Libro de trabajo de Citrix Analytics para Microsoft Sentinel

Nota

Esta característica está en versión preliminar.

Este artículo describe el libro de trabajo de Citrix Analytics que está disponible en tu espacio de trabajo de Microsoft Sentinel.

Requisito previo

Para usar el libro de trabajo de Citrix Analytics, asegúrate de haber integrado ya Microsoft Sentinel con Citrix Analytics for Security. Para obtener más información, consulta Integración de Microsoft Sentinel.

Ver los eventos de Citrix Analytics

Después de integrar Citrix Analytics for Security™ con Microsoft Sentinel, el conector de Logstash empieza a enviar eventos desde Citrix Analytics for Security a tu espacio de trabajo de Microsoft Sentinel. En tu Azure portal, abre el espacio de trabajo de Microsoft Sentinel que has usado para la integración.

Para verificar que Microsoft Sentinel está recibiendo los eventos de Citrix Analytics for Security, selecciona Registros > Registros personalizados.

En la sección Registros personalizados, puedes ver las tablas de registros que se crean automáticamente para almacenar los eventos recibidos de Citrix Analytics for Security. Estas tablas de registros sirven como origen para los paneles del libro de trabajo de Citrix Analytics.

Nota

Los eventos enviados desde Citrix Analytics for Security pueden tardar unas horas en aparecer en el espacio de trabajo de Microsoft Sentinel. Por lo tanto, es posible que veas un retraso en la creación de las tablas de registros para los eventos.

Ver el libro de trabajo de Citrix Analytics

Cuando las tablas de registros se creen correctamente, haz lo siguiente:

1. Selecciona Libros de trabajo y busca Citrix Analytics. Selecciona Citrix Analytics.

   

2. Selecciona Ver plantilla para abrir el libro de trabajo de Citrix Analytics.

   

En el libro de trabajo de Citrix Analytics, puedes ver los eventos de usuario en los siguientes paneles:

• Información general de las puntuaciones de riesgo de usuario: Proporciona una vista consolidada de los usuarios de riesgo en tu organización.

• Detalles de usuario: Proporciona detalles de los usuarios y su comportamiento de riesgo.

• Perfil de usuario: Proporciona las métricas de eventos asociadas a los usuarios.

• Eventos recibidos: Proporciona los eventos recibidos de Citrix Analytics for Security.

• Detalles del indicador de riesgo: Proporciona detalles sobre los indicadores de riesgo integrados y personalizados activados por los usuarios.

• Información general del indicador de riesgo: Proporciona una vista consolidada de los indicadores de riesgo activados por los usuarios.

  

Información general de la puntuación de riesgo de usuario

Este panel proporciona una vista consolidada de los usuarios de riesgo en tu organización. Los usuarios se categorizan por niveles de riesgo: alto, medio y bajo. Los niveles de riesgo se basan en las anomalías en las actividades de los usuarios y, en consecuencia, se asigna una puntuación de riesgo. Para obtener más información sobre los tipos de usuarios de riesgo, consulta el panel Usuarios.

Selecciona un período de tiempo para ver los usuarios de riesgo en tu organización.

Detalles de usuario

Este panel proporciona la puntuación de riesgo y los indicadores de riesgo asociados a un usuario.

Busca un usuario y ve sus actividades de riesgo que pueden suponer una amenaza para tu organización. Para mitigar la amenaza, puedes tomar las medidas adecuadas en las cuentas de usuario según su gravedad de riesgo.

Perfil de usuario

Este panel proporciona los detalles de las métricas de eventos asociadas a tus usuarios durante un período de tiempo seleccionado. Las métricas proporcionan información sobre las actividades de los usuarios, como:

• Las 10 aplicaciones principales usadas por los usuarios

• Los 10 dispositivos principales usados por los usuarios

• Las 10 ubicaciones principales desde las que los usuarios han iniciado sesión

Con los informes, puedes:

• Identificar la tendencia de uso de tus usuarios

• Descubrir los dispositivos no conformes que se usan para acceder a los recursos

• Comprobar si hay accesos de riesgo potenciales de tus usuarios

  

Eventos recibidos

Durante un período de tiempo seleccionado, puedes ver el número total de eventos recibidos de Citrix Analytics for Security. El total de eventos recibidos incluye lo siguiente:

• Resumen del indicador de riesgo: Indica los eventos asociados al resumen de los indicadores de riesgo de usuario. Para obtener información sobre varios eventos de resumen del indicador de riesgo, consulta Esquema del indicador de riesgo.

• Detalles del evento del indicador de riesgo: Indica los eventos asociados a los detalles de los indicadores de riesgo de usuario. Para obtener información sobre varios eventos de detalles del indicador de riesgo, consulta Esquema del indicador de riesgo.

• Puntuación de riesgo del perfil de usuario: Indica los eventos asociados a la puntuación de riesgo de los usuarios. Para obtener información, consulta el panel Usuarios.

• Cambios en la puntuación de riesgo: Indica los eventos asociados al cambio en la puntuación de riesgo de los usuarios. Para obtener información, consulta el panel Usuarios.

• Ubicaciones del perfil de usuario: Indica los eventos asociados a las ubicaciones desde las que los usuarios han iniciado sesión.

• Aplicación del perfil de usuario: Indica los eventos asociados a las aplicaciones usadas por los usuarios.

• Uso del perfil de usuario: Indica los eventos asociados al uso de datos de los usuarios.

• Dispositivo del perfil de usuario: Indica los eventos asociados a los dispositivos usados por los usuarios.

Al revisar el panel a intervalos regulares, puedes asegurarte de que los eventos fluyen correctamente a tu espacio de trabajo de Microsoft Sentinel. Cualquier discrepancia en el total de eventos recibidos podría indicar problemas de integración con Citrix Analytics for Security. Puedes realizar los pasos necesarios para depurar los problemas.

Detalles del indicador de riesgo

Este panel proporciona los detalles de los indicadores de riesgo activados por tus usuarios.

Puedes ver los detalles del indicador de riesgo seleccionando una o varias categorías:

• Intervalo de tiempo: Selecciona un intervalo de tiempo para ver los detalles de los indicadores de riesgo activados durante el período.

• Tipo de entidad: Selecciona un usuario para ver los detalles de los indicadores de riesgo asociados.

• Tipo de indicador de riesgo: Selecciona indicadores de riesgo integrados o personalizados para ver sus detalles.

• Origen de datos: Selecciona un origen de datos para ver los indicadores de riesgo asociados.

• Categoría del indicador de riesgo: Selecciona la categoría de riesgo para ver los indicadores de riesgo asociados.

• Indicador de riesgo: Selecciona un indicador de riesgo por nombre y ve sus detalles.

  

Información general del indicador de riesgo

Este panel proporciona una vista consolidada de todos los indicadores de riesgo activados por tus usuarios.

Puedes ver los indicadores de riesgo seleccionando una o varias categorías:

• Intervalo de tiempo: Selecciona un período de tiempo para ver los indicadores de riesgo que se activan durante ese período.

• Tipo de indicador de riesgo: Selecciona integrados o personalizados para ver los indicadores de riesgo asociados.

• Tipo de entidad: Selecciona un usuario para ver los indicadores de riesgo asociados.