Indicadores de riesgo personalizados preconfigurados y directivas
Citrix Analytics for Security proporciona una lista de indicadores de riesgo personalizados preconfigurados y una directiva para ayudarte a supervisar la seguridad de tu infraestructura de Citrix. Las condiciones de estos indicadores de riesgo personalizados preconfigurados y la directiva ya están definidas según escenarios de riesgo de seguridad específicos, como usuarios en peligro, amenazas internas y exfiltración de datos. También puedes modificar estas condiciones preconfiguradas o agregar tus propias condiciones según tus requisitos de seguridad y usar los indicadores de riesgo personalizados para mitigar los riesgos.
Actualmente, los indicadores de riesgo personalizados preconfigurados están disponibles para los siguientes escenarios:
-
Geocercado
-
Primer acceso
Indicadores de riesgo personalizados preconfigurados para el escenario de geocercado
Usa los siguientes indicadores de riesgo personalizados preconfigurados para detectar eventos de usuario desde fuera de las áreas geocercadas.
-
CVAD-Sesión iniciada fuera del geocercado
-
GW-Cruce de geocercado
Los indicadores de riesgo personalizados preconfigurados se activan cada vez que los usuarios acceden a los productos de Citrix® desde fuera de su país de operación habitual o del geocercado. De forma predeterminada, el geocercado está establecido en “Estados Unidos”. Puedes establecer el país que necesites como geocercado.
Nota
El indicador de riesgo CVAD-Sesión iniciada fuera del geocercado está vinculado a la Configuración de geocercado de la función Ubicación de garantía de acceso. Por lo tanto, no puedes modificar directamente los países geocercados en la condición del indicador de riesgo. Para actualizar los países geocercados en el indicador de riesgo, selecciona los países en la Configuración de geocercado del panel Ubicación de garantía de acceso. Para obtener más información, consulta el panel Ubicación de garantía de acceso.
Para ver los indicadores de riesgo personalizados preconfigurados, selecciona Seguridad > Indicadores de riesgo personalizados.
De forma predeterminada, los indicadores de riesgo personalizados preconfigurados están inhabilitados. Usa el botón ESTADO para habilitarlos.
La siguiente tabla describe los diversos indicadores de riesgo personalizados preconfigurados para el geocercado.
| Nombre del indicador de riesgo personalizado | Escenario | Condiciones del indicador personalizado | Origen de datos | Categoría de riesgo |
|---|---|---|---|---|
| CVAD-Sesión iniciada fuera del geocercado | El usuario ha iniciado una sesión virtual fuera de su país de operación | Event-Type = Session.logon Country != “United States” | Aplicación Citrix Workspace | Usuarios en peligro |
| GW-Cruce de geocercado | El usuario se ha autenticado correctamente desde fuera de su país de operación | Event-Type = “VPN_AI” AND Country != “United States” | Citrix Gateway (local) | Usuarios en peligro |
Directiva preconfigurada para el escenario de geocercado
Citrix proporciona una directiva preconfigurada que aplica la acción Solicitar respuesta del usuario final a una cuenta de usuario cada vez que el usuario inicia una sesión virtual desde fuera de su país de operación. El usuario recibe un correo electrónico y, en función de su respuesta, se toma una acción adecuada, como agregar al usuario a la lista de seguimiento o notificar al administrador para que tome medidas adicionales. Para obtener más información, consulta Solicitar respuesta del usuario final.
Para ver la directiva preconfigurada, selecciona Seguridad > Directivas.
La siguiente tabla describe la directiva preconfigurada para el geocercado.
| Nombre de la directiva | Escenario | Condición de la directiva | Acción aplicada |
|---|---|---|---|
| Inicio de sesión fuera del geocercado | Capacidad para que un administrador valide la legitimidad del usuario a través de la acción ‘Solicitar respuesta del usuario final’ cuando el usuario inicia la sesión virtual fuera de su país de operación | Usar con el indicador de riesgo personalizado preconfigurado: “CVAD-Sesión iniciada fuera del geocercado” | Solicitar respuesta del usuario final |
| Según la siguiente respuesta del usuario, se aplica la acción correspondiente | |||
| Si el usuario no reconoce la actividad: Agregar a la lista de seguimiento | |||
| Si el usuario reconoce la actividad: No se requiere ninguna acción | |||
| Si el usuario no responde en un plazo de 60 minutos desde la recepción del correo electrónico: Agregar al usuario a la lista de seguimiento |
Nota
La acción Solicitar respuesta del usuario final solo se admite en la región de Estados Unidos. Por lo tanto, si tu organización está incorporada a la región de la Unión Europea en Citrix Cloud™, la directiva preconfigurada no se aplica a tu cuenta. Para usar la directiva preconfigurada, modifica la directiva y selecciona otra acción de tu elección.
Crea tu propia directiva con indicadores de riesgo personalizados preconfigurados para el geocercado
También puedes crear tus propias directivas con estos indicadores de riesgo personalizados preconfigurados y aplicar acciones como bloquear usuarios o cerrar la sesión de usuarios cada vez que se activen los indicadores. Para obtener información sobre cómo crear directivas, consulta Configurar directivas y acciones.
El siguiente ejemplo muestra una directiva que bloquea a los usuarios que intentan acceder a los servicios de Citrix desde fuera de Estados Unidos. El acceso del usuario se bloquea si el usuario no reconoce su actividad de acceso.
Condición: GW-Cruce de geocercado
Acción: Solicitar respuesta del usuario final
Siguiente acción: Bloquear al usuario si no reconoce la actividad
Nota
La acción Solicitar respuesta del usuario final solo se admite en la región de Estados Unidos. Por lo tanto, si tu organización está incorporada a la región de la Unión Europea, selecciona otra acción de tu elección en lugar de la acción Solicitar respuesta del usuario final.
Indicadores de riesgo personalizados preconfigurados para el escenario de primer acceso
Usa los siguientes indicadores de riesgo personalizados para detectar los eventos de usuario para los escenarios de primer acceso:
-
CVAD-Primer acceso desde un nuevo dispositivo
-
Gateway-Primer acceso desde una nueva IP
De forma predeterminada, estos indicadores de riesgo personalizados preconfigurados están en estado habilitado. Usa el botón ESTADO si quieres inhabilitarlos.
La siguiente tabla describe los indicadores de riesgo personalizados preconfigurados para el primer acceso.
| Nombre del indicador personalizado | Escenario | Condiciones preconfiguradas | Origen de datos | Categoría de riesgo |
|---|---|---|---|---|
| CVAD-Primer acceso desde un nuevo dispositivo | Cuando un usuario de la aplicación Citrix Workspace inicia sesión desde uno de los siguientes | Las siguientes condiciones están habilitadas de forma predeterminada | Citrix Virtual Apps and Desktops local y Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops) | Usuarios en peligro |
| Un nuevo dispositivo | La primera vez para un nuevo ID de dispositivo. | |||
| Un dispositivo existente que no se ha usado en los últimos 90 días. | Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") |
|||
| Gateway-Primer acceso desde una nueva IP | Cuando un usuario de Citrix Gateway inicia sesión correctamente desde uno de los siguientes | Las siguientes condiciones están habilitadas de forma predeterminada | Citrix Gateway | Usuarios en peligro |
| Una nueva dirección IP pública | La primera vez para una nueva IP de cliente | |||
| Una dirección IP pública existente que no se ha usado en los últimos 90 días. | Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 |
En la barra de condiciones, también puedes agregar tus propias condiciones además de las condiciones preconfiguradas para identificar amenazas según tus requisitos.
Por ejemplo, si quieres identificar los eventos de usuario de un país en particular, puedes agregar la dimensión de país junto con la condición preconfigurada:
-
Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States” -
Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”