Citrix Analytics for Security

Indicateurs de risque personnalisés

Les indicateurs de risque utilisateur détectés par Citrix Analytics sont basés sur des algorithmes d’apprentissage automatique. Citrix Analytics vous permet désormais de créer des indicateurs de risque personnalisés. Vous pouvez définir des conditions en fonction des événements utilisateur et créer un indicateur de risque personnalisé. Si les événements correspondent aux critères définis, Citrix Analytics déclenche l’indicateur de risque personnalisé et l’affiche sur la chronologie des risques de l’utilisateur.

Vous pouvez créer des indicateurs de risque personnalisés sur les sources de données suivantes :

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Page Indicateurs de risque personnalisés

La page Indicateurs de risque personnalisés fournit des informations sur tous les indicateurs de risque personnalisés générés pour un utilisateur, la gravité, la source de données, le nombre de stratégies, la catégorie de risque, le statut, ainsi que la date et l’heure de la dernière modification de l’indicateur. Pour créer un indicateur de risque personnalisé, reportez-vous à la section Création d’un indicateur de risque personnalisé.

Indicateurs personnalisés

Lorsque vous sélectionnez l’indicateur de risque, vous êtes redirigé vers la page Modifier l’indicateur de risque . Pour de plus amples informations, consultez Modification d’un indicateur de risque personnalisé.

Analyse d’un indicateur de risque personnalisé

Considérez un utilisateur dont l’action a déclenché un indicateur de risque personnalisé que vous avez défini. Citrix Analytics affiche l’indicateur de risque personnalisé sur la chronologie des risques de l’utilisateur.

Lorsque vous sélectionnez l’indicateur de risque personnalisé dans la chronologie de risque de l’utilisateur, le volet droit affiche les informations suivantes :

  • Condition (s) définie (s) : Affiche un résumé des conditions que vous définissez lors de la création d’un indicateur de risque personnalisé.

  • Description : fournit un résumé de la description que vous fournissez lors de la création de l’indicateur de risque personnalisé. Si aucune description n’est fournie lors de la création de l’indicateur de risque personnalisé, cette section reflète Aucune.

  • Fréquence de déclenchement : affiche l’option que vous sélectionnez dans la section Options avancéeslors de la création de l’indicateur de risque personnalisé.

Indicateurs personnalisés

Remarque

Les indicateurs de risque personnalisés sont représentés par une étiquette sur la chronologie du risque utilisateur.

Actions que vous pouvez appliquer à l’utilisateur

Actuellement, la possibilité de prendre des mesures appropriées sur les comptes d’utilisateurs qui déclenchent des indicateurs de risque personnalisés n’est pas disponible.

Création d’un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

  2. Sous l’onglet Indicateurs, sélectionnez Créer un indicateur.

    Indicateurs personnalisés

  3. Sélectionnez la source de données pour laquelle vous souhaitez créer l’indicateur de risque personnalisé.

  4. Définissez les conditions de votre indicateur de risque personnalisé à l’aide des dimensions et des opérateurs de la zone de recherche. Pour plus d’informations sur les dimensions (facettes) et les opérateurs valides, reportez-vous à la section Recherche en libre-service.

    Le lien Déclencheurs estimés est activé dans la section Options avancées . Cliquez sur le lien pour prédire les instances approximatives de l’indicateur de risque personnalisé qui serait déclenché pour les conditions définies. Ces instances sont calculées en fonction des données historiques que Citrix Analytics gère et répond aux conditions définies.

    Remarque

    Assurez-vous de cliquer sur Déclencheurs estiméspour prédire le nombre d’occurrences d’indicateurs de risque personnalisés pour la dernière condition définie.

  5. Dans la section Options avancées, sélectionnez la fréquence de l’événement à déclencher l’indicateur de risque personnalisé. Lorsque vous ne sélectionnez aucune option, Citrix Analytics considère Chaque fois : Générez l’indicateur de risque chaque fois que les événements se produisent comme option par défaut et génère l’indicateur de risque personnalisé. Vous pouvez choisir parmi les options suivantes :

    • Chaque fois : l’indicateur de risque est déclenché chaque fois que les événements répondent aux conditions définies.

    • Première fois : l’indicateur de risque est déclenché lorsque les événements répondent pour la première fois aux conditions définies.

    • Excessif : L’indicateur de risque est déclenché lorsque les conditions suivantes sont remplies :

      • Les événements répondent aux conditions définies.

      • Les événements se produisent pour le nombre de fois spécifié au cours de la période spécifiée.

    • Fréquent : L’indicateur de risque est déclenché une fois que les conditions suivantes sont remplies :

      • Les événements répondent aux conditions définies.

      • Les événements se produisent pour le nombre de fois spécifié au cours de la période spécifiée.

      • Le modèle d’événement se répète pour le nombre de fois spécifié.

  6. Sélectionnez la catégorie de risque de l’indicateur de risque personnalisé. Les indicateurs de risque sont regroupés en fonction du type d’exposition au risque de l’indicateur de risque personnalisé. Pour obtenir de l’aide sur la sélection des catégories de risque, reportez-vous à la section Catégories de risque.

  7. Sélectionnez la gravité de l’indicateur de risque personnalisé.

  8. Définissez le nom de l’indicateur de risque personnalisé dans la zone de texte Nom de l’indicateur .

  9. Dans la zone de texte Description, fournissez une description valide de l’indicateur de risque personnalisé.

  10. Au bas de la page Créer un indicateur, vous pouvez activer ou désactiver l’indicateur de risque personnalisé si nécessaire.

  11. Cliquez sur Créer un indicateur.

    Indicateurs personnalisés

Modification d’un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

  2. Sous l’onglet Indicateurs, sélectionnez l’indicateur de risque personnalisé à modifier.

  3. Sur la page Modifier l’indicateur, modifiez les informations selon vos besoins.

  4. Cliquez sur Enregistrer.

Suppression d’un indicateur de risque personnalisé

  1. Accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

  2. Sous l’onglet Indicateurs, activez la case à cocher de l’indicateur de risque personnalisé.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue, confirmez votre demande de suppression de l’indicateur de risque personnalisé.

Exemples d’indicateurs de risque personnalisés

Les exemples suivants illustrent comment créer des indicateurs de risque personnalisés pour la source de données Citrix Gateway. Pour plus d’informations sur les dimensions (facettes) et les opérateurs disponibles pour la source de données Gateway, reportez-vous à la section Recherche en libre-service pour Gateway.

Indicateurs de risque personnalisés de la passerelle

  • Indicateur de risque personnalisé des informations d’identification non valides : vous pouvez créer l’indicateur de risque personnalisé en définissant les conditions suivantes :

    • Événement : Les utilisateurs saisissent des informations d’identification incorrectes ou incorrectes.

    • Fréquence des événements : Les événements se produisent trois fois par jour.

    Conditions définies d'informations d'identification non valides

    Lorsque les conditions spécifiées sont remplies, Analytics déclenche l’indicateur de risque personnalisé et vous pouvez afficher l’indicateur de risque dans la chronologie de risque de l’utilisateur.

    Indicateur de risque personnalisé des informations d'identification non valide

    Cliquez sur Recherche d’événements dans l’indicateur de risque personnalisé pour afficher les détails de l’événement sur la page de recherche en libre-service.

    Recherche d'informations d'identification non valide

  • Utilisateur de passerelle introuvable indicateur de risque personnalisé : vous pouvez créer l’indicateur de risque personnalisé en définissant les conditions suivantes :

    • Événement : les utilisateurs essaient de se connecter à Citrix Gateway à l’aide d’un nom d’utilisateur non enregistré.

    • Fréquence des événements : Les événements se produisent trois fois par jour et ce schéma se répète au moins deux fois.

    Conditions définies des informations d'identification non enregistrées

    Lorsque les conditions spécifiées sont remplies, Analytics déclenche l’indicateur de risque personnalisé et vous pouvez afficher l’indicateur de risque dans la chronologie de risque de l’utilisateur.

    Indicateur de risque personnalisé des informations d'identification non enregistrées

    Cliquez sur Recherche d’événements dans l’indicateur de risque personnalisé pour afficher les détails de l’événement sur la page de recherche en libre-service.

    Recherche d'informations d'identification non enregistrées