Citrix 的目标是在 Citrix Analytics 客户可用时为其提供新功能和产品更新。新版本提供更多价值，因此没有理由延迟更新。

对于您（客户）而言，此过程是透明的。初始更新仅应用于 Citrix 内部站点，然后逐步应用于客户环境。以增量波次方式交付更新有助于确保产品质量并最大限度地提高可用性。

2024 年 4 月 15 日

新增执行摘要报告

您现在可以选择将多个报告合并为一个执行报告，并可按所需时间段进行计划。借助此新功能，您只需向受众提供必要的图形信息。有关详细信息，请参阅执行摘要报告。

2024 年 1 月 29 日

Workspace App 状态字段更新

• 自助搜索：您现在可以利用针对 Citrix Apps and Desktops 数据源新引入的 Workspace App 状态字段，执行查询以查找 Workspace App 版本的支持状态。
• 用户：Workspace App 状态列已删除。

有关详细信息，请参阅 Apps and Desktops 的自助搜索。

2024 年 1 月 25 日

CAS UI 中的不一致之处已得到简化

Self-Service Search 功能中针对 Apps and Desktops 数据源的以下问题已解决：

• 以前在会话中乱序显示的事件现在可以正确显示。
• 默认列已更新。

2024 年 1 月 24 日

SIEM 环境中增强的用户配置文件事件

导出到 SIEM 环境的用户配置文件事件现在包括：

• IP 地址洞察
• Citrix Virtual Apps and Desktops™ 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops service）位置洞察

这些新增强功能使您能够识别用于访问组织数据的客户端 IP 地址，并从 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 收集用户位置信息。

有关详细信息，请参阅 SIEM 的风险洞察数据。

2023 年 12 月 01 日

用于每周电子邮件和 SIEM 警报的管理员电子邮件设置页面

新的 Admin Email Settings（管理员电子邮件设置）功能允许您为系统警报配置自定义通讯组列表收件人。此增强功能可确保管理员仅收到与其相关的系统警报。

有关详细信息，请参阅管理员电子邮件设置。

用户控制板 - 新增活动用户计数时间筛选器并更新了“概览”部分

Users（用户）控制板中的新时间筛选器允许您查看和修改组织中特定时间段内的活动用户总数，同时考虑已启用 Citrix Analytics 的数据源。

Users（用户）控制板中增强的 Overview（概览）部分显示了组织中的用户总数，以及当前已登录的活动和非活动用户数。

有关详细信息，请参阅用户控制板。

增强的自定义报告

• 您现在可以使用 Citrix Analytics for Security 中提供的事件和洞察创建和计划自定义报告。自定义报告可帮助您提取特定感兴趣的信息并以图形方式组织数据。
• 您现在可以使用增强的自定义报告平台功能，包括基于自助搜索查询的报告、模板、更好的可视化效果、所有数据源和指标的覆盖、计划报告以及导出 PDF。

有关详细信息，请参阅自定义报告。

2023 年 11 月 30 日

从 Citrix Analytics 中删除了所有 ShareFile 功能

以下 ShareFile 检测功能已删除：

• 共享链接
• 关联的风险指标
• 及其发生次数的策略
• Content Collaboration 数据导出配置
• Content Collaboration 报告
• 搜索中的 Content Collaboration 数据源
• Content Collaboration 保存的搜索
• Content Collaboration 数据源。

删除这些功能可能会导致风险评分和用户时间线暂时不一致。所有其他 Citrix Analytics 功能保持不变。

了解 ShareFile 如何直接从 ShareFile.com 简化对安全控制的访问。

2023 年 9 月 22 日

Custom Indicator 中的 Citrix Secure Browser 数据源

您现在可以为 Citrix Secure Browser 数据源创建风险指标，以跟踪用户在 Secure Browser 中的活动。有关详细信息，请参阅自定义指标。

每周电子邮件与 SIEM 数据导出的增强功能

每周电子邮件已得到增强，通过启用 SIEM 数据导出，可更深入地了解组织的安全状况。您现在可以加入并激活更多数据源，以发现围绕用户的各种事件。每周电子邮件包括以下新增内容：

• 数据摘要部分显示 SIEM 环境中的数据消耗状态。
• 根据数据导出消耗状态提供数据导出建议。

有关详细信息，请参阅每周电子邮件通知。

消耗自定义管理员的电子邮件通知首选项

Citrix Analytics for Security 现在遵循自定义管理员在 Citrix Cloud 中设置的通知首选项。此增强功能为自定义管理员提供了更大的灵活性来管理其通知首选项。此首选项在发送通知电子邮件时也会被利用，例如每周电子邮件、Notify Administrators（通知管理员）操作电子邮件以及数据导出警报。

有关详细信息，请参阅管理 Security Analytics 的管理员角色。

2023 年 7 月 04 日

Self-Service Search 和 Custom Indicator 中支持 OR 运算符

OR 运算符现在可在 Self-Service Search 和 Custom Risk Indicator 功能中使用。您可以在 Self-Service Search 和 Custom Indicator 查询等搜索视图中使用 OR 运算符。

有关详细信息，请参阅搜索查询中支持的运算符。

2023 年 6 月 15 日

启用 VDA 剪贴板遥测

当您在 Citrix Apps and Desktops 中启动任何剪贴板操作时，会触发一个名为 VDA.Clipboard 的事件。这些剪贴板日志提供重要信息，例如 VDA 名称、剪贴板大小、剪贴板格式类型、客户端 IP、剪贴板操作、剪贴板操作方向以及是否允许剪贴板操作。VDA Clipboard 事件属性也可在 Self-service search 和 Custom Risk Indicators 工作流程中使用。

• 自助搜索：您可以生成报告、保存查询并查看 VDA.Clipboard 事件及其所有属性详细信息。
• 自定义风险指标：VDA 剪贴板事件的属性可用于自定义指标工作流程。您可以使用这些事件键/值对来配置自定义指标触发器，并设置带有操作的自动化策略。

您可以使用 Clipboard place metadata collection for Security monitoring（用于安全监控的剪贴板位置元数据收集）策略来启用剪贴板遥测和剪贴板日志到 Citrix Analytics for Security 的传输。默认情况下，此策略处于启用状态。要禁用，请导航到“策略”页面并禁用它以停止从 VDA 收集数据。

有关详细信息，请参阅为 Citrix DaaS 启用剪贴板遥测。

2023 年 6 月 14 日

Citrix Analytics for Security 中提供 Session Recording App 生命周期和注册表事件

Session Recording 的以下 App Lifecycle（应用程序生命周期）和 Registry（注册表）事件现在可在 Citrix Analytics for Security 中使用：

• Citrix.EventMonitor.RegistryChange
• Citrix.EventMonitor.SessionLaunch
• Citrix.EventMonitor.SessionEnd
• Citrix.EventMonitor.Clipboard
• Citrix.EventMonitor.FileTransfer

您可以查看这些事件、创建自定义指标并将这些事件导出到 SIEM 环境。

有关详细信息，请参阅事件类型和支持的字段。

2023 年 6 月 08 日

已修复问题

• 发送到 Citrix Analytics for Security 的某些会话登录事件没有用户名。这导致 Self Service Search 和 Access Assurance User Logons 页面上某些事件的用户名列显示为 NA。有时，这还会导致唯一用户计数为零，尽管在查看短时间范围（例如 Last 1 Hour 或 Last 1 Day）的数据时，Access Assurance IP Registering Organizations 图表中的总登录计数不为零。此问题现已修复。[CAS-70954]

• 在 Apps and Desktops 的自助搜索中，对于 Session.Logon 和 Session.end 用户事件，搜索查询中的 App-Name 维度填充的是交付组名称，而不是启动的应用程序或桌面名称，这可能会误导管理员。App-Name 维度对于 App.Start/App.End 事件的查询更有用，因为它指向正在启动的应用程序。有关更多详细信息，请参阅 Apps and Desktops 的自助搜索。此问题现已修复。[CAS-67968]

• 如果您的组织在 Asia Pacific South（亚太南部）主区域加入 Citrix Cloud，则 Content Collaboration 事件在您的 Citrix Analytics 租户中不可见。此问题现已修复。[CAS-62317]

• 某些版本的 Citrix Workspace app 和 Citrix Receiver 客户端不会向 Citrix Analytics 发送特定事件。因此，Citrix Analytics 无法为这些事件提供洞察并生成风险指标。此问题现已修复。有关详细信息，请参阅检查 6：虚拟应用程序和桌面事件是否传输到 Analytics？。[CAS-16151]

2023 年 5 月 29 日

Splunk Cloud Platform 上现已提供适用于 Splunk 的 Citrix Analytics 附加组件

适用于 Citrix Analytics 的 Splunk 集成利用适用于 Splunk 的 Citrix Analytics 附加组件连接到 Analytics 环境，并将业务关键数据引入您的 Splunk 环境。

此前，该附加组件仅通过 Splunk 验证可在 Splunk Enterprise 层上安装，客户负责在其本地 Splunk 环境中配置该附加组件。最新版本 2.1.2 的附加组件增加了对 Splunk Cloud 的 Splunk 平台兼容性。使用带有 IDM 的 Classic 实例或 Victoria 实例的客户可以利用此平台兼容性增强功能。现在，客户在考虑部署我们的附加组件以促进 Splunk 集成时，可以在 Splunk Enterprise 或 Splunk Cloud 之间灵活选择。

有关详细信息，请参阅 Splunk 集成。

SIEM 中的 Session Recording 事件

Session Recording 事件现在可以以 Risk Insight 事件和 Apps and Desktops 的 Data Source 事件的形式导出到 SIEM。新增的事件类型可在 Data Exports（数据导出）页面上的 Data events for export（用于导出的数据事件）阶段找到。

有关详细信息，请参阅策略和操作。

2023 年 5 月 24 日

通知最终用户全局操作

Citrix Analytics 中的 Policies and Actions（策略和操作）功能现在支持 Notify End User（通知最终用户）全局操作，该操作可与内置或自定义风险指标触发器配对。管理员可以创建带有 Notify End User（通知最终用户）操作的策略，该操作仅为最终用户生成电子邮件通知。此操作可用于各种合规性用例，例如通知用户未经批准的应用程序使用情况，或在不采取任何破坏性操作的情况下提醒其 Citrix 帐户上的可疑行为。管理员可以根据具体情况自定义电子邮件正文和主题行。

有关详细信息，请参阅通知最终用户。

2023 年 5 月 04 日

测试事件生成

创建 Test event generation（测试事件生成）功能是为了帮助客户快速测试其 Citrix Analytics - SIEM 管道。以前，如果管理员必须测试此集成，他/她将不得不等待数据源加入和用户活动，以检查 Citrix Analytics 是否正在生成事件，从而由其 SIEM 环境接收。这不再是必需的。只需单击 Send test data（发送测试数据）按钮即可将虚拟事件发送到 SIEM 环境，并使用提供的查询检查 Citrix Analytics SIEM 集成是否按预期设置。这也可以用于尝试调试中断的数据流的管理员，因为它可以帮助隔离故障点。

有关详细信息，请参阅测试事件生成。

SIEM 电子邮件警报生成

SIEM 电子邮件警报生成功能将数据导出的故障排除过程提升到一个新的便捷水平。Citrix Analytics 会针对可能导致或指示 SIEM 数据流中断的活动发送系统警报。电子邮件会分发给 Citrix Cloud 管理员、安全完全管理员、安全只读管理员以及安全和性能只读管理员。以下是发送的不同类型的警报：

1. SIEM 数据导出警报 - 密码已重置

   每当从“数据导出”页面重置帐户密码时，都会触发此电子邮件。如果仅在 Citrix Analytics for Security GUI 上完成，可能会导致数据流中断。此警报包含执行密码重置的时间，因此更容易恢复成功的数据流。

2. SIEM 数据导出警报 - 数据流已停止

此电子邮件在客户遇到数据流中断时触发

• 超过 24 小时 - 关键时间，可通过警报中提供的有用故障排除提示或利用带有 Quick Guide（快速指南）的 Data Export Summary（数据导出摘要）选项卡快速恢复成功的数据流。

• 超过 7 天 - 每个客户主题的 Kakfa 保留策略为七天，这意味着某些安全姿态数据可能已过期。必须使用故障排除工具来恢复到 SIEM 的数据流。

• 超过 30 天 - 这意味着客户遭受了安全相关数据的影响，需要立即注意从 Citrix Analytics 恢复到 SIEM 环境的数据流。

有关详细信息，请参阅 SIEM 电子邮件警报生成。

2023 年 4 月 13 日

已修复问题

Windows Citrix Workspace™ App 从 Citrix Workspace App 版本 2203 及更高版本发送空文件名、路径和格式属性。因此，Citrix Analytics for Security GUI 会为 Download File Name（下载文件名）、Download File Path（下载文件路径）和 Download File Format（下载文件格式）列显示 NA 值。此问题现已修复。[CAS-73498]

2023 年 3 月 31 日

Citrix Analytics for Security 中的 Session Recording 事件

在 Citrix Apps and Desktops 中，添加了两种新的事件类型，以帮助识别和评估基于会话录制的事件。

• Citrix.EventMonitor.RDPConnection
• Citrix.EventMonitor.UserAccountModification

管理员现在可以轻松识别和评估潜在的安全风险。他们可以使用这些事件收集有关重要数据的信息，例如进程 ID、目标 IP 地址和用户帐户操作的描述。此外，这些事件还可以在 Custom Risk Indicators（自定义风险指标）页面和 Self-Service Search（自助搜索）页面上找到。

• 自助搜索：您可以查看这些事件及其属性详细信息。
• 自定义风险指标：您可以使用这些事件类型配置任何自定义指标。 有关详细信息，请参阅事件类型和支持的字段。

Self-Service Search 中的 App Protection 事件

当您尝试在 Citrix Apps and Desktops 数据源下的受保护会话中捕获屏幕截图时，会触发一个名为 AppProtection.ScreenCapture 的新事件。AppProtection.ScreenCapture 事件也可在 Self-Service Search（自助搜索）和 Data Exports（数据导出）页面上找到。

• 自助搜索：您可以查看 AppProtection.ScreenCapture 结果及其所有属性详细信息。
• 数据导出：您可以在“数据导出”部分下查看 AppProtection.ScreenCapture 事件类型。导航到 Settings > Data Exports > Configuration > Data Events for Export > 从 Data Source Events (Optional)（数据源事件（可选））类别中选择 Apps and Desktops。

您还可以查看 Session.Logon 事件的新属性 App Protection Policies（应用程序保护策略）。

有关详细信息，请参阅事件类型和支持的字段。

2023 年 3 月 30 日

自定义角色支持

可以使用 Active Directory 或 Azure Active Directory 中的组添加自定义角色的管理员，或者为 Citrix Analytics for Security 设置 Okta 集成。此集成实现了管理所有组管理员的服务访问权限的简化方法。

成功将管理员添加到 Active Directory 或 Azure Active Directory 后，管理员可以创建组并将自定义角色分配给特定组。如果管理员同时是两个组的成员，则个人权限优先于组权限。

有关详细信息，请参阅自定义角色支持。

SIEM UI 的故障排除面板

数据导出 UI 已通过以下更改得到增强：

• 摘要选项卡：摘要选项卡描述了 SIEM 事件指标、数据源加入状态以及以下场景中的数据消耗状态：

  • Citrix Analytics 中的可用数据：提供不同数据源的加入状态。
  • 可用于 SIEM 消耗的事件：提供正在发送到 SIEM 环境的洞察数量。
  • SIEM 的数据消耗：提供数据消耗状态。

• 配置选项卡：配置选项卡包含有关您的帐户设置、SIEM 环境设置和数据事件选择的信息。

• 数据导出快速指南：管理员现在可以使用 快速指南，这使得设置和维护 SIEM 集成变得更加简单。数据导出快速指南链接可从 摘要 和 配置 选项卡访问。

有关详细信息，请参阅故障排除数据导出。

2023 年 3 月 24 日

用户配置文件视图中的更改

User Info（用户信息）页面上的 Users’ profile data（用户配置文件数据）中不再提供与应用程序、位置、设备和 ShareFile 数据使用情况相关的信息。以下来自 Active Directory 的用户信息仍然可用：

• 职务
• 地址
• 电子邮件
• 电话
• 位置
• 组织

导出到 SIEM 的用户配置文件数据没有变化。有关详细信息，请参阅用户配置文件。

从所有搜索视图中删除了动态自动建议

基于租户历史数据的维度自动建议功能现在已针对以下页面弃用：

• 自助搜索
• 自定义风险指标

但是，搜索框中仍提供维度（例如 Event-Type 和 Clipboard-Operations）的静态建议。

有关详细信息，请参阅如何使用自助搜索。

2023 年 3 月 21 日

建议面板可帮助加入本地 StoreFront™ 数据源

Data Sources（数据源）页面上引入了一个新的 Recommendations（建议）面板。Data Sources（数据源）页面上的 Recommendations（建议）面板向用户介绍了加入本地 StoreFront 数据源的重要性。它帮助用户轻松加入本地 StoreFront 数据源，并为用户提供了一个选项，以审查并确保加入所有可用数据源。

有关详细信息，请参阅连接到 StoreFront 部署。

2023 年 2 月 23 日

已修复问题

对于 Citrix Apps and Desktop 版本 > 1912 的本地 Citrix Apps and Desktop 部署，操作失败。在手动操作和基于策略的操作中都发现了此问题。此问题现已修复。[CAS-69098]

当虚拟应用程序仅启动一次时，Apps and Desktops 的自助搜索页面会显示多个应用程序启动和应用程序结束事件。此问题发生在适用于 Linux 客户端版本的 Citrix Workspace app 上。此问题现已修复。[CAS-36236]

从 2022 年 4 月 4 日到 2022 年 5 月底的 Secure Private Access 服务中的用户事件可能在您的 Citrix Analytics 租户中不可用。此问题现已修复。[CAS-66897]

2023 年 2 月 22 日

每周电子邮件通知的增强功能

Citrix Analytics 会发送每周电子邮件通知，帮助总结组织的安全风险暴露情况。每周电子邮件通知已通过以下更新得到改进：

• 提供用户风险分布视图 - 一周内发现的用户总数、高风险用户和非高风险用户数
• 一周内处理的事件总数
• 一周内触发的指标总数
• 一周内执行的操作总数
• 已启用数据处理的数据源总数

有关详细信息，请参阅每周电子邮件通知。

为 App.SaaS.File.Download 事件类型添加了 Download File Format 字段

在 Apps and Desktops 数据源的 Self-Service Search 页面中，为 App.SaaS.File.Download 事件类型添加了一个新的 Download File Format（下载文件格式）字段。通过此更改，您现在可以为 Download File Format（下载文件格式）字段配置自定义风险指标，并将其作为导出到 CSV 格式的一部分进行导出。

有关详细信息，请参阅 Apps and Desktops 的自助搜索。

浏览器派生字段中的更改

以前，Self-Service Search 页面具有 Browser（浏览器）、Browser Major Version（浏览器主版本）和 Browser Minor Version（浏览器次版本）字段来表示浏览器名称和版本。但是，为了确保清晰度和准确性，现在这些三个字段已弃用，并替换为 Apps and Desktops 数据源的 Self-Service Search、Custom indicator template（自定义指标模板）和 CSV 下载中的 Browser Name（浏览器名称）和 Browser Version（浏览器版本）。

有关详细信息，请参阅 Apps and Desktops 的自助搜索。

2023 年 2 月 16 日

已修复问题

在为租户获取 Username Masking 状态时，某些欧盟和亚太南部客户的每周电子邮件受到影响。因此，由于异常，管理员收到了 10 封相同的每周电子邮件。一旦发生异常，后续租户将不会收到每周电子邮件。此问题现已修复。[CAS-76138]

2023 年 2 月 03 日

适用于欧盟和亚太南部地区的 Citrix Secure Private Access™ 服务的 Analytics 支持

Citrix Analytics for Security 现在处理来自欧盟地区和亚太南部地区可用的 Citrix Secure Private Access 的用户事件。如果您的组织从欧盟地区或亚太南部地区加入 Citrix Cloud，您可以查看使用 Secure Private Access 服务的用户的风险洞察。

有关详细信息，请参阅数据源。

2023 年 1 月 11 日

从 Secure Private Access 中删除了 Web 过滤功能

Web 过滤功能已从 Secure Private Access 类别中删除。由于 Secure Private Access 弃用了基于类别的 Web 过滤，Citrix Analytics for Security 上的以下功能受到影响：

1. Category-Group、Category 和 Reputation of URLs 等数据字段在 Citrix Analytics for Security 控制板上不再可用。

2. 依赖相同数据的 Risky website access（危险网站访问）指标也已弃用，并且不会为客户触发。

3. 任何使用数据字段（Category-Group、Category 和 Reputation of URLs）及其关联策略的现有自定义风险指标将不再触发。

4. User Access（用户访问）和 App Access（应用程序访问）选项卡。

5. SIEM 导出将在一段时间内继续具有 urlcategory、urlcategorygroup 和 urlcategoryreputation 属性，并具有以下虚拟值：

   • Category 和 Category-Group 为 99999
   • Reputation 为 0

有关详细信息，请参阅 Secure Private Access 的自助搜索。

2022 年 12 月 27 日

Self-service Search 的数据源下拉列表中的更改

数据源列表已更改为默认显示 Sessions（会话），而不是 Self-service Search 页面中的 Apps and Desktops。此外，Performance（性能）部分已移至顶部，其次是 Security（安全）部分，因为性能数据源不可见。

有关详细信息，请参阅自助搜索。

2022 年 12 月 13 日

用户控制板增强功能

用户控制板已通过摘要和图表进行了改进，以帮助管理员监控组织的安全状况。该视图不仅提供了发现的用户、触发的风险指标和应用的操作的详细信息，还提供了关键指标的时间趋势线，以便更好地评估风险。管理员可以深入研究感兴趣的数据，并导航到具有正确上下文的相关控制板，以加快风险分析。

有关详细信息，请参阅用户控制板。

2022 年 12 月 05 日

访问保障控制板 - 登录网络

新增了“登录网络”部分，提供以下用户详细信息：

• 与用户登录所用 IP 地址关联的组织。

• 用户登录所用的唯一公共子网和私有子网总数。

• 用户使用代理和私人 VPN 服务登录的详细信息。

通过这些附加详细信息，管理员可以验证用户登录详细信息，并确保用户登录符合组织的安全预期。

有关详细信息，请参阅访问保障控制板。

2022 年 11 月 18 日

已修复问题

• 已修复错误触发且没有任何源事件的地理围栏指标。[CAS-73222]

2022 年 11 月 08 日

重命名操作

Citrix Analytics for Security 中使用的一些操作已重命名，以提供更清晰的说明。这些操作是：

• Notify admins（通知管理员）- Notify administrator(s)（通知管理员）
• Lock user（锁定用户）- Lock user account（锁定用户帐户）
• Log off user（注销用户）- Log off active sessions（注销活动会话）
• Unlock user（解锁用户）- Unlock user account（解锁用户帐户）
• Disable user（禁用用户）- Disable User Account（禁用用户帐户）

有关详细信息，请参阅操作有哪些？

已修复问题

• 如果您从时间线操作下拉列表中选择一个选项，则无法触发任何手动操作，因为“清除”和“应用”按钮不可见。此情况发生在最新版本的 Firefox 中。此问题现已修复。[CAS-72051]

• HardDrive、harddrive 和 HDD 类别已合并为 Apps and Desktops 数据源的 Self-Service Search 中 Download-Device-Type 字段的单个类别 Hard Disk Drive。[CAS-67188]

• 有时，会从 Microsoft Graph 收到具有相同警报 ID 的重复通知，这会导致创建重复的风险事件。应用程序内部实施了去重机制以防止此问题。[CAS-66731]

2022 年 10 月 19 日

数据源事件选择和导出

您现在可以利用新的数据事件导出工作流程，除了机器学习生成的风险洞察事件和相关数据之外，还可以导出数据源事件。

这使安全和安全运营 (SOC) 管理员能够：

• 将 Citrix Analytics 的数据与 SIEM 上聚合的其他数据源事件相关联

• 控制哪些数据事件流向 SIEM 以优化存储成本

数据事件将交付给您现有的 SIEM 集成和数据连接器，并且与我们的自助事件搜索视图中可用的数据事件保持一致。

有关详细信息，请参阅从 Citrix Analytics for Security 导出到 SIEM 服务的数据事件。

2022 年 10 月 18 日

允许管理员在 Citrix DaaS™ 站点上运行动态会话录制操作

管理员现在可以在 Citrix DaaS 站点上运行动态会话录制操作，并动态录制用户的虚拟会话。他们可以配置带有策略的操作，以便在 Citrix Analytics for Security 检测到给定用户存在风险活动时自动开始录制用户会话。

有关详细信息，请参阅操作有哪些？

2022 年 10 月 14 日

为用户风险指标提供反馈

Citrix Analytics for Security 管理员现在可以通过在指标详细信息面板上提供反馈，将用户风险指标报告为有用或无用。此功能使管理员能够报告误报、减少频繁触发指标的噪音，并与其他管理员共享更多上下文。作为额外结果，无用的风险指标将从用户时间线中隐藏，并且用户风险评分将重新校准。

有关详细信息，请参阅为用户风险指标提供反馈。

2022 年 9 月 26 日

访问保障以支持地理围栏阻止列表

Safe（安全）和 Risky location（危险位置）选项卡已添加到地理围栏设置下。

• 安全位置地理围栏有助于识别和限制对已定义地理围栏区域之外的访问。
• 危险位置地理围栏有助于根据组织已知行为检测和缩小危险用户访问范围。

安全和危险地理围栏都由其自己的预配置自定义风险指标支持。

有关详细信息，请参阅启用地理围栏。

已修复问题

• Citrix Cloud API 在电子邮件正文中显示 Customer Name（客户名称）。现在，电子邮件使用昵称在发送给管理员的电子邮件正文中显示 Customer Name（客户名称）。[CAS-65350]

• Citrix Gateway 数据源卡在 Citrix Analytics for Security 和 Citrix Analytics for Performance™ 之间是通用的。数据处理不断调用 Citrix Analytics for Security 端点，并且对于仅具有 Citrix Analytics for Performance 权利的客户而言已中断。[CAS-70817]

• 当 Citrix Cloud 同时收到多条权利消息时，在更新 Redis 缓存时会出现竞争条件。在这种情况下，一条权利消息会更新到缓存中，其余的则丢失。此问题现已修复，以更新缓存中的所有权利消息。[CAS-70823]

2022 年 9 月 13 日

Sharelink 控制板增强功能

Sharelink 控制板已通过摘要和详细视图进行了改进。摘要视图包含最活跃的共享和最危险的共享。详细视图通过引入创建者、活动计数、身份验证类型、权限、共享类型和内容等属性，向管理员提供了更多信息。管理员可以根据需要进一步深入和筛选，并更改/提供时间范围以查看感兴趣的数据。

有关详细信息，请参阅 Share Links 控制板。

2022 年 9 月 09 日

Impossible Travel RI 增强功能

Impossible Travel 风险指标已得到增强，可报告客户端 IP 地址的注册组织和路由类型。这些新字段在用户时间线指标详细信息视图和发送到 SIEM 的指标详细信息中均可用。

有关默认策略的详细信息，请参阅以下文章：

• 持续风险评估。
• 策略和操作

2022 年 8 月 19 日

启用 VDA 打印遥测

当在 Citrix Apps and Desktops 中启动打印作业时，会触发一个名为 VDA.Print 的事件。VDA Print 事件也可在 Self-service search（自助搜索）和 Custom Risk Indicators（自定义风险指标）页面上找到。

• 自助搜索：您可以查看 VDA.Print 结果及其所有属性详细信息。
• 自定义风险指标：通过 EventHub 为 VDA 打印遥测提供了新事件，并且也可在自定义指标中使用。您可以使用这些事件键/值对来配置自定义指标触发器。

要启用打印遥测和打印日志到 Citrix Analytics for Security 的传输，您需要创建注册表项并配置您的 VDA。这些打印日志提供有关打印活动的重要信息，例如打印机名称、打印文件名和打印副本总数。作为安全管理员，您可以使用这些日志来分析风险并调查您的用户。

有关详细信息，请参阅为 Citrix DaaS 启用打印遥测。

2022 年 8 月 18 日

已修复问题

• 在 Apps and Desktops 的 Self-Service search 和 Access assurance location 控制板下的 User Logons 页面中，下载的 CSV 文件中的 Workspace app 版本值显示为 NA（不可用），而在页面视图中可用。此问题现已修复。[CAS-70361]

2022 年 8 月 17 日

按策略自定义最终用户电子邮件

您现在可以按策略自定义发送给最终用户的电子邮件内容。具体来说，当您创建带有 Request End User Response（请求最终用户响应）操作或对用户帐户的破坏性操作（例如 Log Off user（注销用户）和 Lock user（锁定用户））的策略时，当策略应用时发送给最终用户的电子邮件内容是可自定义的。

有关按策略自定义最终用户邮件的详细信息，请参阅策略和操作。

2022 年 8 月 11 日

FAQ 文章中添加了有关 Access assurance – Geolocation（访问保障 – 地理位置）的新问题。有关详细信息，请参阅 FAQ。

已修复问题

• View All Notifications（查看所有通知）按钮将管理员重定向到 https://citrix.cloud.com/notifications，该每周电子邮件链接存在拼写错误。[CAS-69236]

2022 年 6 月 17 日

新增功能

新付费权利默认启用数据处理

以前，拥有 Citrix Analytics for Security 新付费权利的客户必须在特定数据源的站点卡中打开数据处理才能开始处理这些数据源的数据。

在此版本中，当 Citrix Analytics for Security 的新付费权利被配置时，以下 Citrix Cloud 服务默认启用数据处理：

• Citrix Secure Private Access
• Citrix Content Collaboration™
• Citrix DaaS

有关详细信息，请参阅入门。

2022 年 6 月 09 日

已修复问题

• 由 Azure AD 身份保护和 Microsoft Defender for Endpoint 生成的 Microsoft Graph 风险指标可能会在 Security Analytics 中多次显示。此问题现已修复。[CAS-66593,CAS-66731]

2022 年 6 月 02 日

已修复问题

• 在策略的自助搜索中，当在搜索查询中选择 Policy-Name 维度以筛选事件时，会建议一系列无效策略以及 Security Analytics 的有效策略。[CAS-66838]

• Windows Citrix Receiver 中 File.Download 事件的下载文件大小在自助搜索中显示不正确。此问题出现是因为实际值以 KB 为单位，而 UI 将该值视为字节，导致向用户显示不正确的值。[CAS-67105]

2022 年 5 月 24 日

引入 Content Collaboration、Citrix DaaS 和 Citrix Virtual Apps and Desktops 以及 Gateway 数据源的 Impossible travel 风险指标

如果用户从两个相距太远的位置登录，无法在规定时间内到达，Citrix Analytics 会将此活动检测为不可能的行程场景，并触发 Impossible travel（不可能的行程）风险指标。有关 Impossible travel 风险指标的详细信息，请参阅以下文章：

• Citrix Content Collaboration 风险指标

• Citrix Gateway 风险指标

• Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标

2022 年 5 月 17 日

Virtual Apps and Desktops 已重命名为 Apps and Desktops

在 Security Analytics 控制板和报告中，以及 Security Analytics 发送到 SIEM 服务的数据中，所有 Virtual Apps and Desktops 标签现在都已更新为 Apps and Desktops，以与重命名的产品名称保持一致。

例如，在“数据源”页面上，Virtual Apps and Desktops 标签已重命名为 Apps and Desktops。

Apps and Desktops 标签代表您组织中的 Citrix 本地 Citrix Virtual Apps and Desktops 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）。

已修复问题

Citrix Analytics 不会自动发现与您的 Citrix Cloud 帐户关联的 Citrix DaaS Cloud Monitor 或 Director 站点。[CAS-66801]

2022 年 4 月 05 日

新增功能

Secure Workspace Access 已重命名为 Secure Private Access

在 Analytics 控制板和报告中，所有 Secure Workspace Access 标签现在都已更新为 Secure Private Access，以与重命名的产品名称保持一致。

例如，在 Data Sources（数据源）页面和 Self-service search page（自助搜索页面）上，Secure Workspace Access 标签已重命名为 Secure Private Access。

2022 年 3 月 21 日

已修复问题

• 在 Create Risk Indicator（创建风险指标）页面中，如果搜索查询的先前条件包含由空格分隔的维度值，则维度和运算符的自动建议不起作用。

  例如，在以下查询中，选择城市为 San Jose 后，自动建议停止工作。此问题现已修复。[CAS-64126]

  

2022 年 3 月 10 日

新增功能

通知管理员电子邮件增强功能

• Notify administrator(s)（通知管理员）操作的电子邮件通知现在提供与触发策略关联的多个风险指标的详细信息。

• 您可以查看与策略关联的每个风险指标的名称、严重性级别和触发日期。

• 单击 View Risk Details（查看风险详细信息）可在 Citrix Analytics 中打开用户时间线页面，并查看触发策略的最新风险指标。在用户时间线页面上，您还可以查看为用户触发的所有风险指标。

有关 Notify administrator(s)（通知管理员）操作的详细信息，请参阅 Policies and actions。

已修复问题

Citrix Analytics 无法从 Secure Workspace Access 数据源接收用户事件。因此，您在相应的自助搜索页面中看不到用户事件。此外，您无法为 Secure Workspace Access 数据源创建自定义风险指标。[CAS-64619]

2022 年 3 月 03 日

新增功能

手动应用请求最终用户响应

以前，您只能通过创建策略来对用户帐户应用 Request End User Response（请求最终用户响应）操作。 在此版本中，您可以从用户时间线上的 Actions（操作）列表中选择该操作，并手动将此操作应用于风险指标。

有关操作以及如何手动应用操作的详细信息，请参阅策略和操作。

策略的请求最终用户响应增强功能

当您创建带有 Request End User Response（请求最终用户响应）操作的策略时，您会看到以下增强功能：

• 选择 Notify administrator(s)（通知管理员）作为下一步操作后，您现在可以查看默认和已创建的电子邮件通讯组列表，您可以从中进行选择。

  

• 您现在可以从 Citrix Content Collaboration 或 Citrix Virtual Apps and Desktops 和 Citrix DaaS 中选择一个操作作为下一步操作。以前，您只能选择一个全局操作或 Citrix Gateway 操作。

  

有关操作的详细信息，请参阅策略和操作。

2022 年 2 月 23 日

新增功能

风险指标的建议操作

当以下风险指标为用户触发时，Citrix Analytics 建议您应用 Notify administrator(s)（通知管理员）、Add to watchlist（添加到观察列表）和 Create a policy（创建策略）等操作：

• 异常身份验证失败 (Content Collaboration 数据源)

• 异常身份验证失败 (Gateway 数据源)

• 可疑登录 (Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源)

当您转到用户时间线并选择风险指标时，您可以在 RECOMMENDED ACTION（建议操作）部分查看所有建议的操作。

例如，在异常身份验证失败风险指标中，您可以查看以下建议操作：

此功能提供了指导，可根据用户造成的风险严重程度选择您可以采取的操作。但是，您也可以根据风险分析采取推荐列表之外的适当操作。

已修复问题

• 如果您的组织在 Asia Pacific South（亚太南部）主区域加入 Citrix Cloud，则 Citrix Analytics 可能无法从 Authentication 数据源接收用户事件。因此，您可能在相应的自助搜索页面中看不到用户事件。此问题已修复。[CAS-62300]

2022 年 2 月 17 日

新增功能

改进了 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源的数据收集和报告

在此版本中，您会看到以下更改：

• 改进了从 Citrix Workspace app 客户端和 Citrix Monitor 服务收集、关联和报告事件。

• 改进了从用户和客户端版本接收的事件质量，可用于自助搜索、自定义风险指标和整体风险检测。

支持 Content Collaboration 中会话事件和应用程序事件的上下文模板

在自助搜索页面上，您现在可以仅查看与文件、文件夹、会话、共享和用户事件相关的字段的详细信息。已删除不适用于事件的字段。

例如，您可以查看 File.Copy 事件的以下详细信息：

• 文件 ID

• 文件复制 ID

• 文件路径

• 目标文件路径

• 流 ID

• 区域 ID

这些详细信息有助于您在风险调查和分析与危险行为相关的用户帐户时。您可以深入到似乎有风险的事件的特定属性。

有关字段的详细信息，请参阅 Content Collaboration 的自助搜索。

2022 年 2 月 10 日

新增功能

自定义风险指标中维度的自动建议值

在自定义风险指标页面中，当您在条件栏中选择维度和有效运算符时，将自动显示维度的值。从自动建议列表中选择一个值或根据您的用例手动输入一个值。当您输入一个值时，将自动建议记录中可用的匹配值。

为维度建议的值列表是数据库中预定义的（已知值）或基于历史事件。

例如，当您选择维度 Event-Type 和赋值运算符时，将自动建议已知值。您可以根据需要选择一个值。

有关详细信息，请参阅自定义风险指标。

2022 年 2 月 09 日

新增功能

管理员的新自定义角色

作为具有完全访问权限的 Citrix Cloud 管理员，您可以邀请其他管理员管理组织中的 Security Analytics。您现在可以为受邀管理员分配以下自定义角色：

• Security Analytics - 完全管理员

• Security Analytics - 只读管理员

使用自定义角色，您可以为管理员提供只读或完全访问权限，并允许他们管理 Security Analytics 的各种功能。

有关这些自定义角色的访问权限的详细信息，请参阅管理 Security Analytics 的管理员角色。

支持自定义访问管理员的电子邮件通知

如果您是具有自定义访问（只读或完全访问）权限以管理 Security Analytics 的 Citrix Cloud 管理员，您现在会收到以下通知：

• 关于组织中检测到的安全风险的每周通知。有关详细信息，请参阅每周电子邮件通知。

• 当手动应用或由策略触发 Notify administrator(s)（通知管理员）操作时，关于风险指标的通知。有关详细信息，请参阅策略和操作。

2022 年 1 月 28 日

新增功能

引入 Content Collaboration 和 Gateway 数据源的可疑登录风险指标

Citrix Analytics for Security 现在根据多个上下文因素检测可疑的用户登录，例如：

• 该位置相对于用户和组织历史被视为异常

• 该设备相对于用户和组织历史被视为异常

• 该网络相对于用户和组织历史被视为异常

• 该 IP 地址根据 IP 威胁情报源被视为可疑

当用户根据这些因素的组合从可疑上下文登录时，将触发风险指标。

此风险指标取代了与 Citrix Content Collaboration 和 Citrix Gateway 数据源关联的“从异常位置访问”风险指标。任何基于“从异常位置访问”风险指标的现有策略都会自动链接到新的风险指标 - 可疑登录。

有关风险指标的详细信息，请参阅可疑登录 - Content Collaboration 和可疑登录 - Gateway。

有关风险指标架构的详细信息，请参阅适用于 SIEM 的 Citrix Analytics 数据格式。

2022 年 1 月 20 日

新增功能

Microsoft Azure Active Directory 集成

您现在可以将 Azure Active Directory 与 Citrix Analytics for Security 连接，以：

• 将组织域中的用户详细信息和用户组导入 Citrix Analytics for Security。

• 使用职务、组织、办公地点、电子邮件和联系方式等附加详细信息丰富用户配置文件，这有助于您进行风险调查和分析。

有关详细信息，请参阅Azure Active Directory 集成。

2022 年 1 月 18 日

新增功能

支持所有 Content Collaboration 风险指标上的共享链接操作

以前，您只能对与 Content Collaboration 服务关联的以下基于共享链接的风险指标应用共享链接操作 - Expire all links（使所有链接过期）和 Change link to view-only sharing（将链接更改为只读共享）：

• 匿名敏感共享链接下载

• 过度共享链接下载

• 过度文件共享

在此版本中，您现在可以对与 Content Collaboration 服务关联的以下基于用户的风险指标应用共享链接操作：

• 从异常位置访问

• 过度访问敏感文件

• 过度文件上传

• 过度文件下载

• 过度文件或文件夹删除

• 检测到恶意软件文件

• 怀疑有勒索软件活动

• 异常身份验证失败

您还可以对与 Content Collaboration 服务关联的自定义风险指标应用共享链接操作。

有关操作和风险指标的详细信息，请参阅以下文章：

• 策略和操作

• Content Collaboration 风险指标

• 自定义风险指标

与 SIEM 的集成现已正式发布

您可以将 Citrix Analytics for Security 与您的安全信息和事件管理 (SIEM) 服务集成，并将用户数据从 Citrix IT 环境导出到您的 SIEM。此集成可帮助您关联从各种来源收集的数据，并全面了解组织的安全状况。

目前，您可以将 Citrix Analytics for Security 与以下服务集成：

• Splunk

• Microsoft Sentinel

• Elasticsearch

• 使用 Kafka 或 Logstash 数据连接器的其他 SIEM 服务

有关详细信息，请参阅安全信息和事件管理 (SIEM) 集成。

2021 年 12 月 23 日

新增功能

共享链接风险指标增强功能

进行了以下增强：

• 您现在可以创建带有 Anonymous sensitive share link download（匿名敏感共享链接下载）风险指标的策略。

• Anonymous sensitive share download（匿名敏感共享下载）风险指标已重命名为 Anonymous sensitive share link download（匿名敏感共享链接下载），以将其区分为共享链接风险指标。

• Excessive downloads（过度下载）风险指标已重命名为 Excessive share link downloads（过度共享链接下载），以将其区分为共享链接风险指标，并将其与基于用户的 Excessive file downloads（过度文件下载）风险指标区分开来。

有关详细信息，请参阅 Citrix 共享链接风险指标。

2021 年 12 月 21 日

新增功能

向非 Citrix Cloud 管理员发送有关风险指标的通知

您现在可以使用 Notify administrator(s)（通知管理员）操作通知组织中的非 Citrix Cloud 管理员。

要通知这些管理员，请创建电子邮件通讯组列表。从连接到 Citrix Cloud 的外部域中选择电子邮件通讯组列表中的管理员，或直接使用他们的电子邮件地址。应用 Notify administrator(s)（通知管理员）操作时，选择包含非 Citrix Cloud 管理员的电子邮件通讯组列表。

有关详细信息，请参阅电子邮件通讯组列表。

2021 年 12 月 20 日

新增功能

向 Content Collaboration 用户发送用户响应通知

除了 Active Directory 用户之外，您现在还可以对 Content Collaboration 用户应用 Request End User Response（请求最终用户响应）操作。

当 Citrix Analytics 检测到其 Citrix 帐户中存在任何异常活动时，此操作会向用户发送电子邮件通知。有关 Request End User Response（请求最终用户响应）操作的详细信息，请参阅策略和操作。

Access Control 已重命名为 Secure Workspace Access

在 Security Analytics 控制板和报告中，所有 Access Control 标签现在都已更新为 Secure Workspace Access，以与重命名的产品名称保持一致。

例如，在 Data Sources（数据源）页面、Self-service search（自助搜索）页面和 Policies（策略）页面上，Access Control 标签已重命名为 Secure Workspace Access。

已修复问题

• 对于 Apps and Desktops 数据源，当您将搜索报告下载为 CSV 文件时，CSV 文件中的某些字段值显示为不可用 (N/A)，尽管它们的值可用。例如，Download File Name、Session Launch Type 和 Workspace App Version 等字段的值显示在 Self-service search（自助搜索）页面上，但在下载的 CSV 文件中，您会看到这些值显示为不可用 (N/A)。此问题现已修复。[CAS-62299]

2021 年 12 月 09 日

新增功能

使用模板轻松创建自定义风险指标

您现在可以根据用例选择模板并创建自定义风险指标。模板通过提供预定义查询和参数来指导您。它简化了您创建自定义风险指标的工作。

有关详细信息，请参阅自定义风险指标。

2021 年 12 月 07 日

已修复问题

• 在 Citrix Analytics for Security 上，您不会收到 2021 年 9 月发布的 Citrix Secure Browser 用户的事件。此问题存在的原因是 Hostname tracking（主机名跟踪）策略在 2021 年 9 月发布后在 Citrix Secure Browser 中不可见，因此无法启用以与 Citrix Analytics for Security 集成。此问题现已修复。[CAS-62254]

2021 年 12 月 02 日

新增功能

检测到恶意软件文件风险指标

当用户在 Content Collaboration 中上传受感染文件时，您现在可以收到警报。

风险指标检测被恶意软件（例如特洛伊木马、病毒或任何其他恶意威胁）感染的文件。它提供了对恶意文件详细信息的可见性，例如文件所有者、病毒名称和文件位置。

与 Malware files detected（检测到恶意软件文件）风险指标关联的风险因素是基于文件的风险指标。

有关风险指标和您可以应用的操作的详细信息，请参阅检测到恶意软件文件风险指标。

Content Collaboration 数据源的新操作

当为用户触发 Malware files detected（检测到恶意软件文件）风险指标时，您可以应用以下操作：

• Remove folder access permission（删除文件夹访问权限）。您可以阻止上传受感染文件的用户的访问权限。该用户无法访问上传受感染文件的文件夹。

• Remove upload permission to folder（删除文件夹上传权限）。您可以阻止上传受感染文件的用户的上传权限。该用户无法将文件上传到上传受感染文件的文件夹。

有关 Content Collaboration 操作的详细信息，请参阅策略和操作。

2021 年 11 月 29 日

新增功能

电子邮件设置增强功能，用于用户通知

作为管理员，您现在可以在用户响应电子邮件模板中添加横幅图像、页眉和页脚文本。这些字段增强了电子邮件的合法性，从而增加了用户对电子邮件的关注和响应。

有关详细信息，请参阅最终用户电子邮件设置。

2021 年 11 月 26 日

新增功能

自定义风险指标和策略菜单更改

以下功能的导航链接已更新：

• 自定义风险指标：单击 Security > Custom Risk Indicators（安全 > 自定义风险指标）使用此功能。

• 策略：单击 Security > Policies（安全 > 策略）使用此功能。

  

2021 年 11 月 25 日

新增功能

安全信息和事件管理 (SIEM) 集成增强功能

注意

此集成处于预览阶段。

您现在可以将 Citrix Analytics for Security 与以下 SIEM 服务集成：

• Microsoft Sentinel

• 带有 Kibana 等可视化服务和 LogRythm 等 SIEM 服务的 Elasticsearch

• 使用 Logstash 数据收集引擎的任何其他 SIEM 服务

根据您的业务需求，将用户数据从 Citrix Analytics for Security 导入您的 SIEM 服务。此集成使您的安全运营团队能够关联、分析和搜索组织中 SIEM 服务中不同日志的数据，帮助他们识别并快速修复安全风险。

有关详细信息，请参阅安全信息和事件管理 (SIEM) 集成。

2021 年 11 月 09 日

已修复问题

• 在少数租户上，用户策略不起作用。当虚拟应用程序的警报具有空字符串域值时，会发生此问题。此问题现已修复。[CAS-60920]

2021 年 11 月 02 日

新增功能

查看 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户的访问配置文件和登录详细信息

在 Access Assurance Location（访问保障位置）控制板上，您可以查看已登录到虚拟应用程序和虚拟桌面的用户的访问配置文件和登录详细信息。此信息有助于您进行威胁调查和分析。

• Access Profile（访问配置文件）页面提供了从选定位置访问用户的摘要。您可以查看总用户和唯一用户登录的趋势分析和热门访问事件。

  

• User Logons（用户登录）页面提供了从选定位置登录到虚拟应用程序和虚拟桌面的用户的详细信息。

  

有关详细信息，请参阅访问保障位置控制板。

在 Content Collaboration 的自助搜索页面上查看恶意软件日志

在 Content Collaboration 的自助服务页面上，您现在可以查看恶意软件事件 File.VirusInfected 及其关联日志。当 Content Collaboration 用户上传受恶意软件感染的文件时，会触发此事件。

有关详细信息，请参阅 Content Collaboration 的自助搜索

已修复问题

• 少数 Content Collaboration 用户在 Citrix Analytics 中处理事件时被错误地设置为非员工。因此，这些用户未被识别为已发现用户。此问题现已修复。[CAS-59608]

2021 年 10 月 20 日

新增功能

Session Recording 服务器集成

对于您的 Citrix Virtual Apps and Desktops 和 Citrix DaaS 部署，您现在可以配置您的 Session Recording 服务器以将用户事件发送到 Citrix Analytics for Security。这些用户事件经过处理，可提供有关用户行为的可操作洞察。

在 Data Sources > Security（数据源 > 安全）页面上，转到 Virtual Apps and Desktops（虚拟应用程序和桌面）站点卡。在 Session Recording（会话录制）站点卡上，单击垂直省略号 (⋮)，然后选择 Connect Session Recording Server（连接 Session Recording 服务器）。

有关详细信息，请参阅连接到 Session Recording 部署。

2021 年 10 月 19 日

新增功能

通知管理员电子邮件模板增强功能

管理员在应用 Notify administrator(s)（通知管理员）操作后收到的电子邮件通知已得到增强，可提供对用户风险事件的更好洞察。

• 通知现在提供有关触发的风险指标或应用的策略的详细信息。例如，您可以查看默认和自定义风险指标的严重性和触发时间。内容结构已改进，以提高可读性。

• 管理员现在可以直接从电子邮件通知访问用户时间线，并查看有关风险事件的详细信息。

• 通知中添加了反馈选项。此选项有助于收集管理员的响应，并根据响应持续改进通知内容。

有关 Notify administrator(s)（通知管理员）操作的详细信息，请参阅策略和操作。

用户登录摘要增强功能

• 您现在可以查看全球总用户登录和全球唯一用户登录的用户登录的上升或下降趋势。

  

• Unique Logon Locations（唯一登录位置）表中的 DEVIATION（偏差）列显示了特定位置的唯一用户登录的上升或下降变化。

  

这些指标可帮助您了解用户登录与上一时期相比的变化（积极或消极）。它提供了用户与您的 Citrix Virtual Apps and Desktops 和 Citrix DaaS 部署交互的可见性。

有关详细信息，请参阅访问保障位置控制板。

已修复问题

• 在 Access Assurance Location（访问保障位置）控制板上，当没有用户从地理围栏区域外登录时，User Logon Summary（用户登录摘要）卡无法显示用户登录指标（全球总用户登录、全球唯一用户登录和有用户登录的国家/地区）。此问题现已修复。[CAS-59595]

2021 年 10 月 01 日

新增功能

在 Content Collaboration 的自助搜索中查看审计日志

在 Content Collaboration 的自助搜索中，您现在可以查看审计日志。这些日志提供了对 Content Collaboration 管理员对用户帐户应用的权限和操作的洞察。使用这些数据，您可以验证 Content Collaboration 管理员是否对其用户帐户采取了有效操作。作为安全管理员，这有助于您进行风险调查和分析。

有关审计日志的详细信息，请参阅 Content Collaboration 的自助搜索。

已修复问题

使用 Azure AD 登录 Citrix Cloud 的管理员无法访问 Citrix Analytics 服务，因为旧的过期会话 ID 与新的会话 ID 一起出现。此问题现已修复。[CAS-59385]

2021 年 9 月 29 日

新增功能

访问保障位置控制板现已正式发布

该控制板提供了对您的 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户位置的可见性。您可以通过启用地理围栏来识别位置异常的用户，并采取适当的措施来防止任何威胁。

要查看控制板，请单击 Security > Access Assurance（安全 > 访问保障）。选择您要查看位置详细信息的时间段。

有关详细信息，请参阅访问保障位置控制板。

2021 年 9 月 15 日

新增功能

自定义风险指标增强功能

• 当自定义风险指标触发时，它会立即显示在用户时间线上。但是，用户的风险摘要和风险评分会在几分钟（大约 15-20 分钟）后更新。

• 如果您修改现有自定义风险指标的属性，例如条件、风险类别、严重性和名称，在用户时间线上，您仍然可以查看为用户触发的自定义风险指标的先前发生次数（具有旧属性）。

• 如果您删除自定义风险指标，在用户时间线上，您仍然可以查看为用户触发的自定义风险指标的先前发生次数。

有关详细信息，请参阅自定义风险指标。

2021 年 9 月 14 日

新增功能

引入可疑登录风险指标

Citrix Analytics for Security 现在根据多个上下文因素检测可疑的用户登录，例如：

• 该位置相对于用户和组织历史被视为异常

• 该设备相对于用户和组织历史被视为异常

• 该网络相对于用户和组织历史被视为异常

• 该 IP 地址根据 IP 威胁情报源被视为可疑

当 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户根据这些因素的组合从可疑上下文登录时，将触发风险指标。

此风险指标取代了与 Citrix Virtual Apps and Desktops 数据源关联的 Access from an unusual location（从异常位置访问）风险指标。任何基于 Access from an unusual location（从异常位置访问）风险指标的现有策略都会自动链接到新的风险指标 - Suspicious Logon（可疑登录）。

有关风险指标的详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标。

SIEM 消息增强功能

Citrix Analytics for Security 现在将 Suspicious logon（可疑登录）风险指标的架构详细信息发送到您的 SIEM 服务。您可以查看 Suspicious logon（可疑登录）风险指标的指标摘要和事件详细信息的架构。有关详细信息，请参阅适用于 SIEM 的 Citrix Analytics 数据格式。

已修复问题

• 对于 Apps and Desktops 自助搜索，下载的 CSV 文件中缺少客户端 IP 值。此问题现已修复。[CAS-58426]

2021 年 8 月 19 日

新增功能

引入适用于 Splunk 的 Citrix Analytics App

注意

该应用程序处于预览阶段。

适用于 Splunk 的 Citrix Analytics App 使您能够以富有洞察力的控制板形式在 Splunk 上查看从 Citrix Analytics for Security 收集的数据。这些控制板提供了对用户风险事件的洞察。您还可以将 Citrix Analytics 数据与从各种其他数据源收集的日志相关联。关联有助于您发现事件之间的关系，并及时采取行动以保护您的 IT 环境。

要下载该应用程序，请转到 Splunkbase。在您的 Splunk 搜索头安装该应用程序。

有关详细信息，请参阅适用于 Splunk 的 Citrix Analytics App。

SIEM 的自定义风险指标架构

在您的 SIEM 服务中，您现在可以查看为 Citrix Virtual Apps and Desktops 和 Citrix DaaS 创建的自定义风险指标的架构。此数据可帮助您深入了解组织的安全风险状况。

有关自定义风险指标架构的详细信息，请参阅适用于 SIEM 的 Citrix Analytics 数据格式。

支持 Citrix Director 作为数据源

您现在可以配置您的本地站点上的 Citrix Director，以将事件发送到 Security Analytics。这些事件用于发现连接到 Security Analytics 的用户，并确定用户设备上安装的 Workspace app 版本。

默认情况下，在发现站点后启用数据处理。在 Monitoring（监控）卡上，您可以查看所有连接的站点。

有关如何在 Director 上配置站点的详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源。

Access assurance location 控制板中支持地理围栏

您现在可以使用控制板中的 Geofence Settings（地理围栏设置）来选择和启用地理围栏区域。启用地理围栏后，地图会显示地理围栏区域（国家/地区）以及从地理围栏内外登录的用户。此功能使用 CVAD-Session started outside of geofence（CVAD-会话在地理围栏外启动）风险指标来监控用户登录。

有关详细信息，请参阅访问保障位置控制板。

用户页面上的 Workspace app 状态

在 Users（用户）页面上，您现在可以查看 Citrix Analytics 支持的 Citrix Workspace app 客户端的状态。该页面显示以下状态：

• 支持
• 部分支持
• 不支持
• 不可用
• 非活动

该状态可帮助您识别用户使用的任何不受支持的客户端版本，并建议用户将其客户端升级到受支持的版本。受支持的客户端版本会将用户事件发送到 Citrix Analytics。

注意

要查看 Citrix Workspace app 状态，您必须加入您的 Citrix Director 数据源。否则，所有 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户的状态都显示为 Inactive（非活动）。

有关详细信息，请参阅用户控制板。

支持 IS EMPTY 运算符

在创建自定义风险指标时，您现在可以在条件中使用 IS EMPTY 运算符来检查空或空维度。

注意

该运算符仅适用于字符串类型维度，例如 App-Name、Browser 和 Country。

有关详细信息，请参阅自定义风险指标。

改进的风险评分

在用户时间线上，您现在可以查看用户的风险摘要。风险摘要提供了有关与用户事件关联的风险因素的信息。风险因素可帮助您识别用户事件中的异常类型，并确定风险评分。以下是风险因素：

• 基于设备的风险指标

• 基于位置的风险指标

• 基于 IP 的风险指标

• 基于登录失败的风险指标

• 基于数据的风险指标

• 基于文件的风险指标

• 自定义风险指标

• 其他风险指标

在用户时间线上，您现在可以应用筛选器以根据风险因素查看用户事件。

有关详细信息，请参阅以下主题：

• Citrix 用户风险指标

• 用户风险时间线和配置文件

2021 年 7 月 29 日

已弃用功能

已弃用与 Citrix Endpoint Management™ 关联的操作

以下操作已从 Citrix Endpoint Management 数据源中删除。您不能再对风险指标应用这些操作，也不能使用这些操作创建策略。

• 锁定设备

• 通知 Endpoint Management 管理员

• 通知用户

• 撤销设备

• 擦除设备

在您现有的策略中，如果这些操作已在使用中，它们将自动替换为 Add to watchlist（添加到观察列表）操作。您可以从观察列表中监控这些用户。

2021 年 7 月 14 日

新增功能

支持 IS NOT EMPTY 运算符

在创建自定义风险指标时，您现在可以在条件中使用 IS NOT EMPTY 运算符来检查维度是否不为空（不为空白）。

注意

该运算符仅适用于字符串类型维度，例如 App-Name、Browser 和 Country。

例如，以下条件检测来自任何国家/地区的用户登录事件，其中国家/地区值不为空。换句话说，指定了国家/地区名称。

Event-Type = “Session.logon” AND Country IS NOT EMPTY

有关详细信息，请参阅自定义风险指标。

2021 年 7 月 06 日

新增功能

在用户控制板上查看非风险用户

在 Users（用户）控制板上，您现在可以查看选定时间段内的非风险用户数量。这些已发现的用户根据选定时间段内的零风险评分被识别为非风险用户。单击 Non Risky Users（非风险用户）卡片可查看所有风险评分为零的用户。

有关详细信息，请参阅用户控制板。

2021 年 7 月 01 日

新增功能

访问保障位置控制板增强功能

• 在 Top 10 Unique Logon Locations（前 10 个唯一登录位置）表中，您可以查看来自未知位置的唯一用户登录数量。此列表是前 10 个唯一登录位置的子集。您还可以找到位置未知的原因以及获取用户位置的可能方法。

  

• 在 Access Location（访问位置）页面上，如果您选择多个位置，您可以查看和比较所有位置、前五个位置和后五个位置的用户登录时间线详细信息。

  

• 在 Access Location（访问位置）页面上，您可以使用嵌套的方面，例如国家/地区及其城市、操作系统 - 主版本和次版本。这些方面使您能够以精细的方式筛选事件。

  

有关详细信息，请参阅访问保障位置。

更新了 Virtual Apps and Desktops 自助搜索中的 OS 方面

您现在可以使用嵌套的 OS 方面筛选 Apps and Desktops 事件。选择与操作系统关联的主版本和次版本，并以精细的方式筛选事件。有关详细信息，请参阅 Apps and Desktops 的自助搜索。

2021 年 6 月 30 日

新增功能

在 Apps and Desktops 的自定义风险指标条件中添加了 Workspace app 版本

对于 Apps and Desktops 数据源，您现在可以使用 Workspace-App-Version 维度在创建自定义风险指标时定义条件。有关维度的详细信息，请参阅 Apps and Desktops 的自助搜索。

2021 年 6 月 23 日

新增功能

SIEM 消息增强功能

以下字段现在已添加到风险指标的架构中：

• indicator_vector_name - 指示与风险指标关联的风险向量。风险向量包括基于设备的风险指标、基于位置的风险指标、基于登录失败的风险指标、基于 IP 的风险指标、基于数据的风险指标、基于文件的风险指标和其他风险指标。

• indicator_vector_id - 与风险向量关联的 ID。ID 1 = 基于设备的风险指标，ID 2 = 基于位置的风险指标，ID 3 = 基于登录失败的风险指标，ID 4 = 基于 IP 的风险指标，ID 5 = 基于 IP 的风险指标，ID 6 = 基于数据的风险指标，ID 7 = 其他风险指标，ID 999 = 不可用。

有关详细信息，请参阅适用于 SIEM 的 Citrix Analytics 数据格式。

2021 年 6 月 07 日

新增功能

通知管理员操作的增强功能

当您将 Notify administrator(s)（通知管理员）操作应用于风险指标或使用该操作创建策略时，您现在可以选择接收有关用户风险行为通知的管理员。有关操作的详细信息，请参阅策略和操作。

添加了对只读共享操作的支持

如果用户过度共享文件，Citrix Analytics 会触发 Excessive file sharing（过度文件共享）风险指标。从用户的风险时间线中，您现在可以将 Change links to view-only sharing（将链接更改为只读共享）操作应用于 Excessive file sharing（过度文件共享）风险指标。您还可以将该操作应用于共享链接风险时间线上的特定共享链接。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关操作的详细信息，请参阅策略和操作。

2021 年 5 月 18 日

新增功能

将默认风险指标迁移到自定义风险指标

以下默认风险指标已迁移到预配置的自定义风险指标。

默认风险指标	数据源	预配置的自定义风险指标
首次从新设备访问	Citrix Virtual Apps and Desktops 和 Citrix DaaS	CVAD-首次从新设备访问
首次从新 IP 访问	Citrix Gateway	Gateway-首次从新 IP 访问

随着此次迁移到自定义风险指标，默认风险指标和关联的机器学习算法已弃用。

相应的自定义风险指标根据以下预配置条件触发：

• 当用户首次从新设备访问或现有设备已超过 90 天未使用时。

• 当用户首次从新 IP 地址登录或现有 IP 地址已超过 90 天未使用时。

除了预配置条件之外，您现在还可以为这些自定义风险指标添加自己的条件，以识别 Citrix 环境中的威胁。此选项使您可以灵活地根据安全需求配置自定义风险指标。您还可以创建策略以对这些自定义风险指标检测到的风险事件应用操作。

但是，在用户时间线上，您仍然可以查看先前触发的默认风险指标及其事件。

与这些默认风险指标关联的策略会自动链接到相应的预配置自定义风险指标。

有关详细信息，请参阅预配置的自定义风险指标和策略。

Gateway 自助搜索的增强功能

• Event Type（事件类型）筛选器现在已重命名为 Record Type（记录类型）。选择以下记录类型之一以筛选事件 - VPN_AI、VPN_IF 和 VPN_ST。

• 在 DATA（数据）表中，展开用户事件的行以查看相应的事件类型。事件类型可以是以下之一 - Authentication（身份验证）、ICA® File（ICA® 文件）或 Session Logout（会话注销）。

下表描述了记录类型和事件类型之间的关联。

记录类型	事件类型
VPN_AI	身份验证
VPN_IF	ICA 文件
VPN_ST	会话注销

有关详细信息，请参阅Gateway 的自助搜索。

已修复问题

• 自定义风险指标根据条件值的大小写敏感性触发。例如，在包含允许列表中设备 ID 的用户事件中，您会看到以下行为：

  • 如果您以小写形式输入 Device-ID 维度的值，则会触发自定义指标。

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

  • 如果您以大写形式输入相同设备的 Device-ID 维度的值，则不会触发自定义指标。

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

  此问题现已修复，无论条件值的大小写敏感性如何，都会触发自定义风险指标。

  [CAS-50153]

2021 年 4 月 29 日

新增功能

自定义风险指标的事件详细信息

在用户的风险时间线页面上，您现在可以查看触发自定义风险指标的事件。以前，您只能查看自定义风险指标的已定义条件、描述和触发频率。单击 Event Search（事件搜索）可查看与用户和风险指标关联的事件的详细信息。 有关详细信息，请参阅自定义风险指标。

已修复问题

• 管理员即使在访问权限从只读管理员更改为完全管理员后，也无法创建自定义风险指标。[CAS-49628]

2021 年 4 月 16 日

新增功能

SIEM 消息增强功能

您可以在风险指标架构格式上查看以下增强功能：

• 客户端 IP 地址现在在所有批处理风险指标的架构中可用。以前，客户端 IP 地址仅适用于少数批处理风险指标：

  • EPA 扫描失败
  • 过度身份验证失败
  • 从可疑 IP 登录
  • 从异常位置访问
  • 异常身份验证失败
  • 匿名敏感共享下载
  • 潜在数据泄露

• 如果整数数据类型字段值不可用，则分配的值为 -999。例如，"latitide" = -999。

• 如果字符串数据类型字段值不可用，则分配的值为 NA。例如，"city"= "NA"。

有关详细信息，请参阅适用于 SIEM 的 Citrix Analytics 数据格式。

2021 年 3 月 26 日

新增功能

SIEM 消息限制

Citrix Analytics 为每个风险指标事件向您的 SIEM 服务发送最多 1000 个事件详细信息。这些事件按时间顺序发送。有关详细信息，请参阅适用于 SIEM 的 Citrix Analytics 数据格式。

在 SIEM 消息中添加了数据源 ID 和指标类别 ID 字段

以下字段已添加到指标摘要架构和指标事件详细信息架构中。

字段	描述
data_source_id	与数据源关联的 ID。ID 0 = Citrix Content Collaboration，ID 1 = Citrix Gateway，ID 2 = Citrix Endpoint Management，ID 3 = Citrix Virtual Apps and Desktops，ID 4 = Citrix Access Control™
indicator_category_id	与风险指标类别关联的 ID。ID 1 = 数据泄露，ID 2 = 内部威胁，ID 3 = 受损用户

有关详细信息，请参阅适用于 SIEM 的 Citrix Analytics 数据格式。

2021 年 3 月 18 日

新增功能

访问保障位置控制板

注意

该功能处于预览阶段。

Access Assurance Location（访问保障位置）控制板提供了对 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户在选定时间段内登录位置的概览。Citrix Analytics 从用户设备上安装的 Citrix Workspace app 接收这些用户登录事件。

要查看控制板，请单击 Security > Access Assurance（安全 > 访问保障）。

您可以查看选定时间段的以下信息：

• 从特定位置和跨位置的用户登录总数。

• 跨位置的唯一用户登录总数。

• 用户登录的国家/地区总数。

• 前 10 个具有唯一用户登录的位置。

有关详细信息，请参阅访问保障位置。

支持 NOT LIKE (!~) 运算符

对于自助搜索查询和自定义风险指标条件，您现在可以使用 NOT LIKE (!~) 运算符。该运算符检查用户事件中是否包含您指定的匹配模式。它返回不包含事件字符串中任何位置的指定模式的事件。

例如，查询 User-Name !~ “John” 显示除 John、John Smith 或任何包含匹配名称“John”的用户之外的用户的事件。

有关详细信息，请参阅自助搜索。

翻译的操作系统版本

对于 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源，Platform（平台）维度现在已翻译为 OS-Major-Version（操作系统主版本）、OS-Minor-Version（操作系统次版本）和 OS-Extra-Details（操作系统额外详细信息）维度。根据用户的操作系统详细信息，Citrix Analytics 在自助搜索页面上显示这些维度。

您可以使用这些维度来定义自定义风险指标的条件。

对于以前创建的自定义风险指标，如果您已将 Platform（平台）维度用作条件，Citrix Analytics 会自动将 Platform（平台）维度替换为 OS-Major-Version（操作系统主版本）、OS-Minor-Version（操作系统次版本）和 OS-Extra-Details（操作系统额外详细信息）。此更新不会影响您已定义条件的完整性。

有关新维度的详细信息，请参阅Virtual Apps and Desktops 的自助搜索。

更新了 Apps and Desktops 的数据字段

在 Apps and Desktops 的 Self-service search 上，查看基于上下文模板的更新数据字段。

有关详细信息，请参阅 Apps and Desktops 的自助搜索。

已弃用功能

从自助搜索页面中删除了 VPN_AF 和 VPN_SU 事件

在 Citrix Gateway 数据源的自助搜索页面上，以下记录类型现已删除。

记录类型	记录名称
VPN_SU	会话更新记录
VPN_AF	应用程序启动失败记录

因此，您无法根据这些记录类型筛选和查看事件。任何基于这些记录类型的自定义风险指标都将停止运行。

有关详细信息，请参阅Gateway 的自助搜索。

2021 年 3 月 11 日

新增功能

用户风险评分架构的当前时间戳

用户风险评分架构格式中添加了一个新字段 last_update_timestamp。此字段指示上次更新风险评分的时间。有关架构格式的详细信息，请参阅用户风险评分架构。

2021 年 3 月 03 日

新增功能

登录可疑 IP 风险指标的增强功能

在用户的风险时间线页面上，Logon from suspicious IP（从可疑 IP 登录）风险指标显示了一个新的 Suspicious IP（可疑 IP）部分。此部分提供以下信息：

• 检测到可疑登录活动的 IP 地址。
• 用户的位置。
• Citrix Analytics 最近在您的组织中检测到的可疑 IP 活动模式。
• 有关 IP 地址的社区级情报源。

有关详细信息，请参阅从可疑 IP 登录风险指标。

从异常位置访问风险指标的增强功能

• 在 Citrix Content Collaboration 的“从异常位置访问”风险指标中，在事件表中添加了 TOOL NAME（工具名称）列。从事件表中删除了 DEVICE BROWSER（设备浏览器）列。有关详细信息，请参阅 Citrix Content Collaboration 风险指标。

• 在 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的“从异常位置访问”风险指标中，在事件表中添加了 DEVICE ID（设备 ID）和 RECEIVER TYPE（接收器类型）列。有关详细信息，请参阅Citrix Virtual Apps and Desktops 风险指标。

适用于 SIEM 的 Citrix Analytics 数据格式

本文描述了 Citrix Analytics 为您的 SIEM 服务生成的已处理数据的架构。

已修复问题

• 对于 Content Collaboration 用户，如果 Is Employee 值为 null，则该用户不会显示在已发现用户列表中。[CAS-47815]

2021 年 2 月 18 日

新增功能

自定义风险指标中首次从新实体访问的支持

您现在可以创建风险指标，当 Citrix Analytics 首次从新实体接收事件时触发。实体的一些示例是客户端 IP、城市和国家/地区。

在 Create Indicator（创建指标）页面上，单击 First time（首次）选项。启用 First time for a new（首次针对新）按钮，并从列表中选择一个有效实体，具体取决于数据源。您无需为实体分配任何特定值。例如，如果您从列表中选择 City（城市），Citrix Analytics 会在用户首次从新城市登录时触发风险指标。

有关详细信息，请参阅创建自定义风险指标。

创建自定义风险指标的最大限制

您现在可以创建最多 50 个自定义风险指标。如果您达到此最大限制，则必须删除或编辑任何现有自定义风险指标才能创建自定义风险指标。

有关详细信息，请参阅自定义风险指标。

来自 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的用户位置数据

在 User Info（用户信息）页面上，Citrix Analytics 现在显示来自 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源的用户位置。

有关用户位置的详细信息，请参阅用户配置文件。

多列排序

在自助搜索页面上，您现在可以按多列对用户事件进行排序。单击 Sort By（排序依据），添加列和排序顺序。单击 Apply（应用）以对用户事件进行排序。您最多可以添加六列以执行多列排序。

有关详细信息，请参阅自助搜索。

已弃用功能

过度授权失败风险指标已弃用

Citrix Gateway 风险指标 - Excessive authorization failure（过度授权失败）已弃用。您只能查看与此指标相关的历史数据。

以下更改适用于此弃用：

• Citrix Analytics 不再生成这些风险指标。

• Citrix Analytics 不再生成以这些风险指标为条件的策略。

• 以这些风险指标为条件的默认策略不再生效。

有关详细信息，请参阅Citrix Gateway 风险指标。

2021 年 1 月 27 日

新增功能

从异常位置访问风险指标的增强功能

对于 Citrix Content Collaboration、Citrix Gateway 和 Citrix Virtual Apps and Desktops，当用户从与新国家/地区或新城市关联的 IP 地址登录时，将触发 Access from an unusual location（从异常位置访问）风险指标，该 IP 地址或城市异常地远离任何以前的登录位置。其他因素包括用户的整体移动水平以及该城市在组织中所有用户中的相对登录频率。在所有情况下，用户位置历史记录均基于过去 30 天的登录活动。

有关风险指标的详细信息，请参阅以下主题：

• Citrix Content Collaboration 风险指标

• Citrix Gateway 风险指标

• Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标

2021 年 1 月 20 日

已修复问题

• 对于具有本地 StoreFront 的 Apps and Desktops 数据源，即使 StoreFront 部署成功连接，数据处理也会失败。

  [CAS-46656]

2021 年 1 月 19 日

已修复问题

• 在自定义风险指标页面中，更正搜索字段中的无效条件后，Estimate Trigger（估计触发器）链接无响应。

  例如，您输入无效条件 Client-IP = 10.10.10.10。更正此条件并输入 Client-IP = “10.10.10.10” 后，Estimate Trigger（估计触发器）链接无响应。

  解决方法：刷新自定义指标页面，然后使用有效条件创建自定义指标。

  [CAS-46316]

2021 年 1 月 13 日

新增功能

适用于 Splunk 的 Citrix Analytics Add-on 新版本可用

适用于 Splunk 的 Citrix Analytics Add-on 版本 2.1.0 现已可用。请访问下载页面下载文件。

添加了对 Splunk Cloud Inputs Data Manager (IDM) 和 Splunk 8.1 64 位支持

您现在可以将 Citrix Analytics for Security 与 Splunk Cloud IDM 和 Splunk 8.1 64 位集成。有关详细信息，请参阅 Splunk 集成。

已弃用支持

删除了对 Splunk 7.1 64 位支持

您不能再将 Citrix Analytics for Security 与 Splunk 7.1 64 位集成。有关支持的 Splunk 版本的详细信息，请参阅 Splunk 集成。

2021 年 1 月 11 日

已修复问题

• 在 Virtual Apps and Desktops 站点卡上，标签 Supported client users（支持的客户端用户）已重命名为 Received events from users（从用户接收的事件）。标签 Unsupported client users（不支持的客户端用户）已重命名为 Unable to receive events from users（无法从用户接收事件）。

  [CAS-44773]

2020 年 12 月 17 日

新增功能

使用预配置的自定义风险指标和策略阻止从异常位置访问（地理围栏）

Citrix 提供了一系列预配置的自定义风险指标和策略，可帮助您监控 Citrix 基础架构的安全性。通过这些指标和策略，您可以阻止用户从其常用操作国家/地区以外的国家/地区进行访问。默认情况下，国家/地区设置为“美国”。您可以为地理围栏设置所需的国家/地区。

以下是预配置的自定义风险指标和策略：

• CVAD-会话在地理围栏外启动

• GW-地理围栏穿越

• CCC-地理围栏穿越

• 会话在地理围栏外启动

有关详细信息，请参阅预配置的自定义风险指标和策略。

在用户响应电子邮件中查看访问位置

用户响应电子邮件现在显示用户在过去 15 分钟内访问的所有位置，而不是用户设备的 IP 地址。位置以 <城市>,<国家/地区><!--NeedCopy--> 格式显示。如果城市或国家/地区不可用，则相应的值显示为“未知”。

有关详细信息，请参阅请求用户响应。

重命名 Content Collaboration 风险指标 - 首次从新位置访问

Citrix Content Collaboration 风险指标 First time access from new location（首次从新位置访问）已重命名为 Access from an unusual location（从异常位置访问）。

有关详细信息，请参阅从异常位置访问。

已弃用功能

风险指标反馈

风险指标反馈机制已删除。如果 Content Collaboration 风险指标 - 从异常位置访问被错误触发，您不能再将其报告为误报并提供反馈。

2020 年 12 月 07 日

新增功能

潜在数据泄露风险指标的改进

对风险指标进行了以下增强：

• WHAT HAPPENED（发生了什么）部分中的信息已更新。时间格式已更新以保持一致性。

• 设备位置信息显示在事件列表中。

有关风险指标的详细信息，请参阅潜在数据泄露。

Content Collaboration 风险指标的改进 - 首次从新位置访问

在用户风险时间线上，选择 First time access from new location（首次从新位置访问）以查看以下信息：

• 登录位置：显示用户登录的常用和异常位置的地理地图视图。

• 过去 30 天内从常用位置登录的次数：显示用户在过去 30 天内登录的前 6 个常用位置的饼图视图。它还显示了从这些位置登录的事件数量。

• 异常位置的事件详细信息：提供用户从异常位置登录的事件列表。

有关风险指标的详细信息，请参阅首次从新位置访问。

2020 年 11 月 30 日

新增功能

自助搜索页面改进

对自助搜索页面进行了以下改进，以增强可用性：

• 搜索框显示一个查询示例，以指示如何输入您自己的查询。

  

• 在 macOS 中，维度列表上的滚动条现在默认显示。

  

• 应用的筛选器现在显示为芯片。

  

• Add or Remove Columns（添加或删除列）标签替换了 + 图标。

  

有关详细信息，请参阅自助搜索。

策略改进

Policies（策略）页面现在显示与已成功发现并连接到 Citrix Analytics 的数据源关联的策略。此页面不显示为未发现数据源定义了条件的策略。关闭已连接数据源的数据处理不会影响 Policies（策略）页面上的现有策略。

有关详细信息，请参阅配置策略和操作。

2020 年 11 月 04 日

新增功能

异常身份验证失败 - Citrix Gateway 风险指标

当用户从异常 IP 地址登录失败时，Citrix Analytics 会检测基于访问的威胁，并触发 Unusual Authentication Failure（异常身份验证失败）风险指标。

当组织中的用户从与其常用行为不符的异常 IP 地址登录失败时，将触发此风险指标。

有关详细信息，请参阅Citrix Gateway 风险指标。

2020 年 10 月 20 日

已修复问题

• 带有 Log off user（注销用户）操作的风险指标 First time access from new device（首次从新设备访问）未按预期工作。

  [CAS-40743]

2020 年 10 月 15 日

新功能

从异常位置访问 – Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标

Citrix Analytics 根据 Citrix Workspace 的异常登录检测基于访问的威胁，并触发相应的风险指标。

有关详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标。

共享链接控制板增强功能

• SHARE URL 列现在已替换为 SHARE ID 列。每个共享 URL 现在都由一个共享 ID 标识。

• 控制板上的时间选择已删除。现在，此控制板显示从活动状态到过期状态的所有共享链接，而不是选定时间段。

• 所有共享链接按活动链接优先，然后是过期链接的顺序排序。默认情况下，具有最高风险指标计数的共享链接显示在列表顶部。

• 危险链接现在显示具有危险行为的活动链接。它不显示过期链接。默认情况下，具有最高风险指标计数的危险链接显示在列表顶部。

• 危险共享链接卡和所有共享链接卡中的趋势视图已删除。

有关详细信息，请参阅共享链接控制板。

共享链接风险时间线增强功能

风险时间线现在显示共享 ID，而不是共享 URL。有关详细信息，请参阅共享链接风险时间线。

已弃用功能

从不支持操作系统的设备访问 (OS) 风险指标已弃用

Citrix Virtual Apps and Desktops 风险指标 - Access from device with unsupported operating system (OS)（从不支持操作系统的设备访问 (OS)）已弃用。您只能查看与此指标相关的历史数据。

以下更改适用于此弃用：

• Analytics 不再生成这些风险指标。

• Analytics 不再生成以这些风险指标为条件的策略。

• 以这些风险指标为条件的默认策略不再生效。

有关详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标。

2020 年 9 月 10 日

新功能

StoreFront 清单

Citrix Analytics 现在显示您在下载 StoreFront 配置文件之前必须满足的先决条件列表。查看清单并确保所有最低要求都已选中。如果未选中最低要求，则无法下载配置文件。有关详细信息，请参阅Citrix Virtual Apps and Desktops 数据源。

自助搜索 - 支持 NOT EQUAL (!=) 运算符

您现在可以在以下功能中使用 NOT EQUAL (!=) 运算符进行查询：

• 自定义风险指标

• 自助搜索

您可以将此运算符用于以下条件：

数据源	维度
Content Collaboration	国家/地区、城市、客户端操作系统
Access Control	国家/地区、城市、操作、URL、URL 类别、信誉、浏览器、操作系统、设备
Apps and Desktops	国家/地区、城市、应用程序名称、剪贴板操作、浏览器、操作系统
Gateway	身份验证阶段、客户端 IP

使用该运算符，创建带有单个值（例如“国家/地区 != XYZ”）的自定义指标表达式，并查看用户列表。然后创建策略以应用操作，例如添加到观察列表、通知管理员或禁用用户。 您还可以在指定数据源的自助搜索中使用该运算符来筛选用户事件。

在查询中输入维度值时，请使用自助搜索页面上为数据源显示的精确值。维度值区分大小写。

2020 年 9 月 08 日

新功能

用户关联

Analytics 现在关联从各种数据源发现的用户。此机制消除了已发现用户列表中的大多数重复用户。Analytics 中已发现的用户现在显示唯一用户列表以及他们的数据源和风险指标。

例如，用户“Joe Smith”可以有多个用户标识符 - JosephSm、joe.smith@citrix.com 和 joe.smith，具体取决于数据源。Analytics 现在使用唯一的标识符名称识别此用户。所有其他用户标识符都已关联，并且从各种数据源收到的 Joe Smith 的事件都链接到此唯一名称。 有关详细信息，请参阅已发现用户

已修复问题

从 Actions（操作）列表中，选择操作选项并单击 Apply（应用）后，显示错误消息。

[CAS-39914]

2020 年 8 月 11 日

已修复问题

• 您无法将 Microsoft Graph Security 与 Citrix Analytics 集成。此问题发生是因为 Microsoft 门户未能重定向到 Citrix Analytics。

[CAS-38021]

2020 年 7 月 31 日

已修复问题

• 自定义风险指标中的 Estimated Triggers（估计触发器）选项无法预测过去一天的自定义风险指标实例。

[CAS-38129]

2020 年 7 月 09 日

新功能

Virtual Apps and Desktops 站点卡显示支持和不支持客户端的用户

在站点卡上，您现在可以查看在其端点上使用支持和不支持版本的 Citrix Workspace app 或 Citrix Receiver™ 客户端的用户数量。

• 单击支持客户端的用户计数可查看显示所有已发现用户的 User（用户）页面。

• 单击不支持客户端的用户计数可下载 CSV 文件。该文件列出了用户及其不支持的客户端版本。Analytics 不会从不支持的客户端接收用户事件，因此不会将这些用户添加为已发现用户。使用 CSV 文件，您可以识别必须将其客户端升级到支持版本的用户，以便 Analytics 可以提供对其行为的安全洞察。

要查看支持的客户端列表，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源。

从异常位置访问风险指标

• Citrix Gateway 风险指标 First time access from new location（首次从新位置访问）已重命名为 Access from an unusual location（从异常位置访问）。

• 在用户风险时间线上，事件详细信息部分引入了地理地图和饼图。

  • 登录位置：此部分显示用户常用和异常位置的地理地图视图。常用和异常位置由地理地图右上角的颜色代码指示。您可以放大地理地图以更仔细地查看位置。

    

  • 常用位置 - 过去 30 天：此部分显示一个饼图，其中显示了用户登录的前 6 个常用位置。每个位置都标有不同的颜色代码。您可以按位置对该部分进行排序，以获取所选位置的详细视图。

    

有关详细信息，请参阅从异常位置访问。

用户控制板数据

无论在 Users（用户）控制板和 Users（用户）页面上选择的时间段如何，高风险用户、已发现用户、特权用户和观察列表中的用户数量都会显示过去 13 个月的数据。当您选择时间段时，风险指标事件会发生变化。

有关详细信息，请参阅用户控制板。

重新设计的用户页面

Users（用户）页面已增强，以提供更好的用户体验。它根据用户风险评分、数据源和用户类型提供用户事件的综合摘要。

为了支持更集中的搜索，Users（用户）页面在左侧窗格中包含 Filters（筛选器）部分，顶部包含搜索栏。您可以搜索预设时间或自定义时间范围的用户事件。

要查看 Users（用户）页面：

• 转到 Security > Users（安全 > 用户）以查看 Users（用户）控制板并执行以下操作：

  • 单击以下链接或卡片之一。

    

  • 在 Risky Users（高风险用户）窗格上，单击 See More（查看更多）。

  • 在 Users in Watchlist（观察列表中的用户）窗格上，单击 See More（查看更多）。

  • 在 Privileged Users（特权用户）窗格上，单击 See More（查看更多）。

• 转到 Settings > Data Sources > Security（设置 > 数据源 > 安全）。单击任何数据源站点卡上的用户数量。

有关详细信息，请参阅用户控制板。

高风险用户窗格增强功能

Change（更改）列已替换为 Risk Indicators（风险指标）列。Risk Indicators（风险指标）列显示用户在特定时间段内的总风险指标事件。

有关详细信息，请参阅高风险用户。

观察列表中的用户窗格增强功能

Change（更改）列已替换为 Risk Indicators（风险指标）列。Risk Indicators（风险指标）列显示用户在特定时间段内的总风险指标事件。

有关详细信息，请参阅观察列表中的用户。

特权用户窗格增强功能

• Change（更改）列已替换为 Risk Indicators（风险指标）列。Risk Indicators（风险指标）列显示用户在特定时间段内的总风险指标事件。

• 单击 See More（查看更多）可查看 Users（用户）页面。Users（用户）页面显示管理员和执行特权用户列表。在此页面上，您可以添加或删除用户作为特权用户。

有关详细信息，请参阅特权用户。

已弃用功能

警报

Alerts（警报）功能现已弃用，不再在 Analytics 用户界面中可用。

高风险用户和观察列表页面

Risky Users（高风险用户）和 Watchlist（观察列表）页面已弃用。它们已替换为 Users（用户）页面，该页面总结了所有高风险用户事件和观察列表中的用户。

高风险用户窗格

Highest Score Change（最高分数变化）和 Risk Indicator Change（风险指标变化）选项卡已从 Risky Users（高风险用户）窗格中删除。

风险指标窗格

• Occurrence Change（事件变化）选项卡和 CHANGE（变化）列已删除。

  

• Risk Indicator Details（风险指标详细信息）页面已弃用。以前，当在 Risk Indicators（风险指标）窗格或 Risk Indicator Overview（风险指标概览）页面上选择风险指标时，会显示此页面。

  

趋势视图

在 Users（用户）控制板上，High Risk Users（高风险用户）、Medium Risk Users（中风险用户）、Low Risk Users（低风险用户）和 Users in Watchlist（观察列表中的用户）卡片中的用户计数趋势视图已删除。

用户组页面

Settings（设置）选项下的 User Groups（用户组）页面已弃用。您不能再添加或删除用户组作为特权组。但是，您可以添加或删除单个用户作为特权用户。有关详细信息，请参阅特权用户。

2020 年 6 月 26 日

已弃用功能

应用程序访问异常时间（虚拟/SaaS）风险指标已弃用

Citrix Virtual Apps and Desktops 风险指标 - Unusual time of application access (Virtual)（应用程序访问异常时间（虚拟））和 Unusual time of application access (SaaS)（应用程序访问异常时间（SaaS））已弃用。您只能查看与这些指标相关的历史数据。

以下更改适用于此弃用：

• Analytics 不再生成这些风险指标。
• Analytics 不再生成以这些风险指标为条件的策略。
• 以这些风险指标为条件的默认策略不再生效。

有关详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标。

2020 年 6 月 02 日

已修复问题

• 在用户风险时间线上，Virtual Apps and Desktops 操作（基于策略或手动应用）的状态显示为“失败”，即使操作已成功应用于用户帐户。例如，Start session recording（开始会话录制）操作已成功应用于用户帐户，但结果显示为“失败”。[CAS-32773]

  

2020 年 5 月 11 日

已修复问题

• 对于某些用户，基于策略的操作未触发，并且无法应用策略强制模式。当客户 ID 不为小写时，会发生此问题。

  [CAS-34209], [CAS-34141]

• 无法为某些用户创建自定义风险指标。当客户 ID 不为小写时，会发生此问题。

  [CAS-34139]

2020 年 4 月 29 日

已修复问题

• 应用于 Citrix Virtual Apps and Desktops 风险指标的操作未能生效，尽管 Analytics 显示操作已成功应用。此问题在 Citrix Virtual Apps and Desktops 7 1912 版本中观察到。

  [CAS-31544]

2020 年 4 月 02 日

新功能

StoreFront 未添加时禁用数据处理

在 Settings（设置）> Data Sources（数据源）> Security（安全）> Virtual Apps and Desktops（虚拟应用程序和桌面）数据源站点卡上，如果您未加入 StoreFront，则 Turn on Data Processing（打开数据处理）按钮不会启用。您会在站点卡上看到 StoreFront not connected（StoreFront 未连接）警告消息。如果您有一个活动的本地站点，您希望 Analytics 从中接收数据，则必须验证您已将 StoreFront 加入 Citrix Analytics。它确保您的用户帐户受到保护。

在 Virtual Apps and Desktops（虚拟应用程序和桌面）站点卡上，选择垂直省略号 (⋮) 并单击 Connect StoreFront deployment（连接 StoreFront 部署）。在显示的屏幕上，按照说明完成 StoreFront 配置。

有关详细信息，请参阅加入 Citrix Virtual Apps and Desktops 本地站点使用 StoreFront。

已修复问题

• 对于 Citrix Content Collaboration 用户，基于策略的操作在以下条件下未能生效：

  • 当定义了自定义风险指标条件时

  • 直到为用户生成风险指标

  [CAS-29226]

2020 年 3 月 04 日

已修复问题

• 当 Gateway 用户首次加入 Analytics 时，他们会看到错误 Citrix ADC is unresponsive or credentials are incorrect（Citrix ADC 无响应或凭据不正确）。重试后，他们会看到错误 Device with this IP address already exists（此 IP 地址的设备已存在）。

[CAS-31180]

2020 年 2 月 20 日

新功能

Citrix Analytics for Security 产品

Citrix Analytics for Security 现已提供个人订阅。 您可以订阅 Citrix Analytics for Security 并获取特定于此产品的洞察。有关详细信息，请参阅入门。

风险类别控制板

Citrix Analytics 引入了基于对组织安全方面具有相似影响的风险的风险指标分类。此控制板提供了对风险暴露和需要立即关注的关键风险的全面视图。对于默认风险指标，Analytics 会根据风险暴露自动分配风险类别。对于自定义风险指标，您必须根据风险暴露选择适当的风险类别。

Analytics 支持以下风险类别：

• 数据泄露
• 内部威胁
• 受损用户
• 受损端点

有关详细信息，请参阅风险类别。

自定义指标页面上的风险类别列

Risk Category（风险类别）列已引入自定义风险指标页面。根据风险暴露类型，您可以为自定义风险指标选择风险类别。如果您通过选择风险类别来修改以前创建的自定义风险指标，它们将显示在风险类别控制板上。

有关详细信息，请参阅自定义风险指标。

风险指标名称更改

以下风险指标名称已更改：

数据源	旧名称	新名称
Citrix Virtual Apps and Desktops 和 Citrix DaaS	应用程序使用异常（虚拟）	应用程序访问异常时间（虚拟）
Citrix Virtual Apps and Desktops 和 Citrix DaaS	应用程序使用异常（SaaS）	应用程序访问异常时间（SaaS）
Citrix Content Collaboration	过度登录失败	过度身份验证失败
Citrix Content Collaboration	异常登录访问	首次从新位置访问
Citrix Access Control	异常下载量	过度数据下载
Citrix Gateway	登录失败	过度身份验证失败
Citrix Gateway	授权失败	过度授权失败
Citrix Gateway	异常登录访问	首次从新位置访问

有关详细信息，请参阅风险指标。

已修复问题

• 对于某些用户，Citrix Analytics 无法从 Virtual Apps and Desktops 接收任何数据，即使数据源已成功加入并且 StoreFront 已启用。[CAS-24134]

• Citrix Analytics 无法从 Citrix Content Collaboration 接收下载事件。因此，以下风险指标未触发：

  • 匿名敏感共享下载

  • 过度共享链接下载

  • 过度访问敏感文件

  • 过度文件下载

  [CAS-29207]

• 对于新加入的用户，应用于 Citrix Gateway 风险指标的手动和基于策略的操作不生效。[CAS-29029]

• 某些用户无法在数据源页面上查看站点卡。此问题通过重新填充缓存解决。[CAS-28781]

2020 年 1 月 09 日

新功能

持续风险评估

Citrix Workspace 用户面临的一些挑战是，远程访问通过网络犯罪活动（如数据泄露、盗窃、破坏和服务中断）将敏感数据暴露给安全风险。组织内的员工也可能导致这种损害。

解决这些风险的一些方法是实施多因素身份验证、强制执行短登录超时等。尽管这些风险评估方法确保了更高级别的安全性，但它们在初始验证后不提供完整的安全性。

为了增强安全方面并确保更好的用户体验，Citrix Analytics 引入了持续风险评估解决方案。此解决方案可帮助您持续监控用户配置文件并在检测到风险事件时采取各种操作。

有关详细信息，请参阅持续风险评估。

策略配置

Citrix Analytics 可帮助您更有效地管理策略配置。您可以借助以下功能保护用户帐户免受恶意攻击：

• 默认策略：Citrix Analytics 支持以下默认策略：

  • 凭据利用成功
  • 潜在数据泄露
  • 从可疑 IP 异常访问
  • 从异常位置异常应用程序访问
  • 低风险用户 - 首次从新 IP 访问
  • 首次从设备访问

  您可以根据需要修改默认策略。

  

• 多个条件：策略最多可以包含四个条件。条件可以设置为风险评分和风险指标的组合，或两者兼有。

  

• 默认和自定义风险指标：Create Policy（创建策略）页面上的条件菜单现在根据默认和自定义风险指标进行分类。创建策略时，您可以在默认和自定义风险指标选项卡之间切换，并设置风险指标条件。

  

• 请求最终用户响应：Citrix Analytics 引入了 Request end user response（请求最终用户响应）操作。使用此操作，您可以向用户发送有关检测到的风险活动的电子邮件通知。一旦用户响应活动，您可以确定对他们的帐户采取的下一步行动。您还可以设置用户响应时间。如果未收到响应，Citrix Analytics 会将 No response（无响应）视为状态。

  

• 应用破坏性操作：当应用 Log off user（注销用户）或 Lock user（锁定用户）等破坏性操作时，您可以通知用户。通知会发送给用户，其中包含活动详细信息和应用的操作。此操作会暂时中断用户帐户的服务，以防止进一步滥用。要继续访问帐户，用户必须联系管理员寻求帮助。

  

• 强制和监控模式：您可以为策略设置强制或监控模式。

  

有关策略增强功能的详细信息，请参阅策略和操作。

锁定用户和解锁用户操作

Citrix Analytics 引入了以下 Gateway 操作：

• 锁定用户
• 解锁用户

您可以手动或在配置策略时应用这些操作。

有关详细信息，请参阅操作有哪些。

访问摘要控制板

Citrix Analytics 在 Users（用户）控制板上引入了 Access Summary（访问摘要）面板。它总结了用户尝试访问组织内资源的总次数。

有关详细信息，请参阅访问摘要。

策略和操作控制板

Citrix Analytics 在 Users（用户）控制板上引入了 Policies and Actions（策略和操作）面板。它显示了应用于用户配置文件的前五个策略和操作。您可以根据选定时间段内的热门策略和热门操作对数据进行排序。

有关详细信息，请参阅策略和操作。

策略的自助搜索

使用自助搜索查看符合您定义的策略的用户事件。您还可以查看 Analytics 为这些异常事件应用的操作。使用方面和搜索框搜索所需的事件。

要查看事件，在搜索框中，从列表中选择 Policies（策略），选择时间段，然后单击 Search（搜索）。

有关详细信息，请参阅策略的自助搜索。

已弃用功能

风险评分更改基于策略的条件已删除

配置策略时，您不能再使用 Risk score change（风险评分更改）基于策略的条件。Citrix Analytics 不支持此条件。

有关详细信息，请参阅策略和操作。

删除了多个基于策略的操作

配置策略时，您不能再应用多个操作。Citrix Analytics 每个策略仅支持一个操作。

有关详细信息，请参阅策略和操作。

已修复问题

• 委托只读管理员在访问 User Access（用户访问）和 App Access（应用程序访问）控制板时遇到错误。[CAS-16297]

2019 年 12 月 12 日

新功能

Splunk 版本支持

Citrix Analytics 支持以下 Splunk 版本：

• Splunk 8.0 64 位
• Splunk 7.3 64 位

要获得 Splunk 集成的最大安全优势，请从下载页面升级到最新版本的 Splunk 附加应用程序。

有关支持的 Splunk 版本的详细信息，请参阅支持的版本。

2019 年 12 月 04 日

新功能

Citrix Gateway 的自定义风险指标

使用自定义风险指标，您现在可以定义触发 Citrix Gateway 事件的条件和频率。当用户事件符合条件时，Analytics 会触发风险指标。有关如何创建自定义风险指标的详细信息，请参阅自定义风险指标。

2019 年 11 月 22 日

新功能

首次从新设备访问 – Citrix Virtual Apps and Desktops 风险指标

Citrix Analytics 根据从新设备访问检测访问威胁，并触发相应的风险指标。

当用户在 90 天后从设备登录时，将触发 First time access from new device（首次从新设备访问）风险指标。此事件触发是因为 Citrix Receiver 在过去 90 天内没有来自此新或不熟悉设备的登录记录。有关详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指标。

首次从新 IP 访问 - Citrix Gateway 风险指标

Citrix Analytics 根据从新 IP 地址访问检测访问威胁，并触发相应的风险指标。

当用户在 90 天后从 IP 地址登录时，将触发 First time access from new IP（首次从新 IP 访问）风险指标。此事件触发是因为 Citrix Receiver 在过去 90 天内没有来自新或不熟悉 IP 地址的登录记录。

有关详细信息，请参阅Citrix Gateway 风险指标。

从可疑 IP 登录 - Citrix Gateway 风险指标

Citrix Analytics 根据可疑 IP 登录活动检测用户访问威胁，并触发 Logon from suspicious IP（从可疑 IP 登录）风险指标。

当用户尝试从可疑 IP 地址访问网络时，将触发此风险指标。Analytics 根据以下任何条件将 IP 地址视为可疑：

• 列在外部 IP 威胁情报源上

• 从异常位置有多个用户登录记录

• 有过多失败的登录尝试，这可能表明存在暴力攻击

有关详细信息，请参阅Citrix Gateway 风险指标。

Citrix Gateway 事件的自助搜索

使用自助搜索功能深入了解从 Citrix Gateway 数据源接收的用户事件。Citrix Analytics 接收 Citrix Gateway 用户的身份验证阶段、授权类型、VPN 会话代码、VPN 会话状态等事件。使用方面和搜索框搜索所需的事件并探索底层数据。

要查看事件，在搜索框中，从列表中选择 Gateway，选择时间段，然后单击 Search（搜索）。

有关详细信息，请参阅Gateway 的自助搜索。

Citrix Remote Browser Isolation™ 事件的自助搜索

使用自助搜索功能深入了解从 Citrix Remote Browser Isolation Service 接收的浏览事件。Citrix Analytics 接收每个用户连接的会话连接、会话启动、已发布应用程序、已删除应用程序等事件。使用搜索框搜索所需的事件并探索底层数据。

要查看事件，在搜索框中，从列表中选择 Remote Browser Isolation，选择时间段，然后单击 Search（搜索）。

有关详细信息，请参阅Remote Browser Isolation 的自助搜索。

从观察列表删除操作

您可以通过应用手动方法或应用基于策略的方法将用户从观察列表中删除。有关详细信息，请参阅观察列表。

配置 StoreFront 部署时改进的加入消息

Citrix Analytics 现在提供以下消息，以帮助您配置 StoreFront 部署：

• 下载配置文件后，您可以看到一条消息，指示下载的日期和时间以及用户名。当您刷新此页面时，Download file（下载文件）按钮变为 Download file again（再次下载文件）。

  

• 如果您的 StoreFront 配置不完整，您会看到一条警告消息，指示您按照配置步骤将 StoreFront 部署与 Analytics 连接。

  

有关如何配置 StoreFront 部署的详细信息，请参阅加入 Citrix Virtual Apps and Desktops 本地站点使用 StoreFront。

已弃用功能

风险指标 - 从新设备访问已删除

Citrix Analytics 不再触发 Access from new device（从新设备访问）风险指标。但是，在用户控制板、用户时间线和策略控制板上，您可以查看与此风险指标相关的历史数据。

对于以前基于 Access from new device（从新设备访问）创建的策略，您必须修改策略或使用新的风险指标 First time access from new device（首次从新设备访问）创建策略。

已修复问题

• 身份验证的自助搜索未能显示事件。[CAS-24959]

2019 年 11 月 08 日

已修复问题

• 对于 Citrix Content Collaboration 风险指标，用户无法在风险时间线上应用操作。[CAS-24844]

• Citrix Workspace app for Chrome 1911 之前的版本未能将事件详细信息发送到 Citrix Analytics。[CAS-24938]

2019 年 10 月 21 日

新功能

Analytics 代理的修改名称

代理名称现在在用户界面上显示为 Analytics policy agent（Analytics 策略代理），以表明其角色。加入本地 Citrix Virtual Apps and Desktops 数据源时，Citrix Analytics 明确通知策略代理仅用于为您的站点配置策略和操作。此代理在从数据源传输数据方面没有作用。有关详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源。

自定义报告的时间维度支持

您现在可以通过选择 x 轴的 Time（时间）维度，根据时间对事件进行分组。报告根据选定时间段的时间间隔显示接收到的总事件。有关如何创建报告的详细信息，请参阅自定义报告。

审计日志增强功能

Audit Log（审计日志）页面的用户体验已增强。

• 您可以查看 Audit Log（审计日志）页面上次更新的日期和时间详细信息，并刷新页面以查看最新的审计日志。

• 您可以清除应用于审计日志的所有筛选器。

有关审计数据的详细信息，请参阅审计日志。

已修复问题

• Citrix Analytics 无法生成 Anonymous IP address（匿名 IP 地址）风险指标，即使 Microsoft Graph Security 已成功加入。[CAS-21329]

• Citrix Workspace app for HTML5 1910 之前的版本未能将事件详细信息发送到 Citrix Analytics。[CAS-24938]

2019 年 9 月 23 日

已修复问题

• 在数据源站点卡上，Latest event（最新事件）字段显示不正确的日期和时间信息。[CAS-24087]

2019 年 8 月 30 日

新功能

控制板默认时间段更改

以下控制板的默认时间段已从 Last 1 Hour（过去 1 小时）更改为 Last 1 Month（过去 1 个月）：

• 用户

• 风险时间线

• 用户访问

• 应用程序访问

• 共享链接

• 警报历史记录

现在，控制板默认显示过去一个月的事件。您在使用这些控制板时会获得更具吸引力的体验。例如，当您打开 App Access（应用程序访问）控制板时，控制板默认显示过去一个月的应用程序访问事件。

已修复问题

• 对于 Content Collaboration 风险指标，Disable user（禁用用户）基于策略的操作无法成功应用。[CAS-17304]

• Citrix Analytics 无法处理 Citrix Gateway 13.0 的事件。此问题发生是因为 Citrix Gateway 13.0 未能提供发送到 Citrix Analytics 的登录事件中的用户名。[CAS-21339]

2019 年 8 月 20 日

新功能

自助搜索增强功能

• 自助服务页面的用户体验已增强。您现在可以在用户风险时间线和自助搜索页面之间无缝切换。

• 您现在可以按时间对事件进行排序。默认情况下，最新事件首先显示在事件表中。单击 TIME（时间）列上的排序图标，可根据最新时间或最早时间对事件进行排序。

有关如何使用自助搜索的详细信息，请参阅自助搜索。

自定义报告增强功能

• 为 Access Control、Content Collaboration 和 Apps and Desktops 数据源添加了新维度。您可以选择这些维度来创建报告。为数据源添加了以下维度：

  • Access Control：用户代理、用户名

  • Content Collaboration：用户电子邮件、用户名、创建者、帐户 ID、OAuth 客户端 ID、事件 ID、文件夹 ID、文件夹名称、资源 ID、表单 ID、客户端 IP

  • Apps and Desktops：用户名、IP 地址、设备 ID、越狱、会话启动类型、会话服务器名称、会话用户名、下载文件名、下载文件路径、打印机名称、打印作业详细信息文件名、SaaS 应用程序启动 URL、剪贴板操作、剪贴板详细信息结果

• 自定义报告用户界面已增强，支持分页和筛选器的 Clear All（全部清除）选项。

有关如何使用这些维度创建自定义报告的详细信息，请参阅自定义报告。

风险指标控制板

Risk Indicators（风险指标）控制板已引入 Users（用户）页面。它总结了用户的前五个默认和自定义风险指标。See More（查看更多）链接将您重定向到 Risk Indicator Overview（风险指标概览）页面。此页面提供了有关选定时间段内生成的风险指标的详细信息。

有关详细信息，请参阅用户控制板。

高风险用户控制板增强功能

Citrix Analytics 在 Risky Users（高风险用户）控制板上引入了 Risk Indicators（风险指标）和 Risk Indicators Change（风险指标变化）选项卡。您可以根据这些选项卡查看前五个高风险用户。控制板还引入了 Risk Indicators（风险指标）列。它显示用户的风险指标数量。

Risky Users（高风险用户）页面引入了 Occurrences（事件）和 Occurrences Change（事件变化）列。这些列总结了自定义和默认风险指标的总事件和事件变化。

有关详细信息，请参阅高风险用户。

共享链接风险指标 - 过度下载

Citrix Analytics 根据共享链接上的过度下载检测访问威胁，并触发 Excessive downloads（过度下载）风险指标。通过识别具有过度下载的共享链接，根据以前的行为，您可以监控共享链接是否存在潜在攻击。此风险指标可帮助您识别过度文件下载活动。

有关详细信息，请参阅过度下载。

身份验证数据的自助搜索

使用自助搜索深入了解身份验证事件。Citrix Analytics 从 Citrix Cloud 的身份和访问管理服务接收身份验证事件，例如用户登录、用户注销和客户端更新。搜索提供有关身份验证事件的详细报告，帮助您识别任何身份验证问题并进行故障排除。您还可以定义搜索查询以检索符合您定义的条件的事件。

要查看事件，从列表中选择 Authentication（身份验证），选择时间段，然后单击 Search（搜索）。

有关详细信息，请参阅身份验证的自助搜索。

2019 年 7 月 11 日

新功能

自定义风险指标

Citrix Analytics 生成的默认风险指标基于机器学习算法。Citrix Analytics 现在允许您创建自定义风险指标。根据用户事件，您可以定义条件并创建自定义风险指标。

当定义的条件满足时，Citrix Analytics 会生成类似于默认风险指标的自定义风险指标，并将其显示在用户的风险时间线上。自定义风险指标在用户的风险时间线上带有标签。

有关详细信息，请参阅自定义风险指标。

风险时间线上的特权状态

每当用户的管理员或执行特权状态发生变化时，用户风险时间线都会显示以下事件：

• 已添加到执行组

• 已从执行组中删除

• 特权已提升为管理员

• 管理员特权已删除

当为用户触发风险指标时，您可以将其与指定的特权状态更改事件相关联。如有必要，您可以对用户配置文件应用适当的操作。

有关详细信息，请参阅用户风险时间线。

共享链接过期操作

Citrix Analytics 使您能够对共享链接风险指标应用操作。目前，支持的操作是 Expire share link（共享链接过期）。

有关详细信息，请参阅 Citrix 共享链接风险指标。

自助搜索增强功能

• *搜索查询中支持通配符 **：在搜索查询中使用星号 (*) 字符以匹配零个或多个任何字符。例如，搜索查询 User-Name = “John*” 显示以 John 开头的所有用户名的事件。

• 为方面添加了“全部清除”选项：单击 Clear All（全部清除）可一次性删除所有选定的方面。

• 在事件列表中查看隐藏列数据：从事件表中删除列后，您可以在用户事件列表中查看相应的数据。展开用户的事件行并查看数据。

有关详细信息，请参阅自助搜索。

站点卡上的数据错误状态

当 Citrix Analytics 在过去一小时内未从数据源接收到事件时，站点卡会以红色显示 No data received（未收到数据）标签。它还显示接收到的事件数量，并链接到相应的自助搜索页面。此功能可帮助您在自助搜索页面上查看相应的事件并检查是否存在任何数据传输问题。

注意

目前，自助搜索仅适用于 Access、Content Collaboration 和 Apps and Desktop 数据源。

有关详细信息，请参阅在 Citrix 数据源上启用 Analytics。

已修复问题

• 对于 Access Control 数据源，站点卡上的事件数量与自助搜索结果不匹配。[CAS-18286]

2019 年 6 月 19 日

已修复问题

• Audit Log（审计日志）页面每次发现 Active Directory 数据源时都会显示数据传输开启或关闭状态。[CAS-17575]

• Users（用户）控制板上的时间段菜单加载不准确。它显示超时错误消息。[CAS-19467]

• 用户在从 Splunk 连接到租户时在 Citrix Analytics 上收到错误消息。偶尔，新数据源的加入会失败。[CAS-19429]

2019 年 6 月 17 日

新功能

StoreFront 配置

如果您的组织使用本地 StoreFront，您现在可以配置 StoreFront 以连接到 Citrix Analytics。配置使用从 Citrix Analytics 导入的配置文件执行。配置成功后，Citrix Workspace app 会将用户事件发送到 Citrix Analytics，以生成有关用户行为的可操作洞察。这些洞察可帮助您检测任何异常用户行为并主动处理组织中的安全威胁。有关详细信息，请参阅加入 Citrix Virtual Apps and Desktops 本地站点使用 StoreFront。

2019 年 5 月 30 日

新功能

过度登录失败

Citrix Analytics 根据过度登录活动检测访问威胁，并触发过度登录失败风险指标。当用户尝试访问 Content Collaboration 时遇到多次登录失败时，将触发此风险指标。通过识别具有过度登录失败的用户，根据以前的行为，管理员可以监控用户帐户是否存在暴力攻击。

注意

Excessive logon failures（过度登录失败）现已重命名为 Excessive authentication failures（过度身份验证失败）。

已修复问题

• 对于 Citrix Workspace app 传输的某些用户事件，数据源被错误地识别为 Endpoint Management 而不是 Citrix Virtual Apps and Desktops。

  [CAS-17323]

• 当用户数量很高时，Users（用户）控制板加载 Last 1 Month（过去 1 个月）时间段需要很长时间。在某些情况下，您甚至可能会遇到 601 错误。

  [CAS-16300]

• Citrix Content Collaboration 未被发现为数据源，尽管某些用户订阅了 Citrix Cloud 上的服务。

  [CAS-16299]

2019 年 5 月 09 日

新功能

创建自定义报告

您现在可以根据您的操作要求创建自定义报告。Citrix Analytics 根据选定的数据源提供维度和指标列表。选择所需的参数和可视化类型（例如条形图、事件图、折线图或表格）来创建报告。创建报告可帮助您以图形方式组织和分析数据。

要创建自定义报告，从 Security（安全）选项卡中，单击 Reports（报告）> Create Report（创建报告）。要查看您以前创建的报告，从 Security（安全）选项卡中，单击 Reports（报告）。有关详细信息，请参阅自定义报告。

特权用户监控

Citrix Analytics 使您能够密切监控组织中特权用户的行为异常。由于特权用户极易受到安全威胁，因此区分他们的日常活动与恶意活动变得具有挑战性。因此，特权用户的恶意活动长时间未被发现。此功能使您能够主动监控此类活动并对适当的用户帐户采取适当的操作。特权用户在 Users（用户）控制板上用图标表示。

Citrix Analytics 支持监控以下类型的特权用户：

• 管理员 - 由相应 Citrix 服务分配管理员特权的用户。目前，Citrix Analytics 支持 Content Collaboration 服务中具有管理员特权的用户进行特权用户监控。

• 高管 - 在 Citrix Analytics 上，您可以将 AD 组标记为高管组。将 AD 组标记为高管组会使组中的所有用户成为特权用户。如果不再需要支持 AD 组中用户的行为异常，您可以将该组删除为高管组。

有关详细信息，请参阅特权用户。

每周电子邮件摘要

Citrix Analytics 每周向管理员发送电子邮件，总结其组织 IT 环境中的安全风险暴露情况。电子邮件通知每周二发送给管理员，其中突出显示了前一周发生的安全事件。此电子邮件可确保管理员了解安全风险暴露情况，而无需登录 Citrix Analytics。有关详细信息，请参阅每周电子邮件摘要。

2019 年 4 月 26 日

新功能

委托管理员

Citrix Analytics 现在支持委托管理员角色。此功能使您能够邀请其他管理员到您的 Citrix Cloud 帐户，以管理组织中的 Citrix Analytics。如果您是具有完全访问权限的 Citrix Analytics 管理员，您可以将其他管理员添加到您的 Citrix Cloud 帐户。这些额外的管理员称为委托管理员。您目前可以为委托管理员分配只读访问权限。有关详细信息，请参阅委托管理员。

已修复问题

使用数据流的某些数据源的少数风险指标未生成警报。如果触发以下任何风险指标，您将不会收到任何警报通知，并且不会自动应用基于策略的操作：

• Citrix Endpoint Management 风险指标 - 未受管设备、越狱或已 root 设备以及具有黑名单应用程序的设备。

• Citrix Virtual Apps and Desktops 风险指标 - 从不支持操作系统的设备访问 (OS)。

• Citrix Content Collaboration 风险指标 - 过度访问敏感文件。

[CAS-14590]

2019 年 2 月 19 日

新功能

Splunk 集成

Citrix Analytics 与 Splunk 集成，以增强您的安全事件监控和故障排除体验。此集成通过 Citrix Analytics for Security 的风险分析功能和情报（例如风险指标、风险评分和用户配置文件）增强您现有的数据源。Citrix Analytics 将风险分析信息导出到通道。Splunk 从此通道拉取相同的信息。

Splunk 集成涉及 Citrix Analytics 上的配置、适用于 Splunk 的 Citrix Analytics Add-on 应用程序的安装以及应用程序的配置。确保至少为一个数据源打开数据处理。它有助于 Citrix Analytics 开始 Splunk 集成过程。

有关详细信息，请参阅 Splunk 集成。

动态会话录制

Citrix Analytics 引入了动态触发用户当前 Virtual Apps and Desktops 会话的会话录制功能。它有助于捕获风险分析所需的证据，并采取适当的事件响应操作，例如断开会话和阻止用户。

有关详细信息，请参阅策略和操作。

共享链接控制板和风险指标

Citrix Analytics 引入了基于从 Citrix Content Collaboration 收集的数据的共享链接的风险可见性。它可帮助您通过共享链接触发的风险指标了解共享链接的风险暴露。

有关详细信息，请参阅共享链接控制板。

目前，匿名敏感共享下载风险指标针对共享链接触发。当 Content Collaboration 检测到此风险行为时，Citrix Analytics 会收到事件。您会在 Alerts（警报）面板中收到通知，并且匿名敏感共享下载风险指标会添加到共享链接的风险时间线中。

有关详细信息，请参阅共享链接风险时间线和 Citrix 共享链接风险指标。

Microsoft Active Directory 集成

您现在可以将 Microsoft Active Directory 与 Citrix Analytics 集成。此集成通过职务、组织、办公地点、电子邮件和联系方式等附加信息增强了风险用户的上下文。您可以在 Citrix Analytics 的用户配置文件页面上更好地了解用户。

有关详细信息，请参阅将 Analytics 与 Microsoft Active Directory 集成。

2019 年 1 月 04 日

新功能

现有风险指标的 SOURCE 列添加

以下风险指标的 EVENT DETAILS（事件详细信息）部分中引入了 SOURCE（来源）列：

• 过度文件上传

• 过度文件下载

• 过度文件共享

• 过度文件或文件夹删除

有关详细信息，请参阅 Citrix Content Collaboration 风险指标。

高级用户配置文件

用户配置文件上的 User Info（用户信息）视图已增强。Application（应用程序）、Devices（设备）和 Data Usage（数据使用）部分的右上角引入了 Trend View（趋势视图）链接。Locations（位置）部分的右上角引入了 Map View（地图视图）链接。这些链接提供了用户在特定时间段内的历史行为的图形表示。您可以从用户的风险时间线或从 Data Sources（数据源）页面导航到 User Info（用户信息）。

注意

Authentication（身份验证）和 Domains（域）数据目前在用户信息配置文件中不可用。

有关详细信息，请参阅用户风险时间线和配置文件。

Microsoft Graph Security 风险指标

已加入的 Microsoft Graph Security 可以从以下安全提供商之一接收风险指标详细信息，并将其转发到 Citrix Analytics：

• Azure AD Identity Protection

• Microsoft Defender for Endpoint

有关详细信息，请参阅Microsoft Graph Security 风险指标。

进入自助搜索页面的方式

您现在可以使用以下选项访问自助搜索页面：

• 顶部栏：单击顶部栏上的 Search（搜索）以直接访问搜索页面。

  

• 用户配置文件页面上的风险时间线：单击 Event Search（事件搜索）以访问搜索页面并查看与特定用户的风险指标和数据源对应的事件。有关详细信息，请参阅自助搜索。

  

Content Collaboration 的自助搜索

使用自助搜索深入了解与 Content Collaboration 数据源关联的事件。要查看事件，从列表中选择 Content Collaboration，选择时间段，然后单击 Search（搜索）。 有关详细信息，请参阅 Content Collaboration 的自助搜索。

Apps and Desktops 的自助搜索

使用自助搜索深入了解与 Apps and Desktops 数据源关联的事件。要查看事件，从列表中选择 Apps and Desktops，选择时间段，然后单击 Search（搜索）。有关详细信息，请参阅 Apps and Desktops 的自助搜索。

将自助搜索事件导出到 CSV 文件

您现在可以将自助搜索事件导出到 CSV 文件并下载该文件以供将来使用。有关详细信息，请参阅自助搜索。

改进了 Citrix Virtual Apps and Desktops 的加入流程

Citrix Virtual Apps and Desktops 数据源的加入流程已改进，以提供更好的用户体验。站点卡和加入步骤已修改。有关详细信息，请参阅Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源。

2018 年 11 月 29 日

新功能

Microsoft Security Graph 数据源

Microsoft Graph Security 是一个外部数据源，它聚合来自多个安全提供商的数据。它还提供对用户清单数据的访问。

Citrix Analytics 目前支持与此数据源关联的 Azure AD identity protection 和 Microsoft Defender for Endpoint 安全提供商。

要加入此数据源，您必须从 Microsoft 身份平台获取权限。有关详细信息，请参阅Microsoft Graph Security。

在数据源的站点卡上查看事件详细信息和已发现用户

数据源的站点卡现在显示事件详细信息和用户数量。例如，您可以在站点卡上查看 Access Control 的事件详细信息和用户。有关详细信息，请参阅在数据源上启用 Analytics。

2018 年 11 月 16 日

新功能

访问数据的自助搜索

您可以使用自助搜索深入了解企业中用户的访问详细信息。Citrix Analytics 从 Citrix Access Control 服务收集用户的访问详细信息。使用方面和搜索查询缩小搜索结果。

要使用自助搜索页面，从 Security（安全）选项卡中，单击 Event Search（事件搜索）。

有关详细信息，请参阅访问的自助搜索。

风险指标反馈

使用 Citrix Analytics 上的风险指标反馈功能，您可以提供有关风险指标的反馈。您的反馈有助于确认报告的安全事件是否准确。

目前，此功能支持由 Content Collaboration 数据源触发的 Unusual logon access（异常登录访问）风险指标。如果此风险指标触发不正确，您可以将其报告为误报并提供反馈。您还可以编辑以前提交的反馈。Citrix Analytics 会捕获您的反馈并验证预测信息，以优化异常行为检测。

已修复问题

• 如果您使用 Internet Explorer 11.0 访问 Citrix Analytics，则无法编辑和保存策略。