Citrix Secure Private Access™ 风险指标
风险网站访问
注意
由于 Secure Private Access 弃用了基于类别的 Web 过滤功能,Citrix Analytics for Security™ 上的以下功能受到影响:
- Citrix Analytics for Security 控制板上不再提供“类别组”、“类别”和“URL 信誉”等数据字段。
- 依赖相同数据的“风险网站访问”指标也已弃用,并且不会为客户触发。
- 任何使用数据字段(“类别组”、“类别”和“URL 信誉”)及其关联策略的现有自定义风险指标不再触发。
有关 Secure Private Access 弃用功能的详细信息,请参阅功能弃用。
尝试访问黑名单 URL
Citrix Analytics 根据用户访问的黑名单 URL 检测数据访问威胁,并触发相应的风险指标。
当用户尝试访问 Secure Private Access 中配置的黑名单 URL 时,Citrix Analytics 中会报告尝试访问黑名单 URL 风险指标。
与尝试访问黑名单 URL 风险指标关联的风险因素是“其他风险指标”。有关风险因素的更多信息,请参阅 Citrix 用户风险指标。
何时触发“尝试访问黑名单 URL”风险指标
Secure Private Access 包含 URL 分类功能,可提供基于策略的控制来限制对黑名单 URL 的访问。当用户尝试访问黑名单 URL 时,Secure Private Access 会向 Citrix Analytics 报告此事件。Citrix Analytics 会更新用户的风险评分,并将尝试访问黑名单 URL 风险指标条目添加到用户的风险时间线中。
如何分析“尝试访问黑名单 URL”风险指标
假设用户 Georgina Kalou 访问了 Secure Private Access 中配置的黑名单 URL。Secure Private Access 会向 Citrix Analytics 报告此事件,Citrix Analytics 会为 Georgina Kalou 分配更新的风险评分。尝试访问黑名单 URL 风险指标将添加到 Georgina Kalou 的风险时间线中。
在 Georgina Kalou 的风险时间线中,您可以选择报告的尝试访问黑名单 URL 风险指标。事件原因以及事件详细信息(例如事件时间、网站详细信息)都会显示。
要查看用户的尝试访问黑名单 URL 条目,请导航到 “安全” > “用户”,然后选择该用户。
当您从时间线中选择尝试访问黑名单 URL 风险指标条目时,右侧窗格中会显示相应的详细信息面板。
-
发生了什么部分提供了风险指标的简要摘要。它包括用户在选定期间访问的黑名单 URL 的详细信息。
-
事件详细信息部分包括在选定时间段内发生的各个事件的时间线可视化。此外,您可以查看每个事件的以下关键信息:
-
时间。事件发生的时间。
-
网站。用户访问的风险网站。
-
类别。Secure Private Access 为黑名单 URL 指定的类别。
-
信誉评级。Secure Private Access 为黑名单 URL 返回的信誉评级。有关更多信息,请参阅 URL 信誉评分。
-
可以对用户应用哪些操作
您可以对用户帐户执行以下操作:
-
添加到监视列表。当您想要监视用户以防范未来潜在威胁时,可以将其添加到监视列表。
-
通知管理员。当用户帐户上出现任何异常或可疑活动时,会向所有或选定的管理员发送电子邮件通知。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从“操作”菜单中,选择一个操作,然后单击“应用”。
注意
无论触发风险指标的数据源是什么,都可以应用与其他数据源相关的操作。
异常上传量
Citrix Analytics 根据异常上传量活动检测数据访问威胁,并触发相应的风险指标。
当用户向应用程序或网站上传过量数据时,会报告异常上传量风险指标。
与“异常上传量”风险指标关联的风险因素是“其他风险指标”。有关风险因素的更多信息,请参阅 Citrix 用户风险指标。
何时触发“异常上传量”风险指标
您可以配置 Secure Private Access 来监视用户活动,例如访问恶意、危险或未知网站、消耗的带宽以及风险下载和上传。当您组织中的用户向应用程序或网站上传数据时,Secure Private Access 会向 Citrix Analytics 报告这些事件。
Citrix Analytics 会监视所有这些事件,如果它确定此用户活动与用户的常规行为不符,它会更新用户的风险评分。异常上传量风险指标将添加到用户的风险时间线中。
如何分析“异常上传量”风险指标
假设用户 Adam Maxwell 向应用程序或网站上传了过量数据。Secure Private Access 会向 Citrix Analytics 报告这些事件,Citrix Analytics 会为 Adam Maxwell 分配更新的风险评分。异常上传量风险指标将添加到 Adam Maxwell 的风险时间线中。
在 Adam Maxwell 的风险时间线中,您可以选择报告的异常上传量风险指标。事件原因以及事件详细信息(例如事件时间和域)都会显示。
要查看异常上传量风险指标,请导航到 “安全” > “用户”,然后选择该用户。
当您从时间线中选择异常上传量风险指标条目时,右侧窗格中会显示相应的详细信息面板。
-
发生了什么部分提供了风险指标的简要摘要,包括在选定期间上传的数据量。
-
事件详细信息部分包括在选定时间段内发生的各个数据上传事件的时间线可视化。此外,您可以查看每个事件的以下关键信息:
-
时间。向应用程序或网站上传过量数据的时间。
-
域。用户上传数据的域。
-
上传大小。上传到域的数据量。
-
可以对用户应用哪些操作
您可以对用户帐户执行以下操作:
-
添加到监视列表。当您想要监视用户以防范未来潜在威胁时,可以将其添加到监视列表。
-
通知管理员。当用户帐户上出现任何异常或可疑活动时,会向所有或选定的管理员发送电子邮件通知。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从“操作”菜单中,选择一个操作,然后单击“应用”。
注意
无论触发风险指标的数据源是什么,都可以应用与其他数据源相关的操作。
过量数据下载
Citrix Analytics 根据用户在网络中下载的过量数据检测数据访问威胁,并触发相应的风险指标。
当您组织中的用户从应用程序或网站下载过量数据时,会报告此风险指标。
何时触发“过量数据下载”风险指标
您可以配置 Secure Private Access 来监视用户活动,例如访问恶意、危险或未知网站、消耗的带宽以及风险下载和上传。当您组织中的用户从应用程序或网站下载数据时,Secure Private Access 会向 Citrix Analytics 报告这些事件。
Citrix Analytics 会监视所有这些事件,如果它确定用户活动与用户的常规行为不符,它会更新用户的风险评分。“过量数据下载”风险指标将添加到用户的风险时间线中。
与“过量数据下载”风险指标关联的风险因素是“其他风险指标”。有关风险因素的更多信息,请参阅 Citrix 用户风险指标。
如何分析“过量数据下载”风险指标
假设用户 Georgina Kalou 从应用程序或网站下载了过量数据。Secure Private Access 会向 Citrix Analytics 报告这些事件,Citrix Analytics 会为 Georgina Kalou 分配更新的风险评分,并将过量数据下载风险指标条目添加到用户的风险时间线中。
在 Georgina Kalou 的风险时间线中,您可以选择报告的过量数据下载风险指标。事件原因以及事件详细信息(例如时间、域详细信息)都会显示。
要查看过量数据下载风险指标,请导航到 “安全” > “用户”,然后选择该用户。
当您从时间线中选择过量数据下载风险指标条目时,右侧窗格中会显示相应的详细信息面板。
-
发生了什么部分提供了风险指标的简要摘要,包括在选定期间下载的数据量。
-
事件详细信息部分包括在选定时间段内发生的各个数据下载事件的时间线可视化。此外,您可以查看每个事件的以下关键信息:
-
时间。向应用程序或网站下载过量数据的时间。
-
域。用户下载数据的域。
-
下载大小。下载到域的数据量。
-
可以对用户应用哪些操作
您可以对用户帐户执行以下操作:
-
添加到监视列表。当您想要监视用户以防范未来潜在威胁时,可以将其添加到监视列表。
-
通知管理员。当用户帐户上出现任何异常或可疑活动时,会向所有或选定的管理员发送电子邮件通知。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从“操作”菜单中,选择一个操作,然后单击“应用”。
注意
无论触发风险指标的数据源是什么,都可以应用与其他数据源相关的操作。