技术简介:分析

随着组织开始采用SaaS、云和移动应用程序，组织的IT环境变得越来越复杂。管理员需要对其环境的可见性，这不仅是为了保护环境不受恶意用户的侵害，也是为了主动改善用户体验。Citrix Analytics将整个Citrix产品组合整合在一起，以提供个人用户状态和上下文的可见性。与Citrix提供的其他一些监视工具不同，Citrix Analytics为您提供主动性和规范性深入了解您的环境，以便在问题成为问题之前解决问题。思杰分析通过机器学习为您提供必要的见解，而无需信息过载。

概述

思杰分析提供可操作的见解，使管理员能够主动处理用户和应用程序安全威胁，提高应用程序性能，并支持持续运营。Citrix Analytics是通过Citrix cloud提供的云服务。Citrix Analytics可以分为三类:安全性、性能和使用率。Citrix Analytics for Security允许您监视和识别环境中的不一致或可疑活动。使用分析让您了解用户如何与各种思杰产品交互。Citrix Analytics for Performance通过高级分析提供以用户为中心的体验评分、应用程序和基础设施性能评分。

Citrix Analytics for Security

思杰安全分析收集思杰和第三方产品的数据，并生成可操作的见解。它支持与以下组件的集成:

• Citrix安全私有访问
• 思杰内容协作
• Citrix端点管理
• Citrix网关
• Citrix虚拟应用程序和桌面(包括内部部署和即服务)
• 思杰安全浏览器服务
• Microsoft Graph安全API
• Microsoft Active Directory (on-prem)

Citrix Analytics for Security通过其机器学习μ-service检测异常用户行为。它为用户分配一个风险评分，这个值表示用户通过风险评分μ-服务造成的风险的总水平。该分数是基于用户行为分析(UBA)的动态值。管理员可以创建策略来自动化流程，并根据风险指标应用操作。Citrix Analytics for Security将数据保留13个月。如果管理员关闭了特定数据源的数据处理，那么已经捕获的数据将继续存储13个月。关于每个数据源收集哪些特定日志的更多信息在这里．

Citrix Analytics for Security以以下方式接收信息。对于Citrix安全私有访问服务、Citrix内容协作、Citrix端点管理和Citrix网关服务(云)，它直接从特定数据源的控制平面接收信息。对于Citrix Gateway on-prem，它从应用程序交付管理代理接收数据。对于Citrix虚拟应用程序和桌面(云和on-prem)，它通过Citrix Workspace应用程序接收其信息。为了获得活动目录数据，Citrix Analytics与云连接器通信。对于Microsoft Graph安全，我们可以通过图形api从Azure AD身份保护和Windows Defender ATP中获取信息。

要开始使用，您必须有一个Citrix Cloud帐户。一旦您访问了Citrix Cloud，就可以请求访问Citrix Analytics for Security试用版。然后有选项启用数据处理和开始接收信息。关于如何开始的深入指南可以找到在这里．

用户仪表板

用户指示板允许您获得组织中被认为有风险的任何用户的整体视图。用户分为高、中、低风险用户。管理员可以对最高分用户、最高分变更用户、风险指标变更用户、风险指标变更用户进行视图变更。此外，它还显示了风险类别——基本上为您提供了风险暴露的全面列表以及需要立即注意的事项。关于用户仪表板的更多信息可以在这里找到在这里．

使用所有这些仪表板，您可以单击并获得更详细的信息。例如，如果您单击查看更多下风险类别仪表盘，你会得到每个类别下风险指标发生情况的摘要。

此外，如果在风险用户仪表板下，单击一个特定的用户，它将重定向到用户风险时间轴。这个时间轴可以让您更深入地了解用户所做的哪些操作是有风险的。您还将看到是否对该特定用户采取了任何自动操作。通过单击每个事件，您可以获得有关事件发生时间和事件来源的其他信息。在用户风险仪表板中，您可以找到用户信息，例如AD信息(电话、电子邮件、头衔)以及关于他们正在使用的应用程序、设备和位置的信息。更多关于风险时间表的信息可以在这里找到在这里．

风险评分是通过基于策略的违规行为(由管理员设置)、随着时间的推移进行用户行为建模、AI/ML异常行为检测和对等组归一化来计算的。风险分数是指示用户构成的风险的总水平的值。风险指示器是看起来可疑或可能对组织构成安全威胁的用户活动。系统使用默认风险指标，但管理员也可以创建自定义风险指标。

政策及行动

策略是这样定义的，一旦满足条件，操作就会运行。策略包含一个或多个条件和一个操作。存在可用的默认策略—这些策略具有预定义的条件并具有相应的操作。这些默认策略可以按原样使用，也可以根据您的需求进行修改。默认策略如下:

• 成功利用凭据
• 潜在的数据泄露
• 来自可疑IP的异常访问
• 从不寻常的位置访问不寻常的应用程序
• 低风险用户首次访问新IP
• 第一次从设备访问

动作是对可疑事件的响应，可以防止将来发生异常事件。操作可以由Citrix Analytics管理员随意调用，也可以由系统根据管理员定义的规则自动调用。目前有以下操作:

• 全球
  • 最终用户响应
  • 添加到监视列表
  • 通知管理员(年代)
  • 从监视列表中移除
• 思杰内容协作
  • 禁用用户
  • 过期所有链接
• Citrix虚拟应用程序和桌面
  • 注销用户
  • 开始会话记录
  • 停止会话记录
• Citrix端点管理
  • 锁定装置
  • 通知管理
  • 通知用户

目前创建策略时，只支持以下条件:

• 风险评分
  • 风险评分(等于，大于，小于)
• Citrix网关
  • 授权失败次数过多
  • EPA扫描失败
  • 认证失败次数过多
  • 从可疑IP登录
  • 从一个不寻常的位置进入
  • 第一次从新IP访问
• Citrix虚拟应用程序和桌面
  • 第一次从新设备访问
  • 潜在的数据泄露
  • 从不支持操作系统的设备访问
  • 不寻常的应用程序使用时间(SaaS)
  • 不寻常的应用程序使用时间(虚拟)
• 思杰内容协作
  • 文件下载过多
  • 过度删除文件/文件夹
  • 文件共享过多
  • 文件上传过多
  • 认证失败次数过多
  • 疑似勒索软件活动(文件已替换)
  • 疑似勒索软件活动(DLP警报)
  • 过度的下载
  • 第一次从新的位置访问
  • 疑似勒索软件活动(文件已更新)
• Citrix安全私有访问
  • 尝试访问黑名单URL
  • 高风险网站访问
  • 数据下载过多
  • 上传量异常
• Citrix端点管理
  • 检测到黑名单应用的设备
  • 检测到越狱/根设备
  • 检测到非托管设备

关于如何设置策略和操作的更多信息可以在这里找到在这里．

用户访问仪表板

用户访问仪表板汇总了网络中用户访问的风险域的数量以及上传和下载的数据量。它提供了以下指标:

• 用户访问恶意域的个数
• 用户访问危险域的个数
• 用户访问未知域的个数
• 用户访问干净域的个数
• 用户访问被阻止的url数量

应用程序访问仪表板

应用程序访问仪表板汇总了网络中用户访问的域、url和应用程序的详细信息。的应用访问摘要小节提供了网络中以下指标的概述:

• 用户访问恶意域的数量
• 用户访问危险域的数量
• 用户访问未知域的个数
• 用户访问干净域的个数
• 从危险域上传或下载的数据量

共享链接仪表板

Share Links仪表板是共享事件分析和威胁防护的起点。它显示了跨组织的共享链接模式的可见性。

报告

管理员可以根据在数据源中接收到的事件创建自定义报告。目前，自定义报表支持的数据源包括安全私有访问、内容协作以及虚拟应用程序和桌面。关于如何创建自定义报告的更多信息，可以在这里找到在这里．

Citrix Analytics for Performance

Citrix Analytics for Performance量化用户体验，并为客户提供端到端可见性，了解终端用户体验的根本原因是什么。它还提供多站点聚合和报告，因此拥有多个站点的客户可以从一个窗格中使用数据，而不必登录到多个Director控制台。最后，它提供基础设施性能评分，让管理员对基础设施的运行状况有一个统一的了解。

用户体验评分综合考虑了影响终端用户体验的不同因素，如会话弹性、会话可用性、会话登录时长和会话响应性。然后，管理员能够更深入地划分并查看子因素，以确定问题的确切根源。例如，会话登录持续时间的子因素包括GPOs、配置文件加载、交互式会话、代理、虚拟机启动、HDX连接、身份验证和登录脚本。动态阈值用于对会话登录持续时间和会话响应性因素及其子因素进行基准测试。这些计算是根据每个客户进行的，并基于过去30天进行计算。阈值每七天重新校准一次，以反映环境的变化。关于如何计算用户体验分数的更多信息可以在这里找到在这里．

Citrix Analytics for Performance可用于本地和云客户，不要求客户使用Citrix Workspace。Citrix Analytics直接从总监的监控数据库获取数据。数据通过https端口443安全地从Director推送到Citrix Analytics。Citrix Analytics for Performance还从Citrix Gateway捕获HDX数据。对于内置网关，客户需要使用ADM业务。对于网关服务，HDX数据直接发送到思杰分析。没有数据从Citrix Cloud传输到您的on-prem环境。数据通信是出站的，这意味着不需要打开任何端口，也不允许任何入站流量。对于使用Citrix虚拟应用程序和桌面服务的客户，Citrix Analytics直接从Director平台获取数据——所有这些平台都托管在Citrix Cloud中。

用户体验评分仪表板

用户体验评分仪表板提供了一个整体视图，显示哪些用户正在体验“优秀”、“一般”或“糟糕”的体验。Citrix Analytics for Performance提供多站点聚合，为您提供所有环境(云或on-prem)的整体视图。多站点聚合使管理员可以灵活地从整体上查看环境，也可以根据特定站点进行过滤。

Citrix Analytics管理员可以深入了解哪些因素导致用户获得特定的最终用户体验评分。Citrix Analytics for Performance为管理员提供了可能导致用户体验问题的根本原因。关于用户体验子因素的更多信息可以在这里找到在这里．

此外，在这个User Experience仪表板中，管理员能够看到User会话趋势，其中显示了会话总数与唯一用户总数以及会话失败的数量。总会话数是指在工作空间app中启动应用程序或桌面时的用户会话数。总唯一用户数是指在指定时间段内启动会话或处于活动会话的唯一用户数。

基础设施仪表板

基础设施仪表板为管理员提供其环境基础设施运行状况的概述。仪表板提供跨所有站点的VDA信息。对于多会话操作系统vda，管理员可以根据负载评估器索引查看哪些vda处于不可用状态。对于单会话操作系统vda，管理员可以查看正在使用和可用的vda数量。可以在基础设施仪表板中找到有关可用指标的更多信息在这里．

使用情况分析

使用分析提供了用户如何与各种思杰产品交互的洞察，以帮助了解用户的采用情况和参与度。使用分析目前支持安全私有访问服务、内容协作服务和微应用服务。

内容协作仪表板

Content Collaboration仪表板提供以下信息:

• 使用内容协作服务的唯一用户数量
• 顶级内容协作用户
• 上传到Content Collaboration服务的数据量
• 下载到Content Collaboration服务的数据量
• 上传到内容协作服务的文件数
• 下载到内容协作服务的文件数
• 用户对文件执行操作的次数
• 用户创建的共享事件个数

Microapps仪表板

Microapp仪表板提供了用户如何与Microapp服务交互的洞察。在仪表板中可以找到以下信息:

• 使用微应用程序的唯一用户数量
• 微信顶级用户
• 最常用的微应用
• 用户使用微应用程序发起的操作数量
• 用户对微应用程序发送的通知所采取的操作数量

SaaS和Web应用程序仪表板

SaaS和Web应用程序仪表板为Citrix Analytics管理员提供了对发布在Citrix Workspace中的SaaS和Web应用程序的深入了解。以下信息可以在SaaS和Web应用程序仪表板中找到:

• 使用SaaS和Web应用程序的唯一用户数量
• 顶级SaaS和Web应用程序用户
• 已启动的SaaS和Web应用程序的数量
• 顶级SaaS和Web应用程序
• 用户访问的顶级域
• 跨用户、应用程序和域上传和下载的数据总量。

体系结构和流程流

下面是Citrix Analytics的概念架构和流程流。