Documentación de productos
Citrix Analytics for Security™
Ver PDF

Indicadores de riesgo de Citrix Gateway

September 16, 2025
Contribución de: 
C C

Fallos de análisis de End Point Analysis (EPA)

Citrix Analytics detecta amenazas basadas en el acceso de los usuarios a partir de la actividad de fallos de análisis de EPA y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado al indicador de riesgo de fallo de análisis de End Point Analysis es el de otros indicadores de riesgo. Para obtener más información sobre los factores de riesgo, consulta Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de fallos de análisis de EPA?

El indicador de riesgo de fallo de análisis de EPA se notifica cuando un usuario intenta acceder a la red mediante un dispositivo que ha fallado las directivas de análisis de End Point Analysis (EPA) de Citrix Gateway para la autenticación previa o posterior.

Citrix Gateway detecta estos eventos y los notifica a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados fallos de análisis de EPA. Cuando Citrix Analytics determina fallos excesivos de análisis de EPA para un usuario, actualiza la puntuación de riesgo del usuario y agrega una entrada de indicador de riesgo de fallo de análisis de EPA a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallos de análisis de EPA?

Considera al usuario Lemuel, quien recientemente intentó varias veces acceder a la red utilizando un dispositivo que ha fallado el análisis de EPA de Citrix Gateway. Citrix Gateway notifica este fallo a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de fallo de análisis de EPA se agrega a la cronología de riesgo de Lemuel Kildow.

Para ver la entrada de fallo de análisis de EPA de un usuario, navega a Seguridad > Usuarios y selecciona al usuario.

Desde la cronología de riesgo de Lemuel Kildow, puedes seleccionar el último indicador de riesgo de fallos de análisis de EPA notificado para el usuario. Cuando seleccionas una entrada de indicador de riesgo de fallo de análisis de EPA de la cronología, aparece un panel de información detallada correspondiente en el panel derecho.

Fallos de análisis de EPA

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen del indicador de riesgo de fallo de análisis de EPA. Además, incluye el número de fallos de análisis de EPA posteriores al inicio de sesión notificados durante el período seleccionado.

    Qué sucedió con los fallos de análisis de EPA

  • La sección DETALLES DEL EVENTO – FALLOS DE ANÁLISIS incluye una visualización de la cronología de los eventos individuales de fallo de análisis de EPA que ocurrieron durante el período de tiempo seleccionado. Además, incluye una tabla que proporciona la siguiente información clave sobre cada evento:

    • Hora. La hora en que ocurrió el fallo de análisis de EPA.

    • IP del cliente. La dirección IP del cliente que causa el fallo de análisis de EPA.

    • IP de Gateway. La dirección IP de Citrix Gateway que notificó el fallo de análisis de EPA.

    • FQDN. El FQDN de Citrix Gateway.

    • Descripción del evento. Breve descripción del motivo del fallo de análisis de EPA.

    • Nombre de la directiva. El nombre de la directiva de análisis de EPA configurada en Citrix Gateway.

    • Expresión de seguridad. La expresión de seguridad configurada en Citrix Gateway.

      Detalles del evento de fallo de análisis de EPA

¿Qué acciones puedes aplicar al usuario?

Puedes realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Si quieres supervisar a un usuario para detectar posibles amenazas futuras, puedes agregarlo a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cerrar sesión del usuario. Cuando se cierra la sesión de un usuario de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción de cerrar sesión del usuario.

  • Bloquear usuario: Cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulta Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navega al perfil del usuario y selecciona el indicador de riesgo apropiado. En el menú Acciones, selecciona una acción y haz clic en Aplicar.

Nota

Independientemente del origen de datos que active un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Fallos de autenticación excesivos

Citrix Analytics detecta amenazas basadas en el acceso de los usuarios a partir de fallos de autenticación excesivos y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado al indicador de riesgo de fallos de autenticación excesivos es el de los indicadores de riesgo basados en fallos de inicio de sesión. Para obtener más información sobre los factores de riesgo, consulta Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de fallos de autenticación excesivos?

El indicador de riesgo de fallo de inicio de sesión se notifica cuando el usuario encuentra múltiples fallos de autenticación de Citrix Gateway dentro de un período determinado. Los fallos de autenticación de Citrix Gateway pueden ser fallos de autenticación primarios, secundarios o terciarios, dependiendo de si la autenticación multifactor está configurada para el usuario.

Citrix Gateway detecta todos los fallos de autenticación del usuario y notifica estos eventos a Citrix Analytics. Citrix Analytics supervisa todos estos eventos para detectar si el usuario ha tenido demasiados fallos de autenticación. Cuando Citrix Analytics determina fallos de autenticación excesivos, actualiza la puntuación de riesgo del usuario. El indicador de riesgo de fallos de autenticación excesivos se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de fallos de autenticación excesivos?

Considera al usuario Lemuel, quien recientemente falló múltiples intentos de autenticar la red. Citrix Gateway notifica estos fallos a Citrix Analytics, y se asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de fallos de autenticación excesivos se agrega a la cronología de riesgo de Lemuel Kildow.

Para ver la entrada del indicador de riesgo de fallos de autenticación excesivos de un usuario, navega a Seguridad > Usuarios y selecciona al usuario.

Desde la cronología de riesgo de Lemuel Kildow, puedes seleccionar el último indicador de riesgo de fallos de autenticación excesivos notificado para el usuario. Cuando seleccionas la entrada del indicador de riesgo de fallos de autenticación excesivos de la cronología de riesgo, aparece un panel de información detallada correspondiente en el panel derecho.

Fallos de autenticación excesivos

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen del indicador de riesgo, incluido el número de fallos de autenticación que ocurrieron durante el período seleccionado.

    Qué sucedió con los fallos de autenticación excesivos

  • La sección DETALLES DEL EVENTO incluye una visualización de la cronología de los eventos individuales de fallo de autenticación excesivos que ocurrieron durante el período de tiempo seleccionado. Además, puedes ver la siguiente información clave sobre cada evento:

    • Hora. La hora en que ocurrió el fallo de inicio de sesión.

    • Recuento de errores. El número de fallos de autenticación detectados para el usuario en el momento del evento y durante las 48 horas anteriores.

    • Descripción del evento. Breve descripción del motivo del fallo de inicio de sesión.

      Detalles del evento de fallos de autenticación excesivos

¿Qué acciones puedes aplicar al usuario?

Puedes realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Si quieres supervisar a un usuario para detectar posibles amenazas futuras, puedes agregarlo a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cerrar sesión del usuario. Cuando se cierra la sesión de un usuario de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción de cerrar sesión del usuario.

  • Bloquear usuario: Cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulta Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navega al perfil del usuario y selecciona el indicador de riesgo apropiado. En el menú Acciones, selecciona una acción y haz clic en Aplicar.

Nota

Independientemente del origen de datos que active un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Viaje imposible

Citrix Analytics detecta los inicios de sesión de un usuario como riesgosos cuando los inicios de sesión consecutivos provienen de dos países diferentes dentro de un período de tiempo inferior al tiempo de viaje esperado entre los países.

El escenario de tiempo de viaje imposible indica los siguientes riesgos:

  • Credenciales comprometidas: Un atacante remoto roba las credenciales de un usuario legítimo.
  • Credenciales compartidas: Diferentes usuarios están utilizando las mismas credenciales de usuario.

¿Cuándo se activa el indicador de riesgo de viaje imposible?

El indicador de riesgo de viaje imposible evalúa el tiempo y la distancia estimada entre cada par de inicios de sesión consecutivos del usuario, y se activa cuando la distancia es mayor de lo que una persona individual podría viajar en esa cantidad de tiempo.

Nota

Este indicador de riesgo también contiene lógica para reducir las alertas de falsos positivos para los siguientes escenarios que no reflejan las ubicaciones reales de los usuarios:

  • Cuando los usuarios inician sesión a través de Citrix Gateway desde conexiones proxy.
  • Cuando los usuarios inician sesión a través de Citrix Gateway desde clientes alojados.

Cómo analizar el indicador de riesgo imposible

Considera al usuario Adam Maxwell, quien inicia sesión desde dos ubicaciones, Bengaluru, India y Oslo, Noruega, en un lapso de un minuto. Citrix Analytics detecta este evento de inicio de sesión como un escenario de viaje imposible y activa el indicador de riesgo de viaje imposible. El indicador de riesgo se agrega a la cronología de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.

Para ver la cronología de riesgo de Adam Maxwell, selecciona Seguridad > Usuarios. En el panel Usuarios de riesgo, selecciona al usuario Adam Maxwell.

Desde la cronología de riesgo de Adam Maxwell, selecciona el indicador de riesgo de viaje imposible. Puedes ver la siguiente información:

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen del evento de viaje imposible.

    Qué sucedió con GW

  • La sección DETALLES DEL INDICADOR proporciona las ubicaciones desde las que el usuario ha iniciado sesión, la duración del tiempo entre los inicios de sesión consecutivos y la distancia entre las dos ubicaciones.

    Detalles del indicador GW

  • La sección UBICACIÓN DE INICIO DE SESIÓN - ÚLTIMOS 30 DÍAS muestra una vista de mapa geográfico de las ubicaciones de viaje imposible y las ubicaciones conocidas del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puedes pasar el cursor sobre los punteros del mapa para ver el total de inicios de sesión desde cada ubicación.

    Detalles de inicio de sesión de GW - últimos 30 días

  • La sección VIAJE IMPOSIBLE - DETALLES DEL EVENTO proporciona la siguiente información sobre el evento de viaje imposible:

    • Hora: Indica la fecha y la hora de los inicios de sesión.
    • SO del dispositivo: Indica el sistema operativo del dispositivo del usuario.
    • IP del cliente: Indica la dirección IP del dispositivo del usuario.
    • Ubicación: Indica la ubicación desde donde el usuario ha iniciado sesión.

    Detalles del evento de viaje imposible de GW

¿Qué acciones puedes aplicar al usuario?

Puedes realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Si quieres supervisar a un usuario para detectar posibles amenazas futuras, puedes agregarlo a una lista de seguimiento.
  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.
  • Cerrar sesión del usuario. Cuando se cierra la sesión de un usuario de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción de cerrar sesión del usuario.
  • Bloquear usuario: Cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulta Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navega al perfil del usuario y selecciona el indicador de riesgo apropiado. En el menú Acciones, selecciona una acción y haz clic en Aplicar.

Nota

Independientemente del origen de datos que active un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Inicio de sesión desde IP sospechosa

Citrix Analytics detecta amenazas de acceso de usuarios basadas en la actividad de inicio de sesión desde una IP sospechosa y activa este indicador de riesgo.

El factor de riesgo asociado al indicador de riesgo de inicio de sesión desde IP sospechosa es el de los indicadores de riesgo basados en IP. Para obtener más información sobre los factores de riesgo, consulta Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de riesgo de inicio de sesión desde IP sospechosa?

El indicador de riesgo de inicio de sesión desde IP sospechosa se activa cuando un usuario intenta acceder a la red desde una dirección IP que Citrix Analytics identifica como sospechosa. La dirección IP se considera sospechosa según una de las siguientes condiciones:

  • Está incluida en la fuente de inteligencia de amenazas de IP externa.

  • Tiene múltiples registros de inicio de sesión de usuario desde una ubicación inusual.

  • Tiene intentos de inicio de sesión fallidos excesivos que podrían indicar un ataque de fuerza bruta.

Citrix Analytics supervisa los eventos de inicio de sesión recibidos de Citrix Gateway y detecta si un usuario ha iniciado sesión desde alguna IP sospechosa. Cuando Citrix Analytics detecta un intento de inicio de sesión desde una IP sospechosa, actualiza la puntuación de riesgo del usuario y agrega una entrada de indicador de riesgo de inicio de sesión desde IP sospechosa a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de riesgo de inicio de sesión desde IP sospechosa?

Considera al usuario Lemuel, quien intentó acceder a la red desde una dirección IP que Citrix Analytics identifica como sospechosa. Citrix Gateway notifica el evento de inicio de sesión a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Lemuel. El indicador de riesgo de inicio de sesión desde IP sospechosa se agrega a la cronología de riesgo de Lemuel Kildow.

Inicio de sesión desde IP sospechosa

Para ver el indicador de riesgo de inicio de sesión desde IP sospechosa notificado para un usuario, navega a Seguridad > Usuarios y selecciona al usuario. Desde la cronología de riesgo de Lemuel Kildow, puedes seleccionar el último indicador de riesgo de inicio de sesión desde IP sospechosa notificado para el usuario. Cuando seleccionas la entrada del indicador de riesgo de inicio de sesión desde IP sospechosa de la cronología, aparece un panel de información detallada correspondiente en el panel derecho.

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen del indicador de riesgo de inicio de sesión desde IP sospechosa. Además, incluye el número de inicios de sesión desde una dirección IP sospechosa notificados durante el período seleccionado.

    Inicio de sesión desde IP sospechosa

  • La sección IP sospechosa proporciona la siguiente información:

    Sección de IP sospechosa

    • IP sospechosa. La dirección IP asociada a una actividad de inicio de sesión sospechosa.

    • Ubicación. La ciudad, región y país del usuario. Estas ubicaciones se muestran según la disponibilidad de datos.

    • Riesgo potencial a nivel de organización. Indica cualquier patrón de actividad de IP sospechosa que Citrix Analytics haya detectado recientemente en tu organización. Los patrones de riesgo incluyen fallos de inicio de sesión excesivos consistentes con posibles intentos de fuerza bruta y acceso inusual por parte de múltiples usuarios.

      Si no se detecta ningún patrón de riesgo para una dirección IP en tu organización, verás el siguiente mensaje.

      Sin patrón de riesgo

    • Inteligencia comunitaria. Proporciona la puntuación de amenaza y las categorías de amenaza de una dirección IP que se identifica como de alto riesgo en la fuente de inteligencia de amenazas de IP externa. Citrix Analytics asigna una puntuación de riesgo a la dirección IP de alto riesgo. La puntuación de riesgo comienza en 80.

      Si una dirección IP no tiene ninguna inteligencia de amenazas disponible en la fuente de inteligencia de amenazas de IP externa, verás el siguiente mensaje.

      Sin fuente de inteligencia

  • La sección DETALLES DEL EVENTO proporciona la siguiente información sobre la actividad de inicio de sesión sospechosa:

    Inicio de sesión desde IP sospechosa

    • Hora. La hora de la actividad de inicio de sesión sospechosa.

    • IP del cliente. La dirección IP del dispositivo del usuario que se utilizó para la actividad de inicio de sesión sospechosa.

    • SO del dispositivo. El sistema operativo del navegador.

    • Navegador del dispositivo. El navegador web utilizado para la actividad de inicio de sesión sospechosa.

¿Qué acciones puedes aplicar al usuario?

Puedes realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Si quieres supervisar a un usuario para detectar posibles amenazas futuras, puedes agregarlo a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cerrar sesión del usuario. Cuando se cierra la sesión de un usuario de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción de cerrar sesión del usuario.

  • Bloquear usuario: Cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulta Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navega al perfil del usuario y selecciona el indicador de riesgo apropiado. En el menú Acciones, selecciona una acción y haz clic en Aplicar.

Nota

Independientemente del origen de datos que active un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Inicio de sesión sospechoso

Notas

  • Este indicador de riesgo reemplaza al indicador de riesgo de acceso desde una ubicación inusual.

  • Cualquier directiva basada en el indicador de riesgo de acceso desde una ubicación inusual se vincula automáticamente al indicador de riesgo de inicio de sesión sospechoso.

Citrix Analytics detecta los inicios de sesión del usuario que parecen inusuales o riesgosos basándose en múltiples factores contextuales, que se definen conjuntamente por el dispositivo, la ubicación y la red utilizados por el usuario.

¿Cuándo se activa el indicador de riesgo de inicio de sesión sospechoso?

El indicador de riesgo se activa por la combinación de los siguientes factores, donde cada factor se considera potencialmente sospechoso según una o más condiciones.

Factor Condiciones
Dispositivo inusual El usuario inicia sesión desde un dispositivo con una firma diferente a la de los dispositivos utilizados en los últimos 30 días. La firma del dispositivo se basa en el sistema operativo del dispositivo y el navegador utilizado.
Ubicación inusual Inicio de sesión desde una ciudad o un país desde el que el usuario no ha iniciado sesión en los últimos 30 días.
  La ciudad o el país están geográficamente lejos de las ubicaciones de inicio de sesión recientes (últimos 30 días).
  Cero o un mínimo de usuarios han iniciado sesión desde la ciudad o el país en los últimos 30 días.
Red inusual Inicio de sesión desde una dirección IP que el usuario no ha utilizado en los últimos 30 días.
  Inicio de sesión desde una subred IP que el usuario no ha utilizado en los últimos 30 días.
  Cero o un mínimo de usuarios han iniciado sesión desde la subred IP en los últimos 30 días.
Amenaza IP La dirección IP se identifica como de alto riesgo por la fuente de inteligencia de amenazas de la comunidad: Webroot.
  Citrix Analytics detectó recientemente actividades de inicio de sesión altamente sospechosas desde la dirección IP de otros usuarios.

¿Cómo analizar el indicador de riesgo de inicio de sesión sospechoso?

Considera al usuario Adam Maxwell, quien inicia sesión desde Andhra Pradesh, India, por primera vez. Utiliza un dispositivo con una firma conocida para acceder a los recursos de la organización. Pero se conecta desde una red que no ha utilizado en los últimos 30 días.

Citrix Analytics detecta este evento de inicio de sesión como sospechoso porque los factores (ubicación y red) se desvían de su comportamiento habitual y activa el indicador de riesgo de inicio de sesión sospechoso. El indicador de riesgo se agrega a la cronología de riesgo de Adam Maxwell y se le asigna una puntuación de riesgo.

Para ver la cronología de riesgo de Adam Maxwell, selecciona Seguridad > Usuarios. En el panel Usuarios de riesgo, selecciona al usuario Adam Maxwell.

Desde la cronología de riesgo de Adam Maxwell, selecciona el indicador de riesgo de inicio de sesión sospechoso. Verás la siguiente información:

  • La sección QUÉ SUCEDIÓ proporciona un breve resumen de las actividades sospechosas que incluyen los factores de riesgo y la hora del evento.

    Qué sucedió con el inicio de sesión sospechoso de GW

  • La sección DETALLES DEL INICIO DE SESIÓN proporciona un resumen detallado de las actividades sospechosas correspondientes a cada factor de riesgo. A cada factor de riesgo se le asigna una puntuación que indica el nivel de sospecha. Un solo factor de riesgo no indica un alto riesgo por parte de un usuario. El riesgo general se basa en la correlación de múltiples factores de riesgo.

    Nivel de sospecha Indicación
    0–69 El factor parece normal y no se considera sospechoso.
    70–89 El factor parece ligeramente inusual y se considera moderadamente sospechoso con otros factores.
    90–100 El factor es completamente nuevo o inusual y se considera altamente sospechoso con otros factores.

    Detalles del inicio de sesión sospechoso

  • La sección UBICACIÓN DE INICIO DE SESIÓN - ÚLTIMOS 30 DÍAS muestra una vista de mapa geográfico de las últimas ubicaciones conocidas y la ubicación actual del usuario. Los datos de ubicación se muestran durante los últimos 30 días. Puedes pasar el cursor sobre los punteros del mapa para ver el total de inicios de sesión desde cada ubicación.

    Detalles de las ubicaciones de inicio de sesión sospechosas

  • La sección INICIO DE SESIÓN SOSPECHOSO - DETALLES DEL EVENTO proporciona la siguiente información sobre el evento de inicio de sesión sospechoso:

    • Hora: Indica la fecha y la hora del inicio de sesión sospechoso.

    • SO del dispositivo: Indica el sistema operativo del dispositivo del usuario.

    • Navegador del dispositivo: Indica el navegador web utilizado para iniciar sesión en Citrix Gateway.

    Eventos de inicio de sesión sospechosos

¿Qué acciones puedes aplicar al usuario?

Puedes realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Si quieres supervisar a un usuario para detectar posibles amenazas futuras, puedes agregarlo a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cerrar sesión del usuario. Cuando se cierra la sesión de un usuario de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción de cerrar sesión del usuario.

  • Bloquear usuario: Cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulta Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navega al perfil del usuario y selecciona el indicador de riesgo apropiado. En el menú Acciones, selecciona una acción y haz clic en Aplicar.

Nota

Independientemente del origen de datos que active un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Fallo de autenticación inusual

Citrix Analytics detecta amenazas basadas en el acceso cuando un usuario tiene fallos de inicio de sesión desde una dirección IP inusual y activa el indicador de riesgo correspondiente.

El factor de riesgo asociado al indicador de riesgo de autenticación inusual es el de los indicadores de riesgo basados en fallos de inicio de sesión. Para obtener más información sobre los factores de riesgo, consulta Indicadores de riesgo de usuario de Citrix.

¿Cuándo se activa el indicador de fallo de autenticación inusual?

Puedes recibir una notificación cuando un usuario de tu organización tenga fallos de inicio de sesión desde una dirección IP inusual que sea contraria a su comportamiento habitual.

Citrix Gateway detecta estos eventos y los notifica a Citrix Analytics. Citrix Analytics recibe los eventos y aumenta la puntuación de riesgo del usuario. El indicador de riesgo de fallo de autenticación inusual se agrega a la cronología de riesgo del usuario.

¿Cómo analizar el indicador de fallo de autenticación inusual?

Considera a la usuaria Georgina Kalou, quien habitualmente inicia sesión en Citrix Gateway desde sus redes domésticas y de oficina habituales. Un atacante remoto intenta autenticar la cuenta de Georgina adivinando diferentes contraseñas, lo que resulta en fallos de autenticación desde una red desconocida.

En este escenario, Citrix Gateway notifica estos eventos a Citrix Analytics, que asigna una puntuación de riesgo actualizada a Georgina Kalou. El indicador de riesgo de fallo de autenticación inusual se agrega a la cronología de riesgo de Georgina Kalou.

Desde la cronología de riesgo de Georgina Kalou, puedes seleccionar el indicador de riesgo de fallo de autenticación inusual notificado. Se muestra el motivo del evento junto con detalles como la hora del evento y la ubicación.

Fallo de autenticación

  • En la sección QUÉ SUCEDIÓ, puedes ver el breve resumen que incluye el número total de fallos de autenticación y la hora del evento.

  • En la sección ACCIÓN RECOMENDADA, encontrarás las acciones sugeridas que se pueden aplicar al indicador de riesgo. Citrix Analytics for Security™ recomienda las acciones según la gravedad del riesgo que representa el usuario. La recomendación puede ser una o una combinación de las siguientes acciones:

    • Notificar a los administradores

    • Agregar a la lista de seguimiento

    • Crear una directiva

    Puedes seleccionar una acción basándote en la recomendación. O puedes seleccionar una acción que quieras aplicar según tu elección en el menú Acciones. Para obtener más información, consulta Aplicar una acción manualmente.

    Acción recomendada

  • En la sección DETALLES DEL EVENTO – INICIOS DE SESIÓN CORRECTOS Y FALLIDOS, puedes ver un gráfico que indica los fallos de autenticación inusuales, junto con cualquier otra actividad de inicio de sesión detectada durante la misma duración.

  • En la sección DETALLES DE AUTENTICACIÓN INUSUAL, la tabla proporciona la siguiente información sobre los fallos de autenticación inusuales:

    • Hora de inicio de sesión – La fecha y hora del evento

    • IP del cliente – Dirección IP del dispositivo del usuario

    • Ubicación – La ubicación desde donde ocurrió el evento

    • Motivo del fallo – El motivo del fallo de autenticación

      Detalles del fallo de autenticación

  • En la sección ACTIVIDAD DE AUTENTICACIÓN DEL USUARIO – ÚLTIMOS 30 DÍAS, la tabla proporciona la siguiente información sobre la actividad de autenticación de los últimos 30 días para el usuario:

    • Subred – La dirección IP de la red del usuario.

    • Correcto – El número total de eventos de autenticación correctos y la hora del evento correcto más reciente para el usuario.

    • Fallo – El número total de eventos de autenticación fallidos y la hora del evento fallido más reciente para el usuario.

    • Ubicación – La ubicación desde donde ocurrió el evento de autenticación.

      Actividad de autenticación

¿Qué acciones puedes aplicar al usuario?

Puedes realizar las siguientes acciones en la cuenta del usuario:

  • Agregar a la lista de seguimiento. Si quieres supervisar a un usuario para detectar posibles amenazas futuras, puedes agregarlo a una lista de seguimiento.

  • Notificar a los administradores. Cuando hay alguna actividad inusual o sospechosa en la cuenta del usuario, se envía una notificación por correo electrónico a todos los administradores o a los seleccionados.

  • Cerrar sesión del usuario. Cuando se cierra la sesión de un usuario de su cuenta, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Citrix Gateway borre la acción de cerrar sesión del usuario.

  • Bloquear usuario: Cuando la cuenta de un usuario se bloquea debido a un comportamiento anómalo, no puede acceder a ningún recurso a través de Citrix Gateway hasta que el administrador de Gateway desbloquee la cuenta.

Para obtener más información sobre las acciones y cómo configurarlas manualmente, consulta Directivas y acciones.

Para aplicar las acciones al usuario manualmente, navega al perfil del usuario y selecciona el indicador de riesgo apropiado. En el menú Acciones, selecciona una acción y haz clic en Aplicar.

Nota

Independientemente del origen de datos que active un indicador de riesgo, se pueden aplicar acciones relacionadas con otros orígenes de datos.

Indicadores de riesgo de Citrix Gateway
September 16, 2025
Contribución de: 
C C
September 16, 2025
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.