预配置的自定义风险指示器和策略
Citrix Analytics for Security 提供了一系列预配置的自定义风险指示器和策略,可帮助您监控 Citrix 基础架构的安全性。这些预配置的自定义风险指示器和策略的条件已根据特定的安全风险场景(例如用户帐户泄露、内部威胁和数据渗漏)进行定义。您还可以根据自己的安全要求修改这些预配置条件或添加自己的条件,并使用自定义风险指示器来缓解风险。
目前,预配置的自定义风险指示器适用于以下场景:
-
地理围栏
-
首次访问
适用于地理围栏场景的预配置自定义风险指示器
使用以下预配置的自定义风险指示器可检测地理围栏区域外的用户事件。
-
CVAD-会话在地理围栏外启动
-
GW-地理围栏穿越
每当用户从其常用国家/地区或地理围栏外部访问 Citrix® 产品时,都会触发预配置的自定义风险指示器。默认情况下,地理围栏设置为“United States”。您可以将所需国家/地区设置为地理围栏。
注意
CVAD-会话在地理围栏外启动 风险指示器链接到访问保障位置功能的 “地理围栏设置”。因此,您无法直接修改风险指示器条件中的地理围栏国家/地区。要更新风险指示器中的地理围栏国家/地区,请在访问保障位置控制板的 “地理围栏设置” 中选择国家/地区。有关详细信息,请参阅 访问保障位置控制板。
要查看预配置的自定义风险指示器,请选择 “安全”>“自定义风险指示器”。
默认情况下,预配置的自定义风险指示器处于禁用状态。使用 “状态” 按钮启用它们。
下表描述了适用于地理围栏的各种预配置自定义风险指示器。
| 自定义风险指示器名称 | 场景 | 自定义指示器条件 | 数据源 | 风险类别 |
|---|---|---|---|---|
| CVAD-会话在地理围栏外启动 | 用户在其常用国家/地区外部启动了虚拟会话 | Event-Type = Session.logon Country != “United States” | Citrix Workspace app | 用户帐户泄露 |
| GW-地理围栏穿越 | 用户在其常用国家/地区外部成功通过身份验证 | Event-Type = “VPN_AI” AND Country != “United States” | Citrix Gateway(本地部署) | 用户帐户泄露 |
适用于地理围栏场景的预配置策略
Citrix 提供了一个预配置策略,该策略将 “请求最终用户响应” 操作应用于用户帐户,即每当用户从其常用国家/地区外部启动虚拟会话时。用户会收到一封电子邮件,根据用户的响应,将采取适当的操作,例如将用户添加到观察列表或通知管理员以采取进一步操作。有关详细信息,请参阅 请求最终用户响应。
要查看预配置策略,请选择 “安全”>“策略”。
下表描述了适用于地理围栏的预配置策略。
| 策略名称 | 场景 | 策略条件 | 应用的操作 |
|---|---|---|---|
| 会话在地理围栏外启动 | 管理员能够通过“请求最终用户响应”操作验证用户的合法性,即当用户在其常用国家/地区外部启动虚拟会话时 | 与预配置的自定义风险指示器“CVAD-会话在地理围栏外启动”一起使用 | 请求最终用户响应 |
| 根据以下用户响应,将应用相应的操作: | |||
| 如果用户无法识别该活动: 添加到观察列表 | |||
| 如果用户识别该活动: 无需操作 | |||
| 如果用户在收到电子邮件后 60 分钟内未响应: 将用户添加到观察列表 |
注意
“请求最终用户响应” 操作仅在美国区域受支持。因此,如果您的组织已在 Citrix Cloud™ 的欧盟区域中载入,则预配置策略将不适用于您的帐户。要使用预配置策略,请修改该策略并选择您选择的另一个操作。
使用适用于地理围栏的预配置自定义风险指示器创建您自己的策略
您还可以使用这些预配置的自定义风险指示器创建自己的策略,并在触发指示器时应用锁定用户或注销用户等操作。有关如何创建策略的信息,请参阅 配置策略和操作。
以下示例显示了一个策略,该策略将锁定尝试从美国境外访问 Citrix 服务的用户。如果用户无法识别其访问活动,则用户访问将被锁定。
条件:GW-地理围栏穿越
操作:请求最终用户响应
下一步操作:如果用户无法识别该活动,则锁定用户
注意
“请求最终用户响应” 操作仅在美国区域受支持。因此,如果您的组织已在欧盟区域中载入,请选择您选择的另一个操作,而不是 “请求最终用户响应” 操作。
适用于首次访问场景的预配置自定义风险指示器
使用以下自定义风险指示器可检测首次访问场景的用户事件:
-
CVAD-首次从新设备访问
-
Gateway-首次从新 IP 访问
默认情况下,这些预配置的自定义风险指示器处于启用状态。如果要禁用它们,请使用 “状态” 按钮。
下表描述了适用于首次访问的预配置自定义风险指示器。
| 自定义指示器名称 | 场景 | 预配置条件 | 数据源 | 风险类别 |
|---|---|---|---|---|
| CVAD-首次从新设备访问 | 当 Citrix Workspace app 用户从以下任一设备登录时: | 默认情况下启用以下条件: | Citrix Virtual Apps and Desktops 本地部署和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务) | 用户帐户泄露 |
| 新设备 | 新设备 ID 的首次访问。 | |||
| 90 天内未使用的现有设备。 | Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") |
|||
| Gateway-首次从新 IP 访问 | 当 Citrix Gateway 用户从以下任一 IP 成功登录时: | 默认情况下启用以下条件: | Citrix Gateway | 用户帐户泄露 |
| 新的公共 IP 地址 | 新客户端 IP 的首次访问 | |||
| 90 天内未使用的现有公共 IP 地址。 | Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 |
在条件栏中,您除了预配置条件外,还可以添加自己的条件,以根据您的要求识别威胁。
例如,如果要识别来自特定国家/地区的用户事件,您可以添加国家/地区维度以及预配置条件:
-
Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States” -
Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”