Indicadores de riesgo de usuario de Citrix®
Nota
Atención: Citrix Content Collaboration™ y ShareFile han llegado al final de su vida útil y ya no están disponibles para los usuarios.
Los indicadores de riesgo de usuario son actividades de usuario que parecen sospechosas o que pueden suponer una amenaza de seguridad para tu organización. Estos indicadores de riesgo abarcan todos los productos Citrix utilizados en tu implementación. Los indicadores de riesgo se activan cuando el comportamiento del usuario se desvía de lo normal. Cada indicador de riesgo puede tener uno o más factores de riesgo asociados. Estos factores de riesgo te ayudan a determinar el tipo de anomalías en los eventos del usuario. Los indicadores de riesgo y sus factores de riesgo asociados determinan la puntuación de riesgo de un usuario.
Los siguientes son los factores de riesgo asociados a los indicadores de riesgo:
-
Indicadores de riesgo basados en el dispositivo: Se activan cuando un usuario inicia sesión desde un dispositivo que se considera inusual según el historial de dispositivos del usuario.
-
Indicadores de riesgo basados en la ubicación: Se activan cuando un usuario inicia sesión desde una dirección IP asociada a una ubicación que se considera inusual según el historial de ubicaciones del usuario.
-
Indicadores de riesgo basados en la IP: Se activan cuando un usuario intenta acceder a recursos desde una dirección IP que ha sido identificada como sospechosa, independientemente de si la dirección IP es inusual para el usuario.
-
Indicadores de riesgo basados en fallos de inicio de sesión: Se activan cuando un usuario tiene un patrón de fallos de inicio de sesión excesivos o inusuales.
-
Indicadores de riesgo basados en datos: Se activan cuando un usuario intenta extraer datos de una sesión de Workspace. Los comportamientos del usuario bajo observación incluyen eventos de copiar o pegar, patrones de descarga, etc.
-
Indicadores de riesgo basados en archivos: Se activan cuando el comportamiento de un usuario con respecto al acceso a archivos en Content Collaboration se considera inusual según su patrón de acceso histórico. Los comportamientos del usuario bajo observación incluyen patrones de descarga, acceso a contenido sensible, actividades indicativas de ransomware, etc.
-
Indicadores de riesgo personalizados: Se activan cuando se cumple una condición preconfigurada o una condición definida por el usuario. Para obtener más información, consulta los siguientes artículos:
-
Otros indicadores de riesgo: Los indicadores de riesgo que no pertenecen a ninguno de los factores de riesgo predefinidos, como los basados en el dispositivo, los basados en la ubicación y los basados en fallos de inicio de sesión.
Los indicadores de riesgo también se agrupan en categorías de riesgo según los riesgos que son similares. Para obtener más información, consulta Categorías de riesgo.
La siguiente tabla muestra la correlación entre los indicadores de riesgo, los factores de riesgo y las categorías de riesgo.
| Productos | Indicador de riesgo de usuario | Factor de riesgo | Categoría de riesgo |
|---|---|---|---|
| Citrix Endpoint Management | Dispositivo con aplicaciones en la lista negra detectado | Otros indicadores de riesgo | Puntos finales comprometidos |
| Dispositivo con jailbreak o rooteado detectado | Otros indicadores de riesgo | Puntos finales comprometidos | |
| Dispositivo no administrado detectado | Otros indicadores de riesgo | Puntos finales comprometidos | |
| Citrix Gateway | Fallo de análisis de Endpoint Analysis (EPA) | Otros indicadores de riesgo | Usuarios comprometidos |
| Fallos de autenticación excesivos | Indicadores de riesgo basados en fallos de inicio de sesión | Usuarios comprometidos | |
| Viaje imposible | Indicadores de riesgo basados en la ubicación | Usuarios comprometidos | |
| Inicio de sesión desde IP sospechosa | Indicadores de riesgo basados en la IP | Usuarios comprometidos | |
| Inicio de sesión sospechoso | Indicadores de riesgo basados en el dispositivo, indicadores de riesgo basados en la IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo | Usuarios comprometidos | |
| Fallo de autenticación inusual | Indicadores de riesgo basados en fallos de inicio de sesión | Usuarios comprometidos | |
| Citrix Secure Private Access | Intento de acceso a URL en la lista negra | Otros indicadores de riesgo | Amenazas internas |
| Descarga excesiva de datos | Otros indicadores de riesgo | Amenazas internas | |
| Acceso a sitio web de riesgo | Otros indicadores de riesgo | Amenazas internas | |
| Volumen de carga inusual | Otros indicadores de riesgo | Amenazas internas | |
| Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops) y Citrix Virtual Apps and Desktops locales | Viaje imposible | Indicadores de riesgo basados en la ubicación | Usuarios comprometidos |
| Posible exfiltración de datos | Indicadores de riesgo basados en datos | Exfiltración de datos | |
| Inicio de sesión sospechoso | Indicadores de riesgo basados en el dispositivo, indicadores de riesgo basados en la IP, indicadores de riesgo basados en la ubicación y otros indicadores de riesgo | Usuarios comprometidos |
Puedes marcar manualmente los indicadores de riesgo como útiles o no útiles. Para obtener más información, consulta Proporcionar comentarios sobre los indicadores de riesgo de usuario.