Citrix Analytics for Security

新增功能

Citrix 的目标是在 Citrix Analytics 客户可用时向其提供新增功能和产品更新。新版本会带来更多的价值,应立即将更新告知客户。

对您(即客户)来说,此过程是透明的。初始更新仅应用于 Citrix 内部站点,然后逐步应用于客户环境。以分阶段的递增方式提供更新有助于确保产品质量并最大程度地保证可用性。

2024 年 4 月 15 日

新的执行摘要报告

现在,您可以选择将多个报告合并为一份执行报告,该报告可以安排在所需的时间段内。使用这项新功能,您仅向受众提供必要的图形信息。有关详细信息,请参阅执行摘要报告

2024 年 1 月 29 日

Workspace 应用程序状态字段更新

  • 自助搜索:现在,您可以使用新推出的 Citrix Apps and Desktops 数据源的 Workspace 应用程序状态字段执行查询,以了解 Workspace 应用程序版本的支持状态。
  • 用户Workspace 应用程序状态列已删除。

有关详细信息,请参阅应用程序和桌面的自助式搜索

2024 年 1 月 25 日

简化了 CAS UI 中的不一致之处

应用程序和桌面数据源的自助搜索功能中解决了以下问题:

  • 以前在会话中无序显示的事件现在可以正确显示。
  • 默认列已更新。

2024 年 1 月 24 日

增强了 SIEM 环境中的用户个人资料事件

导出到您的 SIEM 环境的用户配置文件事件现在包括:

  • IP 地址见解
  • Citrix Virtual Apps and Desktops 和 Citrix DaaS(前身为 Citrix Virtual Apps and Desktops 服务)位置见解

这些新的增强功能使您能够识别用于访问组织数据的客户端 IP 地址,并从 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 收集用户位置信息。

有关详细信息,请参阅 SIEM 的风险洞察数据

2023 年 12 月 1 日

每周电子邮件和 SIEM 警报的管理员电子邮件设置页面

新的管理员电子邮件设置功能允许您为系统警报配置自定义分发列表收件人。此增强功能可确保管理员仅收到与其相关的系统警报。

有关详细信息,请参阅管理员电子邮件设置

用户控制面板-新的活跃用户计数时间筛选器并更新了概述部分

考虑到启用了 Citrix Analytics 的数据源,用户控制面板中的新时间筛选器允许您查看和修改组织在特定时间段内的活跃用户总数。

用户控制面板中增强的概述部分显示了您组织中的用户总数,以及当前登录的活跃和非活跃用户的数量。

有关详细信息,请参阅 用户控制板

增强的自定义报告

  • 现在,您可以使用 Citrix Analytics for Security 中提供的事件和见解来创建和计划定制报告。自定义报告可帮助您提取特定感兴趣的信息并以图形方式组织数据。
  • 现在,您可以使用增强的自定义报告平台功能,包括基于自助搜索查询的报告、模板、更好的可视化效果、涵盖所有数据源和指标、计划报告以及导出 PDF。

有关详细信息,请参阅 自定义报告

2023 年 11 月 30 日

移除 Citrix Analytics 中的所有 ShareFile 功能

删除了以下 ShareFile 检测功能:

  • 分享链接
  • 相关风险指标
  • 策略及其发生次数
  • Content Collaboration 数据导出配置
  • Content Collaboration 报告
  • Content Collaboration 搜索数据源
  • Content Collaboration 保存的搜索
  • Content Collaboration 数据源。

删除这些功能可能会导致风险评分和用户时间表暂时不一致。所有其他 Citrix Analytics 功能保持不变。

了解 ShareFile 如何简化直接从 ShareFile.com 访问安全控制的过程。

2023年9月22日

自定义指标中的 Citrix Secure Browser 数据源

现在,您可以为 Citrix Secure Browser 数据源创建风险指标,以跟踪用户在安全浏览器中的活动。有关详细信息,请参阅自定义指标

通过 SIEM 数据导出增强每周电子邮件

每周电子邮件已得到增强,通过启用 SIEM 数据导出,可以更深入地了解贵组织的安全状况。现在,您可以加入并激活更多数据源,以发现用户周围的各种事件。每周电子邮件包含以下新增内容:

  • 数据摘要部分显示了 SIEM 环境中的数据消耗状态。
  • 基于数据导出消耗状态的数据导出建议。

有关详细信息,请参阅每周电子邮件通知

在电子邮件中使用自定义管理员的通知首选项

Citrix Analytics for Security 现在支持自定义管理员在 Citrix Cloud 中设置的通知偏好。此增强功能使自定义管理员可以更灵活地管理其通知首选项。在发送通知电子邮件(例如每周电子邮件、通知管理员操作电子邮件和数据导出警报)时,也会利用此首选项。

有关详细信息,请参阅管理安全分析的管理员角色

2023年7月4日

在自助搜索和自定义指示器中为操作员提供支持

OR 运算符现在可以在自助搜索自定义风险指示器功能中使用。您可以在搜索视图中使用 OR 运算符,例如自助搜索和自定义指标查询。

有关详细信息,请参阅搜索查询中支持的运算符

2023年6月15日

启用 VDA 剪贴板遥测

当您在 Citrix Apps and Desktops. 中启动任何剪贴板操作时,都会触发名为 VDA.Clipboard 的事件。这些剪贴板日志提供重要信息,例如 VDA 名称、剪贴板大小、剪贴板格式类型、客户端 IP、剪贴板操作、剪贴板操作方向以及是否允许剪贴板操作。VDA 剪贴板事件属性也可在自助搜索和自定义风险指示器工作流程中找到。

  • 自助搜索:您可以生成报告、保存查询并查看 vda.clipboard 事件及其所有属性详细信息。
  • 自定义风险指示器:VDA 剪贴板事件的属性可在自定义指标工作流程中使用。您可以使用这些事件键/值对来配置自定义指标触发器并使用操作设置自动策略。

您可以使用 剪贴板放置安全元数据集合监视 策略来启用剪贴板遥测并将剪贴板日志传输到 Citrix Analytics for Security。默认情况下,此策略处于启用状态。要禁用,请导航到策略页面并将其禁用,以停止从 VDA 收集数据。

有关详细信息,请参阅为 Citrix DaaS 启用剪贴板遥测

2023年6月14日

Citrix Analytics for Security 中会话录制应用程序生命周期和注册表事件的可用性

来自 Session Recordin 的以下应用程序生命周期注册表事件现已在 Citrix Analytics for Security 中可用:

  • Citrix.EventMonitor.RegistryChange
  • Citrix.EventMonitor.SessionLaunch
  • Citrix.EventMonitor.SessionEnd
  • Citrix.EventMonitor.Clipboard
  • Citrix.EventMonitor.FileTransfer

您可以查看这些事件,创建自定义指标,并将这些事件导出到您的 SIEM 环境。

有关详细信息,请参阅事件类型和支持的字段

2023年6月8日

已修复的问题

  • 发送到 Citrix Analytics for Security 的某些会话登录事件没有用户名。这会导致自助服务搜索和访问保障用户登录页面上的某些事件的用户名列显示为 NA 。有时,尽管在访问保障 IP 注册组织图表中查看小时间范围(例如过去 1 小时最近 1 天 )的数据时,总登录次数不为零,但这也会导致唯一用户数为零。此问题现已修复。[CAS-70954]

  • 在“应用程序和桌面的自助式搜索”中,对于 Session.Logon 和 Session.end 用户事件,搜索查询中的应用程序名称维度将填充交付组名称,而不是启动的应用程序或桌面的名称,这可能会误导管理员。应用程序名称维度对于查询 App.Start/App.End 事件更有用,因为它指向正在启动的应用程序。有关更多详细信息, 请参阅应用程序和桌面的自助式搜索。此问题现已修复。[CAS-67968]

  • 如果您的组织已加入 亚太南部 主区域的 Citrix Cloud,则Content Collaboration 事件在您的 Citrix Analytics 租户中不可见。此问题现已修复。[CAS-62317]

  • 很少版本的 Citrix Workspace 应用程序和 Citrix Receiver 客户端不会向 Citrix Analytics 发送特定事件。因此,Citrix Analytics 无法为这些事件提供见解并生成风险指示器。此问题现已修复。有关详细信息,请参阅检查 6:虚拟应用程序和桌面事件是否已传输到 Analytics?。[CAS-16151]

2023年5月29日

适用于 Splunk 的 Citrix Analytics 加载项现已在 Splunk 云平台上线

适用于 Citrix Analytics 的 Splunk Integration 利用适用于 Splunk 的 Citrix Analytics 插件连接到分析环境并将关键业务数据引入您的 Splunk 环境。

早些时候,Splunk对插件进行了审查,仅用于安装在 Splunk Enterprise 层上,客户负责在本地 Splunk 环境中配置该附加组件。在最新版本的 2.1.2 中,该插件增加了 Splunk 平台与 Splunk Cloud 的兼容性。使用带有 IDM 或 Victoria 实例的经典实例的客户可以利用此平台兼容性增强功能。现在,客户可以灵活地在 Splunk Enterprise 或 Splunk Cloud 之间进行选择,同时考虑部署我们的插件以促进 Splunk 集成。

有关详细信息,请参阅 Splunk 集成

SIEM 中的 Session Recordin 事件

Session Recordin 事件现在可以以应用程序和桌面的风险洞察事件和数据源事件的形式导出到 SIEM。新添加的事件类型可以在“数据导出”页面下的“导出数据事件”阶段中找到。

有关详细信息,请参阅 策略和操作

2023年5月24日

通知最终用户全球操作

Citrix Analytics 中的“策略和操作”功能现在支持“通知最终用户”全局操作,该操作可以与内置或自定义的风险指标触发器配对。管理员可以使用“通知最终用户”操作创建策略,该策略仅为最终用户生成电子邮件通知。此操作可用于各种合规用例,例如通知用户未经批准的应用程序使用情况,或者在不采取任何破坏性操作的情况下提醒用户注意其 Citrix 帐户的可疑行为。管理员可以根据特定场景自定义电子邮件正文和主题行。

有关详细信息,请参阅通知最终用户

2023年5月4日

测试事件生成

创建测试事件生成功能的目的是帮助客户快速测试其 Citrix Analytics-SIEM 管道。以前,如果管理员必须测试此集成,则她/他必须等待数据源引导和用户活动,才能检查事件是否由 Citrix Analytics 生成并由其 SIEM 环境接收。这已不再是必需的。只需单击“发送测试数据”按钮即可将虚拟事件发送到 SIEM 环境,然后使用提供的查询来检查 Citrix Analytics SIEM 集成是否按预期设置。这也适用于试图调试中断的数据流的管理员,因为它可以帮助确定故障点。

有关详细信息,请参阅 测试事件生成

生成 SIEM 电子邮件警报

SIEM 电子邮件警报生成功能将数据导出的故障排除之旅提升到了一个新的轻松水平。Citrix Analytics 会针对可能导致或表明 SIEM 数据流中断的活动发送系统警报。该电子邮件将分发给 Citrix Cloud 管理员、安全完全管理员、安全只读管理员以及安全和性能只读管理员。以下是发送的不同类型的警报:

  1. SIEM 数据导出警报-密码已重置

    每当从“数据导出”页面重置帐户密码时,就会触发此电子邮件。如果仅在 Citrix Analytics for Security GUI 上完成,则可能导致数据流中断。此警报包含执行密码重置的时间,因此可以更轻松地恢复成功的数据流。

  2. SIEM 数据导出警报-数据流已停止

每当客户面临数据流中断表单时,就会触发此电子邮件

  • 超过 24 小时 -使用警报中的有用故障排除提示或使用快速 指南中的“数据导出摘要”选项卡快速恢复成功的数据流的关键时机。

  • 超过 7 天 -每位客户主题的 Kakfa 保留策略为七天,这意味着某些安全发布的数据可能已过期。必须使用故障排除工具恢复向 SIEM 的数据流。

  • 超过 30 天 -这意味着客户受到了安全性数据的影响,需要立即注意恢复从 Citrix Analytics 到 SIEM 环境的数据流。

有关详细信息,请参阅 SIEM 电子邮件警报生成

2023年4月13日

已修复的问题

Windows Citrix Workspace 应用程序从 Citrix Workspace 应用程序版本 2203 及更高版本发送一个空文件名、路径和格式属性。因此,Citrix Analytics for Security GUI 显示了“下载文件名”、“下载文件路径”和“下载文件格式”列的 NA 值。此问题现已修复。[CAS-73498]

2023年3月31日

Citrix Analytics for Security 中的会话记录事件

在 Citrix 应用程序和桌面中,添加了两种新的事件类型,以帮助识别和评估基于会话记录的事件。

  • Citrix.EventMonitor.RDPConnection
  • Citrix.EventMonitor.UserAccountModification

管理员现在可以轻松识别和评估潜在的安全风险。他们可以使用这些事件来收集有关重要数据的信息,例如进程 ID、目标 IP 地址和用户帐户操作描述。此外,这些事件还可以在 自定义风险指示器 页面和 自助搜索 页面上找到。

  • 自助搜索:您可以查看这些事件及其属性详细信息。
  • 自定义风险指示器:您可以使用这些事件类型配置任何自定义指标。 有关详细信息,请参阅事件类型和支持的字段

自助搜索中的 App Protection 事件

当您在 Citrix Apps and Desktops 数据源下的受保护会话中尝试捕获屏幕截图时,会触发一个名为 AppProtection.ScreenCapture 的新事件。AppProtection.ScreenCapture事件也可以在自助搜索数据导出页面上找到。

  • 自助搜索:您可以查看 AppProtection.ScreenCapture 结果及其所有属性详细信息。
  • 数据导出:您可以在“数据导出”部分下查看 AppProtection.ScreenCapture 事件类型。导航到“设置”>“数据导出”>“配置”>“要导出的数据事件”从“数据源事件(可选)”类别中选择“应用程序和桌面”。

您还可以查看 Session.Logon 事件的名为“App Protection 策略”的新属性。

有关详细信息,请参阅事件类型和支持的字段

2023年3月30日

自定义角色支持

可以使用 Active Directory 或 Azure Active Directory 中的组为自定义角色添加管理员,也可以为 Citrix Analytics for Security 设置 Okta 集成。这种集成使管理所有组管理员的服务访问权限的简化方法成为可能。

成功将管理员添加到 Active Directory 或 Azure Active Directory 后,管理员可以创建组并将自定义角色分配给特定组。如果管理员是两个权限的成员,则个人权限优先于组权限。

有关详细信息,请参阅 自定义角色支持

SIEM 用户界面的故障排除面板

通过以下更改增强了数据导出用户界面:

  • 摘要选项卡:摘要选项卡描述了以下场景中的 SIEM 事件指标、数据源载入状态和数据消耗状态:

    • Citrix Analytics 中的可用数据:提供不同数据源的载入状态。
    • 适用于 SIEM 消费的可用事件:提供发送到您的 SIEM 环境的见解数量。
    • SIEM 的数据消耗:提供数据消耗状态。
  • 配置选项卡:“配置”选项卡包含有关您的帐户设置、SIEM 环境设置和数据事件选择的信息。

  • 数据导出快速指南:管理员现在可以使用 快速指南,这样可以更轻松地设置和维护 SIEM 集成。可从“摘要”和“配置”选项卡访问“数据导出快速指南”链接。

有关详细信息,请参阅 数据导出故障排除

2023年3月24日

更改用户个人资料视图

与应用程序、位置、设备和ShareFile数据使用情况相关的用户个人资料数据在用户时间轴的用户信息页面上不可用。以下来自 Active Directory 的用户信息仍然可用-

  • 职称
  • 地址
  • 电子邮件
  • 電話
  • 位置
  • 组织

导出到 SIEM 的用户配置文件数据没有变化。有关详细信息,请参阅 用户个人资料

从所有搜索视图中移除动态自动建议

以下页面现已弃用基于租户历史数据的维度自动建议功能:

  • 自助搜索
  • 自定义风险指示器

但是,搜索框中仍然提供事件类型剪贴板操作等维度的静态建议。

有关详细信息,请参阅如何使用自助搜索

2023 年 3 月 21 日

建议面板可帮助载入本地 StoreFront 数据源

数据源页面上引入了新的推荐面板。数据源页面上的“建议”面板向用户介绍载入本地 StoreFront 数据源的重要性。它可以帮助用户轻松加载本地 StoreFront 数据源,还为用户提供了查看和确保载入所有可用数据源的选项。

有关更多详细信息,请参阅连接到 StoreFront 部署

2023 年 2 月 23 日

已修复的问题

对于 Citrix Apps and Desktop 版本高于 1912 的本地 Citrix Apps and Desktop 部署,操作将失败。在手动操作和基于策略的操作中都发现了此问题。此问题现已修复。[CAS-69098]

当虚拟应用程序仅启动一次时,“应用程序和桌面的自助式搜索”页面会显示多个应用程序启动和应用程序结束事件。适用于 Linux 客户端的 Citrix Workspace 应用程序版本会出现此问题。此问题现已修复。[CAS-36236]

在 2022 年 4 月 4 日之后,最晚到 2022 年 5 月底之前,您的 Citrix Analytics 租户可能无法使用来自 Secure Private Access 服务的用户事件。此问题现已修复。[CAS-66897]

2023年2月22日

增强了每周电子邮件通知

Citrix Analytics 每周发送电子邮件通知,帮助汇总贵组织的安全风险敞口。通过以下更新改进了每周电子邮件通知:

  • 提供用户风险分布视图-一周内发现的用户总数、风险用户和非风险用户数
  • 一周内处理的事件总数
  • 一周内触发的指示器总数
  • 一周内执行的操作总数
  • 已开启数据处理的数据源总数

有关更多详细信息,请参阅每周电子邮件通知

为 App.SaaS.File.Download 事件类型添加了“下载文件格式”字段

在应用程序和桌面数据源的自助搜索页面中,为 App.SaaS.File.Download 事件类型添加了一个新的下载文件格式字段。通过此更改,您现在可以为“下载文件格式”字段配置自定义风险指示器,也可以将该字段作为“导出至 CSV 格式”的一部分导出。

有关详细信息,请参阅应用程序和桌面的自助式搜索

浏览器衍生字段的变化

以前,自助搜索页面包含浏览器浏览器主要版本浏览器次要版本字段来表示浏览器名称和版本。但是,为了确保清晰度和准确性,现在不推荐使用这三个字段,取而代之的是自助搜索中的浏览器名称浏览器版本、自定义指示器模板以及应用程序和桌面数据源的 CSV 下载。

有关详细信息,请参阅应用程序和桌面的自助式搜索

2023年2月16日

已修复的问题

在获取租户的用户名屏蔽状态时,某些欧盟和APS客户的每周电子邮件会受到影响。结果,由于例外情况,管理员每周会收到 10 封相同的电子邮件。异常发生后,后续租户没有收到每周的电子邮件。此问题现已修复。[CAS-76138]

2023年2月3日

对欧盟和亚太南部地区提供的 Citrix Secure Private Access 服务的分析支持

Citrix Analytics for Security 现在可以处理来自欧盟地区和亚太南部地区提供的 Citrix Secure Private Access 的用户事件。如果您的组织是从欧盟地区或亚太南部地区加入 Citrix Cloud 的,则可以查看使用 Secure Private Access 服务的用户的风险见解。

有关详细信息,请参阅 数据源

2023年1月11日

从“Secure Private Access”中移除 Web 过滤功能

Web 过滤功能已从“Secure Private Access”类别中删除。由于 Secure Private Access 已弃用基于类别的 Web 筛选,Citrix Analytics for Security 的以下功能受到影响:

  1. Citrix Analytics for Security 控制板上不再提供诸如类别组、类别和 URL 信誉之类的数据字段。

  2. 依赖于相同数据的风险 Web 站点访问指示器也已弃用,不会为客户触发。

  3. 任何使用数据字段(类别组、类别和 URL 信誉)及其关联策略的现有自定义风险指示器都不会再触发。

  4. 用户访问权限”和“应用程序访问权限”选项卡。

  5. 一段时间以来,SIEM 导出继续具有 urlcategory、urlcategorygroup 和 urlcategoryreputation 属性,虚拟值如下:

    • 99999 表示类别和类别组
    • 0 表示信誉

有关详细信息,请参阅 Secure Private Access 的自助搜索

2022年12月27日

更改自助搜索的数据源下拉列表

默认情况下,数据源列表已更改为反映会话,而不是自助搜索页面中的应用程序和桌面。此外,由于性能数据源不可见,性能部分移至顶部,然后移至安全部分。

有关详细信息,请参阅 自助搜索

2022年12月13日

用户控制板增强

用户控制板经过改进,增加了摘要和图表,以帮助管理员监视组织的安全状况。该视图不仅提供发现的用户、触发的风险指示器和应用的操作的详细信息,还提供了基于时间的关键指示器趋势线,以便更好地评估风险。管理员可以深入研究感兴趣的数据,并在正确的上下文中导航到相关的控制板,以更快地进行风险分析。

有关详细信息,请参阅 用户控制板

2022年12月5日

访问保障控制面板-登录网络

新添加了“登录网络”部分,它提供了以下用户详细信息:

  • 与用户登录的 IP 地址相关的组织。

  • 用户登录的唯一公有子网和私有子网的总数。

  • 用户使用代理和私有 VPN 服务登录的详细信息。

使用这些其他详细信息,管理员可以验证用户登录详细信息,并确保用户登录符合组织的安全期望。

有关更多详细信息,请参阅 访问保障控制面板

2022年11月18日

已修复的问题

  • 在没有任何源事件的情况下错误触发的地理围栏指示器已修复。[CAS-73222]

2022年11月8日

重命名操作

为了提高清晰度,Citrix Analytics for Security 中使用的某些操作已重命名。这些操作如下:

  • 通知管理员 -通知管理员
  • 锁定用户 -锁定用户帐户
  • 注销用户 -注销活动会话
  • 解锁用户 -解锁用户帐户
  • 禁用用户 -禁用用户帐户

有关详细信息,请参阅 操作有哪些?

已修复的问题

  • 如果从时间轴操作下拉列表中选择一个选项,则无法触发任何手动操作,因为“清除”和“应用”按钮不可见。这种情况发生在最新的 Firefox 版本中。此问题现已修复。[CAS-72051]

  • HardDriveharddriveHDD 类别合并为一个类别,作为“应用程序和桌面”数据源自助搜索中“下载-设备类型”字段的“硬盘驱动器”。[CAS-67188]

  • 有时,会从 Microsoft Graph 收到具有相同警报 ID 的重复通知,这会导致创建重复的风险事件。在应用程序中实施了重复数据删除机制,以防止出现此问题。[CAS-66731]

2022年10月19日

日期源事件选择和导出

除了计算机学习生成的风险洞察事件和相关数据外,您现在还可以利用新的数据事件导出工作流程来导出数据源事件。

这使安全和安全运营 (SOC) 管理员能够:

  • 将来自 Citrix Analytics 的数据与聚合在安全信息和事件管理 (SIEM) 上的其他数据源事件关联起来

  • 控制哪些数据事件流向 SIEM 以优化存储成本

数据事件将传送到您现有的 SIEM 集成和数据连接器,与我们的自助服务事件搜索视图中提供的数据相同。

有关详细信息,请参阅 从 Citrix Analytics for Security 导出到您的 SIEM 服务的数据事件

2022年10月18日

允许管理员在 Citrix DaaS 站点上运操作态会话录制操作

管理员现在可以在 Citrix DaaS 站点上运操作态会话录制操作以及动态录制用户的虚拟会话。他们可以将操作配置为在 Citrix Analytics for Security 检测到给定用户的危险活动时自动开始记录用户会话的策略。

有关详细信息,请参阅 操作有哪些?

2022年10月14日

为用户风险指示器提供反馈

Citrix Analytics for Security 管理员现在可以通过在指示器详细信息面板上提供反馈,将用户风险指示器报告为有用或无用。此功能使管理员能够报告误报,减少频繁触发的指示器的干扰,并与其他管理员共享更多上下文。另一个结果是,无用的风险指示器被隐藏在用户的时间表中,并且对用户风险评分进行了重新校准。

有关详细信息,请参阅为用户风险指示器提供反馈

2022年9月26日

访问保证以支持地理围栏封禁列表

在地理围栏设置下添加了安全危险位置选项卡。

  • 安全位置地理围栏有助于识别和限制在已定义的地理围栏区域之外的进入。
  • 危险位置地理围栏有助于根据组织的已知行为检测和缩小有风险的用户访问范围。

安全和风险地理围栏均由其自己预先配置的自定义风险指示器支持。

有关详细信息,请参阅启用地理围栏

已修复的问题

  • Citrix Cloud API 用于在电子邮件正文中显示客户名称。现在,该电子邮件使用昵称在发送给管理员的电子邮件正文中显示客户名称。[CAS-65350]

  • Citrix Gateway 数据源卡在 Citrix Analytics for SecurityCitrix Analytics for Performance 中很常见。数据处理经常调用 Citrix Analytics for Security 端点,对于只有 Citrix Analytics for Performance 授权的客户已损坏。[CAS-70817]

  • 当同时从 Citrix Cloud 收到多条授权消息时,在更新 Redis 缓存时会出现争用情况。在这种情况下,一条授权消息被更新到缓存中,剩下的则丢失。此问题现已修复,更新缓存中的所有授权消息。[CAS-70823]

2022 年 9 月 13 日

Sharelink 控制面板经过了改进,增加了摘要和详细视图。摘要视图包括最活跃的股票和风险最高的股票。详细视图向管理员提供了更多信息,包括创建者的属性、活动计数、身份验证类型、权限、共享类型和内容。管理员可以根据需要向下钻取和进一步筛选,并更改/提供时间范围以查看感兴趣的数据。

有关详细信息,请参阅 共享链接控制板。

2022 年 9 月 9 日

不可能的旅行 RI 增强版

不可能的旅行风险指示器已得到增强,可以报告客户端 IP 地址的注册组织和路由类型。这些新字段在用户时间轴指示器详细视图和发送给 SIEM 的指示器详细信息中都可用。

有关默认策略的更多信息,请参阅以下文章:

2022 年 8 月 19 日

启用 VDA 打印遥测

在 Citrix Apps and Desktops 中启动打印作业时,将触发名为 VDA.Print 的事件。VDA 打印事件也可在自助搜索自定义风险指示器页面上找到。

  • 自助搜索: 您可以查看 VDA.Print 结果及其所有属性详细信息。
  • 自定义风险指示器:通过 EventHub 为 VDA 打印遥测提供了新事件,也可以在自定义指示器中使用。您可以使用这些事件键/值对来配置自定义指示器触发器。

要启用打印遥测和将打印日志传输到 Citrix Analytics for Security,您需要创建注册表项并配置 VDA。这些打印日志提供有关打印活动的重要信息,例如打印机名称、打印文件名和打印副本总数。作为安全管理员,您可以使用这些日志来分析风险并调查您的用户。

有关详细信息,请参阅为 Citrix DaaS 启用打印遥测

2022 年 8 月 18 日

已修复的问题

  • 在“应用程序和桌面的自助式搜索”和“访问保障位置”控制面板下的“用户登录”页面中,Workspace 应用程序版本值在下载的 CSV 文件中填充为 NA(不适用),而该值在页面视图中可用。此问题现已修复。[CAS-70361]

2022 年 8 月 17 日

根据策略自定义最终用户电子邮件

现在,您可以根据策略自定义发送给最终用户的电子邮件的内容。具体而言,当您使用“请求最终用户响应”操作或对用户帐户(例如“注销用户”和“锁定用户”)执行中断性操作来创建策略时,应用该策略时发送给最终用户的电子邮件内容是可自定义的。

有关按策略自定义最终用户邮件的详细信息,请参阅 策略和操作

2022 年 8 月 11 日

常见问题解答文章下已添加有关访问保障 - 地理位置的新问题。有关更多详细信息,请参阅常见问题解答

已修复的问题

  • 查看所有通知按钮会将管理员重定向到有错字的每周电子邮件链接 https://citrix.cloud.com/notifications。[CAS-69236]

2022 年 6 月 17 日

默认情况下,为新的付费权利启用数据处理

以前,拥有 Citrix Analytics for Security 的新付费授权的客户必须在特定数据源的站点卡中开启数据处理,才能开始处理这些数据源的数据。

在此版本中,当配置 Citrix Analytics for Security 的新付费权限时,以下 Citrix Cloud 服务的数据处理功能默认处于开启状态:

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix DaaS

有关详细信息,请参阅 入门

2022 年 6 月 9 日

已修复的问题

  • 由 Azure AD 身份保护和 Microsoft Defender for Endpoint 生成的 Microsoft Graph 风险指示器可能会在 Security Analytics 中多次显示。此问题现已修复。[CAS-66593,CAS-66731]

2022 年 6 月 2 日

已修复的问题

  • 在策略的自助搜索中,在搜索查询中选择 策略名称 维度以筛选事件时,会建议无效策略列表以及用于 Security Analytics 的有效策略。[CAS-66838]

  • 来自 Windows Citrix Receiver 的 File.Download 事件的下载文件大小在自助搜索中显示不正确。此问题浮出水面,因为实际值以 KB 为单位,并且 UI 将该值视为字节,导致向用户显示错误的值。[CAS-67105]

2022 年 5 月 24 日

为 Content Collaboration、Citrix DaaS 和 Citrix Virtual Apps and Desktops 以及网关数据源推出不可能的差旅风险指示器

如果用户从相距太远而无法在经过的时间内旅行的两个位置登录,Citrix Analytics 会将此活动检测为不可能的出行情景,并触发不可能旅行风险指示器。有关不可能旅行风险指示器的更多信息,请参阅以下文章:

2022 年 5 月 17 日

Virtual Apps and Desktops 重命名为 Apps and Desktops

在 Security Analytics 控制面板和报表以及由 Security Analytics 发送到 SIEM 服务的数据中,所有Virtual Apps and Desktops 标签现在都更新为应用程序和桌面,以与更名的产品名称保持一致。

例如,在数据源页面上,Virtual Apps and Desktops 标签被重命名为 Apps and Desktops。

应用程序和桌面标签表示组织中的 Citrix 本地 Citrix Virtual Apps and Desktops 以及 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。

已修复的问题

Citrix Analytics 不会自动发现与您的 Citrix Cloud 帐户关联的 Citrix DaaS Cloud Monitor 或 Director 站点。[CAS-66801]

2022 年 4 月 5 日

新增功能

Secure Workspace Access 已重命名为 Secure Private Access

在 Analytics 控制板和报告中,所有 Secure Workspace Access 标签现在都更新为 Secure Private Access,以便与重新命名的产品名称保持一致。

例如,在数据源页面和自助搜索页面上,Secure Workspace Access 标签被重命名为 Secure Private Access

2022 年 3 月 21 日

已修复的问题

  • 在“创建风险指示器”页面中,如果搜索查询的先前条件包含用空格分隔的维度值,则维度和运算符的自动建议将不起作用。

    例如,在以下查询中,将城市选择为 San Jose 后,自动建议将停止运行。此问题现已修复。[CAS-64126]

    自动建议失败

2022 年 3 月 10 日

新增功能

通知管理员电子邮件增强功能

  • 通知 管理员操作的电子邮件通知 现在提供与触发的策略关联的多个风险指示器的详细信息。

  • 您可以查看与策略关联的每个风险指示器的名称、严重性级别和触发日期。

  • 单击 查看风险详细信息 可在 Citrix Analytics 中打开用户时间轴页面并查看触发策略的最新风险指示器。在用户时间轴页面上,您还可以查看为用户触发的所有风险指示器。

通知管理员电子邮件增强功能

有关 通知管理员操作的详细信息,请参阅 策略和操作

已修复的问题

Citrix Analytics 无法从Secure Workspace Access 数据源接收用户事件。因此,您不会在相应的自助搜索页面中看到用户事件。此外,您无法为 Secure Workspace Access 数据源创建自定义风险指示器。[CAS-64619]

2022 年 3 月 3 日

新增功能

手动应用请求最终用户响应

以前,您只能通过创建策略对用户帐户应用“请求最终用户响应”操作。 在此版本中,您可以从用户时间轴上的“操作”(Actions) 列表中选择操作,然后手动将此操作应用于风险指示器。

有关操作以及如何手动应用操作的更多信息,请参阅 策略和操作

手动请求最终用户响应

请求针对策略的最终用户响应增强功能

使用“请求最终用户响应”操作创建策略时,您会看到以下增强功能:

  • 选择“通知管理员”作为下一个操作后,您现在可以查看默认的电子邮件通讯组列表和已创建的电子邮件通讯组列表,供您选择。

    通知管理员通讯组列表

  • 现在,您可以从 Citrix Content Collaboration 或 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 中选择一个操作作为下一个操作。以前,您只能选择全局操作或 Citrix Gateway 操作之一。

    跟进操作

有关操作的详细信息,请参阅 策略和操作

2022 年 2 月 23 日

新增功能

针对风险指示器的建议操作

Citrix Analytics 建议您在为用户触发以下风险指示器时应用通知管理员添加到监视名单创建策略等操作:

  • 异常身份验证失败 (Content Collaboration 数据源)

  • 异常身份验证失败 (网关数据源)

  • 可疑登录 (Citrix Virtual Apps and Desktops 以及 Citrix DaaS 数据源)

当您转到用户时间线并选择风险指示器时,您可以在“建议的操作”部分中查看所有 建议的操作

例如,在异常身份验证失败风险指示器中,您可以查看以下建议的操作:

建议的操作

此功能提供指导,指导您根据用户构成的风险的严重程度选择可以采取的措施。但是,您也可以采取建议列表之外的适当措施,具体取决于您的风险分析。

已修复的问题

  • 如果您的组织已加入位于 亚太地区南部 主区域的 Citrix Cloud,则 Citrix Analytics 可能不会从身份验证数据源接收用户事件。因此,您可能不会在相应的自助搜索页面中看到用户事件。此问题已修复。[CAS-62300]

2022 年 2 月 17 日

新增功能

改进了 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源的数据收集和报告

在此版本中,您将看到以下更改:

  • 改进了来自 Citrix Workspace 应用程序客户端和 Citrix Monitor 服务的数据收集、关联和事件报告。

  • 改进了从用户和客户端版本接收的事件的质量,可用于自助搜索、自定义风险指示器和整体风险检测。

支持Content Collaboration 中的会话事件和应用程序事件的上下文模板

现在,在自助搜索页面上,您只能查看与文件、文件夹、会话、共享和用户事件关联的相关字段的详细信息。事件的不适用字段将被删除。

例如,您可以查看 File.Copy 事件的以下详细信息:

  • 文件 ID

  • 文件副本 ID

  • 文件路径

  • 目标文件路径

  • 流 ID

  • 区域 ID

这些详细信息可在风险调查和分析与风险行为相关的用户帐户时为您提供帮助。您可以深入查看看似有风险的事件的特定属性。

有关这些字段的详细信息,请参阅 Content Collaboration 的自助搜索。

2022 年 2 月 10 日

新增功能

自定义风险指示器中维度的自动建议值

在自定义风险指示器页面中,当您在条件栏中选择维度和有效运算符时,将自动显示该维度的值。从自动建议列表中选择一个值,或者根据您的用例手动输入值。键入值时,系统会自动建议记录中可用的匹配值。

为维度建议的值列表要么是数据库中预定义的(已知值),要么基于历史事件。

例如,当您选择维度 Event-Type 和赋值运算符时,系统会自动建议已知值。您可以根据需要选择一个值。

有关详细信息,请参阅自定义风险指标

自动建议自定义风险指示器

2022 年 2 月 9 日

新增功能

管理员的新自定义角色

作为具有完全访问权限的 Citrix Cloud 管理员,您可以邀请其他管理员来管理组织中的 Security Analytics。现在,您可以将以下自定义角色分配给受邀的管理员:

  • Security Analytics - 完全权限管理员

  • Security Analytics - 只读管理员

使用自定义角色,您可以向管理员提供只读或完全访问权限,并允许他们管理 Security Analytics 的各种功能。

有关这些自定义角色的访问权限的更多信息,请参阅 管理 Security Analytics 的管理员角色

自定义角色

支持自定义访问管理员的电子邮件通知

如果您是具有管理 Security Analytics 的自定义访问权限(只读或完全访问权限)权限的 Citrix Cloud 管理员,您现在会收到以下通知:

  • 关于组织中检测到的安全风险的每周通知。有关详细信息,请参阅每周电子邮件通知

  • 手动应用“通知管理员”操作或由策略触发时有关风险指示器的通知。有关详细信息,请参阅 策略和操作

2022 年 1 月 28 日

新增功能

为Content Collaboration 和网关数据源引入可疑登录风险指示器

Citrix Analytics for Security 现在可基于多种上下文因素检测本质上可疑的用户登录,例如:

  • 就用户和组织历史记录而言,该位置被视为不寻常

  • 就用户和组织历史记录而言,该设备被视为异常

  • 就用户和组织历史而言,该网络被认为是不寻常的

  • 根据 IP 威胁情报馈送,IP 地址被视为可疑

当用户基于这些因素的组合从可疑环境中登录时,将触发风险指示器。

此风险指示器取代了与 Citrix Content Collaboration 和 Citrix Gateway 数据源关联的异常位置访问风险指示器。任何基于 异常位置访问风险指示器的 现有策略都会自动链接到新的风险指示器- 可疑登录。

有关风险指标的更多信息,请参阅可疑登录-Content Collaboration 和可疑登录 - Gateway

有关风险指示器架构的详细信息,请参阅适用于 SIEM 的 Citrix Analytics 数据格式

2022 年 1 月 20 日

新增功能

Microsoft Azure Active Directory 集成

您现在可以将 Azure Active Directory 与 Citrix Analytics for Security 连接起来,以便:

  • 将用户详细信息和用户组从组织的域导入到 Citrix Analytics for Security。

  • 使用职位、组织、办公地点、电子邮件和联系方式等其他详细信息来丰富用户档案,这有助于您进行风险调查和分析。

有关详细信息,请参阅 Azure Active Directory 集成

2022 年 1 月 18 日

新增功能

支持对所有Content Collaboration 风险指示器执行共享链接操作

以前,您可以在以下与 Content Collaboration 服务关联的基于共享链接的风险指示器上应用共享链接操作 - 终止所有链接将链接更改为仅查看共享

  • 匿名敏感分享链接下载

  • 分享链接下载量过多

  • 过多的文件共享

在此版本中,您现在可以对以下与 Content Collaboration 服务关联的基于用户的风险指示器应用共享链接操作:

  • 从不寻常的位置访问

  • 过度访问敏感文件

  • 文件上载过多

  • 文件下载过多

  • 删除过多的文件或文件夹

  • 检测到恶意软件文件

  • 怀疑勒索软件活动

  • 异常的验证失败

您还可以对与Content Collaboration 服务关联的自定义风险指示器应用共享链接操作。

有关操作和风险指示器的更多信息,请参阅以下文章:

与 SIEM 的集成现已正式推出

您可以将 Citrix Analytics for Security 与 Security Information and Event Management (SIEM) 服务集成,并将用户数据从 Citrix IT 环境导出到 SIEM。该集成可帮助您关联从各种来源收集的数据,并全面了解组织的安全性。

目前,您可以将 Citrix Analytics for Security 与以下服务集成:

  • Splunk

  • Microsoft Sentinel

  • Elasticsearch

  • 使用基于 Kafka 或 Logstash 的数据连接器提供的其他 SIEM 服务

有关详细信息,请参阅 安全信息和事件管理 (SIEM) 集成

2021 年 12 月 23 日

新增功能

共享链接风险指示器增强功能

进行了以下增强:

  • 现在,您可以使用 匿名敏感共享链接下载 风险指示器创建策略。

  • 匿名敏感共享下载 风险指示器被重命 名为匿名敏感共享链接下载 ,以将其区分为共享链接风险指示器。

  • 过度下载 风险指示器被重命名为 共享链接下载过多 ,以区分它作为共享链接风险指示器,并将其与基于用户的 文件下载过多 风险指示器区分开来。

有关详细信息,请参阅 Citrix 共享链接风险指示器。

2021 年 12 月 21 日

新增功能

向非 Citrix Cloud 管理员发送有关风险指示器的通知

现在,您可以通过“通知管理员”操作 通知组织中的非 Citrix Cloud 管理员

要通知这些管理员,请创建电子邮件通讯组列表。从连接到 Citrix Cloud 的外部域或直接使用其电子邮件地址在电子邮件通讯组列表中选择管理员。应用“通知管理员”操作时,选择包含非 Citrix Cloud 管理员的电子邮件通讯组列表。

有关详细信息,请参阅 电子邮件通讯组列表

2021 年 12 月 20 日

新增功能

向Content Collaboration 用户发送用户回复通知

除了 Active Directory 用户之外,您现在还可以将“请求最终用户响应”操作应用于Content Collaboration 用户。

当 Citrix Analytics 检测到用户的 Citrix 帐户中存在任何异常活动时,此操作会向用户发送电子邮件通知。有关“请求最终用户响应”操作的更多信息,请参阅 策略和操作

访问控制已重命名为 Secure Workspace Access

现在,在 Security Analytics 控制板和报表中,所有访问控制标签都将更新为 Secure Workspace Access,以与重新命名的产品名称保持一致。

例如,在“数据源”页面、“自助搜索”页面和“策略”页面上,“访问控制”标签被重命名为 Secure Workspace Access。

已修复的问题

  • 对于应用程序和桌面数据源,当您将搜索报告下载为 CSV 文件时,CSV 文件中的某些字段值会显示为不可用 (N/A),尽管它们的值可用。例如, 自助服务搜索 页面上会显示 Download File NameSession Launch TypeWorkspace App Version 等字段的值,但在下载的 CSV 文件中,您会看到这些值不可用 (N/A)。此问题现已修复。[CAS-62299]

2021 年 12 月 9 日

新增功能

使用模板轻松创建自定义风险指示器

现在,您可以根据自己的用例选择模板并创建自定义风险指示器。这些模板通过提供预定义的查询和参数来指导您。在创建自定义风险指示器时,它可以简化您的工作。

有关详细信息,请参阅自定义风险指标

2021 年 12 月 7 日

已修复的问题

  • 在 Citrix Analytics for Security 上,您不会收到使用 2021 年 9 月发布的 Citrix Secure Browser 用户的事件。存在此问题的原因是,主机名跟踪策略在 2021 年 9 月发布的 Citrix Secure Browser 中不可见,因此无法启用与 Citrix Analytics for Security 集成。此问题现已修复。[CAS-62254]

2021 年 12 月 2 日

新增功能

检测到恶意软件文件风险指示器

现在,当用户在Content Collaboration 中上载受感染文件时,您可以收到警报。

风险指示器检测到受恶意软件(如特洛伊木马、病毒或任何其他恶意威胁)感染的文件。它提供了对恶意文件的详细信息的可见性,例如文件所有者、病毒名称和文件位置。

检测到的恶意软件文件风险指示器相关的风险因素是基于文件的风险指示器。

有关风险指示器和可以应用的操作的详细信息,请参阅 检测到恶意软件文件风险指示器

针对Content Collaboration 数据源的新操作

当用户触发“检测到恶意软件文件”风险指示器时,您可以应用以下操作:

  • 删除文件夹访问权限。您可以阻止上载受感染文件的用户的访问权限。用户无法访问上载受感染文件的文件夹。

  • 移除文件夹的上载权限。您可以阻止上载受感染文件的用户的上载权限。用户无法将文件上载到已上载受感染文件的文件夹。

有关Content Collaboration 操作的详细信息,请参阅 策略和操作

操作

2021 年 11 月 29 日

新增功能

用户通知的电子邮件设置增强

作为管理员,您现在可以在用户回复电子邮件模板中添加横幅图像、页眉和页脚文本。这些字段增强了电子邮件的合法性,从而增加了用户对电子邮件的关注和回复。

有关详细信息,请参阅最终用户电子邮件设置

电子邮件设置

2021 年 11 月 26 日

新增功能

自定义风险指示器和策略菜单更改

以下功能的导航链接已更新:

2021 年 11 月 25 日

新增功能

安全信息和事件管理 (SIEM) 集成增强功能

注意

此集成处于预览版。

现在,您可以将 Citrix Analytics for Security 与以下 SIEM 服务集成:

  • Microsoft Sentinel

  • 使用可视化服务(例如 Kibana)和像 LogRythm 这样的 SIEM 服务进行 Elasticsearch

  • 使用 Logstash 数据收集引擎的任何其他 SIEM 服务

根据您的业务需求,将用户的数据从 Citrix Analytics for Security 导入到 SIEM 服务。这种集成使您的安全运营团队能够关联、分析和搜索组织中 SIEM 服务中不同日志中的数据,从而帮助他们识别并快速修复安全风险。

有关详细信息,请参阅 安全信息和事件管理 (SIEM) 集成

2021 年 11 月 9 日

已修复的问题

  • 在少数租户上,用户策略不起作用。当虚拟应用程序的警报具有域的空字符串值时,就会出现此问题。此问题现已修复。[CAS-60920]

2021 年 11 月 2 日

新增功能

查看 Citrix Virtual Apps and Desktops 和 Citrix DaaS 用户的访问配置文件和登录详细信息

访问保证位置控制板上,您可以查看访问配置文件以及已登录虚拟应用程序和虚拟桌面的用户的登录详细信息。这些信息在威胁调查和分析过程中有所帮助。

  • 访问配置文 件”页面提供了用户从所选位置进行的访问的摘要。您可以查看总用户和唯一用户登录的趋势分析和最高访问权限事件。

    访问个人资料页

  • 用户登录”页面提供了用户从所选位置登录到虚拟应用程序和虚拟桌面的详细信息。

    用户登录页

有关详细信息,请参阅 访问保证位置控制板

在 Content Collaboration 的自助搜索页面上查看恶意软件日志

在 Content Collaboration 的自助服务页面上,您现在可以查看恶意软件事件 File.VirusInfected 及其相关日志。当 Content Collaboration 用户上载感染了恶意软件的文件时触发此事件。

有关详细信息,请参阅 Content Collaboration 的自助搜索

恶意软件事

已修复的问题

  • 在 Citrix Analytics 中处理事件时,一些 Content Collaboration 用户被错误地设置为非员工。因此,这些用户不会被标识为已发现的用户。此问题现已修复。[CAS-59608]

2021 年 10 月 20 日

新增功能

Session Recording Server 集成

对于 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 部署,您现在可以将 Session Recording Server 配置为将用户事件发送到 Citrix Analytics for Security。对这些用户事件进行处理,以便为用户的行为提供切实可行的见解。

在“数据源”>“安全性”页面上,转到 Virtual Apps and Desktops 站点卡片。在 Session Recording 站点卡上,单击垂直省略号 (⋮),然后选择 连接 Session Recording Server

有关详细信息,请参阅连接到 Session Recording 部署

Session Recordin 部署

2021 年 10 月 19 日

新增功能

通知管理员邮件模板增强

管理员在应用“通知管理员”操作后收到的电子邮件通知得到了增强,可以更好地洞察用户的风险事件。

  • 通知现在提供有关触发的风险指示器或所应用策略的详细信息。例如,您可以查看默认和自定义风险指示器的严重性和触发时间。改进了内容结构以提高可读性。

  • 管理员现在可以直接从电子邮件通知访问用户时间线,并查看有关风险事件的详细信息。

  • 通知中添加了反馈选项。此选项有助于收集管理员的回复,并根据响应不断改进通知的内容。

有关 通知管理员操作的详细信息,请参阅 策略和操作

用户登录摘要增强功能

  • 现在,您可以查看全球用户登录总数和全球唯一用户登录次数的用户登录数的上升或下降趋势。

    总登录趋势

  • 唯一登录位置 表中的 DEVIATION 列显示了特定位置的唯一用户登录次数向上或向下变化。

    独特的登录趋势

这些指示器可帮助您了解用户登录次数与上一时期相比有何变化(正面或负面)。它提供了用户与您的 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 部署之间的交互的可见性。

有关详细信息,请参阅 访问保证位置控制板

已修复的问题

  • 访问保障位置 控制板上,当没有 用户从地理围栏区域之外登录时,用户登录摘要 卡无法显示用户登录量度(全球用户登录总数、全球唯一用户登录次数和国家/地区有用户登录)。此问题现已修复。[CAS-59595]

2021 年 10 月 1 日

新增功能

查看自助搜索 Content Collaboration 的审核日志

在 Content Collaboration 的自助搜索中,您现在可以查看审核日志。这些日志提供了有关 Content Collaboration 管理员对用户帐户应用的权限和操作的见解。使用这些数据,您可以验证 Content Collaboration 管理员是否对其用户帐户采取了有效的操作。作为安全管理员,它可以在风险调查和分析期间为您提供帮助。

有关审核日志的详细信息,请参阅 Content Collaboration 的自助搜索。

已修复的问题

使用 Azure AD 登录 Citrix Cloud 的管理员将无法访问 Citrix Analytics Service,如果上一个过期的会话 ID 与新的会话 ID 一起出现。此问题现已修复。[CAS-59385]

2021 年 9 月 29 日

新增功能

访问保障位置控制板现已正式推出

该控制板可让您查看您的 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 用户的位置。您可以通过启用地理围栏来识别位置异常的用户,并应用适当的操作来防止任何威胁。

要查看控制板,请单击“安全”>“访问保障”。选择要查看位置详细信息的时间段。

有关详细信息,请参阅 访问保证位置控制板

2021 年 9 月 15 日

新增功能

自定义风险指示器增强

  • 触发自定义风险指示器时,它会立即显示在 用户时间轴 上。但是,用户的风险摘要和风险评分会在几分钟后(大约 15 至 20 分钟)更新。

  • 如果在用户时间轴上修改现有自定义风险指示器的状况、风险类别、严重性和名称等属性,您仍然可以查看先前为用户触发的自定义风险指示器(使用旧属性)的出现次数。

  • 如果删除自定义风险指示器,则仍然可以在用户时间轴上查看先前为用户触发的自定义风险指示器的出现次数。

有关详细信息,请参阅自定义风险指标

2021 年 9 月 14 日

新增功能

引入可疑登录风险指示器

Citrix Analytics for Security 现在可基于多种上下文因素检测本质上可疑的用户登录,例如:

  • 就用户和组织历史记录而言,该位置被视为不寻常

  • 就用户和组织历史记录而言,该设备被视为异常

  • 就用户和组织历史而言,该网络被认为是不寻常的

  • 根据 IP 威胁情报馈送,IP 地址被视为可疑

当 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 用户基于这些因素的组合从可疑环境中登录时,会触发风险指示器。

此风险指示器替换了与 Citrix Virtual Apps and Desktops 数据源关联的从异常位置访问风险指示器。任何基于 异常位置访问风险指示器的 现有策略都会自动链接到新的风险指示器- 可疑登录

有关风险指示器的详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

SIEM 消息增强

Citrix Analytics for Security 现在会将可疑登录风险指示器的架构详细信息发送到 SIEM 服务。您可以查看指示器摘要的架构和可 疑登录 风险指示器的事件详细信息。有关详细信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

已修复的问题

  • 对于应用程序和桌面自助搜索,下载的 CSV 文件中缺少客户端 IP 值。此问题现已修复。[CAS-58426]

2021 年 8 月 19 日

新增功能

推出适用于 Splunk 的 Citrix Analytics 应用

注意

该应用程序处于预览中。

适用于 Splunk 的 Citrix Analytics 应用程序使您能够在 Splunk 上以富有洞察力的控制板的形式查看从 Citrix Analytics for Security 收集的数据。控制板可让您深入了解用户的风险事件。您还可以将 Citrix Analytics 数据与从其他各种数据源收集的日志相关联。关联可帮助您查找事件之间的关系,并及时采取措施来保护您的 IT 环境。

要下载该应用程序,请转到 Splunkbase。在 Splunk 搜索头上安装应用程序。

有关详细信息,请参阅适用于 Splunk 的 Citrix Analytics 应用

SIEM 的自定义风险指示器架构

在 SIEM 服务中,您现在可以查看为 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 创建的自定义风险指示器的架构。这些数据可帮助您深入了解组织的安全风险状况。

有关自定义风险指示器架构的更多信息,请参阅 适用于 SIEM 的 Citrix Analytics 数据格式

支持将 Citrix Director 作为数据源

现在,您可以在 Citrix Director 上配置本地站点,以将事件发送到 Security Analytics。这些事件用于发现连接到 Security Analytics 的用户,并确定用户设备上安装的 Workspace 应用程序版本。

默认情况下,在发现站点之后启用数据处理。在 监视 卡上,您可以查看所有已连接的站点。

有关如何在 Director 上配置站点的详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

在访问保证位置控制板中支持地理围栏

现在,您可以使用控制板中的 地理围栏设置 来选择和启用地理围栏区域。启用地理围栏后,地图将显示地理围栏区域(国家/地区)以及用户从地理围栏外部和内部登录的情况。此功能使用在 地理围栏风险指示器之外启动的 CVAD 会话 来监视用户登录。

有关详细信息,请参阅 访问保证位置控制板

用户页面上的 Workspace 应用程序状态

用户 页面上,您现在可以查看 Citrix Analytics 支持的 Citrix Workspace 应用程序客户端的状态。该页面显示以下状态:

  • 支持
  • 部分支持
  • 不受支持
  • 不可用
  • 不活跃

该状态可帮助您识别用户使用的任何不受支持的客户端版本,并建议用户将其客户端升级到受支持的版本。受支持的客户端版本会将用户事件发送到 Citrix Analytics。

注意

要查看 Citrix Workspace 应用程序状态,必须加载 Citrix Director 数据源。否则,每个 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 用户的状态都显示为 非活动

有关详细信息,请参阅用 户控制板

支持 IS EMPTY 运算符

在创建自定义风险指示器时,您现在可以在条件中使用 IS EMPTY 运算符来检查空维度或空维度。

注意

该运算符仅适用于字符串类型的维度,例如应用程序名称、浏览器和国家/地区。

有关详细信息,请参阅自定义风险指标

改进了风险评分

在用户的时间轴上,您现在可以查看用户的风险摘要。风险摘要提供有关与用户事件相关的风险因素的信息。风险因素可帮助您识别用户事件中的异常类型,并确定风险评分。以下是风险因素:

  • 基于设备的风险指示器

  • 基于位置的风险指示器

  • 基于 IP 的风险指示器

  • 基于登录失败的风险指示器

  • 基于数据的风险指示器

  • 基于文件的风险指示器

  • 自定义风险指示器

  • 其他风险指示器

在用户的时间轴上,您现在可以根据风险因素应用过滤器来查看用户事件。

有关详细信息,请参阅以下主题:

2021 年 7 月 29 日

已弃用的功能

与 Citrix Endpoint Management 关联的已弃用操作

将从 Citrix Endpoint Management 数据源中删除以下操作。您不能再对风险指示器应用这些操作或使用这些操作创建策略。

  • 锁定设备

  • 通知 Endpoint Management 管理员

  • 通知用户

  • 吊销设备

  • 擦除设备

在现有策略中,如果这些操作已在使用中,则它们将自动替换为“添加到监视名单”操作。您可以从监视名单中监视此类用户。

2021 年 7 月 14 日

新增功能

支持 IS NOT EMPTY 运算符

在创建自定义风险指示器时,您现在可以在条件中使用 IS NOT EMPTY 运算符来检查维度是否为空(不是空白)。

注意

该运算符仅适用于字符串类型的维度,例如应用程序名称、浏览器和国家/地区。

例如,以下条件会检测来自国家/地区值不为空的任何国家/地区的用户登录事件。换句话说,指定了国家/地区名称。

Event-Type = “Session.logon” AND Country IS NOT EMPTY

有关详细信息,请参阅自定义风险指标

2021 年 7 月 6 日

新增功能

在“用户”控制板上查看非风险用户

在“用 ”控制面板上,您现在可以查看所选时间段内非风险用户的数量。根据所选期间的零风险评分,将这些发现的用户标识为非风险用户。单击“非风险用户”卡可查看所有具有零风险评分的用户。

有关详细信息,请参阅 用户控制板

非风险用户

2021 年 7 月 1 日

新增功能

访问保证位置控制板增强

  • 在“前 10 个唯一登录位置”表中,您可以查看来自未知位置的唯一用户登录次数。此列表是前 10 个唯一登录位置的子集。您还可以找到位置未知的原因以及获取用户位置的可能方法。

    未知的位置

  • 在“访问位置”页面上,如果选择多个位置,则可以查看和比较来自所有位置、前五个位置和最后五个位置的用户登录的时间轴详细信息。

    时间轴比较

  • 在“访问位置”页面上,您可以使用嵌套的方面,例如国家/地区及其城市、操作系统-主要版本和次要版本。这些方面使您能够以细粒度的方式过滤事件。

    嵌套的小平面

有关详细信息,请参阅 访问保证位置

更新了 Virtual Apps and Desktops 的自助搜索中的操作系统方面

现在,您可以使用嵌套的操作系统方面过滤应用程序和桌面事件。选择与操作系统关联的主要版本和次要版本,然后以细粒度方式过滤事件。有关详细信息,请参阅应用程序和桌面的自助式搜索

操作系统嵌套方面

2021 年 6 月 30 日

新增功能

为应用程序和桌面添加了处于自定义风险指示器条件的 Workspace 应用程序版本

对于 应用程序和桌面 数据源,您现在可以在创建自定义风险指示器时使用 Workspace App-Version 维度来定义您的状况。有关维度的详细信息,请参阅应用程序和桌面的自助式搜索

CWA 版本

2021 年 6 月 23 日

新增功能

SIEM 消息增强

现在,以下字段已添加到风险指示器的架构中:

  • indicator_vector_name-表示与风险指示器关联的风险载体。风险载体包括基于设备的风险指示器、基于位置的风险指示器、基于登录故障的风险指示器、基于 IP 的风险指示器、基于数据的风险指示器、基于文件的风险指示器和其他风险指示器。

  • indicator_vector_id-与风险向量关联的 ID。ID 1 = 基于设备的风险指示器,ID 2 = 基于位置的风险指示器,ID 3 = 基于登录失败的风险指示器,ID 4 = 基于 IP 的风险指示器,ID 5 = 基于 IP 的风险指示器,ID 6 = 基于数据的风险指示器,ID 7 = 其他风险指示器,ID 999 = 不可用。

有关详细信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

2021 年 6 月 7 日

新增功能

通知管理员操作的增强功能

当您将“通知管理 员”操作应用于风险指示器或使用该操作创建策略时,您现在可以选择接收有关用户风险行为的通知的管理员。有关操作的详细信息,请参阅 策略和操作

添加了对仅查看共享操作的支持

如果用户过度共享文件,Citrix Analytics 会触发文 件共享过多 风险指示器。从用户的风险时间表中,您现在可以将“更改链接至仅查看共享”操作应用于“过多的文件共享 风险”指示器。您还可以在股份链接风险时间表上对特定的共享链接应用操作。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关操作的详细信息,请参阅 策略和操作

2021 年 5 月 18 日

新增功能

将默认风险指示器迁移到自定义风险指示器

以下默认风险指示器已迁移到预配置的自定义风险指示器。

默认风险指示器 数据源 预配置的自定义风险指示器
首次从新设备访问 Citrix Virtual Apps and Desktops 和 Citrix DaaS CVAD-首次从新设备访问
首次从新 IP 访问 Citrix Gateway 网关-从新 IP 首次访问

随着这种迁移到自定义风险指示器,默认风险指示器和相关的计算机学习算法将被弃用。

根据以下预先配置的条件触发相应的自定义风险指示器:

  • 当用户首次从新设备访问或至少 90 天未使用的现有设备时。

  • 用户首次从新 IP 地址或至少 90 天未使用的现有 IP 地址登录时。

除了预配置的条件外,您现在可以为这些自定义风险指示器添加自己的条件,以识别 Citrix 环境中的威胁。通过此选项,您可以根据安全需求灵活配置自定义风险指示器。您还可以创建策略,对这些自定义风险指示器检测到的风险事件应用操作。

但是,在用户的时间表上,您仍然可以查看之前触发的默认风险指示器及其事件。

与这些默认风险指示器关联的策略将自动链接到相应的预先配置的自定义风险指示器。

有关详细信息,请参阅 预配置的自定义风险指示器和策略

网关自助搜索的增强功能

  • 件类型 过滤器现在重命名为“记录类型”。选择以下记录类型之一以筛选事件-VPN_AI、VPN_IF 和 VPN_ST。

  • DATA 表中,展开用户事件的行以查看相应的事件类型。事件类型可以是以下类型之一-身份验证、ICA 文件或会话注销。

下表描述了记录类型与事件类型之间的关联。

记录类型 事件类型
VPN_AI 身份验证
VPN_IF ICA 文件
VPN_ST 会话注销

有关详细信息,请参阅 网关的自助搜索

已修复的问题

  • 自定义风险指示器根据条件值的区分大小写而触发。例如,在允许列表中包含设备 ID 的用户事件中,您会看到以下行为:

    • 如果以小写字母输入 Device-ID 维度的值,则会触发自定义指示器。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • 如果以大写字母为同一设备输入 Device-ID 维度的值,则不会触发自定义指示器。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    此问题现已修复,无论条件值是否区分大小写,都会触发自定义风险指示器。

    [CAS-50153]

2021 年 4 月 29 日

新增功能

自定义风险指示器的事件详情

在用户的风险时间表页面上,您现在可以查看触发自定义风险指示器的事件。以前,您只能查看自定义风险指示器的定义条件、描述和触发频率。单击 事件搜索 以查看与用户关联的事件的详细信息和风险指示器。 有关详细信息,请参阅自定义风险指标

已修复的问题

  • 即使管理员的访问权限从只读管理员更改为完全管理员,管理员也无法创建自定义风险指示器。[CAS-49628]

2021 年 4 月 16 日

新增功能

SIEM 消息增强

您可以查看风险指示器架构格式的以下增强功能:

  • 客户端 IP 地址现在可用于所有批量风险指示器的模式中。以前,客户端 IP 地址仅适用于几个批量风险指示器:

    • EPA 扫描失败
    • 验证失败过多
    • 从可疑 IP 登录
    • 从不寻常的位置访问
    • 异常的身份验证
    • 匿名敏感分享下载
    • 潜在的数据泄露
  • 如果整数数据类型字段值不可用,则分配的值为 -999。例如,"latitide" = -999

  • 如果字符串数据类型字段值不可用,则分配的值为 NA。例如,"city"= "NA"

有关详细信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

2021 年 3 月 26 日

新增功能

对 SIEM 消息的限制

Citrix Analytics 向 SIEM 服务发送每个风险指示器发生的最多 1000 个事件详细信息。这些事件按发生时间顺序发送。有关详细信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

在 SIEM 消息中添加了数据源 ID 和指示器类别 ID 字段

在指示器摘要架构和指示器事件详细信息架构中添加了以下字段。

字段 说明
data_source_id 与数据源关联的 ID。ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id 与风险指示器类别关联的 ID。ID 1 = 数据泄露,ID 2= 内幕威胁,ID 3 = 受到攻击的用户

有关详细信息,请参阅适 用于 SIEM 的 Citrix Analytics 数据格式

2021 年 3 月 18 日

新增功能

访问保障位置控制板

注意

该功能处于预览中。

访问保障位置控制板概述了 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 用户在选定时间段内登录的位置。Citrix Analytics 从用户设备上安装的 Citrix Workspace 应用程序接收这些用户登录事件。

要查看控制板,请单击“安全”>“访问保障”。

您可以查看所选期间的以下信息:

  • 来自特定位置和跨位置的用户登录总数。

  • 跨地点的唯一用户登录总数。

  • 用户登录的国家/地区总数。

  • 具有唯一用户登录名的前 10 个位置。

有关详细信息,请参阅 访问保证位置

用户登录摘要页

支持 NOT LIKE (!~) 运算符

对于自助搜索查询和自定义风险指示器条件,您现在可以使用 NOT LIKE (!~) 运算符。运算符会检查用户事件是否符合您指定的匹配模式。它返回事件字符串中任意位置不包含指定模式的事件。

例如,查询 User-Name !~ “John” 显示除了 John、John Smith 或包含匹配名称“约翰”的任何此类用户以外的用户的事件。

有关详细信息,请参阅 自助搜索

翻译的操作系统版本

对于 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 数据源,平台维度现在转换为操作系统主要版本操作系统次要版本操作系统额外细节维度。根据用户的操作系统详细信息,Citrix Analytics 会在自助服务搜索页面上显示这些维度。

您可以使用这些维度来定义自定义风险指示器的条件。

对于之前创建的自定义风险指示器,如果您已将 平台 维度用作条件,Citrix Analytics 会自动将 平台 维度替换为 操作系统主要版本操作系统次要版本操作系统额外详细信息。此更新不会影响您定义的条件的完整性。

有关新维度的详细信息,请参阅 Virtual Apps and Desktops 的自助搜索

更新了应用程序和桌面的数据字段

在“应用程序和桌面的自助式搜索”中,根据上下文模板查看更新的数据字段。

有关详细信息,请参阅应用程序和桌面的自助式搜索

已弃用的功能

从自助搜索页面中删除了 VPN_AF 和 VPN_SU 事件

现在,在 Citrix Gateway 数据源的自助搜索页面上,以下记录类型现在已删除。

记录类型 记录名
VPN_SU 会话更新记录
VPN_AF 应用启动失败记录

因此,您无法根据这些记录类型筛选和查看事件。任何基于这些记录类型的自定义风险指示器都停止运行。

有关详细信息,请参阅 网关的自助搜索

2021 年 3 月 11 日

新增功能

用户风险评分模式的当前时间戳

将以用户风险评分模式格式添加一个新 last_update_timestamp 字段。此字段表示风险评分上次更新的时间。有关架构格式的详细信息,请参阅 用户风险评分架构

2021 年 3 月 3 日

新增功能

对可疑 IP 风险指示器登录的增强

在用户的风险时间表页面上,将为从可疑 IP 登录风险指示器显示一个新的可疑 IP部分。本部分提供以下信息:

可疑 IP 部分

  • 检测到可疑登录事件的 IP 地址。
  • 用户的位置。
  • Citrix Analytics 最近在组织中检测到的任何可疑 IP 事件模式。
  • 有关 IP 地址的社区级情报源。

有关详细信息,请参阅 从可疑 IP 登录 风险指示器。

通过不寻常的位置风险指示器增强访问权限

  • 在 Citrix Content Collaboration 的从异常位置访问风险指示器中,在事件表中添加了 TOOL NAME 列。从事件表中删除了 设备浏览器 列。有关详细信息,请参阅 Citrix Content Collaboration 风险指示器。

  • 在 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 的“从异常位置访问”风险指示器中,在事件表中添加了设备 IDRECEIVER 类型列。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 风险指示器

适用于 SIEM 的 Citrix Analytics 数据格式

介绍了 Citrix Analytics 为您的 SIEM 服务生成的已处理数据的架构。

已修复的问题

  • 对于 Content Collaboration 用户,如果 Is Employee<!--NeedCopy--> 值为空,则该用户不会显示在已发现的用户列表中。[CAS-47815]

2021 年 2 月 18 日

新增功能

支持从自定义风险指示器中的新实体首次访问

现在,您可以创建风险指示器,当 Citrix Analytics 首次收到来自新实体的事件时触发该风险指示器。实体的一些示例包括客户端 IP、城市和国家/地区。

创建指示器 页面上,单击 首次 选项。启用“首次创建新”按钮,然后根据数据源从列表中选择一个有效的实体。您无需为实体分配任何特定值。例如,如果从列表中选择 城市 ,则每当用户首次从新城市登录时,Citrix Analytics 都会触发一个风险指示器。

有关详细信息,请参阅 创建自定义风险指示器

第一次使用新选项

创建自定义风险指示器的最大限制

现在,您可以创建最多 50 个自定义风险指示器。如果达到此最大限制,则必须删除或编辑任何现有的自定义风险指示器以创建自定义风险指示器。

有关详细信息,请参阅自定义风险指标

来自 Citrix Virtual Apps and Desktops 和 Citrix DaaS 的用户位置数据

用户信息页面上,Citrix Analytics 现在显示来自 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 数据源的用户位置。

有关用户位置的详细信息,请参阅 用户配置文件

多列排序

在自助搜索页面上,您现在可以按多列对用户事件进行排序。单击 排序方式,添加列和排序顺序。单击 应用 对用户事件进行排序。您最多可以添加六列来执行多列排序。

多列排序

有关详细信息,请参阅 自助搜索

已弃用的功能

已弃用过多的授权失败风险指示器

Citrix Gateway 风险指示器 - 授权失败过多已被弃用。您只能查看与此指示器相关的历史数据。

以下更改适用于此弃用的一部分:

  • Citrix Analytics 不再生成这些风险指示器。

  • Citrix Analytics 不再以这些风险指示器为条件生成策略。

  • 将这些风险指示器作为条件的默认策略不再生效。

有关详细信息,请参阅 Citrix Gateway 风险指示器

2021 年 1 月 27 日

新增功能

增强了从异常位置访问风险指示器

对于 Citrix Content Collaboration、Citrix Gateway 和 Citrix Virtual Apps and Desktops,当用户从与新国家/地区关联的 IP 地址或远离任何以前登录的新城市登录时,将触发从异常位置访问风险指示器位置。其他因素包括用户的整体移动性水平以及组织中所有用户从城市登录的相对频率。在所有情况下,用户位置历史记录都基于过去 30 天的登录事件。

有关风险指示器的更多信息,请参阅以下主题:

2021 年 1 月 20 日

已修复的问题

  • 对于具有本地 StoreFront 的应用程序和桌面数据源,尽管已成功连接 StoreFront 部署,但数据处理仍会失败。

    [CAS-46656]

2021 年 1 月 19 日

已修复的问题

  • 在自定义风险指示器页面中,在更正搜索字段中的无效条件后, 估计触发器 链接不会响应。

    例如,您键入无效条件 Client-IP = 10.10.10.10。更正此条件并键入 Client-IP = “10.10.10.10” 后,估计触发器链接不响应。

    解决办法:刷新自定义指示器页面,然后创建具有有效条件的自定义指示器。

    [CAS-46316]

2021 年 1 月 13 日

新增功能

适用于 Splunk 的 Citrix Analytics 加载项的新版本已推出

适用于 Splunk 的 Citrix Analytics 附加版本 2.1.0 现已推出。转到下 页面下载文件。

增加了对 Splunk 云输入数据管理器 (IDM) 和 Splunk 8.1 64 位的支持

现在,您可以将 Citrix Analytics for Security 与 Splunk Cloud IDM 和 Splunk 8.1 64 位集成。有关详细信息,请参阅 Splunk 集成

已弃用的支持

已删除对 Splunk 7.1 64 位的支持

您无法再将 Citrix Analytics for Security 与 Splunk 7.1 64 位集成。有关受支持的 Splunk 版本的信息,请参阅 Splunk 集成

2021 年 1 月 11 日

已修复的问题

  • 在“Virtual Apps and Desktops”站点卡上,支持的客户端用户标签将重命名为已收到用户的事件。标签 不受支持的客户端用户 被重命名为 无法接收来自用户的事件

    [CAS-44773]

2020 年 12 月 17 日

新增功能

使用预配置的自定义风险指示器和策略来阻止来自异常位置的访问(地理围栏)

Citrix 提供了预配置的自定义风险指示器列表以及可帮助您监视 Citrix 基础架构安全性的策略。借助这些指示器和策略,您可以阻止来自其通常运营国家/地区以外的国家/地区的用户访问权限。默认情况下,国家/地区设置为“美国”。您可以为地理围栏设置所需的国家/地区。

以下是预配置的自定义风险指示器和策略:

  • CVAD-会话在地理围栏之外开始

  • GW-Geofence 穿越

  • CCC-地理围栏穿越

  • 会话在地理围栏之外开始

有关详细信息,请参阅 预配置的自定义风险指示器和策略

查看用户响应电子邮件中访问的位置

用户回复电子邮件现在显示用户在过去 15 分钟内访问过的所有位置,而不是用户设备的 IP 地址。该位置以 <City>,<Country><!--NeedCopy--> 格式显示。如果城市或国家/地区不可用,相应的值将显示为“未知”。

有关详细信息, 请参阅请求用户响应

已重命名 Content Collaboration 风险指示器-首次从新位置访问

Citrix Content Collaboration 风险指示器 首次从新位置进访问将重命名为从异常位置访问。

有关详细信息,请参阅 从异常位置访问

已弃用的功能

风险指示器反馈

删除了风险指示器反馈机制。如果 Content Collaboration 风险指示器-从异常位置访问被错误地触发,则无法再将其报告为误报并提供反馈。

2020 年 12 月 7 日

新增功能

潜在数据泄露风险指示器的改进

对风险指示器进行了以下增强:

  • 发生了什么”部分中的信息已更新。时间格式已更新以保持一致性。

  • 设备位置信息显示在事件列表中。

有关风险指示器的更多信息,请参阅 潜在的数据泄露

Content Collaboration 风险指示器的改进-首次从新位置访问

在用户风险时间表上,选择 首次从新位置访问 以查看以下信息:

  • 登录位置:显示用户登录的通常和不寻常位置的地理地图视图。

  • 从常规位置登录的次数-过去 30 天:显示用户在过去 30 天内登录的前 6 个常用位置的饼图视图。它还显示来自这些位置的登录事件的数量。

  • 异常位置的事件详细信息:为用户提供来自异常位置的登录事件的列表。

有关风险指示器的更多信息,请参阅 首次从新位置访问

2020 年 11 月 30 日

新增功能

自助搜索页面改进

为增强自助搜索页面的可用性,进行了以下改进:

  • 搜索框显示一个查询示例,指示如何键入自己的查询。

    搜索框查询

  • 在 macOS 中,默认情况下会显示维度列表上的滚动条。

    Mac 滚动条

  • 应用的滤镜现在显示为筹码。

    过滤芯片

  • 添加或删除列 标签将替换 + 图标。

    图标更新

有关详细信息,请参阅 自助搜索

策略改进

现在,“策略”页面显示与成功发现并连接到 Citrix Analytics 的数据源关联的策略。此页面不显示为未发现的数据源定义了条件的策略。关闭已连接的数据源的数据处理不会影响“策略”页面上的现有 策略

有关详细信息,请参阅 配置策略和操作

2020 年 11 月 4 日

新增功能

异常身份验证失败 - Citrix Gateway 风险指

当用户从异常 IP 地址登录失败时,Citrix Analytics 会检测基于访问的威胁,并触发 异常身份验证失败 风险指示器。

当组织中的用户从不正常的 IP 地址登录失败时,会触发此风险指示器。

有关详细信息,请参阅 Citrix Gateway 风险指示器

身份验证失败

2020 年 10 月 20 日

已修复的问题

  • 风险指示器应用了 注销用户 操作的 新设备首次访问 未按预期工作。

    [CAS-40743]

2020 年 10 月 15 日

新增功能

从异常位置访问 — Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

Citrix Analytics 会根据来自 Citrix Workspace 的异常登录来检测基于访问的威胁,并触发相应的风险指示器。

位置不寻常

有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

共享链接控制板增强

  • 共享 URL 列现在由共享 ID 列替换。现在,每个共享 URL 都使用共享 ID 进行标识。

  • 控制板上的时间选择已删除。现在,此控制板显示从事件状态到过期状态的所有共享链接,而不是选定的时间段。

  • 所有共享链接先按事件链接的顺序排序,然后按过期链接的顺序进行排序。默认情况下,具有最高风险指示器计数的共享链接显示在列表顶部。

  • 风险链接现在显示存在风险行为的事件链接。它不会显示过期的链接。默认情况下,具有最高风险指示器计数的风险链接显示在列表顶部。

  • 已删除“风险共享链接”卡和“所有共享链接”卡中的趋势视图。

有关详细信息,请参阅 共享链接控制板。

分享链接风险时间表增强

风险时间表现在显示的是共享 ID,而不是共享 URL。有关详细信息,请参阅 共享链接风险时间表。

已弃用的功能

不建议从操作系统 (OS) 风险指示器不受支持的设备进行访问

Citrix Virtual Apps and Desktops 风险指示器 - 从操作系统 (OS) 不受支持的设备进行访问已被弃用。您只能查看与此指示器相关的历史数据。

以下更改适用于此弃用的一部分:

  • 分析不再生成这些风险指示器。

  • Analytics 不再以这些风险指示器为条件生成策略。

  • 将这些风险指示器作为条件的默认策略不再生效。

有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

2020 年 9 月 10 日

新增功能

StoreFront 清单

Citrix Analytics 现在会显示下载 StoreFront 配置文件之前必须满足的先决条件列表。查看清单并确保选择了所有最低要求。如果未选择最低要求,则无法下载配置文件。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 数据源

StoreFront-checklist

自助搜索-支持 NOT EQUAL (!=) 运算符

在以下功能中,您现在可以在查询中使用 NOT EQUAL (!=) 运算符:

  • 自定义风险指示器

  • 自助搜索

您可以在以下情况下使用此运算符:

数据源 维度
Content Collaboration 国家、城市、客户端操作系统
访问控制 国家、城市、操作、URL、URL 类别、信誉、浏览器、操作系统、设备
Citrix Cloud Labs应用程序和桌面 国家、城市、应用名称、剪贴板操作、浏览器、操作系统
网关 身份验证阶段,客户端 IP

使用运算符,创建具有单个值的自定义指示器表达式,例如“国家/地区!= XYZ”并查看用户列表。然后创建策略以应用诸如“添加到监视名单”、“通知管理员”或“禁用用户”等操作。 您还可以在指定数据源的自助搜索中使用运算符来筛选用户事件。

在为查询中的维度输入值时,请使用数据源的自助搜索页面上显示的精确值。尺寸值区分大小写。

2020 年 9 月 8 日

新增功能

用户关联

Analytics 现在将从各种数据源中发现的用户关联起来。此机制将大多数重复用户从发现的用户列表中删除。Analytics 中发现的用户现在会显示唯一用户的列表以及他们的数据源和风险指示器。

例如,用户“Joe Smith”可以有多个用户标识符 - JosephSm、joe.smith@citrix.com 和 joe.smith,具体取决于数据源。Analytics 现在使用唯一的标识符名称来识别此用户。所有其他用户标识符都是相关的,从各种数据源为 Joe Smith 接收的事件都链接到此唯一名称。 有关详细信息,请参阅 发现的用户

已修复的问题

在“ 作”列表中,选择操作选项并单击“应用”后,将显示一条错误消息。

[CAS-39914]

2020 年 8 月 11 日

已修复的问题

  • 您无法将 Microsoft Graph 安全性与 Citrix Analytics 集成。出现此问题的原因是 Microsoft 门户无法重定向到 Citrix Analytics。

[CAS-38021]

2020 7 月 31 日

已修复的问题

  • 自定义风险指示器中的“估计触发器”选项不能预测最近一天的自定义风险指示器实例。

[CAS-38129]

2020 年 7 月 9 日

新增功能

Virtual Apps and Desktops 站点卡片显示具有受支持和不支持客户端

现在,在站点卡片上,您可以查看在其终端上使用受支持和不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 客户端版本的用户数量。

  • 单击受支持客户端的用户计数可查看显示所有发现的 用户 的“用户”页。

  • 单击不受支持的客户端的用户数以下载 CSV 文件。该文件列出了用户及其不受支持的客户端版本。Analytics 不会从不受支持的客户端接收用户事件,因此不会将用户添加为已发现的用户。使用 CSV 文件,您可以识别必须将其客户端升级到受支持版本的用户,以便 Analytics 能够对其行为提供安全洞察。

要查看支持的客户端列表,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

客户端状态

从异常位置风险指示器访问

  • Citrix Gateway 风险指示器首次从新位置进行访问将重命名为从异常位置访问

  • 在用户风险时间表上,事件详细信息部分中介绍了地理地图和饼图。

    • 登录位置:此部分显示用户通常和不寻常位置的地理地图视图。地理地图右上角的颜色代码表示通常和不寻常的位置。您可以缩放地理地图以更仔细地查看该位置。

      从不寻常的位置进入

    • 通常的位置-过去 30 天:此部分显示一个饼图,其中显示了用户登录的前 6 个常用位置。每个位置都使用不同的颜色代码进行标记。您可以按位置对部分进行排序,以获取所选位置的详细视图。

      从不寻常的位置进入

有关详细信息,请参阅 从异常位置访问

用户控制板数据

无论在“用户”控制板和“用户”页面上选择的时间段如何,都会显示过去 13 个月内监视名单中存在风险的用户、发现的 用户、特权用 户和 用户 的数量。当您选择时间段时,风险指示器的出现次数会发生变化。

有关详细信息,请参阅 用户控制板

用户控制板数据

重新设计的用户页面

页面已得到增强,以获得更好的用户体验。它根据用户风险评分、数据源和用户类型提供了用户事件的综合摘要。

为了支持更有针对性的搜索,“用户”页面在左侧窗格中包含“筛选器”部分,顶部包含搜索栏。您可以搜索预设时间或自定义时间范围内的用户事件。

发现的用户部分

要查看“用 ”页面:

  • 转到“安全”>“用户”以查看“用 ”控制板并执行以下操作:

    • 单击以下链接之一或卡片。

      “用户”页

    • 在“风险用户”窗格上,单击“查看更多”。

    • 在监视名单中的用户 窗格中,单击 查看更多

    • 在“特权用户”窗格上,单击“查看更多”。

  • 转到 设置 > 数据源 > 安全性。单击任何数据源站点卡片上的用户数。

有关详细信息,请参阅 用户控制板

风险用户窗格的增强

变化 列将替换为 风险指示器 列。“风险指 示器”列显示用户在特定时间段内的总风险指示器出现次数。

有关详细信息,请参阅 风险用户

风险用户窗格

监视名单窗格中的用户增强

变化 列将替换为 风险指示器 列。“风险指 示器”列显示用户在特定时间段内的总风险指示器出现次数。

有关详细信息,请参阅 监视名单中的用户

监视名单窗格

特权用户窗格的增强

  • 变化 列将替换为 风险指示器 列。“风险指 示器”列显示用户在特定时间段内的总风险指示器出现次数。

  • 单击查 看更多 以查看用 页面。 显示管理员和执行特权用户列表的 Users 页面。 在此页面上,您可以添加或删除作为特权用户的用户。

有关详细信息,请参阅 特权用户

特权用户窗格

已弃用的功能

警报

报功能现已弃用,在 Analytics 用户界面上不再可用。

警报

“风险用户和监视名单”页面

不建议使用“风险用户”和“监视名单”页面。它们将替换为 用户 页面,该页面汇总了所有有风险的用户事件和监视名单中的用户。

危险的用户页面

关注列表页

风险用户窗格

高分变化风险指示器更改 选项卡将从风 险用户窗格中移除。

风险用户窗格

风险指示器窗格

  • 将删除 具体值更改选项卡和更改列。

    风险指示器窗格

  • 风险指示器详细信息 页面已弃用。以前,当在风险指示器窗格或风险指示器 概述页面上选择 风险指 示器时,会显示此页面。

    风险指示器详情页面

趋势视图

在“用户”控制板上,用户计数的趋势视图将从“高风险用户”、“中风险用户**”、“低风险用”和“监视名单中的用户**”卡中删除。

趋势视图

“用户组”页面

不建议使 用“设置”选项下的“用户组”页面。您不能再添加或删除作为特权组的用户组。但是,您可以添加或删除单个用户作为特权用户。有关详细信息,请参阅 特权用户

“用户组”页

2020 年 6 月 26 日

已弃用的功能

不建议使用异常应用程序访问时间(虚拟 /SaaS)风险指示器

Citrix Virtual Apps and Desktops 风险指示器 - 异常应用程序访问时间(虚拟)应用程序访问异常时间 (SaaS) 已被弃用。您只能查看与这些指示器相关的历史数据。

以下更改适用于此弃用的一部分:

  • 分析不再生成这些风险指示器。
  • Analytics 不再以这些风险指示器为条件生成策略。
  • 将这些风险指示器作为条件的默认策略不再生效。

有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

2020 年 6 月 2 日

已修复的问题

  • 在用户风险时间轴上,Virtual Apps and Desktops 操作(基于策略或手动应用)的状态显示为“失败”,即使这些操作已成功应用于用户帐户。例如,启动会话录制操作已成功应用于用户帐户,但结果显示为“失败”。[CAS-32773]

    操作失败状态

2020 年 5 月 11 日

已修复的问题

  • 对于某些用户,不会触发基于策略的操作,也无法应用策略实施模式。当客户 ID 不是小写时,会出现此问题。

    [CAS-34209]、[CAS-34141]

  • 无法为某些用户创建自定义风险指示器。当客户 ID 不是小写时,会出现此问题。

    [CAS-34139]

2020 年 4 月 29 日

已修复的问题

  • 尽管 Analytics 会显示已成功应用操作的消息,但在 Citrix Virtual Apps and Desktops 上应用的操作风险指示器无法生效。Citrix Virtual Apps and Desktops 7 1912 版本中会发现此问题。

    [CAS-31544]

2020 年 4 月 2 日

新增功能

未添加 StoreFront 时禁用数据处理

在“设置”>“数据源”>“安全”>“Virtual Apps and Desktops”数据源站点卡片 上,如果您尚未加入 StoreFront,则不会启用“打开数据处理”按钮。您会在站点卡片上看到 StoreFront 未连接 警告消息。如果您有希望 Analytics 从中接收数据的活动本地站点,则必须验证是否已将 StoreFront 加载到 Citrix Analytics。它可以确保您的用户帐户受到保护。

Virtual Apps and Desktops 站点卡片上,选择垂直省略号 (⋮),然后单击连接 StoreFront 部署。在显示的屏幕上,按照说明操作并完成 StoreFront 配置。

有关详细信息,请参阅使用 StoreFront 登录 Citrix Virtual Apps and Desktops 本地站点

StoreFront 警告

已修复的问题

  • 对于 Citrix Content Collaboration 用户,基于策略的操作在以下情况下无法生效:

    • 定义自定义风险指示器条件时

    • 直到为用户生成风险指示器

    [CAS-29226]

2020 年 3 月 4 日

已修复的问题

  • 当网关用户首次加入 Analytics 时,他们会看到错误 Citrix ADC 无响应或凭据不正确。重试后,他们会看到错误的 具有此 IP 地址的设备已存在

[CAS-31180]

2020 年 2 月 20 日

新增功能

Citrix Analytics for Security 产品

Citrix Analytics for Security 现在可用于个人订阅。 您可以订阅 Citrix Analytics for Security,并获取特定于此产品的见解。有关详细信息,请参阅入门

风险类别控制板

Citrix Analytics 引入了基于对组织安全方面具有类似影响的风险的风险指示器的分类。此控制板提供了需要立即关注的风险敞口和关键风险的全面视图。对于默认风险指示器,Analytics 会根据风险敞口自动分配风险类别。对于自定义风险指示器,您必须根据风险敞口选择适当的风险类别。

分析支持以下风险类别:

  • 数据泄露
  • 内幕威胁
  • 受影响的用户
  • 受损的端点

有关详细信息,请参阅 风险类别

风险类别控制板

自定义指示器页面上的“风险类别”列

风险类别 列在自定义风险指示器页面上引入。根据风险敞口的类型,您可以为自定义风险指示器选择风险类别。如果您通过选择风险类别进行修改,以前创建的自定义风险指示器将显示在“风险类别”控制面板上。

有关详细信息,请参阅自定义风险指标

风险类别下拉列表

风险指示器名称的更改

以下风险指示器名称已更改:

数据源 旧的名字 新名字
Citrix Virtual Apps and Desktops 和 Citrix DaaS 异常应用程序使用情况(虚拟 不寻常的应用程序访问时间(虚拟)
Citrix Virtual Apps and Desktops 和 Citrix DaaS 异常应用程序使用情况 (SaaS) 不寻常的应用程序访问时间 (SaaS)
Citrix Content Collaboration 登录失败过多 验证失败过多
Citrix Content Collaboration 不寻常的登录访问 首次从新位置访问
Citrix 访问控制 不寻常的下载量 数据下载过多
Citrix Gateway 登录失败 验证失败过多
Citrix Gateway 授权失败 授权失败过多
Citrix Gateway 不寻常的登录访问 首次从新位置访问

有关详细信息,请参阅 风险指示器

已修复的问题

  • 对于某些用户,即使数据源已成功载入并启用了 StoreFront,Citrix Analytics 也无法从 Virtual Apps and Desktops 接收任何数据。[CAS-24134]

  • Citrix Analytics 无法接收来自 Citrix Content Collaboration 的下载事件。因此,不会触发以下风险指示器:

    • 匿名敏感分享下载

    • 分享链接下载量过多

    • 过度访问敏感文件

    • 文件下载过多

    [CAS-29207]

  • 对于新加入的用户,在 Citrix Gateway 风险指示器上应用的手动操作和基于策略的操作不会生效。[CAS-29029]

  • 某些用户无法在“数据源”页面上查看站点卡片。通过重新填充缓存可以解决此问题。[CAS-28781]

2020 年 1 月 9 日

新增功能

持续的风险评估

Citrix Workspace 用户面临的一些挑战是,远程访问会通过数据泄露、盗窃、故意破坏和服务中断等网络犯罪事件使敏感数据面临安全风险。组织内的员工也可能为这种损害做出贡献。

解决这些风险的一些方法是实施多重身份验证、强制短登录超时等。尽管这些风险评估方法可确保更高级别的安全性,但在初始验证后它们并不能提供完全的安全性。

为了增强安全性并确保更好的用户体验,Citrix Analytics 推出了持续风险评估解决方案。此解决方案可帮助您持续监视用户配置文件,并在检测到风险事件时采取各种措施。

有关详细信息,请参阅 持续风险评估

持续的风险评估

策略配置

Citrix Analytics 可帮助您更有效地管理策略配置。借助以下功能,您可以保护用户帐户免受恶意攻击:

  • 默认策略:Citrix Analytics 支持以下默认策略:

    • 成功利用凭据
    • 潜在的数据泄露
    • 来自可疑 IP 的异常访问
    • 来自异常位置的异常应用程序
    • 低风险用户-首次从新 IP 访问
    • 首次从设备访问

    您可以根据自己的要求修改默认策略。

    默认策略

  • 多个条件:一个策略最多可以包含四个条件。可以使用风险评分和/或风险指示器的组合来设置条件。

    添加和删除条件

  • 默认和自定义风险指示器创建策略 页面上的条件菜单现在基于默认和自定义风险指示器进行隔离。创建策略时,您可以在默认和自定义风险指示器选项卡之间切换,并设置风险指示器条件。

    添加和删除条件

  • 请求最终用户响应:Citrix Analytics 引入了 请求最终用户响应 操作。使用此操作,您可以向用户发送有关检测到的风险事件的电子邮件通知。一旦用户对事件做出回应,您就可以确定对其帐户采取的下一步操作。您还可以设置用户响应时间。如果未收到任何响应,Citrix Analytics 会将“无响应”视为状态。

    请求最终用户响应

  • 用中断性操作:当应用中断性操作(如 注销用户或锁定用户)时,您可以通知用户。系统会向用户发送通知,其中包含事件和应用操作的详细信息。此操作会暂时中断用户帐户的服务,以防止进一步滥用。要继续访问该帐户,用户必须联系管理员寻求帮助。

    应用破坏性操作

  • 强制和监视模式:您可以为策略设置实施模式或监视模式。

    策略模式

有关策略增强功能的更多信息,请参阅 策略和操作

锁定用户和解锁用户操作

Citrix Analytics 引入了以下网关操作:

  • 锁定用户
  • 解锁用户

您可以手动或在配置策略时应用这些操作。

有关详细信息,请参阅 什么是操作

然后执行以下操作

访问摘要控制板

Citrix Analytics 在 用户 控制板上引入了 访问摘要 面板。它汇总了用户尝试访问组织内资源的总次数。

有关详细信息,请参阅 访问摘要

访问摘要控制板

策略和操作控制板

Citrix Analytics 在 用户 控制板上引入了“策略和操作”面板。它显示应用于用户配置文件的前五个策略和操作。您可以根据所选时间段内的顶级策略和顶级操作对数据进行排序。

有关详细信息,请参阅 策略和操作

策略和操作控制板

面向策略的自助搜索

使用自助搜索可查看符合定义策略的用户事件。您还可以查看 Analytics 针对这些异常事件应用的操作。使用 facets 和搜索框搜索所需的事件。

要查看事件,请在搜索框中,从列表中选择 策略 ,选择时间段,然后单击 搜索

有关详细信息,请参阅面向策略的自助搜索

已弃用的功能

删除了基于策略的风险评分变更条

配置策略时,您不能再使用基于策略的 风险评分更改 条件。Citrix Analytics 不支持这种情况。

有关详细信息,请参阅 策略和操作

删除了多个基于策略的操

配置策略时,不能再应用多个操作。Citrix Analytics 仅支持对每个策略执行一项操作。

有关详细信息,请参阅 策略和操作

已修复的问题

  • 委派的只读管理员在访问“用户访问”和“应用程序访问”控制板时遇到错误。[CAS-16297]

2019 年 12 月 12 日

新增功能

Splunk 版本支持

Citrix Analytics 支持以下版本的 Splunk:

  • Splunk 8.0 64 位
  • Splunk 7.3 64 位

要获得 Splunk 集成的最大安全优势,请从 下载 页面升级到最新版本的 Splunk 附加应用程序。

有关受支持的 Splunk 版本的更多信息,请参阅 支持的版本

2019 年 12 月 4 日

新增功能

Citrix Gateway 的自定义风险指示器

使用自定义风险指示器,您现在可以定义触发 Citrix Gateway 事件的风险指示器的条件和频率。当用户事件满足条件时,Analytics 会触发风险指示器。有关如何创建自定义风险指示器的更多信息,请参阅 自定义风险指示器

网关自定义指示器

2019 年 11 月 22 日

新增功能

首次从新设备访问 - Citrix Virtual Apps and Desktops 风险指示器

Citrix Analytics 会根据来自新设备的访问权限检测访问威胁,并触发相应的风险指示器。

当用户在 90 天后 从设备登录时,将触发首次从新设备访 问风险指示器。触发此事件的原因是 Citrix Receiver 在过去 90 天内没有来自此新设备或陌生设备的登录记录。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 风险指示器

首次从新设备访问

首次从新 IP 访问 - Citrix Gateway 风险指示器

Citrix Analytics 会根据来自新 IP 地址的访问来检测访问威胁,并触发相应的风险指示器。

当用户在 90 天后 从 IP 地址登录时,将触发首次从新 IP 风险指示器访 问。触发此事件的原因是 Citrix Receiver 在过去 90 天内没有来自新 IP 地址或陌生 IP 地址的登录记录。

有关详细信息,请参阅 Citrix Gateway 风险指示器

首次从新 IP 访问

从可疑 IP 登录 - Citrix Gateway 风险指示器

Citrix Analytics 会根据可疑 IP 登录事件检测用户访问威胁,并触发 从可疑 IP 登录 风险指示器。

当用户尝试从可疑 IP 地址访问网络时,会触发此风险指示器。Analytics 根据以下任何一种情况将 IP 地址视为可疑地址:

  • 在外部 IP 威胁智能源上列出

  • 有来自异常位置的多个用户登录记录

  • 登录尝试失败过多,可能表明存在暴力攻击

有关详细信息,请参阅 Citrix Gateway 风险指示器

从可疑 IP 登录

自助搜索 Citrix Gateway 事件

使用自助搜索功能深入了解从 Citrix Gateway 数据源接收的用户事件。Citrix Analytics 接收 Citrix Gateway 用户的身份验证阶段、授权类型、VPN 会话代码、VPN 会话状态等事件。使用 facets 和搜索框搜索所需的事件并浏览基础数据。

要查看事件,请在搜索框中,从列表中选择 网关 ,选择时间段,然后单击 搜索

有关详细信息,请参阅 网关的自助搜索

自助搜索 Citrix Remote Browser Isolation 事件

使用自助搜索功能深入了解从 Citrix Remote Browser Isolation 服务收到的浏览事件。Citrix Analytics 为每个用户连接接收会话连接、会话启动、已发布的应用程序、已删除的应用程序等事件。使用搜索框搜索所需的事件并浏览基础数据。

要查看事件,请在搜索框中从列表中选择“Remote Browser Isolation”,选择时间段,然后单击“搜索”。

有关详细信息,请参阅自助搜索 Remote Browser Isolation

从监视名单中删除操作

您可以通过应用手动方法或应用基于策略的方法将用户从监视名单中删除。有关详细信息,请参阅 监视名单

改进了配置 StoreFront 部署时的载入信息

Citrix Analytics 现在提供以下消息来帮助您配置 StoreFront 部署:

  • 下载配置文件后,您会看到一条消息,指示下载的日期和时间以及用户名。刷新此页面时,“下载文件”按钮将 再次变为“下载文件”。

    StoreFront 下载文件

  • 如果您的 StoreFront 配置不完整,您会看到一条警告消息,指示您按照配置步骤操作并将 StoreFront 部署与 Analytics 连接起来。

    StoreFront 的配置不完整

有关如何配置 StoreFront 部署的详细信息,请参阅使用 StoreFront 在本地部署 Citrix Virtual Apps and Desktops 站点

已弃用的功能

风险指示器-从新设备访问删除

Citrix Analytics 不再触发“从新设备访问”风险指示器。但是,在用户控制板、用户时间轴和策略控制板上,您可以查看与此风险指示器相关的历史数据。

对于之前基于 从新设备访问创建的策略,您必须修改策略或使用新的风险指示器创建策略 首次从新设备进行访问

已修复的问题

  • 用于身份验证的自助搜索无法显示事件。[CAS-24959]

2019 年 11 月 8 日

已修复的问题

  • 对于 Citrix Content Collaboration 风险指示器,用户无法在风险时间表上应用操作。[CAS-24844]

  • 适用于 Chrome 的 Citrix Workspace 应用程序 1911 版之前无法将事件详细信息发送到 Citrix Analytics。[CAS-24938]

2019 年 10 月 21 日

新增功能

已修改分析代理的名称

现在,代理名称在用户界面上被称为 Analytics 策略代理 ,以表示其角色。载入本地 Citrix Virtual Apps and Desktops 数据源时,Citrix Analytics 会明确通知,只需要策略代理来配置站点的策略和操作。此代理在从数据源传输数据方面没有任何角色。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

保单代理

支持自定义报告的时间维度

现在,您可以通过选择 x 轴的时间维度,根据 时间 对事件进行分组。该报告根据所选时段的时间间隔显示接收的事件总数。有关如何创建报告的更多信息,请参阅 自定义报告

自定义报告时间维度

审核日志的增强

审核日志 页面的用户体验得到了增强。

  • 您可以查看上次更新 审核日志 页面的日期和时间详细信息,并刷新页面以查看最新的审核日志。

  • 您可以清除审核日志中应用的所有筛选器。

有关审核数据的更多信息,请参阅 审核日志

刷新审核日志

已修复的问题

  • 即使 Microsoft Graph 安全性已成功加入,Citrix Analytics 仍无法生成匿名 IP 地址风险指示器。[CAS-21329]

  • 版本 1910 之前的适用于 HTML5 的 Citrix Workspace 应用程序无法将事件详细信息发送到 Citrix Analytics。[CAS-24938]

2019 年 9 月 23 日

已修复的问题

  • 在数据源站点卡片上,“最新事件”字段显示的日期和时间信息不正确。[CAS-24087]

2019 年 8 月 30 日

新增功能

控制板之间默认时间段的更改

以下控制板上的默认时间段从“过去 1 小 时”更改为“最近 1 个月”:

  • 用户

  • 风险时间表

  • 用户访问权限

  • 应用程序访问

  • 分享链接

  • 警报历史

现在,控制板默认显示过去一个月的事件。使用这些控制板时,您将获得更具吸引力的体验。例如,当您打开“应用程序访问”控制板时,控制板会默认显示最近一个月的应用程序访问事件。

默认时间段选择

已修复的问题

  • 对于 Content Collaboration 风险指示器,无法成功应 用禁用基于用户 策略的操作。[CAS-17304]

  • Citrix Analytics 无法处理来自 Citrix Gateway 13.0 的事件。出现此问题的原因是 Citrix Gateway 13.0 无法在发送到 Citrix Analytics 的登录事件中提供用户名。[CAS-21339]

2019 年 8 月 20 日

新增功能

自助式搜索增强

  • 自助服务页面的用户体验得到了增强。现在,您可以在用户风险时间表和自助搜索页面之间来回无缝切换。

  • 现在,您可以按时间对事件进行排序。默认情况下,最新的事件首先出现在事件表中。单击“时间”列上的排序图标可以根据最新时间或最早时间对事件进行排序。

有关如何使用自助搜索的详细信息,请参阅 自助搜索

自定义报告增强

  • 为访问控制、Content Collaboration 以及 Apps and Desktops 数据源添加了新维度。您可以选择这些维度来创建报告。为数据源添加了以下维度:

    • 访问控制:用户代理、用户名

    • Content Collaboration:用户电子邮件、用户名、创建者、帐户 ID、OAuth 客户端 ID、事件 ID、文件夹 ID、文件夹名称、资源 ID、表单 ID、客户端 IP

    • 应用程序和桌面:用户名、IP 地址、设备 ID、越狱、会话启动类型、会话服务器名称、会话用户名、下载文件名、下载文件路径、打印打印机名称、打印作业详细信息文件名、SaaS 应用程序启动 URL、剪贴板操作、剪贴板详细信息结果

  • 自定义报告用户界面增强了对分页的支持和筛选器的 全部清除 选项。

有关如何使用这些维度创建自定义报表的更多信息,请参阅 自定义报表

风险指示器控制板

风险指示器 控制板在 用户 页面上介绍。它总结了用户的前五个默认和自定义风险指示器。查看更多链接将您重定向到 风险指示器概述 页面。此页面提供有关在选定时间段内生成的风险指示器的详细信息。

有关详细信息,请参阅 用户控制板

风险指示器控制板

风险用户控制板增强

Citrix Analytics 在 风险户控制板上引入了风险指示器和风险指示器更改选项卡。您可以根据这些选项卡查看风险最高的五个用户。控制板还引入了“风险指示器”列。它显示了用户的风险指示器的数量。

风险用户页面介绍了“发生次数”和“发生次数更改”。这些列汇总了自定义和默认风险指示器的总发生次数和发生次数的变化。

有关详细信息,请参阅用户控制板

有风险的用户

共享链接风险指示器-下载量过多

Citrix Analytics 会根据共享链接上的过多下载来检测访问威胁,并触发下 载过多 风险指示器。通过根据以前的行为识别下载量过多的共享链接,您可以监视共享链接是否存在潜在的攻击。此风险指示器可帮助您识别过多的文件下载事件。

有关详细信息,请参阅 下载量过多。

自助搜索身份验证数据

使用自助搜索功能深入了解身份验证事件。Citrix Analytics 从 Citrix Cloud 的身份和访问管理服务接收身份验证事件,例如用户登录、用户注销和客户端更新。搜索提供有关身份验证事件的详细报告,帮助您识别任何身份验证问题并进行故障排除。您还可以定义搜索查询以检索符合定义条件的事件。

要查看事件,请从列表中选择 身份验证 ,选择时间段,然后单击 搜索

有关详细信息,请参阅 自助搜索身份验证

2019 年 7 月 11 日

新增功能

自定义风险指示器

Citrix Analytics 生成的默认风险指示器基于计算机学习算法。Citrix Analytics 现在允许您创建自定义风险指示器。根据用户事件,您可以定义条件并创建自定义风险指示器。

满足定义的条件后,Citrix Analytics 会生成类似于默认风险指示器的自定义风险指示器,并将其显示在用户的风险时间表中。自定义风险指示器在用户的风险时间线上标注。

有关详细信息,请参阅自定义风险指标

风险时间表上的特权状态

每当用户的 Admin 或 Executive 权限状态发生更改时,用户风险时间表都会显示以下事件:

  • 已添加到执行组

  • 已从执行组中删除

  • 权限提升为管理员

  • 管理员权限已移

当为用户触发风险指示器时,您可以将其与指定的权限状态更改事件关联起来。如有必要,您可以对用户配置文件应用适当的操作。

有关详细信息,请参阅 用户风险时间表

过期共享链接操作

Citrix Analytics 使您能够对共享链接风险指示器应用操作。目前,支持的操作是 Expire 共享链接

有关详细信息,请参阅 Citrix 共享链接风险指示器。

自助式搜索增强

  • *在搜索查询中支持通配符 **:使用搜索查询中的星号 (*) 字符匹配任何字符零次或多次。例如,搜索查询用户名 =“John*”显示以 John 开头的所有用户名的事件。

  • 为面添加了“全部清除”选项:单击“全部清除”以一次移除所有选定面。

  • 查看事件列表中的隐藏列数据:从事件表中移除列后,可以在用户事件列表中查看对应的数据。展开用户的事件行并查看数据。

有关详细信息,请参阅 自助搜索

站点卡上的数据错误状态

当 Citrix Analytics 在过去一小时内 未从数据源接收 事件时,站点卡片将以红色显示“未收到数据”标签。它还显示收到的事件数量,并链接到相应的自助搜索页面。此功能可帮助您在自助搜索页面上查看相应的事件,并检查是否存在任何数据传输问题。

注意

目前,自助搜索仅适用于 Access、Content Collaboration 以及 Apps and Desktops 数据源。

有关详细信息,请参阅 在 Citrix 数据源上启用分析

已修复的问题

  • 对于访问控制数据源,站点卡片上的事件数与自助搜索结果不匹配。[CAS-18286]

2019 年 6 月 19 日

已修复的问题

  • 每次发现 Active Directory 数据源时,“审核日志”页面都会显示数据传输的打开或关闭状态。[CAS-17575]

  • 用户 控制板上的时间段菜单无法准确加载。它显示一条超时错误消息。[CAS-19467]

  • 从 Splunk 连接到租户时,用户会在 Citrix Analytics 上收到错误消息。有时,新数据源的载入会失败。[CAS-19429]

2019 年 6 月 17 日

新增功能

StoreFront 配置

如果您的组织使用本地 StoreFront,则现在可以将 StoreFront 配置为连接到 Citrix Analytics。使用从 Citrix Analytics 导入的配置文件执行配置。配置成功后,Citrix Workspace 应用程序会将用户事件发送到 Citrix Analytics,以生成有关用户行为的可操作见解。这些见解可帮助您检测任何异常的用户行为,并主动处理组织中的安全威胁。有关详细信息,请参阅使用 StoreFront 登录 Citrix Virtual Apps and Desktops 本地站点

2019 年 5 月 30 日

新增功能

登录失败过多

Citrix Analytics 会根据过多的登录事件检测访问威胁,并触发登录失败过多风险指示器。当用户遇到多次访问 Content Collaboration 失败的登录尝试时触发此风险指示器。通过根据以前的行为识别登录失败过多的用户,管理员可以监视用户帐户的暴力攻击。

注意

过多的登录失败现在被重命名为身份验证失败过多

已修复的问题

  • 对于 Citrix Workspace 应用程序传输的某些用户事件,数据源被错误地标识为 Endpoint Management,而不是 Citrix Virtual Apps and Desktops。

    [CAS-17323]

  • 过去 1 个月 的时间段内, 用户 控制板需要很长时间才能加载。当用户数量很多时,会出现此问题。在某些情况下,您甚至可能会遇到 601 个错误。

    [CAS-16300]

  • 尽管有些用户在 Citrix Cloud 上订阅了 Citrix Content Collaboration 服务,但不会将 Citrix 内容协作作为数据源进行发现。

    [CAS-16299]

2019 年 5 月 9 日

新增功能

创建自定义报告

现在,您可以根据自己的操作要求创建自定义报告。Citrix Analytics 根据所选数据源提供维度和指示器列表。选择所需的参数和可视化类型,例如条形图、事件图、折线图或表格来创建报表。创建报告可帮助您以图形方式组织和分析数据。

要创建自定义报告,请从“安全”选项卡中单击“ 告”>“创建报告”。要查看以前创建的报告,请在“ 全”选项卡中单击“报告”。有关详细信息,请参阅 自定义报告

特权用户监视

Citrix Analytics 使您能够密切监视组织中特权用户的行为异常情况。由于特权用户非常容易受到安全威胁的攻击,因此区分他们的日常事件和恶意事件变得具有挑战性。因此,长期以来,特权用户的恶意事件一直未被发现。此功能使您能够主动监视此类事件,并对相应的用户帐户采取适当的操作。特权用户在“用户”控制板上 一个图标表示。

Citrix Analytics 支持对以下类型的特权用户进行监视:

  • 管理员-由相应 Citrix 服务分 配管理员权限的用户。目前,Citrix Analytics 支持对 Content Collaboration 服务中具有管理员权限的用户进行特权用户监视。

  • 管理人员 -在 Citrix Analytics 上,您可以将 AD 组标记为管理人员组。将 AD 组标记为执行组会使该组中的所有用户成为特权用户。如果不需要进一步支持 AD 组中用户的行为异常,则可以将该组作为执行组删除。

有关详细信息,请参阅 特权用户

每周电子邮件摘

Citrix Analytics 每周向管理员发送一封电子邮件,总结其组织 IT 环境中的安全风险暴露。电子邮件通知每周二发送给管理员,并突出显示上周发生的安全事件。此电子邮件可确保管理员在不登录 Citrix Analytics 的情况下获悉安全风险暴露。有关详细信息,请参阅每周电子邮件摘要

2019 年 4 月 26 日

新增功能

委派管理员

Citrix Analytics 现在支持委派管理员角色。通过此功能,您可以邀请其他管理员加入您的 Citrix Cloud 帐户,以便为您的组织管理 Citrix Analytics。如果您是具有完全访问权限的 Citrix Analytics 管理员,则可以将其他管理员添加到 Citrix Cloud 帐户。这些额外的管理员称为委派管理员。您当前可以向委派管理员分配只读访问权限。有关详细信息,请参阅 委派管理员

已修复的问题

很少有使用数据流的数据源的风险指示器不会生成警报。如果触发了以下任一风险指示器,则不会收到任何警报通知,也不会自动应用基于策略的操作:

  • Citrix Endpoint Management 风险指示器 - 非托管的设备、已越狱或获得 root 权限的设备以及具有黑名单应用程序的设备。

  • Citrix Virtual Apps and Desktops 风险指示器 - 从操作系统 (OS) 不受支持的设备进行访问。

  • Citrix Content Collaboration 风险指示器 -对敏感文件的过度访问。

[CAS-14590]

2019 年 2 月 19 日

新增功能

Splunk 集成

Citrix Analytics 与 Splunk 集成,以增强您的安全事件监视和故障排除体验。此集成利用 Citrix Analytics for Security 的风险分析功能和智能(如风险指示器、风险评分和用户配置文件),增强了现有的数据源。Citrix Analytics 将风险分析信息导出到频道。Splunk 从这个频道中提取了同样的内容。

Splunk 集成包括在 Citrix Analytics 上进行配置、安装适用于 Splunk 的 Citrix Analytics 加载项应用程序以及应用程序的配置。请确保为至少一个数据源启用数据处理。它可以帮助 Citrix Analytics 开始 Splunk 集成过程。

有关详细信息,请参阅 Splunk 集成

动态会话录制

Citrix Analytics 引入了在用户当前 Virtual Apps and Desktops 会话上动态触发会话录制的功能。它有助于捕获风险分析所需的证据,并采取适当的事件响应措施,例如断开会话连接和阻止用户。

有关详细信息,请参阅 策略和操作

共享链接控制板和风险指示器

Citrix Analytics 基于从 Citrix Content Collaboration 收集的数据引入了共享链接的风险可见性。它可以通过共享链接触发的风险指示器帮助您了解共享链接的风险敞口。

有关详细信息,请参阅 共享链接控制板。

目前,针对共享链接触发匿名敏感共享下载风险指示器。当 Content Collaboration 检测到此危险行为时,Citrix Analytics 会收到事件。您将在“警报”面板中收到通知,并且匿名敏感共享下载风险指示器将添加到共享链接的风险时间表中。

有关详细信息,请参阅 共享链接风险时间表 和 Citrix Share Link 风险指示器。

Microsoft Active Directory 集成

现在,您可以将 Microsoft Active Directory 与 Citrix Analytics 集成。这种集成通过职称、组织、办公地点、电子邮件和联系方式等其他信息增强了风险用户的环境。您可以在 Citrix Analytics 的用户配置文件页面上更好地了解用户。

有关详细信息,请参阅 将分析与 Microsoft Active Directory集成。

事件目录用户

2019 年 1 月 4 日

新增功能

为现有风险指示器添加 SOURCE 列

事件详细信息部分中引入了以下风险指示器的来源列:

  • 文件上载过多

  • 文件下载过多

  • 过多的文件共享

  • 删除过多的文件或文件夹

有关详细信息,请参阅 Citrix Content Collaboration 风险指示器。

高级用户资料

户配置文件上的“用户信息”视图已得到增强。 趋势视图 链接已在应用 程序设备数据使用情况 部分的右上角引入。“地 图视图”链接已在“位置”部分的右上角引入。这些链接提供了有关用户在特定时间段内历史行为的图形表示。您可以从用户的风险时间表或从“数据源”页面导航到“用户信息”。

注意

身份验证数据当前在用户信息配置文件中不可用。

有关详细信息,请参阅用户风险时间表和配置文件

高级用户资料

Microsoft Graph 安全性风险指示器

已加入的 Microsoft Graph 安全性可以从以下安全提供商之一接收风险指示器详细信息,然后将其转发给 Citrix Analytics:

  • Azure AD 身份保护

  • Microsoft Defender for Endpoint

有关详细信息,请参阅 Microsoft Graph 安全性风险指示器

进入自助搜索页面的方法

现在,您可以使用以下选项访问自助搜索页面:

  • 顶栏:单击顶部栏上的 搜索 可直接访问搜索页面。

    顶栏搜索

  • 用户资料页面上的风险时间表:单击 事件搜 索可访问搜索页面并查看与特定用户的风险指示器和数据源对应的事件。有关详细信息,请参阅 自助搜索

    风险时间表

自助搜索 Content Collaboration

使用自助搜索来深入了解与 Content Collaboration 数据源关联的事件。要查看事件,请从列表中选择 Content Collaboration,选择时间段,然后单击搜索。 有关详细信息,请参阅 Content Collaboration 的自助搜索。

应用程序和桌面的自助式搜索

使用自助式搜索深入了解与应用程序和桌面数据源关联的事件。要查看事件,请从列表中选择 应用程序和桌面 ,选择时间段,然后单击 搜索。有关详细信息,请参阅应用程序和桌面的自助式搜索

将自助搜索事件导出到 CSV 文件

现在,您可以将自助搜索事件导出为 CSV 文件,然后下载该文件以备将来使用。有关详细信息,请参阅 自助搜索

改进了 Citrix Virtual Apps and Desktops 的载入能力

Citrix Virtual Apps and Desktops 数据源的载入流程现已得到改进,以提供更好的用户体验。现场卡和登机步骤已被修改。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

2018 年 11 月 29 日

新增功能

Microsoft Security Graph 数据源

Microsoft Graph 安全性是一个外部数据源,可聚合来自多个安全提供商的数据。它还提供对用户清单数据的访问。

Citrix Analytics 目前支持与此数据源关联的 Azure AD 身份保护Microsoft Defender for Endpoint

要加载此数据源,您必须从 Microsoft 身份平台获取权限。有关详细信息,请参阅 Microsoft Graph 安全性

MSG 载入

在数据源的站点卡片上查看事件详细信息和发现的用户

数据源的站点卡片现在显示事件详细信息和用户数量。例如,您可以在站点卡片上查看事件详细信息和访问控制的用户。有关详细信息,请参阅对 数据源启用分析

访问控制镜像

2018 年 11 月 16 日

新增功能

自助搜索访问数据

您可以使用自助搜索来深入了解企业中用户的访问详细信息。Citrix Analytics 从 Citrix 访问控制服务中收集用户的访问详细信息。使用 Facets 和搜索查询缩小搜索结果的范围。

要使用自助搜索页面,请在“安全性”选项卡中单击“事件搜索”。

有关详细信息,请参阅 自助搜索访问权限

搜索图片

风险指示器反馈

使用 Citrix Analytics 上的风险指示器反馈功能,您可以提供有关风险指示器的反馈。您的反馈有助于确认所报告的安全事件是否准确。

目前,Content Collaboration 数据源触发的 异常登录访问 风险指示器支持此功能。如果触发的此风险指示器不正确,您可以将其报告为误报并提供反馈。您还可以编辑之前提交的反馈。Citrix Analytics 可捕获您的反馈并验证预测信息,以优化异常行为检测。

假阳性图片

已修复的问题

  • 如果使用 Internet Explorer 11.0 访问 Citrix Analytics,则无法编辑和保存策略。
新增功能

在本文中