新增功能

Citrix 的目标是在 Citrix Analytics 客户可用时向其提供新功能和产品更新。新版本提供了更多价值,因此没有理由延迟更新。

对您(即客户)来说,此过程是透明的。初始更新仅应用于 Citrix 内部站点,然后逐步应用于客户环境。以波形式递送更新有助于确保产品质量并最大限度地提高可用性。

June 02, 2020

已修复的问题

  • 在用户风险时间线上,Virtual Apps and Desktops 操作(基于策略或手动应用)的状态显示为“失败”,即使操作已成功应用于用户帐户。例如,在用户帐户上成功应用“开始会话录制”操作,但结果显示为“失败”。 [CAS-32773]

    CVAD 操作失败状态

May 11, 2020

已修复的问题

  • 对于某些用户,不会触发基于策略的操作,并且无法应用策略实施模式。当客户 ID 不小写时,会出现此问题。

    [CAS-34209], [CAS-34141]

  • 无法为某些用户创建自定义风险指示器。当客户 ID 不小写时,会出现此问题。

    [CAS-34139]

April 29, 2020

已修复的问题

  • 在 Citrix Virtual Apps and Desktops 风险指示器上应用的操作无法生效,尽管 Analytics 会显示一条消息,说明操作已成功应用。在 Citrix Virtual Apps and Desktops 7 1912 版本中观察到此问题。

    [CAS-31544]

April 02, 2020

新增功能

未添加 StoreFront 时禁用数据处理

在“设置”>“数据源”>“安全”>“Virtual Apps and Desktops”数据源站点卡上,如果您尚未加入 StoreFront,则不会启用打开数据处理按钮。您会看到站点卡片上的 StoreFront 未连接 警告消息。如果您有一个活动的本地站点,您希望分析能够从中接收数据,则必须验证您是否已加入 StoreFront 到 Citrix Analytics。它可以确保您的用户帐户受到保护。

Virtual Apps and Desktops 站点卡上,选择垂直省略号 (⋮),然后单击连接 StoreFront 部署。在显示的屏幕上,按照说明进行操作并完成 StoreFront 配置。

有关详细信息,请参阅使用 StoreFront 载入 Virtual Apps and Desktops 站点

StoreFront 警告

已修复的问题

  • 对于 Citrix Content Collaboration 用户,基于策略的操作在以下情况下无法生效:

    • 定义自定义风险指示器条件时。

    • 直到为用户生成风险指示器。

    [CAS-29226]

March 04, 2020

已修复的问题

  • 当网关用户首次登录到 Analytics 时,他们会看到 Citrix ADC 无响应或凭据不正确的错误。重试后,他们看到具有此 IP 地址的错误设备已存在

[CAS-31180]

February 20, 2020

新增功能

Citrix Analytics for Security 产品

Citrix Analytics for Security 现在可供单个订阅使用。 您可以订阅 Citrix Analytics for Security,并获取特定于此产品的见解。有关详细信息,请参阅入门

风险类别控制面板

Citrix Analytics 根据对组织安全方面具有类似影响的风险引入了风险指示器分类。此控制板提供了需要立即注意的风险暴露和关键风险的全面视图。对于默认风险指示器,Analytics 会根据风险风险自动分配风险类别。对于自定义风险指示器,您必须根据风险风险选择适当的风险类别。

分析支持以下风险类别:

  • 数据泄漏
  • 内幕威胁
  • 受到威胁的用户
  • 受到破坏的终端节点

有关详细信息,请参阅风险类别

风险类别控制面板

“自定义指标”页面上的“风险类别”列

风险类别”列在“自定义风险指示器”页面上引入。根据风险风险类型,您可以为自定义风险指示器选择风险类别。如果您通过选择风险类别对之前创建的自定义风险指示器进行修改,则会显示在“风险类别”控制板上。

有关详细信息,请参阅自定义风险指示器

风险类别下拉列表

风险指示器名称的变化

以下风险指示器名称已更改:

| 数据源 | 旧名称 | 新名称 | ——————- | ——————- | ——————- | | Citrix Virtual Apps and Desktops | 不寻常的应用程序使用情况(虚拟) | 应用程序访问的异常时间(虚拟) | | Citrix Virtual Apps and Desktops | 不寻常的应用程序使用 (SaaS) | 应用程序访问 (SaaS) 的异常时间 | | Citrix Content Collaboration | 登录失败过多 | 身份验证失败过多 | | Citrix Content Collaboration | 异常登录访问 | 从新位置首次访问 | | Citrix 访问控制 | 异常的下载量 | 过多的数据下载 | | | Citrix Gateway | 登录失败 | 过多的身份验证失败 | | Citrix 网关 | 授权失败 |授权失败过多 | | Citrix Gateway | 异常登录访问 | 从新位置首次访问 |

有关详细信息,请参阅风险指示器

已修复的问题

  • 对于某些用户,即使数据源已成功加入并启用 StoreFront,Citrix Analytics 无法从 Virtual Apps and Desktops 接收任何数据。 [CAS-24134]

  • Citrix Analytics 无法接收来自 Citrix Content Collaboration 的下载事件。因此,不会触发以下风险指示器:

    • 匿名敏感下载

    • 下载过多

    • 对敏感文件的过度访问

    • 文件下载过多

    [CAS-29207]

  • 对于新加入的用户,Citrix Gateway 风险指示器上应用的手动操作和基于策略的操作不会产生任何影响。 [CAS-29029]

  • 某些用户无法在“数据源”页面上查看站点卡片。此问题已通过重新填充缓存得到解决。 [CAS-28781]

January 09, 2020

新增功能

持续风险评估

Citrix Workspace 用户面临的一些挑战是,远程访问通过网络犯罪活动(如数据泄漏、盗窃、破坏和服务中断)使敏感数据面临安全风险。组织内的雇员也可能造成这种损害。

解决这些风险的一些方法是实施多因素身份验证、强制执行短登录超时等。虽然这些风险评估方法可确保更高级别的安全性,但在初始验证之后,它们并不能提供完全的安全性。

为了增强安全性并确保更好的用户体验,Citrix Analytics 引入了持续风险评估解决方案。此解决方案可帮助您持续监视用户配置文件,并在检测到风险事件时采取各种操作。

有关详细信息,请参阅持续风险评估

持续风险评估

策略配置

Citrix Analytics 可帮助您更高效地管理策略配置。借助以下功能,您可以保护用户帐户免受恶意攻击:

  • 默认策略:Citrix Analytics 支持以下默认策略:

    • 成功利用凭据漏洞
    • 潜在的数据泄漏
    • 来自可疑 IP 的异常访问
    • 从一个不寻常的位置访问不寻常的应用程序
    • 低风险用户-从新 IP 首次访问
    • 首次从设备访问

    您可以根据您的要求修改默认策略。

    默认策略

  • 多个条件:策略最多可包含四个条件。这些条件可以通过风险评分和风险指示器的组合来设置,或者两者都可以设置。

    添加和删除条件

  • 默认和自定义风险指示器:“创建策略”页面上的条件菜单现在根据默认和自定义风险指示器进行隔离。创建策略时,您可以在默认和自定义风险指示器选项卡之间切换,并设置风险指示器条件。

    添加和删除条件

  • 请求用户响应:Citrix Analytics 引入了请求用户响应操作。使用此操作,您可以向用户发送有关检测到的风险活动的电子邮件通知。一旦用户对活动作出响应,您就可以确定要对其帐户执行的下一步操作。您还可以设置用户响应时间。如果未收到任何响应,Citrix Analytics 会将“无响应”视为状态。

    请求用户响应

  • 应用程序中断操作:您可以在应用中断操作(如注销用户锁定用户)时通知用户。将向用户发送一条通知,其中包含活动和应用操作的详细信息。此操作会暂时中断对用户帐户的服务,以防止进一步滥用。要继续访问帐户,用户必须与管理员联系以获得帮助。

    应用中断性操作

  • 强制和监视模式:您可以为策略设置强制模式或监视模式。

    策略模式

有关策略增强的详细信息,请参阅策略和操作

锁定用户和解除锁定用户操作

Citrix Analytics 引入了以下网关操作:

  • 锁定用户
  • 解锁用户

您可以手动或在配置策略时应用这些操作。

有关详细信息,请参阅什么是行动

然后执行以下操作

访问摘要控制板

Citrix Analytics 引 入了“用户”控制板上的“访问摘要”面板。它总结了用户访问组织内资源的尝试次数。

有关详细信息,请参阅访问摘要

访问摘要控制板

策略和行动控制板

Citrix Analytics 介绍了“用户”控制板上的“策略和操作”面板。它显示应用于用户配置文件的前五个策略和操作。您可以根据选定时间段内的顶级策略和顶级操作对数据进行排序。

有关详细信息,请参阅策略和操作

策略和行动控制板

面向策略的自助搜索

使用自助搜索查看满足您定义策略的用户事件。您还可以查看 Analytics 对这些异常事件应用的操作。使用小平面和搜索框搜索所需的事件。

要查看事件,请在搜索框中,从列表中选择策略,选择时间段,然后单击搜索

有关详细信息,请参阅面向策略的自助搜索

策略搜索页面

已弃用的功能

已删除基于策略的风险评分更改条件

配置策略时,您不能再使用基于风险评分更改策略的条件。Citrix Analytics 不支持此条件。

有关详细信息,请参阅策略和操作

删除了多个基于策略的操作

配置策略时,无法再应用多个操作。Citrix Analytics 对每个策略只支持一个操作。

有关详细信息,请参阅策略和操作

已修复的问题

  • 委派的只读管理员在访问 用户 访问和 应用程序访 问控制板时遇到错误。 [CAS-16297]

December 12, 2019

新增功能

Splunk 版本支持

Citrix Analytics 支持以下版本的 Splunk:

  • Splunk 8.0 64 位
  • Splunk 7.3 64 位

要获得 Splunk 集成的最大安全优势,请从 下载 页面升级到最新版本的 Splunk 插件应用程序。

有关支持的 Splunk 版本的详细信息,请参阅支持的版本

Citrix Analytics 配置

December 04, 2019

新增功能

Citrix Gateway 的自定义风险指示器

使用自定义风险指示器,您现在可以定义触发 Citrix Gateway 事件风险指示器的条件和频率。当用户事件满足条件时,Analytics 会触发风险指示器。有关如何创建自定义风险指示器的详细信息,请参阅自定义风险指示器

网关自定义指示器

November 22, 2019

新增功能

首次从新设备访问 — Citrix Virtual Apps and Desktops 风险指示器

Citrix Analytics 基于从新设备的访问来检测访问威胁,并触发相应的风险指示器。

当用户在 90 天后从设备登录时,将触发新设备风险指示器的首次访问。之所以触发此事件,是因为 Citrix Receiver 在过去 90 天内没有来自此新设备或不熟悉设备的登录记录。有关详细信息,请参阅Citrix Virtual Apps and Desktops 风险指示器

从新设备首次访问

首次从新 IP 访问-Citrix Gateway 风险指示器

Citrix Analytics 基于来自新 IP 地址的访问来检测访问威胁,并触发相应的风险指示器。

当用户在 90 天后从 IP 地址登录时,会触发新 IP 风险指示器的首次访问。之所以触发此事件,是因为 Citrix Receiver 在过去 90 天内没有来自此新 IP 地址或不熟悉的 IP 地址的登录记录。

有关详细信息,请参阅Citrix Gateway 风险指示器

从新 IP 首次访问

从可疑 IP 登录-Citrix Gateway 风险指示器

Citrix Analytics 基于可疑 IP 登录活动检测用户访问威胁,并触发 来自可疑 IP 风险指示器的登录

当用户尝试从可疑 IP 地址访问网络时触发此风险指示器。Analytics 根据以下任何情况将 IP 地址视为可疑:

  • 在外部 IP 威胁智能源上列出

  • 具有来自异常位置的多个用户登录记录

  • 登录尝试失败过多,可能表明存在暴力攻击

有关详细信息,请参阅Citrix Gateway 风险指示器

从可疑 IP 登录

Citrix Gateway 事件的自助搜索

使用自助搜索功能可深入了解从 Citrix Gateway 数据源接收的用户事件。Citrix Analytics 接收 Citrix Gateway 关用户的身份验证阶段、授权类型、VPN 会话代码、VPN 会话状态等事件。使用小平面和搜索框搜索所需事件并浏览基础数据。

要查看事件,请在搜索框中,从列表中选择网关,选择时间段,然后单击搜索

有关详细信息,请参阅面向网关的自助搜索

网关搜索页

Citrix Secure Browser 事件的自助搜索

使用自助搜索功能深入了解从 Citrix Secure Browser 服务接收的浏览事件。Citrix Analytics 为每个用户连接接收诸如会话连接、会话启动、已发布的应用程序、已删除的应用程序等事件。使用搜索框搜索所需事件并浏览基础数据。

若要查看事件,请在搜索框中,从列表中选择 Secure Browser,选择时间段,然后单击搜索

有关详细信息,请参阅面向 Secure Browser 的自助搜索

Secure Browser 搜索页面

从监视列表中删除操作

您可以通过应用手动方法或应用基于策略的方法从监视列表中删除用户。有关详细信息,请参阅播放列表

改进了配置 StoreFront 部署时的入门消息

Citrix Analytics 现在提供以下消息来帮助您配置 StoreFront 部署:

  • 下载配置文件后,您可以看到一条消息,指示下载的日期和时间以及用户名。刷新此页时,“下载文件”按钮将更改为“再次下载文件”。

    StoreFront 下载文件

  • 如果 StoreFront 配置不完整,您将看到一条警告消息,指示您按照配置步骤操作并将 StoreFront 部署与 Analytics 连接起来。

    StoreFront 配置不完整警告

有关如何配置 StoreFront 部署的详细信息,请参阅使用 StoreFront 板载您的 Virtual Apps and Desktops 站点

已弃用的功能

风险指示器-从新设备移除访问

Citrix Analytics 不再触发从新设备访问风险指示器。但是,在“用户”控制板、用户时间表和策略控制板上,您可以查看与此风险指示器相关的历史数据。

对于以前基于 从新设备访问创建的策略,您必须修改策略或 使用新风险指示器创建策略。

有关详细信息,请参阅从新设备首次访问风险指示器。

已修复的问题

  • 面向身份验证的自助搜索无法显示事件。 [CAS-24959]

November 08, 2019

已修复的问题

  • 对于 Citrix Content Collaboration 风险指示器,用户无法在风险时间轴上应用操作。 [CAS-24844]

  • 适用于 Chrome 的 Citrix Workspace 应用程序 1911 之前的版本无法向 Citrix Analytics 发送事件详细信息。 [CAS-24938]

October 21, 2019

新增功能

分析代理的修改名称

代理名称在用户界面上被特别提到为 Analytics 策略代理,以指示其角色。在加入本地 Citrix Virtual Apps and Desktops 数据源时,Citrix Analytics 会明确通知策略代理只需要为站点配置策略和操作。此代理在从数据源传输数据方面没有任何角色。有关详细信息,请参阅Citrix Virtual Apps and Desktops 数据源

策略代理人

支持自定义报告的时间维度

现在,您可以通过选择 x 轴的时间维度来根据时间对事件进行分组。该报告根据所选期间的时间间隔显示接收的事件总数。有关如何创建报表的详细信息,请参阅自定义报告

自定义报告时间维

审核日志增强功能

审核日志”页面的用户体验得到增强。

  • 您可以查看上次更新“审核日志”页面的日期和时间详细信息,并刷新页面以查看最新的审核日志。

  • 您可以清除在审核日志上应用的所有筛选器。

有关审核数据的详细信息,请参阅审核日志

刷新审核日志

已修复的问题

  • 即使 Microsoft Graph 安全已成功加入,Citrix Analytics 也无法生成匿名 IP 地址风险指示器。 [CAS-21329]

  • 适用于 HTML5 的 Citrix Workspace 应用程序 1910 之前的版本无法将事件详细信息发送到 Citrix Analytics。 [CAS-24938]

September 23, 2019

已修复的问题

  • 在数据源站点卡上,“最新事件”字段显示不正确的日期和时间信息。 [CAS-24087]

August 30, 2019

新增功能

在控制板中的默认时间段更改

以下控制板上的默认时间段从最近 1 小时更改为最近 1 个月

  • 用户

  • 风险时间表

  • 用户访问权限

  • 应用程序访问

  • 共享链接

  • 警报历史记录

现在,控制板默认显示过去一个月的事件。在使用这些控制板时,您将获得更具吸引力的体验。例如,当您打开“应用程序访问”控制板时,默认情况下,控制板会显示最近一个月的应用程序访问事件。

默认时间段选择

已修复的问题

  • 对于 Content Collaboration 风险指示器,无法成功应用基于禁用用户策略的操作。 [CAS-17304]

  • Citrix Analytics 无法处理来自 Citrix Gateway 13.0 的事件。出现此问题的原因是 Citrix Gateway 13.0 无法提供发送到 Citrix Analytics 的登录事件中的用户名。 [CAS-21339]

August 20, 2019

新增功能

自助搜索功能增强

  • 自助服务页面的用户体验得到了增强。现在,您可以在用户风险时间线和自助搜索页面之间无缝切换。

  • 现在,您可以按时间对事件进行排序。默认情况下,最新事件首先显示在事件表中。单击时间列上的排序图标可根据最新时间或最早时间对事件进行排序。

有关如何使用自助搜索的详细信息,请参阅自助搜索

自定义报告增强功能

  • 为 Access Control、Content Collaboration 以及 Virtual Apps and Desktops 数据源添加了新的维度。您可以选择这些维度来创建报表。为数据源添加了以下维:

    • Access Control:用户代理、用户名

    • Content Collaboration:用户电子邮件、用户名、创建的帐户 ID、OAuth 客户端 ID、事件 ID、文件夹 ID、文件夹名称、资源 ID、表单 ID、客户端 IP

    • Virtual Apps and Desktops:用户名、IP 地址、设备 ID、监狱破坏、会话启动类型、会话服务器名称、会话用户名、下载文件名、下载文件路径、打印打印机名称、打印作业详细信息文件名、SaaS 应用程序启动 URL、剪贴板操作、剪贴板详细信息结果

  • 自定义报表用户界面通过支持分页和筛选器的“全部清除”选项得到增强。

有关如何使用这些维度创建自定义报表的详细信息,请参阅自定义报告

风险指示器控制板

用户”页面上介绍了“风险指示器”控制板。它总结了用户的前五个默认和自定义风险指示器。查看更多链接将您重定向到 风险指示器概述 页面。此页面提供有关在选定时间段内生成的风险指示器的详细信息。

有关详细信息,请参阅“用户”控制板

风险指示器控制板

风险“用户”控制板增强功能

Citrix Analytics 在风险“用户”控制板上引入了风险指示器风险指示器更改选项卡。您可以根据这些选项卡查看前五名有风险的用户。控制板还介绍了 风险指示器 列。它显示了用户的风险指示器数量。

风险用户”页面引入了“发 生次数”和“发生次数更改”列。这些列总结了自定义和默认风险指示器的总发生率以及出现率的变化。

有关详细信息,请参阅“用户”控制板

有风险的用户

共享链接风险指示器-下载过多

Citrix Analytics 会根据共享链接上的过多下载来检测访问威胁,并触发过多下载风险指示器。通过根据以前的行为识别具有过多下载量的共享链接,您可以监视共享链接是否存在潜在攻击。此风险指示器可帮助您识别过多的文件下载活动。

有关详细信息,请参阅下载过多

自助搜索身份验证数据

使用自助搜索获取有关身份验证事件的见解。Citrix Analytics 从 Citrix Cloud 的身份和访问管理服务接收身份验证事件,如用户登录、用户注销和客户端更新。搜索将提供有关身份验证事件的详细报告,帮助您识别任何身份验证问题并进行故障排除。您还可以定义搜索查询以检索与您定义的条件匹配的事件。

要查看事件,请从列表中选择身份验证,选择时间段,然后单击搜索

有关详细信息,请参阅面向身份验证的自助搜索

“身份验证”页

July 11, 2019

新增功能

自定义风险指示器

Citrix Analytics 生成的默认风险指示器基于机器学习算法。Citrix Analytics 现在允许您创建自定义风险指示器。根据用户事件,您可以定义条件并创建自定义风险指示器。

当满足定义的条件时,Citrix Analytics 会生成类似于默认风险指示器的自定义风险指示器,并在用户的风险时间表上显示这些指示器。自定义风险指示器在用户的风险时间线上标注。

有关详细信息,请参阅自定义风险指示器

风险时间表上的特权状态

每当用户的管理员或管理员权限状态发生更改时,用户风险时间表将显示以下事件:

  • 添加到执行组

  • 从执行组中删除

  • 权限提升为管理员

  • 已删除管理员权限

当用户触发风险指示器时,您可以将其与指定的权限状态更改事件关联起来。如有必要,您可以对用户配置文件应用相应的操作。

有关详细信息,请参阅用户风险时间表

共享链接过期操作

Citrix Analytics 使您能够对共享链接风险指示器应用操作。目前,支持的操作是过期共享链接

有关详细信息,请参阅Citrix 共享链接风险指示器

自助搜索功能增强

  • 在搜索查询中支持通配符:使用搜索查询中的星号 (*) 字符匹配任何字符零次或多次。例如,搜索查询用户名 =“John *”显示以 John 开头的所有用户名的事件。

  • 为面添加了“全部清除”选项*:单击“全部清除”以一次移除所有选定面。

  • 查看事件列表中的隐藏列数据:从事件表中删除列后,可以查看用户事件列表中的相应数据。展开用户的事件行并查看数据。

有关详细信息,请参阅自助搜索

站点卡上的数据错误状态

当 Citrix Analytics 在过去一小时内未从数据源接收事件时,站点卡将以红色显示未收到数据标签。它还显示收到的事件数,并链接到相应的自助服务搜索页面。此功能可帮助您在自助搜索页面上查看相应的事件,并检查是否存在任何数据传输问题。

注意

目前,自助搜索仅适用于访问、Content Collaboration 以及 Virtual Apps and Desktops 数据源。

有关详细信息,请参阅启用关于 Citrix 数据源的分析

已修复的问题

  • 对于 Access Control 数据源,站点卡上的事件数与自助搜索结果不匹配。 [CAS-18286]

June 19, 2019

已修复的问题

  • 审核日志”页面显示每次发现 Active Directory 数据源时的数据传输开启或关闭状态。 [CAS-17575]

  • 用户 控制板上的时间段菜单未准确加载。它显示超时错误消息。 [CAS-19467]

  • 用户在从 Splunk 连接到租户时收到 Citrix Analytics 上的错误消息。有时,新数据源的加入失败。 [CAS-19429]

June 17, 2019

新增功能

StoreFront 配置

如果您的组织使用本地 StoreFront,则现在可以将 StoreFront 配置为连接到 Citrix Analytics。使用从 Citrix Analytics 导入的配置文件执行配置。配置成功后,Citrix Workspace 应用程序将用户事件发送到 Citrix Analytics,以便生成有关用户行为的可操作见解。这些见解可帮助您检测任何异常用户行为,并主动处理组织中的安全威胁。有关详细信息,请参阅使用 StoreFront 载入 Virtual Apps and Desktops 站点

May 30, 2019

新增功能

登录失败过多

Citrix Analytics 会根据过多的登录活动检测访问威胁,并触发过多登录失败风险指示器。当用户遇到多次访问 Content Collaboration 失败的登录尝试时触发此风险指示器。通过根据以前的行为识别登录失败过多的用户,管理员可以监视用户帐户的暴力攻击。

有关详细信息,请参阅身份验证失败过多

注意

过多的登录失败 现在将重命名为 过多的身份验证失败

已修复的问题

  • 对于由 Citrix Workspace 应用程序传输的某些用户事件,数据源被错误地标识为 Endpoint Management,而不是 Citrix Virtual Apps and Desktops。

    [CAS-17323]

  • “用户”控制板需要很长时间才能加载过去 1 个月的时间段。当用户数量高时,会出现此问题。在某些情况下,您甚至可能会遇到 601 错误。

    [CAS-16300]

  • 尽管某些用户在 Citrix Cloud 上订阅服务,但仍未将 Citrix Content Collaboration 作为数据源发现。

    [CAS-16299]

May 09, 2019

新增功能

创建自定义报告

现在,您可以根据您的操作要求创建自定义报告。Citrix Analytics 根据所选数据源提供维度和衡量指标器的列表。选择所需的参数和可视化类型,如条形图、事件图、折线图或表格来创建报表。创建报表可帮助您以图形方式组织和分析数据。

要创建自定义报告,请在“安全”选项卡中单击“ 告”>“创建报告”。要查看之前创建的报告,请从“ 全”选项卡中单击“报告”。有关详细信息,请参阅自定义报告

特权用户监视

通过 Citrix Analytics,您可以密切监视组织中特权用户的行为异常。由于特权用户非常容易受到安全威胁的攻击,因此将他们的日常活动与恶意活动区分开来变得十分困难。因此,特权用户的恶意活动长期未被发现。此功能使您能够主动监视此类活动,并对相应的用户帐户采取适当的操作。特权用户以“用 ”控制板上的图标表示。

Citrix Analytics 支持对以下类型的特权用户进行监视:

  • 管理员-由相应的 Citrix 服务分配管理员权限的用户。目前,Citrix Analytics 支持对 Content Collaboration 服务中具有管理员权限的用户进行特权用户监视。

  • 管理人员 -在 Citrix Analytics 上,您可以将 AD 组标记为管理人员组。将 AD 组标记为执行组使该组中的所有用户都成为特权用户。如果不需要进一步支持 AD 组中用户的行为异常,则可以将该组作为执行组删除。

有关详细信息,请参阅特权用户

每周电子邮件摘要

Citrix Analytics 每周向管理员发送一封电子邮件,总结其组织 IT 环境中的安全风险风险。电子邮件通知每周二发送给管理员,并突出显示前一周发生的安全事件。此电子邮件可确保管理员在不登录 Citrix Analytics 的情况下获悉安全风险风险。有关详细信息,请参阅每周电子邮件摘要

April 26, 2019

新增功能

委派管理员

Citrix Analytics 现在支持委派管理员角色。通过此功能,您可以邀请其他管理员访问 Citrix Cloud 帐户,以便为您的组织管理 Citrix Analytics。如果您是具有完全访问权限的 Citrix Analytics 管理员,则可以将其他管理员添加到 Citrix Cloud 帐户。这些附加管理员称为委派管理员。您当前可以为委派管理员分配只读访问权限。有关详细信息,请参阅委派管理员

已修复的问题

使用数据流的数据源的风险指示器很少会生成警报。如果触发以下风险指示器之一,您不会收到任何警报通知,并且不会自动应用基于策略的操作:

  • Citrix Endpoint Management 风险指示器 - 非托管设备、越狱或获得 Root 权限的设备以及具有列入黑名单的应用的设备。

  • Citrix Virtual Apps and Desktops 风险指示器 -从具有不支持操作系统 (OS) 的设备进行访问。

  • Citrix Content Collaboration 风险指示器 -过多访问敏感文件。

[CAS-14590]

February 19, 2019

新增功能

Splunk 集成

Citrix Analytics 与 Splunk 集成,以增强您的安全事件监视和故障排除体验。通过这种集成,Citrix Analytics 的风险分析功能(例如风险指示器、风险评分和用户配置文件),您的现有数据源得到增强。Citrix Analytics 将风险分析信息导出到渠道。Splunk 从此通道提取相同的对象。

Splunk 集成涉及 Citrix Analytics 上的配置、Citrix Analytics Add-on for Splunk 应用程序的安装以及应用程序的配置。请确保至少为一个数据源启用数据处理。它有助于 Citrix Analytics 开始执行 Splunk 集成过程。

有关详细信息,请参阅Splunk 集成

Splunk 配置

动态会话录制

Citrix Analytics 引入了在用户当前 Virtual Apps and Desktops 会话上动态触发会话记录的功能。它有助于捕获风险分析所需的证据,并采取适当的事件响应操作,例如断开会话和阻止用户。

有关详细信息,请参阅策略和操作

共享链接控制板和风险指示器

Citrix Analytics 基于从 Citrix Content Collaboration 收集的数据,引入了共享链接的风险可见性。它帮助您通过股票链接触发的风险指示器了解股票链接的风险敞口。

有关详细信息,请参阅“共享链接”控制板

“共享链接”控制板

目前,针对共享链接触发匿名敏感共享下载风险指示器。当 Content Collaboration 检测到此风险行为时,Citrix Analytics 会收到事件。您将在“警报”面板中收到通知,并将匿名敏感下载风险指示器添加到股票链接的风险时间表中。

有关详细信息,请参阅共享链接风险时间表Citrix 共享链接风险指示器

风险时间表

Microsoft Active Directory 集成

您现在可以将 Microsoft Active Directory 与 Citrix Analytics 集成。这种集成通过其他信息(如职位、组织、办公地点、电子邮件和联系人详细信息)增强了风险用户的环境。您可以在 Citrix Analytics 中的用户配置文件页面上更好地了解用户。

有关详细信息,请参阅将 Analytics 与 Microsoft Active Directory 相集成

活动目录用户

January 04, 2019

新增功能

为现有风险指示器增加源栏

事件详细信息部分引入了列,用于以下风险指示器:

  • 文件上载过多

  • 文件下载过多

  • 文件共享过多

  • 文件或文件夹删除过多

有关详细信息,请参阅Citrix Content Collaboration 风险指示器

高级用户配置文件

户配置文件上的“用户信息”视图已得到增强。趋势视图链接已在应用程序设备数据使用情况部分的右上角引入。“地 图视图”链接已在“位置”部分的右上角引入。这些链接提供了有关用户在特定时间段内的历史行为的图形表示。您可以从 用户 的风险时间表或从“数据源”页面导航到“用户信息”。

注意

身份验证数据当前在用户信息配置文件中不可用。

有关详细信息,请参阅“用户”控制板

高级用户配置文件

Microsoft Graph 安全性风险指示器

加载的 Microsoft Graph 安全性可以从以下安全提供程序之一接收风险指示器详细信息,并将其转发给 Citrix Analytics:

  • Azure 广告身份保护

  • Windows Defender 高级威胁防护

有关详细信息,请参阅Microsoft Graph 安全性风险指示器

进入自助搜索页面的方法

您现在可以使用以下选项访问自助搜索页面:

  • 顶部栏:单击顶部栏上的搜索以直接访问搜索页面。

    本地化后的图片

  • 用户配置文件页面上的风险时间线:单击事件搜索以访问搜索页面,查看与特定用户风险指示器和数据源相对应的事件。有关详细信息,请参阅自助搜索

    本地化后的图片

面向 Content Collaboration 的自助搜索

使用自助搜索深入了解与 Content Collaboration 数据源关联的事件。若要查看事件,请从列表中选择 Content Collaboration,选择时间段,然后单击搜索。 有关详细信息,请参阅Content Collaboration的“自助搜索”。

本地化后的图片

Virtual Apps and Desktops 的自助搜索

使用自助搜索来深入了解与 Virtual Apps and Desktops 数据源关联的事件。要查看事件,请从列表中选择“应用程序和桌面”,选择时间段,然后单击“搜索”。 有关详细信息,请参阅 Virtual Apps and Desktops 的自助搜索

本地化后的图片

将自助搜索事件导出到 CSV 文件

现在,您可以将自助搜索事件导出到 CSV 文件并下载该文件以供将来使用。有关详细信息,请参阅自助搜索

改进了 Virtual Apps and Desktops 的入门

Virtual Apps and Desktops 数据源的入门过程现已得到改进,以提供更好的用户体验。网站卡和登机步骤已被修改。有关详细信息,请参阅Citrix Virtual Apps and Desktops 数据源

November 29, 2018

新增功能

Microsoft Security Graph 数据源

Microsoft Graph 安全 是一个外部数据源,用于聚合来自多个安全提供商的数据。它还提供对用户清单数据的访问。

Citrix Analytics 当前支持与此数据源关联的 Azure AD Identity ProtectionWindows Defender ATP 安全提供程序。

要加载此数据源,您必须从 Microsoft 身份平台获取权限。有关详细信息,请参阅Microsoft Graph 安全

MSG 加入

在数据源的站点卡上查看事件详细信息和发现的用户

数据源的站点卡片现在显示事件详细信息和用户数。例如,您可以在网站卡上查看事件详细信息和访问控制的用户。有关详细信息,请参阅对数据源启用分析

访问控制映像

November 16, 2018

新增功能

自助搜索访问数据

您可以使用自助搜索深入了解企业中用户的访问详细信息。Citrix Analytics 从 Citrix Access Control 服务收集用户的访问详细信息。使用小平面和搜索查询缩小搜索结果的范围。

要使用自助搜索页面,请从“ 全”选项卡中单击“事件搜索”。

有关详细信息,请参阅访问自助搜索

搜索图像

风险指示器反馈

使用 Citrix Analytics 上的风险指示器反馈功能,您可以提供有关风险指示器的反馈。您的反馈有助于确认报告的安全事件是否准确。

目前,由 Content Collaboration 数据源触发的异常登录访问风险指示器支持此功能。如果此风险指示器触发不正确,您可以将其报告为误报并提供反馈。您也可以编辑之前提交的反馈。Citrix Analytics 捕获您的反馈并验证预测信息,以优化异常行为检测。

有关详细信息,请参阅风险指示器反馈

假阳性图像

已修复的问题

  • 如果您正在使用 Internet Explorer 11.0 访问 Citrix Analytics,则无法编辑和保存策略。