Citrix Endpoint Management™ 风险指标
检测到具有黑名单应用的设备
Citrix Analytics 根据具有黑名单应用的设备中的活动检测访问威胁,并触发相应的风险指标。
当 Endpoint Management 服务在软件清单期间检测到黑名单应用时,将触发检测到具有黑名单应用的设备风险指标。此警报可确保只有授权应用在您组织网络中的设备上运行。
与“检测到具有黑名单应用的设备”风险指标关联的风险因素是“其他风险指标”。有关风险因素的更多信息,请参阅Citrix 用户风险指标。
何时触发“检测到具有黑名单应用的设备”风险指标
当在用户的设备上检测到黑名单应用时,将报告检测到具有黑名单应用的设备风险指标。当 Endpoint Management 服务在软件清单期间检测到设备上有一个或多个黑名单应用时,会将事件发送到 Citrix Analytics。
Citrix Analytics 监控这些事件并更新用户的风险评分。此外,它还会将检测到具有黑名单应用的设备风险指标条目添加到用户的风险时间线中。
如何分析“检测到具有黑名单应用的设备”风险指标
考虑用户 Andrew Jackson,他使用的设备最近安装了黑名单应用。Endpoint Management 将此情况报告给 Citrix Analytics,后者会为 Andrew Jackson 分配更新的风险评分。
从 Andrew Jackson 的风险时间线中,您可以选择报告的检测到具有黑名单应用的设备风险指标。事件原因以及黑名单应用列表、Endpoint Management 检测到黑名单应用的时间等详细信息都会显示。
要查看用户的检测到具有黑名单应用的设备风险指标,请导航到 Security(安全)> Users(用户),然后选择该用户。
-
在 WHAT HAPPENED(发生了什么)部分,您可以查看事件摘要。您可以查看 Endpoint Management 服务检测到的具有黑名单应用的设备数量以及事件发生的时间。
-
在 EVENT DETAILS – BLACKLISTED APP DEVICE ACCESS(事件详细信息 - 黑名单应用设备访问)部分,事件以图形和表格格式显示。事件也作为单个条目显示在图中,表格提供以下关键信息:
-
Time detected(检测时间)- Endpoint Management 报告黑名单应用存在的时间。
-
Blacklisted apps(黑名单应用)- 设备上的黑名单应用。
-
Device(设备)- 使用的移动设备。
-
Device ID(设备 ID)- 有关用于登录会话的设备 ID 的信息。
-
OS(操作系统)- 移动设备的操作系统。
-
注意
除了以表格格式查看详细信息外,您还可以单击警报实例旁边的箭头以查看更多详细信息。
可以对用户执行哪些操作
您可以对用户帐户执行以下操作:
-
Add to watchlist(添加到观察列表)。当您想要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
-
Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,会向所有或选定的管理员发送电子邮件通知。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户的配置文件并选择相应的风险指标。从操作菜单中,选择一个操作,然后单击应用。
注意
无论触发风险指标的数据源是什么,都可以应用与任何其他数据源相关的操作。
检测到越狱或已获得 root 权限的设备
Citrix Analytics 根据越狱或已获得 root 权限的设备活动检测访问威胁,并触发相应的风险指标。
当用户使用越狱或已获得 root 权限的设备连接到网络时,将触发检测到越狱或已获得 root 权限的设备风险指标。Secure Hub 检测到该设备并将事件报告给 Endpoint Management 服务。此警报可确保只有授权用户和设备在您组织的网络中。
与“检测到越狱或已获得 root 权限的设备”风险指标关联的风险因素是“其他风险指标”。有关风险因素的更多信息,请参阅Citrix 用户风险指标。
何时触发“检测到越狱或已获得 root 权限的设备”风险指标
对于安全官员而言,能够确保用户使用符合网络策略的设备进行连接非常重要。检测到越狱或已获得 root 权限的设备风险指标会提醒您注意使用已越狱的 iOS 设备或已获得 root 权限的 Android 设备的用户。
当已注册设备变为越狱或已获得 root 权限时,将触发检测到越狱或已获得 root 权限的设备风险指标。Secure Hub 检测到设备上的事件并将其报告给 Endpoint Management 服务。
如何分析“检测到越狱或已获得 root 权限的设备”风险指标
考虑用户 Georgina Kalou,她的已注册 iOS 设备最近变为越狱状态。Citrix Analytics 检测到此可疑行为,并为 Georgina Kalou 分配风险评分。
从 Georgina Kalou 的风险时间线中,您可以选择报告的检测到越狱或已获得 root 权限的设备风险指标。事件原因以及风险指标触发时间、事件描述等详细信息都会显示。
要查看用户的检测到越狱或已获得 root 权限的设备风险指标,请导航到 Security(安全)> Users(用户),然后选择该用户。
-
在 WHAT HAPPENED(发生了什么)部分,您可以查看事件摘要。您可以查看检测到的越狱或已获得 root 权限的设备数量以及事件发生的时间。
-
在 EVENT DETAILS – DEVICE DETECTED(事件详细信息 - 检测到设备)部分,事件以图形和表格格式显示。事件也作为单个条目显示在图中,表格提供以下关键信息:
-
Time detected(检测时间)。检测到越狱或已获得 root 权限的设备的时间。
-
Device(设备)。使用的移动设备。
-
Device ID(设备 ID)。有关用于登录会话的设备 ID 的信息。
-
OS(操作系统)。移动设备的操作系统。
-
注意
除了以表格格式查看详细信息外,单击警报实例旁边的箭头以查看更多详细信息。
可以对用户执行哪些操作
您可以对用户帐户执行以下操作:
-
Add to watchlist(添加到观察列表)。当您想要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
-
Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,会向所有或选定的管理员发送电子邮件通知。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户的配置文件并选择相应的风险指标。从操作菜单中,选择一个操作,然后单击应用。
注意
无论触发风险指标的数据源是什么,都可以应用与任何其他数据源相关的操作。
检测到非托管设备
Citrix Analytics 根据非托管设备活动检测访问威胁,并触发相应的风险指标。
当设备出现以下情况时,将触发检测到非托管设备风险指标:
-
因自动化操作而远程擦除。
-
由管理员手动擦除。
-
由用户取消注册。
与“检测到非托管设备”风险指标关联的风险因素是“其他风险指标”。有关风险因素的更多信息,请参阅Citrix 用户风险指标。
何时触发“检测到非托管设备”风险指标
当用户的设备变为非托管状态时,将报告检测到非托管设备风险指标。设备变为非托管状态的原因如下:
-
用户执行的操作。
-
Endpoint Management 管理员或服务器执行的操作。
在您的组织中,使用 Endpoint Management 服务可以管理访问网络的设备和应用。有关更多信息,请参阅管理模式。
当用户的设备变为非托管状态时,Endpoint Management 服务会检测到此事件并将其报告给 Citrix Analytics。用户的风险评分将更新。检测到非托管设备风险指标将添加到用户的风险时间线中。
如何分析“检测到非托管设备”风险指标
考虑用户 Georgina Kalou,她的设备因服务器上的自动化操作而被远程擦除。Endpoint Management 将此事件报告给 Citrix Analytics,后者会为 Georgina Kalou 分配更新的风险评分。
从 Georgina Kalou 的风险时间线中,您可以选择报告的“检测到非托管设备”风险指标。事件原因以及风险指标触发时间、事件描述等详细信息都会显示。
要查看用户的检测到非托管设备风险指标,请导航到 Security(安全)> Users(用户),然后选择该用户。
- 在 WHAT HAPPENED(发生了什么)部分,您可以查看事件摘要。您可以查看检测到的非托管设备数量以及事件发生的时间。
-
在 EVENT DETAILS – DEVICE DETECTED(事件详细信息 - 检测到设备)部分,事件以图形和表格格式显示。事件也作为单个条目显示在图中,表格提供以下关键信息:
-
Time detected(检测时间)。检测到事件的时间。
-
Device(设备)。使用的移动设备。
-
Device ID(设备 ID)。移动设备的设备 ID。
-
OS(操作系统)。移动设备的操作系统。
-
可以对用户执行哪些操作
您可以对用户帐户执行以下操作:
-
Add to watchlist(添加到观察列表)。当您想要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
-
Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,会向所有或选定的管理员发送电子邮件通知。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户的配置文件并选择相应的风险指标。从操作菜单中,选择一个操作,然后单击应用。
注意
无论触发风险指标的数据源是什么,都可以应用与任何其他数据源相关的操作。