技术简报:分析
随着组织开始采用 SaaS、云和移动应用程序,组织的 IT 环境变得越来越复杂。管理员需要对环境进行可见性,不仅是为了保护环境免受恶意用户的影响,而且还要主动改善用户体验。Citrix Analytics 将整个 Citrix 产品组合汇集在一起,以提供对各个用户的状态和上下文的可见性。与 Citrix 提供的其他一些监视工具不同,Citrix Analytics 可为您提供有关环境的 主动和规范性 洞察,以便在问题成为问题之前解决问题。Citrix Analytics 是通过计算机学习推动的,为您提供必要的见解,而不会造成信息过载。
概述
Citrix Analytics 可生成切实可行的见解,使管理员能够主动处理用户和应用程序安全威胁,提高应用程序性能并支持持续运营。Citrix Analytics 可作为通过 Citrix Cloud 提供的云服务提供。Citrix Analytics 可以分为三个类别:安全性、性能和使用情况。Citrix Analytics for Security 允许您监视和识别环境中不一致或可疑的活动。使用情况分析可让您了解用户如何与各种 Citrix 产品进行交互。Citrix Analytics for Performance 通过高级分析提供以用户为中心的体验分数、应用程序和基础架
Citrix Analytics for Security
Citrix Analytics for Security 可跨 Citrix 和第三方产品收集数据,并生成切实可行的见解。
Citrix 数据源
下表列出了 Citrix Analytics for Security 支持的各种 Citrix 数据源。
| 数据源 | 部署类型 | 所需的代理 | 产品组件和版本 |
|---|---|---|---|
| Citrix Endpoint Management | 服务 | 不适用 | Citrix Endpoint Management |
| 网关 | 本地 | Application Delivery Management 代理 | Citrix Gateway 12.0.56.16 或更高版本 |
| Citrix 身份提供程序 | 服务 | 不适用 | Citrix 身份和访问管理 |
| Citrix Secure Private Access | 服务 | 不适用 | Citrix Secure Private Access |
| Citrix Remote Browser Isolation | 服务 | 不适用 | Citrix Remote Browser Isolation |
| Citrix DaaS | 服务 | 不适用 | 适用于 Windows 的 Citrix Workspace 应用程序 1907 或更高版本、适用于 Mac 的 Citrix Workspace 应用程序 1910.2 或更高版本、适用于 HTML5 的 Citrix Workspace 应用程序 2007 或更高版本、适用于 Chrome 网上应用店中提供的最新 Chrome 版本的 Citrix Workspace 应用程序、适用于 Google Play 中提供的最新 Android 版本的 Citrix Workspace 应用程序、适用于 Apple App Store 中提供的最新 iOS 版本的 Citrix Workspace 应用程序、适用于 Linux 的 Citrix Workspace 应用程序 2006 或更高版本。 |
| Citrix Virtual Apps and Desktops | 本地 | Virtual Apps and Desktops 代理 | Citrix Virtual Apps and Desktops 7 1808、Citrix XenApp 和 XenDesktop 7.16 及更高版本 |
| Actions 等高级功能需要代理。 | 适用于 Windows 的 Citrix Workspace 应用程序 1907 或更高版本、适用于 Mac 的 Citrix Workspace 应用程序 1910.2 或更高版本、适用于 HTML5 的 Citrix Workspace 应用程序 2007 或更高版本、适用于 Chrome 网上应用店中提供的最新 Chrome 版本的 Citrix Workspace 应用程序、适用于 Google Play 中提供的最新 Android 版本的 Citrix Workspace 应用程序、适用于 Apple App Store 中提供的最新 iOS 版本的 Citrix Workspace 应用程序、适用于 Linux 的 Citrix Workspace 应用程序 2006 或更高版本 | ||
| Citrix Director 7.16 或更高版本 | |||
| 对于 Workspace 用户:必须使用站点聚合将 Virtual Apps and Desktops 本地站点添加到 Workspace。 | |||
| 对于 StoreFront 用户:StoreFront 部署版本必须为 StoreFront 1906 或更高版本必须使用其中一个客户端访问 StoreFront:适用于 HTML5 兼容浏览器中的 Web 站点的 Citrix Receiver、适用于 Windows 的 Citrix Workspace 应用程序 1907 或更高版本、适用于 Linux 的 Citrix Workspace 应用程序 2006 或更高版本、适用于 Mac 的 Citrix Workspace 应用程序 2006 或更高版本。 | |||
| LTSR 支持:对于 Citrix Virtual Apps and Desktops 7 1912 LTSR,受支持的 StoreFront 版本是 1912。 |
外部数据源
下表列出了 Citrix Analytics for Security 支持的外部数据源(第三方产品)。
| 数据源 | 部署类型 | 所需的代理 |
|---|---|---|
| Microsoft Graph 安全性 | 服务 | 不适用 |
| Microsoft Active Directory | 本地 | Citrix Cloud Connector |
Citrix Analytics for Security 通过其计算机学习 μ-服务检测异常的用户行为。它为用户分配一个风险评分,一个值表示用户通过其风险评分 μ-service 构成的总体风险水平。此分数是基于用户行为分析 (UBA) 的动态值。管理员可以根据风险指示器创建策略以自动化流程并应用操作。Citrix Analytics for Security 将数据保留 13 个月。如果管理员关闭特定数据源的数据处理,则已捕获的数据将保持 13 个月的存储。有关每个数据源收集哪些特定日志的更多信息, 请点击此处。
Citrix Analytics for Security 以下方式接收信息。对于 Citrix Secure Private Access 服务、Citrix Endpoint Management 和 Citrix Gateway 服务(云),它直接从特定数据源的控制平面接收信息。对于本地 NetScaler Gateway,它从 Application Delivery Management 代理接收数据。对于 Citrix DaaS 和 Citrix Virtual Apps and Desktops,它通过 Citrix Workspace 应用程序接收信息。为了获取活动目录数据,Citrix Analytics 与 Citrix Cloud Connector 进行通信。对于 Microsoft Graph 安全性,我们可以通过图形 API 从 Azure AD 身份保护和 Windows 后卫 ATP 获取信息。
要使用Citrix Analytics for Security,您必须拥有 Citrix Cloud 帐户。转到 https://citrix.cloud.com 并使用您现有的 Citrix Cloud 帐户登录。有关如何入门的深入指南可 在此处找到。
用户控制板
用户控制面板允许您全面了解组织内任何被认为存在风险的用户。用户分为高、中和低风险用户。
管理员可以更改视图以显示所有用户、特权用户和监视列表用户得分最高的用户。此外,它还显示了风险类别,基本上为您提供了全面的风险敞口清单以及需要立即关注的内容。有关用户控制板的更多信息可以 在这里找到。
使用所有这些控制板,您可以点击获取更精细的信息。例如,如果您单击“风险类别”下的“查看更多”,您将获得每个类别下风险指标出现情况的摘要。
此外,如果您在风险用户控制面板下单击特定用户,它会将您重定向到用户风险时间表。通过此时间表,您可以更深入地了解用户所做的风险操作。您还将看到是否对该特定用户采取了任何自动操作。通过单击每个事件,您可以获得有关事件发生时间以及该事件来源的其他信息。在用户风险控制面板中,您可以找到用户信息,例如广告信息(电话、电子邮件、标题)以及他们使用的应用程序、设备和位置的信息。有关风险时间表的更多信息可以 在这里找到。
风险评分通过基于策略的违规(由管理员设置)、随时间推移的用户行为建模、AI/ML 异常行为检测和对等组规范化来计算。 风险评分是指示用户构成的总风险级别的值。风险指标是看起来可疑或可能对组织构成安全威胁的用户活动。系统会使用默认风险指标,但管理员也可以创建自定义风险指标。
策略和操作
策略的定义是因此,一旦满足条件,就会运行操作。策略包含一个或多个条件以及单个操作。有可用的默认策略 — 这些策略具有预定义的条件,并具有相应的操作。这些默认策略可以按原样使用或根据您的要求进行修改。默认策略如下:
- 在 Geofence 之外启动会话
- 首次从设备访问
- 潜在的数据泄露
-
操作是对可疑事件的应对措施,以防止未来发生异常事件。Citrix Analytics 管理员可以随意调用操作,也可以由系统根据管理员定义的规则自动调用操作。 目前可以执行以下操作:
- 全局
- 请求最终用户响应
- 添加到播放列表
- 通知管理员
- 通知最终用户
- 从关注列表中删除
- 网关
- 注销活动会话
- 锁定用户帐户
- 解锁用户帐户
- Citrix Cloud Labs应用程序和桌面
- 注销活动会话
- 开始会话录制
目前,创建策略时可以使用以下条件:
- 风险评分
- 风险评分
- Citrix Gateway
- EPA 扫描失败
- 不可能旅行
- 授权失败过多
- 从可疑 IP 登录
- 可疑登录
- 异常的身份验证
- Citrix Secure Private Access
- 尝试访问列入黑名单的 URL
- 数据下载过多
- 不寻常的上载量
- Citrix Cloud Labs应用程序和桌面
- 潜在的数据泄露
- 不可能旅行
- 可疑登录
- Citrix Endpoint Management
- 检测到已列入黑名单的应用
- 已检测到越狱/已植根设备
- 检测到非托管设备
有关如何设置策略和操作的更多信息,请参见此 处。
访问保障位置控制面板
Access Assurance 控制面板概述了用户访问虚拟应用程序或虚拟桌面的位置和网络。Citrix Analytics for Security 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。
访问保障位置控制板概述了您的用户访问虚拟应用程序或虚拟桌面的位置。Citrix Analytics for Security 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。位置信息是在城市和国家/地区级别提供的,并不代表精确的地理位置。访问摘要控制板提供选定时段的以下信息:
- 各个位置(全球)的用户登录总数。
- 各个位置(全球)的唯一用户登录总数。
- 用户登录的城市总数。
- 地理围栏区域中的国家/地区总数和唯一用户登录次数。
- 具有唯一用户登录名的前 10 个位置。
报告
管理员可以根据数据源中收到的事件创建自定义报告。当前,自定义报告支持的数据源包括 Secure Private Access、应用程序和桌面、网关、Secure Browser、策略、风险评分、风险指标。有关如何创建自定义报告的更多信息,请 点击此处。
Citrix Analytics for Performance
Citrix Analytics for Performance 可量化用户体验,并为客户提供端到端可见性,了解最终用户体验的根本原因。它还提供多站点聚合和报告,因此拥有多个站点的客户可以使用单个玻璃窗格中的数据,而不必登录到多个 Director 控制台。最后,它提供了基础架构性能评分,使管理员能够统一地了解其基础架构运行状况。
用户体验得分是通过考虑影响最终用户体验的不同因素计算的,例如:会话弹性、会话可用性、会话登录持续时间和会话响应能力。然后,管理员可以更深入地划分并查看子因素,以便能够确定问题的确切根本原因。例如,会话登录持续时间的子因素包括 GPO、配置文件加载、交互式会话、代理、虚拟机启动、HDX 连接、身份验证和登录脚本。动态阈值用于对会话登录持续时间和会话响应性因素和子因素进行基准测试。这些计算是根据每个客户进行的,并根据过去 30 天进行计算。阈值每七天重新校准一次,以反映环境中的变化。有关如何计算用户体验分数的更多信息, 请点击此处。
Citrix Analytics for Performance 既可用于本地客户,也可用于云客户,不需要客户使用 Citrix Workspace。Citrix Analytics 直接从 Citrix Director 的监视数据库获取数据。数据通过 https 端口 443 安全地从 Citrix Director 推送到 Citrix Analytics。Citrix Analytics for Performance 还捕获来自 Gateway 的对于本地 NetScaler Gateway,客户需要使用 ADM 服务。对于 Citrix Gateway 服务,HDX 数据直接发送到 Citrix Analytics。没有数据从 Citrix Cloud 流向您的本地环境。数据通信是出站的,这意味着无需打开端口或允许任何入站流量。对于使用 Citrix DaaS 的客户,Citrix Analytics 直接从 Director 平台获取数据,所有这些平台都托管在 Citrix Cloud 中。
用户体验得分控制板
用户体验分数控制面板可以全面了解哪些用户正在体验“出色”、“公平”或“差”体验。Citrix Analytics for Performance 具有多站点聚合功能,可让您全面了解所有环境(云端或本地)。多站点聚合使管理员能够灵活地全面查看其环境或按特定站点进行筛选。
Citrix Analytics 管理员可以深入查看导致用户获得特定最终用户体验分数的因素。Citrix Analytics for Performance 为管理员提供了有关导致用户体验问题的可能根本原因的见解。有关用户体验子因素的更多信息可 在此处找到。
此外,在此用户体验控制板中,管理员可以看到用户会话趋势,该趋势显示 HDX 会话总数与唯一用户总数以及会话失败次数。会话总数表示从 Workspace 应用程序启动应用程序或桌面时的用户会话总数。唯一用户总数是指在指定时间段内启动会话或活跃会话的唯一用户的数量。
基础结构控制板
基础架构控制板为管理员提供了其环境基础架构运行状况的概览。控制板提供所有站点的 VDA 信息。对于多会话操作系统 VDA,管理员可以根据负载评估器指数查看哪些 VDA 处于不可用状态。对于单会话操作系统 VDA,管理员可以查看正在使用和可用的 VDA 的数量。有关基础架构控制面板中可用指标的更多信息, 请点击此处。
Secure Private Access 服务控制板
Secure Private Access 服务控制面板显示 SaaS、Web、TCP 和 UDP 应用程序的诊断和使用数据。控制面板让管理员可以在一个地方全面了解其应用程序、用户、连接器运行状况和带宽使用情况,以供使用。
这些指标大致分为以下几类。
- 记录和故障排除
- 诊断日志:与身份验证、应用程序启动、应用程序枚举和 Device Posture 检查相关的日志。
- 用户
- 活跃用户: 在所选时间间隔内访问应用程序(SaaS、Web 和 TCP)的唯一用户总数。
- 上载:在所选时间间隔内通过 Secure Private Access 服务上载的总量数据。
- 下载量:在所选时间间隔内通过 Secure Private Access 服务下载的数据总量。
- 应用程序:
- 应用程序:当前配置的应用程序总数(与时间间隔无关)。
- 应用程序启动次数: 在所选时间间隔内每个用户启动的应用程序(应用程序会话)总数。
- 配置的域: 在所选时间间隔内配置的域总数。
- 已发现的应用程序:已访问但未与任何应用程序关联的唯一单个域名总数
- 访问策略
- 访问策略: 当前配置的访问策略总数(与时间间隔无关)。
有关 Secure Private Access 服务控制板中可用指标的更多信息,请参阅此处。
