Citrix Analytics for Security

Indicateurs de risque utilisateur Citrix

Les indicateurs de risque utilisateur sont des activités utilisateur qui semblent suspectes ou qui peuvent constituer une menace pour la sécurité de votre organisation. Ces indicateurs de risque couvrent tous les produits Citrix utilisés dans votre déploiement. Les indicateurs de risque sont déclenchés lorsque le comportement de l’utilisateur s’écarte de la normale. Chaque indicateur de risque peut être associé à un ou plusieurs facteurs de risque. Ces facteurs de risque vous aident à déterminer le type d’anomalies dans les événements utilisateur. Les indicateurs de risque et les facteurs de risque associés déterminent le score de risque d’un utilisateur.

Les facteurs de risque associés aux indicateurs de risque sont les suivants :

  • Indicateurs de risque basés sur l’appareil : se déclenche lorsqu’un utilisateur se connecte à partir d’un appareil considéré comme inhabituel en fonction de l’historique des appareils de l’utilisateur.

  • Indicateurs de risque basés sur la localisation : se déclenche lorsqu’un utilisateur se connecte à partir d’une adresse IP associée à un emplacement considéré comme inhabituel en fonction de l’historique des positions de l’utilisateur.

  • Indicateurs de risque basés sur l’adresse IP : se déclenche lorsqu’un utilisateur tente d’accéder à des ressources à partir d’une adresse IP identifiée comme suspecte, que l’adresse IP soit inhabituelle ou non pour l’utilisateur.

  • Indicateurs de risque basés sur les échecs de connexion : se déclenche lorsqu’un utilisateur présente un schéma d’échecs de connexion excessifs ou inhabituels.

  • Indicateurs de risque basés surles données : se déclenche lorsqu’un utilisateur tente d’exfiltrer des données hors d’une session Workspace. Les comportements des utilisateurs observés incluent le copier-coller des événements, les modèles de téléchargement, etc.

  • Indicateurs de risque basés sur les fichiers : déclenche lorsque le comportement d’un utilisateur concernant l’accès aux fichiers sur Content Collaboration est considéré comme inhabituel en fonction de son modèle d’accès historique. Les comportements des utilisateurs observés incluent les modèles de téléchargement, l’accès à du contenu sensible, les activités indiquant la présence de ransomwares, etc.

  • Indicateurs de risque personnalisés : se déclenche lorsqu’une condition préconfigurée ou une condition définie par l’utilisateur est remplie. Pour plus d’informations, consultez les articles suivants :

  • Autres indicateurs de risque : indicateurs de risque qui n’appartiennent à aucun des facteurs de risque prédéfinis tels que les indicateurs de risque basés sur l’appareil, la localisation et les défaillances de connexion.

Les indicateurs de risque sont également regroupés en catégories de risque en fonction du risque de nature similaire. Pour plus d’informations, consultez Catégories de risques.

Le tableau suivant montre la corrélation entre les indicateurs de risque, les facteurs de risque et les catégories de risque.

Produits Citrix Indicateur de risque utilisateur Facteur de risque Catégorie de risque
Citrix Content Collaboration Accès depuis un endroit inhabituel Indicateurs de risque basés sur la localisation Utilisateurs compromis
  Accès excessif aux fichiers sensibles Indicateurs de risque basés sur les fichiers Exfiltration de données
  Partage excessif de fichiers Autres indicateurs de risque Exfiltration de données
  Suppression excessive de fichiers ou de dossiers Indicateurs de risque basés sur les fichiers Menaces internes
  Chargements excessifs de fichiers Autres indicateurs de risque Menaces internes
  Téléchargements excessifs de fichiers Indicateurs de risque basés sur les fichiers Exfiltration de données
  Activité de ransomware suspectée Indicateurs de risque basés sur les fichiers Utilisateurs compromis
  Échecs d’authentification inhabituels Indicateurs de risque basés sur les échecs de connexion Utilisateurs compromis
Citrix Gateway Accès depuis un endroit inhabituel Indicateurs de risque basés sur la localisation Utilisateurs compromis
  Échec de l’analyse EPA (End Point Analysis) Autres indicateurs de risque Utilisateurs compromis
  Échec excessif de l’authentification Indicateurs de risque basés sur les échecs de connexion Utilisateurs compromis
  Ouverture de session à partir d’une adresse IP suspecte Indicateurs de risque basés sur IP Utilisateurs compromis
  Échec d’authentification inhabituel Indicateurs de risque basés sur les échecs de connexion Utilisateurs compromis
Citrix Endpoint Management Appareil avec des applications sur la liste noire détectées Autres indicateurs de risque Points de terminaison compromis
  Appareil jailbreaké ou rooté détecté Autres indicateurs de risque Points de terminaison compromis
  Périphérique non géré détecté Autres indicateurs de risque Points de terminaison compromis
Citrix Virtual Apps and Desktops/Citrix Workspace Exfiltration potentielle des données Indicateurs de risque basés sur des données Exfiltration de données
  Ouverture de session suspecte Indicateurs de risque basés sur les appareils, indicateurs de risque basés sur IP, indicateurs de risque basés sur la localisation et autres indicateurs de risque Utilisateurs compromis
Citrix Access Control Tentative d’accès à une URL de liste noire Autres indicateurs de risque Menaces internes
  Téléchargement excessif de données Autres indicateurs de risque Menaces internes
  Accès à un site Web risqué Autres indicateurs de risque Menaces internes
  Volume de téléchargement inhabituel Autres indicateurs de risque Menaces internes
Indicateurs de risque utilisateur Citrix