Citrix Analytics for Security

Citrix Gateway 风险指示器

端点分析 (EPA) 扫描失败

Citrix Analytics 会根据 EPA 扫描失败活动检测基于用户访问的威胁,并触发相应的风险指示器。

与端点分析扫描失败风险指示器相关的风险因素是其他风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

EPA 扫描故障风险指示器何时触发?

当用户尝试使用未通过 Citrix Gateway 的端点分析 (EPA) 扫描策略进行预身份验证或身份验证后的设备访问网络时,将报告 EPA 扫描失败风险指示器。

Citrix Gateway 检测到这些事件并将其报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否有太多 EPA 扫描故障。当 Citrix Analytics 确定用户的 EPA 扫描失败过多时,它会更新用户的风险评分,并将 EPA 扫描失败风险指示器条目添加到用户的风险时间表中。

如何分析 EPA 扫描故障风险指示器?

以用户 Lemuel 为例,他最近多次尝试使用 Citrix Gateway 的 EPA 扫描失败的设备访问网络。Citrix Gateway 将此失败报告给 Citrix Analytics,该分析会向 Lemuel 分配更新的风险评分。EPA 扫描失败风险指示器已添加到 Lemuel Kildow 的风险时间表中。

要查看用户的 EPA 扫描失败 条目,请导航到“安全”>“用户”,然后选择该用户。

从 Lemuel Kildow 的风险时间表中,您可以选择为用户报告的最新 EPA 扫描失败 风险指示器。当您从时间轴中选择 EPA 扫描故障风险指示器条目时,右侧窗格中会显示相应的详细信息面板。

EPA 扫描失败

  • 发生了什么 部分提供了 EPA 扫描失败风险指示器的简要摘要。并且,包括在选定时间段内报告的登录后 EPA 扫描失败的数量。

    EPA 扫描失败发生了什么

  • “事 件详细信息 — 扫描失败”部分包括在选定时间段内发生的单个 EPA 扫描失败事件的时间轴可视化。此外,它还包括一个表,其中提供了有关每个事件的以下关键信息:

    • 时间。EPA 扫描失败发生的时间。

    • 客户端 IP。导致 EPA 扫描失败的客户端的 IP 地址。

    • 网关 IP。报告 EPA 扫描失败的 Citrix Gateway 的 IP 地址。

    • FQDN。Citrix Gateway 的 FQDN。

    • 事件描述。EPA 扫描失败原因的简要说明。

    • 策略名称。Citrix Gateway 上配置的 EPA 扫描策略名称。

    • 安全表达式。Citrix Gateway 上配置的安全表达式。

      EPA 扫描失败事件详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

验证失败过多

Citrix Analytics 会根据过多的身份验证失败检测基于用户访问的威胁并触发相应的风险指示

与过多的身份验证失败风险指示器相关的风险因素是基于登录失败的风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

何时触发身份验证失败过多风险指示器

当用户在给定时间段内遇到多个 Citrix Gateway 身份验证失败时,会报告登录失败风险指示器。Citrix Gateway 身份验证失败可以是主要、次要或三级身份验证失败,具体取决于是否为用户配置了多重身份验证。

Citrix Gateway 会检测所有用户身份验证失败并将这些事件报告给 Citrix Analytics。Citrix Analytics 会监视所有这些事件,以检测用户是否遇到过多的身份验证失败。当 Citrix Analytics 确定过多的身份验证失败时,它会更新用户的风险评分。过度身份验证失败风险指示器已添加到用户的风险时间表中。

如何分析过多的身份验证失败风险指示器?

以用户 Lemuel 为例,他最近多次尝试对网络进行身份验证失败。Citrix Gateway 将这些失败报告给 Citrix Analytics,并将更新的风险评分分配给 Lemuel。过度验证失败 风险指示器添加到 Lemuel Kildow 的风险时间表中。

要查看用户的身份验证失败过多风险指示器条目,请导航到“安全”>“用户”,然后选择该用户。

从 Lemuel Kildow 的风险时间表中,您可以选择为用户报告的最新 过多身份验证失败 风险指示器。从风险时间表中选择“过多身份验证失败 风险指示器”条目时,右窗格中将显示相应的详细信息面板。

验证失败过多

  • 生了什么事情 部分提供了风险指示器的简要摘要,包括在选定时间段内发生的身份验证失败的次数。

    身份验证失败过多发生了

  • “事 件详细信息”部分包括在选定时间段内发生的各个过多身份验证失败事件的时间轴可视化。此外,您还可以查看有关每个事件的以下关键信息:

    • 时间。登录失败发生的时间。

    • 错误计数。事件发生时和过去 48 小时内为用户检测到的身份验证失败次数。

    • 事件描述。登录失败原因的简要说明。

      过多的身份验证失败事件

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

不可能旅行

Citrix Analytics 检测到用户的登录存在风险,如果连续登录来自两个不同的国家/地区,且时间段少于这两个国家/地区之间的预期旅行时间。

不可能的旅行时间情景表明存在以下风险:

  • 凭据泄露:远程攻击者窃取合法用户的凭据。
  • 共享凭据:不同的用户使用相同的用户凭据。

不可能的旅行风险指示器何时触发

不可能旅行风险指示器评估每对连续用户登录之间的时间和估计距离,并在距离大于个人在这段时间内可能行驶的距离时触发。

注意

此风险指示器还包含用于减少以下情况的误报警报的逻辑,这些情况不反映用户的实际位置:

  • 当用户通过代理连接通过 Citrix Gateway 登录时。
  • 当用户通过 Citrix Gateway 从托管客户端登录时。

如何分析不可能的风险指标

以用户 Adam Maxwell 为例,他在一分钟的时间内从印度班加罗尔和挪威奥斯陆这两个地点登录。Citrix Analytics 将此登录事件检测为不可能的旅行场景,并触发不可能旅行风险指示器。风险指标被添加到 Adam Maxwell 的风险时间表中,并为他分配了风险评分。

要查看 Adam Maxwell 的风险时间表,请选择安全 > 用户。从“风险用户”窗格中,选择用户 Adam Maxwell。

从 Adam Maxwell 的风险时间表中,选择不可能的旅行风险指示器。您可以查看以下信息:

  • 发生了什么 事部分简要概述了不可能旅行事件。

    GW 发生了什么

  • 指标详情部分提供用户登录的位置、连续登录之间的持续时间以及两个位置之间的距离。

    GW 指标详情

  • 登录位置 - 最近 30 天部分显示了用户不可能的出行地点和已知位置的地理地图视图。显示的是过去 30 天的位置数据。您可以将鼠标悬停在地图上的指针上,以查看每个位置的总登录次数。

    GW 登录详情-过去 30 天

  • 不可能旅行 - 事件详情部分提供了有关不可能旅行事件的以下信息:

    • 时间:表示登录的日期和时间。
    • 设备操作系统:指示用户设备的操作系统。
    • 客户端 IP:表示用户设备的 IP 地址。
    • 位置:表示用户登录的位置。

    GW 不可能的旅行活动详情

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。
  • 通知管理员。当用户帐户有任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。
  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。
  • 锁定用户:如果用户的帐户因异常行为而被锁定,则在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的配置文件并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

从可疑 IP 登录

Citrix Analytics 根据来自可疑 IP 的登录活动检测用户访问威胁,并触发此风险指示器。

与可疑 IP 登录风险指示器相关的风险因素是基于 IP 的风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

何时触发来自可疑 IP 的登录风险指示器?

当用户尝试 从 Citrix Analytics 识别为可疑的 IP 地址访问网络时,将触发从可疑 IP 登 录风险指示器。根据以下情况之一,IP 地址被视为可疑:

  • 在外部 IP 威胁智能源上列出

  • 有来自异常位置的多个用户登录记录

  • 登录尝试失败过多,可能表明存在暴力攻击

Citrix Analytics 监视从 Citrix Gateway 收到的登录事件,并检测用户是否已从任何可疑 IP 登录。当 Citrix Analytics 检测到来自可疑 IP 的登录尝试时,它会更新用户的风险评分,并将 可疑 IP 风险指示器条目中的登录 添加到用户的风险时间表中。

如何从可疑的 IP 风险指示器分析登录?

考虑试图从 Citrix Analytics 识别为可疑的 IP 地址访问网络的用户勒缪尔。Citrix Gateway 向 Citrix Analytics 报告登录事件,该分析将更新的风险分数分配给 Lemuel。从可疑 IP 登录 风险指示器已添加到 Lemuel Kildow 的风险时间表中。

从可疑 IP 登录

若要查看为用户报告的可疑 IP 风险登录指示器,请导航到“安全”>“用 ”,然后选择用户。从 Lemuel Kildow 的风险时间表中,您可以 从为用户报告的可疑 IP 风险指示器中选择最新的登录 。从时间轴中选择 从可疑 IP 风险指示器条目中选择登录 时,右侧窗格中将显示相应的详细信息面板。

  • 发生了什么”部分提供了来自可疑 IP 风险指示器的登录的简要摘要。并且,包括在选定时间段内报告的来自可疑 IP 地址的登录次数。

    从可疑 IP 登录

  • 可疑 IP 部分提供以下信息:

    可疑 IP 部分

    • 可疑的 IP。与可疑登录活动关联的 IP 地址。

    • 位置。用户的城市、地区和国家/地区。根据数据的可用性显示这些位置。

    • 潜在的组织级风险。表示 Citrix Analytics 最近在您的组织中检测到的任何可疑 IP 活动模式。风险模式包括与潜在的暴力尝试一致的过度登录失败以及多个用户的异常访问。

      如果没有检测到组织中的 IP 地址的风险模式,则会看到以下消息。

      没有风险模式

    • 社区情报。提供在外部 IP 威胁情报源中被确定为高风险的 IP 地址的威胁评分和威胁类别。Citrix Analytics 为高风险 IP 地址分配风险评分。风险评分从 80 开始。

      如果 IP 地址在外部 IP 威胁情报源中没有任何可用的威胁情报,则会看到以下消息。

      没有情报源

  • 件详细 信息部分提供了有关可疑登录活动的以下信息:

    从可疑 IP 登录

    • 时间。可疑登录活动的时间。

    • 客户端 IP。用于可疑登录活动的用户设备的 IP 地址。

    • 设备操作系统。浏览器的操作系统。

    • 设备浏览器。用于可疑登录活动的 Web 浏览器。

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

可疑登录

备注

  • 此风险指示器取代了来自异常位置的访问风险指示器。

  • 任何基于“从异常位置访问”风险指示器的策略都会自动链接到可疑登录风险指示器。

Citrix Analytics 会根据多个上下文因素(由用户使用的设备、位置和网络共同定义)来检测看起来异常或有风险的用户登录。

何时触发可疑登录风险指示器

风险指示器是由以下因素的组合触发的,根据一种或多种条件,每个因素都被视为潜在的可疑因素。

因数 条件
异常的设备 用户使用与过去 30 天内使用的设备不同的签名从设备登录。设备签名基于设备的操作系统和所使用的浏览器。
位置不寻常 从用户在过去 30 天内未登录的城市或国家/地区登录。
  城市或国家/地区在地理上与最近(过去 30 天)的登录位置相距甚远。
  在过去 30 天内,从城市或国家/地区登录的用户数为零或最少。
异常的网络 使用用户在过去 30 天内未使用的 IP 地址登录。
  从用户在过去 30 天内未使用的 IP 子网登录。
  在过去 30 天内,从 IP 子网登录的用户数为零或最少。
IP 威胁 社区威胁情报源 Webroot 将该 IP 地址标识为高风险。
  Citrix Analytics 最近从其他用户的 IP 地址检测到高度可疑的登录活动。

如何分析可疑登录风险指示器

以用户 Adam Maxwell 为例,他首次从印度安得拉邦登录。他使用具有已知签名的设备访问组织的资源。但是他从过去30天没有使用过的网络进行连接。

Citrix Analytics 将此登录事件检测为可疑事件,因为因素-位置和网络偏离了他的通常行为,并触发可疑登录风险指示器。风险指示器被添加到 Adam Maxwell 的风险时间表中,并为他分配了风险评分。

要查看 Adam Maxwell 的风险时间,请选择“安全”>“用户”。从“风险用户”窗格中,选择用户 Adam Maxwell。

从 Adam Maxwell 的风险时间表中,选择可疑登录风险指示器。您可以查看以下信息:

  • 发生了什么部分简要概述了可疑活动,包括风险因素和事件发生时间。

    可疑登录发生了什么

  • 登录详细信息部分提供了与每个风险因素相对应的可疑活动的详细摘要。为每个风险因素分配一个表示怀疑水平的分数。任何单一风险因素都不表示来自用户的高风险。总体风险基于多个风险因素的相关性。

    怀疑等级 指示
    0–69 该因素看起来正常,不被视为可疑因素。
    70–89 该因素看起来有点不寻常,被认为与其他因素有中等可疑性。
    90–100 该因素是全新的或不寻常的,被认为与其他因素高度可疑。

    可疑的登录信息

  • 登录位置 - 过去 30 天显示最近已知位置和用户当前位置的地理地图视图。显示的是过去 30 天的位置数据。您可以将鼠标悬停在地图上的指针上,以查看每个位置的总登录次数。

    可疑登录位置详细信息

  • 可疑登录 - 事件详细信息部分提供了有关可疑登录事件的以下信息:

    • 时间:表示可疑登录的日期和时间。

    • 设备操作系统:指示用户设备的操作系统。

    • 设备浏览器:表示用于登录 Citrix Gateway 的 Web 浏览器。

    可疑的登录事件

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

异常的身份验证

当用户从异常 IP 地址登录失败时,Citrix Analytics 会检测基于访问的威胁,并触发相应的风险指示器。

与异常身份验证风险指示器相关的风险因素是基于登录失败的风险指示器。有关风险因素的更多信息,请参阅 Citrix 用户风险指示器。

什么时候触发异常身份验证失败指示器

当组织中的用户从不正常的 IP 地址登录失败时,您可能会收到通知,这与他们的常规行为相反。

Citrix Gateway 检测到这些事件并将其报告给 Citrix Analytics。Citrix Analytics 会接收事件并提高用户的风险评分。异常身份验证失败 风险指示器添加到用户的风险时间表中。

如何分析不寻常的身份验证失败指示器

以用户 Georgina Kalou 为例,她经常从她通常的家庭和办公室网络登录 Citrix Gateway。远程攻击者试图通过猜测不同的密码来验证 Georgina 的帐户,从而导致陌生网络的身份验证失败。

在这种情况下,Citrix Gateway 将这些事件报告给 Citrix Analytics,后者将更新的风险评分分配给 Georgina Kalou。异常身份验证失败风险指示器添加到 Georgina Kalou 的风险时间表中。

从 Georgina Kalou 的风险时间表中,您可以选择报告的异常身份验证失败风险指示器。活动的原因与活动时间和地点等详细信息一起显示。

认证失败

  • 在“发生了什么”部分中,您可以查看简短的摘要,其中包括身份验证失败总数和事件发生时间。

  • 建议的操作部分,您可以找到可以应用于风险指示器的建议操作。Citrix Analytics for Security 会根据用户构成的风险的严重程度推荐操作。建议可以是以下操作之一,也可以是以下操作的组合:

    • 通知管理员

    • 添加到播放列表

    • 创建策略

    您可以根据建议选择操作。或者,您可以根据从操作菜单中选择要应用的操作。有关详细信息,请参阅手动应用操作

    建议的操作

  • 在“事 件详细信息 — 登录成功和失败”部分中,您可以查看指示异常身份验证失败以及在同一持续时间内检测到的任何其他登录活动的图表。

  • 异常身份验证详细 信息部分中,该表提供了有关异常身份验证失败的以下信息:

    • 登录时间 — 事件的日期和时间

    • 客户端 IP — 用户设备的 IP 地址

    • 位置 — 事件发生的位置

    • 失败原因 — 身份验证失败的原因

      验证失败详细信息

  • 在“用 户身份验证活动 — 前 30 天”部分中,该表提供了有关用户过去 30 天的身份验证活动的以下信息:

    • 子网 — 来自用户网络的 IP 地址。

    • 成功 — 用户成功的身份验证事件总数和最近一次成功事件的时间。

    • 失败 — 用户的失败身份验证事件总数和最近失败事件的时间。

    • 位置 — 发生身份验证事件的位置。

      验证活动

您可以对用户应用哪些操作?

您可以对用户的帐户执行以下操作:

  • 添加到播放列表。当您想要监视用户未来的潜在威胁时,可以将它们添加到监视列表中。

  • 通知管理员。当用户帐户中存在任何异常或可疑活动时,系统会向所有管理员或选定的管理员发送电子邮件通知。

  • 注销用户。当用户从其帐户注销时,在 Citrix Gateway 管理员清除“注销用户”操作之前,他们无法通过 Citrix Gateway 访问任何资源。

  • 锁定用户:当用户的帐户由于异常行为而被锁定时,在网关管理员解锁帐户之前,他们无法通过 Citrix Gateway 访问任何资源。

要了解有关操作以及如何手动配置操作的更多信息,请参阅 策略和操作

要手动将操作应用于用户,请导航到用户的个人资料并选择相应的风险指示器。从操作菜单中,选择一个操作,然后单击应用

注意

无论触发风险指示器的数据源如何,都可以应用与其他数据源相关的操作。

Citrix Gateway 风险指示器