Indicateurs de risque de Citrix Secure Private Access

Accès à un site Web risqué

Remarque Les fonctionnalités suivantes de Citrix Analytics for Security sont affectées par l’abandon du filtrage Web basé sur les catégories par Secure Private Access :

1. Les champs de données tels que le groupe de catégories, la catégorie et la réputation des URL ne sont plus disponibles sur le tableau de bord Citrix Analytics for Security.
2. L’indicateur Risky d’accès au site Web, qui repose sur les mêmes données, est également obsolète et n’est pas déclenché pour les clients.
3. Les indicateurs de risque personnalisés existants utilisant les champs de données (catégorie-groupe, catégorie et réputation des URL) et les politiques associées ne sont plus déclenchés.

Pour plus de détails sur la dépréciation de Secure Private Access, consultez la section Obsolète des fonctionnalités.

Tentative d’accès à une URL de liste noire

Citrix Analytics détecte les menaces d’accès aux données en fonction des URL de liste noire auxquelles l’utilisateur accède et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de tentative d’accès à une URL sur liste noire est signalé dans Citrix Analytics lorsqu’un utilisateur tente d’accéder à une URL sur liste noire configurée dans Secure Private Access.

Le facteur de risque associé à l’indicateur de risque Tentative d’accès à une URL sur liste noire est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque Tentative d’accès aux URL sur liste noire est-il déclenché ?

Secure Private Access inclut une fonctionnalité de catégorisation d’URL qui fournit un contrôle basé sur des règles pour restreindre l’accès aux URL figurant sur la liste noire. Lorsqu’un utilisateur tente d’accéder à une URL sur liste noire, Secure Private Access signale cet événement à Citrix Analytics. Citrix Analytics met à jour le score de risque de l’utilisateur et ajoute une entrée d’indicateur de risque Tentative d’accès aux URL sur liste noire à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’URL sur la liste noire ?

Supposons qu’un utilisateur Georgina Kalou a accédé à une URL sur liste noire configurée dans Secure Private Access. Secure Private Access signale cet événement à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque de tentative d’accès aux URL sur liste noire est ajouté à la chronologie des risques de Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque de tentative d’accès aux URL sur liste noire signalée. La raison de l’événement est affichée ainsi que les détails sur les événements, tels que l’heure de l’événement, les détails du site Web.

Pour afficher l’entrée Tentative d’accès à une URL de liste noire pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez l’entrée Tentative d’accès à l’indicateur de risque d’URL sur liste noire dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

• La section WHAT HAPPENED fournit un bref résumé de l’indicateur de risque. Il inclut les détails de l’URL de la liste noire à laquelle l’utilisateur a accédé pendant la période sélectionnée.

  

• La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des événements individuels survenus au cours de la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

  • Heure. Heure à laquelle l’événement s’est produit.

  • Site Web. Le site Web risqué auquel l’utilisateur accède.

  • Catégorie. La catégorie spécifiée par Secure Private Access pour l’URL de la liste noire.

  • Évaluation de la réputation. L’évaluation de réputation renvoyée par Secure Private Access pour l’URL de la liste noire. Pour plus d’informations, consultez Score de réputation d’URL.

    

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

• Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

• Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Volume de téléchargement inhabituel

Citrix Analytics détecte les menaces d’accès aux données en fonction de l’activité de volume de téléchargement inhabituelle et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de volume de téléchargement inhabituel est signalé lorsqu’un utilisateur télécharge un volume de données excédentaire vers une application ou un site Web.

Le facteur de risque associé à l’indicateur de risque de volume de téléchargement inhabituel est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque de volume de téléchargement inhabituel est-il déclenché ?

Vous pouvez configurer Secure Private Access pour surveiller les activités des utilisateurs, telles que les sites Web malveillants, dangereux ou inconnus visités et la bande passante consommée, ainsi que les téléchargements et les chargements risqués. Lorsqu’un utilisateur de votre organisation charge des données vers une application ou un site Web, Secure Private Access signale ces événements à Citrix Analytics.

Citrix Analytics surveille tous ces événements et s’il détermine que cette activité de l’utilisateur est contraire au comportement habituel de l’utilisateur, il met à jour le score de risque de l’utilisateur. L’indicateur de risque de volume de téléchargement inhabituel est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de volume de téléchargement inhabituel ?

Prenons le cas d’un utilisateur Adam Maxwell, qui a téléchargé un volume excessif de données sur une application ou un site Web. Secure Private Access signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Adam Maxwell. L’indicateur de risque de volume de téléchargement inhabituel est ajouté à la chronologie des risques d’Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque de volume de téléchargement inhabituel signalé. La raison de l’événement est affichée ainsi que les détails sur les événements, tels que l’heure de l’événement et le domaine.

Pour afficher l’indicateur de risque de volume de chargement inhabituel, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez une entrée d’indicateur de risque de volume de chargement inhabituel dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

• La section WHAT HAPPENED fournit un bref résumé de l’indicateur de risque, y compris le volume de données téléchargées au cours de la période sélectionnée.

  

• La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des événements de téléchargement de données individuels qui se sont produits pendant la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

  • Heure. Heure à laquelle les données excessives ont été téléchargées sur une application ou un site Web.

  • Domaine. Domaine vers lequel l’utilisateur a téléchargé les données.

  • Taille du téléchargement. Volume de données téléchargées vers le domaine.

    

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

• Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

• Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Téléchargement excessif de données

Citrix Analytics détecte les menaces d’accès aux données en fonction des données excessives téléchargées par les utilisateurs de votre réseau et déclenche l’indicateur de risque correspondant.

L’indicateur de risque est signalé lorsqu’un utilisateur de votre organisation télécharge un volume excessif de données à partir d’une application ou d’un site Web.

Quand l’indicateur de risque excessif de téléchargement de données est-il déclenché ?

Vous pouvez configurer Secure Private Access pour surveiller les activités des utilisateurs, telles que les sites Web malveillants, dangereux ou inconnus visités et la bande passante consommée, ainsi que les téléchargements et les chargements risqués. Lorsqu’un utilisateur de votre organisation télécharge des données à partir d’une application ou d’un site Web, Secure Private Access signale ces événements à Citrix Analytics.

Citrix Analytics surveille tous ces événements et s’il détermine que l’activité de l’utilisateur est contraire au comportement habituel de l’utilisateur, il met à jour le score de risque de l’utilisateur. L’indicateur de risque de téléchargement de données excessif est ajouté à la chronologie des risques de l’utilisateur.

Le facteur de risque associé à l’indicateur de risque de téléchargement excessif de données est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Comment analyser l’indicateur de risque excessif de téléchargement de données ?

Considérez un utilisateur Georgina Kalou, téléchargé volume excédentaire de données à partir d’une application ou d’un site Web. Secure Private Access signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou et ajoute l’indicateur de risque de téléchargement excessif de données à la chronologie des risques de l’utilisateur.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque de téléchargement de données excessif signalé. La raison de l’événement est affichée avec les détails sur les événements, tels que les détails de l’heure et du domaine.

Pour afficher l’indicateur de risque excessif de téléchargement de données, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Lorsque vous sélectionnez l’entrée de l’indicateur de risque de téléchargement excessif de données dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

• La section WHAT HAPPENED fournit un bref résumé de l’indicateur de risque, y compris le volume de données téléchargées au cours de la période sélectionnée.

  

• La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des différents événements de téléchargement de données qui se sont produits pendant la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

  • Heure. Heure à laquelle les données excessives ont été téléchargées sur une application ou un site Web.

  • Domaine. Domaine vers lequel l’utilisateur a téléchargé les données.

  • Taille du téléchargement. Volume de données téléchargées sur le domaine.

    

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

• Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

• Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.