Citrix Virtual Apps and Desktops™ 和 Citrix DaaS 风险指标
不可能行程
Citrix Analytics 会将用户的连续登录识别为有风险,如果这些登录来自两个不同的国家/地区,且登录时间间隔短于两国之间预期的旅行时间。
不可能行程时间场景表示以下风险:
-
凭据泄露:远程攻击者窃取了合法用户的凭据。
-
共享凭据:不同的用户正在使用相同的用户凭据。
何时会触发“不可能行程”风险指标
不可能行程风险指标会评估每对连续用户登录之间的时间和估计距离,并在距离大于个人在该时间内可能旅行的距离时触发。
注意
此风险指标还包含用于减少以下不反映用户实际位置的场景的误报警报的逻辑:
- 当用户通过代理连接登录到虚拟应用程序和桌面时。
- 当用户通过托管客户端登录到虚拟应用程序和桌面时。
如何分析“不可能行程”风险指标
假设用户 Adam Maxwell 在一分钟内从两个位置(俄罗斯莫斯科和中国呼和浩特)登录。Citrix Analytics 会将此登录事件检测为不可能行程场景,并触发不可能行程风险指标。此风险指标将添加到 Adam Maxwell 的风险时间线中,并为其分配风险评分。
要查看 Adam Maxwell 的风险时间线,请选择安全 > 用户。在有风险的用户窗格中,选择用户 Adam Maxwell。
在 Adam Maxwell 的风险时间线中,选择不可能行程风险指标。您可以查看以下信息:
-
发生了什么部分提供了不可能行程事件的简要摘要。
-
指标详细信息部分提供了用户登录的位置、连续登录之间的时间间隔以及两个位置之间的距离。
-
登录位置 - 最近 30 天部分显示了不可能行程位置和用户已知位置的地理地图视图。位置数据显示为最近 30 天。您可以将鼠标悬停在地图上的指针上,以查看每个位置的总登录次数。
-
不可能行程 - 事件详细信息部分提供了有关不可能行程事件的以下信息:
- 日期和时间:指示登录的日期和时间。
- 客户端 IP:指示用户设备的 IP 地址。
- 位置:指示用户登录的位置。
- 设备:指示用户的设备名称。
- 登录类型:指示用户活动是会话登录还是帐户登录。当用户对其帐户的身份验证成功时,会触发帐户登录事件。而当用户输入其凭据并登录到其应用程序或桌面会话时,会触发会话登录事件。
- 操作系统:指示用户设备的操作系统。
- 浏览器:指示用于访问应用程序的 Web 浏览器。
您可以对用户应用哪些操作
您可以对用户的帐户执行以下操作:
- 添加到监视列表。当您想要监视用户以防范未来潜在威胁时,可以将其添加到监视列表。
- 通知管理员。当用户的帐户出现任何异常或可疑活动时,系统会向所有或选定的管理员发送电子邮件通知。
- 注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。
- 开始会话录制。如果用户的 Virtual Desktops 帐户出现异常事件,管理员可以开始录制用户未来登录会话的活动。但是,如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本,管理员可以动态启动和停止录制用户当前登录会话。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户的配置文件并选择相应的风险指标。从操作菜单中,选择一个操作,然后单击应用。
注意
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。
潜在数据渗漏
Citrix Analytics 会根据过度尝试渗漏数据来检测数据威胁,并触发相应的风险指标。
与“潜在数据渗漏”风险指标关联的风险因素是基于数据的风险指标。有关风险因素的更多信息,请参阅Citrix 用户风险指标。
当 Citrix Receiver 用户尝试将文件下载或传输到驱动器或打印机时,会触发潜在数据渗漏风险指标。此数据可能是文件下载事件,例如将文件下载到本地驱动器、映射驱动器或外部存储设备。数据也可以使用剪贴板或通过复制粘贴操作渗漏。
注意
剪贴板操作仅受 SaaS 应用程序支持。
何时会触发“潜在数据渗漏”风险指标
当用户在某个时间段内将过多的文件传输到驱动器或打印机时,您会收到通知。当用户在其本地计算机上使用复制粘贴操作时,也会触发此风险指标。
当 Citrix Receiver 检测到此行为时,Citrix Analytics 会收到此事件并为相应用户分配风险评分。潜在数据渗漏风险指标将添加到用户的风险时间线中。
如何分析“潜在数据渗漏”风险指标
假设用户 Adam Maxwell 已登录到会话并尝试打印超出预定义限制的文件。通过此操作,Adam Maxwell 超出了其基于机器学习算法的正常文件传输行为。
在 Adam Maxwell 的时间线中,您可以选择潜在数据渗漏风险指标。事件原因以及文件传输和用于传输文件的设备等详细信息会显示出来。
要查看为用户报告的潜在数据渗漏风险指标,请导航到安全 > 用户,然后选择该用户。
-
在发生了什么部分中,您可以查看潜在数据渗漏事件的摘要。您可以查看特定时间段内的数据渗漏事件数量。
-
在事件详细信息部分中,数据渗漏尝试以图形和表格格式显示。事件在图中显示为单独的条目,表格提供了以下关键信息:
-
时间。数据渗漏事件发生的时间。
-
文件。已下载、打印或复制的文件。
-
文件类型。已下载、打印或复制的文件类型。
注意
打印的文件名仅可从 SaaS 应用程序打印事件中获取。
-
操作。执行的数据渗漏事件类型 – 打印、下载或复制。
-
设备。使用的设备。
-
大小。渗漏文件的大小。
-
位置。用户尝试渗漏数据的城市。
-
-
在附加上下文信息部分中,在事件发生期间,您可以查看以下内容:
-
已渗漏的文件数量。
-
执行的操作。
-
使用的应用程序。
-
用户使用的设备。
-
您可以对用户应用哪些操作
您可以对用户的帐户执行以下操作:
-
添加到监视列表。当您想要监视用户以防范未来潜在威胁时,可以将其添加到监视列表。
-
通知管理员。当用户的帐户出现任何异常或可疑活动时,系统会向所有或选定的管理员发送电子邮件通知。
-
注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。
-
开始会话录制。如果用户的 Virtual Desktops 帐户出现异常事件,管理员可以开始录制用户未来登录会话的活动。但是,如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本,管理员可以动态启动和停止录制用户当前登录会话。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户的配置文件并选择相应的风险指标。从操作菜单中,选择一个操作,然后单击应用。
注意
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。
可疑登录
Citrix Analytics 会根据多个上下文因素(由用户使用的设备、位置和网络共同定义)检测到用户看起来异常或有风险的登录。
何时会触发“可疑登录”风险指标
风险指标由以下因素组合触发,其中每个因素都根据一个或多个条件被视为潜在可疑因素。
| 因素 | 条件 |
|---|---|
| 异常设备 | 用户从最近 30 天内未使用的设备登录。 |
| 用户从 HTML5 客户端或 Chrome 客户端登录,其中设备签名与用户历史记录不一致。 | |
| 异常位置 | 从用户最近 30 天内未登录过的城市或国家/地区登录。 |
| 该城市或国家/地区在地理上与最近(30 天内)的登录位置相距甚远。 | |
| 最近 30 天内,从该城市或国家/地区登录的用户为零或极少。 | |
| 异常网络 | 从用户最近 30 天内未使用的 IP 地址登录。 |
| 从用户最近 30 天内未使用的 IP 子网登录。 | |
| 最近 30 天内,从该 IP 子网登录的用户为零或极少。 | |
| IP 威胁 | IP 地址被社区威胁情报源 Webroot 识别为高风险。 |
| Citrix Analytics 最近检测到其他用户从该 IP 地址进行的极度可疑的登录活动。 | |
如何分析“可疑登录”风险指标
假设用户 Adam Maxwell 首次从印度孟买登录。他使用新设备或最近 30 天内未使用的设备登录到 Citrix Virtual Apps and Desktops 并连接到新网络。Citrix Analytics 将此登录事件检测为可疑,因为位置、设备和网络等因素偏离了他的常规行为,并触发可疑登录风险指标。此风险指标将添加到 Adam Maxwell 的风险时间线中,并为其分配风险评分。
要查看 Adam Maxwell 的风险时间线,请选择安全 > 用户。在有风险的用户窗格中,选择用户 Adam Maxwell。
在 Adam Maxwell 的风险时间线中,选择可疑登录风险指标。您可以查看以下信息:
-
发生了什么部分提供了可疑活动的简要摘要,其中包括风险因素和事件发生时间。
-
在建议操作部分中,您可以找到可应用于风险指标的建议操作。Citrix Analytics for Security™ 会根据用户带来的风险严重程度推荐操作。建议可以是以下操作之一或组合:
-
通知管理员
-
添加到监视列表
-
创建策略
您可以根据建议选择一个操作。或者,您可以根据自己的选择从操作菜单中选择要应用的操作。有关详细信息,请参阅手动应用操作。
-
-
登录详细信息部分提供了与每个风险因素对应的可疑活动的详细摘要。每个风险因素都会分配一个指示可疑级别的分数。任何单个风险因素都不表示用户存在高风险。总体风险基于多个风险因素的关联。
可疑级别 指示 0–69 该因素看起来正常,不被视为可疑。 70–89 该因素看起来略有异常,与其他因素一起被视为中度可疑。 90–100 该因素完全是新的或异常的,与其他因素一起被视为高度可疑。 
-
登录位置 - 最近 30 天部分显示了用户上次已知位置和当前位置的地理地图视图。位置数据显示为最近 30 天。您可以将鼠标悬停在地图上的指针上,以查看每个位置的总登录次数。
-
可疑登录 - 事件详细信息部分提供了有关可疑登录事件的以下信息:
-
时间:指示可疑登录的日期和时间。
-
登录类型:指示用户活动是会话登录还是帐户登录。当用户对其帐户的身份验证成功时,会触发帐户登录事件。而当用户输入其凭据并登录到其应用程序或桌面会话时,会触发会话登录事件。
-
客户端类型:指示用户设备上安装的 Citrix Workspace 应用程序的类型。根据用户设备的操作系统,客户端类型可以是 Android、iOS、Windows、Linux、Mac 等。
-
操作系统:指示用户设备的操作系统。
-
浏览器:指示用于访问应用程序的 Web 浏览器。
-
位置:指示用户登录的位置。
-
客户端 IP:指示用户设备的 IP 地址。
-
设备:指示用户的设备名称。
-
您可以对用户应用哪些操作
您可以对用户的帐户执行以下操作:
-
添加到监视列表。当您想要监视用户以防范未来潜在威胁时,可以将其添加到监视列表。
-
通知管理员。当用户的帐户出现任何异常或可疑活动时,系统会向所有或选定的管理员发送电子邮件通知。
-
注销用户。当用户从其帐户注销时,他们无法通过 Virtual Desktops 访问资源。
-
开始会话录制。如果用户的 Virtual Desktops 帐户出现异常事件,管理员可以开始录制用户未来登录会话的活动。但是,如果用户使用的是 Citrix Virtual Apps and Desktops 7.18 或更高版本,管理员可以动态启动和停止录制用户当前登录会话。
要了解有关操作以及如何手动配置操作的更多信息,请参阅策略和操作。
要手动对用户应用操作,请导航到用户的配置文件并选择相应的风险指标。从操作菜单中,选择一个操作,然后单击应用。
注意
无论触发风险指标的数据源是什么,都可以应用与其它数据源相关的操作。