用户控制板
概述
用户控制板是用户行为分析和威胁防御的起点。
此控制板可让您了解整个组织的用户行为模式。使用这些数据,您可以主动监视、检测和举报超出常态的行为,例如网络钓鱼或勒索软件攻击。
要查看用户控制面板,请转到安全 > 用户。“用户”控制板包含以下部分:
-
用户活跃状态:总数、活跃和非活动用户的分布。
-
用户风险分布:根据选定时间段内计算得出的最高风险分数,活跃、不活跃、总用户的分布以及高、中、低风险用户的分布。
-
热门用户:顶级用户按其风险评分排序,并按所有用户、特权用户和关注列表用户细分。
-
风险类别:显示 Citrix Analytics 支持的风险类别。具有相似行为模式的风险指标分为几类。
-
风险指标和行动:在选定时间内绘制的风险指标和操作在组织中的所有用户的分布情况。
-
访问摘要:汇总用户尝试访问组织内资源的总次数。
-
策略和操作:显示应用于用户配置文件的前五个策略和操作。
-
风险指示器:显示组织中排名前五的风险指示器。
用户活动状态
组织中使用已启用 Analytics 的数据源的用户总数。他们的帐户可能有也可能没有关联的风险评分。此图块显示活跃用户的数量。活跃用户是指在所选时间段内检测到事件的用户。您可以单击“用户活动状态”下拉菜单来查看总用户分为活跃用户和非活动用户的分布情况。
- 用户总数:选定时间范围内的用户总数。
- 活跃用户:在所选时间范围内检测到事件的用户。
- 非活跃用户:在所选时间范围内未检测到任何事件的用户。
由于预计所有用户都不会面临风险,因此用户控制面板上的用户总数可能超过风险用户的数量。
注意
在“用户”页面上,无论选定的时间段如何,都会显示最近 30 天的用户总数。
Facets
根据以下类别筛选用户事件:
-
风险评分:基于高风险、中等风险、低风险和零风险分数的用户事件。
-
用户: 基于管理员权限、执行权限和监视列表用户的用户事件。
-
发现的数据源:基于您已载入的数据源的用户事件。
搜索框
使用搜索框搜索用户的事件。您可以在查询中使用运算符来缩小搜索范围。有关可在查询中使用的有效运算符的信息,请参阅 自助搜索。
最新分数
风险评分决定了用户在特定时间段内对组织构成的风险级别。风险评分值是动态的,根据用户行为分析的不同而有所不同。根据最新的风险评分,用户可能属于以下类别之一:高风险用户、中等风险用户、低风险用户和风险评分为零的用户。
用户
Analytics 发现的所有用户的列表。选择用户名以查看用户的用户信息和风险时间表。用户可能触发或可能未触发任何风险指示器。如果没有与此用户关联的危险事件,您将看到以下消息。
如果存在与用户相关的风险事件,您将在风险时间表上看到风险指示器。选择用户以查看其 风险时间表。
可以将用户标记为 privileged
并添加到监视名单中。
已发现的数据源
与用户关联的数据源。当用户主动使用数据源时,Analytics 会从该数据源接收用户事件。要接收用户事件,必须在“数据源”页面上提供的数据源站点卡片上打开 数据 处理。
触发的指标
表示在选定持续时间内用户触发的风险指示器数量。单击“触发的指标”图块以查看风险指标的详细信息。风险指标表提供以下详细信息:
- 名称:风险指示器名称。
- 严重性:与事件相关的风险的严重程度。风险可以是高、中或低。
- 数据源:风险指示器模板所适用的数据源。
- 类型:风险指示器的类型。风险指示器可以是 默认 的或 自定义的。
- 发生次数:为用户触发风险指示器的次数。当您选择时间段时,风险指示器的出现次数会根据所选时间而变化。
- 上次出现:显示上次出现的日期和时间。
已应用的操作
表示在选定持续时间内对用户应用的操作数量。这包括管理员手动应用的操作和策略驱动的操作。单击“已应用的操作”图块以查看操作的详细信息。此部分不显示您在用户配置文件上手动应用的操作。
操作 表提供以下信息:
- 操作:根据策略应用的操作的名称。
- 用户:已应用操作的用户数量。
- 发生次数:操作的发生次数。
- 日期和时间:应用操作的日期和时间。
已处理的事件
从您的连接数据源收到并由 Analytics 处理的用户事件总数。
用户风险分布
您可以根据所选时间段内计算得出的最高风险分数来查看处于高、中和低配置的用户数量。在总数下方,条形图显示了低、中和高风险用户分布随时间推移而发生的变化。
风险级别分为三种颜色代码。
- 红色 - 代表高风险用户。
- 橙色 - 代表中等风险用户。
- 灰色 - 代表低风险用户。
您可以根据特定时间段将鼠标悬停在颜色栏上时查看风险用户的数量(高、中和低)。您可以使用数据间隔信息查看上次更新的详细信息(日期和时间)。单击任意颜色栏可查看该时间段内的风险用户。单击“刷新”选项以获取更新的数据。
有风险的用户
风险用户是指与风险事件关联且触发了至少一个风险指标的用户。用户在特定时间段内对网络构成的风险级别取决于与用户相关的风险评分。风险评分值是动态的,基于用户行为分析。
随着时间的推移,每个用户的风险都会根据用户活动定期更新。因此,用户在某一时间点可能处于中等或高风险,但随后会降至较低的风险级别。根据风险评分,有风险的用户可能属于以下类别之一:
在风险用户页面上,您可以使用分面根据与所选时间段相关的风险级别进行筛选,也可以使用搜索栏来查询一个或多个特定用户。
单击用户的电子邮件 ID 以查看该特定选定用户的风险时间表页面。此页面根据所选时间段显示风险指示器以及最新和最高风险评分的详细信息。
高风险
风险评分介于 90 到 100 之间的用户。这些用户表现出与中度至重度风险因素一致的多种行为,可能对组织构成直接威胁。
在用户控制面板上,您可以根据所选时间段内计算得出的最高风险分数查看高风险用户的数量。
单击“高风险”选项以查看“风险用户”页面。该页面显示有关高风险用户的详细信息。
中等风险
风险评分介于 70 到 89 之间的用户。这些用户通常具有一项或多项看似可疑和/或异常的活动,可能值得密切监视。
单击“中等风险”选项以查看“风险用户”页面。该页面显示有关中等风险用户的详细信息。
低风险
风险评分介于 1 到 69 之间的用户。这些用户至少有一个风险指示器反映了一些异常或意想不到的行为,但不足以进行更严重的风险分类。
单击“低风险”选项以查看“风险用户”页面。该页面显示有关低风险用户的详细信息。
热门用户
您可以查看所选时间段内按最高风险评分排序的各种用户类别中的热门用户。下面的“热门用户”表根据在选定时间段内计算的风险分数而不是最新的风险分数,显示了风险最高的五名用户(所有用户、特权用户和监视列表用户)。
注意
在早期版本中,无论选择的时间段如何,“热门用户”表始终显示最新的风险评分。
监视列表用户
密切监视潜在威胁的用户列表。例如,您可以通过将这些用户添加到监视列表来监视组织内不是全职员工的用户。您还可以监视频繁触发特定风险指示器的用户。您可以手动将用户添加到监视列表,也可以定义将用户添加到监视列表的 策略 。
如果您已将用户添加到监视列表,则可以根据最高分查看监视列表中排名前五的用户。
单击“所有用户”窗格上的“查看更多”链接以查看“用户”页面。该页面显示监视列表中所有用户的列表。
注意
在“用户”控制面板和“用户”页面上,无论选定的时间段如何,监视列表中的用户数都会显示最近 13 个月的用户数。选择时间段时,风险指示器的出现情况会根据所选时间而变化。
了解更多:关 注列表
风险类别
风险类别 圆环图汇总了所选时间段内按风险类别划分的指标出现次数。将鼠标悬停在每个图表分段上方时会显示唯一的用户数量,这反过来又链接到相应的风险指标类别概述页面。默认支持风险分类和自定义风险指标。
风险类别控制面板的目的是使Citrix Virtual Apps and Desktops和Citrix DaaS管理员能够管理用户风险,简化与安全同行的讨论,而无需具备专家级别的安全知识。它允许安全实施在组织级别生效,而不仅限于安全管理员。
用例
假设您是 Citrix Virtual Apps and Desktops 管理员,并且管理组织中员工的应用程序访问权限。如果转到“风险类别”>“受感染的用户”>“身份验证失败过多-Citrix Gateway 风险指示器”部分,则可以评估您授予访问权限的员工是否受到威胁。如果您进一步浏览,则可以更准确地了解此风险指示器,例如失败原因、登录位置、时间轴详细信息和用户摘要。如果您发现被授予访问权限的用户与被入侵的用户之间存在任何差异,则可以将此通知安全管理员。这种及时向安全管理员发出的通知有助于在组织层面强制实施安全性。
如何分析“风险类别”控制面板
当您在“风险类别”控制面板上选择“查看更多”时,您将被重定向到汇总风险类别详细信息的页面。此页面包含以下详细信息:
-
风险类别报告:表示在选定时间段内每个类别的总风险指示器出现次数。
-
时间轴详细信息:提供选定时间段内每个风险类别的总风险指示器出现次数的图形表示。如果您导航到本部分的底部,则可以根据风险类别进行排序,以获得有关风险指示器的更准确的见解。
-
风险类别摘要:本部分提供与每个类别相关的风险指示器的影响、发生次数和严重程度等详细信息。选择任何风险类别以查看与该类别关联的风险指示器的详细信息。例如,当您选择“受感染的用户”类别时,您将被重定向到“受感染的用户”页面。
受 感染的用户 页面显示以下详细信息:
-
风险指示器报告:显示在选定时间段内属于“受感染用户”类别的风险指示器。它还显示在选定时间段内触发的风险指示器的总出现次数。
-
时间轴详细信息:提供在选定时间段内出现的风险指示器的图形表示。
-
风险指示器摘要:显示在“受感染用户”类别下生成的风险指示器的摘要。此部分还显示严重性、数据源、风险指示器类型、发生次数和最后一次出现的情况。
当您选择风险指标时,您将被重定向到汇总该指标详细信息的页面。例如,如果选择 首次从新设备访问 风险指示器,则会重定向到汇总此指示器详细信息的页面。摘要包括有关此事件发生的时间表详细信息以及列出触发此风险指标的用户、风险指标出现次数和事件发生时间的用户摘要。选择用户时,系统会将您重定向到该用户的风险时间表。
注意
Citrix Analytics 将默认风险指示器分组在适当的风险类别下。对于自定义风险指示器,您必须在创建指示器页面上选择风险类别。有关详细信息,请参阅自定义风险指标。
风险类别的类型
数据泄露
此类别对恶意软件触发的风险指标或员工在组织中的设备进行未经授权的数据传输或数据盗窃行为触发的风险指标进行分组。您可以深入了解在指定时间段内发生的所有数据泄露活动,并通过主动对用户配置文件应用操作来降低与此类别相关的风险。
数据泄露风险类别对以下风险指标进行了分组:
数据源 | 用户风险指示器 |
---|---|
Citrix Virtual Apps and Desktops 和 Citrix DaaS | 潜在的数据泄露 |
内幕威胁
此类别对组织内员工触发的风险指示器进行分组。由于员工对公司特定应用程序的访问权限更高,因此组织面临安全风险的可能性更高。危险活动可能是由恶意内部人员故意造成的,也可能是人为错误造成的。在这两种情况下,对组织的安全影响都是破坏性的。此类别提供了在指定时间段内发生的所有内部威胁活动的见解。借助这些见解,您可以通过主动对用户个人资料应用操作来降低与此类别相关的风险。
内幕威胁风险类别将以下风险指示器组合在一起:
数据源 | 用户风险指示器 |
---|---|
Citrix Secure Private Access | 尝试访问列入黑名单的 URL |
Citrix Secure Private Access | 数据下载过多 |
Citrix Secure Private Access | 网站访问风险 |
Citrix Secure Private Access | 不寻常的上载量 |
受影响的用户
此类别对风险指标进行分组,在这些指标中,用户表现出异常的行为模式,例如可疑登录和登录失败。或者,异常模式可能是由于用户帐户遭到入侵造成的。您可以深入了解在指定时间段内发生的所有受感染用户事件,并通过主动对用户个人资料应用操作来降低与此类别相关的风险。
受感染用户的风险类别将以下风险指标组合在一起:
数据源 | 用户风险指示器 |
---|---|
Citrix Gateway | 端点分析扫描失败 |
Citrix Gateway | 验证失败过多 |
Citrix Gateway | 不可能旅行 |
Citrix Gateway | 从可疑 IP 登录 |
Citrix Gateway | 异常的身份验证 |
Citrix Virtual Apps and Desktops 和 Citrix DaaS | 可疑登录 |
Citrix Virtual Apps and Desktops 和 Citrix DaaS | 不可能旅行 |
Microsoft Graph 安全性 | Azure AD 身份保护风险指示器 |
Microsoft Graph 安全性 | Microsoft Defender 的端点风险指示器 |
受损的端点
此类别将当设备表现出可能表明存在危险的不安全行为时触发的风险指示器进行分组。
受损端点风险类别将以下风险指示器组合在一起:
数据源 | 用户风险指示器 |
---|---|
Citrix Endpoint Management | 检测到非托管设备 |
Citrix Endpoint Management | 检测到越狱或获得 Root 权限的设备 |
Citrix Endpoint Management | 检测到已列入黑名单的应用 |
风险指示器和行动
您可以查看所选时间段内触发的风险指示器和适用于您的用户的操作。新的风险指标和操作条形图提供了一段时间内的指标、操作和事件的详细计数,以及从所选时间段得出的总体时间范围和柱间隔。
单击指标或操作的条形段可分别向下深入查看每个指标或操作的计数。
在指标向下钻取中,单击单个指标栏将进入选定时间段内的相应风险指示器页面。
访问摘要
此控制面板汇总了选定时间段内的所有网关访问事件。它显示了通过 Citrix Gateway 的总访问次数、成功访问次数和失败访问次数。
单击图表上的指针可查看“网关的自助搜索”页。对于成功的登录方案,网关访问事件按页面上的状态代码进行排序。
策略和操作
显示在选定时间段内应用于用户配置文件的前五个策略和操作。单击 策略和操作 窗格上的 查看更多 链接以获取有关策略和操作的详细信息。
热门政策
前五个已配置的策略是根据出现次数确定的。当您在控制面板的“顶级政策”部分并选择“查看更多”时,您将被重定向到“所有策略”页面。
所有政策
本页提供有关所有已配置策略的详细信息。当您选择任何策略时,您将被重定向到 自助搜索策 略页面。在左窗格中,您可以根据应用的操作进行筛选。
选择用户名后,系统会将您重定向到风险时间表。基于策略的操作将添加到用户的风险时间表中。选择操作时,其详细信息将显示在风险时间轴的右窗格中。
热门动作
与应用于用户配置文件的策略相关的前五项操作。此部分不显示您在用户配置文件上手动应用的操作。顶级操作取决于发生次数。
单击查 看更多 以查看“操作”页面上的所有基于策略的 操作 。
操作
该页面提供了在所选时间段内应用于您的用户的所有基于策略的操作的列表。您可以查看以下信息:
-
根据策略应用的操作的名称
-
已应用操作的用户数
-
操作发生的次数
-
与操作关联的策略数
-
应用操作的日期和时间
单击某个操作以查看所有关联的策略。这些策略根据发生次数进行排序。例如,在“操作”页面上单击“请求最终用户响应”。“所有策略”页面显示与“请求最终用户响应”操作关联的所有策略。
在 所有策 略页面上,单击策略以查看已应用该操作的用户事件。
风险指示器
总结了选定时间段内的前五个风险指示器。风险指示器可以是 默认 的或 自定义的。对于默认风险指示器,Citrix Analytics 会从已发现的数据源中收集数据,并启用了数据处理功能。
对于自定义风险指示器,Citrix Analytics 会根据生成的风险事件从以下数据源收集数据:
- Citrix Gateway
- Citrix Secure Private Access
- Citrix Virtual Apps and Desktops
- Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)
在“风险指示器”窗格中,您可以查看前五个风险指示器,并根据总发生次数或严重程度对它们进行排序。
单击 风险指 示器窗格上的查 看更多 以查看 风险指示器概述 页面。