Citrix Analytics for Security

Citrix Secure Private Access 风险指示器

网站访问风险

注意 由于弃用了通过 Secure Private Access 进行的基于类别的 Web 筛选,Citrix Analytics for Security 的以下功能受到影响:

  1. Citrix Analytics for Security 控制板上不再提供 URL 的类别组、类别和信誉等数据字段。
  2. 依赖于相同数据的风险 Web 站点访问指标也已弃用,不会为客户触发。
  3. 任何使用数据字段(URL 的类别组、类别和信誉)及其关联策略的现有自定义风险指标都不再触发。

有关 Secure Private Access 中的弃用的详细信息,请参阅功能弃用

尝试访问列入黑名单的 URL

Citrix Analytics 会根据用户访问的列入黑名单的 URL 检测数据访问威胁,并触发相应的风险指示器。

当用户尝试访问在 Secure Private Access 中配置的列入黑名单的 URL 时,Citrix Analytics 会报告尝试访问列入黑名单的 URL 风险指示器。

尝试访问列入黑名单的 URL 风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

何时触发尝试访问列入黑名单的 URL 风险指示器

Secure Private Access 包括 URL 分类功能,该功能提供基于策略的控制,以限制对列入黑名单的 URL 的访问。当用户尝试访问列入黑名单的 URL 时,Secure Private Access 会向 Citrix Analytics 报告此事件。Citrix Analytics 会更新用户的风险评分,并将 尝试访问列入黑名单的 URL 风险指示器条目添加到用户的风险时间表中。

如何分析尝试访问列入黑名单的 URL 风险指示器

假设用户 Georgina Kalou 访问了在 Secure Private Access 中配置的列入黑名单的 URL。Secure Private Access 将此事件报告给 Citrix Analytics,后者会为 Georgina Kalou 分配更新的风险评分。尝试访问列入黑名单的 URL 风险指示器已添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 尝试访问黑名单 URL 风险指示器。活动的原因与活动的详细信息一起显示,例如活动的时间、网站详细信息。

要查看 尝试访问用户的列入黑名单的 URL 条目,请导航到“安全”>“用户”,然后选择该用户。

当您从时间轴中选择 尝试访问列入黑名单的 URL 风险指示器条目时,右侧窗格中将显示相应的详细信息面板。

Secure Private Access 尝试访问列入黑名单的 URL

  • 发生了什么 部分提供了风险指标的简要摘要。它包括用户在选定时间段内访问的列入黑名单的 URL 的详细信息。

    Secure Private Access 尝试访问列入黑名单的 URL 发生了什么事

  • “事 件详细信息”部分包括在选定时间段内发生的各个事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。事件发生的时间。

    • Web 站点站。用户访问的有风险的网站。

    • Category(类别)。Secure Private Access 为列入黑名单的 URL 指定的类别。

    • 声誉评级。Secure Private Access 为列入黑名单的 URL 返回的信誉等级。有关详细信息,请参阅 URL 信誉得分

      Secure Private Access 尝试访问列入黑名单的 URL 事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指标的数据源如何,都可以应用与其他数据源相关的操作。

不寻常的上传量

Citrix Analytics 会根据异常上传量活动检测数据访问威胁,并触发相应的风险指示器。

当用户向应用程序或网站 上传过量的数据时,会报告异常 上传量风险指示器。

与异常上传量风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

什么时候触发异常上传量风险指示器

您可以配置 Secure Private Access 来监视用户活动,例如访问的恶意、危险或未知网站、消耗的带宽以及有风险的下载和上载。当组织中的用户将数据上传到应用程序或网站时,Secure Private Access 会向 Citrix Analytics 报告这些事件。

Citrix Analytics 会监视所有这些事件,如果它确定此用户活动与用户的通常行为相反,它将更新用户的风险评分。不寻常的上传量 风险指示器已添加到用户的风险时间表中。

如何分析异常上载量风险指示器?

考虑一个用户 Adam Maxwell,他将过多的数据上传到应用程序或网站。Secure Private Access 将这些事件报告给 Citrix Analytics,后者会为 Adam Maxwell 分配更新的风险评分。异常上传量 风险指示器添加到 Adam Maxwell 的风险时间表中。

从 Adam Maxwell 的风险时间表中,您可以选择报告的异常上载量风险指标。事件的原因与事件的详细信息一起显示,例如事件的时间和域名。

要查看 异常上传量 风险指示器,请导航到“安全”>“用户”,然后选择用户。

当您从时间轴中选择 异常上传量 风险指示器条目时,右侧窗格中会出现相应的详细信息面板。

Secure Private Access 异常上传量

  • 发生了什么”部分提供了风险指示器的简要摘要,包括所选期间上传的数据量。

    Secure Private Access 异常上传量发生了什么事

  • “事 件详细信息”部分包括在选定时间段内发生的各个数据上传事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。将过多数据上传到应用程序或网站的时间。

    • 。用户将数据上传到的域。

    • 上传大小。上传到域的数据量。

      Secure Private Access 异常上传卷事件详细信息

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指标的数据源如何,都可以应用与其他数据源相关的操作。

数据下载过多

Citrix Analytics 会根据网络中用户下载的过多数据检测数据访问威胁,并触发相应的风险指示器。

当组织中的用户从应用程序或网站下载过多数据时,会报告风险指示器。

何时触发过多数据下载风险指示器

您可以配置 Secure Private Access 来监视用户活动,例如访问的恶意、危险或未知网站、消耗的带宽以及有风险的下载和上载。当组织中的用户从应用程序或网站下载数据时,Secure Private Access 会向 Citrix Analytics 报告这些事件。

Citrix Analytics 会监视所有这些事件,如果它确定用户活动与用户的通常行为相反,它将更新用户的风险评分。数据下载过多风险指示器已添加到用户的风险时间表中。

与过多的数据下载风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

如何分析数据下载过多风险指标

假设用户 Georgina Kalou 从应用程序或网站下载过剩数据量。Secure Private Access 将这些事件报告给 Citrix Analytics,Citrix Analytics 会为 Georgina Kalou 分配更新的风险评分,并将过多的数据下载风险指示器条目添加到用户的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的 过多数据下载 风险指标。事件的原因与事件的详细信息一起显示,例如时间和域名详细信息。

要查看数据下载过多风险指示器,请导航到“安全性”>“用户”,然后选择用户。

当您从时间轴中选择 过多的数据下载 风险指示器条目时,右侧窗格中将显示相应的详细信息面板。

Secure Private Access 过多的数据下载

  • 发生了什么事 部分提供了风险指示器的简要摘要,包括在选定时间段内下载的数据量。

    Secure Private Access 过多的数据下载发生了什么

  • “事 件详细信息”部分包括在选定时间段内发生的各个数据下载事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。将过多数据下载到应用程序或网站的时间。

    • 。用户下载数据的域。

    • 下载大小。下载到域的数据量。

      Secure Private Access 过多的数据下载事件详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指标的数据源如何,都可以应用与其他数据源相关的操作。

Citrix Secure Private Access 风险指示器