政策和行动
您可以在Citrix Analytics上创建策略,以帮助您在发生异常或可疑活动时对用户帐户执行操作。策略允许您自动化应用操作的过程,如禁用用户,将用户添加到监视列表。当您启用策略时,在异常事件发生且策略条件满足后,将立即应用相应的操作。您还可以对具有异常活动的用户帐户手动应用操作。
什么是政策?
策略是应用操作时必须满足的一组条件。策略包含一个或多个条件和一个操作。您可以创建具有多个条件和一个操作的策略,可应用于用户的帐户。
风险评分是一个全局条件。可以将全局条件应用于特定数据源的特定用户。您可以监视显示任何异常活动的用户帐户。其他条件是特定于数据源及其风险指标的。这些条件包含风险评分、违约风险指标和自定义风险指标的组合。创建策略时最多可以添加4个条件。
例如,如果您的组织使用敏感数据,您可能希望限制内部用户共享或访问的数据量。但是,如果您有一个大型组织,让一个管理员管理和监视许多用户是不可行的。您可以创建一个策略,其中任何过度分享敏感数据的人都可以被添加到监视列表或立即禁用其帐户。
默认策略
上预先定义并启用了默认策略政策仪表板。它们是基于预定义的条件创建的,并为每个默认策略分配相应的操作。您可以使用默认策略,也可以根据需要修改它。
Citrix Analytics支持以下默认策略:
- 成功利用凭据
- 潜在的数据泄露
- 来自可疑IP的异常访问
- 从不寻常的位置访问不寻常的应用程序
- 低风险用户-首次从新IP访问
- 第一次从设备访问
有关上述默认策略的预设条件和操作的信息,请参见持续风险评估.
有关地理围栏用例的预定义策略的信息,请参见预配置策略.
如何添加或删除条件?
如需添加更多条件,请选择添加条件在如果满足以下条件部份创建政策页面。要删除条件,请选择-显示在条件旁边的图标。
默认和自定义风险指示器
条件菜单是基于隔离的违约风险指标而且自定义风险指标的标签创建政策页面。使用这些选项卡,您可以很容易地确定在为策略配置选择条件时要选择的风险指示器类型。
什么是行动?
动作是对可疑事件的响应,可以防止将来发生异常事件。您可以对显示不寻常或可疑行为的用户帐户应用操作。您可以配置策略以自动对用户帐户应用操作,也可以从用户的风险时间轴手动应用特定操作。
您可以查看每个Citrix数据源的全局操作或操作。您还可以在任何时候禁用用户以前应用的操作。
请注意
无论触发风险指示器的数据源是什么,都可以应用与其他数据源相关的操作。
下表描述了您可以采取的操作。
| 动作名称 | 描述 | 数据来源适用于 |
|---|---|---|
| 全球行动 | ||
| 添加到监视列表 | 当您希望监视用户以了解未来的潜在威胁时,可以将他们添加到监视列表中。 | 所有数据源 |
| 的监视列表中的用户窗格显示您希望根据其帐户上的异常活动监视潜在威胁的所有用户。根据组织的策略,可以使用“添加到监视列表”操作将用户添加到监视列表。 | ||
| 要将用户添加到监视列表,请从行动菜单中,选择添加到监视列表.点击应用执行行动。 | ||
| 通知管理员(年代) | 当用户的某个风险指标被触发时,您可以手动通知管理员,也可以创建策略自动通知。此操作仅向组织中的Citrix Cloud管理员发送电子邮件通知。还可以选择要通知的Citrix Cloud管理员。请注意:默认情况下,Citrix Cloud帐户的邮件通知功能是禁用的。要接收电子邮件通知,您需要在您的云帐户上启用它。有关更多信息,请参见接收电子邮件通知. | |
| 请求用户响应 | 当用户帐户上有任何不寻常或可疑的活动时,您可以通知用户确认用户是否识别出该活动。根据活动,您可以确定对用户帐户采取的下一步行动。只有在配置策略时,才可以应用此动作。不能手动应用此操作。请注意:要使用此操作,您必须将Active Directory连接到Citrix Cloud,并确保用户的电子邮件在Active Directory中可用。 | 所有数据源 |
| Citrix网关操作 | ||
| 注销用户 | 当应用该操作时,它将注销当前活动的用户会话。它不会阻塞任何未来的用户会话。 | 思杰网关内部部署和思杰应用程序交付管理 |
| 锁定用户 | 当用户的帐户由于异常行为被锁定时,在网关管理员解锁该帐户之前,该用户不能通过Citrix Gateway访问任何资源。 | 思杰网关本地 |
| 解锁用户 | 当用户的帐户意外锁定,但未检测到异常行为时,您可以应用此操作将其解锁并恢复对帐户的访问。 | 思杰网关本地 |
| 思杰内容协作操作 | ||
| 禁用用户 | Citrix Analytics允许您通过禁用其内容协作帐户来限制或撤销其访问。 | 思杰内容协作 |
| 在他们的帐户被禁用后,用户将看到一个通知。他们的帐户登录页面上的通知要求他们联系他们的内容协作管理员以获得更多信息。 | ||
| 过期所有链接 | 当用户触发过多的文件共享指示器时,Citrix Analytics允许您使与该指示器关联的所有链接过期。 | 思杰内容协作 |
| 用户过度共享文件时,会触发“文件共享过度风险”指标,共享链路过期。当共享链接过期时,该链接将失效,与该链接共享的用户将无法访问该链接。 | ||
| 将链接更改为仅视图共享 | 当用户过度共享文件时,可以使用此操作。此操作可防止其他用户下载、复制或打印与共享链接关联的文件。有关更多信息,请参见只限查看共享. | |
| Citrix虚拟应用程序和桌面操作 | ||
| 注销用户 | 当应用该操作时,它将注销当前活动的用户会话。它不会阻塞任何未来的用户会话。 | 本地虚拟应用程序和桌面和思杰虚拟应用程序和桌面服务 |
| 开始会话记录 | 如果用户的虚拟桌面帐户出现异常事件,管理员可以开始记录用户未来登录会话的活动。如果用户使用的是7.18或更高版本的虚拟应用程序和桌面,管理员可以动态地开始和停止记录用户的当前登录会话。 | 本地虚拟应用程序和桌面 |
笔记
如果你申请禁用用户对于内容协作用户,在内容协作管理员看到通知之前,用户的帐户不会被禁用。在此期间,用户可以使用其“内容协作”帐户,而思杰分析将继续处理数据。内容协作管理员禁用用户帐户后,用户必须联系其内容协作管理员以重新激活其帐户。Citrix Analytics管理员不能启用已禁用的内容协作帐户。
对于本地虚拟应用程序和桌面,您必须从Citrix Analytics下载一个代理,并将其安装在交付控制器上,以执行注销用户和开始会话记录操作。有关代理的详细信息,请参见启用虚拟应用程序和桌面网站分析.
只限查看共享
您可以通过以下两种方式将共享链接设置为仅在视图下共享:
在用户的风险时间轴上,选择文件共享风险指标过高.点击操作步骤>将链接更改为仅视图共享行动。该操作应用于触发风险指示器的用户帐户。
请注意
的将链接更改为仅视图共享行动只与文件共享过多风险指标。对于任何其他风险指标,如果应用此操作,则不会生效。
![只应用操作视图共享]()
在共享链接仪表板,单击共享URL。将重定向到共享链接风险时间表.点击动作>将链接更改为仅视图共享.该操作应用于特定的共享链接。
![仅在共享链接上应用操作视图共享]()
先决条件
管理员必须在“内容协作”中拥有企业帐户才能使用将链接更改为仅视图共享行动。
仅视图共享是Citrix Content Collaboration的企业帐户请求提供的一项功能。在应用将链接更改为仅视图共享在Citrix Analytics的操作中,确保在用户和管理员的内容协作企业帐户中已经启用了仅视图共享功能。有关更多信息,请参阅Citrix支持文章-CTX208601.
应用此操作时会发生什么?
此操作可防止其他用户下载、复制或打印与共享链接关联的文件。
仅适用于以下文件类型:
Microsoft Office文件
PDF
镜像文件(需要SZC v3.4.1或更高版本):
骨形态发生蛋白
GIF
JPG
JPEG
PNG
TIF
TIFF
音频和视频文件存储在citrix管理的存储区。
配置策略和操作
例如,通过以下步骤可以创建“过度文件共享”策略。使用此策略,当组织中的用户共享异常大量的数据时,共享链接将自动过期。当用户共享的数据超出了该用户的正常行为时,您将收到通知。通过设置“文件共享过多”策略,并立即采取措施,可以防止任何用户帐户的数据被泄露。
创建策略的操作步骤如下:
登录到Citrix Analytics后,在工具栏上转到设置>自定义风险指标和策略.
![设置政策]()
在Policies仪表板上,单击创建政策.
![创建策略按钮]()
从如果满足以下条件列表框中,选择要应用操作的默认或自定义风险指标条件。
![添加和删除条件]()
从然后执行以下操作列表,选择一个动作。
![然后执行以下操作]()
在政策的名字文本框中,提供名称并使用提供的切换按钮启用策略。
![创建政策]()
点击创建政策.
创建策略后,策略将显示在政策仪表板。
的政策仪表板显示与成功发现并连接到Citrix Analytics的数据源相关联的策略。仪表板不显示为未发现的数据源定义了条件的策略。
例如,您已经从Content Collaboration中选择了一个风险指示器作为策略的条件。但您没有订阅使用Citrix Content Collaboration,因此Citrix Analytics不会发现此数据源。你的保单不会出现在政策仪表板。
上的现有策略不会受到影响政策仪表板。
请求用户响应
请求最终用户响应是一个全局操作,可用于在检测到异常活动后立即向用户发出警报。
先决条件:要使用此操作,您必须将Active Directory连接到Citrix Cloud,并确保用户的电子邮件在Active Directory中可用。有关如何连接活动目录的信息,请参见连接Active Directory到Citrix Cloud.
根据用户的响应,您可以确定要采取的下一步行动。如果您收到用户执行了报告的活动的响应,则该活动没有问题,您不需要对用户帐户采取操作。每天向用户发送安全警报的限制为3封。
考虑一个在80分钟内风险评分超过80的Citrix Content Collaboration用户。属性,可以就此异常行为向用户发出警报请求最终用户响应行动。安全警报从电子邮件ID发送给用户security-analytics@citrix.com.
邮件内容如下:
触发风险指示器的用户活动
用户的设备
用户活动的日期和时间
成功访问产品或服务的位置(城市和国家)。如果城市或国家不可用,则相应的值显示为“Unknown”。
的请求最终用户响应操作被添加到用户的风险时间轴。
请注意
的请求最终用户响应仅当您的组织登陆美国地区时才支持该行动。如果您的组织在Citrix Cloud中已连接到欧盟地区,则不能使用此操作。
如何设置用户响应时间?
您可以通过以下步骤配置用户对安全提醒邮件的响应时间。
导航到设置>自定义风险指标和策略.
在政策页,选择设置菜单,并在文本框上更新分钟数。
点击保存设置.
![用户响应时间]()
应用中断操作后通知用户
在此操作类型中,您可以应用中断操作,例如注销用户而且锁定用户当检测到不寻常的活动时,在用户的帐户上。当对用户帐户应用操作时,该帐户上的业务可能会中断。在这种情况下,用户必须联系管理员才能像以前一样访问他们的帐户。
考虑一个在80分钟内风险评分超过80的Citrix Content Collaboration用户。您可以注销该用户。执行此任务后,用户将无法访问其帐户,并从电子邮件ID向用户发送电子邮件通知security-analytics@citrix.com.邮件中包含事件的活动、设备、日期和时间、IP地址等详细信息。用户必须联系管理员才能像以前一样访问自己的帐户。
手动应用操作
假设用户Lemuel首次使用新设备登录到网络。由于她的行为异常,要监视她的帐户,您可以使用通知管理员(年代)行动。
要手动将操作应用到用户,您必须:
导航到用户的配置文件并选择适当的风险指示器。从行动菜单,选择通知管理员(年代)操作并单击应用.
默认情况下,将向所有Citrix Cloud管理员发送电子邮件通知以监视她的帐户。还可以选择要通知的Citrix Cloud管理员。应用的操作被添加到她的风险时间轴中,操作细节显示在风险时间轴页面的右窗格中。
请注意:
默认情况下,Citrix Cloud帐户禁用了电子邮件通知。要接收电子邮件通知,您需要在您的云帐户上启用它。有关更多信息,请参见接收电子邮件通知.
管理政策
您可以查看Policies仪表板来管理在Citrix Analytics上创建的所有策略,以监视和识别网络上的不一致。在Policies仪表板上,您可以:
查看策略列表
政策详情
策略名称
状态—启用或禁用。
策略的持续时间-策略处于激活或未激活状态的天数。
发生次数-策略被触发的次数。
Modified -时间戳,仅当策略已被修改。
删除策略
如果需要删除策略,可以选中待删除的策略,单击删除.
或者单击策略名称,跳转到“修改策略”页面。点击删除政策.在对话框中,确认删除策略的请求。
单击策略名称可查看详细信息。单击策略名称时,也可以修改策略。其他可以做的修改如下:
修改策略名称。
政策的条件。
要应用的操作。
启用/禁用策略。
删除策略。
请注意
如果不想删除策略,可以选择禁用策略。
要在Policies仪表板上重新启用策略,请执行以下操作:
在Policies仪表板上,单击状态滑块按钮并刷新页面。的状态滑块按钮变成绿色。
在“修改策略”页面中,单击启用页面底部的滑块按钮。
支持的模式
Citrix Analytics支持以下策略模式:
执行模式—该方式下,配置的策略对用户帐号有影响。
监控模式—在该模式下,配置的策略对用户帐号没有影响。如果需要测试任何策略配置,可以将策略设置为此模式。
请使用以下命令配置策略的模式:
导航到设置>自定义风险指标和策略.
在政策页中,选择右上角的图标,即显示在搜索酒吧。的选择模式窗口。
选择您所选择的模式,然后单击保存设置.
请注意
由Analytics创建的默认策略被设置为监视模式。因此,现有的策略也继承了这种模式。您可以一起评估所有策略的影响,然后将它们更改为执行模式。
自助搜索策略
在自助搜索页中,您可以查看满足策略中定义的条件的用户事件。该页面还显示了应用于这些用户事件的操作。根据应用的操作筛选用户事件。