Citrix Analytics for Security

Indicateurs de risque utilisateur Citrix

Remarque

Attention : Citrix Content Collaboration et ShareFile ont atteint leur fin de vie et ne sont plus disponibles pour les utilisateurs.

Les indicateurs de risque utilisateur sont des activités utilisateur qui semblent suspectes ou qui peuvent constituer une menace pour la sécurité de votre organisation. Ces indicateurs de risque couvrent tous les produits Citrix utilisés dans votre déploiement. Les indicateurs de risque sont déclenchés lorsque le comportement de l’utilisateur s’écarte de la normale. Chaque indicateur de risque peut être associé à un ou plusieurs facteurs de risque. Ces facteurs de risque vous aident à déterminer le type d’anomalies dans les événements utilisateur. Les indicateurs de risque et les facteurs de risque associés déterminent le score de risque d’un utilisateur.

Les facteurs de risque associés aux indicateurs de risque sont les suivants :

  • Indicateurs de risque basés sur l’appareil : se déclenche lorsqu’un utilisateur se connecte à partir d’un appareil considéré comme inhabituel en fonction de l’historique des appareils de l’utilisateur.

  • Indicateurs de risque basés sur la localisation : se déclenche lorsqu’un utilisateur se connecte à partir d’une adresse IP associée à un emplacement considéré comme inhabituel en fonction de l’historique des positions de l’utilisateur.

  • Indicateurs de risque basés sur l’adresse IP : se déclenche lorsqu’un utilisateur tente d’accéder à des ressources à partir d’une adresse IP identifiée comme suspecte, que l’adresse IP soit inhabituelle ou non pour l’utilisateur.

  • Indicateurs de risque basés sur les échecs de connexion : se déclenche lorsqu’un utilisateur présente un schéma d’échecs de connexion excessifs ou inhabituels.

  • Indicateurs de risque basés surles données : se déclenche lorsqu’un utilisateur tente d’exfiltrer des données hors d’une session Workspace. Les comportements des utilisateurs observés incluent le copier-coller des événements, les modèles de téléchargement, etc.

  • Indicateurs de risque basés sur les fichiers : déclenche lorsque le comportement d’un utilisateur concernant l’accès aux fichiers sur Content Collaboration est considéré comme inhabituel en fonction de son modèle d’accès historique. Les comportements des utilisateurs observés incluent les modèles de téléchargement, l’accès à du contenu sensible, les activités indiquant la présence de ransomwares, etc.

  • Indicateurs de risque personnalisés : se déclenche lorsqu’une condition préconfigurée ou une condition définie par l’utilisateur est remplie. Pour plus d’informations, consultez les articles suivants :

  • Autres indicateurs de risque : indicateurs de risque qui n’appartiennent à aucun des facteurs de risque prédéfinis tels que les indicateurs de risque basés sur l’appareil, la localisation et les défaillances de connexion.

Les indicateurs de risque sont également regroupés en catégories de risques en fonction des risques de nature similaire. Pour plus d’informations, consultez Catégories de risques.

Le tableau suivant montre la corrélation entre les indicateurs de risque, les facteurs de risque et les catégories de risque.

Produits Indicateur de risque utilisateur Facteur de risque Catégorie de risque
  Partage excessif de fichiers Autres indicateurs de risque Exfiltration de données
  Suppression excessive de fichiers ou de dossiers Indicateurs de risque basés sur les fichiers Menaces internes
  Chargements excessifs de fichiers Autres indicateurs de risque Menaces internes
  Téléchargements excessifs de fichiers Indicateurs de risque basés sur les fichiers Exfiltration de données
  Voyages impossibles Indicateurs de risque basés sur la localisation Utilisateurs compromis
  Fichiers malveillants détectés Indicateurs de risque basés sur les fichiers Menaces internes
  Activité de ransomware suspectée Indicateurs de risque basés sur les fichiers Utilisateurs compromis
  Ouverture de session suspecte Indicateurs de risque basés sur les appareils, indicateurs de risque basés sur IP, indicateurs de risque basés sur la localisation et autres indicateurs de risque Utilisateurs compromis
  Échecs d’authentification inhabituels Indicateurs de risque basés sur les échecs de connexion Utilisateurs compromis
Citrix Endpoint Management Appareil avec des applications sur la liste noire détectées Autres indicateurs de risque Points de terminaison compromis
  Appareil jailbreaké ou rooté détecté Autres indicateurs de risque Points de terminaison compromis
  Périphérique non géré détecté Autres indicateurs de risque Points de terminaison compromis
Citrix Gateway Échec de l’analyse EPA (End Point Analysis) Autres indicateurs de risque Utilisateurs compromis
  Échec excessif de l’authentification Indicateurs de risque basés sur les échecs de connexion Utilisateurs compromis
  Voyages impossibles Indicateurs de risque basés sur la localisation Utilisateurs compromis
  Ouverture de session à partir d’une adresse IP suspecte Indicateurs de risque basés sur IP Utilisateurs compromis
  Ouverture de session suspecte Indicateurs de risque basés sur les appareils, indicateurs de risque basés sur IP, indicateurs de risque basés sur la localisation et autres indicateurs de risque Utilisateurs compromis
  Échec d’authentification inhabituel Indicateurs de risque basés sur les échecs de connexion Utilisateurs compromis
Citrix Secure Private Access Tentative d’accès à une URL de liste noire Autres indicateurs de risque Menaces internes
  Téléchargement excessif de données Autres indicateurs de risque Menaces internes
  Accès à un site Web risqué Autres indicateurs de risque Menaces internes
  Volume de téléchargement inhabituel Autres indicateurs de risque Menaces internes
Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) et Citrix Virtual Apps and Desktops sur site) Voyages impossibles Indicateurs de risque basés sur la localisation Utilisateurs compromis
  Exfiltration potentielle des données Indicateurs de risque basés sur des données Exfiltration de données
  Ouverture de session suspecte Indicateurs de risque basés sur les appareils, indicateurs de risque basés sur IP, indicateurs de risque basés sur la localisation et autres indicateurs de risque Utilisateurs compromis

Vous pouvez marquer manuellement les indicateurs de risque comme utiles ou inutiles. Pour plus d’informations, voir Fournir des commentaires sur les indicateurs de risque utilisateur.

Indicateurs de risque utilisateur Citrix

Dans cet article