜索页面上显示这些维度。

您可以使用这些维度来定义自定义风险指标的条件。

对于以前创建的自定义风险指标，如果您已将平台维度用作条件，Citrix Analytics 会自动将平台维度替换为 OS-Major-Version、OS-Minor-Version 和 OS-Extra-Details。此更新不影响您定义条件的完整性。

有关新维度的更多信息，请参阅Virtual Apps and Desktops 的自助搜索。

更新了应用程序和桌面数据字段

在应用程序和桌面的自助搜索中，查看基于上下文模板的更新数据字段。

有关详细信息，请参阅应用程序和桌面的自助搜索。

已弃用功能

从自助搜索页面中删除了 VPN_AF 和 VPN_SU 事件

在 Citrix Gateway 数据源的自助搜索页面上，以下记录类型现已删除。

记录类型	记录名称
VPN_SU	会话更新记录
VPN_AF	应用程序启动失败记录

因此，您无法根据这些记录类型筛选和查看事件。任何基于这些记录类型的自定义风险指标都将停止运行。

有关详细信息，请参阅Gateway 的自助搜索。

2021 年 3 月 11 日

新增功能

用户风险评分架构的当前时间戳

用户风险评分架构格式中添加了一个新字段 last_update_timestamp。此字段指示风险评分上次更新的时间。有关架构格式的更多信息，请参阅用户风险评分架构。

2021 年 3 月 03 日

新增功能

增强了“从可疑 IP 登录”风险指标

在用户的风险时间线页面上，从可疑 IP 登录风险指标显示了一个新的可疑 IP 部分。此部分提供以下信息：

• 检测到可疑登录活动的 IP 地址。
• 用户的位置。
• Citrix Analytics 最近在您的组织中检测到的任何可疑 IP 活动模式。
• 关于 IP 地址的社区级情报源。

有关详细信息，请参阅从可疑 IP 登录风险指标。

增强了“从异常位置访问”风险指标

• 在 Citrix 内容协作的“从异常位置访问”风险指标中，事件表中添加了工具名称列。从事件表中删除了设备浏览器列。有关详细信息，请参阅 Citrix 内容协作风险指标。

• 在 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的“从异常位置访问”风险指标中，事件表中添加了设备 ID 和接收器类型列。有关详细信息，请参阅Citrix Virtual Apps and Desktops 风险指标。

Citrix Analytics SIEM 数据格式

文章描述了 Citrix Analytics 为您的 SIEM 服务生成的数据的架构。

已修复问题

• 对于内容协作用户，如果 Is Employee 值为 null，则该用户不会显示在已发现用户列表中。[CAS-47815]

2021 年 2 月 18 日

新增功能

自定义风险指标中首次从新实体访问的支持

您现在可以创建风险指标，当 Citrix Analytics 首次从新实体接收事件时触发。实体的一些示例是客户端 IP、城市和国家/地区。

在创建指标页面上，单击首次选项。启用首次用于新按钮，并根据数据源从列表中选择一个有效实体。您无需为实体分配任何特定值。例如，如果您从列表中选择城市，则每当用户首次从新城市登录时，Citrix Analytics 都会触发风险指标。

有关详细信息，请参阅创建自定义风险指标。

创建自定义风险指标的最大限制

您现在最多可以创建 50 个自定义风险指标。如果达到此最大限制，您必须删除或编辑任何现有自定义风险指标才能创建自定义风险指标。

有关详细信息，请参阅自定义风险指标。

Citrix Virtual Apps and Desktops 和 Citrix DaaS 的用户位置数据

在用户信息页面上，Citrix Analytics 现在显示来自 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源的用户位置。

有关用户位置的更多信息，请参阅用户配置文件。

多列排序

在自助搜索页面上，您现在可以按多列对用户事件进行排序。单击排序依据，添加列和排序顺序。单击应用以对用户事件进行排序。您最多可以添加六列来执行多列排序。

有关详细信息，请参阅自助搜索。

已弃用功能

过度授权失败风险指标已弃用

Citrix Gateway 风险指标 - 过度授权失败已弃用。您只能查看与此指标相关的历史数据。

以下更改适用于此弃用：

• Citrix Analytics 不再生成这些风险指标。

• Citrix Analytics 不再生成以这些风险指标为条件的策略。

• 以这些风险指标为条件的默认策略不再生效。

有关详细信息，请参阅Citrix Gateway 风险指标。

2021 年 1 月 27 日

新增功能

增强了“从异常位置访问”风险指标

对于 Citrix 内容协作、Citrix Gateway 和 Citrix Virtual Apps and Desktops，当用户从与新国家/地区或新城市关联的 IP 地址登录时，会触发从异常位置访问风险指标，该 IP 地址异常地远离任何以前的登录位置。其他因素包括用户的整体移动性水平以及组织中所有用户从该城市登录的相对频率。在所有情况下，用户位置历史记录均基于过去 30 天的登录活动。

有关风险指标的更多信息，请参阅以下主题：

• Citrix 内容协作风险指标

• Citrix Gateway 风险指标

• Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标

2021 年 1 月 20 日

已修复问题

• 对于使用本地 StoreFront 的应用程序和桌面数据源，即使 StoreFront 部署已成功连接，数据处理也会失败。

  [CAS-46656]

2021 年 1 月 19 日

已修复问题

• 在自定义风险指标页面中，更正搜索字段中的无效条件后，估计触发器链接无响应。

  例如，您键入无效条件 Client-IP = 10.10.10.10。更正此条件并键入 Client-IP = “10.10.10.10” 后，估计触发器链接无响应。

  解决方法：刷新自定义指标页面，然后使用有效条件创建自定义指标。

  [CAS-46316]

2021 年 1 月 13 日

新增功能

适用于 Splunk 的 Citrix Analytics 附加组件新版本可用

适用于 Splunk 的 Citrix Analytics 附加组件版本 2.1.0 现已可用。请访问下载页面下载文件。

添加了对 Splunk Cloud Inputs Data Manager (IDM) 和 Splunk 8.1 64 位支持

您现在可以将 Citrix Analytics for Security 与 Splunk Cloud IDM 和 Splunk 8.1 64 位集成。有关详细信息，请参阅Splunk 集成。

已弃用支持

删除了对 Splunk 7.1 64 位支持

您不能再将 Citrix Analytics for Security 与 Splunk 7.1 64 位集成。有关支持的 Splunk 版本的更多信息，请参阅Splunk 集成。

2021 年 1 月 11 日

已修复问题

• 在 Virtual Apps and Desktops 站点卡上，标签支持的客户端用户已重命名为从用户接收的事件。标签不支持的客户端用户已重命名为无法从用户接收事件。

  [CAS-44773]

2020 年 12 月 17 日

新增功能

使用预配置的自定义风险指标和策略阻止从异常位置访问（地理围栏）

Citrix 提供了一系列预配置的自定义风险指标和策略，可帮助您监控 Citrix 基础架构的安全性。通过这些指标和策略，您可以阻止来自其常用操作国家/地区以外的国家/地区的访问。默认情况下，国家/地区设置为“美国”。您可以为地理围栏设置所需的国家/地区。

以下是预配置的自定义风险指标和策略：

• CVAD-会话在地理围栏外部启动

• GW-地理围栏穿越

• CCC-地理围栏穿越

• 会话在地理围栏外部启动

有关详细信息，请参阅预配置的自定义风险指标和策略。

在用户响应电子邮件中查看访问位置

现在，用户响应电子邮件不再显示用户设备的 IP 地址，而是显示用户在过去 15 分钟内访问的所有位置。位置以 <城市>,<国家/地区><!--NeedCopy--> 格式显示。如果城市或国家/地区不可用，则相应的值显示为“未知”。

有关详细信息，请参阅请求用户响应。

重命名内容协作风险指标 - 首次从新位置访问

Citrix 内容协作风险指标首次从新位置访问已重命名为从异常位置访问。

有关详细信息，请参阅从异常位置访问。

已弃用功能

风险指标反馈

风险指标反馈机制已删除。如果内容协作风险指标 - 从异常位置访问被错误触发，您不能再将其报告为误报并提供反馈。

2020 年 12 月 07 日

新增功能

潜在数据泄露风险指标的改进

对风险指标进行了以下增强：

• 发生了什么部分中的信息已更新。时间格式已更新以保持一致性。

• 设备位置信息显示在事件列表中。

有关风险指标的更多信息，请参阅潜在数据泄露。

内容协作风险指标的改进 - 首次从新位置访问

在用户风险时间线上，选择首次从新位置访问以查看以下信息：

• 登录位置：显示用户登录的常用和异常位置的地理地图视图。

• 从常用位置登录次数 - 最近 30 天：显示用户在过去 30 天内从前 6 个常用位置登录的饼图视图。它还显示了从这些位置登录的事件数量。

• 异常位置的事件详细信息：提供用户从异常位置登录的事件列表。

有关风险指标的更多信息，请参阅首次从新位置访问。

2020 年 11 月 30 日

新增功能

自助搜索页面改进

对自助搜索页面进行了以下改进，以增强其可用性：

• 搜索框显示查询示例，以指示如何键入自己的查询。

  

• 在 macOS 中，维度列表上的滚动条现在默认显示。

  

• 应用的筛选器现在显示为芯片。

  

• 添加或删除列标签替换了 + 图标。

  

有关详细信息，请参阅自助搜索。

策略改进

策略页面现在显示与已成功发现并连接到 Citrix Analytics 的数据源关联的策略。此页面不显示为未发现数据源定义了条件的策略。关闭已连接数据源的数据处理不会影响策略页面上的现有策略。

有关详细信息，请参阅配置策略和操作。

2020 年 11 月 04 日

新增功能

异常身份验证失败 - Citrix Gateway 风险指标

当用户从异常 IP 地址登录失败时，Citrix Analytics 会检测基于访问的威胁，并触发异常身份验证失败风险指标。

当组织中的用户从异常 IP 地址登录失败，这与他们的常规行为不符时，会触发此风险指标。

有关详细信息，请参阅Citrix Gateway 风险指标。

2020 年 10 月 20 日

已修复问题

• 应用了注销用户操作的风险指标首次从新设备访问未按预期工作。

  [CAS-40743]

2020 年 10 月 15 日

新功能

从异常位置访问 – Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标

Citrix Analytics 根据从 Citrix Workspace 的异常登录检测基于访问的威胁，并触发相应的风险指标。

有关详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标。

共享链接控制板增强功能

• “共享 URL”列现在已替换为“共享 ID”列。每个共享 URL 现在都由一个共享 ID 标识。

• 控制板上的时间选择已删除。现在，此控制板显示从活动状态到过期状态的所有共享链接，而不是选定时间段内的共享链接。

• 所有共享链接按活动链接在前、过期链接在后的顺序排序。默认情况下，风险指标计数最高的共享链接显示在列表顶部。

• 高风险链接现在显示具有高风险行为的活动链接。它不显示过期链接。默认情况下，风险指标计数最高的风险链接显示在列表顶部。

• “高风险共享链接”卡和“所有共享链接”卡中的趋势视图已删除。

有关详细信息，请参阅共享链接控制板。

共享链接风险时间线增强功能

风险时间线现在显示共享 ID 而不是共享 URL。有关详细信息，请参阅共享链接风险时间线。

已弃用功能

从不支持的操作系统 (OS) 设备访问风险指标已弃用

Citrix Virtual Apps and Desktops 风险指标 - 从不支持的操作系统 (OS) 设备访问已弃用。您只能查看与此指标相关的历史数据。

以下更改适用于此弃用：

• Analytics 不再生成这些风险指标。

• Analytics 不再生成以这些风险指标为条件的策略。

• 以这些风险指标为条件的默认策略不再生效。

有关详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标。

2020 年 9 月 10 日

新功能

StoreFront 清单

Citrix Analytics 现在显示您在下载 StoreFront 配置文件之前必须满足的先决条件列表。查看清单并确保所有最低要求都已选择。如果未选择最低要求，则无法下载配置文件。有关详细信息，请参阅Citrix Virtual Apps and Desktops 数据源。

自助搜索 - 支持 NOT EQUAL (!=) 运算符

您现在可以在以下功能中使用 NOT EQUAL (!=) 运算符：

• 自定义风险指标

• 自助搜索

您可以将此运算符用于以下条件：

数据源	维度
内容协作	国家/地区、城市、客户端操作系统
访问控制	国家/地区、城市、操作、URL、URL 类别、信誉、浏览器、操作系统、设备
应用程序和桌面	国家/地区、城市、应用程序名称、剪贴板操作、浏览器、操作系统
Gateway	身份验证阶段、客户端 IP

使用该运算符，创建包含单个值（例如“国家/地区 != XYZ”）的自定义指标表达式，并查看用户列表。然后创建策略以应用操作，例如添加到观察列表、通知管理员或禁用用户。 您还可以在指定数据源的自助搜索中使用该运算符来筛选用户事件。

在查询中输入维度值时，请使用自助搜索页面上为数据源显示的精确值。维度值区分大小写。

2020 年 9 月 08 日

新功能

用户关联

Analytics 现在关联从各种数据源发现的用户。此机制消除了已发现用户列表中的大多数重复用户。Analytics 中已发现的用户现在显示唯一用户列表及其数据源和风险指标。

例如，用户“Joe Smith”可以有多个用户标识符 - JosephSm、joe.smith@citrix.com 和 joe.smith，具体取决于数据源。Analytics 现在使用唯一的标识符名称识别此用户。所有其他用户标识符都已关联，并且从各种数据源收到的 Joe Smith 事件都链接到此唯一名称。 有关详细信息，请参阅已发现用户

已修复问题

从操作列表中选择操作选项并单击应用后，显示错误消息。

[CAS-39914]

2020 年 8 月 11 日

已修复问题

• 您无法将 Microsoft Graph Security 与 Citrix Analytics 集成。此问题发生的原因是 Microsoft 门户未能重定向到 Citrix Analytics。

[CAS-38021]

2020 年 7 月 31 日

已修复问题

• 自定义风险指标中的估计触发器选项无法预测过去一天的自定义风险指标实例。

[CAS-38129]

2020 年 7 月 09 日

新功能

Virtual Apps and Desktops 站点卡显示支持和不支持客户端的用户

在站点卡上，您现在可以查看在其端点上使用支持和不支持版本的 Citrix Workspace 应用程序或 Citrix Receiver™ 客户端的用户数量。

• 单击支持客户端的用户计数可查看用户页面，该页面显示所有已发现的用户。

• 单击不支持客户端的用户计数可下载 CSV 文件。该文件列出了用户及其不支持的客户端版本。Analytics 不会从不支持的客户端接收用户事件，因此不会将用户添加为已发现用户。使用 CSV 文件，您可以识别必须将其客户端升级到支持版本的用户，以便 Analytics 可以提供对其行为的安全洞察。

要查看支持的客户端列表，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源。

从异常位置访问风险指标

• Citrix Gateway 风险指标首次从新位置访问已重命名为从异常位置访问。

• 在用户风险时间线上，事件详细信息部分引入了地理地图和饼图。

  • 登录位置：此部分显示用户常用和异常位置的地理地图视图。常用和异常位置由地理地图右上角的颜色代码指示。您可以放大地理地图以更仔细地查看位置。

    

  • 常用位置 - 最近 30 天：此部分显示一个饼图，其中显示了用户在过去 30 天内登录的前 6 个常用位置。每个位置都标有不同的颜色代码。您可以按位置对该部分进行排序，以获取所选位置的详细视图。

    

有关详细信息，请参阅从异常位置访问。

用户控制板数据

无论在用户控制板和用户页面上选择的时间段如何，高风险用户、已发现用户、特权用户和观察列表中的用户数量都会显示过去 13 个月的数据。当您选择时间段时，风险指标的发生次数会发生变化。

有关详细信息，请参阅用户控制板。

重新设计的用户页面

用户页面已增强，以提供更好的用户体验。它根据用户风险评分、数据源和用户类型提供用户事件的综合摘要。

为了支持更集中的搜索，用户页面包含左侧窗格上的筛选器部分和顶部的搜索栏。您可以搜索预设时间或自定义时间范围内的用户事件。

要查看用户页面：

• 转到安全 > 用户以查看用户控制板并执行以下操作：

  • 单击以下链接或卡片之一。

    

  • 在高风险用户窗格上，单击查看更多。

  • 在观察列表中的用户窗格上，单击查看更多。

  • 在特权用户窗格上，单击查看更多。

• 转到设置 > 数据源 > 安全。单击任何数据源站点卡上的用户数量。

有关详细信息，请参阅[用户控制板