Resumen técnico: Análisis

Los entornos de TI de las organizaciones son cada vez más complejos a medida que empiezan a adoptar aplicaciones SaaS, cloud y móviles. Los administradores necesitan la visibilidad de su entorno no solo para protegerlo de usuarios malintencionados, sino también para mejorar la experiencia del usuario de forma proactiva. Citrix Analytics reúne toda la cartera de Citrix para proporcionar visibilidad sobre el estado y el contexto de los usuarios individuales. A diferencia de algunas de las otras herramientas de supervisión que ofrece Citrix, Citrix Analytics le proporciona información proactiva y prescriptiva sobre su entorno para resolver problemas antes de que se conviertan en un problema. Citrix Analytics se basa en el aprendizaje automático para proporcionarle la información necesaria sin sobrecarga de información.

Descripción general

Citrix Analytics genera información procesable que permite a los administradores gestionar de forma proactiva las amenazas a la seguridad de los usuarios y las aplicaciones, mejorar el rendimiento de las aplicaciones y respaldar las operaciones continuas. Citrix Analytics está disponible como un servicio en la nube proporcionado a través de Citrix Cloud. Citrix Analytics se puede dividir en tres categorías: Seguridad, Rendimiento y Uso. Citrix Analytics for Security le permite supervisar e identificar actividades incoherentes o sospechosas dentro de su entorno. Usage Analytics le ofrece visibilidad sobre cómo interactúan los usuarios con varios productos Citrix. Citrix Analytics for Performance proporciona puntuaciones de experiencia centradas en el usuario, puntuaciones de rendimiento de aplicaciones e infraestructura a través de análisis avanzados.

Citrix Analytics for Security

Citrix Analytics for Security recopila datos de Citrix y productos de terceros y genera información útil.

Orígenes de datos de Citrix

En la siguiente tabla se enumeran varios orígenes de datos de Citrix compatibles con Citrix Analytics for Security.

Origen de datos Tipo de implementación Agentes requeridos Componente y versión del producto
Citrix Endpoint Management Servicio N/D Citrix Endpoint Management
Gateway Local Agente de administración de entrega de aplicaciones Citrix Gateway 12.0.56.16 o posterior
Proveedor de identidades Citrix Servicio N/D Administración de acceso e identidad de Citrix
Citrix Secure Private Access Servicio N/D Citrix Secure Private Access
Citrix Remote Browser Isolation Servicio N/D Citrix Remote Browser Isolation
Citrix DaaS Servicio N/D Aplicación Citrix Workspace para Windows 1907 o posterior, aplicación Citrix Workspace para Mac 1910.2 o posterior, aplicación Citrix Workspace para HTML5 2007 o posterior, aplicación Citrix Workspace para Chrome: última versión disponible en Chrome Web Store, aplicación Citrix Workspace para Android: última versión disponible en Google Play, aplicación Citrix Workspace para iOS, última versión disponible en Apple App Store, aplicación Citrix Workspace para Linux 2006 o posterior.
Citrix Virtual Apps and Desktops Local Agente de Virtual Apps and Desktops Citrix Virtual Apps and Desktops 7 1808, Citrix XenApp y XenDesktop 7.16 y posteriores
    El agente es necesario para funciones avanzadas como Acciones. Aplicación Citrix Workspace para Windows 1907 o posterior, aplicación Citrix Workspace para Mac 1910.2 o posterior, aplicación Citrix Workspace para HTML5 2007 o posterior, aplicación Citrix Workspace para Chrome, la última versión disponible en Chrome Web Store, aplicación Citrix Workspace para Android: la última versión disponible en Google Play, la aplicación Citrix Workspace para iOS: la última versión disponible en Apple App Store, la aplicación Citrix Workspace para Linux 2006 o posterior
      Citrix Director 7.16 o posterior
      Para los usuarios de Workspace: Lossitios locales de Virtual Apps and Desktops deben agregarse a Workspace mediante la agregación de sitios.
      Para los usuarios de StoreFront: La versión de implementación de StoreFront debe ser StoreFront 1906 o posterior. Se debe acceder a StoreFront mediante uno de los siguientes clientes: Citrix Receiver para sitios web en exploradores compatibles con HTML5, la aplicación Citrix Workspace 1907 para Windows o posterior, la aplicación Citrix Workspace 2006 para Linux o posterior, la aplicación Citrix Workspace 2006 para Mac o posterior.
      Compatibilidad con LTSR: para Citrix Virtual Apps and Desktops 7 1912 LTSR, la versión compatible de StoreFront es 1912.

Orígenes de datos externas

En la siguiente tabla se enumeran los orígenes de datos externas (productos de terceros) que admite Citrix Analytics for Security.

Origen de datos Tipo de implementación Agentes requeridos
Microsoft Graph Security Servicio N/D
Microsoft Active Directory Local Citrix Cloud Connector

Citrix Analytics for Security detecta un comportamiento anómalo del usuario a través de su servicio de aprendizaje automático μ-service. Asigna a los usuarios una puntuación de riesgo, un valor que indica el nivel agregado de riesgo que plantea un usuario a través de la puntuación de riesgo del servicio μ. Esta puntuación es un valor dinámico que se basa en Análisis de comportamiento de usuario (UBA). Los administradores pueden crear directivas para automatizar procesos y aplicar acciones basadas en indicadores de riesgo. Citrix Analytics for Security conserva los datos durante 13 meses. Si el administrador desactiva el procesamiento de datos para un origen de datos específico, los datos que ya se capturaron permanecen almacenados durante 13 meses. Más información sobre qué registros específicos por fuente de datos se recopilan aquí.

Citrix Analytics for Security recibe la información de la siguiente manera. Para el servicio Citrix Secure Private Access, Citrix Endpoint Management y el servicio Citrix Gateway (nube), recibe su información directamente del plano de control de la fuente de datos específica. En el caso de NetScaler Gateway local, recibe los datos del agente de administración de entrega de aplicaciones. En el caso de Citrix DaaS y Citrix Virtual Apps and Desktops, recibe su información a través de la aplicación Citrix Workspace. Para obtener datos de Active Directory, Citrix Analytics se comunica con los Citrix Cloud Connectors. Para la seguridad de Microsoft Graph, podemos obtener información de la protección de identidades de Azure AD y ATP de Windows Defender a través de las API de gráficos.

Para usar Citrix Analytics for Security, debe tener una cuenta de Citrix Cloud. Vaya a https://citrix.cloud.com e inicie sesión con su cuenta de Citrix Cloud existente. Puede encontrar una guía detallada sobre cómo empezar aquí.

Arquitectura High Level

Panel de usuarios

El panel de usuarios le permite obtener una visión holística de cualquier usuario que se considere riesgoso dentro de su organización. Los usuarios se clasifican entre usuarios de alto, medio y bajo riesgo.

Panel de usuario

Los administradores pueden cambiar las vistas para mostrar los usuarios con la puntuación más alta para todos los usuarios, los usuarios con privilegios y los usuarios de la lista de seguimiento. Además, muestra las categorías de riesgo y, en esencia, le brinda una lista completa de la exposición al riesgo y de lo que requiere atención inmediata. Puede encontrar más información sobre el panel de usuario aquí.

Panel de usuario

Con todos estos paneles, puede hacer clic y obtener información más detallada. Por ejemplo, si hace clic en Ver más en las categorías de riesgo, obtendrá un resumen de las ocurrencias de los indicadores de riesgo en cada categoría.

Informe de riesgo

Además, si en el panel de control de usuarios riesgosos, haces clic en un usuario específico, te redirigirá a la Cronología de riesgos del usuario. Esta línea de tiempo le permite obtener información más detallada sobre las acciones que el usuario ha realizado que son riesgosas. También verá si se han realizado acciones automatizadas contra ese usuario específico. Al hacer clic en cada evento, puede obtener información adicional sobre cuándo ocurrió un evento y dónde está el origen de ese evento. En el panel de control de riesgos de usuario, puede encontrar información de usuario como información de AD (teléfono, correo electrónico, título) e información sobre qué aplicaciones, dispositivos y ubicaciones están utilizando. Puede encontrar más información sobre el cronograma de riesgos aquí.

Cronología del riesgo

Las puntuaciones de riesgo se calculan mediante infracciones basadas en directivas (establecidas por los administradores), modelado del comportamiento del usuario a lo largo del tiempo, detección de comportamiento de anomalías AI/ML y normalización de grupos de pares. Las puntuaciones de riesgo son valores que indican el nivel agregado de riesgo que plantea un usuario. Los indicadores de riesgo son actividades de usuario que parecen sospechosas o pueden representar una amenaza para la seguridad de su organización. Hay indicadores de riesgo predeterminados que utiliza el sistema, pero un administrador también puede crear indicadores de riesgo personalizados.

Puntuación de riesgo

Directivas y acciones

Las directivas se definen de modo que una vez que se cumple una condición, se ejecuta la acción. Una directiva contiene una o más condiciones y una sola acción. Hay directivas predeterminadas disponibles: estas directivas tienen condiciones predefinidas y tienen una acción correspondiente. Estas directivas predeterminadas se pueden utilizar tal cual o modificarse en función de sus requisitos. Las directivas predeterminadas son las siguientes:

  • Session-start-outside-geofence
  • Acceso por primera vez desde el dispositivo
  • Exfiltración potencial de datos

-

Las acciones son las respuestas a los eventos sospechosos que impiden que ocurran eventos anómalos futuros. Las acciones pueden ser invocadas a voluntad por el administrador de Citrix Analytics o automáticamente por el sistema según las reglas definidas por el administrador. Actualmente están disponibles las siguientes acciones:

  • Global
    • Solicitar respuesta del usuario final
    • Agregar a la lista de seguimiento
    • Notificar a los administradores
    • Notificar al usuario final
    • Eliminar de la lista de seguimiento
  • Gateway
    • Cerrar sesión activas
    • Bloquear cuenta de usuario
    • Desbloquear cuenta de usuario
  • Aplicaciones y escritorios
    • Cerrar sesión activas
    • Iniciar grabación de sesiones

Actualmente, las siguientes condiciones están disponibles al crear una directiva:

  • Puntuación de riesgo
    • Puntuación de riesgo
  • Citrix Gateway
    • Error en la exploración de la EPA
    • Trayectos imposibles
    • Fallos excesivos de autorización
    • Inicio de sesión desde IP sospechosa
    • Inicio de sesión sospechoso
    • Error de autenticación inusual
  • Citrix Secure Private Access
    • Intento de acceder a URL de la lista de bloqueados
    • Descarga excesiva de datos
    • Volumen de subida
  • Aplicaciones y escritorios
    • Exfiltración potencial de datos
    • Trayectos imposibles
    • Inicio de sesión sospechoso
  • Citrix Endpoint Management
    • Dispositivo con aplicaciones en la lista de bloqueados detectado
    • Se detectó un dispositivo con jailbreak o rooteado
    • Dispositivo no administrado detectado

Policy

Puede encontrar más información sobre cómo configurar directivas y acciones aquí.

Panel de ubicación de Access Assurance

El panel de mandos de Access Assurance proporciona una descripción general de las ubicaciones y redes desde las que los usuarios acceden a las aplicaciones o escritorios virtuales. Citrix Analytics for Security recibe estos eventos de inicio de sesión de usuario de la aplicación Citrix Workspace instalada en los dispositivos de los usuarios.

El panel de control Ubicación de garantía de acceso proporciona una descripción general de las ubicaciones desde las que los usuarios acceden a aplicaciones o escritorios virtuales. Citrix Analytics for Security recibe estos eventos de inicio de sesión de usuario de la aplicación Citrix Workspace instalada en los dispositivos de los usuarios. La información de ubicación se proporciona a nivel de ciudad y país y no representa una geolocalización precisa. El panel Resumen de acceso proporciona la siguiente información para un período seleccionado:

  • Número total de inicios de sesión de usuarios en las ubicaciones (en todo el mundo).
  • Número total de inicios de sesión de usuarios únicos en las ubicaciones (en todo el mundo).
  • Número total de ciudades desde las que los usuarios han iniciado sesión.
  • El número total de países y los inicios de sesión de usuario únicos en las áreas de geocercas.
  • Las 10 mejores ubicaciones con inicios de sesión de usuario únicos.

Ubicación de Access Assurance

Informes

Los administradores pueden crear informes personalizados a partir de los eventos recibidos en sus orígenes de datos. Actualmente, las fuentes de datos compatibles para los informes personalizados incluyen Secure Private Access, Apps and Desktops, Gateway, Secure Browser, Policies, Risk Score e Risk Indicators. Puede encontrar más información sobre cómo crear informes personalizados aquí.

Report

Citrix Analytics for Performance

Citrix Analytics for Performance cuantifica la experiencia del usuario y ofrece a los clientes una visibilidad integral sobre cuál es la causa raíz de la experiencia del usuario final. También proporciona agregación y generación de informes en varios sitios para que los clientes que tienen varios sitios puedan consumir datos desde un único panel de vidrio en lugar de tener que iniciar sesión en varias consolas de Director. Por último, proporciona la puntuación de rendimiento de la infraestructura para ofrecer a los administradores una visión coherente del estado de su infraestructura.

La puntuación de la experiencia del usuario se calcula teniendo en cuenta diferentes factores que afectan a la experiencia del usuario final, como la resistencia de la sesión, la disponibilidad de la sesión, la duración del inicio de sesión y la capacidad de respuesta de la sesión. Los administradores pueden entonces dividir más profundamente y examinar los subfactores para poder determinar la causa raíz exacta del problema. Por ejemplo, los subfactores de la duración del inicio de sesión incluyen los GPO, la carga de perfiles, la sesión interactiva, la intermediación, el inicio de VM, la conexión HDX, la autenticación y los scripts de inicio de sesión. Los umbrales dinámicos se utilizan para comparar la duración del inicio de sesión de sesión y los factores y subfactores de respuesta de la sesión. Estos cálculos se realizan por cliente y se calculan en función de los últimos 30 días. Los umbrales se recalibran cada siete días para reflejar los cambios realizados en el entorno. Puede encontrar más información sobre cómo se calcula la puntuación de la experiencia del usuario aquí.

Puntaje UX

Citrix Analytics for Performance se puede usar tanto para clientes locales como en la nube y no es necesario que los clientes estén en Citrix Workspace. Citrix Analytics obtiene los datos directamente de la base de datos de supervisión de Citrix Director. Los datos se envían de forma segura desde Citrix Director a Citrix Analytics a través del puerto https 443. Citrix Analytics for Performance también captura datos HDX de Gateway. Para un NetScaler Gateway local, el cliente debe usar el servicio ADM. Para el servicio Citrix Gateway, los datos HDX se envían directamente a Citrix Analytics. No hay datos que vayan de Citrix Cloud a su entorno local. La comunicación de datos es saliente, lo que significa que no es necesario abrir puertos ni permitir ningún tráfico entrante. Para los clientes que utilizan Citrix DaaS, Citrix Analytics obtiene los datos directamente de la plataforma Director, todos los cuales están alojados en Citrix Cloud.

Arquitectura CASP

Panel de puntuación de experiencia de usuario

El panel de puntuación de experiencia de usuario ofrece una visión integral de qué usuarios experimentan una experiencia “excelente”, “justa” o “deficiente”. Citrix Analytics for Performance cuenta con agregación de varios sitios para ofrecerle una visión holística de todos sus entornos (en la nube o locales). La agregación de varios sitios ofrece al administrador la flexibilidad de mirar su entorno de forma integral o filtrar por un sitio específico.

Panel de UX

Los administradores de Citrix Analytics pueden profundizar para ver qué factores hacen que el usuario obtenga esa puntuación específica de experiencia de usuario final. Citrix Analytics for Performance proporciona a los administradores información sobre las posibles causas raíz de lo que puede estar causando el problema de experiencia del usuario. Puede encontrar más información sobre los subfactores de la experiencia del usuario aquí.

Subfactors

Además, en este panel de experiencia de usuario, los administradores pueden ver las tendencias de las sesiones de usuario, que muestran el total de sesiones de HDX en comparación con el total de usuarios únicos y el número de errores de sesión. El total de sesiones indica el número total de sesiones de usuario cuando se inicia una aplicación o un escritorio desde la aplicación Workspace. El total de usuarios únicos es el número de usuarios únicos que han iniciado una sesión o tienen una sesión activa durante el período especificado.

Sesiones usuario

Panel de control de infraestructura

El panel de infraestructura proporciona a los administradores una visión general del estado de la infraestructura de su entorno. El panel proporciona la información del VDA en todos los sitios. En el caso de los VDA de SO multisesión, los administradores pueden ver qué VDA están inutilizables según el índice del evaluador de carga. En el caso de los VDA de SO de una sola sesión, los administradores pueden ver el número de agentes VDA que están en uso y disponibles. Puede encontrar más información sobre las métricas disponibles en el panel Infraestructura aquí.

Infrastructure

Panel de control de Secure Private Access Service

El panel del servicio Secure Private Access muestra los datos de diagnóstico y uso de las aplicaciones SaaS, Web, TCP y UDP. El panel de control proporciona a los administradores una visibilidad completa de sus aplicaciones, usuarios, estado de los conectores y uso del ancho de banda en un solo lugar para su consumo.

Las métricas se clasifican en líneas generales en las siguientes categorías.

  • Registro y solución de problemas
    • Registros de diagnóstico: registros relacionados con la autenticación, el inicio de aplicaciones, la enumeración de aplicaciones y las comprobaciones del estado del dispositivo.
  • Usuarios
    • Usuarios activos: Total de usuarios únicos que acceden a las aplicaciones (SaaS, Web y TCP) durante el intervalo de tiempo seleccionado.
    • Cargas: volumen total de datos subidos a través del servicio Secure Private Access durante el intervalo de tiempo seleccionado.
    • Descargas: volumen total de datos descargados a través del servicio Secure Private Access durante el intervalo de tiempo seleccionado.
  • Aplicaciones:
    • Aplicaciones: número total de aplicaciones (independientemente del intervalo de tiempo) configuradas actualmente.
    • Recuento de inicios de aplicaciones: Total de aplicaciones (sesiones de aplicaciones) iniciadas por cada usuario durante el intervalo de tiempo seleccionado.
    • Dominios configurados: Total de dominios configurados para el intervalo de tiempo seleccionado.
    • Aplicaciones descubiertas: número total de dominios individuales únicos a los que se ha accedido pero que no están asociados a ninguna aplicación
  • Directivas de acceso
    • Directivas de acceso: Total de directivas de acceso (independientemente del intervalo de tiempo) configuradas actualmente.

Puede encontrar más información sobre las métricas disponibles en el panel del servicio Secure Private Access aquí.

SaaS

Resumen técnico: Análisis