Citrix Gateway 风险指标
端点分析 (EPA) 扫描失败
Citrix Analytics 根据 EPA 扫描失败活动检测基于用户访问的威胁,并触发相应的风险指标。
与端点分析扫描失败风险指标相关的风险因素是“其他风险指标”。有关风险因素的更多信息,请参阅Citrix 用户风险指标。
何时触发 EPA 扫描失败风险指标
当用户尝试使用未能通过 Citrix Gateway 的端点分析 (EPA) 扫描策略(用于预身份验证或后身份验证)的设备访问网络时,将报告 EPA 扫描失败风险指标。
Citrix Gateway 检测到这些事件并将其报告给 Citrix Analytics。Citrix Analytics 监控所有这些事件,以检测用户是否发生了过多的 EPA 扫描失败。当 Citrix Analytics 确定用户存在过多的 EPA 扫描失败时,它会更新用户的风险评分,并将 EPA 扫描失败风险指标条目添加到用户的风险时间线中。
如何分析 EPA 扫描失败风险指标
假设用户 Lemuel 最近多次尝试使用未能通过 Citrix Gateway EPA 扫描的设备访问网络。Citrix Gateway 将此失败报告给 Citrix Analytics,后者为 Lemuel 分配了更新的风险评分。EPA 扫描失败风险指标已添加到 Lemuel Kildow 的风险时间线中。
要查看用户的 EPA 扫描失败条目,请导航到 Security(安全)> Users(用户),然后选择该用户。
从 Lemuel Kildow 的风险时间线中,可以选择为该用户报告的最新 EPA 扫描失败风险指标。当从时间线中选择 EPA 扫描失败风险指标条目时,右侧窗格中将显示相应的详细信息面板。
-
WHAT HAPPENED(发生了什么)部分提供了 EPA 扫描失败风险指标的简要摘要。此外,还包括在选定期间报告的登录后 EPA 扫描失败次数。
-
EVENT DETAILS – SCAN FAILURES(事件详细信息 – 扫描失败)部分包括在选定时间段内发生的单个 EPA 扫描失败事件的时间线可视化。此外,它还包含一个表格,提供有关每个事件的以下关键信息:
-
Time(时间)。EPA 扫描失败发生的时间。
-
Client IP(客户端 IP)。导致 EPA 扫描失败的客户端设备的 IP 地址。
-
Gateway IP(网关 IP)。报告 EPA 扫描失败的 Citrix Gateway 的 IP 地址。
-
FQDN。Citrix Gateway 的 FQDN。
-
Event description(事件描述)。EPA 扫描失败原因的简要描述。
-
Policy name(策略名称)。在 Citrix Gateway 上配置的 EPA 扫描策略名称。
-
Security expression(安全表达式)。在 Citrix Gateway 上配置的安全表达式。
-
可以对用户应用哪些操作
可以对用户帐户执行以下操作:
-
Add to watchlist(添加到观察列表)。当需要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
-
Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,电子邮件通知将发送给所有或选定的管理员。
-
Log off user(注销用户)。当用户从其帐户注销后,在 Citrix Gateway 管理员清除“注销用户”操作之前,用户无法通过 Citrix Gateway 访问任何资源。
-
Lock user(锁定用户):当用户帐户因异常行为而被锁定时,在 Gateway 管理员解锁帐户之前,用户无法通过 Citrix Gateway 访问任何资源。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从 Actions(操作)菜单中,选择一个操作,然后单击 Apply(应用)。
Note(注意)
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。
身份验证失败过多
Citrix Analytics 根据身份验证失败过多检测基于用户访问的威胁,并触发相应的风险指标。
与身份验证失败过多风险指标相关的风险因素是“基于登录失败的风险指标”。有关风险因素的更多信息,请参阅Citrix 用户风险指标。
何时触发身份验证失败过多风险指标
当用户在给定时间内遇到多次 Citrix Gateway 身份验证失败时,将报告登录失败风险指标。Citrix Gateway 身份验证失败可以是主要、次要或三级身份验证失败,具体取决于是否为用户配置了多重身份验证。
Citrix Gateway 检测所有用户身份验证失败并向 Citrix Analytics 报告这些事件。Citrix Analytics 监控所有这些事件,以检测用户是否发生了过多的身份验证失败。当 Citrix Analytics 确定身份验证失败过多时,它会更新用户的风险评分。身份验证失败过多风险指标将添加到用户的风险时间线中。
如何分析身份验证失败过多风险指标
假设用户 Lemuel 最近多次尝试验证网络失败。Citrix Gateway 将这些失败报告给 Citrix Analytics,并为 Lemuel 分配了更新的风险评分。身份验证失败过多风险指标已添加到 Lemuel Kildow 的风险时间线中。
要查看用户的身份验证失败过多风险指标条目,请导航到 Security(安全)> Users(用户),然后选择该用户。
从 Lemuel Kildow 的风险时间线中,可以选择为该用户报告的最新身份验证失败过多风险指标。当从风险时间线中选择身份验证失败过多风险指标条目时,右侧窗格中将显示相应的详细信息面板。
-
WHAT HAPPENED(发生了什么)部分提供了风险指标的简要摘要,包括在选定期间发生的身份验证失败次数。
-
EVENT DETAILS(事件详细信息)部分包括在选定时间段内发生的单个身份验证失败过多事件的时间线可视化。此外,还可以查看有关每个事件的以下关键信息:
-
Time(时间)。登录失败发生的时间。
-
Error count(错误计数)。事件发生时以及之前 48 小时内为用户检测到的身份验证失败次数。
-
Event description(事件描述)。登录失败原因的简要描述。
-
可以对用户应用哪些操作
可以对用户帐户执行以下操作:
-
Add to watchlist(添加到观察列表)。当需要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
-
Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,电子邮件通知将发送给所有或选定的管理员。
-
Log off user(注销用户)。当用户从其帐户注销后,在 Citrix Gateway 管理员清除“注销用户”操作之前,用户无法通过 Citrix Gateway 访问任何资源。
-
Lock user(锁定用户):当用户帐户因异常行为而被锁定时,在 Gateway 管理员解锁帐户之前,用户无法通过 Citrix Gateway 访问任何资源。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从 Actions(操作)菜单中,选择一个操作,然后单击 Apply(应用)。
Note(注意)
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。
不可能行程
当用户在两个不同国家/地区之间连续登录的时间间隔小于预期旅行时间时,Citrix Analytics 会将用户的登录检测为有风险。
不可能行程场景表示以下风险:
- 凭据泄露:远程攻击者窃取了合法用户的凭据。
- 共享凭据:不同用户使用相同的用户凭据。
何时触发不可能行程风险指标
不可能行程风险指标评估每对连续用户登录之间的时间和估计距离,并在距离大于个人在该时间内可能旅行的距离时触发。
Note(注意)
此风险指标还包含用于减少以下场景的误报警报的逻辑,这些场景不反映用户的实际位置:
- 当用户通过代理连接从 Citrix Gateway 登录时。
- 当用户通过托管客户端从 Citrix Gateway 登录时。
如何分析不可能行程风险指标
假设用户 Adam Maxwell 在一分钟内从两个地点(印度班加罗尔和挪威奥斯陆)登录。Citrix Analytics 将此登录事件检测为不可能行程场景,并触发不可能行程风险指标。该风险指标已添加到 Adam Maxwell 的风险时间线中,并为其分配了风险评分。
要查看 Adam Maxwell 的风险时间线,请选择 Security(安全)> Users(用户)。从 Risky Users(有风险的用户)窗格中,选择用户 Adam Maxwell。
从 Adam Maxwell 的风险时间线中,选择不可能行程风险指标。可以查看以下信息:
-
WHAT HAPPENED(发生了什么)部分提供了不可能行程事件的简要摘要。
-
INDICATOR DETAILS(指标详细信息)部分提供了用户登录的地点、连续登录之间的时间间隔以及两个地点之间的距离。
-
LOGON LOCATION- LAST 30 DAYS(登录位置 - 最近 30 天)部分显示了不可能行程位置和用户已知位置的地理地图视图。位置数据显示为最近 30 天。可以将鼠标悬停在地图上的指针上,以查看每个位置的详细信息。
-
IMPOSSIBLE TRAVEL- EVENT DETAILS(不可能行程 - 事件详细信息)部分提供了有关不可能行程事件的以下信息:
- Time(时间):指示登录的日期和时间。
- Device OS(设备操作系统):指示用户设备的操作系统。
- Client IP(客户端 IP):指示用户设备的 IP 地址。
- Location(位置):指示用户登录的地点。
可以对用户应用哪些操作
可以对用户帐户执行以下操作:
- Add to watchlist(添加到观察列表)。当需要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
- Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,电子邮件通知将发送给所有或选定的管理员。
- Log off user(注销用户)。当用户从其帐户注销后,在 Citrix Gateway 管理员清除“注销用户”操作之前,用户无法通过 Citrix Gateway 访问任何资源。
- Lock user(锁定用户):当用户帐户因异常行为而被锁定时,在 Gateway 管理员解锁帐户之前,用户无法通过 Citrix Gateway 访问任何资源。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从 Actions(操作)菜单中,选择一个操作,然后单击 Apply(应用)。
Note(注意)
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。
从可疑 IP 登录
Citrix Analytics 根据从可疑 IP 进行的登录活动检测用户访问威胁,并触发此风险指标。
与从可疑 IP 登录风险指标相关的风险因素是“基于 IP 的风险指标”。有关风险因素的更多信息,请参阅Citrix 用户风险指标。
何时触发从可疑 IP 登录风险指标
当用户尝试从 Citrix Analytics 识别为可疑的 IP 地址访问网络时,将触发从可疑 IP 登录风险指标。根据以下条件之一,该 IP 地址被视为可疑:
-
列在外部 IP 威胁情报源中
-
从异常位置有多个用户登录记录
-
登录尝试失败过多,可能表明存在暴力攻击
Citrix Analytics 监控从 Citrix Gateway 接收到的登录事件,并检测用户是否从任何可疑 IP 登录。当 Citrix Analytics 检测到从可疑 IP 进行的登录尝试时,它会更新用户的风险评分,并将从可疑 IP 登录风险指标条目添加到用户的风险时间线中。
如何分析从可疑 IP 登录风险指标
假设用户 Lemuel 尝试从 Citrix Analytics 识别为可疑的 IP 地址访问网络。Citrix Gateway 将登录事件报告给 Citrix Analytics,后者为 Lemuel 分配了更新的风险评分。从可疑 IP 登录风险指标已添加到 Lemuel Kildow 的风险时间线中。
要查看为用户报告的从可疑 IP 登录风险指标,请导航到 Security(安全) > Users(用户),然后选择该用户。从 Lemuel Kildow 的风险时间线中,可以选择为该用户报告的最新从可疑 IP 登录风险指标。当从时间线中选择从可疑 IP 登录风险指标条目时,右侧窗格中将显示相应的详细信息面板。
-
WHAT HAPPENED(发生了什么)部分提供了从可疑 IP 登录风险指标的简要摘要。此外,还包括在选定期间报告的从可疑 IP 地址登录的次数。
-
Suspicious IP(可疑 IP)部分提供了以下信息:
-
Suspicious IP(可疑 IP)。与可疑登录活动相关的 IP 地址。
-
Location(位置)。用户的城市、区域和国家/地区。这些位置根据数据的可用性显示。
-
Potential organization level risk(潜在组织级别风险)。指示 Citrix Analytics 最近在组织中检测到的任何可疑 IP 活动模式。风险模式包括与潜在暴力攻击一致的过多登录失败以及多个用户的异常访问。
如果未检测到组织中 IP 地址的任何风险模式,则会看到以下消息。
-
Community intelligence(社区情报)。提供在外部 IP 威胁情报源中识别为高风险的 IP 地址的威胁评分和威胁类别。Citrix Analytics 为高风险 IP 地址分配风险评分。风险评分从 80 开始。
如果 IP 地址在外部 IP 威胁情报源上没有可用的威胁情报,则会看到以下消息。
-
-
EVENT DETAILS(事件详细信息)部分提供了有关可疑登录活动的以下信息:
-
Time(时间)。可疑登录活动的时间。
-
Client IP(客户端 IP)。用于可疑登录活动的用户设备的 IP 地址。
-
Device OS(设备操作系统)。浏览器的操作系统。
-
Device Browser(设备浏览器)。用于可疑登录活动的 Web 浏览器。
-
可以对用户应用哪些操作
可以对用户帐户执行以下操作:
-
Add to watchlist(添加到观察列表)。当需要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
-
Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,电子邮件通知将发送给所有或选定的管理员。
-
Log off user(注销用户)。当用户从其帐户注销后,在 Citrix Gateway 管理员清除“注销用户”操作之前,用户无法通过 Citrix Gateway 访问任何资源。
-
Lock user(锁定用户):当用户帐户因异常行为而被锁定时,在 Gateway 管理员解锁帐户之前,用户无法通过 Citrix Gateway 访问任何资源。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从 Actions(操作)菜单中,选择一个操作,然后单击 Apply(应用)。
Note(注意)
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。
可疑登录
Notes(注意)
此风险指标取代了“从异常位置访问”风险指标。
基于“从异常位置访问”风险指标的任何策略都会自动链接到“可疑登录”风险指标。
Citrix Analytics 根据设备、位置和用户使用的网络等多个上下文因素(这些因素共同定义)检测用户登录是否异常或有风险。
何时触发可疑登录风险指标
该风险指标由以下因素组合触发,其中每个因素根据一个或多个条件被视为潜在可疑。
| 因素 | 条件 |
|---|---|
| 异常设备 | 用户从签名与过去 30 天内使用的设备不同的设备登录。设备签名基于设备的操作系统和使用的浏览器。 |
| 异常位置 | 从用户在过去 30 天内未登录过的城市或国家/地区登录。 |
| 该城市或国家/地区在地理上远离最近(过去 30 天)的登录位置。 | |
| 在过去 30 天内,从该城市或国家/地区登录的用户为零或极少。 | |
| 异常网络 | 从用户在过去 30 天内未使用的 IP 地址登录。 |
| 从用户在过去 30 天内未使用的 IP 子网登录。 | |
| 在过去 30 天内,从该 IP 子网登录的用户为零或极少。 | |
| IP 威胁 | 该 IP 地址被社区威胁情报源 Webroot 识别为高风险。 |
| Citrix Analytics 最近检测到来自其他用户的该 IP 地址的高度可疑登录活动。 |
如何分析可疑登录风险指标
假设用户 Adam Maxwell 首次从印度安得拉邦登录。他使用具有已知签名的设备访问组织的资源。但他从一个他过去 30 天内未使用的网络连接。
Citrix Analytics 将此登录事件检测为可疑,因为位置和网络因素偏离了他的正常行为,并触发了可疑登录风险指标。该风险指标已添加到 Adam Maxwell 的风险时间线中,并为其分配了风险评分。
要查看 Adam Maxwell 的风险时间,请选择 Security(安全)> Users(用户)。从 Risky Users(有风险的用户)窗格中,选择用户 Adam Maxwell。
从 Adam Maxwell 的风险时间线中,选择可疑登录风险指标。可以查看以下信息:
-
WHAT HAPPENED(发生了什么)部分提供了可疑活动的简要摘要,包括风险因素和事件发生时间。
-
LOGON DETAILS(登录详细信息)部分提供了与每个风险因素对应的可疑活动的详细摘要。每个风险因素都被分配一个分数,表示可疑程度。任何单个风险因素都不表示用户存在高风险。总体风险基于多个风险因素的关联。
可疑程度 指示 0–69 该因素看起来正常,不被视为可疑。 70–89 该因素看起来略有异常,与其他因素一起被视为中度可疑。 90–100 该因素是全新的或异常的,与其他因素一起被视为高度可疑。 
-
LOGON LOCATION- LAST 30 DAYS(登录位置 - 最近 30 天)显示了用户最后已知位置和当前位置的地理地图视图。位置数据显示为最近 30 天。可以将鼠标悬停在地图上的指针上,以查看每个位置的总登录次数。
-
SUSPICIOUS LOGON- EVENT DETAILS(可疑登录 - 事件详细信息)部分提供了有关可疑登录事件的以下信息:
-
Time(时间):指示可疑登录的日期和时间。
-
Device OS(设备操作系统):指示用户设备的操作系统。
-
Device browser(设备浏览器):指示用于登录 Citrix Gateway 的 Web 浏览器。
-
可以对用户应用哪些操作
可以对用户帐户执行以下操作:
-
Add to watchlist(添加到观察列表)。当需要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
-
Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,电子邮件通知将发送给所有或选定的管理员。
-
Log off user(注销用户)。当用户从其帐户注销后,在 Citrix Gateway 管理员清除“注销用户”操作之前,用户无法通过 Citrix Gateway 访问任何资源。
-
Lock user(锁定用户):当用户帐户因异常行为而被锁定时,在 Gateway 管理员解锁帐户之前,用户无法通过 Citrix Gateway 访问任何资源。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从 Actions(操作)菜单中,选择一个操作,然后单击 Apply(应用)。
Note(注意)
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。
异常身份验证失败
当用户从异常 IP 地址登录失败时,Citrix Analytics 会检测基于访问的威胁并触发相应的风险指标。
与异常身份验证风险指标相关的风险因素是“基于登录失败的风险指标”。有关风险因素的更多信息,请参阅Citrix 用户风险指标。
何时触发异常身份验证失败指标
当组织中的用户从与其正常行为不符的异常 IP 地址登录失败时,可以收到通知。
Citrix Gateway 检测到这些事件并将其报告给 Citrix Analytics。Citrix Analytics 接收事件并增加用户的风险评分。异常身份验证失败风险指标将添加到用户的风险时间线中。
如何分析异常身份验证失败指标
假设用户 Georgina Kalou 通常从其常用的家庭和办公室网络登录 Citrix Gateway。远程攻击者尝试通过猜测不同的密码来验证 Georgina 的帐户,导致从不熟悉的网络进行身份验证失败。
在此场景中,Citrix Gateway 将这些事件报告给 Citrix Analytics,后者为 Georgina Kalou 分配了更新的风险评分。异常身份验证失败风险指标已添加到 Georgina Kalou 的风险时间线中。
从 Georgina Kalou 的风险时间线中,可以选择报告的异常身份验证失败风险指标。事件原因以及事件时间、位置等详细信息将显示。
-
在 WHAT HAPPENED(发生了什么)部分,可以查看简要摘要,其中包括身份验证失败总数和事件发生时间。
-
在 RECOMMENDED ACTION(建议操作)部分,可以找到可应用于风险指标的建议操作。Citrix Analytics for Security™ 根据用户造成的风险严重程度推荐操作。建议可以是以下一项或多项操作的组合:
-
Notify administrator(s)(通知管理员)
-
Add to watchlist(添加到观察列表)
-
Create a policy(创建策略)
可以根据建议选择一个操作。或者,可以从 Actions(操作)菜单中选择要应用的操作。有关更多信息,请参阅手动应用操作。
-
-
在 EVENT DETAILS – LOGON SUCCESS and FAILURES(事件详细信息 – 登录成功和失败)部分,可以查看指示异常身份验证失败的图表,以及在同一持续时间内检测到的任何其他登录活动。
-
在 UNUSUAL AUTHENTICATION DETAILS(异常身份验证详细信息)部分,表格提供了有关异常身份验证失败的以下信息:
-
Logon time(登录时间) – 事件的日期和时间
-
Client IP(客户端 IP) – 用户设备的 IP 地址
-
Location(位置) – 事件发生的位置
-
Failure reason(失败原因) – 身份验证失败的原因
-
-
在 USER AUTHENTICATION ACTIVITY – PREVIOUS 30 DAYS(用户身份验证活动 – 过去 30 天)部分,表格提供了有关用户过去 30 天身份验证活动的以下信息:
-
Subnet(子网) – 来自用户网络的 IP 地址。
-
Success(成功) – 成功身份验证事件的总数以及用户最近一次成功事件的时间。
-
Failure(失败) – 失败身份验证事件的总数以及用户最近一次失败事件的时间。
-
Location(位置) – 身份验证事件发生的位置。
-
可以对用户应用哪些操作
可以对用户帐户执行以下操作:
-
Add to watchlist(添加到观察列表)。当需要监控用户以防范未来潜在威胁时,可以将其添加到观察列表。
-
Notify administrator(s)(通知管理员)。当用户帐户出现任何异常或可疑活动时,电子邮件通知将发送给所有或选定的管理员。
-
Log off user(注销用户)。当用户从其帐户注销后,在 Citrix Gateway 管理员清除“注销用户”操作之前,用户无法通过 Citrix Gateway 访问任何资源。
-
Lock user(锁定用户):当用户帐户因异常行为而被锁定时,在 Gateway 管理员解锁帐户之前,用户无法通过 Citrix Gateway 访问任何资源。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户配置文件并选择相应的风险指标。从 Actions(操作)菜单中,选择一个操作,然后单击 Apply(应用)。
Note(注意)
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。