Stratégies et actions

Vous pouvez créer des stratégies sur Citrix Analytics pour vous aider à effectuer des actions sur les comptes d’utilisateurs lorsque des activités inhabituelles ou suspectes se produisent. Les stratégies vous permettent d’automatiser le processus d’application d’actions telles que désactiver un utilisateur, ajouter des utilisateurs à une liste de surveillance. Lorsque vous activez des stratégies, une action correspondante est appliquée immédiatement après qu’un événement anormal se produit et que la condition de stratégie est remplie. Vous pouvez également appliquer manuellement des actions sur des comptes d’utilisateurs ayant des activités anormales.

Que sont les stratégies ?

Une stratégie est un ensemble de conditions qui doivent être remplies pour qu’une action soit exécutée. Une stratégie contient une ou plusieurs conditions et une seule action. Vous pouvez créer une stratégie avec plusieurs conditions et une action qui peut être appliquée au compte d’un utilisateur.

Le score de risque est une condition globale. Des conditions globales peuvent être appliquées à un utilisateur spécifique pour une source de données spécifique. Vous pouvez surveiller les comptes d’utilisateurs qui montrent des activités inhabituelles. D’autres conditions sont propres aux sources de données et à leurs indicateurs de risque. Les conditions contiennent des combinaisons de scores de risque, d’indicateurs de risque par défaut et d’indicateurs de risque personnalisés. Vous pouvez ajouter jusqu’à 4 conditions lors de la création d’une stratégie.

Créer une stratégie

Par exemple, si votre organisation utilise des données sensibles, vous pouvez limiter la quantité de données partagées ou accessibles par les utilisateurs en interne. Mais si vous disposez d’une grande organisation, il ne serait pas possible pour un seul administrateur de gérer et de surveiller de nombreux utilisateurs. Vous pouvez créer une stratégie dans laquelle toute personne qui partage des données sensibles de manière excessive peut être ajoutée à une liste de suivi ou avoir son compte désactivé immédiatement.

Stratégies par défaut

Les stratégies par défaut sont prédéfinies et activées dans le tableau de bord Stratégies. Ils sont créés en fonction de conditions prédéfinies et une action correspondante est affectée à chaque stratégie par défaut. Vous pouvez utiliser une stratégie par défaut ou la modifier en fonction de vos besoins.

Citrix Analytics prend en charge les stratégies par défaut suivantes :

  • Exploitation réussie des informations d’identification
  • Exfiltration potentielle des données
  • Accès inhabituel à partir d’une adresse IP suspecte
  • Accès inhabituel aux applications à partir d’un emplacement inhabituel
  • Utilisateur à faible risque - accès pour la première fois à partir d’une nouvelle IP
  • Premier accès à partir de l’appareil

Pour plus d’informations sur les conditions prédéfinies et les actions des stratégies par défaut, reportez-vous à la section Évaluation continue des risques.

Stratégies par défaut

Comment ajouter ou supprimer des conditions ?

Pour ajouter d’autres conditions, sélectionnez Ajouter une condition dans la section IF THE FOLLOWING CONDITION IS MET de la page Créer une stratégie. Pour supprimer une condition, sélectionnez l’icône - qui s’affiche en regard de la condition.

Ajouter et supprimer une condition

Indicateurs de risque par défaut et personnalisés

Le menu Conditions est séparé en fonction des onglets Indicateurs de risque par défaut et Indicateurs de risque personnalisés de la page Créer une stratégie. À l’aide de ces onglets, vous pouvez facilement identifier le type d’indicateur de risque que vous souhaitez choisir lors de la sélection d’une condition pour la configuration de stratégie.

Ajouter et supprimer une condition

Que sont les actions ?

Les actions sont des réponses à des événements suspects qui empêchent l’exécution d’événements anormaux dans l’avenir. Vous pouvez appliquer des actions sur les comptes d’utilisateurs qui affichent un comportement inhabituel ou suspect. Vous pouvez soit configurer des stratégies pour qu’elles prennent automatiquement des mesures sur le compte de l’utilisateur, soit appliquer manuellement une action spécifique à partir de la chronologie des risques de l’utilisateur.

Vous pouvez afficher les actions globales ou les actions pour chaque source de données Citrix. Vous pouvez également désactiver les actions précédemment appliquées pour un utilisateur à tout moment.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Le tableau suivant décrit les actions que vous pouvez effectuer.

Nom de l’action Description Sources de données applicables le
Actions globales    
Ajouter à la liste de surveillance Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance. Toutes les sources de données
  Le volet Utilisateurs de la Liste de surveillance affiche tous les utilisateurs que vous souhaitez surveiller pour détecter les menaces potentielles en fonction de l’activité inhabituelle de leur compte. En fonction de la stratégie de votre organisation, vous pouvez ajouter un utilisateur à la liste de suivi à l’aide de l’action Ajouter à la liste de suivi.  
  Pour ajouter un utilisateur à la liste de suivi, accédez au profil de l’utilisateur, dans le menu Actions, sélectionnez Ajouter à la liste de suivi. Cliquez sur Appliquer pour appliquer l’action.  
Notifier l’administrateur Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.  
Demander réponse de l’utilisateur Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, vous pouvez informer l’utilisateur pour confirmer si l’utilisateur identifie l’activité. En fonction de l’activité, vous pouvez déterminer le plan d’action suivant à prendre sur le compte de l’utilisateur. Toutes les sources de données
Actions Citrix Gateway    
Déconnecter l’utilisateur Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’aura pas effacé l’action Déconnexion de l’utilisateur. Citrix Gateway sur site et Citrix Application Delivery Management
Verrouiller l’utilisateur Lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Gateway n’a pas déverrouillé le compte. Citrix Gateway
Déverrouiller l’utilisateur Lorsque le compte d’un utilisateur est verrouillé accidentellement bien que le comportement anormal n’ait pas été détecté, vous pouvez appliquer cette action pour le déverrouiller et restaurer l’accès au compte. Citrix Gateway
Actions Citrix Content Collaboration    
Désactiver l’utilisateur Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration. Citrix Content Collaboration
  Une fois leur compte désactivé, l’utilisateur verra une notification. La notification sur la page d’ouverture de session de leur compte leur demande de contacter leur administrateur Content Collaboration pour plus d’informations.  
Expirer tous les liens partagés Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur. Citrix Content Collaboration
  Lorsqu’un utilisateur partage des fichiers de manière excessive, l’indicateur de risque de partage de fichiers excessif est déclenché et les liens partagés ont expiré. Lorsque les liens partagés ont expiré, le lien devient invalide et il n’est pas accessible par les utilisateurs avec lesquels le lien a été partagé.  
Actions Citrix Virtual Apps and Desktops    
Déconnecter l’utilisateur Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via des postes de Virtual Desktops tant que l’administrateur des postes de travail virtuels n’a pas effacé l’action Déconnexion de l’utilisateur. Virtual Apps and Desktops et Citrix Virtual Apps and Desktops Service locaux
Démarrer l’enregistrement de session Si un événement inhabituel sur le compte Virtual Desktops de l’utilisateur est détecté, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Si l’utilisateur est sur Virtual Apps and Desktops 7.18 ou une version supérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur. Virtual Apps and Desktops locaux
Actions Citrix Endpoint Management    
Verrouiller l’appareil Lorsqu’une activité inhabituelle sur un périphérique est détectée, ce qui a pour résultat que le score de risque de l’utilisateur dépasse une valeur spécifiée, vous pouvez utiliser l’action Verrouiller l’appareil Service Citrix Endpoint Management
  Lorsque l’action est appliquée, tous les périphériques de l’utilisateur sont verrouillés. Cependant, les utilisateurs peuvent balayer l’écran de leur appareil, entrer le code d’accès et continuer leur travail.  

Remarque

  • Si vous appliquez l’action Désactiver l’utilisateur pour un utilisateur Content Collaboration, le compte de l’utilisateur n’est pas désactivé tant que l’administrateur Content Collaboration n’a pas vu la notification. Pendant la période intérimaire, l’utilisateur peut utiliser son compte Content Collaboration et les données continuent d’être traitées par Citrix Analytics. Une fois que l’administrateur Content Collaboration désactive le compte de l’utilisateur, il doit contacter son administrateur Content Collaboration pour que son compte soit réactivé. L’administrateur Citrix Analytics ne peut pas activer les comptes Content Collaboration désactivés.

  • Pour les Virtual Apps et les postes de travail locaux, vous devez télécharger un agent à partir de Citrix Analytics et l’installer sur Delivery Controller pour effectuer les actions Déconnexion utilisateur et Démarrer l’enregistrement de session. Pour plus d’informations sur l’agent, reportez-vous à la section Activer l’analyse sur les sites Virtual Apps and Desktops.

Configurer les stratégies et les actions

Par exemple, en suivant les étapes ci-dessous, vous pouvez créer une stratégie de partage de fichiers excessif. À l’aide de cette stratégie, lorsqu’un utilisateur de votre organisation partage une quantité exceptionnellement importante de données, les liens de partage expirent automatiquement. Vous êtes averti lorsqu’un utilisateur partage des données qui dépassent le comportement normal de cet utilisateur. En appliquant la stratégie de partage de fichiers excessif et en prenant des mesures immédiates, vous pouvez empêcher l’exfiltration de données à partir du compte d’un utilisateur.

Pour créer une stratégie, procédez comme suit :

  1. Après vous être connecté à Citrix Analytics, dans la barre d’outils, accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

    Stratégie des paramètres

  2. Dans le tableau de bord Stratégies, cliquez sur Créer une stratégie.

    Bouton Créer une stratégie

  3. Dans la zone de liste IF THE FOLLOWING CONDITION IS MET, sélectionnez les conditions d’indicateur de risque par défaut ou personnalisées auxquelles vous souhaitez appliquer une action.

    Ajouter et supprimer une condition

  4. Dans la liste THEN DO THE FOLLOWING, sélectionnez une action.

    Ensuite, procédez comme suit

  5. Dans la zone de texte Nom de la stratégie, indiquez un nom et activez la stratégie à l’aide du bouton bascule fourni.

    Créer une stratégie

  6. Cliquez sur Créer une stratégie.

Demander réponse de l’utilisateur

Demander réponse de l’utilisateur est une action globale à l’aide de laquelle vous pouvez alerter un utilisateur immédiatement après avoir détecté une activité inhabituelle. En fonction de la réponse de l’utilisateur, vous pouvez déterminer le plan d’action suivant que vous souhaitez prendre. Si vous recevez une réponse indiquant que l’utilisateur a effectué l’activité signalée, l’activité n’est pas suspecte et vous n’avez pas besoin d’agir sur le compte de l’utilisateur. La limite quotidienne d’envoi d’une alerte de sécurité à l’utilisateur est de trois courriels.

Considérez un utilisateur Citrix Content Collaboration dont le score de risque a dépassé 80 en une durée de 80 minutes. Vous pouvez alerter l’utilisateur de ce comportement inhabituel en appliquant l’action Demander réponse de l’utilisateur. Une alerte de sécurité est envoyée à l’utilisateur à partir de l’ID e-mail security-analytics@citrix.com. L’e-mail contient des informations telles que l’activité, l’appareil, la date et l’heure, ainsi que l’adresse IP. En outre, l’action Demander réponse de l’utilisateur est ajoutée à la chronologie des risques de l’utilisateur.

Demander réponse de l'utilisateur

Comment définir le temps de réponse de l’utilisateur ?

Vous pouvez configurer le temps de réponse de l’utilisateur à votre message d’alerte de sécurité en procédant comme suit :

  1. Accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

  2. Dans la page Stratégies, sélectionnez le menu Paramètres et mettez à jour le nombre de minutes dans la zone de texte.

  3. Cliquez sur Enregistrer les paramètres.

    Temps de réponse de l'utilisateur

Notifier l’utilisateur après avoir appliqué une action perturbatrice

Dans ce type d’action, vous pouvez appliquer une action perturbatrice telle que Fermer l’utilisateur et Verrouiller l’utilisateur sur le compte de l’utilisateur lorsqu’une activité inhabituelle est détectée. Lorsqu’une action est appliquée sur le compte de l’utilisateur, les services de son compte peuvent être interrompus. Dans de tels cas, l’utilisateur doit contacter l’administrateur pour pouvoir accéder à son compte comme auparavant.

Considérez un utilisateur Citrix Content Collaboration dont le score de risque a dépassé 80 en une durée de 80 minutes. Vous pouvez fermer la session de l’utilisateur. Une fois cette tâche effectuée, l’utilisateur ne peut pas accéder à son compte et une notification par e-mail est envoyée à l’utilisateur à partir de l’ID e-mail security-analytics@citrix.com. L’e-mail contient des détails sur l’événement, tels que l’activité, l’appareil, la date et l’heure, ainsi que l’adresse IP. L’utilisateur doit contacter l’administrateur pour accéder à son compte comme avant.

Appliquer une action perturbatrice

Appliquer une action manuellement

Considérez un utilisateur, Guillaume Martin, qui se connecte à un réseau en utilisant un nouvel appareil pour la première fois. Pour surveiller son compte car son comportement est inhabituel, vous pouvez utiliser l’action Notifier les administrateurs.

Pour appliquer l’action manuellement à l’utilisateur, vous devez :

Accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez l’action Notifier les administrateurs et cliquez sur Appliquer.

Liste d'actions

En raison de l’activité inhabituelle et suspecte sur le compte de Guillaume, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud pour surveiller son compte. L’action appliquée est ajoutée à sa chronologie de risque et les détails de l’action sont affichés dans le volet droit de la page de chronologie de risque.

Action appliquée

Gérer les stratégies

Vous pouvez afficher le tableau de bord Stratégies pour gérer toutes les stratégies créées sur Citrix Analytics afin de surveiller et d’identifier les incohérences sur votre réseau. Dans le tableau de bord Stratégies, vous pouvez :

  1. Afficher la liste des stratégies

  2. Détails de la stratégie

    • Nom de la stratégie

    • Statut — Activé ou désactivé.

    • Durée de la stratégie : nombre de jours pendant lesquels la stratégie a été active ou inactive.

    • Nombre de clics : nombre de fois que la stratégie est déclenchée.

    • Modifié — Horodatage, uniquement si la stratégie a été modifiée.

  3. Supprimer la stratégie

    • Pour supprimer une stratégie, vous pouvez sélectionner la stratégie à supprimer et cliquer sur Supprimer.

    • Vous pouvez également cliquer sur le nom de la stratégie pour être redirigé vers la page Modifier la stratégie. Cliquez sur Supprimer la stratégie. Dans la boîte de dialogue, confirmez votre demande de suppression de la stratégie.

  4. Créer une stratégie

  5. Cliquez sur le nom d’une stratégie pour afficher plus de détails. Vous pouvez également modifier la stratégie lorsque vous cliquez sur son nom. D’autres modifications qui peuvent être effectuées sont les suivantes :

    • Modifiez le nom de la stratégie.

    • Conditions de la stratégie.

    • Les actions à appliquer.

    • Activez ou désactivez la stratégie.

    • Supprimez la stratégie.

Remarque

  • Si vous ne souhaitez pas supprimer votre stratégie, vous pouvez choisir de la désactiver.

  • Pour réactiver la stratégie dans le tableau de bord Stratégies, procédez comme suit :

    • Dans le tableau de bord Stratégies, cliquez sur le curseur Statut en vert.

    • Sur la page Modifier la stratégie, cliquez sur le bouton du curseur Activé en bas de la page.

Modes pris en charge

Citrix Analytics prend en charge les modes suivants sur les stratégies :

  • Mode d’application - Dans ce mode, les stratégies configurées ont un impact sur les comptes d’utilisateurs.

  • Mode de surveillance : dans ce mode, les stratégies configurées n’ont pas d’impact sur les comptes d’utilisateurs. Vous pouvez définir des stratégies sur ce mode si vous souhaitez tester des configurations de stratégie.

Suivez les instructions suivantes pour configurer les modes sur les stratégies :

  1. Accédez à Paramètres > Indicateurs et stratégies de risque personnalisés.

  2. Sur la page Stratégies, sélectionnez l’icône en haut à droite, qui s’affiche en regard de la barre de recherche. La fenêtre SELECT MODE s’affiche.

  3. Sélectionnez le mode de votre choix et cliquez sur Enregistrer les paramètres.

Remarque

Les stratégies par défaut créées par Analytics sont définies sur le mode de surveillance. Par conséquent, les stratégies existantes héritent également de ce mode. Vous pouvez évaluer l’impact de toutes les stratégies ensemble, puis les changer en mode d’application.

Modes de stratégie

Recherche en libre-service pour les stratégies

Sur la recherche en libre-service page, vous pouvez afficher les événements utilisateur qui ont satisfait aux conditions définies dans les stratégies. La page affiche également les actions appliquées à ces événements utilisateur. Filtrer les événements utilisateur en fonction des actions appliquées.