Citrix Analytics for Security

Indicateurs de risque Citrix Access Control

Accès à un site Web risqué

Citrix Analytics détecte les menaces d’accès aux données en fonction des sites Web à risque auxquels l’utilisateur accède et déclenche l’indicateur de risque correspondant.

L’indicateur de risque d’accès au site Web risqué est signalé lorsqu’un utilisateur de votre organisation tente d’accéder à des sites Web malveillants, suspects ou risqués ayant une cote de réputation élevée.

Quand l’indicateur de risque lié à l’accès au site Web est-il déclenché ?

Access Control prend en charge la définition d’un score de réputation sur un site Web, selon qu’il a été marqué comme suit par la base de données de catégorisation d’URL :

  • Malveillant

  • Potentiellement dangereux

  • Inconnu

  • Normale

Pour de plus amples informations, consultez Score de réputation d’URL

Lorsqu’un utilisateur de votre organisation tente d’accéder à des sites Web risqués, Access Control signale ces événements avec Citrix Analytics. Citrix Analytics surveille tous ces événements et s’il identifie que l’utilisateur a visité au moins un site Web avec un score de réputation de 3 ou 4, c’est-à-dire un site potentiellement dangereux ou un site malveillant. Citrix Analytics augmente le score de risque pour l’utilisateur. L’indicateur de risque lié à l’accès au site Web à risque est ajouté au calendrier de risque de l’utilisateur.

Comment analyser l’indicateur de risque d’accès au site Web risqué ?

Considérons un utilisateur Georgina Kalou, a tenté d’accéder à un site Web risqué. Access Control signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque lié à l’accès au site Web risqué est ajouté à la chronologie des risques de Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque Accès à un site Web risqué signalé. La raison de l’événement est affichée ainsi que les détails sur les événements de téléchargement, tels que l’heure de l’événement et le site Web.

Pour afficher l’entrée d’indicateur de risque d’accès au site Web risqué pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez une entrée d’indicateur de risque d’accès au site Web risqué dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Access Control accès à un site Web risqué

  • La section QUE S’EST-IL PASSÉ fournit un bref résumé de l’indicateur de risque. Il inclut le nombre de sites Web à risque auxquels l’utilisateur a accédé au cours de la période sélectionnée.

Access Control accès accès au site Web risqué ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT comprend une visualisation chronologique des événements individuels qui se sont produits au cours de la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Temps. Heure à laquelle l’événement s’est produit.

    • Site web. Le site Web risqué auquel l’utilisateur accède.

    • Groupe de catégorie. Groupe de catégories attribué au site Web risqué par Access Control.

    • Catégorie. Catégorie spécifiée par Access Control pour le site Web risqué.

    • Évaluation de la réputation. L’évaluation de la réputation renvoyée par Access Control pour le site Web risqué. Pour de plus amples informations, consultez la section Score de réputation d’URL.

    Access Control détails de l'événement risqué d'accès au site Web

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Tentative d’accès à l’URL de la liste noire

Citrix Analytics détecte les menaces d’accès aux données en fonction des URL de liste noire auxquelles l’utilisateur accède et déclenche l’indicateur de risque correspondant.

L’indicateur de risque Tentative d’accès aux URL figurant sur la liste noire est signalé dans Citrix Analytics lorsqu’un utilisateur tente d’accéder à une URL figurant sur la liste noire configurée dans Access Control.

Quand est-ce que la tentative d’accès à la liste noire indicateur de risque d’URL est déclenchée ?

Access Control inclut une fonction de catégorisation d’URL qui fournit un contrôle basé sur des stratégies pour restreindre l’accès aux URL figurant sur la liste noire. Lorsqu’un utilisateur tente d’accéder à une URL sur la liste noire, Access Control signale cet événement à Citrix Analytics. Citrix Analytics met à jour le score de risque de l’utilisateur et ajoute une tentative d’accès à l’indicateur de risque d’URL en liste noire à la chronologie de risque de l’utilisateur.

Comment analyser l’indicateur de risque d’URL sur la liste noire ?

Considérons un utilisateur Georgina Kalou, a accédé à une URL de liste noire configurée dans Access Control. Access Control signale cet événement à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’ indicateur de risque d’URL sur la liste noire est ajouté à la chronologie des risques de Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque de tentative d’accès aux URL figurant sur la liste noire . La raison de l’événement est affichée ainsi que les détails sur les événements, tels que l’heure de l’événement, les détails du site Web.

Pour afficher l’entrée Tentative d’accès aux URL sur liste noire d’un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez l’indicateur de risque Tentative d’accès aux URL sur liste noire dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Contrôle d'accès Tentative d'accès à une URL sur liste noire

  • La section QUE S’EST-IL PASSÉ fournit un bref résumé de l’indicateur de risque. Il inclut les détails de l’URL sur la liste noire accessible par l’utilisateur pendant la période sélectionnée.

Contrôle d'accès Tentative d'accès à une URL sur liste noire

  • La section DÉTAILS DE L’ÉVÉNEMENT comprend une visualisation chronologique des événements individuels qui se sont produits au cours de la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Temps. Heure à laquelle l’événement s’est produit.

    • Site web. Le site Web risqué auquel l’utilisateur accède.

    • Catégorie. Catégorie spécifiée par Access Control pour l’URL figurant sur la liste noire.

    • Évaluation de la réputation. Cote de réputation renvoyée par Access Control pour l’URL figurant sur la liste noire. Pour de plus amples informations, consultez la section Score de réputation d’URL.

    Access Control Tentative d'accès aux détails de l'événement URL sur la liste noire

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Volume de chargement inhabituel

Citrix Analytics détecte les menaces d’accès aux données en fonction de l’activité de volume de téléchargement inhabituelle et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de volume de téléchargement inhabituel est signalé lorsqu’un utilisateur télécharge un volume excédentaire de données vers une application ou un site Web.

Quand l’indicateur de risque de volume de téléchargement inhabituel est-il déclenché ?

Vous pouvez configurer Access Control pour surveiller les activités des utilisateurs, telles que les sites Web malveillants, dangereux ou inconnus visités et la bande passante consommée, ainsi que les chargements et téléchargements risqués. Lorsqu’un utilisateur de votre organisation télécharge des données vers une application ou un site Web, Access Control signale ces événements à Citrix Analytics.

Citrix Analytics surveille tous ces événements et s’il détermine que cette activité utilisateur est contraire au comportement habituel de l’utilisateur, il met à jour le score de risque de l’utilisateur. L’indicateur de risque de volume de téléchargement inhabituel est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de volume de téléchargement inhabituel ?

Considérez un utilisateur Adam Maxwell, téléchargé un volume excessif de données sur une application ou un site Web. Access Control signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Adam Maxwell. L’indicateur de risque de volume de téléchargement inhabituel est ajouté à la chronologie des risques d’Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque de volume de chargement inhabituel signalé. La raison de l’événement est affichée ainsi que les détails sur les événements, tels que l’heure de l’événement et le domaine.

Pour afficher l’indicateur de risque de volume de chargement inhabituel, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez une entrée d’indicateur de risque de volume de chargement inhabituel dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Access Control - Volume de chargement inhabituel

  • La section QUE S’EST-IL PASSÉ fournit un bref résumé de l’indicateur de risque, y compris le volume de données téléchargées au cours de la période sélectionnée.

Access Control - volume de chargement inhabituel - qu'est-ce qui s'est passé

  • La section DÉTAILS DE L’ÉVENEMENT comprend une visualisation chronologique des événements de téléchargement de données individuels qui se sont produits au cours de la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Temps. Heure à laquelle les données excessives ont été téléchargées sur une application ou un site Web.

    • Domaine. Domaine sur lequel l’utilisateur a téléchargé les données.

    • Catégorie. Catégorie de domaine.

    • Taille de chargement. Volume de données téléchargées dans le domaine.

    Détails de l'événement de volume de téléchargement inhabituel Access Control

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Téléchargement excessif de données

Citrix Analytics détecte les menaces d’accès aux données en fonction des données excessives téléchargées par les utilisateurs de votre réseau et déclenche l’indicateur de risque correspondant.

L’indicateur de risque est signalé lorsqu’un utilisateur de votre organisation télécharge un volume excessif de données à partir d’une application ou d’un site Web.

Quand l’indicateur de risque excessif de téléchargement de données est-il déclenché ?

Vous pouvez configurer Access Control pour surveiller les activités des utilisateurs, telles que les sites Web malveillants, dangereux ou inconnus visités et la bande passante consommée, ainsi que les chargements et téléchargements risqués. Lorsqu’un utilisateur de votre organisation télécharge des données à partir d’une application ou d’un site Web, Access Control signale ces événements à Citrix Analytics.

Citrix Analytics surveille tous ces événements et s’il détermine que l’activité de l’utilisateur est contraire au comportement habituel de l’utilisateur, elle met à jour le score de risque de l’utilisateur. L’indicateur de risque excessif de téléchargement de données est ajouté au calendrier de risque de l’utilisateur.

Comment analyser l’indicateur de risque excessif de téléchargement de données ?

Considérez un utilisateur Georgina Kalou, téléchargé un volume excessif de données à partir d’une application ou d’un site Web. Access Control signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou et ajoute l’entrée de l’indicateur de risque excessif de téléchargement de données à la chronologie de risque de l’utilisateur.

À partir de la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque de téléchargement excessif de données signalé. La raison de l’événement est affichée avec les détails sur les événements, tels que les détails de l’heure et du domaine.

Pour afficher l’indicateur de risque excessif de téléchargement de données, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez une entrée d’indicateur de risque de téléchargement excessif de données dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Contrôle d'accès téléchargement excessif des données

  • La section QUE S’EST-IL PASSÉ fournit un bref résumé de l’indicateur de risque, y compris le volume de données téléchargées au cours de la période sélectionnée.

Contrôle d'accès trop de données télécharger ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT comprend une visualisation chronologique des événements de téléchargement de données individuels qui se sont produits au cours de la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Temps. Heure à laquelle les données excessives ont été téléchargées sur une application ou un site Web.

    • Domaine. Domaine sur lequel l’utilisateur a téléchargé les données.

    • Catégorie. Catégorie de domaine.

    • Taille du téléchargement. Volume de données téléchargées sur le domaine.

    Détails de l'événement de téléchargement de données excessives

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque Citrix Access Control