Indicateurs de risque utilisateur Citrix®
Remarque
Attention : Citrix Content Collaboration™ et ShareFile ont atteint leur fin de vie et ne sont plus disponibles pour les utilisateurs.
Les indicateurs de risque utilisateur sont des activités utilisateur qui semblent suspectes ou peuvent constituer une menace de sécurité pour votre organisation. Ces indicateurs de risque couvrent tous les produits Citrix utilisés dans votre déploiement. Les indicateurs de risque sont déclenchés lorsque le comportement de l’utilisateur s’écarte de la normale. Chaque indicateur de risque peut être associé à un ou plusieurs facteurs de risque. Ces facteurs de risque vous aident à déterminer le type d’anomalies dans les événements utilisateur. Les indicateurs de risque et leurs facteurs de risque associés déterminent le score de risque d’un utilisateur.
Voici les facteurs de risque associés aux indicateurs de risque :
-
Indicateurs de risque basés sur l’appareil : Se déclenche lorsqu’un utilisateur se connecte depuis un appareil considéré comme inhabituel en fonction de l’historique des appareils de l’utilisateur.
-
Indicateurs de risque basés sur la localisation : Se déclenche lorsqu’un utilisateur se connecte depuis une adresse IP associée à un emplacement considéré comme inhabituel en fonction de l’historique de localisation de l’utilisateur.
-
Indicateurs de risque basés sur l’adresse IP : Se déclenche lorsqu’un utilisateur tente d’accéder à des ressources depuis une adresse IP identifiée comme suspecte, que cette adresse IP soit inhabituelle ou non pour l’utilisateur.
-
Indicateurs de risque basés sur les échecs de connexion : Se déclenche lorsqu’un utilisateur présente un schéma d’échecs de connexion excessifs ou inhabituels.
-
Indicateurs de risque basés sur les données : Se déclenche lorsqu’un utilisateur tente d’exfiltrer des données d’une session Workspace. Les comportements utilisateur observés incluent les événements de copier-coller, les modèles de téléchargement, etc.
-
Indicateurs de risque basés sur les fichiers : Se déclenche lorsqu’un comportement utilisateur concernant l’accès aux fichiers sur Content Collaboration est considéré comme inhabituel en fonction de son modèle d’accès historique. Les comportements utilisateur observés incluent les modèles de téléchargement, l’accès à du contenu sensible, les activités indicatives de rançongiciels, etc.
-
Indicateurs de risque personnalisés : Se déclenche lorsqu’une condition préconfigurée ou une condition définie par l’utilisateur est remplie. Pour plus d’informations, consultez les articles suivants :
-
Autres indicateurs de risque - Les indicateurs de risque qui n’appartiennent à aucun des facteurs de risque prédéfinis tels que basés sur l’appareil, basés sur la localisation et basés sur les échecs de connexion.
Les indicateurs de risque sont également regroupés en catégories de risque en fonction des risques similaires. Pour plus d’informations, consultez Catégories de risque.
Le tableau suivant présente la corrélation entre les indicateurs de risque, les facteurs de risque et les catégories de risque.
| Produits | Indicateur de risque utilisateur | Facteur de risque | Catégorie de risque |
|---|---|---|---|
| Citrix Endpoint Management | Appareil avec applications sur liste noire détecté | Autres indicateurs de risque | Points de terminaison compromis |
| Appareil débridé ou rooté détecté | Autres indicateurs de risque | Points de terminaison compromis | |
| Appareil non géré détecté | Autres indicateurs de risque | Points de terminaison compromis | |
| Citrix Gateway | Échec de l’analyse du point de terminaison (EPA) | Autres indicateurs de risque | Utilisateurs compromis |
| Échecs d’authentification excessifs | Indicateurs de risque basés sur les échecs de connexion | Utilisateurs compromis | |
| Déplacement impossible | Indicateurs de risque basés sur la localisation | Utilisateurs compromis | |
| Connexion depuis une adresse IP suspecte | Indicateurs de risque basés sur l’adresse IP | Utilisateurs compromis | |
| Connexion suspecte | Indicateurs de risque basés sur l’appareil, indicateurs de risque basés sur l’adresse IP, indicateurs de risque basés sur la localisation et autres indicateurs de risque | Utilisateurs compromis | |
| Échec d’authentification inhabituel | Indicateurs de risque basés sur les échecs de connexion | Utilisateurs compromis | |
| Citrix Secure Private Access | Tentative d’accès à une URL sur liste noire | Autres indicateurs de risque | Menaces internes |
| Téléchargement excessif de données | Autres indicateurs de risque | Menaces internes | |
| Accès à un site web risqué | Autres indicateurs de risque | Menaces internes | |
| Volume de téléchargement inhabituel | Autres indicateurs de risque | Menaces internes | |
| Citrix DaaS (anciennement service Citrix Virtual Apps and Desktops) et Citrix Virtual Apps and Desktops sur site | Déplacement impossible | Indicateurs de risque basés sur la localisation | Utilisateurs compromis |
| Exfiltration potentielle de données | Indicateurs de risque basés sur les données | Exfiltration de données | |
| Connexion suspecte | Indicateurs de risque basés sur l’appareil, indicateurs de risque basés sur l’adresse IP, indicateurs de risque basés sur la localisation et autres indicateurs de risque | Utilisateurs compromis |
Vous pouvez marquer manuellement les indicateurs de risque comme utiles ou non utiles. Pour plus d’informations, consultez Fournir des commentaires sur les indicateurs de risque utilisateur.