Citrix Analytics for Security

策略和操作

**注意事项**

:Citrix Content Collaboration 和 ShareFile 的使用寿命已接近尾声,不再向用户开放。

您可以在 Citrix Analytics 上创建策略,以帮助您在发生异常或可疑事件时对用户帐户执行操作。策略允许您自动执行诸如禁用用户和将用户添加到监视列表之类的操作的过程。启用策略后,会在发生异常事件并满足策略条件后立即应用相应的操作。您还可以手动对具有异常事件的用户帐户应用操作。

策略是什么

策略是应用操作必须满足的一组条件。策略包含一个或多个条件和单个操作。您可以创建具有多个条件的策略和一个可应用于用户帐户的操作。

风险评分是一个全局条件。全局条件可应用于特定数据源的特定用户。您可以密切关注显示任何异常事件的用户帐户。其他条件特定于数据源及其风险指示器。这些条件包含风险评分、默认风险指示器和自定义风险指示器的组合。创建策略时,您最多可以添加 4 个条件。

创建策略

例如,如果您的组织使用敏感数据,则可能需要限制用户内部共享或访问的数据量。但是,如果您有一个庞大的组织,单个管理员管理和监视许多用户是不可行的。您可以创建一个策略,其中任何过度共享敏感数据的人都可以添加到监视列表或立即禁用其帐户。

默认策略

默认策略是预先定义的,并在策略控制板上启用。它们是根据预定义的条件创建的,并为每个默认策略分配相应的操作。您可以使用默认策略,也可以根据需要对其进行修改。

Citrix Analytics 支持以下默认策略:

  • 成功利用凭据
  • 潜在的数据泄露
  • 来自可疑 IP 的异常访问
  • 首次从设备访问
  • Virtual Apps and Desktops 以及 Citrix DaaS - 访问时不可能旅行
  • Gateway-无法通过身份验证传输

有关上述默认策略的预设条件和操作的信息,请参阅 持续风险评估

默认策略

有关地理围栏用例的预定义策略的信息,请参阅 预配置的策略

如何添加或删除条件

要添加更多条件,请在创建策略页面的如果满足以下条件部分中选择添加条件。要删除条件,请选择条件旁边显示的 - 图标。

添加和删除条件

默认和自定义风险指示器

条件菜单根据 创建策略 页面上的 默认风险指示器自定义风险指示器 选项卡进行隔离。使用这些选项卡,您可以轻松确定在选择策略配置条件时要选择的风险指示器类型。

添加和删除条件

有什么行动

操作是对可疑事件的响应,可防止将来发生异常事件。您可以对显示异常或可疑行为的用户帐户应用操作。您可以配置策略以自动对用户的帐户应用操作,也可以从用户的风险时间表手动应用特定操作。

您可以查看每个 Citrix 数据源的全局操作或操作。您还可以随时为用户禁用以前应用的操作。

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

下表介绍了您可以执行的操作。

动作名称 说明 适用的数据源
全球行动    
添加到播放列表 当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。 所有数据源
  Watchlist 中的用户”窗格显示您希望根据其帐户上的异常事件监视潜在 威胁的所有用户。根据组织的策略,您可以使用“添加至监视列表”操作将用户添加到监视列表中。  
  要将用户添加到监视列表,请导航到该用户的个人资料,从“操作”菜单中选择“添加到监视列表”。单击“应用”以强制执行操作。  
通知管理员 当触发用户的风险指示器时,您可以手动通知管理员或创建自动通知策略。您可以从组织中的 Citrix Cloud 域和其他非 Citrix Cloud 域中选择管理员。如果您是具有完全访问权限的 Citrix Cloud 管理员,则默认情况下,将为您的 Citrix Cloud 帐户禁用电子邮件通知。要接收电子邮件通知,请在您的 Citrix Cloud 帐户上启用它。有关详细信息,请参阅 接收电子邮件通知。如果您是具有管理 Security Analytics 的自定义访问权限(只读和完全访问权限)的 Citrix Cloud 管理员,则会为您的 Citrix Cloud 帐户启用电子邮件通知。要停止接收来自 Citrix Analytics 的电子邮件通知,请请求您的 Citrix Cloud 完全访问权限管理员从通知管理员通讯组列表中删除您的姓名。有关信息,请参阅电子邮件通讯组列表  
请求最终用户响应 当用户帐户中存在任何异常或可疑事件时,您可以通知用户确认用户是否识别了该事件。根据事件,您可以确定对用户帐户采取的下一个操作方案。有关详细信息,请参阅请求最终用户响应  
通知最终用户 当用户的帐户发生任何异常或可疑活动时,您可以通过电子邮件通知通知最终用户。有关更多信息,请参阅通知最终用户  
Citrix Gateway 操作    
注销活动会话 应用操作后,它会注销当前处于事件状态的用户会话。它不会阻止将来的任何用户会话。 Citrix Gateway 本地和 Citrix Application Delivery Management
锁定用户帐户 当用户的帐户由于异常行为而被锁定时,他们无法通过 Citrix Gateway 访问任何资源,直到网关管理员解锁该帐户。 Citrix Gateway 本地
解锁用户帐户 如果用户的帐户在没有检测到异常行为的情况下被意外锁定,则可以应用此操作来解锁该帐户并恢复对该帐户的访问权限。 Citrix Gateway 本地
Citrix Virtual Apps and Desktops 以及 Citrix DaaS 操作    
注销活动会话 应用操作后,它会注销当前处于事件状态的用户会话。它不会阻止将来的任何用户会话。 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)
开始会话录制 如果用户的 Virtual Desktops 帐户出现异常事件,管理员可以开始记录用户当前的活动会话。如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本并登录到虚拟会话,则管理员可以动态触发 Citrix Analytics for Security 的启动会话录制操作,该操作开始录制用户的当前活动会话。 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)

备注

  • 无论数据源如何,您都可以对风险指示器应用任何操作。

  • 管理员现在可以在 Citrix DaaS 站点上运操作态会话录制操作以及动态录制用户的虚拟会话。
  • 请求最终用户回复 ” 和 “ 通知最终用户 ” 操作无法应用于匿名用户,因为他们在 A ctive Directory中没有电子邮件地址。因此,通过在 A ctiv e Directory 和 Citrix Cloud 之间建立连接,确保用户的任一电子邮件地址在 ActiveDirectory 中可用。

仅查看共享

在对用户帐户应用“将链接更改为仅供查看”共享 操作之前,请确保满足以下条件:

必备条件

  • 管理员必须在 Content Collaboration 中拥有一个企业帐户才能使用“更改链接以进行仅查看共享”操作。

  • “仅查看共享”是 Citrix Content Collaboration 的企业帐户中应请求提供的一项功能。在 Citrix Analytics 中将 链接应用于仅查看共享 操作之前,请确保用户和管理员的 Content Collaboration 企业帐户中已启用“仅查看共享”功能。有关更多信息,请参阅 Citrix 支持文章- CTX208601

受支持的文件类型

仅查看共享操作仅适用于以下文件类型:

  • Microsoft Office 文件

  • PDF

  • 映像文件(需要 SZC v3.4.1 或更高版本):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • 存储在 Citrix 管理的存储区域中的音频和视频文件。

配置策略和操作

例如,按照以下步骤,您可以创建过度文件共享策略。使用此策略,当组织中的用户共享异常大量的数据时,共享链接将自动过期。当用户共享的数据超过该用户正常行为时,会收到通知。通过应用“过多的文件共享”策略并立即采取行动,您可以防止数据从任何用户的帐户中泄露。

要创建策略,请执行以下操作:

  1. 登录 Citrix Analytics 后,转到安全 > 策略 > 创建策略

    创建策略

  2. 如果满足以下条件列表框中,选择要应用操作的默认或自定义风险指示器条件。

    添加和删除条件

  3. 则执行以下操作列表中,选择一个操作。

    然后执行以下操作

  4. 策略名称 文本框中,提供名称并使用提供的切换按钮启用策略。

    创建策略

  5. 单击创建策略

创建策略后,该策略将显示在“策略”控制板上。

策略 控制板显示与成功发现并连接到 Citrix Analytics 的数据源关联的策略。控制面板不显示为未发现的数据源定义了条件的策略。

但是,关闭已连接的数据源的数据处理不会影响“策略”控制板上的现有 策略

请求最终用户响应

请求最终用户响应 是一项全局操作,您可以在检测到用户的 Citrix 帐户中存在异常活动后立即向用户发出警报。应用操作时,系统会向用户发送电子邮件通知。用户需要通过电子邮件回复其活动的合法性。

确定要为用户应用的操作:

根据用户的回应,您可以确定要采取的下一个操作方案。您可以应用全局操作,例如“添加到监视列表”、“通知管理员”。或者你可以应用特定于数据源的操作,例如 Citrix Gateway-Lock 用户。

如果您收到用户执行了报告的事件的响应,则表示该事件不可疑,您无需对用户的帐户采取措施。向用户发送安全警报的每日限制为三封电子邮件。

假设某个 Citrix Content Collaboration 用户的风险分数在 80 分钟内超过 80。您可以通过应用“请求最终用户响应”操作向用户 发出有关此异常行为的警报。安全警报将通过电子邮件 ID security-analytics@cloud.com 发送给用户。

该电子邮件包含以下信息:

  • 触发风险指示器的用户事件

  • 用户的设备

  • 用户事件的日期和时间

  • 成功访问产品或服务的位置(城市和国家/地区)。如果城市或国家/地区不可用,相应的值将显示为“未知”

请求最终用户响应 操作将添加到用户的风险时间表中。

如果用户无法识别其 Citrix 帐户中检测到的活动,Citrix Analytics 将应用您定义的操作。

如果用户在收到电子邮件后的一小时内未能发送响应,Citrix Analytics 会将该用户添加到监视列表中。您可以监控用户及其帐户中是否存在任何可疑活动,并采取相应的措施。

请求最终用户响应

如何设置用户响应时间

您可以配置用户对安全警报电子邮件的响应时间。如果用户在指定的时间段内没有对报告的活动做出回应,则该用户将被添加到监视列表中进行监控。

按照以下步骤配置用户的响应时间:

  1. 单击 设置 > 警报设置 > 最终用户电子邮件设置

    时间设置导航

  2. 在“最 终用户电子邮件设置”页面上,在文本框中输入分钟数。

    时间设置

  3. 单击保存更改

您还可以在安全警报电子邮件中添加横幅、标题文本和页脚文本,使其看起来合法、吸引用户的注意力并延长响应时间。有关详细信息,请参阅 最终用户电子邮件设置

通知最终用户

通知最终用户是一项全局操作,当检测到终端用户的 Citrix 帐户出现异常或可疑行为时,您可以使用该操作向最终用户发送电子邮件通知。电子邮件主题行和邮件正文是可自定义的。触发策略后应用操作时,会向用户发送电子邮件通知。不要求最终用户做出任何回应,也不会对用户的帐户执行任何破坏性操作。

通知最终用户

此操作可以帮助基于内置或自定义风险指标触发器为各种合规用例提供服务。凭借可自定义的电子邮件主题行和邮件正文,它还足够灵活,可以为许多通用的最终用户通知用例提供服务,这些用例不需要对用户的帐户进行响应或执行破坏性操作。

该电子邮件包含以下信息:

  • 与操作相关的策略名称。

  • 用户的设备(如果有)

  • 用户事件的日期和时间

最终用户的电子邮件通知是从电子邮件 ID security-analytics@cloud.com 发送的。

注意

各项策略的每日限制为每位用户封电子邮件。一旦超过此阈值,便不会应用该操作,也不会向最终用户发送任何电子邮件通知。该操作在用户的时间轴视图中可见,消息显示用户已达到每日电子邮件限制

该操作将添加到用户的风险时间表中。但是,它不是手动操作,不能从时间轴视图应用于用户。

自定义最终用户电子邮件内容

以前,Citrix Analytics 管理员手动联系最终用户,提供有关检测可疑活动的补救说明,而结案是一个耗时的过程。

引入 了最终用户电子邮件内容的自定义 功能,用于请求最终用户响应、通知最终用户和信息性电子邮件。最终用户回复电子邮件寻求用户验证/回复,但是,信息性电子邮件会显示可疑活动的类型以及已经采取的补救措施。通知最终用户电子邮件会通知最终用户有关其 Citrix 帐户中的合规违规行为/可疑活动,而不要求他们回复。

借助 自定义最终用户电子邮件内容 功能,Citrix Analytics 管理员可以在请求最终用户回复/通知最终用户/信息邮件正文模板中添加自定义消息。使用富文本框编辑器,管理员可以使用各种编辑工具(如粗体、斜体、超链接等)来更改每个策略的内容。

注意

自定义最终用户电子邮件内容功能仅适用于 基于策略的操作 ,不适用于手动操作。

您可以自定义三种类型的电子邮件的内容:

  • 请求最终用户回复电子邮件。
  • 通知最终用户电子邮件
  • 执行以下任一最终用户操作时发送的电子邮件:
    • Citrix Apps and Desktops 下的注销操作
    • Citrix Gateway 下注销并锁定用户

您可以在安全 > 策略选项卡中查看策略列表。

查看策略

您可以通过单击现有策略或在创建新策略时查看自定义的电子邮件正文。在右侧窗格中,您可以预览更新的电子邮件内容。

自定义电子邮件正文

注意

  • 管理员可以通过单击“重置为默认值”链接将内容设置为默认模板。自定义正文的字符数限制为 1000。

  • 对于“通知最终用户”操作,“主题行”字段也可以由管理员自定义。单击“重置为默认值”链接可以将其重置为默认值。自定义电子邮件主题的字符限制为 500。

单击保存更改以创建/更新策略。触发策略时,将向最终用户发送以下电子邮件通知:

  • 请求最终用户回复电子邮件:发送电子邮件请求用户回复的策略操作。
  • 通知最终用户电子邮件:发送给最终用户的电子邮件通知,告知他们其 Citrix 帐户中有关合规性问题、可疑活动等使。
  • 信息性电子邮件:在最终用户执行操作后发送的信息性电子邮件。

最终用户可以阅读电子邮件并根据管理员的请求完成补救操作。

注意

具有只读权限的管理员无法编辑/添加电子邮件正文。

应用中断性操作后通知用户

在此操作类型中,您可以应用中断性措施,例如在检测到异常事件时 注销用户锁定 用户帐户上的用户。当对用户的帐户应用操作时,其帐户的服务可能会中断。在这种情况下,用户必须联系管理员才能像之前一样访问其帐户。

假设某个 Citrix Content Collaboration 用户的风险分数在 80 分钟内超过 80。您可以将用户注销。执行此任务后,用户将无法访问其帐户,并且会通过电子邮件 ID security-analytics@cloud.com 向用户发送电子邮件通知。该电子邮件包含事件的详细信息,例如事件、设备、日期和时间以及 IP 地址。用户必须像以前一样联系管理员才能访问其帐户。

应用破坏性操作

手动应用操作

考虑一个用户,即 Lemuel,他首次使用新设备登录网络。由于她的行为异常,要监视她的帐户,您可以使用“通知管理员”操作。

要手动将操作应用于用户,您必须:

导航到用户的个人资料,然后选择相应的风险指示器。从“ 作”菜单中,选择“通知管理员”操作,然后单击“应用”。

操作列表

系统会向所有管理员或选定的管理员发送电子邮件通知,以监视其帐户。应用的操作将添加到她的风险时间表中,操作详细信息显示在风险时间表页面的右侧窗格中。

应用的操作

备注

  • 如果您是具有完全访问权限的 Citrix Cloud 管理员,则默认情况下,将为您的 Citrix Cloud 帐户禁用电子邮件通知。要接收电子邮件通知,请在您的 Citrix Cloud 帐户上启用它。有关详细信息,请参阅 接收电子邮件通知

  • 如果您是具有管理 Security Analytics 的自定义访问权限(只读和完全访问权限)的 Citrix Cloud 管理员,则会为您的 Citrix Cloud 帐户启用电子邮件通知。要停止接收来自 Citrix Analytics 的电子邮件通知,请请求您的 Citrix Cloud 完全访问权限管理员从通知管理员通讯组列表中删除您的姓名。有关信息,请参阅电子邮件通讯组列表

管理策略

您可以查看“策略”控制板来管理在 Citrix Analytics 上创建的所有策略,从而监视和识别网络中的不一致情况。在策略控制面板上,您可以:

  1. 查看策略列表

  2. 该策略的详细信息

    • 策略的名称

    • 状态 — 已启用或禁用。

    • 策略的持续时间 — 策略处于事件状态或非事件状态的天数。

    • 发生次数 — 触发策略的次数。

    • 已修改 — 时间戳,仅当策略已修改时。

  3. 删除策略

    • 要删除策略,您可以选择要删除的策略,然后单击 删除

    • 或者,您可以单击策略的名称以定向到修改策略页面。单击 删除策略。在对话框中,确认删除策略的请求。

  4. 创建策略

  5. 单击策略的名称可查看更多详细信息。您也可以在单击策略名称时对其进行修改。可以进行的其他修改如下:

    • 更改策略的名称。

    • 保单的条件。

    • 要应用的操作。

    • 启用或禁用策略。

    • 删除策略。

注意

  • 如果您不想删除策略,则可以选择禁用该策略。

  • 要在“策略”控制板上重新启用策略,请执行以下操作:

    • On the Policies dashboard, click the Status slider button and refresh the page. The Status slider button turns green.

    • On the Modify Policy page, click the Enabled slider button on the bottom of the page.

支持的模式

Citrix Analytics 支持以下策略模式:

  • 强制模式 -在此模式下,配置的策略会影响用户帐户。

  • 监视模式 -在此模式下,配置的策略不会影响用户帐户。如果要测试任何策略配置,可以将策略设置为此模式。

使用以下说明在策略上配置模式:

  1. 导航到 安全 > 策略

  2. 在“策略”页面上,选择右上角显示在搜索栏旁边的图标。此时将显示“选择模式”窗口。

  3. 选择您选择的模式,然后单击 保存设置

注意

Analytics 创建的默认策略设置为监视模式。因此,现有策略也会继承此模式。您可以一起评估所有策略的影响,然后将它们更改为强制模式。

策略模式

面向策略的自助搜索

自助搜索 页面上,您可以查看满足策略中定义的条件的用户事件。该页面还显示应用于这些用户事件的操作。根据应用的操作过滤用户事件。

策略和操作