Citrix Analytics for Security

Indicateurs de risque personnalisés

Les indicateurs de risque utilisateur détectés par Citrix Analytics par défaut sont basés sur des algorithmes d’apprentissage automatique. Citrix Analytics vous permet désormais de créer des indicateurs de risque personnalisés. Vous pouvez définir des conditions en fonction des événements utilisateur et créer un indicateur de risque personnalisé. Si les événements correspondent aux critères définis, Citrix Analytics déclenche l’indicateur de risque personnalisé et l’affiche sur la chronologie des risques de l’utilisateur.

Vous pouvez créer des indicateurs de risque personnalisés sur les sources de données suivantes :

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Page des indicateurs de risque personnalisés

La page Indicateurs de risque personnalisés fournit des informations sur tous les indicateurs de risque personnalisés générés pour un utilisateur, la gravité, la source de données, le nombre de stratégies, la catégorie de risque, le statut et la date et l’heure de dernière modification de l’indicateur. Pour créer un indicateur de risque personnalisé, reportez-vous à la section Création d’un indicateur de risque personnalisé.

Indicateurs personnalisés

Lorsque vous sélectionnez l’indicateur de risque, vous êtes redirigé vers la page Modifier l’indicateur de risque . Pour plus d’informations, consultez la section Modification d’un indicateur de risque personnalisé.

Analyse d’un indicateur de risque personnalisé

Prenons l’exemple d’un utilisateur dont l’action a déclenché un indicateur de risque personnalisé que vous avez défini. Citrix Analytics affiche l’indicateur de risque personnalisé sur la chronologie des risques de l’utilisateur.

Lorsque vous sélectionnez l’indicateur de risque personnalisé sur la chronologie des risques de l’utilisateur, le volet droit affiche les informations suivantes :

  • Condition (s) définie (s) : affiche un résumé des conditions que vous avez définies lors de la création d’un indicateur de risque personnalisé.

  • Description : fournit un résumé de la description que vous fournissez lors de la création de l’indicateur de risque personnalisé. Si aucune description n’est fournie lors de la création de l’indicateur de risque personnalisé, cette section indique Aucun.

  • Fréquence de déclenchement : affiche l’option que vous sélectionnez dans la section Options avancéeslors de la création de l’indicateur de risque personnalisé.

  • Détails de l’événement : affiche la chronologie et les détails des événements utilisateur qui ont déclenché l’indicateur de risque personnalisé. Vous pouvez cliquer sur Recherche d’événements pour afficher les événements utilisateur sur la page de recherche en libre-service. La page de recherche en libre-service affiche les événements associés à l’utilisateur et l’indicateur de risque personnalisé. La requête de recherche affiche les conditions définies pour l’indicateur de risque personnalisé.

Indicateurs personnalisés

Remarque

Les indicateurs de risque personnalisés sont représentés par une étiquette sur la chronologie des risques utilisateur.

Actions que vous pouvez appliquer à l’utilisateur

Actuellement, la possibilité de prendre des mesures appropriées sur les comptes d’utilisateurs qui déclenchent des indicateurs de risque personnalisés n’est pas disponible.

Création d’un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs de risque personnalisés et stratégies.

  2. Dans l’onglet Indicateurs, sélectionnez Créer un indicateur.

    Indicateurs personnalisés

  3. Sélectionnez la source de données pour laquelle vous souhaitez créer l’indicateur de risque personnalisé.

  4. Définissez les conditions de votre indicateur de risque personnalisé à l’aide des dimensions et des opérateurs valides dans la zone de condition. Pour plus d’informations sur les dimensions (facettes) d’une source de données, consultez la rubrique Recherche en libre-service.

    Le lien Déclencheurs estimés est activé dans la section Options avancées . Cliquez sur le lien pour prédire les instances approximatives de l’indicateur de risque personnalisé qui serait déclenché pour les conditions définies. Ces instances sont calculées en fonction des données historiques conservées par Citrix Analytics et qui répondent à vos conditions définies.

    Remarque

    Assurez-vous de cliquer sur Estimated Triggers (Déclencheurs estimés) pour prévoir le nombre d’occurrences d’indicateurs de risque personnalisés pour la dernière condition définie.

  5. Dans la section Options avancées, sélectionnez la fréquence de l’événement pour déclencher l’indicateur de risque personnalisé. Lorsque vous ne sélectionnez aucune option, Citrix Analytics considère Chaque fois : Générer l’indicateur de risque chaque fois que le ou les événements se produisent en tant qu’option par défaut et génère l’indicateur de risque personnalisé. Vous pouvez choisir parmi les options suivantes :

    • À chaque fois : l’indicateur de risque est déclenché chaque fois que les événements répondent aux conditions définies.

    • Première fois : l’indicateur de risque est déclenché lorsque les événements remplissent les conditions définies pour la première fois.

      • Première fois pour une nouvelleentité : activez cette option pour détecter les événements reçus d’une nouvelle entité pour la première fois. Voici quelques exemples d’entités : Client IP, Country, City et Device-ID. Vous ne pouvez sélectionner qu’une seule entité en fonction de la source de données. Cette option vous permet de créer un indicateur de risque sans spécifier de valeur explicite pour les entités. Par exemple, lorsque vous sélectionnez l’entité comme « Ville », il n’est pas nécessaire de spécifier le nom de la ville. L’indicateur de risque est déclenché lorsque des événements sont reçus d’une nouvelle ville pour la première fois.

        Le tableau suivant répertorie les entités correspondant à chaque source de données et décrit les conditions du déclencheur.

        Source de données Entité condition de déclenchement
        Contrôle d’accès, Content Collaboration Client-IP Lorsqu’un utilisateur ouvre une session à partir d’une nouvelle adresse IP pour la première fois.
          Pays Lorsqu’un utilisateur ouvre une session depuis un nouveau pays pour la première fois.
          Ville Lorsqu’un utilisateur ouvre une session depuis une nouvelle ville pour la première fois.
        Virtual Apps and Desktops ID de l’appareil Lorsqu’un utilisateur lance des applications virtuelles ou des bureaux virtuels à partir d’un nouvel appareil tel qu’un appareil mobile, un ordinateur portable ou un ordinateur de bureau pour la première fois.
          Supports de stockage Lorsqu’un utilisateur utilise un nouveau support de stockage tel qu’une clé USB pour la première fois.
          Nom de l’application Lorsqu’un utilisateur ouvre une nouvelle application virtuelle ou une application SaaS pour la première fois.
          URL de l’application Lorsqu’un utilisateur saisit une nouvelle URL d’application dans un navigateur de son bureau virtuel pour la première fois.
          Pays Lorsqu’un utilisateur lance des applications virtuelles ou des bureaux virtuels depuis un nouveau pays pour la première fois.
          Ville Lorsqu’un utilisateur lance des applications virtuelles ou des bureaux virtuels depuis une nouvelle ville pour la première fois.
        Gateway Client-IP Lorsqu’un utilisateur ouvre une session à partir d’une nouvelle adresse IP pour la première fois.

        L’exemple suivant illustre un indicateur de risque personnalisé créé pour la source de données Virtual Apps and Desktops. L’indicateur de risque est déclenché lorsqu’un utilisateur lance pour la première fois un bureau virtuel ou une application virtuelle à partir d’un nouvel appareil.

        ID de l'appareil pour la première fois

        Vous pouvez également ajouter une condition en même temps que la première fois pour une nouvelle option. Dans ce cas, l’indicateur de risque est déclenché lorsqu’il détecte les événements de la nouvelle entité pour la première fois et lorsque les événements répondent à la condition définie.

        L’exemple suivant montre une condition définie pour l’indicateur de risque personnalisé et l’option Première fois pour un nouvel ID de périphérique activée. L’indicateur de risque est déclenché lorsqu’un utilisateur situé en Inde lance pour la première fois une session de bureau virtuel à partir d’un nouvel appareil.

        Première fois avec condition

    • Excessif : L’indicateur de risque est déclenché lorsque les conditions suivantes sont remplies :

      • Les événements répondent aux conditions définies.

      • Les événements se produisent le nombre de fois spécifié au cours de la période spécifiée.

    • Fréquents : L’indicateur de risque est déclenché lorsque les conditions suivantes sont remplies :

      • Les événements répondent aux conditions définies.

      • Les événements se produisent le nombre de fois spécifié au cours de la période spécifiée.

      • Le modèle d’événement se répète le nombre de fois spécifié.

  6. Sélectionnez la catégorie de risque de l’indicateur de risque personnalisé. Les indicateurs de risque sont regroupés en fonction du type d’exposition au risque de l’indicateur de risque personnalisé. Pour obtenir de l’aide sur la sélection des catégories de risques, voir Catégories de risques.

  7. Sélectionnez la gravité de l’indicateur de risque personnalisé.

  8. Définissez le nom de l’indicateur de risque personnalisé dans la zone de texte Nom de l’indicateur .

  9. Dans la zone de texte Description, fournissez une description valide de l’indicateur de risque personnalisé.

  10. Au bas de la page Créer un indicateur, vous pouvez activer ou désactiver l’indicateur de risque personnalisé si nécessaire.

  11. Cliquez sur Créer un indicateur.

    Indicateurs personnalisés

Remarques

  • Vous pouvez créer des indicateurs de risque personnalisés jusqu’à une limite maximale de 50. Si vous atteignez cette limite maximale, vous devez supprimer ou modifier tout indicateur de risque personnalisé existant pour créer un indicateur de risque personnalisé.

  • Lorsqu’un indicateur de risque personnalisé est déclenché, il s’affiche immédiatement sur la chronologie de l’utilisateur . Toutefois, le résumé des risques et le score de risque de l’utilisateur sont mis à jour après quelques minutes (environ 15 à 20 minutes).

Opérateurs pris en charge pour définir une condition

Vous pouvez utiliser les opérateurs suivants lorsque vous définissez une condition.

Opérateur Description Exemple Résultat
: Attribuez une valeur à la requête de recherche. Nom d’utilisateur : John Affiche les événements de l’utilisateur John.
= Attribuez une valeur à la requête de recherche. Nom d’utilisateur = John Affiche les événements de l’utilisateur John.
~ Recherchez des valeurs similaires. Nom d’utilisateur ~ test Affiche les événements ayant des noms d’utilisateur similaires.
”” Enclenchez les valeurs séparées par des espaces. Nom d’utilisateur = « John Smith » Affiche les événements de l’utilisateur John Smith.
<, > Recherchez la valeur relationnelle. Volume de données > 100 Affiche les événements dont le volume de données est supérieur à 100 Go.
ET Valeurs de recherche pour lesquelles les deux conditions sont vraies. Nom d’utilisateur : Volume de données AND John > 100 Affiche les événements de l’utilisateur John dont le volume de données est supérieur à 100 Go.
* Valeurs de recherche qui correspondent au caractère zéro fois ou plus. Nom d’utilisateur = John* Affiche les événements pour tous les noms d’utilisateurs commençant par John.
    Nom d’utilisateur = *John* Affiche les événements de tous les noms d’utilisateurs contenant John.
    Nom d’utilisateur = *Smith Affiche les événements pour tous les noms d’utilisateurs qui se terminent par Smith.
!~ Vérifie dans les événements utilisateur le modèle de correspondance que vous spécifiez. Cet opérateur NOT LIKE renvoie les événements qui ne contiennent pas le modèle correspondant dans la chaîne d’événements. Nom d’utilisateur ! ~ John Affiche les événements pour les utilisateurs, à l’exception de John, John Smith ou de tout autre utilisateur de ce type qui contient le nom correspondant « John ».
!= Vérifie la chaîne exacte que vous spécifiez dans les événements utilisateur. Cet opérateur NOT EQUAL renvoie les événements qui ne contiennent pas la chaîne exacte n’importe où dans la chaîne d’événements. Country != USA Affiche les événements pour les pays, à l’exception des États-Unis.
IN Attribuez plusieurs valeurs à une dimension pour obtenir les événements liés à une ou plusieurs valeurs. Nom d’utilisateur IN (John, Kevin) Retrouvez tous les événements liés à John ou Kevin.
NOT IN Attribuez plusieurs valeurs à une dimension et recherchez les événements qui ne contiennent pas les valeurs spécifiées. Nom d’utilisateur NON INSCRIT (John, Kevin) Trouvez les événements pour tous les utilisateurs, à l’exception de John et Kevin.
EST VIDE Vérifie la présence d’une valeur nulle ou vide pour une dimension. Cet opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-NameBrowser, et Country. Il ne fonctionne pas pour les dimensions de type non chaîne (nombre) telles que Upload-File-SizeDownload-File-Size, et Client-IP. Le pays EST VIDE Recherchez les événements pour lesquels le nom du pays n’est pas disponible ou est vide (non spécifié).
N’EST PAS VIDE Vérifie s’il n’y a pas de valeur nulle ou une valeur spécifique pour une dimension. Cet opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-NameBrowser, et Country. Il ne fonctionne pas pour les dimensions de type non chaîne (nombre) telles que Upload-File-SizeDownload-File-Size, et Client-IP. Le pays n’est pas vide Recherchez les événements pour lesquels le nom du pays est disponible ou spécifié.

Remarque

Pour l’opérateur NOT EQUAL, lorsque vous saisissez les valeurs des dimensions de votre condition, utilisez les valeurs exactes disponibles sur la page de recherche en libre-service d’une source de données. Les valeurs de dimension sont sensibles à la casse.

Modification d’un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs de risque personnalisés et stratégies.

  2. Dans l’onglet Indicateurs, sélectionnez l’indicateur de risque personnalisé à modifier.

  3. Sur la page Modifier l’indicateur, modifiez les informations si nécessaire.

  4. Cliquez sur Enregistrer.

Remarque

Si vous modifiez les attributs tels que la condition, la catégorie de risque, la gravité et le nom d’un indicateur de risque personnalisé existant, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé (avec les anciens attributs) qui ont été déclenchées pour l’utilisateur.

Par exemple, vous avez créé un indicateur de risque personnalisé avec la condition Country ! = Inde. Ainsi, cet indicateur de risque personnalisé est déclenché lorsqu’un utilisateur ouvre une session depuis l’extérieur de l’Inde. Maintenant, vous modifiez l’état de l’indicateur de risque personnalisé en Pays ! = « États-Unis ». Dans ce cas, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé avec la condition Country ! = Inde sur les chronologies des utilisateurs qui ont déclenché l’indicateur de risque.

Supprimer un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs de risque personnalisés et stratégies.

  2. Dans l’onglet Indicateurs, cochez la case de l’indicateur de risque personnalisé.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue, confirmez votre demande de suppression de l’indicateur de risque personnalisé.

Remarque

Si vous supprimez un indicateur de risque personnalisé, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé qui ont été déclenchées pour l’utilisateur.

Par exemple, vous supprimez un indicateur de risque personnalisé existant avec la condition Country ! = Inde. Dans ce cas, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé avec la condition Country ! = Inde sur les chronologies des utilisateurs qui ont déclenché l’indicateur de risque.

Exemples d’indicateurs de risque personnalisés

Les exemples suivants illustrent comment créer des indicateurs de risque personnalisés pour la source de données Citrix Gateway. Pour plus d’informations sur les dimensions (facettes) et les opérateurs disponibles pour la source de données Gateway, consultez la section Recherche en libre-service de passerelle.

Indicateurs de risque personnalisés Gateway

  • Indicateur de risque personnalisé des informations d’identification non valides : Vous pouvez créer l’indicateur de risque personnalisé en définissant les conditions suivantes :

    • Événement : Les utilisateurs entrent des informations d’identification incorrectes ou erronées.

    • Fréquence des événements : Les événements se produisent trois fois par jour.

    Conditions définies d'informations d'identification non valides

    Lorsque les conditions spécifiées sont remplies, Analytics déclenche l’indicateur de risque personnalisé et vous pouvez afficher l’indicateur de risque sur la chronologie des risques de l’utilisateur.

    Indicateur de risque personnalisé d'informations d'identification non valide

    Cliquez sur Recherche d’événements sur l’indicateur de risque personnalisé pour afficher les détails de l’événement sur la page de recherche en libre-service.

    Recherche d'informations d'identification non valide

  • Indicateur de risque personnalisé introuvable pour l’utilisateur de la passerelle : Vous pouvez créer l’indicateur de risque personnalisé en définissant les conditions suivantes :

    • Événement : un utilisateur tente de se connecter à Citrix Gateway à l’aide d’un nom d’utilisateur non enregistré.

    • Fréquence des événements : Les événements se produisent trois fois par jour et ce schéma se répète au moins deux fois.

    Conditions définies par les informations d'identification non enregistrées

    Lorsque les conditions spécifiées sont remplies, Analytics déclenche l’indicateur de risque personnalisé et vous pouvez afficher l’indicateur de risque sur la chronologie des risques de l’utilisateur.

    Indicateur de risque personnalisé pour les informations d'identification non enregistrées

    Cliquez sur Recherche d’événements sur l’indicateur de risque personnalisé pour afficher les détails de l’événement sur la page de recherche en libre-service.

    Recherche d'informations d'identification non enregistrées

Indicateurs de risque personnalisés préconfigurés

Citrix fournit une liste d’indicateurs de risque personnalisés préconfigurés pour vous aider à surveiller la sécurité de votre infrastructure Citrix. Les conditions de ces indicateurs de risque personnalisés préconfigurés sont définies en fonction de scénarios de risque de sécurité spécifiques tels que les utilisateurs compromis, les menaces internes et l’exfiltration de données. Pour plus d’informations, consultez la section Indicateurs de risque personnalisés préconfigurés.