Citrix Analytics for Security

Indicateurs et stratégies de risque personnalisés préconfigurés

Citrix fournit une liste de préconfigurés d’indicateurs de risque personnalisés et une stratégie pour vous aider à surveiller la sécurité de votre infrastructure Citrix. Les conditions de ces indicateurs de risque personnalisés préconfigurés et de la stratégie sont définies en fonction de scénarios spécifiques de risque de sécurité tels que les utilisateurs compromis, les menaces initiées et l’exfiltration des données. Vous pouvez également modifier ces conditions en fonction de vos exigences de sécurité et utiliser les indicateurs de risque personnalisés pour atténuer les risques.

Indicateurs de risque personnalisés préconfigurés pour le géofencing

Les indicateurs de risque personnalisés préconfigurés sont déclenchés chaque fois que les utilisateurs accèdent aux produits Citrix depuis l’extérieur de leur pays d’exploitation habituel. Par défaut, le pays d’opération est défini sur « États-Unis ». Vous pouvez définir votre pays requis pour le géofencing.

Par défaut, les indicateurs de risque personnalisés préconfigurés sont dans l’état désactivé. Activez le bouton STATUS pour les activer.

Indicateurs de risque personnalisés préconfigurés

Le tableau suivant décrit les différents indicateurs de risque personnalisés préconfigurés.

Nom de l’indicateur de risque personnalisé Scénario Conditions de l’indicateur personnalisé Source de données Catégorie de risque
La session CVAD-débute en dehors du périmètre de géofencing L’utilisateur a démarré une session virtuelle en dehors de son pays d’implantation Event-Type = Session.logon Country != “United States” Application Citrix Workspace Utilisateurs compromis
Croisement GW-Géofence L’utilisateur dispose d’une authentification réussie depuis l’extérieur de son pays d’implantation Event-Type = “VPN_AI” AND Country != “United States” Citrix Gateway (local) Utilisateurs compromis
Croisement CCC-géofence Connexion d’un non-salarié de l’extérieur du pays d’implantation Is-Employee = “False” AND Operation-Name = “Login” AND Country != “United States” Citrix Content Collaboration Utilisateurs compromis

Stratégie préconfigurée pour le géofencing

Citrix fournit une stratégie préconfigurée qui applique l’action Demander une réponse de l’utilisateur final à un compte d’utilisateur chaque fois que l’utilisateur démarre une session virtuelle depuis l’extérieur de son pays d’implantation. L’utilisateur reçoit un e-mail et, en fonction de la réponse de l’utilisateur, une action appropriée est prise, par exemple ajouter l’utilisateur à la liste de surveillance ou informer l’administrateur de toute autre action. Pour de plus amples informations, consultez la section Demander réponse de l’utilisateur.

Stratégie préconfigurée

Le tableau suivant décrit la stratégie préconfigurée.

Nom de la stratégie Scénario Condition de stratégie Action appliquée
Début de la session en dehors du périmètre de géofencing Possibilité pour un administrateur de valider la légitimité de l’utilisateur via l’action « Demander une réponse de l’utilisateur final » lorsque l’utilisateur démarre la session virtuelle en dehors de son pays d’exploitation Utiliser avec un indicateur de risque personnalisé préconfiguré - « CVAD Session démarrée en dehors du périmètre de géofencing » Demander une réponse de l’utilisateur final
      Sur la base de la réponse de l’utilisateur suivante, l’action correspondante est appliquée :
      Si l’utilisateur ne reconnaît pas l’activité : Ajouter à la liste de suivi
      Si l’utilisateur reconnaît l’activité : aucune action n’est requise
      Si l’utilisateur ne répond pas dans les 60 minutes suivant la réception de l’e-mail : ajoutez l’utilisateur à la liste de suivi

Remarque

L’action Demander une réponse de l’utilisateur final est prise en charge uniquement dans la région États-Unis. Par conséquent, si votre organisation est intégré à la région Union européenne dans Citrix Cloud, la stratégie préconfigurée n’est pas appliquée à votre compte. Pour utiliser la stratégie préconfigurée, modifiez la stratégie et sélectionnez une autre action de votre choix.

Créez votre propre stratégie avec des indicateurs de risque personnalisés préconfigurés

Vous pouvez également créer vos propres stratégies à l’aide de ces indicateurs de risque personnalisés préconfigurés et appliquer des actions telles que verrouiller les utilisateurs ou fermer la session des utilisateurs chaque fois que les indicateurs sont déclenchés. Pour plus d’informations sur la création de stratégies, reportez-vous à la section Configurer les stratégies et les actions.

L’exemple suivant montre une stratégie qui verrouille les utilisateurs qui tentent d’accéder aux services Citrix depuis l’extérieur des États-Unis. L’accès utilisateur est verrouillé si l’utilisateur ne reconnaît pas son activité d’accès.

État : traversée GW-Geofence

Action : Demander une réponse de l’utilisateur final

Action suivante : Verrouiller l’utilisateur si l’utilisateur ne reconnaît pas l’activité

Exemple de géofencing

Remarque

L’action Demander une réponse de l’utilisateur final est prise en charge uniquement dans la région États-Unis. Par conséquent, si votre organisation est intégré à la région Union européenne, sélectionnez une autre action de votre choix au lieu de l’action Demander une réponse de l’utilisateur final.

Indicateurs et stratégies de risque personnalisés préconfigurés