Citrix Analytics for Security

Indicateurs de risque personnalisés

Les indicateurs de risque utilisateur détectés par Citrix Analytics sont basés sur des algorithmes d’apprentissage automatique. Citrix Analytics vous permet désormais de créer des indicateurs de risque personnalisés. Vous pouvez définir des conditions en fonction des événements utilisateur et créer un indicateur de risque personnalisé. Si les événements correspondent aux critères définis, Citrix Analytics déclenche l’indicateur de risque personnalisé et l’affiche sur la chronologie des risques de l’utilisateur.

Vous pouvez créer des indicateurs de risque personnalisés sur les sources de données suivantes :

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Page Indicateurs de risque personnalisés

La page Indicateurs de risque personnalisés fournit des informations sur tous les indicateurs de risque personnalisés générés pour un utilisateur, la gravité, la source de données, le nombre de stratégies, la catégorie de risque, le statut et la date et l’heure de dernière modification de l’indicateur. Pour créer un indicateur de risque personnalisé, reportez-vous à la section Création d’un indicateur de risque personnalisé.

Indicateurs personnalisés

Lorsque vous sélectionnez l’indicateur de risque, vous êtes redirigé vers la page Modifier l’indicateur de risque . Pour de plus amples informations, consultez la section Modification d’un indicateur de risque personnalisé.

Analyse d’un indicateur de risque personnalisé

Considérez un utilisateur dont l’action a déclenché un indicateur de risque personnalisé que vous avez défini. Citrix Analytics affiche l’indicateur de risque personnalisé sur la chronologie des risques de l’utilisateur.

Lorsque vous sélectionnez l’indicateur de risque personnalisé dans la chronologie de risque de l’utilisateur, le volet droit affiche les informations suivantes :

  • Condition (s) définie (s) : Affiche un résumé des conditions que vous définissez lors de la création d’un indicateur de risque personnalisé.

  • Description : fournit un résumé de la description que vous fournissez lors de la création de l’indicateur de risque personnalisé. Si aucune description n’est fournie lors de la création de l’indicateur de risque personnalisé, cette section reflète Aucune.

  • Fréquence de déclenchement : affiche l’option que vous sélectionnez dans la section Options avancéeslors de la création de l’indicateur de risque personnalisé.

Indicateurs personnalisés

Remarque

Les indicateurs de risque personnalisés sont représentés par une étiquette sur la chronologie du risque utilisateur.

Actions que vous pouvez appliquer à l’utilisateur

Actuellement, la possibilité de prendre des mesures appropriées sur les comptes d’utilisateurs qui déclenchent des indicateurs de risque personnalisés n’est pas disponible.

Création d’un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

  2. Sous l’onglet Indicateurs, sélectionnez Créer un indicateur.

    Indicateurs personnalisés

  3. Sélectionnez la source de données pour laquelle vous souhaitez créer l’indicateur de risque personnalisé.

  4. Définissez les conditions de votre indicateur de risque personnalisé à l’aide des dimensions et de la valeur valide opérateurs dans la zone État. Pour plus d’informations sur les dimensions (facettes) d’une source de données, reportez-vous à la section Recherche en libre-service.

    Le lien Déclencheurs estimés est activé dans la section Options avancées . Cliquez sur le lien pour prédire les instances approximatives de l’indicateur de risque personnalisé qui serait déclenché pour les conditions définies. Ces instances sont calculées en fonction des données historiques que Citrix Analytics gère et répond aux conditions définies.

    Remarque

    Assurez-vous de cliquer sur Déclencheurs estiméspour prédire le nombre d’occurrences d’indicateurs de risque personnalisés pour la dernière condition définie.

  5. Dans la section Options avancées, sélectionnez la fréquence de l’événement à déclencher l’indicateur de risque personnalisé. Lorsque vous ne sélectionnez aucune option, Citrix Analytics considère Chaque fois : Générez l’indicateur de risque chaque fois que les événements se produisent comme option par défaut et génère l’indicateur de risque personnalisé. Vous pouvez choisir parmi les options suivantes :

    • Chaque fois : l’indicateur de risque est déclenché chaque fois que les événements répondent aux conditions définies.

    • Première fois : l’indicateur de risque est déclenché lorsque les événements répondent pour la première fois aux conditions définies.

      • Première fois pour une nouvelle : activez cette option pour détecter les événements reçus d’une nouvelle entité pour la première fois. Certains exemples d’entités sont l’adresse IP du client, le pays, la ville et l’ID de l’appareil. Vous ne pouvez sélectionner qu’une seule entité en fonction de la source de données. Cette option vous permet de créer un indicateur de risque sans spécifier de valeur explicite pour les entités. Par exemple, lorsque vous sélectionnez l’entité comme « Ville », vous n’avez pas besoin de spécifier le nom de la ville. L’indicateur de risque est déclenché lorsque des événements sont reçus d’une nouvelle ville pour la première fois.

        Le tableau suivant répertorie les entités correspondant à chaque source de données et décrit les conditions de déclenchement.

        Source de données Entité Conditions de déclenchement
        Contrôle d’accès, Content Collaboration Client-IP Lorsqu’un utilisateur ouvre une session à partir d’une nouvelle adresse IP pour la première fois.
          Pays Lorsqu’un utilisateur ouvre une session depuis un nouveau pays pour la première fois.
          Ville Lorsqu’un utilisateur ouvre une session depuis une nouvelle ville pour la première fois.
        Virtual Apps and Desktops ID de l’appareil Lorsqu’un utilisateur lance pour la première fois des applications virtuelles ou des postes de travail virtuels à partir d’un nouvel appareil tel qu’un appareil mobile, un ordinateur portable ou un ordinateur de bureau.
          Média de stockage Lorsqu’un utilisateur utilise pour la première fois un nouveau support de stockage tel qu’une clé USB.
          Nom de l’application Lorsqu’un utilisateur ouvre une nouvelle application virtuelle ou une application SaaS pour la première fois.
          URL de l’application Lorsqu’un utilisateur saisit une nouvelle URL d’application sur un navigateur de son bureau virtuel pour la première fois.
          Pays Lorsqu’un utilisateur lance des applications virtuelles ou des postes de travail virtuels depuis un nouveau pays pour la première fois.
          Ville Lorsqu’un utilisateur lance des applications virtuelles ou des postes de travail virtuels à partir d’une nouvelle ville pour la première fois.
        Gateway Client-IP Lorsqu’un utilisateur ouvre une session à partir d’une nouvelle adresse IP pour la première fois.

        L’exemple suivant montre un indicateur de risque personnalisé créé pour la source de données Virtual Apps and Desktops. L’indicateur de risque est déclenché lorsqu’un utilisateur lance pour la première fois un bureau virtuel ou une application virtuelle à partir d’un nouvel appareil.

        ID d'appareil pour la première fois

        Vous pouvez également ajouter une condition avec la première fois pour une nouvelle option. Dans ce cas, l’indicateur de risque est déclenché lorsqu’il détecte les événements de la nouvelle entité pour la première fois et quand les événements répondent à la condition définie.

        L’exemple suivant montre une condition définie pour l’indicateur de risque personnalisé et la première fois pour une nouvelle option ID de périphérique activée. L’indicateur de risque est déclenché lorsqu’un utilisateur situé en Inde lance pour la première fois une session de bureau virtuel à partir d’un nouvel appareil.

        Première fois avec condition

    • Excessif : L’indicateur de risque est déclenché lorsque les conditions suivantes sont remplies :

      • Les événements répondent aux conditions définies.

      • Les événements se produisent pour le nombre de fois spécifié au cours de la période spécifiée.

    • Fréquent : L’indicateur de risque est déclenché une fois que les conditions suivantes sont remplies :

      • Les événements répondent aux conditions définies.

      • Les événements se produisent pour le nombre de fois spécifié au cours de la période spécifiée.

      • Le modèle d’événement se répète pour le nombre de fois spécifié.

  6. Sélectionnez la catégorie de risque de l’indicateur de risque personnalisé. Les indicateurs de risque sont regroupés en fonction du type d’exposition au risque de l’indicateur de risque personnalisé. Pour de l’aide sur la sélection des catégories de risque, reportez-vous à la section Catégories de risque.

  7. Sélectionnez la gravité de l’indicateur de risque personnalisé.

  8. Définissez le nom de l’indicateur de risque personnalisé dans la zone de texte Nom de l’indicateur .

  9. Dans la zone de texte Description, fournissez une description valide de l’indicateur de risque personnalisé.

  10. Au bas de la page Créer un indicateur, vous pouvez activer ou désactiver l’indicateur de risque personnalisé si nécessaire.

  11. Cliquez sur Créer un indicateur.

    Indicateurs personnalisés

Remarque

Vous pouvez créer des indicateurs de risque personnalisés jusqu’à une limite maximale de 50. Si vous atteignez cette limite maximale, vous devez supprimer ou modifier tout indicateur de risque personnalisé existant pour créer un indicateur de risque personnalisé.

Opérateurs pris en charge pour définir une condition

Vous pouvez utiliser les opérateurs suivants lors de la définition d’une condition.

Opérateur Description Exemple Résultat
: Attribuer une valeur à la requête de recherche Nom d’utilisateur : John Affiche les événements pour l’utilisateur John
= Attribuer une valeur à la requête de recherche Nom d’utilisateur = John Affiche les événements pour l’utilisateur John
~ Rechercher des valeurs similaires Nom d’utilisateur ~ test Affiche les événements ayant des noms d’utilisateur similaires
”” Enfermer les valeurs séparées par des espaces Nom d’utilisateur = « John Smith » Affiche les événements de l’utilisateur John Smith
<, > Recherche de valeur relationnelle Volume de données > 100 Affiche les événements où le volume de données est supérieur à 100 Go
ET Valeurs de recherche lorsque les deux conditions sont vraies Nom d’utilisateur : Volume de données AND John > 100 Affiche les événements de l’utilisateur John où le volume de données est supérieur à 100 Go
* Valeurs de recherche correspondant au caractère zéro ou plusieurs fois Nom d’utilisateur = John* Affiche les événements pour tous les noms d’utilisateur commençant par John
    Nom d’utilisateur = *John* Affiche les événements pour tous les noms d’utilisateur contenant John
    Nom d’utilisateur = *Smith Affiche les événements pour tous les noms d’utilisateurs se terminant par Smith
!= Valeurs de recherche où la condition n’est pas vraie Country != USA Affiche les événements pour les pays à l’exception des États-Unis
IN Affecter plusieurs valeurs à une dimension pour obtenir les événements liés à une ou plusieurs valeurs User-Name IN (“John”, “Kevin”) Retrouvez tous les événements liés à John ou Kevin
NOT IN Affectez plusieurs valeurs à une dimension et recherchez les événements qui ne contiennent pas les valeurs spécifiées User-Name NOT IN (“John”, “Kevin”) Trouver les événements pour tous les utilisateurs sauf John et Kevin

L’opérateur NOT EQUAL (!=) est valide pour les dimensions suivantes :

Source de données Dimensions
Contrôle d’accès Pays, Ville, Action, URL, Catégorie d’URL, Réputation, Navigateur, OS, Appareil
Content Collaboration Pays, ville, système d’exploitation client
Gateway Étape d’authentification, IP du client
Virtual Apps and Desktops Pays, Ville, Nom de l’application, Opération du Presse-papiers, Navigateur, Système d’exploitation

Remarque

Pour l’opérateur NOT EQUAL, lorsque vous entrez les valeurs des dimensions dans votre état, utilisez les valeurs exactes disponibles sur la recherche en libre-service page pour une source de données. Les valeurs de dimension sont sensibles à la casse.

Modification d’un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

  2. Sous l’onglet Indicateurs, sélectionnez l’indicateur de risque personnalisé à modifier.

  3. Sur la page Modifier l’indicateur, modifiez les informations selon vos besoins.

  4. Cliquez sur Enregistrer.

Suppression d’un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

  2. Sous l’onglet Indicateurs, activez la case à cocher de l’indicateur de risque personnalisé.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue, confirmez votre demande de suppression de l’indicateur de risque personnalisé.

Exemples d’indicateurs de risque personnalisés

Les exemples suivants illustrent comment créer des indicateurs de risque personnalisés pour la source de données Citrix Gateway. Pour plus d’informations sur les dimensions (facettes) et les opérateurs disponibles pour la source de données Gateway, reportez-vous à la section Recherche en libre-service pour Gateway.

Indicateurs de risque personnalisés de la passerelle

  • Indicateur de risque personnalisé des informations d’identification non valides : vous pouvez créer l’indicateur de risque personnalisé en définissant les conditions suivantes :

    • Événement : Les utilisateurs saisissent des informations d’identification incorrectes ou incorrectes.

    • Fréquence des événements : Les événements se produisent trois fois par jour.

    Conditions définies d'informations d'identification non valides

    Lorsque les conditions spécifiées sont remplies, Analytics déclenche l’indicateur de risque personnalisé et vous pouvez afficher l’indicateur de risque dans la chronologie de risque de l’utilisateur.

    Indicateur de risque personnalisé des informations d'identification non valide

    Cliquez sur Recherche d’événements dans l’indicateur de risque personnalisé pour afficher les détails de l’événement sur la page de recherche en libre-service.

    Recherche d'informations d'identification non valide

  • Utilisateur de passerelle introuvable indicateur de risque personnalisé : vous pouvez créer l’indicateur de risque personnalisé en définissant les conditions suivantes :

    • Événement : un utilisateur tente de se connecter à Citrix Gateway à l’aide d’un nom d’utilisateur non enregistré.

    • Fréquence des événements : Les événements se produisent trois fois par jour et ce schéma se répète au moins deux fois.

    Conditions définies des informations d'identification non enregistrées

    Lorsque les conditions spécifiées sont remplies, Analytics déclenche l’indicateur de risque personnalisé et vous pouvez afficher l’indicateur de risque dans la chronologie de risque de l’utilisateur.

    Indicateur de risque personnalisé des informations d'identification non enregistrées

    Cliquez sur Recherche d’événements dans l’indicateur de risque personnalisé pour afficher les détails de l’événement sur la page de recherche en libre-service.

    Recherche d'informations d'identification non enregistrées

Indicateurs de risque personnalisés préconfigurés

Citrix fournit une liste d’indicateurs de risque personnalisés préconfigurés pour vous aider à surveiller la sécurité de votre infrastructure Citrix. Les conditions de ces indicateurs de risque personnalisés préconfigurés sont définies en fonction de scénarios spécifiques de risque de sécurité tels que les utilisateurs compromis, les menaces initiées et l’exfiltration des données. Pour de plus amples informations, consultez la section Indicateurs de risque personnalisés préconfigurés.