Citrix Analytics for Security

Indicateurs de risque Citrix Access Control

Accès à un site Web risqué

Citrix Analytics détecte les menaces d’accès aux données en fonction des sites Web à risque auxquels l’utilisateur accède et déclenche l’indicateur de risque correspondant.

L’indicateur de risque d’accès à un site Web risqué est signalé lorsqu’un utilisateur de votre organisation tente d’accéder à des sites Web malveillants, suspects ou risqués avec un niveau de réputation élevé.

Le facteur de risque associé à l’indicateur de risque d’accès au site Web risqué est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque d’accès au site Web risqué est-il déclenché ?

Le contrôle d’accès prend en charge la définition d’un score de réputation sur un site Web, selon qu’il a été marqué comme suit par la base de données de catégorisation des URL :

  • Malicieux

  • potentiellement dangereux

  • Unknown

  • Normal

Pour plus d’informations, voir Score de réputation d’URL

Lorsqu’un utilisateur de votre organisation tente d’accéder à des sites Web à risque, Access Control signale ces événements avec Citrix Analytics. Citrix Analytics surveille tous ces événements et s’il identifie que l’utilisateur a visité au moins un site Web avec un score de réputation de 3 ou 4, c’est-à-dire un site potentiellement dangereux ou un site malveillant. Citrix Analytics augmente le score de risque pour l’utilisateur. L’indicateur de risque d’accès au site Web Risky est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’accès au site Web risqué ?

Prenons l’exemple d’un utilisateur Georgina Kalou, qui a tenté d’accéder à un site Web risqué. Access Control signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque d’accès au site Web Risky est ajouté à la chronologie des risques de Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque d’ accès au site Web risqué signalé. La raison de l’événement est affichée ainsi que les détails sur les événements de téléchargement, tels que l’heure de l’événement et le site Web.

Pour afficher l’entrée de l’indicateur de risque d’accès au site Web risqué pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez une entrée d’indicateur de risque d’accès à un site Web risqué dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Accès au site Web risqué de contrôle d'accès

  • La section CE QUI S’EST PASSÉ fournit un bref résumé de l’indicateur de risque. Il inclut le nombre de sites Web risqués auxquels l’utilisateur a accédé au cours de la période sélectionnée.

    Contrôle d'accès accès au site Web risqué ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des événements individuels survenus au cours de la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Heure. Heure à laquelle l’événement s’est produit.

    • Site Web. Le site Web risqué auquel l’utilisateur accède.

    • Groupe de catégories. Groupe de catégories attribué par le contrôle d’accès au site Web à risque.

    • Catégorie. Catégorie spécifiée par le contrôle d’accès pour le site Web à risque.

    • Évaluation de la réputation. La note de réputation renvoyée par le contrôle d’accès pour le site Web à risque. Pour plus d’informations, consultez Score de réputation d’URL.

      Détails de l'événement d'accès au site Web risqué Contrôle d'accès

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Tentative d’accès à une URL de liste noire

Citrix Analytics détecte les menaces d’accès aux données en fonction des URL de liste noire auxquelles l’utilisateur accède et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de tentative d’accès aux URL sur liste noire est signalé dans Citrix Analytics lorsqu’un utilisateur tente d’accéder à une URL de liste noire configurée dans le contrôle d’accès.

Le facteur de risque associé à l’indicateur de risque Tentative d’accès à une URL sur liste noire est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque Tentative d’accès aux URL sur liste noire est-il déclenché ?

Le contrôle d’accès inclut une fonctionnalité de catégorisation des URL qui fournit un contrôle basé sur des règles pour restreindre l’accès aux URL sur liste noire. Lorsqu’un utilisateur tente d’accéder à une URL sur la liste noire, Access Control signale cet événement à Citrix Analytics. Citrix Analytics met à jour le score de risque de l’utilisateur et ajoute une entrée d’indicateur de risque Tentative d’accès aux URL sur liste noire à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’URL sur la liste noire ?

Prenons l’exemple d’un utilisateur Georgina Kalou, qui a accédé à une URL de liste noire configurée dans le contrôle d’accès. Access Control signale cet événement à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque de tentative d’accès aux URL sur liste noire est ajouté à la chronologie des risques de Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque de tentative d’accès aux URL sur liste noire signalée. La raison de l’événement est affichée ainsi que les détails sur les événements, tels que l’heure de l’événement, les détails du site Web.

Pour afficher l’entrée Tentative d’accès à une URL de liste noire pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez l’entrée Tentative d’accès à l’indicateur de risque d’URL sur liste noire dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Contrôle d'accès Tentative d'accès à une URL de liste noire

  • La section CE QUI S’EST PASSÉ fournit un bref résumé de l’indicateur de risque. Il inclut les détails de l’URL de la liste noire à laquelle l’utilisateur a accédé pendant la période sélectionnée.

    Contrôle d'accès Tentative d'accès à une URL de liste noire

  • La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des événements individuels survenus au cours de la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Heure. Heure à laquelle l’événement s’est produit.

    • Site Web. Le site Web risqué auquel l’utilisateur accède.

    • Catégorie. Catégorie spécifiée par le contrôle d’accès pour l’URL de la liste noire.

    • Évaluation de la réputation. Évaluation de la réputation renvoyée par le contrôle d’accès pour l’URL de la liste noire. Pour plus d’informations, consultez Score de réputation d’URL.

      Contrôle d'accès Tentative d'accès aux détails de l'événement URL sur liste noire

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Volume de téléchargement inhabituel

Citrix Analytics détecte les menaces d’accès aux données en fonction de l’activité de volume de téléchargement inhabituelle et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de volume de téléchargement inhabituel est signalé lorsqu’un utilisateur télécharge un volume de données excédentaire vers une application ou un site Web.

Le facteur de risque associé à l’indicateur de risque de volume de téléchargement inhabituel est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque de volume de téléchargement inhabituel est-il déclenché ?

Vous pouvez configurer le contrôle d’accès pour surveiller les activités des utilisateurs, telles que les sites Web malveillants, dangereux ou inconnus visités et la bande passante consommée, ainsi que les téléchargements et téléchargements risqués. Lorsqu’un utilisateur de votre organisation télécharge des données vers une application ou un site Web, Access Control signale ces événements à Citrix Analytics.

Citrix Analytics surveille tous ces événements et s’il détermine que cette activité de l’utilisateur est contraire au comportement habituel de l’utilisateur, il met à jour le score de risque de l’utilisateur. L’indicateur de risque de volume de téléchargement inhabituel est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de volume de téléchargement inhabituel ?

Prenons le cas d’un utilisateur Adam Maxwell, qui a téléchargé un volume excessif de données sur une application ou un site Web. Access Control signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Adam Maxwell. L’indicateur de risque de volume de téléchargement inhabituel est ajouté à la chronologie des risques d’Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque de volume de téléchargement inhabituel signalé. La raison de l’événement est affichée ainsi que les détails sur les événements, tels que l’heure de l’événement et le domaine.

Pour afficher l’indicateur de risque de volume de chargement inhabituel, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez une entrée d’indicateur de risque de volume de chargement inhabituel dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Volume de téléversement inhabituel du contrôle

  • La section WHAT BAPEN fournit un bref résumé de l’indicateur de risque, y compris le volume de données téléchargées au cours de la période sélectionnée.

    Contrôle d'accès : volume de téléchargement inhabituel, que s'est-il

  • La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des événements de téléchargement de données individuels qui se sont produits pendant la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Heure. Heure à laquelle les données excessives ont été téléchargées sur une application ou un site Web.

    • Domaine. Domaine vers lequel l’utilisateur a téléchargé les données.

    • Catégorie. La catégorie de domaine.

    • Taille du téléchargement. Volume de données téléchargées vers le domaine.

      Détails sur les événements de volume de téléchargement inhabituels du contrôle

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Téléchargement excessif de données

Citrix Analytics détecte les menaces d’accès aux données en fonction des données excessives téléchargées par les utilisateurs de votre réseau et déclenche l’indicateur de risque correspondant.

L’indicateur de risque est signalé lorsqu’un utilisateur de votre organisation télécharge un volume excessif de données à partir d’une application ou d’un site Web.

Quand l’indicateur de risque excessif de téléchargement de données est-il déclenché ?

Vous pouvez configurer le contrôle d’accès pour surveiller les activités des utilisateurs, telles que les sites Web malveillants, dangereux ou inconnus visités et la bande passante consommée, ainsi que les téléchargements et téléchargements risqués. Lorsqu’un utilisateur de votre organisation télécharge des données à partir d’une application ou d’un site Web, Access Control signale ces événements à Citrix Analytics.

Citrix Analytics surveille tous ces événements et s’il détermine que l’activité de l’utilisateur est contraire au comportement habituel de l’utilisateur, il met à jour le score de risque de l’utilisateur. L’indicateur de risque de téléchargement de données excessif est ajouté à la chronologie des risques de l’utilisateur.

Le facteur de risque associé à l’indicateur de risque de téléchargement excessif de données est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Comment analyser l’indicateur de risque excessif de téléchargement de données ?

Considérez un utilisateur Georgina Kalou, téléchargé volume excédentaire de données à partir d’une application ou d’un site Web. Access Control signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou et ajoute l’entrée de l’indicateur de risque de téléchargement excessif de données à la chronologie des risques de l’utilisateur.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque de téléchargement de données excessif signalé. La raison de l’événement est affichée avec les détails sur les événements, tels que les détails de l’heure et du domaine.

Pour afficher l’indicateur de risque excessif de téléchargement de données, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez l’entrée de l’indicateur de risque de téléchargement excessif de données dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Contrôle d'accès téléchargement excessif des données

  • La section WHAT BAPEN fournit un bref résumé de l’indicateur de risque, y compris le volume de données téléchargées au cours de la période sélectionnée.

    Contrôle d'accès téléchargement excessif de données

  • La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des différents événements de téléchargement de données qui se sont produits pendant la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Heure. Heure à laquelle les données excessives ont été téléchargées sur une application ou un site Web.

    • Domaine. Domaine vers lequel l’utilisateur a téléchargé les données.

    • Catégorie. La catégorie de domaine.

    • Taille du téléchargement. Volume de données téléchargées sur le domaine.

      Détails des événements de téléchargement de données excessif du contrôle d'accès

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque Citrix Access Control