Citrix Analytics for Security

新增功能

Citrix 的目标是在 Citrix Analytics 客户可用时向其提供新增功能和产品更新。新版本会带来更多的价值,应立即将更新告知客户。

对您(即客户)来说,此过程是透明的。初始更新仅应用于 Citrix 内部站点,然后逐步应用于客户环境。以波浪方式递增更新有助于确保产品质量并最大限度地提高可用性。

April 05, 2022

新增功能

Secure Workspace Access 已重命名为 Secure Private Access

在 Analytics 控制板和报告中,所有 Secure Workspace Access 标签现在都更新为 Secure Private Access,以便与重新命名的产品名称保持一致。

例如,在数据源页面和自助搜索页面上,Secure Workspace Access 标签被重命名为 Secure Private Access

March 21, 2022

修复的问题

  • 在“创建风险指示器”页面中,如果搜索查询的先前条件包含用空格分隔的维度值,则维度和运算符的自动建议将不起作用。

    例如,在以下查询中,将城市选择为 San Jose 后,自动建议将停止运行。此问题现已修复。[CAS-64126]

    自动建议失败

March 10, 2022

新增功能

通知管理员电子邮件增强功能

  • 通知 管理员操作的电子邮件通知 现在提供与触发的策略关联的多个风险指示器的详细信息。

  • 您可以查看与策略关联的每个风险指示器的名称、严重性级别和触发日期。

  • 单击 查看风险详细信息 可在 Citrix Analytics 中打开用户时间轴页面并查看触发策略的最新风险指示器。在用户时间轴页面上,您还可以查看为用户触发的所有风险指示器。

通知管理员电子邮件增强功能

有关 通知管理员操作的详细信息,请参阅 策略和操作

修复的问题

Citrix Analytics 无法从Secure Workspace Access 数据源接收用户事件。因此,您不会在相应的自助搜索页面中看到用户事件。此外,您无法为 Secure Workspace Access 数据源创建自定义风险指示器。[CAS-64619]

March 03, 2022

新增功能

手动应用请求最终用户响应

以前,您只能通过创建策略 对用户账户应用“请求最终用户响应”操作。 在此版本中,您可以从用户时间轴上的“操作”(Actions) 列表中选择操作,然后手动将此操作应用于风险指示器。

有关操作以及如何手动应用操作的更多信息,请参阅 策略和操作

手动请求最终用户响应

请求针对策略的最终用户响应增强功能

使用“请求最终用户响应”操作创建策略时,您会看到以下增强功能:

  • 选择“通知管理员”作为下一个操作后,您现在可以查看默认的电子邮件通讯组列表和已创建的电子邮件通讯组列表,供您选择。

    通知管理员通讯组列表

  • 现在,您可以从 Citrix Content Collaboration 或 Citrix Virtual Apps and Desktops 和 Citrix DaaS 中选择其中一个操作作为下一个操作。以前,您只能选择全局操作或 Citrix Gateway 操作之一。

    跟进行动

有关操作的详细信息,请参阅 策略和操作

February 23, 2022

新增功能

针对风险指示器的建议操作

Citrix Analytic s 建议您在为用户触发以下风险指示器时应用通知管理员添加到监视列表创建策略 等操作:

当您转到用户时间线并选择风险指示器时,您可以在“建议的操作”部分中查看所有 建议的操作

例如,在异常身份验证失败风险指示器中,您可以查看以下建议的操作:

建议的操作

此功能提供指导,指导您根据用户构成的风险的严重程度选择可以采取的措施。但是,您也可以采取建议列表之外的适当措施,具体取决于您的风险分析。

修复的问题

  • 如果您的组织已加入位于 亚太地区南部 主区域的 Citrix Cloud,则 Citrix Analytics 可能不会从身份验证数据源接收用户事件。因此,您可能不会在相应的自助搜索页面中看到用户事件。此问题已修复。[CAS-62300]

February 17, 2022

新增功能

改进了 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源的数据收集和报告

在此版本中,您将看到以下更改:

  • 改进了来自 Citrix Workspace 应用程序客户端和 Citrix Monitor 服务的数据收集、关联和事件报告。

  • 改进了从用户和客户端版本接收的事件的质量,可用于自助搜索、自定义风险指示器和整体风险检测。

支持Content Collaboration 中的会话事件和应用程序事件的上下文模板

现在,在自助搜索页面上,您只能查看与文件、文件夹、会话、共享和用户事件关联的相关字段的详细信息。事件的不适用字段将被删除。

例如,您可以查看 File.Copy 事件的以下详细信息:

  • 文件编号

  • 文件副本 ID

  • 文件路径

  • 目标文件路径

  • 直播编号

  • 区域编号

这些详细信息可在风险调查和分析与风险行为相关的用户帐户时为您提供帮助。您可以深入查看看似有风险的事件的特定属性。

有关这些字段的详细信息,请参阅 Content Collaboration 的自助搜索

February 10, 2022

新增功能

自定义风险指示器中维度的自动建议值

在自定义风险指示器页面中,当您在条件栏中选择维度和有效运算符时,将自动显示该维度的值。从自动建议列表中选择一个值,或者根据您的用例手动输入值。键入值时,系统会自动建议记录中可用的匹配值。

为维度建议的值列表要么是数据库中预定义的(已知值),要么基于历史事件。

例如,当您选择维度 Event-Type 和赋值运算符时,系统会自动建议已知值。您可以根据需要选择一个值。

有关更多信息,请参阅 自定义风险指标

自动建议自定义风险指示器

February 09, 2022

新增功能

管理员的新自定义角色

作为具有完全访问权限的 Citrix Cloud 管理员,您可以邀请其他管理员来管理组织中的安全分析。现在,您可以将以下自定义角色分配给受邀的管理员:

  • 安全分析 - 完全权限管理员

  • Security Analytics - 只读管理员

使用自定义角色,您可以向管理员提供只读或完全访问权限,并允许他们管理 Security Analytics 的各种功能。

有关这些自定义角色的访问权限的更多信息,请参阅 管理 Security Analytics 的管理员角色

自定义角色

支持自定义访问管理员的电子邮件通知

如果您是具有管理安全分析的自定义访问权限(只读或完全访问权限)权限的 Citrix Cloud 管理员,您现在会收到以下通知:

  • 关于组织中检测到的安全风险的每周通知。有关详细信息,请参阅每周电子邮件通知

  • 手动应用“通知管理员”操作或由策略触发时有关风险指示器的通知。有关详细信息,请参阅 策略和操作

January 28, 2022

新增功能

为Content Collaboration 和网关数据源引入可疑登录风险指示器

Citrix Analytics for Security 现在可基于多种上下文因素检测本质上可疑的用户登录,例如:

  • 就用户和组织历史记录而言,该位置被视为不寻常

  • 就用户和组织历史记录而言,该设备被视为异常

  • 就用户和组织历史而言,该网络被认为是不寻常的

  • 根据 IP 威胁情报馈送,IP 地址被视为可疑

当用户基于这些因素的组合从可疑环境中登录时,将触发风险指示器。

此风险指示器取代了与 Citrix Content Collaboration 和 Citrix Gateway 数据源关联的异常位置访问风险指示器任何基于 异常位置访问风险指示器的 现有策略都会自动链接到新的风险指示器- 可疑登录。

有关风险指示器的详细信息,请参阅可疑登录 - Content Collaboration可疑登录 - 网关

有关风险指示器架构的详细信息,请参阅适用于 SIEM 的 Citrix Analytics 数据格式

January 20, 2022

新增功能

Microsoft Azure Active Directory 集成

你现在可以将 Azure Active Directory 与 Citrix Analytics for Security 连接起来,以便:

  • 将用户详细信息和用户组从组织的域导入到 Citrix Analytics for Security。

  • 使用职位、组织、办公地点、电子邮件和联系方式等其他详细信息来丰富用户档案,这有助于您进行风险调查和分析。

有关详细信息,请参阅 Azure Active Directory 集成

January 18, 2022

新增功能

支持对所有Content Collaboration 风险指示器执行共享链接操作

以前,您可以在以下与 Content Collaboration 服务关联的基于 共享链接的风险指示器上应用共享链接操作-终止所有链接和将链接更改为仅查看 共享:

  • 匿名敏感分享链接下载

  • 分享链接下载量过多

  • 过多的文件共享

在此版本中,您现在可以对以下与 Content Collaboration 服务关联的基于用户的风险指示器应用共享链接操作:

  • 从不寻常的位置访问

  • 过度访问敏感文件

  • 文件上载过多

  • 文件下载过多

  • 删除过多的文件或文件夹

  • 检测到恶意软件文件

  • 怀疑勒索软件活动

  • 异常的验证失败

您还可以对与Content Collaboration 服务关联的自定义风险指示器应用共享链接操作。

有关操作和风险指示器的更多信息,请参阅以下文章:

与 SIEM 的集成现已正式推出

您可以将 Citrix Analytics 与安全信息和事件管理 (SIEM) 服务集成,并将用户数据从 Citrix IT 环境导出到 SIEM。该集成可帮助您关联从各种来源收集的数据,并全面了解组织的安全性。

目前,您可以将 Citrix Analytics for Security 与以下服务集成:

  • Splunk

  • Microsoft Sentinel

  • 弹性搜索

  • 使用基于 Kakfa 或 Logstash 的数据连接器提供的其他 SIEM 服务

有关更多信息,请参阅 安全信息和事件管理 (SIEM) 集成

December 23, 2021

新增功能

共享链接风险指示器增强功能

进行了以下增强:

  • 现在,您可以使用 匿名敏感共享链接下载 风险指示器创建策略。

  • 匿名敏感共享下载 风险指示器被重命 名为匿名敏感共享链接下载 ,以将其区分为共享链接风险指示器。

  • 过度下载 风险指示器被重命名为 共享链接下载过多 ,以区分它作为共享链接风险指示器,并将其与基于用户的 文件下载过多 风险指示器区分开来。

有关详细信息,请参阅 Citrix 共享链接风险指示器。

December 21, 2021

新增功能

向非 Citrix Cloud 管理员发送有关风险指示器的通知

现在,您可以通过“通知管理员”操作 通知组织中的非 Citrix Cloud 管理员

要通知这些管理员,请创建电子邮件通讯组列表。从连接到 Citrix Cloud 的外部域或直接使用其电子邮件地址在电子邮件通讯组列表中选择管理员。应用“通知管理员”操作时,选择包含非 Citrix Cloud 管理员的电子邮件通讯组列表。

有关详细信息,请参阅 电子邮件通讯组列表

December 20, 2021

新增功能

向Content Collaboration 用户发送用户回复通知

除了 Active Directory 用户之外,您现在还可以将“请求最终用户响应”操作应用于Content Collaboration 用户。

当 Citrix Analytics 检测到用户的 Citrix 帐户中存在任何异常活动时,此操作会向用户发送电子邮件通知。有关“请求最终用户响应”操作的更多信息,请参阅 策略和操作

访问控制已重命名为 Secure Workspace Access

现在,在 安全 分析控制板和报表中,所有 访问控制 标签都将更新为S ecure Workspace Ac cess,以与重新命名的产品名称保持一致。

例如,在“数据源”页面、“自助搜索”页面和“策略”页面上,“访问控制”标签被重命名为 Secure Workspace Access。

修复的问题

  • 对于应用程序和桌面数据源,当您将搜索报告下载为 CSV 文件时,CSV 文件中的某些字段值会显示为不可用 (N/A),尽管它们的值可用。例如, 自助服务搜索 页面上会显示 Download File NameSession Launch TypeWorkspace App Version 等字段的值,但在下载的 CSV 文件中,您会看到这些值不可用 (N/A)。此问题现已修复。[CAS-62299]

December 09, 2021

新增功能

使用模板轻松创建自定义风险指示器

现在,您可以根据自己的用例选择模板并创建自定义风险指示器。这些模板通过提供预定义的查询和参数来指导您。在创建自定义风险指示器时,它可以简化您的工作。

有关更多信息,请参阅 自定义风险指标

December 07, 2021

修复的问题

  • 在 Citrix Analytics for Security 上,您不会收到使用 2021 年 9 月发布的 Citrix Secure Browser 用户的事件。存在此问题的原因是, 主机名跟踪 策略在 2021 年 9 月发布的 Citrix Secure Browser 中不可见,因此无法启用与 Citrix Analytics for Security 集成。此问题现已修复。[CAS-62254]

December 02, 2021

新增功能

检测到恶意软件文件风险指示器

现在,当用户在Content Collaboration 中上载受感染文件时,您可以收到警报。

风险指示器检测到受恶意软件(如特洛伊木马、病毒或任何其他恶意威胁)感染的文件。它提供了对恶意文件的详细信息的可见性,例如文件所有者、病毒名称和文件位置。

检测到的恶意软件文件风险指示器相关的风险因素是基于文件的风险指示器。

有关风险指示器和可以应用的操作的详细信息,请参阅 检测到恶意软件文件风险指示器

针对Content Collaboration 数据源的新操作

当用户触发“检测到恶意软件文件”风险指示器时,您可以应用以下操作:

  • 删除文件夹访问权限。您可以阻止上传受感染文件的用户的访问权限。用户无法访问上传受感染文件的文件夹。

  • 移除文件夹的上传权限。您可以阻止上传受感染文件的用户的上传权限。用户无法将文件上传到已上传受感染文件的文件夹。

有关Content Collaboration 操作的详细信息,请参阅 策略和操作

操作

November 29, 2021

新增功能

用户通知的电子邮件设置增强

作为管理员,您现在可以在用户回复电子邮件模板中添加横幅图像、页眉和页脚文本。这些字段增强了电子邮件的合法性,从而增加了用户对电子邮件的关注和回复。

有关详细信息,请参阅 最终用户电子邮件设置

电子邮件设置

November 26, 2021

新增功能

自定义风险指标和政策菜单更改

以下功能的导航链接已更新:

November 25, 2021

新增功能

安全信息和事件管理 (SIEM) 集成增强功能

注意

此集成处于预览版。

现在,您可以将 Citrix Analytics for Security 与以下 SIEM 服务集成:

  • Microsoft Sentinel

  • 使用可视化服务(例如 Kibana)和像 Logrythm 这样的 SIEM 服务进行 Elasticsearch

  • 使用 Logstash 数据收集引擎的任何其他 SIEM 服务

根据您的业务需求,将用户的数据从 Citrix Analytics 安全导入到 SIEM 服务。这种集成使您的安全运营团队能够关联、分析和搜索组织中 SIEM 服务中不同日志中的数据,从而帮助他们识别并快速修复安全风险。

有关更多信息,请参阅 安全信息和事件管理 (SIEM) 集成

November 09, 2021

修复的问题

  • 在少数租户上,用户策略不起作用。当虚拟应用程序的警报具有域的空字符串值时,就会出现此问题。此问题现已修复。[CAS-60920]

November 02, 2021

新增功能

查看 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户的访问配置文件和登录详细信息

访问保证位置控制板上,您可以查看访问配置文件以及已登录虚拟应用程序和虚拟桌面的用户的登录详细信息。这些信息在威胁调查和分析过程中有所帮助。

  • 访问配置文 件”页面提供了用户从所选位置进行的访问的摘要。您可以查看总用户和唯一用户登录的趋势分析和最高访问权限事件。

    访问个人资料页

  • 用户登录”页面提供了用户从所选位置登录到虚拟应用程序和虚拟桌面的详细信息。

    用户登录页

有关详细信息,请参阅 访问保证位置控制板

在 Content Collaboration 的自助搜索页面上查看恶意软件日志

在 Content Collaboration 的自助服务页面上,您现在可以查看恶意软件事件 File.VirusInfected 及其相关日志。当 Content Collaboration 用户上传感染了恶意软件的文件时触发此事件。

有关详细信息,请参阅 Content Collaboration 的自助搜索

恶意软件事

修复的问题

  • 在 Citrix Analytics 中处理事件时,一些 Content Collaboration 用户被错误地设置为非员工。因此,这些用户不会被标识为已发现的用户。此问题现已修复。[CAS-59608]

October 20, 2021

新增功能

Session Recording 服务器集成

对于您的 Citrix Virtual Apps and Desktops 和 Citrix DaaS 部署,您现在可以将 Session Recording 服务器配置为将用户事件发送到 Citrix Analytics for Security。对这些用户事件进行处理,以便为用户的行为提供切实可行的见解。

在“数据源”>“安全性”页面上,转到 Virtual Apps and Desktops 站点卡片。在 Session Recording 站点卡上,单击垂直省略号 (⋮),然后选择 连接 Session Recording 服务器

有关更多信息,请参阅 连接到会话录制部署

会话录制部署

October 19, 2021

新增功能

通知管理员邮件模板增强

管理员在应用“通知管理员”操作后收到的电子邮件通知得到了增强,可以更好地洞察用户的风险事件。

  • 通知现在提供有关触发的风险指示器或所应用策略的详细信息。例如,您可以查看默认和自定义风险指示器的严重性和触发时间。改进了内容结构以提高可读性。

  • 管理员现在可以直接从电子邮件通知访问用户时间线,并查看有关风险事件的详细信息。

  • 通知中添加了反馈选项。此选项有助于收集管理员的回复,并根据响应不断改进通知的内容。

有关 通知管理员操作的详细信息,请参阅 策略和操作

用户登录摘要增强功能

  • 现在,您可以查看全球用户登录总数和全球唯一用户登录次数的用户登录数的上升或下降趋势。

    总登录趋势

  • 唯一登录位置 表中的 DEVIATION 列显示了特定位置的唯一用户登录次数向上或向下变化。

    独特的登录趋势

这些指标可帮助您了解用户登录次数与上一时期相比有何变化(正面或负面)。它提供了用户与 Citrix Virtual Apps and Desktops 和 Citrix DaaS 部署交互的可见性。

有关详细信息,请参阅 访问保证位置控制板

修复的问题

  • 访问保障位置 控制板上,当没有 用户从地理围栏区域之外登录时,用户登录摘要 卡无法显示用户登录量度(全球用户登录总数、全球唯一用户登录次数和国家/地区有用户登录)。此问题现已修复。[CAS-59595]

October 01, 2021

新增功能

查看自助搜索 Content Collaboration 的审核日志

在 Content Collaboration 的自助搜索中,您现在可以查看审核日志。这些日志提供了有关 Content Collaboration 管理员对用户帐户应用的权限和操作的见解。使用这些数据,您可以验证 Content Collaboration 管理员是否对其用户帐户采取了有效的操作。作为安全管理员,它可以在风险调查和分析期间为您提供帮助。

有关审核日志的详细信息,请参阅 Content Collaboration 的自助搜索

修复的问题

使用 Azure AD 登录 Citrix Cloud 的管理员将无法访问 Citrix Analytics 服务,如果上一个过期的会话 ID 与新的会话 ID 一起出现。此问题现已修复。[CAS-59385]

September 29, 2021

新增功能

访问保障位置控制板现已正式推出

控制板提供对 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户位置的可见性。您可以通过启用地理围栏来识别位置异常的用户,并应用适当的操作来防止任何威胁。

要查看控制板,请单击“安全”>“访问保障”。选择要查看位置详细信息的时间段。

有关详细信息,请参阅 访问保证位置控制板

September 15, 2021

新增功能

自定义风险指标增强

  • 触发自定义风险指示器时,它会立即显示在 用户时间轴 上。但是,用户的风险摘要和风险评分会在几分钟后(大约 15 至 20 分钟)更新。

  • 如果在用户时间轴上修改现有自定义风险指示器的状况、风险类别、严重性和名称等属性,您仍然可以查看先前为用户触发的自定义风险指示器(使用旧属性)的出现次数。

  • 如果删除自定义风险指示器,则仍然可以在用户时间轴上查看先前为用户触发的自定义风险指示器的出现次数。

有关更多信息,请参阅 自定义风险指标

September 14, 2021

新增功能

引入可疑登录风险指示器

Citrix Analytics for Security 现在可基于多种上下文因素检测本质上可疑的用户登录,例如:

  • 就用户和组织历史记录而言,该位置被视为不寻常

  • 就用户和组织历史记录而言,该设备被视为异常

  • 就用户和组织历史而言,该网络被认为是不寻常的

  • 根据 IP 威胁情报馈送,IP 地址被视为可疑

当 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户基于这些因素的组合从可疑环境中登录时,将触发风险指示器。

此风险指示器替换了与 Citrix Virtual Apps and Desktops 数据源关联的从异常位置访问风险指示器。任何基于 异常位置访问风险指示器的 现有策略都会自动链接到新的风险指示器- 可疑登录

有关风险指示器的详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

SIEM 消息增强

Citrix Analytics for Security 现在会将可疑登录风险指示器的架构详细信息发送到 SIEM 服务。您可以查看指标摘要的架构和可 疑登录 风险指示器的事件详细信息。有关更多信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

修复的问题

  • 对于应用程序和桌面自助搜索,下载的 CSV 文件中缺少客户端 IP 值。此问题现已修复。[CAS-58426]

August 19, 2021

新增功能

推出适用于 Splunk 的 Citrix Analytics 应用

注意

该应用程序处于预览中。

适用于 Splunk 的 Citrix Analytics 应用程序使您能够在 Splunk 上以富有洞察力的控制板的形式查看从 Citrix Analytics for Security 收集的数据。控制板可让您深入了解用户的风险事件。您还可以将 Citrix Analytics 数据与从其他各种数据源收集的日志相关联。关联可帮助您查找事件之间的关系,并及时采取措施来保护您的 IT 环境。

要下载该应用程序,请转到 Splunkbase。在 Splunk 搜索头上安装应用程序。

有关更多信息,请参阅适用于 Splunk 的 Citrix Analytics 应用

SIEM 的自定义风险指示器架构

在 SIEM 服务中,您现在可以查看为 Citrix Virtual Apps and Desktops 和 Citrix DaaS 创建的自定义风险指示器的架构。这些数据可帮助您深入了解组织的安全风险状况。

有关自定义风险指标架构的更多信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式

支持将 Citrix Director 作为数据源

现在,您可以在 Citrix Director 上配置本地站点,以将事件发送到安全分析。这些事件用于发现连接到 Security Analytics 的用户,并确定用户设备上安装的 Workspace 应用程序版本。

默认情况下,在发现站点之后启用数据处理。在 监控 卡上,您可以查看所有已连接的站点。

有关如何在 Director 上配置站点的详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

在访问保证位置控制板中支持地理围栏

现在,您可以使用控制板中的 地理围栏设置 来选择和启用地理围栏区域。启用地理围栏后,地图将显示地理围栏区域(国家/地区)以及用户从地理围栏外部和内部登录的情况。此功能使用在 地理围栏风险指示器之外启动的 CVAD 会话 来监视用户登录。

有关详细信息,请参阅 访问保证位置控制板

用户页面上的 Workspace 应用程序状态

用户 页面上,您现在可以查看 Citrix Analytics 支持的 Citrix Workspace 应用程序客户端的状态。该页面显示以下状态:

  • 支持
  • 部分支持
  • 不受支持
  • 不可用
  • 不活跃

该状态可帮助您识别用户使用的任何不受支持的客户端版本,并建议用户将其客户端升级到受支持的版本。受支持的客户端版本会将用户事件发送到 Citrix Analytics。

注意

要查看 Citrix Workspace 应用程序状态,必须加载 Citrix Director 数据源。否则,每个 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户的状态都将显示为“不活动”

有关更多信息,请参阅用 户控制板

支持 IS EMPTY 运算符

在创建自定义风险指示器时,您现在可以在条件中使用 IS EMPTY 运算符来检查空维度或空维度。

注意

该运算符仅适用于字符串类型的维度,例如应用程序名称、浏览器和国家/地区。

有关更多信息,请参阅 自定义风险指标

改进了风险评分

在用户的时间轴上,您现在可以查看用户的风险摘要。风险摘要提供有关与用户事件相关的风险因素的信息。风险因素可帮助您识别用户事件中的异常类型,并确定风险评分。以下是风险因素:

  • 基于设备的风险指标

  • 基于位置的风险指标

  • 基于 IP 的风险指标

  • 基于登录失败的风险指示器

  • 基于数据的风险指标

  • 基于文件的风险指标

  • 自定义风险指示器

  • 其他风险指标

在用户的时间轴上,您现在可以根据风险因素应用过滤器来查看用户事件。

有关详细信息,请参阅以下主题:

July 29, 2021

已弃用的功能

与 Citrix Endpoint Management 关联的已弃用操作

将从 Citrix Endpoint Management 数据源中删除以下操作。您不能再对风险指示器应用这些操作或使用这些操作创建策略。

  • 锁定设备

  • 通知 Endpoint Management 管理员

  • 通知用户

  • 吊销设备

  • 擦除设备

在现有策略中,如果这些操作已在使用中,则它们将自动替换为“添加到监视列表”操作。您可以从监视列表中监视此类用户。

July 14, 2021

新增功能

支持 IS NOT EMPTY 运算符

在创建自定义风险指示器时,您现在可以在条件中使用 IS NOT EMPTY 运算符来检查维度是否为空(不是空白)。

注意

该运算符仅适用于字符串类型的维度,例如应用程序名称、浏览器和国家/地区。

例如,以下条件会检测来自国家/地区值不为空的任何国家/地区的用户登录事件。换句话说,指定了国家/地区名称。

Event-Type = “Session.logon” AND Country IS NOT EMPTY

有关更多信息,请参阅 自定义风险指标

July 06, 2021

新增功能

在“用户”控制板上查看非风险用户

在“用 ”控制面板上,您现在可以查看所选时间段内非风险用户的数量。根据所选期间的零风险评分,将这些发现的用户标识为非风险用户。单击“非风险用户”卡可查看所有具有零风险评分的用户。

有关详细信息,请参阅 用户控制板

非风险用户

July 01, 2021

新增功能

访问保证位置控制板增强

  • 在“前 10 个唯一登录位置”表中,您可以查看来自未知位置的唯一用户登录次数。此列表是前 10 个唯一登录位置的子集。您还可以找到位置未知的原因以及获取用户位置的可能方法。

    未知的位置

  • 在“访问位置”页面上,如果选择多个位置,则可以查看和比较来自所有位置、前五个位置和最后五个位置的用户登录的时间轴详细信息。

    时间轴比较

  • 在“访问位置”页面上,您可以使用嵌套的方面,例如国家/地区及其城市、操作系统-主要版本和次要版本。这些方面使您能够以细粒度的方式过滤事件。

    嵌套的小平面

有关详细信息,请参阅 访问保证位置

更新了 Virtual Apps and Desktops 的自助搜索中的操作系统方面

现在,您可以使用嵌套的操作系统方面过滤应用程序和桌面事件。选择与操作系统关联的主要版本和次要版本,然后以细粒度方式过滤事件。有关详细信息,请参阅应用程序和桌面的自助式搜索

操作系统嵌套方面

June 30, 2021

新增功能

为应用程序和桌面添加了处于自定义风险指示器条件的 Workspace 应用程序版本

对于 应用程序和桌面 数据源,您现在可以在创建自定义风险指示器时使用 Workspace App-Version 维度来定义您的状况。有关维度的详细信息,请参阅 应用程序和桌面的自助搜索

CWA 版本

June 23, 2021

新增功能

SIEM 消息增强

现在,以下字段已添加到风险指示器的架构中:

  • indicator_vector_name-表示与风险指示器关联的风险载体。风险载体包括基于设备的风险指标、基于位置的风险指标、基于登录故障的风险指标、基于知识产权的风险指标、基于数据的风险指标、基于文件的风险指标和其他风险指标。

  • indicator_vector_id-与风险向量关联的 ID。ID 1 = 基于设备的风险指示器,ID 2 = 基于位置的风险指示器,ID 3 = 基于登录失败的风险指示器,ID 4 = 基于 IP 的风险指示器,ID 5 = 基于 IP 的风险指示器,ID 6 = 基于数据的风险指示器,ID 7 = 其他风险指示器,ID 999 = 不可用。

有关更多信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

June 07, 2021

新增功能

通知管理员操作的增强功能

当您将“通知管理 员”操作应用于风险指示器或使用该操作创建策略时,您现在可以选择接收有关用户风险行为的通知的管理员。有关操作的详细信息,请参阅 策略和操作

添加了对仅查看共享操作的支持

如果用户过度共享文件,Citrix Analytics 会触发文 件共享过多 风险指示器。从用户的风险时间表中,您现在可以将“更改链接至仅查看共享”操作应用于“过多的文件共享 风险”指示器。您还可以在股份链接风险时间表上对特定的共享链接应用操作。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关操作的详细信息,请参阅 策略和操作

May 18, 2021

新增功能

将默认风险指标迁移到自定义风险指标

以下默认风险指示器已迁移到预配置的自定义风险指示器。

默认风险指示器 数据源 预配置的自定义风险指标
首次从新设备访问 Citrix Virtual Apps and Desktops 和 Citrix DaaS CVAD-首次从新设备访问
首次从新 IP 访问 Citrix Gateway 网关-从新 IP 首次访问

随着这种迁移到自定义风险指标,默认风险指标和相关的机器学习算法将被弃用。

根据以下预先配置的条件触发相应的自定义风险指标:

  • 当用户首次从新设备访问或至少 90 天未使用的现有设备时。

  • 用户首次从新 IP 地址或至少 90 天未使用的现有 IP 地址登录时。

除了预配置的条件外,您现在可以为这些自定义风险指标添加自己的条件,以识别 Citrix 环境中的威胁。通过此选项,您可以根据安全需求灵活配置自定义风险指示器。您还可以创建策略,对这些自定义风险指标检测到的风险事件应用操作。

但是,在用户的时间表上,您仍然可以查看之前触发的默认风险指标及其事件。

与这些默认风险指标关联的策略将自动链接到相应的预先配置的自定义风险指标。

有关更多信息,请参阅 预配置的自定义风险指示器和策略

网关自助搜索的增强功能

  • 件类型 过滤器现在重命名为“记录类型”。选择以下记录类型之一以筛选事件-VPN_AI、VPN_IF 和 VPN_ST。

  • 在 D ATA 表中,展开用户事件的行以查看相应的事件类型。事件类型可以是以下类型之一-身份验证、ICA 文件或会话注销。

下表描述了记录类型与事件类型之间的关联。

记录类型 事件类型
VPN_AI 身份验证
VPN_IF ICA 文件
VPN_ST 会话注销

有关详细信息,请参阅 网关的自助搜索

修复的问题

  • 自定义风险指示器根据条件值的区分大小写而触发。例如,在允许列表中包含设备 ID 的用户事件中,您会看到以下行为:

    • 如果以小写字母输入 Device-ID 维度的值,则会触发自定义指标。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • 如果以大写字母为同一设备输入 Device-ID 维度的值,则不会触发自定义指标。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    此问题现已修复,无论条件值是否区分大小写,都会触发自定义风险指示器。

    [CAS-50153]

April 29, 2021

新增功能

自定义风险指标的事件详情

在用户的风险时间表页面上,您现在可以查看触发自定义风险指示器的事件。以前,您只能查看自定义风险指标的定义条件、描述和触发频率。单击 事件搜索 以查看与用户关联的事件的详细信息和风险指示器。 有关更多信息,请参阅 自定义风险指示器

修复的问题

  • 即使管理员的访问权限从只读管理员更改为完全管理员,管理员也无法创建自定义风险指示器。[CAS-49628]

April 16, 2021

新增功能

SIEM 消息增强

您可以查看风险指标架构格式的以下增强功能:

  • 客户端 IP 地址现在可用于所有批量风险指标的模式中。以前,客户端 IP 地址仅适用于几个批量风险指标:

    • EPA 扫描失败
    • 验证失败过多
    • 从可疑 IP 登录
    • 从不寻常的位置访问
    • 异常的身份验证
    • 匿名敏感分享下载
    • 潜在的数据泄露
  • 如果整数数据类型字段值不可用,则分配的值为 -999。例如,"latitide" = -999

  • 如果字符串数据类型字段值不可用,则分配的值为 NA。例如,"city"= "NA"

有关更多信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

March 26, 2021

新增功能

对 SIEM 消息的限制

Citrix Analytics 向 SIEM 服务发送每个风险指标发生的最多 1000 个事件详细信息。这些事件按发生时间顺序发送。有关更多信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

在 SIEM 消息中添加了数据源 ID 和指标类别 ID 字段

在指标摘要架构和指标事件详细信息架构中添加了以下字段。

字段 说明
data_source_id 与数据源关联的 ID。ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id 与风险指标类别关联的 ID。ID 1 = 数据泄露,ID 2= 内幕威胁,ID 3 = 受到攻击的用户

有关更多信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

March 18, 2021

新增功能

访问保障位置控制板

注意

该功能处于预览中。

访问保证位置”控制板提供了 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户在选定时间段内登录的位置的概览。Citrix Analytics 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。

要查看控制板,请单击“安全”>“访问保障”。

您可以查看所选期间的以下信息:

  • 来自特定位置和跨位置的用户登录总数。

  • 跨地点的唯一用户登录总数。

  • 用户登录的国家/地区总数。

  • 具有唯一用户登录名的前 10 个位置。

有关详细信息,请参阅 访问保证位置

用户登录摘要页

支持 NOT LIKE (!~) 运算符

对于自助搜索查询和自定义风险指示器条件,您现在可以使用 NOTLIKE (!~) 操作员。运算符会检查用户事件是否符合您指定的匹配模式。它返回事件字符串中任意位置不包含指定模式的事件。

例如,查询 User-Name !~ “John” 显示除了 John、John Smith 或包含匹配名称“约翰”的任何此类用户以外的用户的事件。

有关详细信息,请参阅 自助搜索

翻译的操作系统版本

对于 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源, 平台 维度现在转换为 操作系统主要版本、操作系统次要版本和操作系统额外详细信息 维度。根据用户的操作系统详细信息,Citrix Analytics 会在自助服务搜索页面上显示这些维度。

您可以使用这些维度来定义自定义风险指标的条件。

对于之前创建的自定义风险指标,如果您已将 平台 维度用作条件,Citrix Analytics 会自动将 平台 维度替换为 操作系统主要版本操作系统次要版本操作系统额外详细信息。此更新不会影响您定义的条件的完整性。

有关新维度的详细信息,请参阅 Virtual Apps and Desktops 的自助搜索

更新了应用程序和桌面的数据字段

在应用程序和桌面的自助搜索中,根据上下文模板查看更新的数据字段。

有关详细信息,请参阅应用程序和桌面的自助式搜索

已弃用的功能

从自助搜索页面中删除了 VPN_AF 和 VPN_SU 事件

现在,在 Citrix Gateway 数据源的自助搜索页面上,以下记录类型现在已删除。

记录类型 记录名
VPN_SU 会话更新记录
VPN_AF 应用启动失败记录

因此,您无法根据这些记录类型筛选和查看事件。任何基于这些记录类型的自定义风险指标都停止运行。

有关详细信息,请参阅 网关的自助搜索

March 11, 2021

新增功能

用户风险评分模式的当前时间戳

将以用户风险评分模式格式添加一个新 last_update_timestamp 字段。此字段表示风险评分上次更新的时间。有关架构格式的详细信息,请参阅 用户风险评分架构

March 03, 2021

新增功能

对可疑 IP 风险指示器登录的增强

在用户的风险时间表页面上,将为从可疑 IP 登录风险指示器显示一个新的可疑 IP部分。本节提供以下信息:

可疑 IP 部分

  • 检测到可疑登录事件的 IP 地址。
  • 用户的位置。
  • Citrix Analytics 最近在组织中检测到的任何可疑 IP 事件模式。
  • 有关 IP 地址的社区级情报源。

有关详细信息,请参阅 从可疑 IP 登录 风险指示器。

通过不寻常的位置风险指标增强访问权限

  • 在 Citrix Content Collaboration 的从异常位置访问风险指示器中,在事件表中添加了 TOOL NAME 列。从事件表中删除了 设备浏览器 列。有关更多信息,请参阅 Citrix Content Collaboration 风险指示器。

  • 在从 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的异常位置访问风险指示器中,在事件表中添加了 DEVICE IDRECEIVER TYPE 列。有关更多信息,请参阅 Citrix Virtual Apps and Desktops 风险指示器

适用于 SIEM 的 Citrix Analytics 数据格式

介绍了 Citrix Analytics 为您的 SIEM 服务生成的已处理数据的架构。

修复的问题

  • 对于 Content Collaboration 用户,如果 Is Employee<!--NeedCopy--> 值为空,则该用户不会显示在已发现的用户列表中。[CAS-47815]

February 18, 2021

新增功能

支持从自定义风险指示器中的新实体首次访问

现在,您可以创建风险指示器,当 Citrix Analytics 首次收到来自新实体的事件时触发该风险指示器。实体的一些示例包括客户端 IP、城市和国家/地区。

创建指标 页面上,单击 首次 选项。启用“首次创建新”按钮,然后根据数据源从列表中选择一个有效的实体。您无需为实体分配任何特定值。例如,如果从列表中选择 城市 ,则每当用户首次从新城市登录时,Citrix Analytics 都会触发一个风险指示器。

有关更多信息,请参阅 创建自定义风险指示器

第一次使用新选项

创建自定义风险指示器的最大限制

现在,您可以创建最多 50 个自定义风险指示器。如果达到此最大限制,则必须删除或编辑任何现有的自定义风险指示器以创建自定义风险指示器。

有关更多信息,请参阅 自定义风险指标

来自 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的用户位置数据

现在,在 用户信息 页面上,Citrix Analytics 会显示用户在 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源中的位置。

有关用户位置的详细信息,请参阅 用户配置文件

多列排序

在自助搜索页面上,您现在可以按多列对用户事件进行排序。单击 排序方式,添加列和排序顺序。单击 应用 对用户事件进行排序。您最多可以添加六列来执行多列排序。

多列排序

有关详细信息,请参阅 自助搜索

已弃用的功能

已弃用过多的授权失败风险指示器

Citrix Gateway 风险指示器- 授权失败过多 已被弃用。您只能查看与此指标相关的历史数据。

以下更改适用于此弃用的一部分:

  • Citrix Analytics 不再生成这些风险指示器。

  • Citrix Analytics 不再以这些风险指示器为条件生成策略。

  • 将这些风险指示器作为条件的默认策略不再生效。

有关详细信息,请参阅 Citrix Gateway 风险指示器。

January 27, 2021

新增功能

增强了从异常位置访问风险指示器

对于 Citrix Content Collaboration、Citrix Gateway 和 Citrix Virtual Apps and Desktops,当用户从与新国家/地区关联的 IP 地址或远离任何以前登录的新城市登录时,将触发从异常位置访问风险指示器位置。其他因素包括用户的整体移动性水平以及组织中所有用户从城市登录的相对频率。在所有情况下,用户位置历史记录都基于过去 30 天的登录事件。

有关风险指示器的更多信息,请参阅以下主题:

January 20, 2021

修复的问题

  • 对于具有本地 StoreFront 的应用程序和桌面数据源,尽管已成功连接 StoreFront 部署,但数据处理仍会失败。

    [CAS-46656]

January 19, 2021

修复的问题

  • 在自定义风险指示器页面中,在更正搜索字段中的无效条件后, 估计触发器 链接不会响应。

    例如,您键入无效条件 Client-IP = 10.10.10.10。更正此条件并键入 Client-IP = “10.10.10.10” 后,估计触发器链接不响应。

    解决办法:刷新自定义指标页面,然后创建具有有效条件的自定义指标。

    [CAS-46316]

January 13, 2021

新增功能

适用于 Splunk 的 Citrix Analytics 附加组件的新版本已推出

适用于 Splunk 的 Citrix Analytics 附加版本 2.1.0 现已推出。转到下 页面下载文件。

增加了对 Splunk 云输入数据管理器 (IDM) 和 Splunk 8.1 64 位的支持

现在,您可以将 Citrix Analytics for Security 与 Splunk Cloud IDM 和 Splunk 8.1 64 位集成。有关更多信息,请参阅 Splunk 集成

已弃用的支持

已删除对 Splunk 7.1 64 位的支持

您无法再将 Citrix Analytics for Security 与 Splunk 7.1 64 位集成。有关受支持的 Splunk 版本的信息,请参阅 Splunk 集成

January 11, 2021

修复的问题

  • 在“Virtual Apps and Desktops”站点卡上,支持的客户端用户标签将重命名为已收到用户的事件。标签 不受支持的客户端用户 被重命名为 无法接收来自用户的事件

    [CAS-44773]

December 17, 2020

新增功能

使用预配置的自定义风险指示器和策略来阻止来自异常位置的访问(地理围栏)

Citrix 提供了预配置的自定义风险指示器列表以及可帮助您监控 Citrix 基础架构安全性的策略。借助这些指标和政策,您可以阻止来自其通常运营国家/地区以外的国家/地区的用户访问权限。默认情况下,国家/地区设置为“美国”。您可以为地理围栏设置所需的国家/地区。

以下是预配置的自定义风险指示器和策略:

  • cvad-会话在地理围栏之外开始

  • GW-Geofence 穿越

  • CCC-GeoFence 穿越

  • 会话在地理围栏之外开始

有关更多信息,请参阅 预配置的自定义风险指示器和策略

查看用户响应电子邮件中访问的位置

用户回复电子邮件现在显示用户在过去 15 分钟内访问过的所有位置,而不是用户设备的 IP 地址。该位置以 <City>,<Country><!--NeedCopy--> 格式显示。如果城市或国家/地区不可用,相应的值将显示为“未知”。

有关详细信息, 请参阅请求用户响应

已重命名 Content Collaboration 风险指示器-首次从新位置访问

Citrix Content Collaboration 风险指示器 首次从新位置进访问将重命名为从异常位置访问。

有关详细信息,请参阅 从异常位置访问

已弃用的功能

风险指示器反馈

删除了风险指示器反馈机制。如果 Content Collaboration 风险指示器-从异常位置访问被错误地触发,则无法再将其报告为误报并提供反馈。

December 07, 2020

新增功能

潜在数据泄露风险指示器的改进

对风险指示器进行了以下增强:

  • 发生了什么”部分中的信息已更新。时间格式已更新以保持一致性。

  • 设备位置信息显示在事件列表中。

有关风险指示器的更多信息,请参阅 潜在的数据泄露

Content Collaboration 风险指示器的改进-首次从新位置访问

在用户风险时间表上,选择 首次从新位置访问 以查看以下信息:

  • 登录位置:显示用户登录的通常和不寻常位置的地理地图视图。

  • 从常规位置登录的次数-过去 30 天:显示用户在过去 30 天内登录的前 6 个常用位置的饼图视图。它还显示来自这些位置的登录事件的数量。

  • 异常位置的事件详细信息:为用户提供来自异常位置的登录事件的列表。

有关风险指示器的更多信息,请参阅 首次从新位置访问

November 30, 2020

新增功能

自助搜索页面改进

为增强自助搜索页面的可用性,进行了以下改进:

  • 搜索框显示一个查询示例,指示如何键入自己的查询。

    搜索框查询

  • 在 macOS 中,默认情况下会显示维度列表上的滚动条。

    Mac 滚动条

  • 应用的滤镜现在显示为筹码。

    过滤芯片

  • 添加或删除列 标签将替换 + 图标。

    图标更新

有关详细信息,请参阅 自助搜索

政策改进

现在,“策略”页面显示与成功发现并连接到 Citrix Analytics 的数据源关联的策略。此页面不显示为未发现的数据源定义了条件的策略。关闭已连接的数据源的数据处理不会影响“策略”页面上的现有 策略

有关详细信息,请参阅 配置策略和操作

November 04, 2020

新增功能

异常身份验证失败-Citrix Gateway 风险指

当用户从异常 IP 地址登录失败时,Citrix Analytics 会检测基于访问的威胁,并触发 异常身份验证失败 风险指示器。

当组织中的用户从不正常的 IP 地址登录失败时,会触发此风险指示器。

有关详细信息,请参阅 Citrix Gateway 风险指示器。

认证失败

October 20, 2020

修复的问题

  • 风险指示器应用了 注销用户 操作的 新设备首次访问 未按预期工作。

    [CAS-40743]

October 15, 2020

新增功能

从异常位置访问 — Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

Citrix Analytics 会根据来自 Citrix Workspace 的异常登录来检测基于访问的威胁,并触发相应的风险指示器。

位置不寻常

有关更多信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

共享链接控制板增强

  • 共享 URL 列现在由共享 ID 列替换。现在,每个共享 URL 都使用共享 ID 进行标识。

  • 控制板上的时间选择已删除。现在,此控制板显示从事件状态到过期状态的所有共享链接,而不是选定的时间段。

  • 所有共享链接先按事件链接的顺序排序,然后按过期链接的顺序进行排序。默认情况下,具有最高风险指示器计数的共享链接显示在列表顶部。

  • 风险链接现在显示存在风险行为的事件链接。它不会显示过期的链接。默认情况下,具有最高风险指示器计数的风险链接显示在列表顶部。

  • 已删除“风险共享链接”卡和“所有共享链接”卡中的趋势视图。

有关详细信息,请参阅 共享链接控制板

分享链接风险时间表增强

风险时间表现在显示的是共享 ID,而不是共享 URL。有关详细信息,请参阅 共享链接风险时间表

已弃用的功能

不建议从操作系统 (OS) 风险指示器不受支持的设备进行访问

Citrix Virtual Apps and Desktops 风险指示器 - 从操作系统 (OS) 不受支持的设备进行访问已被弃用。您只能查看与此指标相关的历史数据。

以下更改适用于此弃用的一部分:

  • 分析不再生成这些风险指标。

  • Analytics 不再以这些风险指标为条件生成政策。

  • 将这些风险指示器作为条件的默认策略不再生效。

有关更多信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

September 10, 2020

新增功能

StoreFront 清单

Citrix Analytics 现在会显示下载 StoreFront 配置文件之前必须满足的先决条件列表。查看清单并确保选择了所有最低要求。如果未选择最低要求,则无法下载配置文件。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 数据源

StoreFront 清单

自助搜索-支持不等于 (!=) 运算符

你现在可以使用 NO不等于 (!=) 运算符在你的查询中包含以下功能:

  • 自定义风险指标

  • 自助搜索

您可以在以下情况下使用此运算符:

数据源 尺寸
Content Collaboration 国家、城市、客户端操作系统
访问控制 国家、城市、操作、URL、URL 类别、信誉、浏览器、操作系统、设备
Citrix Cloud Labs应用程序和桌面 国家、城市、应用名称、剪贴板操作、浏览器、操作系统
网关 身份验证阶段,客户端 IP

使用运算符,创建具有单个值的自定义指标表达式,例如“国家/地区!= XYZ”并查看用户列表。然后创建策略以应用诸如“添加到监视列表”、“通知管理员”或“禁用用户”等操作。 您还可以在指定数据源的自助搜索中使用运算符来筛选用户事件。

在为查询中的维度输入值时,请使用数据源的自助搜索页面上显示的精确值。尺寸值区分大小写。

September 08, 2020

新增功能

用户关联

Analytics 现在将从各种数据源中发现的用户关联起来。此机制将大多数重复用户从发现的用户列表中删除。Analytics 中发现的用户现在会显示唯一用户的列表以及他们的数据源和风险指标。

例如,用户“Joe Smith”可以有多个用户标识符-基于数据源的 JosePhSM、joe.smith@citrix.com 和 joe.smith。Analytics 现在使用唯一的标识符名称来识别此用户。所有其他用户标识符都是相关的,从各种数据源为 Joe Smith 接收的事件都链接到此唯一名称。 有关详细信息,请参阅 发现的用户

修复的问题

在“ 作”列表中,选择操作选项并单击“应用”后,将显示一条错误消息。

[CAS-39914]

August 11, 2020

已修复的问题

  • 您无法将 Microsoft Graph 安全性与 Citrix Analytics 集成。出现此问题的原因是 Microsoft 门户无法重定向到 Citrix Analytics。

[CAS-38021]

July 31, 2020

已修复的问题

  • 自定义风险指示器中的“估计触发器”选项不能预测最近一天的自定义风险指示器实例。

[CAS-38129]

July 09, 2020

新增功能

Virtual Apps and Desktops 站点卡片显示具有受支持和不支持客户端

现在,在站点卡片上,您可以查看在其终端上使用受支持和不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 客户端版本的用户数量。

  • 单击受支持客户端的用户计数可查看显示所有发现的 用户 的“用户”页。

  • 单击不受支持的客户端的用户数以下载 CSV 文件。该文件列出了用户及其不受支持的客户端版本。Analytics 不会从不受支持的客户端接收用户事件,因此不会将用户添加为已发现的用户。使用 CSV 文件,您可以识别必须将其客户端升级到受支持版本的用户,以便 Analytics 能够对其行为提供安全洞察。

要查看支持的客户端列表,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

客户端状态

从异常位置风险指示器访问

  • Citrix Gateway 风险指示器 首次从新位置进行访问将重命名为从异常位置访问。

  • 在用户风险时间表上,事件详细信息部分中介绍了地理地图和饼图。

    • 登录位置:此部分显示用户通常和不寻常位置的地理地图视图。地理地图右上角的颜色代码表示通常和不寻常的位置。您可以缩放地理地图以更仔细地查看该位置。

      从不寻常的位置进入

    • 通常的位置-过去 30 天:此部分显示一个饼图,其中显示了用户登录的前 6 个常用位置。每个位置都使用不同的颜色代码进行标记。您可以按位置对部分进行排序,以获取所选位置的详细视图。

      从不寻常的位置进入

有关详细信息,请参阅 从异常位置访问

用户控制板数据

无论在“用户”控制板和“用户”页面上选择的时间段如何,都会显示过去 13 个月内监视列表中存在风险的用户、发现的 用户、特权用 户和 用户 的数量。当您选择时间段时,风险指示器的出现次数会发生变化。

有关详细信息,请参阅 用户控制板

用户控制板数据

重新设计的用户页面

页面已得到增强,以获得更好的用户体验。它根据用户风险评分、数据源和用户类型提供了用户事件的综合摘要。

为了支持更有针对性的搜索,“用户”页面在左侧窗格中包含“筛选器”部分,顶部包含搜索栏。您可以搜索预设时间或自定义时间范围内的用户事件。

发现的用户部分

要查看“用 ”页面:

  • 转到“安全”>“用户”以查看“用 ”控制板并执行以下操作:

    • 单击以下链接之一或卡片。

      “用户”页

    • 在“风险用户”窗格上,单击“查看更多”。

    • 在监视列表中的用户 窗格中,单击 查看更多

    • 在“特权用户”窗格上,单击“查看更多”。

  • 转到 设置 > 数据源 > 安全性。单击任何数据源站点卡片上的用户数。

有关详细信息,请参阅 用户控制板

风险用户窗格的增强

变化 列将替换为 风险指示器 列。“风险指 示器”列显示用户在特定时间段内的总风险指示器出现次数。

有关更多信息,请参阅 风险用户

风险用户窗格

监视列表窗格中的用户增强

变化 列将替换为 风险指示器 列。“风险指 示器”列显示用户在特定时间段内的总风险指示器出现次数。

有关详细信息,请参阅 监视列表中的用户

监视列表窗格

特权用户窗格的增强

  • 变化 列将替换为 风险指示器 列。“风险指 示器”列显示用户在特定时间段内的总风险指示器出现次数。

  • 单击查 看更多 以查看用 页面。 显示管理员和执行特权用户列表的 Users 页面。 在此页面上,您可以添加或删除作为特权用户的用户。

有关详细信息,请参阅 特权用户

特权用户窗格

已弃用的功能

警报

报功能现已弃用,在 Analytics 用户界面上不再可用。

警报

“风险用户和监视列表”页面

不建议使用“风险用户”和“监视列表”页面。它们将替换为 用户 页面,该页面汇总了所有有风险的用户事件和监视列表中的用户。

危险的用户页面

关注列表页

风险用户窗格

高分变化风险指示器更改 选项卡将从风 险用户窗格中移除。

风险用户窗格

风险指示器窗格

  • 将删除 具体值更改选项卡和更改列。

    风险指示器窗格

  • 风险指示器详细信息 页面已弃用。以前,当在风险指示器窗格或风险指示器 概述页面上选择 风险指 示器时,会显示此页面。

    风险指标详情页面

趋势视图

在“用户”控制板上,用户计数的趋势视图将从“高风险用户”、“中风险用户**”、“低风险用”和“监视列表中的用户**”卡中删除。

趋势视图

“用户组”页面

不建议使 用“设置”选项下的“用户组”页面。您不能再添加或删除作为特权组的用户组。但是,您可以添加或删除单个用户作为特权用户。有关详细信息,请参阅 特权用户

“用户组”页

June 26, 2020

已弃用的功能

不建议使用异常应用程序访问时间(虚拟 /SaaS)风险指示器

Citrix Virtual Apps and Desktops 风险指示器 - 异常应用程序访问时间(虚拟)应用程序访问异常时间 (SaaS) 已被弃用。您只能查看与这些指标相关的历史数据。

以下更改适用于此弃用的一部分:

  • 分析不再生成这些风险指标。
  • Analytics 不再以这些风险指标为条件生成政策。
  • 将这些风险指示器作为条件的默认策略不再生效。

有关更多信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

June 02, 2020

已修复的问题

  • 在用户风险时间轴上,Virtual Apps and Desktops 操作(基于策略或手动应用)的状态显示为“失败”,即使这些操作已成功应用于用户帐户。例如, 启动会话录制 操作已成功应用于用户帐户,但结果显示为“失败”。[CAS-32773]

    操作失败状态

May 11, 2020

已修复的问题

  • 对于某些用户,不会触发基于策略的操作,也无法应用策略实施模式。当客户 ID 不是小写时,会出现此问题。

    [CAS-34209]、[CAS-34141]

  • 无法为某些用户创建自定义风险指示器。当客户 ID 不是小写时,会出现此问题。

    [CAS-34139]

April 29, 2020

已修复的问题

  • 尽管 Analytics 会显示已成功应用操作的消息,但在 Citrix Virtual Apps and Desktops 上应用的操作风险指示器无法生效。Citrix Virtual Apps and Desktops 7 1912 版本中会发现此问题。

    [CAS-31544]

April 02, 2020

新增功能

未添加 StoreFront 时禁用数据处理

在“设置”>“数据源”>“安全”>“Virtual Apps and Desktops”数据源站点卡片 上,如果您尚未加入 StoreFront,则不会启用“打开数据处理”按钮。您会在站点卡片上看到 StoreFront 未连接 警告消息。如果您有希望 Analytics 从中接收数据的活动本地站点,则必须验证是否已将 StoreFront 加载到 Citrix Analytics。它可以确保您的用户帐户受到保护。

Virtual Apps and Desktops 站点卡片上,选择垂直省略号 (⋮),然后单击连接 StoreFront 部署。在显示的屏幕上,按照说明操作并完成 StoreFront 配置。

有关详细信息,请参阅使用 StoreFront 上载 Citrix Virtual Apps and Desktops 本地站点

StoreFront 警告

已修复的问题

  • 对于 Citrix Content Collaboration 用户,基于策略的操作在以下情况下无法生效:

    • 定义自定义风险指示器条件时

    • 直到为用户生成风险指示器

    [CAS-29226]

March 04, 2020

已修复的问题

  • 当网关用户首次加入 Analytics 时,他们会看到错误 Citrix ADC 无响应或凭据不正确。重试后,他们会看到错误的 具有此 IP 地址的设备已存在

[CAS-31180]

February 20, 2020

新增功能

Citrix Analytics for Security 产品

Citrix Analytics for Security 现在可用于个人订阅。 您可以订阅 Citrix Analytics for Security,并获取特定于此产品的见解。有关详细信息,请参阅入门

风险类别控制板

Citrix Analytics 引入了基于对组织安全方面具有类似影响的风险的风险指标的分类。此控制板提供了需要立即关注的风险敞口和关键风险的全面视图。对于默认风险指标,Analytics 会根据风险敞口自动分配风险类别。对于自定义风险指标,您必须根据风险敞口选择适当的风险类别。

分析支持以下风险类别:

  • 数据泄露
  • 内幕威胁
  • 受影响的用户
  • 受损的端点

有关更多信息,请参阅 风险类别

风险类别控制板

自定义指标页面上的“风险类别”列

风险类别 列在自定义风险指示器页面上引入。根据风险敞口的类型,您可以为自定义风险指示器选择风险类别。如果您通过选择风险类别进行修改,以前创建的自定义风险指标将显示在“风险类别”控制面板上

有关更多信息,请参阅 自定义风险指标

风险类别下拉列表

风险指标名称的更改

以下风险指示器名称已更改:

数据源 旧的名字 新名字
Citrix Virtual Apps and Desktops 和 Citrix DaaS 异常应用程序使用情况(虚拟 不寻常的应用程序访问时间(虚拟)
Citrix Virtual Apps and Desktops 和 Citrix DaaS 异常应用程序使用情况 (SaaS) 不寻常的应用程序访问时间 (SaaS)
Citrix Content Collaboration 登录失败过多 验证失败过多
Citrix Content Collaboration 不寻常的登录访问 首次从新位置访问
Citrix 访问控制 不寻常的下载量 数据下载过多
Citrix Gateway 登录失败 验证失败过多
Citrix Gateway 授权失败 授权失败过多
Citrix Gateway 不寻常的登录访问 首次从新位置访问

有关更多信息,请参阅 风险指标

已修复的问题

  • 对于某些用户,即使数据源已成功载入并启用了 StoreFront,Citrix Analytics 也无法从 Virtual Apps and Desktops 接收任何数据。[CAS-24134]

  • Citrix Analytics 无法接收来自 Citrix Content Collaboration 的下载事件。因此,不会触发以下风险指示器:

    • 匿名敏感分享下载

    • 分享链接下载量过多

    • 过度访问敏感文件

    • 文件下载过多

    [CAS-29207]

  • 对于新加入的用户,在 Citrix Gateway 风险指示器上应用的手动操作和基于策略的操作不会生效。[CAS-29029]

  • 某些用户无法在“数据源”页面上查看站点卡片。通过重新填充缓存可以解决此问题。[CAS-28781]

January 09, 2020

新增功能

持续的风险评估

Citrix Workspace 用户面临的一些挑战是,远程访问会通过数据泄露、盗窃、故意破坏和服务中断等网络犯罪事件使敏感数据面临安全风险。组织内的员工也可能为这种损害做出贡献。

解决这些风险的一些方法是实施多因素身份验证、强制短登录超时等。尽管这些风险评估方法可确保更高级别的安全性,但在初始验证后它们并不能提供完全的安全性。

为了增强安全性并确保更好的用户体验,Citrix Analytics 推出了持续风险评估解决方案。此解决方案可帮助您持续监控用户配置文件,并在检测到风险事件时采取各种措施。

有关详细信息,请参阅 持续风险评估

持续的风险评估

策略配置

Citrix Analytics 可帮助您更有效地管理策略配置。借助以下功能,您可以保护用户帐户免受恶意攻击:

  • 默认策略:Citrix Analytics 支持以下默认策略:

    • 成功利用凭证
    • 潜在的数据泄露
    • 来自可疑 IP 的异常访问
    • 来自不寻常位置的不寻常的应用
    • 低风险用户-首次从新 IP 访问
    • 首次从设备访问

    您可以根据自己的要求修改默认策略。

    默认策略

  • 多个条件:一个策略最多可以包含四个条件。可以使用风险评分和/或风险指标的组合来设置条件。

    添加和删除条件

  • 默认和自定义风险指示器: 创建策略 页面上的条件菜单现在基于默认和自定义风险指示器进行隔离。创建策略时,您可以在默认和自定义风险指示器选项卡之间切换,并设置风险指示器条件。

    添加和删除条件

  • 请求最终用户响应:Citrix Analytics 引入了 请求最终用户响应 操作。使用此操作,您可以向用户发送有关检测到的风险事件的电子邮件通知。一旦用户对事件做出回应,您就可以确定对其帐户采取的下一步行动。您还可以设置用户响应时间。如果未收到任何响应,Citrix Analytics 会将“无响应”视为状态。

    请求最终用户响应

  • 用中断性操作:当应用中断性操作(如 注销用户或锁定用户)时,您可以通知用户。系统会向用户发送通知,其中包含事件和应用操作的详细信息。此操作会暂时中断用户帐户的服务,以防止进一步滥用。要继续访问该帐户,用户必须联系管理员寻求帮助。

    应用破坏性行动

  • 强制和监控模式:您可以为策略设置实施模式或监控模式。

    策略模式

有关策略增强功能的更多信息,请参阅 策略和操作

锁定用户和解锁用户操作

Citrix Analytics 引入了以下网关操作:

  • 锁定用户
  • 解锁用户

您可以手动或在配置策略时应用这些操作。

有关详细信息,请参阅 什么是操作

然后执行以下操作

访问摘要控制板

Citrix Analytics 在 用户 控制板上引入了 访问摘要 面板。它汇总了用户尝试访问组织内资源的总次数。

有关更多信息,请参阅 访问摘要

访问摘要控制板

策略和行动控制板

Citrix Analytics 在 用户 控制板上引入了“策略和操作”面板。它显示应用于用户配置文件的前五个策略和操作。您可以根据所选时间段内的顶级策略和顶级操作对数据进行排序。

有关更多信息,请参阅 策略和操作

策略和行动控制板

自助搜索策略

使用自助搜索可查看符合定义策略的用户事件。您还可以查看 Analytics 针对这些异常事件应用的操作。使用 facets 和搜索框搜索所需的事件。

要查看事件,请在搜索框中,从列表中选择 策略 ,选择时间段,然后单击 搜索

有关详细信息,请参阅 自助搜索策略

已弃用的功能

删除了基于策略的风险评分变更条

配置策略时,您不能再使用基于策略的 风险评分更改 条件。Citrix Analytics 不支持这种情况。

有关更多信息,请参阅 策略和操作

删除了多个基于策略的操

配置策略时,不能再应用多个操作。Citrix Analytics 仅支持对每个策略执行一项操作。

有关更多信息,请参阅 策略和操作

已修复的问题

  • 委派的只读管理员在访问“用户 访问”和“应用 程序访 问”控制板时遇到错[CAS-16297]

December 12, 2019

新增功能

Splunk 版本支持

Citrix Analytics 支持以下版本的 Splunk:

  • Splunk 8.0 64 位
  • Splunk 7.3 64 位

要获得 Splunk 集成的最大安全优势,请从 下载 页面升级到最新版本的 Splunk 附加应用程序。

有关受支持的 Splunk 版本的更多信息,请参阅 支持的版本

December 04, 2019

新增功能

Citrix Gateway 的自定义风险指示器

使用自定义风险指示器,您现在可以定义触发 Citrix Gateway 事件的风险指示器的条件和频率。当用户事件满足条件时,Analytics 会触发风险指示器。有关如何创建自定义风险指示器的更多信息,请参阅 自定义风险指标

网关自定义指标

November 22, 2019

新增功能

首次从新设备访问 - Citrix Virtual Apps and Desktops 风险指示器

Citrix Analytics 会根据来自新设备的访问权限检测访问威胁,并触发相应的风险指示器。

当用户在 90 天后 从设备登录时,将触发首次从新设备访 问风险指示器。触发此事件的原因是 Citrix Receiver 在过去 90 天内没有来自此新设备或陌生设备的登录记录。有关更多信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

首次从新设备访问

首次从新 IP 访问-Citrix Gateway 风险指示器

Citrix Analytics 会根据来自新 IP 地址的访问来检测访问威胁,并触发相应的风险指示器。

当用户在 90 天后 从 IP 地址登录时,将触发首次从新 IP 风险指示器访 问。触发此事件的原因是 Citrix Receiver 在过去 90 天内没有来自新 IP 地址或陌生 IP 地址的登录记录。

有关详细信息,请参阅 Citrix Gateway 风险指示器。

首次从新 IP 访问

从可疑 IP 登录-Citrix Gateway 风险指示器

Citrix Analytics 会根据可疑 IP 登录事件检测用户访问威胁,并触发 从可疑 IP 登录 风险指示器。

当用户尝试从可疑 IP 地址访问网络时,会触发此风险指示器。Analytics 根据以下任何一种情况将 IP 地址视为可疑地址:

  • 在外部 IP 威胁智能源上列出

  • 有来自异常位置的多个用户登录记录

  • 登录尝试失败过多,可能表明存在暴力攻击

有关详细信息,请参阅 Citrix Gateway 风险指示器。

从可疑 IP 登录

自助搜索 Citrix Gateway 事件

使用自助搜索功能深入了解从 Citrix Gateway 数据源接收的用户事件。Citrix Analytics 接收 Citrix Gateway 用户的身份验证阶段、授权类型、VPN 会话代码、VPN 会话状态等事件。使用 facets 和搜索框搜索所需的事件并浏览基础数据。

要查看事件,请在搜索框中,从列表中选择 网关 ,选择时间段,然后单击 搜索

有关详细信息,请参阅 网关的自助搜索

自助搜索 Citrix Secure Browser 事件

使用自助搜索功能深入了解从 Citrix Secure Browser 服务收到的浏览事件。Citrix Analytics 为每个用户连接接收会话连接、会话启动、已发布的应用程序、已删除的应用程序等事件使用搜索框搜索所需的事件并浏览基础数据。

要查看事件,请在搜索框中,从列表中选择“安全浏览器”,选择时间段,然后单击“搜索”。

有关详细信息,请参阅 安全浏览器的自助搜索

从监视列表中删除操作

您可以通过应用手动方法或应用基于策略的方法将用户从监视列表中删除。有关更多信息,请参阅 监视列表

改进了配置 StoreFront 部署时的入职信息

Citrix Analytics 现在提供以下消息来帮助您配置 StoreFront 部署:

  • 下载配置文件后,您会看到一条消息,指示下载的日期和时间以及用户名。刷新此页面时,“下载文件”按钮将 再次变为“下载文件”。

    StoreFront 下载文件

  • 如果您的 StoreFront 配置不完整,您会看到一条警告消息,指示您按照配置步骤操作并将 StoreFront 部署与 Analytics 连接起来。

    StoreFront 的配置不完整

有关如何配置 StoreFront 部署的详细信息,请参阅使用 StoreFront 在本地部署 Citrix Virtual Apps and Desktops 站点

已弃用的功能

风险指示器-从新设备访问删除

Citrix Analytics 不再触发“从新设备访问”风险指示器。但是,在用户控制板、用户时间轴和策略控制板上,您可以查看与此风险指示器相关的历史数据。

对于之前基于 从新设备访问创建的策略,您必须修改策略或使用新的风险指示器创建策略 首次从新设备进行访问

已修复的问题

  • 用于身份验证的自助搜索无法显示事件。[CAS-24959]

November 08, 2019

已修复的问题

  • 对于 Citrix Content Collaboration 风险指示器,用户无法在风险时间表上应用操作。[CAS-24844]

  • 适用于 Chrome 的 Citrix Workspace 应用程序 1911 版之前无法将事件详细信息发送到 Citrix Analytics。[CAS-24938]

October 21, 2019

新增功能

已修改分析代理的名称

现在,代理名称在用户界面上被称为 Analytics 策略代理 ,以表示其角色。加入本地 Citrix Virtual Apps and Desktops 数据源时,Citrix Analytics 会明确通知,只需要策略代理来配置站点的策略和操作。此代理在从数据源传输数据方面没有任何角色。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

保单代理

支持自定义报告的时间维度

现在,您可以通过选择 x 轴的时间维度,根据 时间 对事件进行分组。该报告根据所选时段的时间间隔显示接收的事件总数。有关如何创建报告的更多信息,请参阅 自定义报告

自定义报告时间维度

审核日志的增强

审核日志 页面的用户体验得到了增强。

  • 您可以查看上次更新 审核日志 页面的日期和时间详细信息,并刷新页面以查看最新的审计日志。

  • 您可以清除审计日志中应用的所有筛选器。

有关审计数据的更多信息,请参阅 审核日志

刷新审核日志

已修复的问题

  • 即使 Microsoft Graph 安全已成功加入,Citrix Analytics 仍无法生成 匿名 IP 地址 风险指示器。[CAS-21329]

  • 适用于 1910 版之前的 HTML5 的 Citrix Workspace 应用程序无法将事件详细信息发送到 Citrix Analytics。[CAS-24938]

September 23, 2019

已修复的问题

  • 在数据源站点卡片上,“最新事件”字段显示的日期和时间信息不正确。[CAS-24087]

August 30, 2019

新增功能

控制板之间默认时间段的更改

以下控制板上的默认时间段从“过去 1 小 时”更改为“最近 1 个月”:

  • 用户

  • 风险时间表

  • 用户访问权限

  • 应用程序访问

  • 分享链接

  • 警报历史

现在,控制板默认显示过去一个月的事件。使用这些控制板时,您将获得更具吸引力的体验。例如,当您打开“应用程序访问”控制板时,控制板会默认显示最近一个月的应用程序访问事件。

默认时间段选择

已修复的问题

  • 对于 Content Collaboration 风险指示器,无法成功应 用禁用基于用户 策略的操作。[CAS-17304]

  • Citrix Analytics 无法处理来自 Citrix Gateway 13.0 的事件。出现此问题的原因是 Citrix Gateway 13.0 无法在发送到 Citrix Analytics 的登录事件中提供用户名。[CAS-21339]

August 20, 2019

新增功能

自助式搜索增强

  • 自助服务页面的用户体验得到了增强。现在,您可以在用户风险时间表和自助搜索页面之间来回无缝切换。

  • 现在,您可以按时间对事件进行排序。默认情况下,最新的事件首先出现在事件表中。单击“时间”列上的排序图标可以根据最新时间或最早时间对事件进行排序。

有关如何使用自助搜索的详细信息,请参阅 自助搜索

自定义报告增强

  • 为访问控制、Content Collaboration 以及应用程序和桌面数据源添加了新维度。您可以选择这些维度来创建报告。为数据源添加了以下维度:

    • 访问控制:用户代理、用户名

    • Content Collaboration:用户电子邮件、用户名、创建者、帐户 ID、OAuth 客户端 ID、事件 ID、文件夹 ID、文件夹名称、资源 ID、表单 ID、客户端 IP

    • 应用程序和桌面:用户名、IP 地址、设备 ID、越狱、会话启动类型、会话服务器名称、会话用户名、下载文件名、下载文件路径、打印打印机名称、打印作业详细信息文件名、SaaS 应用程序启动 URL、剪贴板操作、剪贴板详细信息结果

  • 自定义报告用户界面增强了对分页的支持和筛选器的 全部清除 选项。

有关如何使用这些维度创建自定义报表的更多信息,请参阅 自定义报表

风险指标控制板

风险指示器 控制板在 用户 页面上介绍。它总结了用户的前五个默认和自定义风险指标。查看更多链接将您重定向到 风险指标概述 页面。此页面提供有关在选定时间段内生成的风险指标的详细信息。

有关详细信息,请参阅 用户控制板

风险指标控制板

风险用户控制板增强

Citrix Analytics 在 风险户控制板上引入了风险指示器和风险指示器更改选项卡。您可以根据这些选项卡查看风险最高的五个用户。控制板还引入了“风险指标”列。它显示了用户的风险指示器的数量。

风险用户 页面介绍了“发生 数”和“发 生次数更改” 这些列汇总了自定义和默认风险指示器的总发生次数和发生次数的变化。

有关详细信息,请参阅 用户控制板

有风险的用户

共享链接风险指示器-下载量过多

Citrix Analytics 会根据共享链接上的过多下载来检测访问威胁,并触发下 载过多 风险指示器。通过根据以前的行为识别下载量过多的共享链接,您可以监控共享链接是否存在潜在的攻击。此风险指示器可帮助您识别过多的文件下载事件。

有关更多信息,请参阅 下载量过多。

自助搜索身份验证数据

使用自助搜索功能深入了解身份验证事件。Citrix Analytics 从 Citrix Cloud 的身份和访问管理服务接收身份验证事件,例如用户登录、用户注销和客户端更新。搜索提供有关身份验证事件的详细报告,帮助您识别任何身份验证问题并进行故障排除。您还可以定义搜索查询以检索符合定义条件的事件。

要查看事件,请从列表中选择 身份验证 ,选择时间段,然后单击 搜索

有关详细信息,请参阅 自助搜索身份验证

July 11, 2019

新增功能

自定义风险指示器

Citrix Analytics 生成的默认风险指示器基于机器学习算法。Citrix Analytics 现在允许您创建自定义风险指示器。根据用户事件,您可以定义条件并创建自定义风险指示器。

满足定义的条件后,Citrix Analytics 会生成类似于默认风险指标的自定义风险指标,并将其显示在用户的风险时间表中。自定义风险指示器在用户的风险时间线上标注。

有关更多信息,请参阅 自定义风险指标

风险时间表上的特权状态

每当用户的 Admin 或 Executive 权限状态发生更改时,用户风险时间表都会显示以下事件:

  • 已添加到执行组

  • 已从执行组中删除

  • 权限提升为管理员

  • 管理员权限已移

当为用户触发风险指示器时,您可以将其与指定的权限状态更改事件关联起来。如有必要,您可以对用户配置文件应用适当的操作。

有关详细信息,请参阅 用户风险时间表

过期共享链接操作

Citrix Analytics 使您能够对共享链接风险指示器应用操作。目前,支持的操作是 Expire 共享链接

有关详细信息,请参阅 Citrix 共享链接风险指示器。

自助式搜索增强

  • *在搜索查询中支持通配符 **:使用搜索查询中的星号 (*) 字符匹配任何字符零次或多次。例如,搜索查询用户名 =“John*”显示以 John 开头的所有用户名的事件。

  • 为面添加了“全部清除”选项:单击“全部清除”以一次移除所有选定面。

  • 查看事件列表中的隐藏列数据:从事件表中移除列后,可以在用户事件列表中查看对应的数据。展开用户的事件行并查看数据。

有关详细信息,请参阅 自助搜索

站点卡上的数据错误状态

当 Citrix Analytics 在过去一小时内 未从数据源接收 事件时,站点卡片将以红色显示“未收到数据”标签。它还显示收到的事件数量,并链接到相应的自助搜索页面。此功能可帮助您在自助搜索页面上查看相应的事件,并检查是否存在任何数据传输问题。

注意

目前,自助搜索仅适用于 Access、Content Collaboration 以及应用程序和桌面数据源。

有关详细信息,请参阅 在 Citrix 数据源上启用分析

已修复的问题

  • 对于访问控制数据源,站点卡片上的事件数与自助搜索结果不匹配。[CAS-18286]

June 19, 2019

已修复的问题

  • 每次发现 Active Directory 数据源时,“审核日志”页面都会显示数据传输的打开或关闭状态。[CAS-17575]

  • 用户 控制板上的时间段菜单无法准确加载。它显示一条超时错误消息。[CAS-19467]

  • 从 Splunk 连接到租户时,用户会在 Citrix Analytics 上收到错误消息。有时,新数据源的加入会失败。[CAS-19429]

June 17, 2019

新增功能

StoreFront 配置

如果您的组织使用本地 StoreFront,则现在可以将 StoreFront 配置为连接到 Citrix Analytics。使用从 Citrix Analytics 导入的配置文件执行配置。配置成功后,Citrix Workspace 应用程序会将用户事件发送到 Citrix Analytics,以生成有关用户行为的可操作见解。这些见解可帮助您检测任何异常的用户行为,并主动处理组织中的安全威胁。有关详细信息,请参阅使用 StoreFront 登录 Citrix Virtual Apps and Desktops 本地站点

May 30, 2019

新增功能

登录失败过多

Citrix Analytics 会根据过多的登录事件检测访问威胁,并触发登录失败过多风险指示器。当用户遇到多次访问 Content Collaboration 失败的登录尝试时触发此风险指示器。通过根据以前的行为识别登录失败过多的用户,管理员可以监控用户帐户的暴力攻击。

注意

过多的登录失败 现在被重命名为 身份验证失败过多

已修复的问题

  • 对于 Citrix Workspace 应用程序传输的某些用户事件,数据源被错误地标识为 Endpoint Management,而不是 Citrix Virtual Apps and Desktops。

    [CAS-17323]

  • 过去 1 个月 的时间段内, 用户 控制板需要很长时间才能加载。当用户数量很多时,会出现此问题。在某些情况下,你甚至可能会遇到 601 个错误。

    [CAS-16300]

  • 尽管有些用户在 Citrix Cloud 上订阅了 Citrix Content Collaboration 服务,但不会将 Citrix 内容协作作为数据源进行发现。

    [CAS-16299]

May 09, 2019

新增功能

创建自定义报告

现在,您可以根据自己的操作要求创建自定义报告。Citrix Analytics 根据所选数据源提供维度和指标列表。选择所需的参数和可视化类型,例如条形图、事件图、折线图或表格来创建报表。创建报告可帮助您以图形方式组织和分析数据。

要创建自定义报告,请从“安全”选项卡中单击“ 告”>“创建报告”。要查看以前创建的报告,请在“ 全”选项卡中单击“报告”。有关更多信息,请参阅 自定义报告

特权用户监控

Citrix Analytics 使您能够密切监视组织中特权用户的行为异常情况。由于特权用户非常容易受到安全威胁的攻击,因此区分他们的日常事件和恶意事件变得具有挑战性。因此,长期以来,特权用户的恶意事件一直未被发现。此功能使您能够主动监视此类事件,并对相应的用户帐户采取适当的操作。特权用户在“用户”控制板上 一个图标表示。

Citrix Analytics 支持对以下类型的特权用户进行监控:

  • 管理员-由相应 Citrix 服务分 配管理员权限的用户。目前,Citrix Analytics 支持对 Content Collaboration 服务中具有管理员权限的用户进行特权用户监控。

  • 管理人员 -在 Citrix Analytics 上,您可以将广告组标记为管理人员组。将 AD 组标记为执行组会使该组中的所有用户成为特权用户。如果不需要进一步支持 AD 组中用户的行为异常,则可以将该组作为执行组删除。

有关详细信息,请参阅 特权用户

每周电子邮件摘

Citrix Analytics 每周向管理员发送一封电子邮件,总结其组织 IT 环境中的安全风险暴露。电子邮件通知每周二发送给管理员,并突出显示上周发生的安全事件。此电子邮件可确保管理员在不登录 Citrix Analytics 的情况下获悉安全风险暴露。有关详细信息,请参阅 每周电子邮件摘要

April 26, 2019

新增功能

委派管理员

Citrix Analytics 现在支持委派管理员角色。通过此功能,您可以邀请其他管理员加入您的 Citrix Cloud 帐户,以便为您的组织管理 Citrix Analytics。如果您是具有完全访问权限的 Citrix Analytics 管理员,则可以将其他管理员添加到 Citrix Cloud 帐户。这些额外的管理员称为委派管理员。您当前可以向委派管理员分配只读访问权限。有关详细信息,请参阅 委派管理员

已修复的问题

很少有使用数据流的数据源的风险指示器不会生成警报。如果触发了以下任一风险指示器,则不会收到任何警报通知,也不会自动应用基于策略的操作:

  • Citrix Endpoint Management 风险指示 器-未托管的设备、已越狱或获得 root 权限的设备以及具有黑名单应用程序的设备。

  • Citrix Virtual Apps and Desktops 风险指示器 - 从操作系统 (OS) 不受支持的设备进行访问。

  • Citrix Content Collaboration 风险指示器 -对敏感文件的过度访问。

[CAS-14590]

February 19, 2019

新增功能

Splunk 集成

Citrix Analytics 与 Splunk 集成,以增强您的安全事件监视和故障排除体验。此集成利用 Citrix Analytics for Security 的风险分析功能和智能(如风险指标、风险评分和用户配置文件),增强了现有的数据源。Citrix Analytics 将风险分析信息导出到频道。Splunk 从这个频道中提取了同样的内容。

Splunk 集成包括在 Citrix Analytics 上进行配置、安装 适用于 Splunk 应用程序的 Citrix Analytics 加载项 以及应用程序的配置。确保为至少一个数据源启用数据处理。它可以帮助 Citrix Analytics 开始 Splunk 集成过程。

有关更多信息,请参阅 Splunk 集成

动态会话录制

Citrix Analytics 引入了在用户当前 Virtual Apps and Desktops 会话上动态触发会话录制的功能。它有助于捕获风险分析所需的证据,并采取适当的事件响应措施,例如断开会话连接和阻止用户。

有关更多信息,请参阅 策略和操作

共享链接控制板和风险指示器

Citrix Analytics 基于从 Citrix Content Collaboration 收集的数据引入了共享链接的风险可见性。它可以通过共享链接触发的风险指示器帮助您了解共享链接的风险敞口。

有关详细信息,请参阅 共享链接控制板

“共享链接”控制板

目前,针对共享链接触发匿名敏感共享下载风险指示器。当 Content Collaboration 检测到此危险行为时,Citrix Analytics 会收到事件。您将在“警报”面板中收到通知,并且匿名敏感共享下载风险指示器将添加到共享链接的风险时间表中。

有关详细信息,请参阅 共享链接风险时间表Citrix Share Link 风险指示器。

风险时间表

Microsoft Active Directory 集成

现在,您可以将 Microsoft Active Directory 与 Citrix Analytics 集成。这种集成通过职称、组织、办公地点、电子邮件和联系方式等其他信息增强了风险用户的环境。您可以在 Citrix Analytics 的用户配置文件页面上更好地了解用户。

有关详细信息,请参阅 将分析与 Microsoft Active Directory集成。

事件目录用户

January 04, 2019

新增功能

为现有风险指标添加 SOURCE 列

事件详细信息 部分中引入了以下风险指标的 源列:

  • 文件上载过多

  • 文件下载过多

  • 过多的文件共享

  • 删除过多的文件或文件夹

有关更多信息,请参阅 Citrix Content Collaboration 风险指示器。

高级用户资料

户配置文件上的“用户信息”视图已得到增强。 趋势视图 链接已在应用 程序设备数据使用情况 部分的右上角引入。“地 图视图”链接已在“位置”部分的右上角引入。这些链接提供了有关用户在特定时间段内历史行为的图形表示。您可以从 用户 的风险时间表或从“数据源”页面导航到“用户信息”。

注意

身份验证 数据当前在用户信息配置文件中不可用。

有关更多信息,请参阅 用户风险时间表和配置文件

高级用户资料

Microsoft Graph 安全风险指标

已加入的 Microsoft Graph Security 可以从以下安全提供商之一接收风险指示器详细信息,然后将其转发给 Citrix Analytics:

  • Azure AD 身份保护

  • Microsoft Defender for Endpoint

有关详细信息,请参阅 Microsoft Graph 安全风险指示器

进入自助搜索页面的方法

现在,您可以使用以下选项访问自助搜索页面:

  • 顶栏:单击顶部栏上的 搜索 可直接访问搜索页面。

    顶栏搜索

  • 用户资料页面上的风险时间表:单击 事件搜 索可访问搜索页面并查看与特定用户的风险指示器和数据源对应的事件。有关详细信息,请参阅 自助搜索

    风险时间表

自助搜索 Content Collaboration

使用自助搜索来深入了解与 Content Collaboration 数据源关联的事件。要查看事件,请从列表中选择 Content Collaboration,选择时间段,然后单击搜索。 有关详细信息,请参阅针对 Content Collaboration 的自助搜索。

自助搜索应用程序和桌面

使用自助式搜索深入了解与应用程序和桌面数据源关联的事件。要查看事件,请从列表中选择 应用程序和桌面 ,选择时间段,然后单击 搜索。有关详细信息,请参阅应用程序和桌面的自助式搜索

将自助搜索事件导出到 CSV 文件

现在,您可以将自助搜索事件导出为 CSV 文件,然后下载该文件以备将来使用。有关详细信息,请参阅 自助搜索

改进了 Citrix Virtual Apps and Desktops 的入门能力

Citrix Virtual Apps 和桌面数据源的入门流程现已改进,以提供更好的用户体验。现场卡和登机步骤已被修改。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

November 29, 2018

新增功能

Microsoft Security Graph 数据源

Microsoft Graph Security 是一个外部数据源,可聚合来自多个安全提供商的数据。它还提供对用户清单数据的访问。

Citrix Analytics 目前支持与此数据源关联的 Azure AD 身份保护Microsoft Defender for Endpoint

要加载此数据源,您必须从 Microsoft 身份平台获取权限。有关详细信息,请参阅 Microsoft Graph 安全性

味精入职

在数据源的站点卡片上查看事件详细信息和发现的用户

数据源的站点卡片现在显示事件详细信息和用户数量。例如,您可以在站点卡片上查看事件详细信息和访问控制的用户。有关详细信息,请参阅对 数据源启用分析

访问控制镜像

November 16, 2018

新增功能

自助搜索访问数据

您可以使用自助搜索来深入了解企业中用户的访问详细信息。Citrix Analytics 从 Citrix 访问控制服务中收集用户的访问详细信息。使用 Facets 和搜索查询缩小搜索结果的范围。

要使用自助搜索页面,请在“安全性”选项卡中单击“事件搜索”。

有关详细信息,请参阅 自助搜索访问权限

搜索图片

风险指示器反馈

使用 Citrix Analytics 上的风险指示器反馈功能,您可以提供有关风险指示器的反馈。您的反馈有助于确认所报告的安全事件是否准确。

目前,Content Collaboration 数据源触发的 异常登录访问 风险指示器支持此功能。如果触发的此风险指示器不正确,您可以将其报告为误报并提供反馈。您还可以编辑之前提交的反馈。Citrix Analytics 可捕获您的反馈并验证预测信息,以优化异常行为检测。

假阳性图片

已修复的问题

  • 如果使用 Internet Explorer 11.0 访问 Citrix Analytics,则无法编辑和保存策略。
新增功能