Citrix Analytics for Security

Indicateurs et stratégies de risque personnalisés préconfigurés

Citrix Analytics for Security fournit une liste de préconfigurés indicateurs de risque personnalisés et une liste stratégie pour vous aider à surveiller la sécurité de votre infrastructure Citrix. Les conditions de ces indicateurs de risque personnalisés préconfigurés et de la stratégie sont déjà définies en fonction de scénarios de risque de sécurité spécifiques tels que les utilisateurs compromis, les menaces internes et l’exfiltration de données. Vous pouvez également modifier ces conditions préconfigurées ou ajouter vos propres conditions en fonction de vos exigences de sécurité et utiliser les indicateurs de risque personnalisés pour atténuer les risques.

Actuellement, les indicateurs de risque personnalisés préconfigurés sont disponibles pour les scénarios suivants :

  • Géofencing

  • Premier accès

Indicateurs de risque personnalisés préconfigurés pour le scénario de géofencing

Utilisez les indicateurs de risque personnalisés préconfigurés suivants pour détecter les événements utilisateur pour le scénario de géofencing. Ces indicateurs de risque personnalisés préconfigurés sont déclenchés chaque fois que les utilisateurs accèdent aux produits Citrix en dehors de leur pays d’exploitation habituel. Par défaut, le pays d’opération est défini sur « États-Unis ». Vous pouvez définir votre pays requis pour le géofencing.

  • La session CVAD-débute en dehors du périmètre de géofencing

  • Croisement GW-Géofence

  • Croisement CCC-géofence

Par défaut, les indicateurs de risque personnalisés préconfigurés sont dans l’état désactivé. Utilisez le bouton STATUS pour les activer.

Indicateurs de risque personnalisés préconfigurés

Le tableau suivant décrit les différents indicateurs de risque personnalisés préconfigurés pour le géofencing.

Nom de l’indicateur de risque personnalisé Scénario Conditions de l’indicateur personnalisé Source de données Catégorie de risque
La session CVAD-débute en dehors du périmètre de géofencing L’utilisateur a démarré une session virtuelle en dehors de son pays d’implantation Event-Type = Session.logon Country != “United States” Application Citrix Workspace Utilisateurs compromis
Croisement GW-Géofence L’utilisateur dispose d’une authentification réussie depuis l’extérieur de son pays d’implantation Event-Type = “VPN_AI” AND Country != “United States” Citrix Gateway (local) Utilisateurs compromis
Croisement CCC-géofence Connexion d’un non-salarié de l’extérieur du pays d’implantation Is-Employee = “False” AND Operation-Name = “Login” AND Country != “United States” Citrix Content Collaboration Utilisateurs compromis

Stratégie préconfigurée pour le scénario de géofencing

Citrix fournit une stratégie préconfigurée qui applique l’action Demander une réponse de l’utilisateur final à un compte d’utilisateur chaque fois que l’utilisateur démarre une session virtuelle depuis l’extérieur de son pays d’implantation. L’utilisateur reçoit un e-mail et, en fonction de la réponse de l’utilisateur, une action appropriée est prise, par exemple ajouter l’utilisateur à la liste de surveillance ou informer l’administrateur de toute autre action. Pour de plus amples informations, consultez Demander réponse de l’utilisateur.

Stratégie préconfigurée

Le tableau suivant décrit la stratégie préconfigurée pour le geofencing.

Nom de stratégie Scénario Condition de stratégie Action appliquée
Début de la session en dehors du périmètre de géofencing Possibilité pour un administrateur de valider la légitimité de l’utilisateur via l’action « Demander une réponse de l’utilisateur final » lorsque l’utilisateur démarre la session virtuelle en dehors de son pays d’exploitation Utiliser avec un indicateur de risque personnalisé préconfiguré - « CVAD Session démarrée en dehors du périmètre de géofencing » Demander une réponse de l’utilisateur final
      Sur la base de la réponse de l’utilisateur suivante, l’action correspondante est appliquée :
      Si l’utilisateur ne reconnaît pas l’activité : Ajouter à la liste de suivi
      Si l’utilisateur reconnaît l’activité : aucune action n’est requise
      Si l’utilisateur ne répond pas dans les 60 minutes suivant la réception de l’e-mail : ajoutez l’utilisateur à la liste de suivi

Remarque

L’action Demander une réponse de l’utilisateur final est prise en charge uniquement dans la région États-Unis. Par conséquent, si votre organisation est intégré à la région Union européenne dans Citrix Cloud, la stratégie préconfigurée n’est pas appliquée à votre compte. Pour utiliser la stratégie préconfigurée, modifiez la stratégie et sélectionnez une autre action de votre choix.

Créez votre propre stratégie avec des indicateurs de risque personnalisés préconfigurés pour le géofencing

Vous pouvez également créer vos propres stratégies à l’aide de ces indicateurs de risque personnalisés préconfigurés et appliquer des actions telles que verrouiller les utilisateurs ou fermer la session des utilisateurs chaque fois que les indicateurs sont déclenchés. Pour plus d’informations sur la création de stratégies, reportez-vous à la section Configurer les stratégies et les actions.

L’exemple suivant montre une stratégie qui verrouille les utilisateurs qui tentent d’accéder aux services Citrix depuis l’extérieur des États-Unis. L’accès utilisateur est verrouillé si l’utilisateur ne reconnaît pas son activité d’accès.

État : traversée GW-Geofence

Action : Demander une réponse de l’utilisateur final

Action suivante : Verrouiller l’utilisateur si l’utilisateur ne reconnaît pas l’activité

Exemple de géofencing

Remarque

L’action Demander une réponse de l’utilisateur final est prise en charge uniquement dans la région États-Unis. Par conséquent, si votre organisation est intégré à la région Union européenne, sélectionnez une autre action de votre choix au lieu de l’action Demander une réponse de l’utilisateur final.

Indicateurs de risque personnalisés préconfigurés pour le premier scénario d’accès

Utilisez les indicateurs de risque personnalisés suivants pour détecter les événements utilisateur pour la première fois des scénarios d’accès :

  • CVAD - Premier accès depuis un nouvel appareil

  • Accès pour la première fois sur la passerelle à partir d’une nouvelle adresse IP

Par défaut, ces indicateurs de risque personnalisés préconfigurés sont dans l’état activé. Utilisez le bouton STATUS si vous souhaitez les désactiver.

Liste des premiers accès ci

Le tableau suivant décrit les indicateurs de risque personnalisés préconfigurés pour la première fois.

Nom de l’indicateur personnalisé Scénario Conditions préconfigurées Source de données Catégorie de risque
CVAD - Premier accès depuis un nouvel appareil Lorsqu’un utilisateur de l’application Citrix Workspace se connecte à partir de l’un des éléments suivants : Les conditions suivantes sont activées par défaut : Citrix Virtual Apps and Desktops Utilisateurs compromis
  Un nouvel appareil La première fois pour un nouvel identifiant de périphérique.    
  Un appareil existant qui n’a pas été utilisé depuis 90 jours. Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS")    
Accès pour la première fois sur la passerelle à partir d’une nouvelle adresse IP Lorsqu’un utilisateur Citrix Gateway se connecte avec succès à partir de l’un des éléments suivants : Les conditions suivantes sont activées par défaut : Citrix Gateway Utilisateurs compromis
  Une nouvelle adresse IP publique La première fois pour une nouvelle adresse IP cliente    
  Adresse IP publique existante qui n’a pas été utilisée depuis 90 jours. Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1    

Dans la barre de conditions, vous pouvez également ajouter vos propres conditions en plus des conditions préconfigurées pour identifier les menaces conformément à vos besoins.

Par exemple, si vous souhaitez identifier les événements utilisateur d’un pays particulier, vous pouvez ajouter la dimension pays avec la condition préconfigurée :

  • Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States”

  • Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”

Indicateurs et stratégies de risque personnalisés préconfigurés