Indicateurs de risque Citrix Content Collaboration

Accès inhabituel à l’ouverture de session

Citrix Analytics détecte les menaces d’accès en fonction d’une activité d’ouverture de session inhabituelle et déclenche l’indicateur de risque correspondant.

L’indicateur de risque d’accès inhabituel d’ouverture de session est déclenché lorsqu’un utilisateur ouvre une session à partir d’un emplacement suspect. En identifiant les utilisateurs ayant des emplacements d’ouverture de session inhabituels, en fonction du comportement précédent, les administrateurs peuvent surveiller le compte de l’utilisateur pour détecter des attaques potentielles.

Quand l’indicateur de risque inhabituel d’accès à l’ouverture de session est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation ouvre une session à partir d’un emplacement inhabituel qui est contraire à son comportement habituel.

L’indicateur de risque d’accès inhabituel d’ouverture de session est déclenché lorsqu’un utilisateur accède à la Content Collaboration à partir d’une ville ou d’un pays dont l’utilisateur ne se connecte pas normalement. Lorsque ce comportement est détecté, Citrix Analytics augmente le score de risque de l’utilisateur respectif. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque Accès inhabituel d’ouverture de session est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque inhabituel d’accès à l’ouverture de session ?

Considérez l’utilisateur Georgina Kalou, qui s’est connecté depuis Manama alors qu’elle n’avait jamais connecté que depuis Raleigh, Caroline du Nord. Par cette action, Georgina Kalou a déclenché l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel.

Dans la chronologie de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque d’accès inhabituel signalé. La raison de l’événement est affichée à l’écran avec des détails tels que l’heure d’ouverture de session, l’adresse IP du client.

Pour afficher l’indicateur de risque d’accès inhabituel d’ouverture de session, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Collaboration inhabituelle sur le contenu de l'accès à l'ouverture de session

  • La section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement d’accès à l’ouverture de session inhabituelle. Vous pouvez afficher le nombre d’ouvertures de session suspectes qui se sont produites au cours d’une période donnée.

Collaboration inhabituelle de contenu d'accès à l'ouverture de session

  • La section DÉTAILS DE L’ÉVÉNEMENT — EMPLACEMENTS DE CONNEXION, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure d’ouverturede session. Heure de chaque tentative d’ouverture de session.

    • IP du client. Adresse IP du client utilisée.

    • Emplacement. Emplacement à partir duquel la tentative d’ouverture de session a été effectuée.

    Détails inhabituels de l'événement de collaboration de contenu d'accès à l'ouverture de session

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Si l’indicateur de risque d’accès inhabituel déclenché est incorrect, vous pouvez le signaler comme un faux positif et fournir des commentaires. Pour en savoir plus sur la façon de fournir des commentaires, reportez-vous à la section Feedback sur les indicateurs de risque.

Accès excessif aux fichiers sensibles

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive d’accès aux fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque d’accès excessif aux fichiers sensibles est déclenché lorsque le comportement d’un utilisateur en ce qui concerne l’accès aux fichiers sensibles est excessif. Cette activité inhabituelle peut indiquer un problème avec le compte de l’utilisateur, tel qu’une attaque sur son compte.

Quand l’indicateur de risque d’accès excessif aux fichiers sensibles est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur a accédé à une quantité inhabituelle de données jugées sensibles pendant une période donnée. Cette alerte est déclenchée lorsqu’un utilisateur accède aux données sensibles identifiées par une solution DLP (Data Loss Prevention) ou CASB (Cloud Access Security Broker). Lorsque Content Collaboration détecte ce comportement excessif, Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur concerné. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque Accès excessif aux fichiers sensibles est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’accès excessif aux fichiers sensibles ?

Considérez l’utilisateur Adam Maxwell, avait accès à 10 fichiers sensibles, qu’il a téléchargé sur son système local dans un délai de 15 minutes. L’indicateur de risque d’accès excessif aux fichiers sensibles est déclenché car il dépasse un seuil. Le seuil est calculé en fonction du nombre de fichiers sensibles téléchargés dans une fenêtre de temps donnée, en tenant compte des informations contextuelles telles que le mécanisme de téléchargement.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque lié à l’accès excessif aux fichiers sensibles . La raison de l’événement est affichée à l’écran avec les détails de l’événement, tels que le nom du fichier, la taille du fichier et l’heure de téléchargement.

Pour afficher l’indicateur de risque Accès excessif aux fichiers sensibles, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Accès excessif aux fichiers sensibles

  • La section WHAT HAPPENED, vous pouvez afficher un résumé de l’indicateur de risque Accès excessif aux fichiers sensibles. Vous pouvez afficher le nombre de fichiers sensibles jugés excessifs par Citrix Analytics et l’heure à laquelle les événements se sont produits.

Accès excessif aux fichiers sensibles ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — TÉLÉCHARGEMENT DE DONNÉES SENSIBLES, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de téléchargement. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Nom et extension du fichier téléchargé.

    • Taille du fichier. Taille du fichier téléchargé.

    Accès excessif aux détails des événements de fichiers sensibles

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, pendant l’occurrence de l’événement, vous pouvez afficher les éléments suivants :

    • Nombre total de fichiers sensibles téléchargés.

    • Taille totale des fichiers téléchargés par l’utilisateur.

    Accès excessif aux fichiers sensibles informations contextuelles supplémentaires

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Partage excessif de fichiers

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de partage de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de partage de fichiers excessif est déclenché lorsqu’il existe un écart par rapport au comportement de partage de fichiers typique de l’utilisateur. Tout écart par rapport à un comportement de partage de fichiers régulier est considéré comme inhabituel et le compte de l’utilisateur est étudié pour cette activité suspecte.

Quand l’indicateur de risque excessif de partage de fichiers est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation partage des fichiers plus souvent que prévu dans un comportement normal. En répondant à la notification concernant un utilisateur qui a trop partagé des fichiers, vous pouvez empêcher une exfiltration de données.

Citrix Analytics reçoit les événements de partage de Content Collaboration, les analyse et augmente le score de risque d’un utilisateur présentant un comportement de partage excessif. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque excessif de partage de fichiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de partage de fichiers excessif ?

Considérez l’utilisateur Adam Maxwell, qui a partagé des fichiers six fois en une journée. Par cette action, Adam Maxwell a partagé des fichiers plus de fois qu’il ne le fait habituellement sur la base d’algorithmes d’apprentissage automatique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque de partage de fichiers excessif signalé. La raison de l’événement s’affiche avec des détails tels que le lien Content Collaboration partagé, l’heure à laquelle le fichier a été partagé, etc.

Pour afficher l’indicateur de risque de partage de fichiers excessif, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Partage excessif de fichiers

  • La section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement de partage de fichiers excessif. Vous pouvez afficher le nombre de liens de partage envoyés aux destinataires et le moment où le partage s’est produit.

Partage excessif de fichiers ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — FICHIERS PARTAGÉS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Temps partagé. Heure à laquelle le fichier a été partagé.

    • ID de partage. Lien Content Collaboration utilisé pour partager le fichier.

    • Opérations. Opération effectuée par l’utilisateur à l’aide de Content Collaboration.

    • Nom de l’outil. Outil ou application utilisé pour partager les fichiers.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) dans lequel le fichier a été partagé.

    Détails excessifs sur les événements de partage de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher le nombre total de fichiers partagés par l’utilisateur lors de l’événement.

    Partage excessif de fichiers informations contextuelles supplémentaires

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

  • Lorsque l’utilisateur est désactivé, il ne peut pas se connecter à Content Collaboration. Ils voient une notification, sur la page d’ouverture de session, les invitant à contacter leur administrateur de compte Content Collaboration pour plus d’informations.

  • Lorsqu’un lien de partage est désactivé, le lien de partage n’est accessible à aucun utilisateur ou destinataire. Si l’utilisateur essaie d’accéder à nouveau au lien de partage, la page affiche un message au destinataire indiquant que le lien n’est plus disponible.

Chargements excessifs de fichiers

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de téléchargement de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de téléchargement excessif de fichiers vous aide à identifier une activité inhabituelle de téléchargement de fichiers. Chaque utilisateur a un modèle de téléchargement de fichier qu’il suit qui inclut des attributs tels que :

  • Heure à laquelle les fichiers ont été téléchargés

  • Type de fichiers qui ont été téléchargés

  • Volume de téléchargement de fichiers

  • Source de téléchargement de fichier

Toute déviation par rapport au modèle habituel d’un utilisateur déclenche l’indicateur de risque de téléchargement excessif de fichiers .

Quand l’indicateur de risque de téléchargement excessif de fichiers est-il déclenché ?

Les téléchargements excessifs de fichiers peuvent être classés comme risqués car ils indiquent un utilisateur compromis ou une menace d’initié qui pourrait essayer de télécharger du contenu malveillant ou crypté. Si le téléchargement d’une grande quantité de données n’est pas compatible avec le comportement normal de l’utilisateur, il peut être considéré comme suspect dans un sens plus général. Cette alerte est déclenchée lorsque le volume de données téléchargées dépasse le comportement normal de téléchargement de l’utilisateur basé sur des algorithmes d’apprentissage automatique.

Lorsque Citrix Analytics détecte un comportement de téléchargement excessif, cela augmente le score de risque de l’utilisateur concerné. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque de téléchargement excessif de fichiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque des téléchargements de fichiers excessifs ?

Considérez l’utilisateur Guillaume Martin, qui a téléchargé une grande quantité de données en une heure. Par cette action, Guillaume Martin avait dépassé son comportement de téléchargement normal basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de l’utilisateur, vous pouvez sélectionner l’indicateur de risque pour les téléchargements de fichiers excessifs signalés. La raison de l’alerte est affichée avec les détails de l’événement, tels que le nom du fichier, l’heure de téléchargement, le nom de l’outil et la source.

Pour afficher l’indicateur de risque de téléchargement excessif de fichiers, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Chargements excessifs de fichiers

  • La section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement de téléchargement excessif de fichiers. Vous pouvez afficher la quantité de données téléchargées par l’utilisateur et l’heure à laquelle l’événement s’est produit.

Téléchargement excessif de fichiers ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — CHARGEMENTS DE FICHIERS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de mise en ligne. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Nom et extension du fichier téléchargé.

    • Nom de l’outil. Type de périphérique à l’aide duquel le fichier a été téléchargé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) sur lequel le fichier a été téléchargé.

    Détails de l'événement de téléchargement excessif de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher la taille totale des fichiers téléchargés par l’utilisateur lors de l’événement.

    Téléchargement excessif de fichiers d'informations supplémentaires

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Téléchargements excessifs de fichiers

Citrix Analytics détecte les menaces de données en fonction de l’activité excessive de téléchargement de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de téléchargement excessif de fichiers vous aide à identifier les activités inhabituelles de téléchargement de fichiers. Chaque utilisateur a un modèle de téléchargement de fichier qu’il suit qui inclut des attributs tels que :

  • Heure à laquelle les fichiers ont été téléchargés.

  • Type de fichiers téléchargés.

  • Volume de téléchargement de fichiers, et ainsi de suite.

Tout écart par rapport au modèle habituel d’un utilisateur déclenche l’indicateur de risque de téléchargement excessif de fichiers .

Quand l’indicateur de risque de téléchargement excessif de fichiers est-il déclenché ?

Les téléchargements excessifs de fichiers peuvent être classés comme risqués car ils indiquent un utilisateur compromis ou un initié qui pourrait essayer d’exfiler des données. Si le téléchargement d’une grande quantité de données n’est pas compatible avec le comportement normal de l’utilisateur, il peut être considéré comme suspect au sens plus général. Cette alerte est déclenchée lorsque le volume de données téléchargées dépasse le comportement de téléchargement normal de l’utilisateur basé sur des algorithmes d’apprentissage automatique.

Lorsque Citrix Analytics détecte un comportement de téléchargement excessif, cela augmente le score de risque de l’utilisateur concerné. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque de téléchargement excessif de fichiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque des téléchargements de fichiers excessifs ?

Considérez l’utilisateur Guillaume Martin, qui a téléchargé une grande quantité de données sur son système local en une heure. Par cette action, Guillaume Martin avait dépassé son comportement de téléchargement normal basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de l’utilisateur, vous pouvez sélectionner l’indicateur de risque de téléchargements de fichiers excessifs signalés. La raison de l’alerte de téléchargement excessif de fichiers s’affiche avec les détails de l’événement, tels que le nom du fichier, la taille du fichier et la durée du téléchargement.

Pour afficher l’indicateur de risque de téléchargement excessif de fichiers, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Téléchargements excessifs de fichiers

  • La section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement de téléchargement excessif de fichiers. Vous pouvez afficher la quantité de données téléchargées par l’utilisateur et l’heure à laquelle l’événement s’est produit.

Téléchargements excessifs de fichiers ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — TÉLÉCHARGEMENTS DE FICHIERS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de téléchargement. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Nom et extension du fichier téléchargé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) à partir duquel le fichier a été téléchargé.

    • Taille du fichier. Taille du fichier téléchargé.

    Détails de l'événement de téléchargement excessif de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher la taille totale de téléchargement des fichiers téléchargés par l’utilisateur lors de l’événement.

    Téléchargement excessif de fichiers d'informations contextuelles supplémentaires

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Suppression de fichiers ou de dossiers excessifs

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de suppression de fichiers ou de dossiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de suppression excessive de fichiers ou de dossiers est déclenché lorsque le comportement d’un utilisateur en ce qui concerne la suppression de fichiers de dossiers est excessif. Cette anomalie peut indiquer un problème avec le compte de l’utilisateur, tel qu’une attaque sur son compte.

Quand l’indicateur de risque de suppression excessive de fichiers ou de dossiers est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation a supprimé un nombre excessif de fichiers ou de dossiers au cours d’une certaine période de temps. Cette alerte est déclenchée lorsqu’un utilisateur supprime un nombre excessif de fichiers ou de dossiers en dehors de son comportement de suppression normal basé sur des algorithmes d’apprentissage automatique.

Lorsque ce comportement est détecté, Citrix Analytics augmente le score de risque pour l’utilisateur concerné. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de suppression excessive de fichiers ou de dossiers ?

Considérez l’utilisateur Guillaume Martin, qui a supprimé de nombreux fichiers ou dossiers au cours d’une journée. Par cette action, Guillaume Martin avait dépassé son comportement de suppression normal basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de Guillaume Martin, vous pouvez sélectionner l’indicateur de risque de suppression excessive de fichier ou de dossier signalé. La raison de l’événement est affichée à l’écran avec les détails de l’événement tels que le type de suppression (fichier ou dossier), l’heure à laquelle il a été supprimé, etc.

Pour afficher l’indicateur de risque de suppression excessive de fichiers ou de dossiers, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Suppression de fichiers ou de dossiers excessifs

  • La section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement de suppression excessive de fichiers ou de dossiers. Vous pouvez afficher le nombre de fichiers et de dossiers supprimés et l’heure à laquelle l’événement s’est produit.

Suppression excessive de fichiers ou de dossiers ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — ÉLÉMENTS SUPPRIMÉS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure supprimée. Heure à laquelle le fichier ou le dossier a été supprimé.

    • Type. Type d’élément supprimé : fichier ou dossier.

    • Nom. Nom du fichier ou du dossier qui a été supprimé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) dans lequel le fichier a été supprimé.

    Détails excessifs sur les événements de suppression de fichiers ou de dossiers

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Échecs d’ouverture de session excessifs

Citrix Analytics détecte les menaces d’accès en fonction d’une activité d’ouverture de session excessive et déclenche l’indicateur de risque correspondant.

L’indicateur de risque d’échecs d’ouverture de session excessifs est déclenché lorsqu’un utilisateur rencontre des tentatives d’ouverture de session échouées. En identifiant les utilisateurs présentant des échecs d’ouverture de session excessifs, en fonction du comportement précédent, les administrateurs peuvent surveiller le compte de l’utilisateur pour détecter les attaques par force brute.

Quand l’indicateur de risque d’échecs d’ouverture de session excessifs est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre organisation a échoué plusieurs tentatives d’ouverture de session, ce qui est contraire à son comportement habituel.

L’indicateur de risque d’échecs d’ouverture de session excessifs est déclenché lorsqu’un utilisateur tente à plusieurs reprises de se connecter au service Content Collaboration. Lorsque ce comportement est détecté, Citrix Analytics augmente le score de risque de l’utilisateur respectif. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque Échecs d’ouverture de session excessifs est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’échecs d’ouverture de session excessive ?

Considérez l’utilisateur Maria Brown, qui a tenté de se connecter à Content Collaboration plusieurs fois. Par cette action, Maria Brown a déclenché l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel.Dans la chronologie de Maria, vous pouvez sélectionner l’indicateur de risque d’échecs d’ouverture de session excessifs signalés. La raison de l’événement et les détails de l’événement s’affichent à l’écran.

Pour afficher l’indicateur de risque d’échecs d’ouverture de session excessifs, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Échecs d'ouverture de session excessifs

  • Dans la section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement Échecs d’ouverture de session excessifs. Vous pouvez afficher le nombre d’ouvertures de session infructueuses qui se sont produites au cours d’une période donnée.

Échecs d'ouverture de session excessifs

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure. Heure de chaque tentative d’ouverture de session.

    • IP du client. Adresse IP du client utilisée.

    • Nom de l’outil. Outil ou application utilisé pour partager les fichiers.

    • Système d’exploitation. Version du système d’exploitation utilisée par le client.

Échecs d'ouverture de session excessifs

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Activité de ransomware suspectée

Citrix Analytics détecte les menaces de données en fonction d’une activité de ransomware et déclenche l’indicateur de risque correspondant.

Ransomware est un type de logiciel malveillant qui crypte le fichier d’un utilisateur et les remplace ou les met à jour par des fichiers déchiffrés. En identifiant les attaques de type ransomware entre les fichiers partagés par les utilisateurs au sein d’une organisation, vous pouvez vous assurer que la productivité n’est pas affectée.

Quand l’indicateur de risque de ransomware est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre compte commence à supprimer et à télécharger un nombre excessif de fichiers avec des noms similaires et des extensions différentes. Vous pouvez également être averti lorsque l’utilisateur met à jour un nombre excessif de fichiers avec des noms similaires et des extensions différentes. Cette activité indique que le compte de l’utilisateur a été compromis et qu’une attaque de ransomware a eu lieu. Lorsque Citrix Analytics détecte ce comportement, il augmente le score de risque de l’utilisateur concerné. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque suspecté d’activité ransomware est ajouté à la chronologie des risques de l’utilisateur.

L’indicateur Activité suspectée de ransomware peut être de deux types. Ils sont :

  • Activité de ransomware suspectée (Fichiers remplacés) indique les fichiers supprimés et les nouveaux fichiers téléchargés à leur place d’une manière qui ressemble à une attaque de ransomware. Les modèles d’attaque peuvent entraîner un plus grand nombre de téléchargements que le nombre de fichiers supprimés. Par exemple, une note de rançon peut être téléchargée avec les autres fichiers.

  • Activité de ransomware suspectée (Fichiers mis à jour) indique les fichiers mis à jour d’une manière qui ressemble à une attaque de ransomware.

Comment analyser l’indicateur de risque de ransomware ?

Considérez l’utilisateur Adam Maxwell, qui a supprimé de nombreux fichiers et les a remplacés par des versions différentes, dans un délai de 15 minutes. Par cette action, Adam Maxwell a déclenché un comportement inhabituel et suspect basé sur ce que les algorithmes d’apprentissage automatique jugent normal pour cet utilisateur spécifique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque Activité suspectée de ransomware (fichiers remplacés) signalé. La raison de l’événement est affichée à l’écran avec des détails tels que le nom du fichier, l’emplacement du fichier.

Pour afficher l’indicateur de risque suspecté d’activité ransomware, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur. Dans la chronologie des risques de l’utilisateur, sélectionnez l’indicateur de risque lié à l’activité de ransomware suspectée (Fichiers remplacés) qui a été signalé pour l’utilisateur.

Fichiers de ransomware mis à jour

  • La section WHAT HAPPENED, vous pouvez afficher le résumé de l’événement soupçonné d’activité ransomware. Vous pouvez afficher le nombre de fichiers supprimés et remplacés de manière suspecte, ainsi que l’heure à laquelle l’événement s’est produit.

Fichiers ransomware mis à jour ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — OPÉRATIONS DE FICHIER, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure. Heure à laquelle le fichier a été remplacé ou supprimé.

    • Nom du fichier. Nom du fichier.

    • Chemin. Chemin d’accès où se trouve le fichier.

    Détails de l'événement mis à jour des fichiers de ransomware

De même, vous pouvez sélectionner l’indicateur de risque Activité de ransomware suspectée (Fichiers mis à jour). Vous pouvez consulter les détails de cet événement tels que :

  • La raison pour laquelle l’indicateur de risque est déclenché.

  • Nombre de fichiers mis à jour avec des versions chiffrées.

  • Heure à laquelle l’événement (fichiers en cours de mise à jour) s’est produit.

  • Nom des fichiers.

  • Emplacement des fichiers.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.