产品文档
Citrix Analytics for Security™
查看 PDF

适用于 Microsoft Sentinel 的 Citrix Analytics 工作簿

September 16, 2025
投稿者: 
C C

注意

此功能处于预览阶段。

本文介绍了 Microsoft Sentinel 工作区中提供的 Citrix Analytics 工作簿。

先决条件

要使用 Citrix Analytics 工作簿,请确保已将 Microsoft Sentinel 与 Citrix Analytics for Security 集成。有关详细信息,请参阅Microsoft Sentinel 集成

查看 Citrix Analytics 事件

将 Citrix Analytics for Security™ 与 Microsoft Sentinel 集成后,Logstash 连接器会开始将事件从 Citrix Analytics for Security 推送到 Microsoft Sentinel 工作区。在您的 Azure 门户中,打开用于集成的 Microsoft Sentinel 工作区。

要验证 Microsoft Sentinel 是否正在接收来自 Citrix Analytics for Security 的事件,请选择 日志 > 自定义日志

Sentinel 日志

自定义日志部分中,您可以查看自动创建的日志表,以存储从 Citrix Analytics for Security 接收的事件。这些日志表用作 Citrix Analytics 工作簿上仪表板的源。

注意

从 Citrix Analytics for Security 发送的事件可能需要几个小时才能显示在 Microsoft Sentinel 工作区中。因此,您可能会看到事件日志表的创建存在延迟。

Sentinel 中的 Analytics 日志

查看 Citrix Analytics 工作簿

成功创建日志表后,请执行以下操作:

  1. 选择工作簿并搜索 Citrix Analytics。选择 Citrix Analytics

    Analytics 工作簿

  2. 选择查看模板以打开 Citrix Analytics 工作簿。

    查看 Citrix Analytics 工作簿

在 Citrix Analytics 工作簿中,您可以在以下仪表板中查看用户事件:

  • 用户风险评分概览:提供组织中高风险用户的综合视图。

  • 用户详细信息:提供用户及其高风险行为的详细信息。

  • 用户配置文件:提供与用户关联的事件指标。

  • 接收的事件:提供从 Citrix Analytics for Security 接收的事件。

  • 风险指示器详细信息:提供有关用户触发的内置和自定义风险指示器的详细信息。

  • 风险指示器概览:提供用户触发的风险指示器的综合视图。

    Sentinel 中的 Analytics 仪表板

用户风险评分概览

此仪表板提供组织中高风险用户的综合视图。用户按风险级别(高、中、低)进行分类。风险级别基于用户活动中的异常,并相应地分配风险评分。有关高风险用户类型的详细信息,请参阅用户仪表板

选择一个时间段以查看组织中的高风险用户。

用户风险评分概览

用户详细信息

此仪表板提供与用户关联的风险评分和风险指示器。

搜索用户并查看其可能对组织构成威胁的高风险活动。为缓解威胁,您可以根据用户帐户的风险严重性对其采取适当的操作。

用户详细信息

用户配置文件

此仪表板提供与用户在选定时间段内关联的事件指标的详细信息。这些指标提供对用户活动的见解,例如:

  • 用户使用的前 10 个应用程序

  • 用户使用的前 10 个设备

  • 用户登录的前 10 个位置

使用这些报告,您可以:

  • 识别用户的使用趋势

  • 发现用于访问资源的非合规设备

  • 检查用户是否存在任何潜在的高风险访问

    用户配置文件工作簿

接收的事件

对于选定的时间段,您可以查看从 Citrix Analytics for Security 接收的事件总数。接收的事件总数包括以下内容:

  • 风险指示器摘要:指示与用户风险指示器摘要关联的事件。有关各种风险指示器摘要事件的信息,请参阅风险指示器架构

  • 风险指示器事件详细信息:指示与用户风险指示器详细信息关联的事件。有关各种风险指示器详细信息事件的信息,请参阅风险指示器架构

  • 用户配置文件风险评分:指示与用户风险评分关联的事件。有关详细信息,请参阅用户仪表板

  • 风险评分更改:指示与用户风险评分更改关联的事件。有关详细信息,请参阅用户仪表板

  • 用户配置文件位置:指示与用户登录位置关联的事件。

  • 用户配置文件应用程序:指示与用户使用的应用程序关联的事件。

  • 用户配置文件使用情况:指示与用户数据使用情况关联的事件。

  • 用户配置文件设备:指示与用户使用的设备关联的事件。

通过定期查看仪表板,您可以确保事件是否正确流向 Microsoft Sentinel 工作区。接收事件总数中的任何差异都可能表示与 Citrix Analytics for Security 的集成问题。您可以执行必要的步骤来调试这些问题。

接收的事件工作簿

风险指示器详细信息

此仪表板提供用户触发的风险指示器的详细信息。

您可以通过选择一个或多个类别来查看风险指示器详细信息:

  • 时间范围:选择一个时间范围以查看在此期间触发的风险指示器的详细信息。

  • 实体类型:选择一个用户以查看关联的风险指示器的详细信息。

  • 风险指示器类型:选择内置自定义风险指示器以查看其详细信息。

  • 数据源:选择一个数据源以查看关联的风险指示器。

  • 风险指示器类别:选择风险类别以查看关联的风险指示器。

  • 风险指示器:按名称选择风险指示器并查看其详细信息。

    风险指示器详细信息工作簿

风险指示器概览

此仪表板提供用户触发的所有风险指示器的综合视图。

您可以通过选择一个或多个类别来查看风险指示器:

  • 时间范围:选择一个时间段以查看在此期间触发的风险指示器。

  • 风险指示器类型:选择内置自定义以查看关联的风险指示器。

  • 实体类型:选择用户以查看关联的风险指示器。

    风险指示器概览工作簿

适用于 Microsoft Sentinel 的 Citrix Analytics 工作簿
September 16, 2025
投稿者: 
C C
September 16, 2025
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.