Citrix Analytics for Security

Indicateurs de risque personnalisés

Il existe deux types d’indicateurs de risque que vous pouvez voir dans Citrix Analytics for Security :

  • Indicateurs de risque par défaut : Ces indicateurs de risque sont basés sur l’algorithme d’apprentissage automatique. Pour plus d’informations, consultez la section Indicateurs de risque utilisateur Citrix.

  • Indicateurs de risque personnalisés : Ces indicateurs de risque sont créés manuellement par les administrateurs.

Lorsque vous créez un indicateur de risque personnalisé, vous pouvez définir les conditions de déclenchement et les paramètres en fonction de vos cas d’utilisation. Si les événements utilisateur correspondent à vos critères définis, Citrix Analytics déclenche l’indicateur de risque personnalisé et l’affiche sur la chronologie des risques de l’utilisateur.

Créez des indicateurs de risque personnalisés pour les sources de données suivantes :

  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Secure Private Access
  • Citrix Virtual Apps and Desktops sur site
  • Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service)

Indicateurs de risque personnalisés préconfigurés

Citrix fournit également quelques indicateurs de risque personnalisés avec des conditions préconfigurées pour vous aider à surveiller la sécurité de votre infrastructure Citrix. Vous pouvez modifier les conditions préconfigurées en fonction de vos cas d’utilisation. Pour plus d’informations, consultez la section Indicateurs de risque personnalisés préconfigurés.

Page des indicateurs de risque personnalisés

La page Indicateurs de risque personnalisés fournit des informations sur tous les indicateurs de risque personnalisés générés pour un utilisateur, la gravité, la source de données, le nombre de stratégies, la catégorie de risque, le statut et la date et l’heure de dernière modification de l’indicateur. Pour créer un indicateur de risque personnalisé, reportez-vous à la section Création d’un indicateur de risque personnalisé.

Indicateurs personnalisés

Lorsque vous sélectionnez l’indicateur de risque, vous êtes redirigé vers la page Modifier l’indicateur de risque . Pour plus d’informations, consultez la section Modification d’un indicateur de risque personnalisé.

Analyse d’un indicateur de risque personnalisé

Prenons l’exemple d’un utilisateur dont l’action a déclenché un indicateur de risque personnalisé que vous avez défini. Citrix Analytics affiche l’indicateur de risque personnalisé sur la chronologie des risques de l’utilisateur.

Lorsque vous sélectionnez l’indicateur de risque personnalisé sur la chronologie des risques de l’utilisateur, le volet droit affiche les informations suivantes :

  • Condition (s) définie (s) : affiche un résumé des conditions que vous avez définies lors de la création d’un indicateur de risque personnalisé.

  • Description : fournit un résumé de la description que vous fournissez lors de la création de l’indicateur de risque personnalisé. Si aucune description n’est fournie lors de la création de l’indicateur de risque personnalisé, cette section indique Aucun.

  • Fréquence de déclenchement : affiche l’option que vous sélectionnez dans la section Options avancéeslors de la création de l’indicateur de risque personnalisé.

  • Détails de l’événement : affiche la chronologie et les détails des événements utilisateur qui ont déclenché l’indicateur de risque personnalisé. Vous pouvez cliquer sur Recherche d’événements pour afficher les événements utilisateur sur la page de recherche en libre-service. La page de recherche en libre-service affiche les événements associés à l’utilisateur et l’indicateur de risque personnalisé. La requête de recherche affiche les conditions définies pour l’indicateur de risque personnalisé.

Indicateurs personnalisés

Remarque

Les indicateurs de risque personnalisés sont représentés par une étiquette sur la chronologie des risques utilisateur.

Actions que vous pouvez appliquer à l’utilisateur

Lorsqu’un indicateur de risque personnalisé est déclenché pour un utilisateur, vous pouvez appliquer une action manuellement ou créer une stratégie pour appliquer une action automatiquement. Pour plus d’informations, consultez la section Stratégies et actions.

Modèles d’indicateurs de risque personnalisés

Vous pouvez créer un indicateur de risque personnalisé à l’aide de l’un des modèles prédéfinis ou continuer sans utiliser de modèle.

Les modèles servent de point de départ à la création d’un indicateur de risque personnalisé. Il vous aide à créer un indicateur de risque personnalisé en fournissant des requêtes et des paramètres prédéfinis que vous pouvez sélectionner en fonction de vos cas d’utilisation.

Vous pouvez utiliser un modèle tel quel ou le modifier pour répondre à vos besoins. À l’aide des modèles, les administrateurs peuvent créer des indicateurs de risque intéressants sans formation supplémentaire.

Un modèle comprend les informations suivantes :

  • Description : Indique l’objectif de la requête définie dans le modèle.

  • Source de données : indique la source de données à laquelle le modèle s’applique.

  • Catégorie de risque : indique la catégorie de risque associée aux événements recherchés par la requête. Il existe quatre catégories d’événements à risque : l’exfiltration de données, les menaces internes, les utilisateurs compromis et les points finaux de compromission. Pour plus d’informations, voir Catégories de risques.

  • Fréquence : indique la fréquence à laquelle la requête se déclenche.

  • Gravité : indique la gravité du risque associé à l’événement. Le risque peut être élevé, moyen ou faible.

  • Créé par : indique le créateur du modèle. Les modèles sont toujours définis par le système.

  • Requête : indique les conditions définies dans le modèle. La requête récupère les événements utilisateur qui répondent aux conditions.

L’image suivante montre le modèle pour l’utilisation du cas d’utilisation du presse-papiers sur les applications SaaS.

Modèle d'utilisation du presse-papiers

Si vous ne trouvez pas de modèle pour votre cas d’utilisation ou si vous souhaitez définir votre propre requête, vous pouvez continuer sans modèle.

Création d’un indicateur de risque personnalisé

Pour créer un indicateur de risque personnalisé :

  1. Accédez à Sécurité > Indicateurs de risque personnalisés > Créer un indicateur.

    Créer un indicateur de risque personnalisé

  2. Sélectionnez un modèle pour afficher le cas d’utilisation. S’il répond à vos besoins, sélectionnez Appliquer le modèle à l’indicateur.

    Remarque

    Vous pouvez également modifier la condition prédéfinie et les paramètres d’un modèle.

    Sélectionner un modèle

  3. Si vous ne trouvez pas le modèle souhaité ou si vous souhaitez créer votre propre condition, sélectionnez Poursuivre sans modèle.

    Sélectionner sans modèle

  4. Suivez les instructions à l’écran pour créer un indicateur.

Remarques

  • Vous pouvez créer des indicateurs de risque personnalisés jusqu’à une limite maximale de 50. Si vous atteignez cette limite maximale, vous devez supprimer ou modifier tout indicateur de risque personnalisé existant pour créer un indicateur de risque personnalisé.

  • Lorsqu’un indicateur de risque personnalisé est déclenché, il s’affiche immédiatement sur la chronologie de l’utilisateur . Toutefois, le résumé des risques et le score de risque de l’utilisateur sont mis à jour après quelques minutes (environ 15 à 20 minutes).

Définition d’une condition pour un indicateur de risque personnalisé

Utilisez la zone de requête pour définir les conditions de l’indicateur de risque personnalisé. Selon la source de données sélectionnée, vous obtenez les dimensions correspondantes et les opérateurs valides pour définir vos conditions.

Lorsque vous sélectionnez une dimension et un opérateur valide, les valeurs de la dimension s’affichent automatiquement. La liste des valeurs suggérées pour une dimension est soit prédéfinie (valeurs connues) dans la base de données, soit basée sur les événements historiques.

Par exemple, les valeurs des dimensions IP-AddressCity, et Country sont suggérées en fonction des événements historiques des utilisateurs. Alors que les valeurs suggérées pour la dimension Clipboard-Operations sont prédéfinies, telles que copier, couper ou coller.

Vous pouvez choisir une valeur parmi les valeurs suggérées ou en saisir une nouvelle en fonction de vos besoins.

L’image suivante montre les valeurs suggérées pour la dimension Event-Type.

Exemple de requête

Si vous utilisez un modèle, la condition est prédéfinie. Toutefois, vous pouvez ajouter ou modifier la condition prédéfinie en fonction de votre cas d’utilisation.

En dessous de la zone de requête, vous pouvez voir le lien Déclencheurs estimés . Cliquez sur le lien pour prédire les instances approximatives de l’indicateur de risque personnalisé qui serait déclenché pour les conditions définies. Ces instances sont calculées sur la base des données historiques que Citrix Analytics conserve et répondent aux conditions définies.

Assurez-vous de cliquer sur Déclencheurs estimés pour prédire le nombre d’occurrences d’indicateurs de risque personnalisés pour la dernière condition définie.

Utilisation des options avancées

Dans la section Options avancées, sélectionnez la fréquence de l’événement pour déclencher l’indicateur de risque personnalisé. Lorsque vous ne sélectionnez aucune option, Citrix Analytics considère Chaque fois : Générer l’indicateur de risque chaque fois que le ou les événements se produisent en tant qu’option par défaut et génère l’indicateur de risque personnalisé. Vous pouvez choisir parmi les options suivantes :

  • À chaque fois : l’indicateur de risque est déclenché chaque fois que les événements répondent aux conditions définies.

  • Première fois : l’indicateur de risque est déclenché lorsque les événements remplissent les conditions définies pour la première fois.

    • Première fois pour une nouvelleentité : activez cette option pour détecter les événements reçus d’une nouvelle entité pour la première fois. Voici quelques exemples d’entités : Client IP, Country, City et Device-ID. Vous ne pouvez sélectionner qu’une seule entité en fonction de la source de données. Cette option vous permet de créer un indicateur de risque sans spécifier de valeur explicite pour les entités. Par exemple, lorsque vous sélectionnez l’entité comme « Ville », il n’est pas nécessaire de spécifier le nom de la ville. L’indicateur de risque est déclenché lorsque des événements sont reçus d’une nouvelle ville pour la première fois.

      Le tableau suivant répertorie les entités correspondant à chaque source de données et décrit les conditions du déclencheur.

      Source de données Entité condition de déclenchement
      Content Collaboration, accès privé sécurisé City Lorsqu’un utilisateur ouvre une session depuis une nouvelle ville pour la première fois.
        Client-IP Lorsqu’un utilisateur ouvre une session à partir d’une nouvelle adresse IP pour la première fois.
        Country Lorsqu’un utilisateur ouvre une session depuis un nouveau pays pour la première fois.
      Applications et bureaux Nom de l’application Lorsqu’un utilisateur ouvre une nouvelle application virtuelle ou une application SaaS pour la première fois.
        URL de l’application Lorsqu’un utilisateur saisit une nouvelle URL d’application dans un navigateur de son bureau virtuel pour la première fois.
        City Lorsqu’un utilisateur lance des applications ou des bureaux depuis une nouvelle ville pour la première fois.
        Client-IP Lorsqu’un utilisateur ouvre une session à partir d’une nouvelle adresse IP pour la première fois.
        Country Lorsqu’un utilisateur lance des applications ou des bureaux depuis un nouveau pays pour la première fois.
        ID de l’appareil Lorsqu’un utilisateur lance des applications virtuelles ou des bureaux virtuels à partir d’un nouvel appareil tel qu’un appareil mobile, un ordinateur portable ou un ordinateur de bureau pour la première fois.
        Type de périphérique de téléchargement Lorsqu’un utilisateur utilise un nouveau support de stockage tel qu’une clé USB pour la première fois.
      Gateway Client-IP Lorsqu’un utilisateur ouvre une session à partir d’une nouvelle adresse IP pour la première fois.

      L’exemple suivant montre un indicateur de risque personnalisé créé pour la source de données Apps and Desktops. L’indicateur de risque est déclenché lorsqu’un utilisateur lance pour la première fois un bureau virtuel ou une application virtuelle à partir d’un nouvel appareil.

      ID de l'appareil pour la première fois

      Vous pouvez également ajouter une condition en même temps que la première fois pour une nouvelle option. Dans ce cas, l’indicateur de risque est déclenché lorsqu’il détecte les événements de la nouvelle entité pour la première fois et lorsque les événements répondent à la condition définie.

      L’exemple suivant montre une condition définie pour l’indicateur de risque personnalisé et l’option Première fois pour un nouvel ID de périphérique activée. L’indicateur de risque est déclenché lorsqu’un utilisateur situé en Inde lance pour la première fois une session de bureau virtuel à partir d’un nouvel appareil.

      Première fois avec condition

  • Excessif : L’indicateur de risque est déclenché lorsque les conditions suivantes sont remplies :

    • Les événements répondent aux conditions définies.

    • Les événements se produisent le nombre de fois spécifié au cours de la période spécifiée.

  • Fréquents : L’indicateur de risque est déclenché lorsque les conditions suivantes sont remplies :

    • Les événements répondent aux conditions définies.

    • Les événements se produisent le nombre de fois spécifié au cours de la période spécifiée.

    • Le modèle d’événement se répète le nombre de fois spécifié.

Sélection de la catégorie de risque

Sélectionnez la catégorie de risque pour votre indicateur de risque personnalisé.

Les indicateurs de risque sont regroupés en fonction du type d’exposition au risque de l’indicateur de risque personnalisé. Pour obtenir de l’aide sur la sélection des catégories de risques, voir Catégories de risques.

Sélection de la gravité

La gravité indique le niveau de gravité d’un événement à risque, détecté par l’indicateur de risque. Lorsque vous créez un indicateur de risque personnalisé, sélectionnez un niveau de gravité élevé, moyen ou faible.

Si vous appliquez un modèle, l’option de gravité est présélectionnée. Vous pouvez modifier cette présélection en fonction de votre cas d’utilisation.

Opérateurs pris en charge pour définir une condition

Vous pouvez utiliser les opérateurs suivants lorsque vous définissez une condition.

Opérateur Description Exemple Résultat
: Attribuez une valeur à la requête de recherche. User-Name : John Affiche les événements de l’utilisateur John.
= Attribuez une valeur à la requête de recherche. User-Name = John Affiche les événements de l’utilisateur John.
~ Recherchez des valeurs similaires. User-Name ~ test Affiche les événements ayant des noms d’utilisateur similaires.
”” Enclenchez les valeurs séparées par des espaces. User-Name = “John Smith” Affiche les événements de l’utilisateur John Smith.
<, > Recherchez la valeur relationnelle. Volume de données > 100 Affiche les événements dont le volume de données est supérieur à 100 Go.
AND Valeurs de recherche pour lesquelles les deux conditions sont vraies. Nom d’utilisateur : Volume de données AND John > 100 Affiche les événements de l’utilisateur John dont le volume de données est supérieur à 100 Go.
* Valeurs de recherche qui correspondent au caractère zéro fois ou plus. User-Name = John* Affiche les événements pour tous les noms d’utilisateurs commençant par John.
    User-Name = *John* Affiche les événements de tous les noms d’utilisateurs contenant John.
    User-Name = *Smith Affiche les événements pour tous les noms d’utilisateurs qui se terminent par Smith.
!~ Vérifie dans les événements utilisateur le modèle de correspondance que vous spécifiez. Cet opérateur NOT LIKE renvoie les événements qui ne contiennent pas le modèle correspondant dans la chaîne d’événements. User-Name !~ John Affiche les événements pour les utilisateurs, à l’exception de John, John Smith ou de tout autre utilisateur de ce type qui contient le nom correspondant « John ».
!= Vérifie la chaîne exacte que vous spécifiez dans les événements utilisateur. Cet opérateur NOT EQUAL renvoie les événements qui ne contiennent pas la chaîne exacte n’importe où dans la chaîne d’événements. Country != USA Affiche les événements pour les pays, à l’exception des États-Unis.
IN Attribuez plusieurs valeurs à une dimension pour obtenir les événements liés à une ou plusieurs valeurs. User-Name IN (John, Kevin) Retrouvez tous les événements liés à John ou Kevin.
NOT IN Attribuez plusieurs valeurs à une dimension et recherchez les événements qui ne contiennent pas les valeurs spécifiées. User-Name NOT IN (John, Kevin) Trouvez les événements pour tous les utilisateurs, à l’exception de John et Kevin.
IS EMPTY Vérifie la présence d’une valeur nulle ou vide pour une dimension. Cet opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-Name, Browser et Country. Il ne fonctionne pas pour les dimensions de type non chaîne (nombre) telles que Upload-File-Size, Download-File-Size et Client-IP. Country IS EMPTY Recherchez les événements pour lesquels le nom du pays n’est pas disponible ou est vide (non spécifié).
IS NOT EMPTY Vérifie s’il n’y a pas de valeur nulle ou une valeur spécifique pour une dimension. Cet opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-Name, Browser et Country. Il ne fonctionne pas pour les dimensions de type non chaîne (nombre) telles que Upload-File-Size, Download-File-Size et Client-IP. Country IS NOT EMPTY Recherchez les événements pour lesquels le nom du pays est disponible ou spécifié.

Remarque

Pour l’opérateur NOT EQUAL, lorsque vous saisissez les valeurs des dimensions de votre condition, utilisez les valeurs exactes disponibles sur la page de recherche en libre-service d’une source de données. Les valeurs de dimension sont sensibles à la casse.

Modification d’un indicateur de risque personnalisé

  1. Accédez à Sécurité > Indicateurs de risque personnalisés.

  2. Sélectionnez l’indicateur de risque personnalisé que vous souhaitez modifier.

  3. Sur la page Modifier l’indicateur, modifiez les informations si nécessaire.

  4. Cliquez sur Enregistrer.

Remarque

Si vous modifiez les attributs tels que la condition, la catégorie de risque, la gravité et le nom d’un indicateur de risque personnalisé existant, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé (avec les anciens attributs) qui ont été déclenchées pour l’utilisateur.

Par exemple, vous avez créé un indicateur de risque personnalisé avec la condition Country ! = Inde. Ainsi, cet indicateur de risque personnalisé est déclenché lorsqu’un utilisateur ouvre une session depuis l’extérieur de l’Inde. Maintenant, vous modifiez l’état de l’indicateur de risque personnalisé en Pays ! = « États-Unis ». Dans ce cas, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé avec la condition Country ! = Inde sur les chronologies des utilisateurs qui ont déclenché l’indicateur de risque.

Supprimer un indicateur de risque personnalisé

  1. Accédez à Sécurité > Indicateurs de risque personnalisés.

  2. Sélectionnez l’indicateur de risque personnalisé que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue, confirmez votre demande de suppression de l’indicateur de risque personnalisé.

Remarque

Si vous supprimez un indicateur de risque personnalisé, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé qui ont été déclenchées pour l’utilisateur.

Par exemple, vous supprimez un indicateur de risque personnalisé existant avec la condition Country ! = Inde. Dans ce cas, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé avec la condition Country ! = Inde sur les chronologies des utilisateurs qui ont déclenché l’indicateur de risque.