Citrix Analytics for Security

Tableau de bord de localisation Access Assurance

Remarque

La fonctionnalité est en prévisualisation.

Avec l’augmentation du travail à distance, en tant qu’administrateur informatique Citrix, vous voudrez peut-être avoir l’assurance que vos utilisateurs accèdent à Citrix Virtual Apps and Desktops à partir de leurs emplacements habituels et sûrs. Si des utilisateurs se sont connectés à partir d’emplacements inconnus ou de nouveaux emplacements, vous pouvez valider leurs informations d’ouverture de session et prendre les mesures nécessaires pour atténuer les menaces pesant sur votre environnement informatique Citrix.

Le tableau de bord Access Assurance Location fournit une vue d’ensemble des emplacements à partir desquels vos utilisateurs accèdent à leur environnement Citrix Virtual Apps and Desktops. Citrix Analytics reçoit ces événements d’ouverture de session utilisateur de l’application Citrix Workspace installée sur les appareils des utilisateurs. Les informations de localisation sont fournies au niveau de la ville et du pays et ne représentent pas une géolocalisation précise.

Afficher le tableau de bord

Pour afficher le tableau de bord, cliquez sur Sécurité > Access Assurance. Sélectionnez la période pendant laquelle vous souhaitez afficher les détails du lieu.

Navigation du tableau de bord Assurance

Analysez le récapitulatif de la connexion utilisateur

La page Récapitulatif de la connexion utilisateur fournit les informations suivantes pour une période sélectionnée :

  • Nombre total d’ouvertures de session utilisateur dans les différents emplacements.

  • Nombre total d’ouvertures de session utilisateur uniques dans les emplacements.

  • Nombre total de pays depuis lesquels les utilisateurs se sont connectés.

  • Top 10 des emplacements avec des ouvertures de session utilisateur uniques. Parfois, les ouvertures de session uniques les plus importantes proviennent également de villes et de pays inconnus et elles sont répertoriées sous l’onglet Unknown Locations (Emplacements inconnus). La liste des emplacements inconnus est également un sous-ensemble des 10 premiers emplacements. Pour connaître les raisons pour lesquelles certains emplacements ne sont pas identifiés, consultez la section Emplacements identifiés comme non disponibles.

Page récapitulative de connexion utilisateur

Dans le tableau Top 10 des emplacements d’ouverture de session uniques, sélectionnez un emplacement pour afficher les utilisateurs et leurs détails de connexion sur la page Emplacement d’accès .

La carte affiche le nombre d’utilisateurs uniques de différents emplacements pour une période sélectionnée. Survolez la bulle bleue ou effectuez un zoom avant sur un emplacement pour afficher le nombre total d’ouvertures de session utilisateur uniques à partir de cet emplacement. Cliquez sur la bulle bleue pour afficher les détails de connexion de l’utilisateur pour un emplacement sur la page Emplacement d’accès .

Vue zoom avant de la carte

Dans le coin inférieur droit de la carte, vous pouvez afficher la plage des ouvertures de session uniques des utilisateurs. Pour une période sélectionnée, la petite bulle indique le nombre minimum d’ouvertures de session utilisateur uniques dans les emplacements. La grande bulle indique le nombre maximal d’ouvertures de session utilisateur uniques dans les emplacements.

Plage de nombre d'utilisateurs

Analysez les détails de l’emplacement d’accès

La page Emplacement d’accès fournit la vue chronologique et les détails des événements d’ouverture de session des utilisateurs pour l’emplacement sélectionné et la période. Il affiche le nombre total d’ouvertures de session utilisateur et les ouvertures de session utilisateur uniques.

Les détails de la chronologie affichent la séquence chronologique du nombre total d’événements d’ouverture de session utilisateur pour une période sélectionnée et vous aident à comprendre les modèles d’événements passés et en cours.

Lorsque vous sélectionnez plusieurs lieux dans Filtres, vous pouvez afficher et comparer les détails de la chronologie en fonction de tous les lieux, des cinq premiers emplacements ou des cinq derniers emplacements de la période sélectionnée. Dans la chronologie de tous les emplacements, cliquez sur un nœud du graphique et affichez les détails de l’événement d’ouverture de session de l’utilisateur pour cette période dans la table DATA .

Page de localisation d'accès

Dans la table DATA, vous pouvez afficher les informations suivantes concernant un utilisateur :

  • Heure. La date et l’heure auxquelles l’utilisateur s’est connecté.

  • Nom d’utilisateur. L’identité de l’utilisateur.

  • IP du client. L’adresse IP de la machine utilisateur.

  • Type d’adresse IP du client. Type d’adresse IP de l’utilisateur (publique ou privée, par exemple).

  • Ville et pays. Les emplacements à partir desquels l’utilisateur s’est connecté à Citrix Virtual Apps and Desktops.

  • ID du périphérique. Code d’identité de la machine utilisateur.

  • Version majeure du système d’exploitation. Version principale du système d’exploitation sur la machine utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service de Citrix Virtual Apps and Desktops.

  • Version mineure du système d’exploitation. Version mineure du système d’exploitation sur la machine utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service de Citrix Virtual Apps and Desktops.

  • Version de l’application Workspace. La version de génération de l’application Citrix Workspace ou de Citrix Receiver.

Table de données

Utilisez les facettes suivantes pour filtrer les événements d’ouverture de session des utilisateurs en fonction de vos besoins :

  • Emplacements (pays et leurs villes)

  • Systèmes d’exploitation (version majeure et version mineure)

  • Type d’adresse IP client (publique et privée)

Remarque

L’étiquette non disponible peut également s’afficher si les données sont indisponibles ou non identifiées.

Filtres

Cliquez sur Exporter au format CSV pour télécharger les données de l’événement au format CSV.

Cliquez sur Ajouter ou supprimer des colonnes pour mettre à jour les colonnes de la table en fonction de la façon dont vous souhaitez afficher les données.

Ajouter et supprimer des colonnes

Vous pouvez effectuer un tri sur plusieurs colonnes sur les données tabulaires. Cliquez sur Trier par et sélectionnez les éléments de données en fonction desquels vous souhaitez trier les événements. Pour plus d’informations, consultez la section Tri multi-colonnes.

Tri multiple

Utiliser la zone de recherche pour filtrer les événements

Utilisez la zone de recherche pour définir votre propre requête de recherche et trouver les événements. Les dimensions suivantes sont actuellement prises en charge :

  • Ville. La ville de l’utilisateur.

  • IP client. L’adresse IP de la machine utilisateur.

  • Type d’adresse IP du client. Type d’adresse IP de l’utilisateur (publique ou privée, par exemple).

  • Pays. Le pays de l’utilisateur.

  • ID de l’appareil. Le numéro d’identité de la machine utilisateur.

  • Version majeure OS. Version principale du système d’exploitation sur la machine utilisateur.

  • Version mineure du système d’exploitation. Version mineure du système d’exploitation sur la machine utilisateur.

  • Utilisateur. L’identité de l’utilisateur.

  • Version de l’application Workspace. La version de génération de l’application Citrix Workspace ou de Citrix Receiver.

Vous pouvez également définir une requête de recherche à l’aide de l’opérateur AND . Par exemple :

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

Boîte de recherche

Emplacements identifiés comme non disponibles

Dans le tableau Top 10 des emplacements d’ouverture de session uniques, vous pouvez voir que certains emplacements sont inconnus. Cliquez sur les emplacements inconnus pour afficher la page Emplacement d’accès .

Sur la page Access Location (Emplacement d’accès), survolez l’étiquette NA affichée dans la table DATA de la ville ou du pays d’un utilisateur. Vous pouvez consulter la raison pour laquelle les informations de localisation ne sont pas disponibles.

Emplacement non disponible

L’un des scénarios suivants peut s’afficher en cas d’indisponibilité d’un emplacement :

Scénario Raisons
Le nom de la ville et le nom du pays ne sont pas disponibles. Un des composants suivants :
  1. Les utilisateurs utilisent une version non prise en charge de l’application Citrix Workspace. Pour afficher les informations de localisation, mettez à jour le client vers une version prise en charge.
  2. L’adresse IP publique du réseau de l’utilisateur n’est pas disponible. Par conséquent, Citrix Analytics ne peut pas trouver l’emplacement.
  3. Le service de géolocalisation externe n’est pas en mesure d’envoyer les informations de localisation à Citrix Analytics.
Emplacements dotés d’adresses IP privées L’appareil de l’utilisateur se trouve dans un réseau privé. Dans ce cas, les informations de localisation ne sont pas disponibles pour Citrix Analytics.
Le nom du pays est disponible, mais le nom de la ville n’est pas disponible. L’appareil de l’utilisateur utilise peut-être une adresse IP d’entreprise. Les plages IP de l’entreprise sont masquées dans le service de géolocalisation externe. Par conséquent, les informations d’emplacement ne sont pas disponibles pour Citrix Analytics.

Versions client prises en charge pour obtenir l’emplacement de l’utilisateur

Si les informations d’emplacement ne sont pas disponibles en raison des versions de l’application Citrix Workspace non prises en charge, mettez à jour le client vers l’une des versions suivantes.

Nom du client Version Version
Application Citrix Workspace pour Windows 2008 ou plus 20.8.0.46 ou supérieur
Application Citrix Workspace pour Mac 2006 ou plus 20.06.0.7 ou supérieur
Application Citrix Workspace pour HTML5 2007 ou plus 20.7.0.4127 ou supérieur
Application Citrix Workspace pour iOS Dernière version disponible dans l’App Store d’Apple Dernière version disponible dans l’App Store d’Apple
Application Citrix Workspace pour Android Dernière version disponible sur Google Play Dernière version disponible sur Google Play
Application Citrix Workspace pour Chrome Dernière version disponible dans le Chrome Web Store Dernière version disponible dans le Chrome Web Store

Remarque

L’application Citrix Workspace pour Linux n’envoie pas les données de localisation de l’utilisateur. Par conséquent, les informations de localisation ne sont pas disponibles pour les utilisateurs qui utilisent cette plate-forme cliente.

Pour connaître les dates clés du cycle de vie spécifiques à chaque version de l’application Citrix Workspace, consultez la section Jalons du cycle de vie pour l’application Citrix Workspace et Citrix Receiver. Pour télécharger la dernière version de l’application Citrix Workspace, visitez la page Téléchargements Citrix .

Activer le géorepérage

Le géorepérage vous aide à identifier les utilisateurs qui accèdent à Citrix Virtual Apps and Desktops depuis l’extérieur de vos zones prédéfinies (géorepérage).

Pour configurer votre clôture géographique, cliquez sur Ajouter/Modifier la clôture géographique. Activez les paramètres de Geofence et sélectionnez les pays.

Activer la géofence

Cette fonctionnalité utilise l’indicateur de risque personnalisé préconfiguré - Session CVAD démarrée en dehors de la clôture géographique pour surveiller les ouvertures de session des utilisateurs en dehors de la clôture géographique. Si des ouvertures de session utilisateur sont détectées en dehors de la clôture géographique, l’indicateur de risque est déclenché et la stratégie Session démarrée en dehors de la zone géographique est appliquée à ces utilisateurs. La stratégie déclenche l’action Demander une réponse de l’utilisateur final et, en fonction de la réponse de l’utilisateur, vous pouvez prendre les mesures appropriées pour prévenir les menaces liées à toute ouverture de session suspecte. Pour plus d’informations, consultez la section Indicateurs de risque personnalisés préconfigurés.

Remarques

  • Dans les paramètres de Geofence, lorsque vous modifiez les pays, la session CVAD démarrée en dehors de l’indicateur de risque de géofence est également mise à jour.

  • Par exemple, si vous sélectionnez et enregistrez les pays Australie et Inde en tant que nouveaux pays géo-clôturés, la condition préconfigurée de l’indicateur de risque est mise à jour avec les nouveaux pays, en plus des États-Unis (qui est la clôture géographique par défaut). Vous pouvez également supprimer le pays géofencé par défaut États-Unis.

    Condition préconfigurée de l’indicateur de risque : Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    Après la mise à jour des paramètres géoréférencés, l’état de l’indicateur de risque :

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • Si la session CVAD démarrée en dehors de l’indicateur de risque de géofence est précédemment supprimée de votre compte, l’activation des paramètres de Geofence crée à nouveau l’indicateur de risque. Les pays géoréférencés de l’indicateur de risque sont contrôlés à partir des paramètres de Geofence.

Après avoir activé les paramètres de géolocalisation, la carte affiche les zones géoréférencées et les identifiants de connexion des utilisateurs qui se trouvent à l’intérieur ou à l’extérieur de ces zones. Vous pouvez consulter les informations suivantes :

  • Nombre total d’ouvertures de session utilisateur en dehors de la clôture géographique

  • Nombre d’ouvertures de session uniques en dehors de la clôture géographique

  • Nombre de pays en dehors de la clôture géographique à partir desquels les utilisateurs se sont connectés

Affichage Geofence