Citrix安全分析
思杰用户风险指标
用户风险指标是看起来可疑或可能对组织构成安全威胁的用户活动。这些风险指标跨越您部署中使用的所有Citrix产品。当用户行为偏离正常时触发风险指标。每个风险指标可以有一个或多个与之相关的风险因素。这些风险因素可以帮助您判断用户事件中的异常类型。风险指标及其相关的风险因素决定了用户的风险评分。
以下是与风险指标相关的风险因素:
基于设备的风险指标:当用户从基于用户的设备历史记录认为不正常的设备登录时触发。
基于地点的风险指标:当用户从与位置关联的IP地址登录时触发,该IP地址根据用户的位置历史被认为是不寻常的。
基于ip的风险指标:当用户试图从一个被识别为可疑的IP地址访问资源时触发,无论该IP地址对用户来说是否异常。
基于登录失败的风险指标:当用户出现过多或不寻常的登录失败模式时触发。
基于数据的风险指标:当用户试图从工作区会话中泄漏数据时触发。观察的用户行为包括复制或粘贴事件、下载模式等等。
基于文件的风险指标:根据用户的历史访问模式,当用户在Content Collaboration上的文件访问行为被认为不正常时触发。观察到的用户行为包括下载模式、对敏感内容的访问、表明存在勒索软件的活动等等。
自定义风险指标:当预置条件或用户自定义条件满足时触发。有关更多信息,请参阅以下文章:
其他风险指标—不属于预定义风险因素(如基于设备、基于位置、基于登录失败)的风险指标。
风险指标还根据性质相似的风险划分为风险类别。有关更多信息,请参见风险类别.
风险指标、风险因素与风险类别之间的相关关系如下表所示。
| Citrix产品 | 用户风险指标 | 风险因素 | 风险类别 |
|---|---|---|---|
| Citrix内容协作 | 从一个不寻常的位置进入 | 基于地点的风险指标 | 妥协的用户 |
| 过度访问敏感文件 | 基于文件的风险指标 | 数据漏出 | |
| 过多的文件共享 | 其他风险指标 | 数据漏出 | |
| 删除过多的文件或文件夹 | 基于文件的风险指标 | 内部威胁 | |
| 文件上传过多 | 其他风险指标 | 内部威胁 | |
| 文件下载过多 | 基于文件的风险指标 | 数据漏出 | |
| 怀疑有勒索软件活动 | 基于文件的风险指标 | 妥协的用户 | |
| 异常身份验证失败 | 基于登录失败的风险指标 | 妥协的用户 | |
| Citrix网关 | 从一个不寻常的位置进入 | 基于地点的风险指标 | 妥协的用户 |
| 终点分析(EPA)扫描失败 | 其他风险指标 | 妥协的用户 | |
| 认证失败次数过多 | 基于登录失败的风险指标 | 妥协的用户 | |
| 从可疑IP登录 | 基于ip的风险指标 | 妥协的用户 | |
| 异常认证失败 | 基于登录失败的风险指标 | 妥协的用户 | |
| Citrix端点管理 | 检测到黑名单应用的设备 | 其他风险指标 | 妥协的端点 |
| 检测到越狱或根设备 | 其他风险指标 | 妥协的端点 | |
| 检测到非托管设备 | 其他风险指标 | 妥协的端点 | |
| Citrix虚拟应用程序和桌面/ Citrix工作区 | 潜在的数据泄露 | 基于数据的风险指标 | 数据漏出 |
| 可疑的登录 | 基于设备风险指标、基于ip风险指标、基于位置风险指标和其他风险指标 | 妥协的用户 | |
| 思杰访问控制 | 试图访问黑名单URL | 其他风险指标 | 内部威胁 |
| 数据下载过多 | 其他风险指标 | 内部威胁 | |
| 访问危险网站 | 其他风险指标 | 内部威胁 | |
| 上传量异常 | 其他风险指标 | 内部威胁 |
思杰用户风险指标
在本文中
复制!
失败了!