Citrix Analytics for Security

Tableau de bord de localisation Access Assurance

Avec l’augmentation du travail à distance, en tant qu’administrateur informatique Citrix, vous pouvez avoir l’assurance que vos utilisateurs accèdent de Citrix Virtual Apps and Desktops ou Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) depuis leurs emplacements habituels et sûrs. Si des utilisateurs se sont connectés à partir d’emplacements inconnus ou de nouveaux emplacements, vous pouvez valider leurs informations d’ouverture de session et prendre les mesures nécessaires pour atténuer les menaces pesant sur votre environnement informatique Citrix.

Le tableau de bord Access Assurance Location fournit une vue d’ensemble des emplacements à partir desquels vos utilisateurs accèdent aux applications virtuelles ou aux bureaux virtuels. Citrix Analytics for Security reçoit ces événements d’ouverture de session utilisateur de l’application Citrix Workspace installée sur les appareils des utilisateurs. Les informations de localisation sont fournies au niveau de la ville et du pays et ne représentent pas une géolocalisation précise.

Pour plus de détails sur la garantie d’accès — Géolocalisation, consultez la FAQ.

Afficher le tableau de bord

Pour afficher le tableau de bord, cliquez sur Sécurité > Access Assurance. Sélectionnez la période pendant laquelle vous souhaitez afficher les détails du lieu.

Navigation du tableau de bord Assurance

Analysez le récapitulatif de la connexion utilisateur

La page Récapitulatif de la connexion utilisateur fournit les informations suivantes pour une période sélectionnée :

  • Nombre total d’ouvertures de session utilisateur sur tous les sites (dans le monde entier).

  • Nombre total d’ouvertures de session utilisateur uniques sur tous les sites (dans le monde entier).

  • Nombre total de pays depuis lesquels les utilisateurs se sont connectés.

  • Le nombre total de pays et les ouvertures de session uniques des utilisateurs dans les zones de géofencing. Pour afficher les détails d’ouverture de session à partir des zones de géofencing, activez le géofencing.

  • Top 10 des emplacements avec des ouvertures de session utilisateur uniques. Parfois, les ouvertures de session uniques les plus importantes proviennent également de villes et de pays inconnus et elles sont répertoriées sous l’onglet Unknown Locations (Emplacements inconnus). La liste des emplacements inconnus est également un sous-ensemble des 10 premiers emplacements. Pour connaître les raisons pour lesquelles certains emplacements ne sont pas identifiés, consultez la section Emplacements identifiés comme non disponibles.

Vous pouvez également afficher la tendance à la hausse ou à la baisse du nombre total d’ouvertures de session utilisateur dans le monde entier et du nombre total d’ouvertures de session utilisateur uniques dans le monde entier. Pour les 10 premiers emplacements, la colonne ÉCART indique la modification (positive (+) ou négative (-)) des ouvertures de session utilisateur pour chaque emplacement. Cette comparaison est basée sur la période sélectionnée et la période précédente de durée égale. Par exemple, si vous sélectionnez la période du dernier mois, la tendance de connexion de l’utilisateur et l’écart sont comparés entre le dernier mois et le précédent au dernier mois.

Détails d'ouverture de session utilisateur

Dans le tableau Les 10 principaux emplacements d’ouverture de session uniques, sélectionnez un emplacement pour afficher les utilisateurs, leurs profils d’accès et les détails d’ouverture de session.

Page récapitulative de connexion utilisateur

La carte affiche le nombre d’utilisateurs uniques de différents emplacements pour une période sélectionnée. Survolez la bulle bleue ou effectuez un zoom avant sur un emplacement pour afficher le nombre total d’ouvertures de session utilisateur uniques à partir de cet emplacement. Cliquez sur la bulle bleue pour afficher les détails d’accès d’un point de vente.

Vue zoom avant de la carte

Dans le coin inférieur droit de la carte, vous pouvez afficher la plage des ouvertures de session uniques des utilisateurs. Pour une période sélectionnée, la petite bulle indique le nombre minimum d’ouvertures de session utilisateur uniques dans les emplacements. La grande bulle indique le nombre maximal d’ouvertures de session utilisateur uniques dans les emplacements.

Plage de nombre d'utilisateurs

Afficher les profils d’accès des utilisateurs

La page Profil d’accès fournit le résumé des accès de vos utilisateurs aux applications virtuelles ou aux bureaux virtuels à partir des emplacements sélectionnés. Il fournit l’analyse des tendances des ouvertures de session utilisateur totales et uniques pour la période sélectionnée. Vous pouvez afficher les principaux événements d’accès pour les sites sélectionnés. Ces informations vous aident à examiner les modèles d’accès et les détails pour l’investigation et l’analyse des menaces.

La tendance à la hausse ou à la baisse du nombre total d’ouvertures de session utilisateur et des ouvertures de session utilisateur uniques est comparée en fonction de la période sélectionnée et de la période précédente de durée égale. Par exemple, si vous sélectionnez la période comme Dernier mois, la tendance est comparée entre le dernier mois et le mois précédent.

Afficher la page de profil d'accès

Facettes

Vous pouvez utiliser les facettes suivantes pour les événements d’accès :

  • Lieu- Filtrez les événements d’accès par pays et leurs villes.

  • OS- Filtrez les événements d’accès en fonction des systèmes d’exploitation et de leurs versions.

    Filtres de profil d'accès

Remarque

L’étiquette non disponible peut également s’afficher si les données sont indisponibles ou non identifiées.

En fonction des filtres appliqués, affichez les informations suivantes pour le nombre total d’ouvertures de session utilisateur et les ouvertures de session utilisateur uniques :

  • Détails de la chronologie : séquence chronologique du nombre total d’événements d’ouverture de session utilisateur et d’événements d’ouverture de session utilisateur uniques pour une période sélectionnée. Il vous aide à comparer et à comprendre les tendances des événements passés et en cours.

  • Détails des emplacements : les principaux pays et villes à partir desquels les utilisateurs se sont connectés à des applications virtuelles ou à des bureaux virtuels.

  • AdressesIP réseau : principaux sous-réseaux et adresses IP à partir desquels les utilisateurs se sont connectés à des applications virtuelles ou à des bureaux virtuels.

    Détails sur l'accès supérieur

Afficher les détails des ouvertures de session des utilisateurs

La page Ouverture de session utilisateur fournit les détails des ouvertures de session utilisateur aux applications virtuelles ou aux bureaux virtuels à partir des emplacements sélectionnés. Ces informations vous aident lors de l’investigation et de l’analyse des menaces.

Page d'ouverture de session utilisateur

Le tableau DATA affiche les détails d’ouverture de session suivants pour les emplacements sélectionnés et la période :

  • Heure. La date et l’heure auxquelles l’utilisateur s’est connecté.

  • Nom d’utilisateur. L’identité de l’utilisateur.

  • Adresse IP du client. L’adresse IP de la machine utilisateur.

  • Type d’adresse IP du client. Type d’adresse IP de l’utilisateur (publique ou privée, par exemple).

  • Ville et pays. Les emplacements à partir desquels l’utilisateur s’est connecté à des applications virtuelles ou à des bureaux virtuels.

  • ID du périphérique. Code d’identité de la machine utilisateur.

  • Nom du système d’exploitation Le système d’exploitation sur la machine utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

  • version du système d’exploitation La version du système d’exploitation sur la machine utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

  • Informations supplémentaires sur le système d’exploitation : informations supplémentaires sur le système d’exploitation, telles que les numéros de version, les Service Packs et les correctifs. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

  • Version de l’application Workspace. La version de génération de l’application Citrix Workspace ou de Citrix Receiver.

Tableau de données d'ouverture de session utilisateur

Dans le tableau DATA, vous pouvez effectuer les opérations suivantes :

  • Cliquez sur Ajouter ou supprimer des colonnes pour mettre à jour les colonnes de la table en fonction de la façon dont vous souhaitez afficher les données.

  • Cliquez sur Trier par et sélectionnez les éléments de données pour effectuer un tri sur plusieurs colonnes. Pour plus d’informations, consultez la section Tri multi-colonnes.

  • Cliquez sur Exporter au format CSV pour télécharger les données affichées dans le tableau DATA dans un fichier CSV et les utiliser pour votre analyse.

Barre de recherche

Vous pouvez également utiliser la barre de recherche pour définir votre requête à l’aide des dimensions associées à un événement d’ouverture de session.

Par exemple :

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

Boîte de recherche

Facettes

Vous pouvez utiliser les facettes suivantes pour les événements d’ouverture de session :

  • Emplacements : filtrez les événements d’ouverture de session par pays et par ville.

  • Système d’exploitation- Filtrez les événements d’ouverture de session par système d’exploitation et leurs versions.

  • Type d’adresse IP client- Filtrez les événements d’accès par type d’adresse IP publique et privée.

    Filters

Remarque

L’étiquette non disponible peut également s’afficher si les données sont indisponibles ou non identifiées.

Emplacements identifiés comme non disponibles

Dans le tableau Les 10 principaux emplacements d’ouverture de session uniques, vous pouvez constater que certains emplacements sont inconnus ou indisponibles. Cliquez sur un emplacement inconnu pour afficher les informations de connexion utilisateur correspondantes sur la page Ouverture de session utilisateur .

Sur la page Ouverture de session utilisateur, le tableau DONNÉES affiche l’étiquette NA si des informations de pays ou de ville ne sont pas disponibles.

Survolez l’étiquette NA pour voir la raison pour laquelle les informations de localisation ne sont pas disponibles.

Emplacement non disponible

L’un des scénarios suivants peut s’afficher en cas d’indisponibilité d’un emplacement :

Scénario Raisons
Le nom de la ville et le nom du pays ne sont pas disponibles. Un des composants suivants :
  1. Les utilisateurs utilisent une version non prise en charge de l’application Citrix Workspace. Pour afficher les informations de localisation, mettez à jour le client vers une version prise en charge.
  2. L’adresse IP publique du réseau de l’utilisateur n’est pas disponible. Par conséquent, Citrix Analytics ne peut pas trouver l’emplacement.
  3. Le service de géolocalisation externe n’est pas en mesure d’envoyer les informations de localisation à Citrix Analytics.
Emplacements dotés d’adresses IP privées L’appareil de l’utilisateur se trouve dans un réseau privé. Dans ce cas, les informations de localisation ne sont pas disponibles pour Citrix Analytics.
Le nom du pays est disponible, mais le nom de la ville n’est pas disponible. L’appareil de l’utilisateur utilise peut-être une adresse IP d’entreprise. Les plages IP de l’entreprise sont masquées dans le service de géolocalisation externe. Par conséquent, les informations d’emplacement ne sont pas disponibles pour Citrix Analytics.

Versions client prises en charge pour obtenir l’emplacement de l’utilisateur

Si les informations d’emplacement ne sont pas disponibles en raison des versions de l’application Citrix Workspace non prises en charge, mettez à jour le client vers l’une des versions suivantes.

Nom du client Version Version
Application Citrix Workspace pour Windows 2008 ou plus 20.8.0.46 ou supérieur
Application Citrix Workspace pour Mac 2006 ou plus 20.06.0.7 ou supérieur
Application Citrix Workspace pour HTML5 2007 ou plus 20.7.0.4127 ou supérieur
Application Citrix Workspace pour iOS Dernière version disponible dans l’App Store d’Apple Dernière version disponible dans l’App Store d’Apple
Application Citrix Workspace pour Android Dernière version disponible sur Google Play Dernière version disponible sur Google Play
Application Citrix Workspace pour Chrome Dernière version disponible dans le Chrome Web Store Dernière version disponible dans le Chrome Web Store
Application Citrix Workspace pour Linux 2104 ou plus Non disponible

Pour connaître les dates importantes du cycle de vie spécifiques à chaque version de l’application Citrix Workspace, consultez Étapes du cycle de vie pour l’application Citrix Workspace et Citrix Receiver Pour télécharger la dernière version de l’application Citrix Workspace, visitez la page Téléchargements Citrix .

Activer le géofencing

Le géorepérage vous aide à identifier les utilisateurs qui accèdent à des applications virtuelles ou à des bureaux virtuels en dehors de vos zones prédéfinies (géorepérage).

Pour configurer votre limite géographique, cliquez sur Ajouter/Modifier la limite géographique. Activez les paramètres de géofencing et sélectionnez les pays.

Activer le géofencing

Cette fonctionnalité utilise l’indicateur de risque personnalisé préconfiguré - Session CVAD démarrée en dehors de la limite géographique pour surveiller les ouvertures de session des utilisateurs en dehors de la clôture géographique. Si des ouvertures de session utilisateur sont détectées en dehors de la clôture géographique, l’indicateur de risque est déclenché et la stratégie Session démarrée en dehors de la zone géographique est appliquée à ces utilisateurs. La stratégie déclenche l’action Demander une réponse de l’utilisateur final et, en fonction de la réponse de l’utilisateur, vous pouvez prendre les mesures appropriées pour prévenir les menaces liées à toute ouverture de session suspecte. Pour plus d’informations, consultez la section Indicateurs de risque personnalisés préconfigurés.

Remarques

  • Dans les paramètres de Geofence, lorsque vous modifiez les pays, la session CVAD démarrée en dehors de l’indicateur de risque de géofence est également mise à jour.

  • Par exemple, si vous sélectionnez et enregistrez les pays Australie et Inde en tant que nouveaux pays géo-clôturés, la condition préconfigurée de l’indicateur de risque est mise à jour avec les nouveaux pays, en plus des États-Unis (qui est la clôture géographique par défaut). Vous pouvez également supprimer le pays géofencé par défaut États-Unis.

    Condition préconfigurée de l’indicateur de risque : Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    Après la mise à jour des paramètres de géofencing, l’état de l’indicateur de risque :

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • Si la session CVAD démarrée en dehors de l’indicateur de risque de géofence est précédemment supprimée de votre compte, l’activation des paramètres de géofencing crée à nouveau l’indicateur de risque. Les pays géoréférencés de l’indicateur de risque sont contrôlés à partir des paramètres de Geofence.

Après avoir activé les paramètres de géofencing, la carte affiche les zones délimitées et les ouvertures de session uniques des utilisateurs à partir de ces zones.

Tableau de bord de localisation Access Assurance