技术简报:分析

随着组织开始采用 SaaS、云和移动应用程序,组织的 IT 环境变得越来越复杂。管理员需要对环境进行可见性,不仅是为了保护环境免受恶意用户的影响,而且还要主动改善用户体验。Citrix Analytics 将整个 Citrix 产品组合汇集在一起,以提供对各个用户的状态和上下文的可见性。与 Citrix 提供的其他一些监视工具不同,Citrix Analytics 可为您提供有关环境的 主动和规范性 洞察,以便在问题成为问题之前解决问题。Citrix Analytics 是通过计算机学习推动的,为您提供必要的见解,而不会造成信息过载。

概述

Citrix Analytics 可生成切实可行的见解,使管理员能够主动处理用户和应用程序安全威胁,提高应用程序性能并支持持续运营。Citrix Analytics 可作为通过 Citrix Cloud 提供的云服务提供。Citrix Analytics 可以分为三个类别:安全性、性能和使用情况。Citrix Analytics for Security 允许您监视和识别环境中不一致或可疑的活动。使用情况分析可让您了解用户如何与各种 Citrix 产品进行交互。Citrix Analytics for Performance 通过高级分析提供以用户为中心的体验分数、应用程序和基础架

Citrix Analytics for Security

Citrix Analytics for Security 可跨 Citrix 和第三方产品收集数据,并生成切实可行的见解。它支持与以下内容集成:

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops(本地)
  • Citrix DaaS(Citrix Cloud 服务)
  • Citrix Secure Browser 服务
  • Microsoft Graph 形安全 API
  • Microsoft Active Directory(本地)

Citrix Analytics for Security 通过其计算机学习 μ-服务检测异常的用户行为。它为用户分配一个风险评分,一个值表示用户通过其风险评分 μ-service 构成的总体风险水平。此分数是基于用户行为分析 (UBA) 的动态值。管理员可以根据风险指示器创建策略以自动化流程并应用操作。Citrix Analytics for Security 将数据保留 13 个月。如果管理员关闭特定数据源的数据处理,则已捕获的数据将保持 13 个月的存储。有关每个数据源收集哪些特定日志的更多信息, 请点击此处

Citrix Analytics for Security 以下方式接收信息。对于 Citrix Secure Private Access 服务、Citrix Content Collaboration、Citrix Endpoint Management 和 Citrix Gateway 服务(云),它直接从特定数据源的控制平面接收其信息。对于 Citrix Gateway,它会从 Application Delivery Management 代理接收数据。对于 Citrix Virtual Apps and Desktops(云端和本地),它会通过 Citrix Workspace 应用程序接收其信息。 要获取 Active Directory 数据,Citrix Analytics 与 Cloud Connector 进行通信。对于 Microsoft Graph 安全性,我们可以通过图形 API 从 Azure AD 身份保护和 Windows 后卫 ATP 获取信息。

要开始使用,您必须拥有 Citrix Cloud 帐户。一旦,您可以访问 Citrix Cloud 后,就可以请求访问 Citrix Analytics for Security 试用版。然后可以选择启用数据处理和开始接收信息。有关如何入门的深入指南可 在此处找到。

架构高级

用户仪表板

用户仪表板允许您全面了解组织内被视为存在风险的任何用户。用户分为高、中和低风险用户。管理员可以更改分数最高、评分最高变化用户、风险指示器用户或风险指标变化的用户的视图。此外,它还显示了风险类别 — 本质上为您提供了一份全面的风险风险列表以及需要立即关注的风险。有关用户仪表板的更多信息可以 在这里找到。

User Dashboard(用户控制板)

使用所有这些仪表板,您可以单击并获取更详细的信息。例如,如果单击“风险类别”控制面板 下的“查看更多”,您将获得每个类别下的风险指示器出现的摘要。

风险报告

此外,如果在风险用户仪表板下单击特定用户,它将重定向到用户风险时间表。通过此时间表,您可以更深入地了解用户所做的风险操作。您还将看到是否对该特定用户采取了任何自动操作。通过单击每个事件,您可以获得有关事件发生时间以及该事件来源的其他信息。在用户风险控制面板中,您可以找到用户信息,例如广告信息(电话、电子邮件、标题)以及他们使用的应用程序、设备和位置的信息。有关风险时间表的更多信息可以 在这里找到。

风险时间表

风险评分通过基于策略的违规(由管理员设置)、随时间推移的用户行为建模、AI/ML 异常行为检测和对等组规范化来计算。 风险评分是指示用户构成的总风险级别的值。风险指标是看起来可疑或可能对组织构成安全威胁的用户活动。系统使用默认风险指示器,但管理员也可以创建自定义风险指示器。

风险分数

策略和操作

策略的定义是因此,一旦满足条件,就会运行操作。策略包含一个或多个条件以及单个操作。有可用的默认策略 — 这些策略具有预定义的条件,并具有相应的操作。这些默认策略可以按原样使用或根据您的要求进行修改。默认策略如下:

  • 成功利用凭证
  • 潜在的数据泄露
  • 来自可疑 IP 的异常访问
  • 来自异常位置的异常应用程序
  • 低风险用户 — 首次从新 IP 访问
  • 首次从设备访问

行动是对可疑事件的应对措施,以防止未来发生异常事件。Citrix Analytics 管理员可以随意调用操作,也可以由系统根据管理员定义的规则自动调用操作。 目前可以执行以下操作:

  • 全局
    • 请求最终用户响应
    • 添加到播放列表
    • 通知管理员
    • 从关注列表中删除
  • Citrix Content Collaboration
    • 禁用用户
    • 使所有链接过期
  • Citrix Virtual Apps and Desktops
    • 注销用户
    • 开始会话录制
    • 停止会话录制
  • Citrix Endpoint Management
    • 锁定设备
    • 通知管理员
    • 通知用户

目前,创建策略时可以使用以下条件:

  • 风险评分
    • 风险评分(等于、大于、小于)
  • Citrix Gateway
    • 授权失败过多
    • EPA 扫描失败
    • 从可疑 IP 登录
    • 首次从新 IP 访问
    • 不可能旅行
    • 可疑登录
    • 异常的身份验证
    • 地理围栏穿越
  • Citrix Daas/虚拟应用程序和桌面
    • 潜在的数据泄露
    • 不可能旅行
    • 登录可疑
    • 剪贴板使用情况跟踪器
    • 首次使用新设备进行访问
    • 会话在美国以外的地理围栏开始
    • 监视特定进程-mstsc
    • 可能拒绝向 DaaS 提供服务
    • 潜在的终端故障
  • Citrix Content Collaboration
    • 文件下载过多
    • 删除文件/文件夹过多
    • 过多的文件共享
    • 文件上载过多
    • 验证失败过多
    • 不可能旅行
    • 异常的身份验证
    • 检测到恶意软件文件
    • 怀疑有勒索软件活动(文件已替换)
    • 过度访问敏感文件(DLP 警报)
    • 匿名敏感分享链接下载
    • 分享链接下载量过多
    • 可疑登录
    • 怀疑勒索软件活动(文件上传)
    • 地理围栏
  • Citrix Secure Private Access
    • 尝试访问列入黑名单的 URL
    • 网站访问风险
    • 数据下载过多
    • 潜在的数据被盗
  • Citrix Endpoint Management
    • 检测到已列入黑名单的应用
    • 检测到越狱/root 设备
    • 检测到未托管设备

策略

有关如何设置策略和操作的更多信息,请参见此

用户访问控制板

用户访问 控制面板汇总了网络中用户访问的风险域的数量以及用户上载和下载的数据量。它提供了以下指标:

  • 用户访问的恶意域的数量
  • 用户访问的危险域的数量
  • 用户访问的未知域的数量
  • 用户访问的干净域的数量
  • 用户访问的阻止 URL 的数量

用户访问权限

应用访问控制板

应用程序访问控制面板总结了网络中用户访问的域、URL 和应用程序的详细信息。应用程序访问摘要 部分概述了网络中以下指标:

  • 用户访问的恶意域的数量
  • 用户访问的危险域的数量
  • 用户访问的未知域的数量
  • 用户访问的干净域的数量
  • 从风险域上载或下载的数据量

应用程序访问

访问保障位置控制面板

“访问保障位置”控制板概述了用户访问虚拟应用程序或虚拟桌面的位置。Citrix Analytics for Security 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。位置信息是在城市和国家/地区级别提供的,并不代表精确的地理位置。“用户登录摘要”页面提供了所选时段的以下信息:

  • 跨地点(全球)登录的用户总数
  • 不同地点(全球)的唯一用户登录总数
  • 用户登录的国家/地区总数
  • 地理围栏区域的国家总数和唯一用户登录
  • 具有唯一用户登录名的前 10 个地点

访问保障地点

共享链接仪表板

共 享链接 控制板是共享事件分析和威胁防范的启动点。它显示了整个组织中共享链接模式的可见性。

分享链接

报告

管理员可以根据数据源中收到的事件创建自定义报告。目前,自定义报表支持的数据源包括 Secure Private Access、Content Collaboration 以及 Virtual Apps and Desktops。有关如何创建自定义报告的更多信息,请 点击此处

报告

Citrix Analytics for Performance

Citrix Analytics for Performance 可量化用户体验,并为客户提供端到端可见性,了解最终用户体验的根本原因。它还提供多站点聚合和报告,因此拥有多个站点的客户可以使用单个玻璃窗格中的数据,而不必登录到多个 Director 控制台。最后,它提供了基础架构性能评分,使管理员能够统一地了解其基础架构运行状况。

用户体验得分是通过考虑影响最终用户体验的不同因素计算的,例如:会话弹性、会话可用性、会话登录持续时间和会话响应能力。然后,管理员可以更深入地划分并查看子因素,以便能够确定问题的确切根本原因。例如,会话登录持续时间的子因素包括 GPO、配置文件加载、交互式会话、代理、虚拟机启动、HDX 连接、身份验证和登录脚本。动态阈值用于对会话登录持续时间和会话响应性因素和子因素进行基准测试。这些计算是根据每个客户进行的,并根据过去 30 天进行计算。阈值每七天重新校准一次,以反映环境中的变化。有关如何计算用户体验分数的更多信息, 请点击此处

用户体验分数

Citrix Analytics for Performance 既可用于本地客户,也可用于云客户,不需要客户在 Citrix Workspace 上。Citrix Analytics 直接从 Director 的监视数据库获取数据。数据通过 https 端口 443 安全地从 Director 推送到 Citrix Analytics。Citrix Analytics for Performance 还可以从 Citrix Gateway 捕获 HDX 数据。对于内部网关,客户需要使用 ADM 服务。对于 Gateway 服务,HDX 数据将直接发送到 Citrix Analytics。没有数据从 Citrix Cloud 传输到您的本地环境。数据通信是出站的,这意味着无需打开端口或允许任何入站流量。对于使用 Citrix DaaS 的客户,Citrix Analytics 直接从 Director 平台获取数据,所有这些平台都托管在 Citrix Cloud 中。

CASP 架构

用户体验得分仪表板

用户体验分数控制面板可以全面了解哪些用户正在体验“出色”、“公平”或“差”体验。Citrix Analytics for Performance 具有多站点聚合功能,可让您全面了解所有环境(云环境或本地环境)。多站点聚合使管理员能够灵活地全面查看其环境或按特定站点进行筛选。

用户体验控制面板

Citrix Analytics 管理员可以深入查看导致用户获得特定最终用户体验分数的因素。Citrix Analytics for Performance 为管理员提供了有关导致用户体验问题的可能根本原因的见解。有关用户体验子因素的更多信息可 在此处找到。

子因子

此外,在此用户体验仪表板中,管理员可以看到用户会话趋势,这些趋势显示了会话总数与唯一用户总数以及会话失败次数。会话总数表示从 Workspace 应用程序启动应用程序或桌面时的用户会话总数。唯一用户总数是指在指定时间段内启动会话或具有活动会话的唯一用户的数量。

用户会话

基础结构控制板

基础架构仪表板为管理员提供了其环境基础架构运行状况的概览。仪表板提供所有站点的 VDA 信息。对于多会话操作系统 VDA,管理员可以根据负载评估器索引查看哪些 VDA 处于不可用状态。对于单会话操作系统 VDA,管理员可以查看正在使用和可用的 VDA 的数量。有关基础架构控制面板中可用指标的更多信息, 请点击此处

基础结构

使用 Analytics

使用情况分析可深入了解用户如何与各种 Citrix 产品进行交互,以帮助了解用户采用情况使用情况分析目前支持 Secure Private Access 服务、Content Collaboration 服务和微应用服务。

Content Collaboration 仪表板

Content Collaboration 仪表板提供以下信息:

  • 使用 Content Collaboration 服务的唯一用户数
  • 顶级Content Collaboration 用户
  • 上载到 Content Collaboration 服务的数据量
  • 下载到 Content Collaboration 服务的数据量
  • 上载到 Content Collaboration 服务的文件数
  • 下载到 Content Collaboration 服务的文件数
  • 用户对文件执行的操作数
  • 用户创建的分享事件数

使用情况

微应用仪表板

微应用仪表板提供了有关用户如何与微应用服务交互的见解。在控制面板中可以找到以下信息:

  • 使用微应用的唯一用户数量
  • 热门微应用用户
  • 最常用的微应用
  • 用户使用微应用发起的操作数
  • 用户对微应用提供的通知采取的操作数

微应用

SaaS 和 Web 应用程序仪表板

SaaS 和 Web 应用程序仪表板可让 Citrix Analytics 管理员深入了解 Citrix Workspace 中发布的 SaaS 和 Web 应用程序以下信息可以在 SaaS 和 Web 应用程序控制面板中找到:

  • 使用 SaaS 和 Web 应用程序的唯一用户数
  • 顶级 SaaS 和 Web 应用程序用户
  • 启动的 SaaS 和 Web 应用程序的数量
  • 顶级 SaaS 和 Web 应用程序
  • 用户访问的热门域
  • 跨用户、应用程序和域上载和下载的数据总量。

SaaS

体系结构和流程流程

在下面您可以找到 Citrix Analytics 的概念体系结构和流程流程。

分析流程

技术简报:分析