Citrix Analytics for Security

新增功能

Citrix 的目标是在 Citrix Analytics 客户可用时向其提供新增功能和产品更新。新版本会带来更多的价值,应立即将更新告知客户。

对您(即客户)来说,此过程是透明的。初始更新仅应用于 Citrix 内部站点,然后逐步应用于客户环境。以波浪方式递增更新有助于确保产品质量并最大限度地提高可用性。

June 07, 2021

新增功能

通知管理员操作的增强功能

当您将 “ 通知管理 员” 操作应用于风险指示器或使用该操作创建策略时,您现在可以选择接收有关用户风险行为的通知的管理员。有关操作的更多信息,请参阅 策略和操作

添加了对仅查看共享操作的支持

如果用户过度共享文件,Citrix Analytics 会触发文 件共享过多 风险指示器。从用户的风险时间表中,您现在可以将 “ 更改链接至仅查看共享 ” 操作应用于 “ 过多的文件共享 风险” 指示器。您还可以在股份链接风险时间表上对特定的共享链接应用操作。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关操作的更多信息,请参阅 策略和操作

May 18, 2021

新增功能

将默认风险指标迁移到自定义风险指标

以下默认风险指示器已迁移到预配置的自定义风险指示器。

默认风险指示器 数据源 预配置的自定义风险指标
首次从新设备访问 Citrix Virtual Apps and Desktops CVAD-从新设备首次访问
首次从新 IP 访问 Citrix Gateway 网关-从新 IP 首次访问

随着这种迁移到自定义风险指标,默认风险指标和相关的机器学习算法将被弃用。

根据以下预先配置的条件触发相应的自定义风险指标:

  • 当用户首次从新设备访问或至少 90 天未使用的现有设备时。

  • 用户首次从新 IP 地址或至少 90 天未使用的现有 IP 地址登录时。

除了预配置的条件外,您现在可以为这些自定义风险指标添加自己的条件,以识别 Citrix 环境中的威胁。通过此选项,您可以根据安全需求灵活配置自定义风险指示器。您还可以创建策略,对这些自定义风险指标检测到的风险事件应用操作。

但是,在用户的时间表上,您仍然可以查看之前触发的默认风险指标及其事件。

与这些默认风险指标关联的策略将自动链接到相应的预先配置的自定义风险指标。

有关详细信息,请参阅预配置的自定义风险指标和策略

网关自助搜索的增强功能

  • 件类型 过滤器现在重命名为 “ 记录类型”。选择以下记录类型之一以筛选事件-VPN_AI、VPN_IF 和 VPN_ST。

  • 在 D ATA 表中,展开用户事件的行以查看相应的事件类型。事件类型可以是以下类型之一-身份验证、ICA 文件或会话注销。

下表描述了记录类型与事件类型之间的关联。

记录类型 事件类型
VPN_AI 身份验证
VPN_IF ICA 文件
VPN_ST 会话注销

有关详细信息,请参阅面向网关的自助搜索

修复的问题

  • 自定义风险指示器根据条件值的区分大小写而触发。例如,在允许列表中包含设备 ID 的用户事件中,您会看到以下行为:

    • 如果以小写字母输入 Device-ID 维度的值,则会触发自定义指标。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • 如果以大写字母为同一设备输入 Device-ID 维度的值,则不会触发自定义指标。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    此问题现已修复,无论条件值是否区分大小写,都会触发自定义风险指示器。

    [CAS-50153]

April 29, 2021

新增功能

自定义风险指标的活动详情

在用户的风险时间表页面上,您现在可以查看触发自定义风险指示器的事件。以前,您只能查看自定义风险指标的定义条件、描述和触发频率。单击 事件搜索 以查看与用户关联的事件的详细信息和风险指示器。 有关更多信息,请参阅 自定义风险指示器

修复的问题

  • 即使管理员的访问权限从只读管理员更改为完全管理员,管理员也无法创建自定义风险指示器。 [CAS-49628]

April 16, 2021

新增功能

SIEM 消息增强

您可以查看风险指标架构格式的以下增强功能:

  • 客户端 IP 地址现在可用于所有批量风险指标的模式中。以前,客户端 IP 地址仅适用于几个批量风险指标:

    • EPA 扫描失败
    • 验证失败过多
    • 从可疑 IP 登录
    • 从不寻常的位置访问
    • 异常的身份验证
    • 匿名敏感分享下载
    • 潜在的数据泄露
  • 如果整数数据类型字段值不可用,则分配的值为 -999。例如 "latitide" = -999

  • 如果字符串数据类型字段值不可用,则分配的值为 NA。例如 "city"= "NA"

有关详细信息,请参阅适用于 SIEM 的 Citrix Analytics 数据格式

March 26, 2021

新增功能

对 SIEM 消息的限制

Citrix Analytics 向 SIEM 服务发送每个风险指标发生的最多 1000 个事件详细信息。这些事件按发生时间顺序发送。有关详细信息,请参阅适用于 SIEM 的 Citrix Analytics 数据格式

在 SIEM 消息中添加了数据源 ID 和指标类别 ID 字段

在指标摘要架构和指标事件详细信息架构中添加了以下字段。

字段 说明
data_source_id 与数据源关联的 ID。ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id 与风险指标类别关联的 ID。ID 1 = 数据泄露,ID 2= 内幕威胁,ID 3 = 受到攻击的用户

有关详细信息,请参阅适用于 SIEM 的 Citrix Analytics 数据格式

March 18, 2021

新增功能

访问保障位置仪表板

注意

该功能处于预览中。

访问保证位置 控制面板概述了 Citrix Virtual Apps and Desktops 用户在选定时段内登录的位置。Citrix Analytics 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。

要查看仪表板,请单击 “ 安全” > “访问保障”。

您可以查看所选期间的以下信息:

  • 来自特定位置和跨位置的用户登录总数。

  • 跨地点的唯一用户登录总数。

  • 用户登录的国家/地区总数。

  • 具有唯一用户登录名的前 10 个位置。

有关详细信息,请参阅访问保障位置

用户登录摘要页

支持 NOT LIKE (!~) 运算符

对于自助搜索查询和自定义风险指示器条件,您现在可以使用 NOTLIKE (!~) 操作员。运算符会检查用户事件是否符合您指定的匹配模式。它返回事件字符串中任意位置不包含指定模式的事件。

例如,查询 User-Name !~ “John” 显示除了 John、John Smith 或包含匹配名称 “约翰” 的任何此类用户以外的用户的事件。

有关详细信息,请参阅自助搜索

翻译的操作系统版本

对于 Citrix Virtual Apps and Desktops 数据源, 平台 维度现在被转换为 操作系统主要版本操作系统次要版本操作系统额外详细信息 维度。根据用户的操作系统详细信息,Citrix Analytics 会在自助服务搜索页面上显示这些维度。

您可以使用这些维度来定义自定义风险指标的条件。

对于之前创建的自定义风险指标,如果您已将 平台 维度用作条件,Citrix Analytics 会自动将 平台 维度替换为 操作系统主要版本操作系统次要版本操作系统额外详细信息。此更新不会影响您定义的条件的完整性。

有关新维度的更多信息,请参阅 Virtual Apps and Desktops 的自助搜索

更新了 Citrix Virtual Apps and Desktops 的数据字段

在 Citrix Virtual Apps and Desktops 的自助服务搜索中,根据上下文模板查看更新的数据字段。

有关详细信息,请参阅Virtual Apps and Desktops 的自助搜索

已弃用的功能

从自助搜索页面中删除了 VPN_AF 和 VPN_SU 事件

现在,在 Citrix Gateway 数据源的自助搜索页面上,以下记录类型现在已删除。

记录类型 记录名
VPN_SU 会话更新记录
VPN_AF 应用启动失败记录

因此,您无法根据这些记录类型筛选和查看事件。任何基于这些记录类型的自定义风险指标都停止运行。

有关详细信息,请参阅面向网关的自助搜索

March 11, 2021

新增功能

用户风险评分模式的当前时间戳

将以用户风险评分模式格式添加一个新 last_update_timestamp 字段。此字段表示风险评分上次更新的时间。有关架构格式的更多信息,请参阅 用户风险评分模式

March 03, 2021

新增功能

对可疑 IP 风险指示器登录的增强

在用户的风险时间表页面上,将为 “ 可疑 IP登录” 风险指示器显示一个新的 “可疑 IP ” 部分。本节提供以下信息:

可疑 IP 部分

  • 检测到可疑登录活动的 IP 地址。
  • 用户的位置。
  • Citrix Analytics 最近在组织中检测到的任何可疑 IP 活动模式。
  • 有关 IP 地址的社区级情报源。

有关更多信息,请参阅 从可疑 IP 登录 风险指示器。

通过不寻常的位置风险指标增强访问权限

  • 在 Citrix Content Collaboration 的从异常位置访问风险指示器中,在事件表中添加了 TOOL NAME 列。从事件表中删除了 设备浏览器 列。有关详细信息,请参阅Citrix Content Collaboration 风险指示器

  • 在 Citrix Virtual Apps and Desktops 的从异常位置访问风险指示器中,添加了事件表中的 设备 ID 和 RECE IVER TYPE 列。有关详细信息,请参阅Citrix Virtual Apps and Desktops 风险指示器

适用于 SIEM 的 Citrix Analytics 数据格式

一文 描述了 Citrix Analytics 为您的 SIEM 服务生成的已处理数据的架构。

修复的问题

  • 对于 Content Collaboration 用户,如果该 Is Employee<!--NeedCopy--> 值为空,则该用户不会显示在已发现的用户列表中。 [CAS-47815]

February 18, 2021

新增功能

支持自定义风险指示器中的新实体首次访问

您现在可以创建一个风险指示器,该指示器在 Citrix Analytics 首次接收来自新实体的事件时触发。实体的一些示例包括客户端 IP、城市和国家/地区。

创建指标 页面上,单击 首次 选项。为 新启用 “首次 ” 按钮,然后根据数据源从列表中选择一个有效的实体。您无需为实体分配任何特定的值。例如,如果从列表中选择 “ 城市 ”,则每当用户首次从新城市登录时,Citrix Analytics 都会触发风险指示器。

有关详细信息,请参阅创建自定义风险指示器

第一次获得新的选择

创建自定义风险指标的最大限制

现在,您可以创建自定义风险指示器,最大限制为 50。如果达到此最大限制,则必须删除或编辑任何现有的自定义风险指示器才能创建自定义风险指示器。

有关详细信息,请参阅自定义风险指示器

Citrix Virtual Apps and Desktops 的用户位置数据

用户信息 页面上,Citrix Analytics 现在显示 Citrix Virtual Apps and Desktops 数据源中的用户位置。

有关用户位置的更多信息,请参阅 用户档案

多列排序

在自助搜索页面上,您现在可以按多列对用户事件进行排序。单击 排序依据,添加列和排序顺序。单击 应用 以对用户事件进行排序。您最多可以添加六列来执行多列排序。

多列排序

有关详细信息,请参阅自助搜索

已弃用的功能

过多的授权失败风险指示器已弃用

Citrix Gateway 风险指示器- 过多的授权失败 已被弃用。您只能查看与此指标相关的历史数据。

作为此弃用的一部分,以下更改适用:

  • Citrix Analytics 不再生成这些风险指标。

  • Citrix Analytics 不再生成以这些风险指标作为条件的策略。

  • 带有这些风险指标的默认策略将不再生效。

有关详细信息,请参阅Citrix Gateway 风险指示器

January 27, 2021

新增功能

对从异常位置访问风险指示器的增强

对于 Citrix Content Collaboration、Citrix Gateway 和 Citrix Virtual Apps and Desktops,当用户从与新国家/地区关联的 IP 地址或远离任何以前登录的新城市登录时,将触发从异常位置访问风险指示器位置。其他因素包括用户的整体移动性水平以及组织中所有用户从城市登录的相对频率。在所有情况下,用户位置历史记录都基于过去 30 天的登录活动。

有关风险指示器的更多信息,请参阅以下主题:

January 20, 2021

修复的问题

  • 对于具有本地 StoreFront 的 Virtual Apps and Desktops 数据源,尽管 StoreFront 部署已成功连接,但数据处理将失败。

    [CAS-46656]

January 19, 2021

修复的问题

  • 在自定义风险指示器页面中,在更正搜索字段中的无效条件后, 估计触发器 链接不响应。

    例如,您键入无效条件 Client-IP = 10.10.10.10。更正此条件并键入 Client-IP = “10.10.10.10” 后,估计触发器链接不响应。

    解决办法:刷新自定义指标页面,然后使用有效条件创建自定义指标。

    [CAS-46316]

January 13, 2021

新增功能

适用于 Splunk 的 Citrix Analytics 附加组件的新版本已推出

Splunk 的 Citrix Analytics 附加组件 2.1.0 版现已推出。转到 下载 页面下载文件。

增加了对 Splunk 云输入数据管理器 (IDM) 和 Splunk 8.1 64 位的支持

您现在可以将 Citrix Analytics for Security 与 Splunk Cloud IDM 和 Splunk 8.1 64 位集成。有关详细信息,请参阅Splunk 集成

已弃用的支持

删除了对 Splunk 7.1 64 位的支持

您无法再将 Citrix Analytics for Security 与 Splunk 7.1 64 位集成。有关受支持的 Splunk 版本的信息,请参阅 Splunk 集成

January 11, 2021

修复的问题

  • 在“Virtual Apps and Desktops”站点卡上,支持的客户端用户标签将重命名为已收到用户的事件。标签 “ 不受支持的客户端用户 ” 将重命名为 “ 无法接收来自用户的事件”。

    [CAS-44773]

December 17, 2020

新增功能

使用预配置的自定义风险指示器和策略来阻止来自异常位置的访问(地理围栏)

Citrix 提供了预配置的自定义风险指示器列表以及帮助您监控 Citrix 基础架构安全性的策略。借助这些指标和政策,您可以阻止来自其通常运营国家/地区以外的国家/地区的用户访问权限。默认情况下,国家/地区设置为 “美国”。您可以为地理围栏设置所需的国家/地区。

以下是预配置的自定义风险指标和策略:

  • cvad-会话在地理围栏之外开始

  • GW-GeoFence 穿越

  • CCC-GeoFence 穿越

  • 会话在地理围栏之外开始

有关详细信息,请参阅预配置的自定义风险指标和策略

查看用户响应电子邮件中访问的位置

用户响应电子邮件现在会显示用户在过去 15 分钟内访问的所有位置,而不是用户设备的 IP 地址。该位置将以 <City>,<Country><!--NeedCopy--> 格式显示。如果城市或国家/地区不可用,则相应的值将显示为 “未知”。

有关详细信息,请参阅请求用户响应

已重命名的 Content Collaboration 风险指标-首次从新位置访问

Citrix Content Collaboration 风险指示器首次从新位置访问将重命名为从异常位置访问

有关详细信息,请参阅从不寻常的位置访问

已弃用的功能

风险指示器反馈

删除了风险指示器反馈机制。如果 Content Collaboration 风险指示器-从异常位置访问被错误地触发,则无法再将其报告为误报并提供反馈。

December 07, 2020

新增功能

对潜在数据泄露风险指标的改进

对风险指标进行了以下改进:

  • 发生了什么 ” 部分中的信息已更新。时间格式已更新以保持一致性。

  • 设备位置信息将显示在事件列表中。

有关风险指示器的更多信息,请参阅 潜在的数据泄露

Content Collaboration 风险指标的改进-首次从新位置访问

在用户风险 时间表上,选择从新位置首次访问 以查看以下信息:

  • 登录位置:显示用户登录的常见和异常位置的地理地图视图。

  • 过去 30 天来自常位置的登录次数:显示用户在过去 30 天内登录的前 6 个常用位置的饼图视图。它还显示来自这些位置的登录事件的数量。

  • 异常位置的事件详细信息:为用户提供来自异常位置的登录事件列表。

有关风险指示器的更多信息,请参阅 首次从新位置访问

November 30, 2020

新增功能

自助搜索页面改进

为了增强自助搜索页面的可用性,进行了以下改进:

  • 搜索框将显示查询示例,以指示如何键入自己的查询。

    搜索框查询

  • 在 macOS 中,维度列表上的滚动条现在默认显示。

    Mac 滚动条

  • 应用的过滤器现在显示为筹码。

    过滤芯片

  • 添加或删除列 标签将替换 + 图标。

    图标更新

有关详细信息,请参阅自助搜索

政策改进

策略 页面现在显示与成功发现并连接到 Citrix Analytics 的数据源关联的策略。此页不显示为未发现的数据源定义了条件的策略。关闭已连接的数据源的数据处理不会影响 “策略” 页面上的现有 策略

有关详细信息,请参阅配置策略和操作

November 04, 2020

新增功能

异常验证失败-Citrix Gateway 风险指示

Citrix Analytics 会在用户从异常 IP 地址发生登录失败时检测基于访问的威胁,并触发 异常身份验证失败 风险指示器。

当组织中的用户从不寻常的 IP 地址发生登录失败时,系统会触发此风险指示器,这种风险指示器会触发。

有关详细信息,请参阅Citrix Gateway 风险指示器

认证失败

October 20, 2020

修复的问题

  • 风险指示器 在应用注销用户操作的情况下从新设备首次访 问不能按预期工作。

    [CAS-40743]

October 15, 2020

新增功能

从异常位置访问 — Citrix Virtual Apps and Desktops 风险指示器

Citrix Analytics 会根据 Citrix Workspace 的异常登录来检测基于访问的威胁,并触发相应的风险指示器。

位置不寻常

有关详细信息,请参阅Citrix Virtual Apps and Desktops 风险指示器

共享链接仪表板增强

  • SHARE URL 列现在由 “共享 ID” 列替换。现在,每个共享 URL 都使用共享 ID 进行标识。

  • 控制面板上的时间选择将被删除。现在,此仪表板显示从活动状态到过期状态的所有共享链接,而不是选定时段。

  • 所有共享链接首先按活动链接的顺序排序,然后按过期链接的顺序排序。默认情况下,风险指示器数量最高的共享链接显示在列表顶部。

  • 风险链接现在会显示具有风险行为的活动链接。它不显示过期的链接。默认情况下,风险指标数量最高的风险链接显示在列表顶部。

  • “风险分享链接” 卡和 “所有共享链接” 卡片中的趋势视图将被删除。

有关详细信息,请参阅“共享链接”控制板

共享链接风险时间表增强

风险时间表现在显示共享 ID 而不是共享 URL。有关详细信息,请参阅共享链接风险时间表

已弃用的功能

从不受支持的操作系统 (OS) 风险指示器的设备进行访问已弃用

Citrix Virtual Apps and Desktops 风险指示 器-从操作系统 (OS) 不受支持的设备进行访问 已被弃用。您只能查看与此指标相关的历史数据。

作为此弃用的一部分,以下更改适用:

  • 分析不再生成这些风险指标。

  • Analytics 不再以这些风险指标作为条件生成策略。

  • 带有这些风险指标的默认策略将不再生效。

有关 Citrix Virtual Apps and Desktops 风险指示器的详细信息,请参阅 Citrix Virtual Apps and Desktops 风险指示器

September 10, 2020

新增功能

StoreFront 的清单

Citrix Analytics 现在会显示下载 StoreFront 配置文件之前必须满足的先决条件列表。查看清单并确保选择了所有最低要求。如果未选择最低要求,则无法下载配置文件。有关详细信息,请参阅Citrix Virtual Apps and Desktops 数据源

Storefront-清单

自助搜索-支持不是等于 (!=) 运算符

你现在可以使用 NOTAQUE (!=) 运算符在查询中具有以下功能:

  • 自定义风险指标

  • 自助搜索

您可以在以下情况下使用此运算符:

数据源 尺寸
Content Collaboration 国家、城市、客户操作系统
访问控制 国家、城市、操作、URL、URL 类别、声誉、浏览器、操作系统、设备
Virtual Apps and Desktops 国家、城市、应用名称、剪贴板操作、浏览器、操作系统
网关 身份验证阶段,客户端 IP

使用运算符,创建具有单个值的自定义指标表达式,例如 “国家/地区!= XYZ” 并查看用户列表。然后创建策略以应用诸如 “添加到监视列表”、“通知管理员” 或 “禁用用户” 等操作。 您还可以在指定数据源的自助搜索中使用运算符来筛选用户事件。

在查询中输入维度值时,请使用数据源的自助搜索页面上显示的确切值。维度值区分大小写。

September 08, 2020

新增功能

用户关联

Analytics 现在将从各种数据源中发现的用户关联起来。此机制将大多数重复用户从发现的用户列表中删除。Analytics 中发现的用户现在会显示唯一用户的列表以及他们的数据源和风险指标。

例如,用户“Joe Smith”可以有多个用户标识符-基于数据源的 JosePhSM、joe.smith@citrix.com 和 joe.smith。Analytics 现在使用唯一的标识符名称来识别此用户。所有其他用户标识符都是关联的,从各种数据源收到的 Joe Smith 的事件将链接到此唯一名称。 有关详细信息,请参阅 发现的用户

修复的问题

在 “ 作” 列表中,选择操作选项并单击 “ 应用” 后,将显示一条错误消息。

[CAS-39914]

August 11, 2020

已修复的问题

  • 你无法将 Microsoft Graph 形安全与 Citrix Analytics 集成。出现此问题的原因是 Microsoft 门户未能重定向到 Citrix Analytics。

[CAS-38021]

July 31, 2020

已修复的问题

  • 自定义风险指示器中的 “ 估计触发器 ” 选项不能预测过去一天的自定义风险指标实例。

[CAS-38129]

July 09, 2020

新增功能

Virtual Apps and Desktops 站点卡片显示具有受支持和不支持客户端

在站点卡片上,您现在可以查看在终端节点上使用受支持和不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 客户端版本的用户数量。

  • 单击受支持客户端的用户计数可查看显示所有发现的 用户 的 “用户” 页。

  • 单击不受支持的客户端的用户计数以下载 CSV 文件。该文件列出了用户及其不受支持的客户端版本。Analytics 不会从不受支持的客户端接收用户事件,因此不会将用户添加为已发现的用户。使用 CSV 文件,您可以识别必须将其客户端升级到受支持版本的用户,以便 Analytics 能够对其行为提供安全洞察。

要查看受支持的客户端列表,请参阅 Citrix Virtual Apps and Desktops 数据源

客户状态

从不寻常的位置风险指示器访问

  • Citrix Gateway 风险指示器 首次从新位置访问将重命名为从异常位置访问

  • 在用户风险时间表上,事件详细信息部分中介绍了地理地图和饼图。

    • 登录位置:此部分显示用户通常和不寻常位置的地理地图视图。地理地图右上角的颜色代码表示通常和不寻常的位置。您可以缩放地理地图以更仔细地查看位置。

      从不寻常的位置访问

    • 常用位置-过去 30 天:此部分显示饼图,其中提供了用户登录的前 6 个常用位置的视图。每个位置都使用不同的颜色代码进行标记。您可以按位置对区域进行排序,以获取所选位置的详细视图。

      从不寻常的位置访问

有关详细信息,请参阅从不寻常的位置访问

用户仪表板数据

监视列表中的风险用户、发现的用户、特权用户和用户的数量将在过去 13 个月内显示,不管在 “用户” 控制面板和 “用 户” 页面上选择的时间段。当您选择时间段时,风险指示器的发生次数将发生变化。

有关详细信息,请参阅“用户”控制板

用户仪表板数据

重新设计的用户页面

页面已得到增强,以获得更好的用户体验。它根据用户风险评分、数据源和用户类型提供用户事件的综合摘要。

为了支持更集中的搜索,“ 用户 ” 页面在左侧窗格中包含 “ 筛选器 ” 部分和顶部的搜索栏。您可以搜索预设时间或自定义时间范围的用户事件。

发现的用户部分

要查看 “用 ” 页面:

  • 转到 “ 安全” > “用户 ” 查看 “ 用户 ” 控制面板并执行以下操作:

    • 单击以下链接之一或卡片。

      “用户”页

    • 在 “ 风险用户 ” 窗格上,单击 查看更多

    • 在监视列表中的用户 窗格中,单击 查看更多

    • 在 “特 权用户 ” 窗格中,单击 查看更多

  • 前往 “设置” > “数据源” > “安全”。单击任何数据源站点卡片上的用户数。

有关详细信息,请参阅“用户”控制板

风险用户窗格增强功能

更改列将替换为风险指示器列。风险指示器列显示特定时间段内用户的总风险指示器出现情况。

有关详细信息,请参阅有风险的用户

风险高的用户窗格

监视列表窗格中的用户增强

更改列将替换为风险指示器列。风险指示器列显示特定时间段内用户的总风险指示器出现情况。

有关详细信息,请参阅播放列表中的用户

关注列表窗格

特权用户窗格增强

  • 更改列将替换为风险指示器列。风险指示器列显示特定时间段内用户的总风险指示器出现情况。

  • 单击查 看更多 以查看用 页面。显示管理员和执行特权 户列表的 “用户” 页面。在此页面上,您可以作为特权用户添加或删除用户。

有关详细信息,请参阅特权用户

特权用户窗格

已弃用的功能

警报

报功能现已弃用,不再在 Analytics 用户界面上提供。

警报

有风险的用户和关注列表页面

风险用户 ” 和 “关 注列表” 页面已弃用。它们将替换为 “ 用户 ” 页面,该页面总结了监视列表中的所有风险用户事件和用户。

有风险的用户页面

关注列表页

有风险的用户窗格

“最 高分数变化 ” 和 “ 风险指标更改 ” 选项卡将从 “风 险用户 ” 窗格中删除。

风险高的用户窗格

风险指示器窗格

  • 具体值更改 ” 选项卡和 “ 更改 ” 列将被删除。

    风险指示器窗格

  • 风险指示器详细信息 ” 页面已弃用。以前,此页面是在风险指示器窗格或风 险指 示器 概述页面上选择风险指 示器时显示的。

    风险指示器详情页面

趋势视图

在 “用 户 ” 仪表板上,用户计数的趋势视图将从观 察列表卡 中的 风险用、中 风险用户、低风险用户和用户中 除。

趋势视图

“用户组” 页面

不建议使 用 “设置” 选项下的 “用户组” 页面。您不能再将用户组作为特权组添加或删除。但是,您可以将单个用户作为特权用户添加或删除。有关更多详细信息,请参阅特权用户

用户组页

June 26, 2020

已弃用的功能

不建议使用应用程序访问的异常时间(虚拟/SaaS)风险指标

Citrix Virtual Apps and Desktops 风险指示器-应用 程序访问异常时间(虚拟)和应用程序访问异常时间 (SaaS) 已被弃用。您只能查看与这些指标相关的历史数据。

作为此弃用的一部分,以下更改适用:

  • 分析不再生成这些风险指标。
  • Analytics 不再以这些风险指标作为条件生成策略。
  • 带有这些风险指标的默认策略将不再生效。

有关 Citrix Virtual Apps and Desktops 风险指示器的详细信息,请参阅 Citrix Virtual Apps and Desktops 风险指示器

June 02, 2020

已修复的问题

  • 在用户风险时间线上,Virtual Apps and Desktops 操作(基于策略或手动应用)的状态显示为“失败”,即使操作已成功应用于用户帐户。例如,在用户帐户上成功应用“开始会话录制”操作,但结果显示为“失败”。 [CAS-32773]

    操作失败状态

May 11, 2020

已修复的问题

  • 对于某些用户,基于策略的操作不会触发,也无法应用策略实施模式。如果客户 ID 不是小写,则会出现此问题。

    [CAS-34209]、[CAS-34141]

  • 无法为某些用户创建自定义风险指示器。如果客户 ID 不是小写,则会出现此问题。

    [CAS-34139]

April 29, 2020

已修复的问题

  • 在 Citrix Virtual Apps and Desktops 风险指示器上应用的操作无法生效,尽管 Analytics 会显示一条消息,说明操作已成功应用。Citrix Virtual Apps and Desktops 7 1912 版本中会观察到此问题。

    [CAS-31544]

April 02, 2020

新增功能

未添加 StoreFront 时禁用数据处理

在“设置”>“数据源”>“安全”>“Virtual Apps and Desktops”数据源站点卡上,如果您尚未加入 StoreFront,则不会启用打开数据处理按钮。您可以在站点卡片上看到 StoreFront 未连接 警告消息。如果您有一个活动的本地站点,您希望分析能够从中接收数据,则必须验证您是否已加入 StoreFront 到 Citrix Analytics。它可以确保您的用户帐户受到保护。

Virtual Apps and Desktops 站点卡上,选择垂直省略号 (⋮),然后单击连接 StoreFront 部署。在显示的屏幕上,按照说明进行操作并完成 StoreFront 配置。

有关详细信息,请参阅使用 StoreFront 载入 Virtual Apps and Desktops 站点

StoreFront 警告

已修复的问题

  • 对于 Citrix Content Collaboration 用户,基于策略的操作在以下情况下无法生效:

    • 何时定义自定义风险指示器条件

    • 直到为用户生成风险指示器

    [CAS-29226]

March 04, 2020

已修复的问题

  • 当网关用户首次加入 Analytics 时,他们会看到 Citrix ADC 无响应或凭据不正确的错误。重试后,他们看到具有此 IP 地址的错误设备已存在

[CAS-31180]

February 20, 2020

新增功能

Citrix Analytics for Security 产品

Citrix Analytics for Security 现在可供单个订阅使用。 您可以订阅 Citrix Analytics for Security,并获取特定于此产品的见解。有关详细信息,请参阅快速入门

风险类别仪表板

Citrix Analytics 根据对组织安全方面具有类似影响的风险引入了风险指示器分类。此控制板提供了需要立即注意的风险暴露和关键风险的全面视图。对于默认风险指示器,Analytics 会根据风险风险自动分配风险类别。对于自定义风险指示器,您必须根据风险风险选择适当的风险类别。

Analytics 支持以下风险类别:

  • 数据泄露
  • 内幕威胁
  • 受影响的用户
  • 受损的终端节点

有关详细信息,请参阅风险类别

风险类别仪表板

“自定义指标”页面上的“风险类别”列

风险类别”列在“自定义风险指示器”页面上引入。根据风险风险类型,您可以为自定义风险指示器选择风险类别。如果您通过选择风险类别对之前创建的自定义风险指示器进行修改,则会显示在“风险类别”控制板上。

有关详细信息,请参阅自定义风险指示器

风险类别下拉列表

风险指示器名称的变化

以下风险指示器名称已更改:

数据源 旧名字 新名字
Citrix Virtual Apps and Desktops 应用程序使用异常(虚拟) 应用程序访问的异常时间(虚拟)
Citrix Virtual Apps and Desktops 应用程序使用异常 (SaaS) 应用程序访问不寻常的时间 (SaaS)
Citrix Content Collaboration 登录失败过多 验证失败过多
Citrix Content Collaboration 不寻常的登录访问 首次从新位置访问
Citrix 访问控制 不寻常的下载量 数据下载过多
Citrix Gateway 登录失败 验证失败过多
Citrix Gateway 授权失败 授权失败过多
Citrix Gateway 不寻常的登录访问 首次从新位置访问

有关详细信息,请参阅风险指示器

已修复的问题

  • 对于某些用户,即使数据源已成功加入并启用 StoreFront,Citrix Analytics 无法从 Virtual Apps and Desktops 接收任何数据。 [CAS-24134]

  • Citrix Analytics 无法从 Citrix Content Collaboration 接收下载事件。因此,不会触发以下风险指示器:

    • 匿名敏感下载

    • 下载过多

    • 过度访问敏感文件

    • 文件下载过多

    [CAS-29207]

  • 对于新加入的用户,Citrix Gateway 风险指示器上应用的手动操作和基于策略的操作不会产生任何影响。 [CAS-29029]

  • 某些用户无法在“数据源”页面上查看站点卡片。重新填充缓存可以解决此问题。 [CAS-28781]

January 09, 2020

新增功能

持续的风险评估

Citrix Workspace 用户面临的一些挑战是,远程访问通过数据泄露、盗窃、破坏和服务中断等网络犯罪活动将敏感数据暴露在安全风险之中。组织内的员工也可能造成这种损害。

解决这些风险的一些方法是实施多因素身份验证、实施短时间登录超时等。尽管这些风险评估方法确保了更高级别的安全性,但它们在初始验证后并不能提供完全的安全性。

为了增强安全性并确保更好的用户体验,Citrix Analytics 引入了持续风险评估解决方案。此解决方案可帮助您持续监视用户配置文件,并在检测到风险事件时采取各种操作。

有关详细信息,请参阅持续的风险评估

持续的风险评估

策略配置

Citrix Analytics 可帮助您更高效地管理策略配置。借助以下功能,您可以保护用户帐户免受恶意攻击:

  • 默认策略:Citrix Analytics 支持以下默认策略:

    • 成功利用凭证
    • 潜在的数据泄露
    • 来自可疑 IP 的异常访问
    • 来自不寻常位置的不寻常的应用
    • 低风险用户-首次从新 IP 访问
    • 首次从设备访问

    您可以根据自己的要求修改默认策略。

    默认策略

  • 多个条件:一个策略最多可包含四个条件。这些条件可以通过风险评分和风险指示器的组合来设置,或者两者都可以设置。

    添加和删除条件

  • 默认和自定义风险指示器:“创建策略”页面上的条件菜单现在根据默认和自定义风险指示器进行隔离。创建策略时,您可以在默认和自定义风险指示器选项卡之间切换,并设置风险指示器条件。

    添加和删除条件

  • 请求用户响应:Citrix Analytics 引入了请求用户响应操作。使用此操作,您可以向用户发送关于检测到的风险活动的电子邮件通知。用户对活动作出响应后,您可以确定对其帐户采取的下一个操作方案。您还可以设置用户响应时间。如果未收到任何响应,Citrix Analytics 会将“无响应”视为状态。

    请求用户响应

  • 应用程序中断操作:您可以在应用中断操作(如注销用户锁定用户)时通知用户。系统会向用户发送通知,其中包含活动和应用操作的详细信息。此操作会暂时中断用户帐户的服务,以防止进一步滥用。要继续访问该帐户,用户必须联系管理员寻求帮助。

    应用破坏性行动

  • 强制和监视模式:您可以为策略设置强制或监视模式。

    策略模式

有关策略增强的详细信息,请参阅策略和操作

锁定用户并解锁用户操作

Citrix Analytics 介绍了以下网关操作:

  • 锁定用户
  • 解锁用户

您可以手动或在配置策略时应用这些操作。

有关详细信息,请参阅什么是行动

然后执行以下操作

访问摘要控制板

Citrix Analytics 引 入了“用户”控制板上的“访问摘要”面板。它总结了用户尝试访问组织内资源的总次数。

有关详细信息,请参阅访问摘要

访问摘要控制板

策略和行动控制板

Citrix Analytics 介绍了“用户”控制板上的“策略和操作”面板。它显示了应用于用户配置文件的前五个策略和操作。您可以根据选定时间段内的顶级策略和顶级操作对数据进行排序。

有关详细信息,请参阅策略和操作

策略和行动控制板

面向策略的自助搜索

使用自助搜索查看符合定义策略的用户事件。您还可以查看 Analytics 针对这些异常事件应用的操作。使用 Facets 和搜索框搜索所需的事件。

要查看事件,请在搜索框中,从列表中选择策略,选择时间段,然后单击搜索

有关详细信息,请参阅面向策略的自助搜索

已弃用的功能

已删除基于策略的风险评分变更

配置策略时,您不能再使用基于风险评分更改策略的条件。Citrix Analytics 不支持这种情况。

有关详细信息,请参阅策略和操作

删除多个基于策略的操作

配置策略时,不能再应用多个操作。Citrix Analytics 对每个策略只支持一项操作。

有关详细信息,请参阅策略和操作

已修复的问题

  • 委派的只读管理员在访问 用户 访问和 应用程序访 问控制板时遇到错误。 [CAS-16297]

December 12, 2019

新增功能

Splunk 版本支持

Citrix Analytics 支持以下版本的 Splunk:

  • Splunk 8.0 64 位
  • Splunk 7.3 64 位

要获得 Splunk 集成的最大安全优势,请从 下载 页面升级到最新版本的 Splunk 附加应用程序。

有关支持的 Splunk 版本的详细信息,请参阅支持的版本

December 04, 2019

新增功能

Citrix Gateway 的自定义风险指示器

使用自定义风险指示器,您现在可以定义触发 Citrix Gateway 事件风险指示器的条件和频率。当用户事件满足条件时,Analytics 会触发风险指示器。有关如何创建自定义风险指示器的详细信息,请参阅自定义风险指示器

网关自定义指标

November 22, 2019

新增功能

首次从新设备访问 — Citrix Virtual Apps and Desktops 风险指示器

Citrix Analytics 基于从新设备的访问来检测访问威胁,并触发相应的风险指示器。

当用户在 90 天后 从设备登录时,将触发首次从新设备访 问风险指示器。之所以触发此事件,是因为 Citrix Receiver 在过去 90 天内没有来自此新设备或不熟悉的设备的登录记录。有关详细信息,请参阅Citrix Virtual Apps and Desktops 风险指示器

首次从新设备访问

首次从新 IP 访问-Citrix Gateway 风险指示器

Citrix Analytics 基于来自新 IP 地址的访问来检测访问威胁,并触发相应的风险指示器。

当用户在 90 天后 从 IP 地址登录时,将触发来自新 IP 风险的首次访 问风险指示器。之所以触发此事件,是因为 Citrix Receiver 在过去 90 天内没有来自新或不熟悉的 IP 地址的登录记录。

有关详细信息,请参阅Citrix Gateway 风险指示器

首次从新 IP 访问

从可疑 IP 登录-Citrix Gateway 风险指示器

Citrix Analytics 基于可疑 IP 登录活动检测用户访问威胁,并触发 来自可疑 IP 风险指示器的登录

当用户尝试从可疑 IP 地址访问网络时触发此风险指示器。根据以下任何情况,Analytics 将 IP 地址视为可疑:

  • 在外部 IP 威胁智能源上列出

  • 有来自不寻常位置的多个用户登录记录

  • 登录尝试失败过多,可能表明存在暴力攻击

有关详细信息,请参阅Citrix Gateway 风险指示器

从可疑 IP 登录

自助搜索 Citrix Gateway 事件

使用自助搜索功能深入了解从 Citrix Gateway 数据源接收的用户事件。Citrix Analytics 接收 Citrix Gateway 关用户的身份验证阶段、授权类型、VPN 会话代码、VPN 会话状态等事件。使用 Facets 和搜索框搜索必需的事件并探索基础数据。

要查看事件,请在搜索框中,从列表中选择网关,选择时间段,然后单击搜索

有关详细信息,请参阅面向网关的自助搜索

自助搜索 Citrix Secure Browser 事件

使用自助搜索功能深入了解从 Citrix Secure Browser 服务接收的浏览事件。Citrix Analytics 会为每个用户连接接收会话连接、会话启动、已发布的应用程序、已删除的应用程序使用搜索框搜索所需事件并探索基础数据。

若要查看事件,请在搜索框中,从列表中选择 Secure Browser,选择时间段,然后单击搜索

有关详细信息,请参阅面向 Secure Browser 的自助搜索

从监视列表中删除操作

您可以通过应用手动方法或应用基于策略的方法将用户从监视列表中删除。有关详细信息,请参阅播放列表

改进了配置 StoreFront 部署时的入门消息

Citrix Analytics 现在提供以下消息来帮助您配置 StoreFront 部署:

  • 下载配置文件后,您可以看到一条消息,指示下载的日期和时间以及用户名。刷新此页时,“下载文件”按钮将更改为“再次下载文件”。

    StoreFront 下载文件

  • 如果 StoreFront 配置不完整,您将看到一条警告消息,指示您按照配置步骤操作并将 StoreFront 部署与 Analytics 连接起来。

    StoreFront 不完整的配置

有关如何配置 StoreFront 部署的详细信息,请参阅使用 StoreFront 板载您的 Virtual Apps and Desktops 站点

已弃用的功能

风险指示器-从新设备移除访问

Citrix Analytics 不再触发从新设备访问风险指示器。但是,在“用户”控制板、用户时间表和策略控制板上,您可以查看与此风险指示器相关的历史数据。

对于以前基于 从新设备访问创建的策略,您必须修改策略或 使用新风险指示器创建策略。

有关详细信息,请参阅首次从新设备访问风险指示器。

已修复的问题

  • 面向身份验证的自助搜索无法显示事件。 [CAS-24959]

November 08, 2019

已修复的问题

  • 对于 Citrix Content Collaboration 风险指示器,用户无法在风险时间轴上应用操作。 [CAS-24844]

  • 版本 1911 之前的适用于 Chrome 的 Citrix Workspace 应用程序无法向 Citrix Analytics 发送事件详细信息。 [CAS-24938]

October 21, 2019

新增功能

分析代理的修改名称

代理名称现在在用户界面上被称为 Analytics 策略代理 ,以指示其角色。在引入本地 Citrix Virtual Apps and Desktops 数据源时,Citrix Analytics 会明确通知策略代理仅在为站点配置策略和操作时才需要策略代理。此代理无权从数据源传输数据。有关详细信息,请参阅Citrix Virtual Apps and Desktops 数据源

策略代理人

支持自定义报告的时间维度

现在,您可以通过选择 x 轴的时间维度来根据时间对事件进行分组。该报告根据所选时段的时间间隔显示接收的事件总数。有关如何创建报表的详细信息,请参阅自定义报告

自定义报告时间维度

审计日志增强

审核日志”页面的用户体验得到增强。

  • 您可以查看上次更新“审核日志”页面的日期和时间详细信息,并刷新页面以查看最新的审核日志。

  • 您可以清除审核日志上应用的所有筛选器。

有关审核数据的详细信息,请参阅审核日志

刷新审计日志

已修复的问题

  • 即使 Microsoft Graph 安全已成功加入,Citrix Analytics 也无法生成匿名 IP 地址风险指示器。 [CAS-21329]

  • 适用于 1910 版之前的 HTML5 的 Citrix Workspace 应用程序无法向 Citrix Analytics 发送事件详细信息 [CAS-24938]

September 23, 2019

已修复的问题

  • 在数据源站点卡上,“最新事件”字段显示不正确的日期和时间信息。 [CAS-24087]

August 30, 2019

新增功能

在控制板中的默认时间段更改

以下控制板上的默认时间段从最近 1 小时更改为最近 1 个月

  • 用户

  • 风险时间表

  • 用户访问权限

  • 应用程序访问

  • 共享链接

  • 警报历史

现在,控制板默认显示过去一个月的事件。在使用这些控制板时,您将获得更具吸引力的体验。例如,当您打开“应用程序访问”控制板时,默认情况下,控制板会显示最近一个月的应用程序访问事件。

默认时段选择

已修复的问题

  • 对于 Content Collaboration 风险指示器,无法成功应用基于禁用用户策略的操作。 [CAS-17304]

  • Citrix Analytics 无法处理来自 Citrix Gateway 13.0 的事件。出现此问题的原因是 Citrix Gateway 13.0 无法在发送到 Citrix Analytics 的登录事件中提供用户名。 [CAS-21339]

August 20, 2019

新增功能

自助搜索增强

  • 自助服务页面的用户体验得到了增强。现在,您可以在用户风险时间线和自助搜索页面之间无缝切换。

  • 您现在可以按时间对事件进行排序。默认情况下,最新事件首先显示在事件表中。单击时间列上的排序图标可根据最新时间或最早时间对事件进行排序。

有关如何使用自助搜索的详细信息,请参阅自助搜索

自定义报告增强

  • 为 Access Control、Content Collaboration 以及 Virtual Apps and Desktops 数据源添加了新的维度。您可以选择这些维度来创建报表。为数据源添加了以下维度:

    • Access Control:用户代理、用户名

    • Content Collaboration:用户电子邮件、用户名、创建者、帐户 ID、OAuth 客户端 ID、事件 ID、文件夹 ID、文件夹名称、资源 ID、表单 ID、客户端 IP

    • Virtual Apps and Desktops:用户名、IP 地址、设备 ID、监狱破坏、会话启动类型、会话服务器名称、会话用户名、下载文件名、下载文件路径、打印打印机名称、打印作业详细信息文件名、SaaS 应用程序启动 URL、剪贴板操作、剪贴板详细信息结果

  • 自定义报表用户界面通过支持分页和筛选器的“全部清除”选项得到增强。

有关如何使用这些维度创建自定义报表的详细信息,请参阅自定义报告

风险指示器控制板

用户”页面上介绍了“风险指示器”控制板。它总结了用户的前五个默认和自定义风险指示器。查看更多链接将您重定向到 风险指示器概述 页面。此页面提供有关在选定时间段内生成的风险指示器的详细信息。

有关详细信息,请参阅“用户”控制板

风险指示器控制板

风险“用户”控制板增强功能

Citrix Analytics 在风险“用户”控制板上引入了风险指示器风险指示器更改选项卡。您可以根据这些选项卡查看前五位风险用户。控制板还介绍了 风险指示器 列。它显示了用户的风险指示器数量。

风险用户”页面引入了“发 生次数”和“发生次数更改”列。这些列总结了自定义和默认风险指示器的总发生率以及出现率的变化。

有关详细信息,请参阅“用户”控制板

有风险的用户

共享链接风险指示器-下载过多

Citrix Analytics 会根据共享链接上的过多下载来检测访问威胁,并触发过多下载风险指示器。通过根据以前的行为识别具有过多下载量的共享链接,您可以监视共享链接是否存在潜在攻击。此风险指示器可帮助您识别过多的文件下载活动。

有关详细信息,请参阅下载过多

自助搜索身份验证数据

使用自助搜索可深入了解身份验证事件。Citrix Analytics 从 Citrix Cloud 的身份和访问管理服务接收身份验证事件,例如用户登录、用户注销和客户端更新。搜索将提供有关身份验证事件的详细报告,帮助您识别任何身份验证问题并对其进行故障排除。您还可以定义搜索查询来检索与您定义的条件匹配的事件。

要查看事件,请从列表中选择身份验证,选择时间段,然后单击搜索

有关详细信息,请参阅面向身份验证的自助搜索

July 11, 2019

新增功能

自定义风险指示器

Citrix Analytics 生成的默认风险指示器基于机器学习算法。Citrix Analytics 现在允许您创建自定义风险指示器。根据用户事件,您可以定义条件并创建自定义风险指示器。

满足定义的条件后,Citrix Analytics 会生成类似于默认风险指标的自定义风险指标,并将其显示在用户的风险时间表中。自定义风险指示器在用户的风险时间线上标注。

有关详细信息,请参阅自定义风险指示器

风险时间表上的特权状态

只要用户的管理员或执行员权限状态发生变化,用户风险时间表就会显示以下事件:

  • 已添加到执行组

  • 已从执行组中删除

  • 特权提升给管理员

  • 删除管理员权限

当用户触发风险指示器时,您可以将其与指定的权限状态更改事件关联起来。如有必要,您可以对用户配置文件应用适当的操作。

有关详细信息,请参阅用户风险时间表

使分享链接操作过期

Citrix Analytics 使您能够对共享链接风险指示器应用操作。目前,支持的操作是过期共享链接

有关详细信息,请参阅Citrix 共享链接风险指示器

自助搜索增强

  • *在搜索查询中支持通配符 **:使用搜索查询中的星号 (*) 字符匹配任何字符零次或多次。例如,搜索查询用户名 = “John*” 显示以 John 开头的所有用户名的事件。

  • 为面添加了“全部清除”选项:单击“全部清除”以一次移除所有选定面。

  • 查看事件列表中的隐藏列数据:从事件表中删除列后,可以查看用户事件列表中的相应数据。展开用户的事件行并查看数据。

有关详细信息,请参阅自助搜索

网站卡片上的数据错误状态

当 Citrix Analytics 在过去一小时内未从数据源接收事件时,站点卡将以红色显示未收到数据标签。它还显示接收的事件数量,并链接到相应的自助搜索页面。此功能可帮助您在自助搜索页面上查看相应的事件,并检查是否存在任何数据传输问题。

注意

目前,自助搜索仅适用于访问、Content Collaboration 以及 Virtual Apps and Desktops 数据源。

有关详细信息,请参阅启用关于 Citrix 数据源的分析

已修复的问题

  • 对于 Access Control 数据源,站点卡上的事件数与自助搜索结果不匹配。 [CAS-18286]

June 19, 2019

已修复的问题

  • 审核日志”页面显示每次发现 Active Directory 数据源时的数据传输开启或关闭状态。 [CAS-17575]

  • 用户 控制板上的时间段菜单未准确加载。它显示超时错误消息。 [CAS-19467]

  • 用户从 Splunk 连接到租户时,在 Citrix Analytics 上收到错误消息。有时,引入新数据源会失败。 [CAS-19429]

June 17, 2019

新增功能

StoreFront 配置

如果您的组织使用本地 StoreFront,您现在可以配置 StoreFront 以连接到 Citrix Analytics。配置使用从 Citrix Analytics 导入的配置文件执行。配置成功后,Citrix Workspace 应用程序将用户事件发送到 Citrix Analytics,以便对用户行为生成切实可行的见解。这些见解可帮助您检测任何异常用户行为,并主动处理组织中的安全威胁。有关详细信息,请参阅使用 StoreFront 的载入 Virtual Apps and Desktops 站点

May 30, 2019

新增功能

登录失败过多

Citrix Analytics 会根据过多的登录活动检测访问威胁,并触发过多登录失败风险指示器。当用户遇到多次访问 Content Collaboration 失败的登录尝试时触发此风险指示器。通过根据以前的行为识别登录失败过多的用户,管理员可以监控用户帐户的暴力攻击。

有关详细信息,请参阅验证失败过多

注意

过多的登录失败 现在被重命名为 过多的身份验证失败

已修复的问题

  • 对于 Citrix Workspace 应用程序传输的某些用户事件,数据源被错误地标识为 Endpoint Management,而不是 Citrix Virtual Apps and Desktops。

    [CAS-17323]

  • “用户”控制板需要很长时间才能加载过去 1 个月的时间段。当用户数量很高时,会出现此问题。在某些情况下,你甚至可能会遇到 601 个错误。

    [CAS-16300]

  • 尽管某些用户在 Citrix Cloud 上订阅服务,但仍未将 Citrix Content Collaboration 作为数据源发现。

    [CAS-16299]

May 09, 2019

新增功能

创建自定义报告

现在,您可以根据自己的运营要求创建自定义报告。Citrix Analytics 根据所选数据源提供维度和衡量指标器的列表。选择所需的参数和可视化类型(如条形图、事件图、折线图或表)以创建报告。创建报表可以帮助您以图形方式组织和分析数据。

要创建自定义报告,请在“安全”选项卡中单击“ 告”>“创建报告”。要查看之前创建的报告,请从“ 全”选项卡中单击“报告”。有关详细信息,请参阅自定义报告

特权用户监视

通过 Citrix Analytics,您可以密切监视组织中特权用户的行为异常。由于特权用户非常容易受到安全威胁,因此将他们的日常活动与恶意活动区分开来变得具有挑战性。因此,长期以来,特权用户的恶意活动仍未被发现。此功能使您能够主动监视此类活动,并对相应的用户帐户采取适当的操作。特权用户以“用 ”控制板上的图标表示。

Citrix Analytics 支持对以下类型的特权用户进行监视:

  • 管理员-由相应的 Citrix 服务分配管理员权限的用户。目前,Citrix Analytics 支持对 Content Collaboration 服务中具有管理员权限的用户进行特权用户监控

  • 高管 -在 Citrix Analytics 上,您可以将广告组标记为高管组。将 AD 组标记为执行组会使该组中的所有用户都成为特权用户。如果不需要进一步支持 AD 组中用户的行为异常,则可以将该组作为执行组移除。

有关详细信息,请参阅特权用户

每周电子邮件摘

Citrix Analytics 每周向管理员发送一封电子邮件,总结其组织 IT 环境中的安全风险暴露。电子邮件通知每周二发送给管理员,并突出显示上周发生的安全事件。此电子邮件可确保管理员在不登录 Citrix Analytics 的情况下即可获悉安全风险暴露。有关详细信息,请参阅每周电子邮件摘

April 26, 2019

新增功能

委派管理员

Citrix Analytics 现在支持委派管理员角色通过此功能,您可以邀请其他管理员访问 Citrix Cloud 帐户,以便为您的组织管理 Citrix Analytics。如果您是具有完全访问权限的 Citrix Analytics 管理员,则可以将其他管理员添加到 Citrix Cloud 帐户。这些额外的管理员称为委派管理员。您目前可以向委派管理员分配只读访问权限。有关详细信息,请参阅委派管理员

已修复的问题

使用数据流的数据源的风险指示器很少会生成警报。如果触发以下风险指示器之一,您不会收到任何警报通知,并且不会自动应用基于策略的操作:

  • Citrix Endpoint Management 风险指示器 - 非托管设备、越狱或获得 Root 权限的设备以及具有列入黑名单的应用的设备。

  • Citrix Virtual Apps and Desktops 风险指示 器-从操作系统 (OS) 不受支持的设备进行访问。

  • Citrix Content Collaboration 风险指示器 -过多访问敏感文件。

[CAS-14590]

February 19, 2019

新增功能

Splunk 集成

Citrix Analytics 与 Splunk 集成,以增强您的安全事件监视和故障排除体验。此集成利用 Citrix Analytics for Security 的风险分析功能和智能(如风险指标、风险评分和用户配置文件),增强了现有的数据源。Citrix Analytics 将风险分析信息导出到频道。Splunk 从此通道提取相同的对象。

Splunk 集成涉及在 Citrix Analytics 上进行配置、安装 适用于 Splunk 应用程序的 Citrix Analytics 加载项 以及应用程序的配置。确保至少为一个数据源启用数据处理功能。它有助于 Citrix Analytics 开始执行 Splunk 集成过程。

有关详细信息,请参阅Splunk 集成

Splunk 配置

动态会话录制

Citrix Analytics 引入了在用户当前 Virtual Apps and Desktops 会话上动态触发会话录制的功能。它有助于捕获风险分析所需的证据,并采取适当的事件响应措施,例如断开会话连接和阻止用户。

有关详细信息,请参阅策略和操作

共享链接控制板和风险指示器

Citrix Analytics 基于从 Citrix Content Collaboration 收集的数据,引入了共享链接的风险可见性。它帮助您通过股票链接触发的风险指示器了解股票链接的风险敞口。

有关详细信息,请参阅“共享链接”控制板

“共享链接”控制板

目前,针对共享链接触发匿名敏感共享下载风险指示器。当 Content Collaboration 检测到此危险行为时,Citrix Analytics 会收到事件。您会在 “ 警报 ” 面板中收到通知,匿名敏感下载风险指示器已添加到共享链接的风险时间表中。

有关详细信息,请参阅共享链接风险时间表Citrix 共享链接风险指示器

风险时间表

Microsoft Active Directory 集成

您现在可以将 Microsoft Active Directory 与 Citrix Analytics 集成。此集成通过职务、组织、办公地点、电子邮件和联系人详细信息等其他信息增强了风险用户的情境。您可以在 Citrix Analytics 的用户个人资料页面上更好地了解用户。

有关详细信息,请参阅将 Analytics 与 Microsoft Active Directory 相集成

活动目录用户

January 04, 2019

新增功能

为现有风险指示器增加源栏

事件详情 ” 部分中引入了以下风险指标的 “ 源” 列:

  • 文件上载过多

  • 文件下载过多

  • 过多的文件共享

  • 删除过多的文件或文件夹

有关详细信息,请参阅Citrix Content Collaboration 风险指示器

高级用户资料

户配置文件上的“用户信息”视图已得到增强。趋势视图链接已在应用程序设备数据使用情况部分的右上角引入。“地 图视图”链接已在“位置”部分的右上角引入。这些链接提供了有关用户在特定时间段内历史行为的图形表示。您可以从 用户 的风险时间表或从“数据源”页面导航到“用户信息”。

注意

身份验证数据当前在用户信息配置文件中不可用。

有关详细信息,请参阅用户风险时间表和档案

高级用户资料

Microsoft Graph 安全性风险指示器

加载的 Microsoft Graph 安全性可以从以下安全提供程序之一接收风险指示器详细信息,并将其转发给 Citrix Analytics:

  • Azure AD 身份保护

  • Microsoft Defender for Endpoint

有关详细信息,请参阅Microsoft Graph 安全性风险指示器

进入自助搜索页面的方法

现在,您可以使用以下选项访问自助搜索页面:

  • 顶部栏:单击顶部栏上的搜索以直接访问搜索页面。

    顶栏搜索

  • 用户资料页面上的风险时间表:单击 事件搜 索可访问搜索页面并查看与特定用户的风险指示器和数据源对应的事件。有关详细信息,请参阅自助搜索

    风险时间表

面向 Content Collaboration 的自助搜索

使用自助搜索可深入了解与 Content Collaboration 数据源相关的事件。若要查看事件,请从列表中选择 Content Collaboration,选择时间段,然后单击搜索。 有关详细信息,请参阅Content Collaboration的“自助搜索”。

Virtual Apps and Desktops 的自助搜索

使用自助搜索来深入了解与 Virtual Apps and Desktops 数据源关联的事件。要查看事件,请从列表中选择“应用程序和桌面”,选择时间段,然后单击“搜索”。有关详细信息,请参阅Virtual Apps and Desktops 的自助搜索

将自助搜索事件导出到 CSV 文件

现在,您可以将自助搜索事件导出为 CSV 文件,然后下载该文件供将来使用。有关详细信息,请参阅自助搜索

改进了 Virtual Apps and Desktops 的入门

Virtual Apps and Desktops 数据源的入门过程现已得到改进,以提供更好的用户体验。网站卡和登机步骤已修改。有关详细信息,请参阅Citrix Virtual Apps and Desktops 数据源

November 29, 2018

新增功能

Microsoft Security Graph 数据源

Microsoft Graph 安全 是聚合来自多个安全提供商的数据的外部数据源。它还提供对用户清单数据的访问。

Citrix Analytics 目前支持与此数据源关联的 Azure AD 身份保护适用于端点安全提供商的 Microsoft Defender

要加载此数据源,你必须从 Microsoft 身份平台获取权限。有关详细信息,请参阅Microsoft Graph 安全

MSG 加入

在数据源的站点卡片上查看事件详细信息和发现的用户

数据源的站点卡片现在会显示事件详细信息和用户数量。例如,您可以在站点卡片上查看事件详细信息和访问控制用户。有关详细信息,请参阅在数据源上启用分析

访问控制映像

November 16, 2018

新增功能

自助搜索访问数据

您可以使用自助搜索来深入了解企业中用户的访问详细信息。Citrix Analytics 从 Citrix 访问控制服务中收集用户的访问详细信息。使用 Facets 和搜索查询缩小搜索结果的范围。

要使用自助搜索页面,请从“ 全”选项卡中单击“事件搜索”。

有关详细信息,请参阅自助搜索访问

搜索图片

风险指示器反馈

使用 Citrix Analytics 上的风险指示器反馈功能,您可以提供有关风险指示器的反馈。您的反馈有助于确认报告的安全事件是否准确。

目前,由 Content Collaboration 数据源触发的异常登录访问风险指示器支持此功能。如果此风险指示器触发不正确,您可以将其报告为误报并提供反馈。您还可以编辑之前提交的反馈。Citrix Analytics 可捕获您的反馈并验证预测信息,以优化异常行为检测。

假阳性图片

已修复的问题

  • 如果您正在使用 Internet Explorer 11.0 访问 Citrix Analytics,则无法编辑和保存策略。