自定义风险指示器
您在 Citrix Analytics for Security 中看到两种类型的风险指示器:
-
默认风险指示器:这些风险指示器基于计算机学习算法。有关更多信息,请参阅 Citrix 用户风险指示器。
-
自定义风险指示器:这些风险指示器由管理员手动创建。
创建自定义风险指示器时,您可以根据用例定义触发条件和参数。如果用户事件符合您定义的条件,Citrix Analytics 会触发自定义风险指示器并将其显示在用户的风险时间表上。
为以下数据源创建自定义风险指示器:
- Citrix Gateway
- Citrix Secure Private Access
- Citrix Virtual Apps and Desktops 本地
- Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)
- Citrix Secure Browser
预配置的自定义风险指示器
Citrix 还提供了一些带有预配置条件的自定义风险指示器,以帮助您监视 Citrix 基础架构的安全性。您可以根据自己的使用案例修改预配置的条件。有关更多信息,请参阅 预配置的自定义风险指示器。
自定义风险指示器页
自定义风险指示器 页面提供了对为用户生成的所有自定义风险指示器、严重性、数据源、策略数量、风险类别、状态以及指标的最后修改日期和时间的见解。要创建自定义风险指示器,请参阅 创建自定义风险指示器。
当您选择风险指示器时,您将被重定向到 修改风险指示器 页面。有关更多信息,请参阅 修改自定义风险指示器。
分析自定义风险指示器
考虑一个用户,其操作触发了您定义的自定义风险指示器。Citrix Analytics 会在用户的风险时间表上显示自定义风险指示器。
当您在用户的风险时间轴上选择自定义风险指示器时,右窗格将显示以下信息:
-
定义的条件:显示您在创建自定义风险指示器时定义的条件的摘要。
-
描述:提供您在创建自定义风险指示器时提供的描述的摘要。如果在创建自定义风险指示器时未提供描述,则此部分将反映“无”。
-
触发频率:显示您在创建自定义风险指示器时在高级选项部分中选择的选项。
-
事件详细信息:显示时间表和触发自定义风险指示器的用户事件的详细信息。您可以单击 事件搜索 以在自助搜索页面上查看用户事件。自助搜索页面显示与用户关联的事件和自定义风险指示器。搜索查询显示为自定义风险指示器定义的条件。
注意
自定义风险指示器用用户风险时间表上的标签表示。
可以应用于用户的操作
为用户触发自定义风险指示器时,您可以手动应用操作或创建策略以自动应用操作。有关更多信息,请参阅 策略和操作。
自定义风险指示器模板
您可以使用预定义的模板之一创建自定义风险指示器,也可以在不使用模板的情况下继续操作。
模板充当创建自定义风险指示器的起点。它通过提供可根据用例选择的预定义查询和参数来指导您创建自定义风险指示器。
您可以按原样使用模板,也可以对其进行修改以满足您的要求。使用这些模板,管理员无需额外培训即可创建感兴趣的风险指标。
模板包含以下信息:
-
说明:指示模板中定义的查询的用途。
-
数据源:指示应用模板的数据源。
-
风险类别:指示与查询搜索的事件关联的风险类别。风险事件分为四类:数据泄露、内部威胁、用户入侵和危害端点。有关信息,请参阅 风险类别。
-
频率:指示触发查询的频率。
-
严重性:表示与事件关联的风险的严重性。风险可以是高、中或低。
-
创建者:表示模板的创建者。模板始终是系统定义的。
-
查询:表示模板中定义的条件。该查询将检索满足条件的用户事件。
下图显示了 SaaS 应用程序上用例剪贴板的模板。
如果找不到适合自己用例的模板,或者想要定义自己的查询,则可以在没有模板的情况下继续。
创建自定义风险指示器
要创建自定义风险指示器,请执行以下操作:
-
导航到 安全 > 自定义风险指示器 > 创建指标。
-
选择一个模板以查看使用案例。如果符合您的要求,请选择 将模板应用于指标。
注意
您还可以修改模板的预定义条件和参数。
-
如果找不到所需的模板或想要创建自己的状况,请选择在没有 模板的情况下继续。
-
按照屏幕上的说明创建指标。
备注
您可以创建最多 50 个自定义风险指示器。如果达到此最大限制,则必须删除或编辑任何现有的自定义风险指示器以创建自定义风险指示器。
触发自定义风险指示器时,它会立即显示在 用户时间轴 上。但是,用户的风险摘要和风险评分会在几分钟后(大约 15 至 20 分钟)更新。
定义自定义风险指示器的条件
使用查询框定义自定义风险指示器的条件。根据所选数据源,您将获得相应的 维度和 用于定义条件的 有效运算符 。
当选择某些维度(例如 Event-Type 和 Clipboard-Operation 以及有效的运算符)时,维度的值会自动显示。您可以从建议的选项中选择一个值,也可以根据需要输入一个新值。
下图显示了建议的维度值 Event-Type。
如果使用模板,则条件是预定义的。但是,您可以根据自己的用例追加或修改预定义的条件。
在查询框下方,您会看到“估计触发器”链接。单击链接可预测在定义的条件下将触发的自定义风险指示器的大致实例。这些实例是根据 Citrix Analytics 维护并满足定义条件的历史数据计算得出的。
确保单击“估计触发器”以预测上次定义条件的自定义风险指示器出现次数。
使用高级选项
在 高级选项 部分,选择触发自定义风险指示器的事件频率。如果未选择任何选项,Citrix Analytics 会考虑 每次:每次发生事件时生成风险指示器 作为默认选项,然后生成自定义风险指示器。您可以选择以下选项之一:
-
每次:只要事件满足定义的条件,就会触发风险指示器。
-
第一次:当事件首次满足定义的条件时,将触发风险指示器。
-
第一次使用新实体:启用此选项可首次检测从新实体接收的事件。实体的一些示例包括客户端 IP、国家/地区、城市和设备 ID。您只能根据数据源选择一个实体。此选项允许您创建风险指示器,而无需为实体指定明确的值。例如,当您选择实体作为“城市”时,无需指定城市名称。当首次收到来自新城市的事件时,将触发风险指示器。
下表列出了与每个数据源对应的实体,并描述了触发条件。
数据源 实体 触发条件 Secure Private Access 城市 当用户首次从新城市登录时。 Client-IP 当用户首次从新 IP 地址登录时。 国家/地区 当用户首次从新国家/地区登录时。 应用程序和桌面 应用程序名称 当用户首次打开新的虚拟应用程序或 SaaS 应用程序时。 应用程序 URL 当用户首次在其虚拟桌面的浏览器上输入新的应用程序 URL 时。 城市 用户首次从新城市启动应用程序或桌面时。 Client-IP 当用户首次从新 IP 地址登录时。 国家/地区 用户首次从新国家/地区启动应用程序或桌面时。 设备 ID 当用户首次从移动设备、便携式计算机或台式机等新设备启动虚拟应用程序或虚拟桌面时。 下载设备类型 当用户首次使用新的存储介质(例如 USB 驱动器)时。 打印文件格式 打印文件的格式。 打印文件大小 打印文件的大小(以字节为单位)。 打印文件名 打印文件的名称。 打印机名称 使用的打印机的名称。 Total-Copies-Printed 用户打印的总份数。 Total-Pages-Printed 用户打印的文档总页数。 网关 Client-IP 当用户首次从新 IP 地址登录时。 Secure Browser 用户名称 发起事件的用户的姓名。 允许访问 是允许还是拒绝用户访问主机服务。 Client-IP 用户设备的 IP 地址。 主机名已访问 用户通过网络访问的主机服务。 会话 ID 分配给用户会话的唯一号码。 以下示例显示了为应用程序和桌面数据源创建的自定义风险指示器。当用户首次从新设备启动虚拟桌面或虚拟应用程序时,将触发风险指示器。
您还可以在 首次为新选项添加条件的同时 添加条件。在这种情况下,当风险指示器首次检测到来自新实体的事件并且事件满足定义的条件时,就会触发风险指示器。
以下示例显示了为自定义风险指示器定义的条件以及 首次启用新设备 ID 选项的条件。当位于印度的用户首次从新设备启动虚拟桌面会话时,将触发风险指示器。
-
-
过度:在满足以下条件后触发风险指示器:
-
事件符合规定的条件。
-
在指定时间段内,事件发生的次数是指定的。
-
-
频繁:在满足以下条件后触发风险指示器:
-
这些事件符合定义的条件。
-
这些事件在指定时间段内发生指定的次数。
-
事件模式重复指定的次数。
-
选择风险类别
为自定义风险指示器选择风险类别。
风险指标根据自定义风险指标的风险敞口类型进行分组。有关选择风险类别的帮助,请参阅 风险类别。
选择严重性
严重性表示风险事件的严重程度,由风险指示器检测到。创建自定义风险指示器时,请选择严重性高、中或低。
如果应用模板,则会预先选择严重性选项。您可以根据自己的用例修改此预选。
支持用于定义条件的运算符
定义条件时可以使用以下运算符。
| 操作员 | 说明 | 示例 | 输出 |
|---|---|---|---|
| 为搜索查询分配一个值。 | 用户名:John | 显示用户 John 的事件。 | |
| = | 为搜索查询分配一个值。 | 用户名 = John | 显示用户 John 的事件。 |
| ~ | 搜索类似的值。 | 用户名 ~ test | 显示具有相似用户名的事件。 |
| ”” | 用空格分隔的值括起来。 | User-Name = “John Smith” | 显示用户约翰·史密斯的事件。 |
| <, > | 搜索关系价值。 | 数据量 > 100 | 显示数据量大于 100 GB 的事件。 |
| AND | 搜索两个条件均为 true 的值。 | User-Name : John AND Data Volume > 100 | 显示用户 John 的事件,其中数据量大于 100 GB。 |
| * | 搜索与字符零次或更多次匹配的值。 | User-Name = John* | 显示以 John 开头的所有用户名的事件。 |
| User-Name = John | 显示包含 John 的所有用户名的事件。 | ||
| User-Name = *Smith | 显示以 Smith 结尾的所有用户名的事件。 | ||
| !~ | 检查用户事件中指定的匹配模式。此 NOT LIKE 运算符返回事件字符串中任意位置不包含匹配模式的事件。 | User-Name !~ John | 显示除 John、John Smith 或包含匹配名称“John”的任何此类用户以外的用户的事件。 |
| != | 检查用户事件是否确切指定的字符串。此 NOT EQUAL 运算符返回事件字符串中任意位置不包含确切字符串的事件。 | Country != USA | 显示除美国以外国家/地区的事件。 |
| IN | 为一个维度分配多个值以获取与一个或多个值相关的事件。 | User-Name IN (John, Kevin) | 查找与约翰或凯文相关的所有事件。 |
| NOT IN | 为一个维度分配多个值,然后查找不包含指定值的事件。 | User-Name NOT IN (John, Kevin) | 查找除 John 和 Kevin 之外的所有用户的事件。 |
| IS EMPTY | 检查维度的空值或空值。此运算符仅适用于字符串类型的维度,例如 App-Name、Browser 和 Country。它不适用于非字符串(数字)类型的维度,例如 Upload-File-Size、Download-File-Size 和 Client-IP。 |
国家/地区 IS EMPTY | 查找国家名称不可用或为空(未指定)的事件。 |
| IS NOT EMPTY | 检查维度的非空值或特定值。此运算符仅适用于字符串类型的维度,例如 App-Name、Browser 和 Country。它不适用于非字符串(数字)类型的维度,例如 Upload-File-Size、Download-File-Size 和 Client-IP。 |
国家/地区 IS NOT EMPTY | 查找可用或指定了国家/地区名称的事件。 |
| 或者 | 搜索其中一个或两个条件均为 true 时的值。 | (User-Name = John* OR User-Name = *Smith) AND Event-Type =“Session.Logon” |
显示所有以 John 开头或以 Smith 结尾的用户名的 Session.Logon 事件。 |
注意
对于 NOT EQUAL 运算符,在为条件中的维度输入值时,请使用自助搜索页面上提供的数据源的精确值。尺寸值区分大小写。
修改自定义风险指示器
-
导航到 安全 > 自定义风险指示器。
-
选择要修改的自定义风险指示器。
-
在 修改指标 页面上,根据需要修改信息。
-
单击保存更改。
注意
如果在用户时间轴上修改现有自定义风险指示器的状况、风险类别、严重性和名称等属性,您仍然可以查看先前为用户触发的自定义风险指示器(使用旧属性)的出现次数。
例如,您已经创建了一个自定义风险指示器,条件为“国家/地区”!= 印度。因此,当用户从印度以外的国家/地区登录时,将触发此自定义风险指示器。现在,您将自定义风险指示器的条件修改为 国家/地区!=“美国”。在这种情况下,您仍然可以查看先前出现的自定义风险指示器的条件为 C ountry!= 触发风险指示器的用户时间轴上的印度 。
删除自定义风险指示器
-
导航到 安全 > 自定义风险指示器。
-
选择要删除的自定义风险指示器。
-
单击删除。
-
在对话框中,确认删除自定义风险指示器的请求。
注意
如果删除自定义风险指示器,则仍然可以在用户时间轴上查看先前为用户触发的自定义风险指示器的出现次数。
例如,您删除条件为“国家/地区”的现有自定义风险指示器!= 印度。在这种情况下,您仍然可以查看先前出现的自定义风险指示器的条件为 C ountry!= 触发风险指示器的用户时间轴上的印度 。