Citrix Analytics for Security

Indicateurs de risque Citrix Content Collaboration

Accès depuis un endroit inhabituel

Citrix Analytics détecte les menaces d’accès en fonction d’une activité de connexion inhabituelle et déclenche l’indicateur de risque correspondant.

Quand l’indicateur Accès à partir d’un emplacement inhabituel est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre organisation se connecte à partir d’un emplacement différent de son emplacement habituel. L’emplacement est déterminé à partir de l’adresse IP de l’appareil de l’utilisateur. Content Collaboration détecte ces événements utilisateur et les signale à Citrix Analytics. Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur. L’indicateur de risque est déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville qui est anormalement éloignée des emplacements de connexion précédents. Parmi les autres facteurs, mentionnons le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation de l’utilisateur est basé sur les 30 jours précédents d’activité de connexion.

L’indicateur de risque Accès à partir d’un emplacement inhabituel est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’accès à partir d’un indicateur de risque de localisation inhabituel ?

Considérez l’utilisateur Kevin Smith, qui se connecte à partir de Bengaluru, Inde pour la première fois. Ses emplacements habituels de connexion au cours des 30 derniers jours sont le Canada, l’Angleterre, l’Allemagne et les Pays-Bas. Par cette action, Kevin Smith a déclenché l’algorithme d’apprentissage automatique qui détecte un comportement inhabituel.

Dans la chronologie de Kevin Smith, vous pouvez sélectionner l’ accès signalé à partir d’un indicateur de risque de localisation inhabituel . La raison de l’événement est affichée à l’écran avec des détails tels que l’heure d’ouverture de session et l’adresse IP du client.

Pour afficher l’indicateur de risque d’accès à partir d’un emplacement inhabituel, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Accès depuis un endroit inhabituel

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher un résumé de l’accès à partir de l’événement de localisation inhabituel. Vous pouvez afficher le nombre d’ouvertures de session suspectes qui se sont produites au cours d’une période donnée.

    Collaboration inhabituelle de contenu d'accès à l'ouverture de session

  • Emplacements de connexion : Affiche une vue cartographique géographique des emplacements habituels et inhabituels à partir desquels l’utilisateur s’est connecté.

     ! [Emplacement de connexion] (/en-us/citrix-analytics/media/geo-map-aful-sf.png)

  • Nombre de connexions depuis des emplacements habituels - 30 derniers jours : Affiche un graphique à secteurs des 6 principaux emplacements habituels à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours. Il affiche également le nombre d’événements de connexion à partir de ces emplacements.

    Graphiques à secteurs

  • Détails de l’événement pour un emplacement inhabituel : Fournit la liste des événements de connexion à partir de l’emplacement inhabituel pour l’utilisateur. Le tableau fournit les informations suivantes sur l’événement inhabituel de connexion :

    Détails inhabituels de l'événement de collaboration de contenu d'accès à l'ouverture de session

    • Date et heure. Indique la date et l’heure de l’événement inhabituel de localisation de connexion.
    • IP du client. Indique l’adresse IP de l’appareil client.
    • Système d’exploitation de l’appareil Indique le système d’exploitation de l’appareil à l’aide duquel l’utilisateur s’est connecté à un emplacement inhabituel.
    • Nom de l’outil. Outil ou application utilisé pour partager les fichiers.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Accès excessif aux fichiers sensibles

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive d’accès aux fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque d’accès excessif aux fichiers sensibles est déclenché lorsque le comportement d’un utilisateur concernant l’accès aux fichiers sensibles est excessif. Cette activité inhabituelle peut indiquer un problème avec le compte de l’utilisateur, par exemple une attaque contre son compte.

Quand l’indicateur de risque d’accès excessif aux fichiers sensibles est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur a accédé à une quantité inhabituelle de données jugées sensibles pendant une période donnée. Cette alerte est déclenchée lorsqu’un utilisateur accède aux données sensibles identifiées par une solution DLP (Data Loss Prevention) ou CASB (Cloud Access Security Broker). Lorsque Content Collaboration détecte ce comportement excessif, Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur concerné. L’indicateur de risque d’accès excessif aux fichiers sensibles est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’accès excessif aux fichiers sensibles ?

Considérez l’utilisateur Adam Maxwell, avait accès à 10 fichiers sensibles, qu’il a téléchargé sur son système local dans un délai de 15 minutes. L’indicateur de risque d’accès excessif aux fichiers sensibles est déclenché car il dépasse un seuil. Le seuil est calculé en fonction du nombre de fichiers sensibles téléchargés dans une fenêtre de temps donnée, en tenant compte des informations contextuelles telles que le mécanisme de téléchargement.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque d’accès excessif aux fichiers sensibles signalé. La raison de l’événement est affichée à l’écran avec les détails de l’événement, tels que le nom du fichier, la taille du fichier et l’heure de téléchargement.

Pour afficher l’indicateur de risque Accès excessif aux fichiers sensibles, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Accès excessif aux fichiers sensibles

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher un résumé de l’indicateur de risque Accès excessif aux fichiers sensibles. Vous pouvez afficher le nombre de fichiers sensibles jugés excessifs par Citrix Analytics et l’heure à laquelle les événements se sont produits.

Accès excessif aux fichiers sensibles ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — TÉLÉCHARGEMENT DE DONNÉES SENSIBLES, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de téléchargement. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Nom et extension du fichier téléchargé.

    • Taille du fichier. Taille du fichier téléchargé.

    Accès excessif aux détails des événements de fichiers sensibles

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, pendant l’événement, vous pouvez afficher les éléments suivants :

    • Nombre total de fichiers sensibles téléchargés.

    • Taille totale des fichiers téléchargés par l’utilisateur.

    Accès excessif aux informations contextuelles des fichiers sensibles

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Partage excessif de fichiers

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de partage de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de partage de fichiers excessif est déclenché en cas d’écart par rapport au comportement typique de partage de fichiers de l’utilisateur. Tout écart par rapport à un comportement normal de partage de fichiers est considéré comme inhabituel et le compte de l’utilisateur fait l’objet d’une enquête pour cette activité suspecte.

Quand l’indicateur de risque excessif de partage de fichiers est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation partage des fichiers plus souvent que prévu dans un comportement normal. En répondant à la notification concernant un utilisateur qui a trop partagé des fichiers, vous pouvez empêcher une exfiltration de données.

Citrix Analytics reçoit les événements de partage de Content Collaboration, les analyse et augmente le score de risque d’un utilisateur présentant un comportement de partage excessif. L’indicateur de risque excessif de partage de fichiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de partage de fichiers excessif ?

Considérez l’utilisateur Adam Maxwell, qui a partagé des fichiers six fois en une journée. Par cette action, Adam Maxwell a partagé des fichiers plus de fois qu’il ne le fait habituellement sur la base d’algorithmes d’apprentissage automatique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque de partage de fichiers excessif signalé. La raison de l’événement s’affiche avec des détails tels que le lien Content Collaboration partagé, l’heure à laquelle le fichier a été partagé, etc.

Pour afficher l’indicateur de risque de partage de fichiers excessif, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Partage excessif de fichiers

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher un résumé de l’événement de partage de fichiers excessif. Vous pouvez afficher le nombre de liens de partage envoyés aux destinataires et le moment où le partage s’est produit.

Partage excessif de fichiers ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — FICHIERS PARTAGÉS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Temps partagé. Heure à laquelle le fichier a été partagé.

    • ID de partage. Lien Content Collaboration utilisé pour partager le fichier.

    • Opérations. Opération effectuée par l’utilisateur à l’aide de Content Collaboration.

    • Nom de l’outil. Outil ou application utilisé pour partager les fichiers.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) dans lequel le fichier a été partagé.

    Détails excessifs sur les événements de partage de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher le nombre total de fichiers partagés par l’utilisateur pendant l’événement.

    Informations contextuelles excessives sur le partage de fichiers

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de risque de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

  • Modifiez les liens vers le partage en lecture seule. Lorsqu’un utilisateur déclenche l’indicateur de risque excessif de partage de fichiers, Citrix Analytics vous permet de modifier les liens de partage associés à cet indicateur en mode de partage en lecture seule. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

  • Lorsque l’utilisateur est désactivé, il ne peut pas se connecter à Content Collaboration. Ils voient une notification, sur la page d’ouverture de session, les invitant à contacter leur administrateur de compte Content Collaboration pour plus d’informations.

  • Lorsqu’un lien de partage est désactivé, le lien de partage n’est accessible à aucun utilisateur ou destinataire. Si l’utilisateur essaie d’accéder à nouveau au lien de partage, la page affiche un message au destinataire indiquant que le lien n’est plus disponible.

  • Quelle que soit la source de données qui déclenche un indicateur de risque, des actions se rapportant à d’autres sources de données peuvent être appliquées.

Chargements excessifs de fichiers

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de téléchargement de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de téléchargement excessif de fichiers vous aide à identifier une activité inhabituelle de téléchargement de fichiers. Chaque utilisateur a un modèle de téléchargement de fichier qu’il suit qui inclut des attributs tels que :

  • Heure à laquelle les fichiers ont été téléchargés

  • Type de fichiers qui ont été téléchargés

  • Volume de téléchargement de fichiers

  • Source de téléchargement de fichier

Tout écart par rapport au modèle habituel d’un utilisateur déclenche l’indicateur de risque de chargement excessif de fichiers .

Quand l’indicateur de risque de téléchargement excessif de fichiers est-il déclenché ?

Les téléchargements excessifs de fichiers peuvent être classés comme risqués car ils indiquent un utilisateur compromis ou une menace d’initié qui pourrait essayer de télécharger du contenu malveillant ou crypté. Si le téléchargement d’une grande quantité de données n’est pas compatible avec le comportement normal de l’utilisateur, il peut être considéré comme suspect dans un sens plus général. Cette alerte est déclenchée lorsque le volume de données téléchargées dépasse le comportement normal de téléchargement de l’utilisateur basé sur des algorithmes d’apprentissage automatique.

Lorsque Citrix Analytics détecte un comportement de téléchargement excessif, cela augmente le score de risque de l’utilisateur concerné. L’indicateur de risque de chargement excessif de fichiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque des téléchargements de fichiers excessifs ?

Considérons l’utilisateur Lemuel, qui a téléchargé une grande quantité de données dans une période d’une heure. Par cette action, Lemuel a dépassé son comportement normal de téléchargement basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de l’utilisateur, vous pouvez sélectionner l’indicateur de risque de chargement excessif de fichiers signalé. La raison de l’alerte est affichée ainsi que les détails de l’événement, tels que le nom du fichier, l’heure de téléchargement, le nom de l’outil et la source.

Pour afficher l’indicateur de risque de téléchargement excessif de fichiers, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Chargements excessifs de fichiers

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher un résumé de l’événement de téléchargement excessif de fichiers. Vous pouvez afficher la quantité de données téléchargées par l’utilisateur et l’heure à laquelle l’événement s’est produit.

Téléchargement excessif de fichiers ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — CHARGEMENTS DE FICHIERS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de mise en ligne. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Nom et extension du fichier téléchargé.

    • Nom de l’outil. L’outil ou l’application utilisant lequel le fichier a été chargé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) sur lequel le fichier a été téléchargé.

    Détails de l'événement de téléchargement excessif de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher la taille totale des fichiers téléchargés par l’utilisateur pendant l’événement.

    Informations sur les téléchargements excessifs de fichiers

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Téléchargements excessifs de fichiers

Citrix Analytics détecte les menaces de données en fonction de l’activité excessive de téléchargement de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de téléchargement excessif de fichiers vous aide à identifier les activités inhabituelles de téléchargement de fichiers. Chaque utilisateur a un modèle de téléchargement de fichier qu’il suit qui inclut des attributs tels que :

  • Heure à laquelle les fichiers ont été téléchargés.

  • Type de fichiers téléchargés.

  • Volume de téléchargement de fichiers, et ainsi de suite.

Tout écart par rapport au modèle habituel d’un utilisateur déclenche l’indicateur de risque de téléchargement excessif de fichiers .

Quand l’indicateur de risque de téléchargement excessif de fichiers est-il déclenché ?

Les téléchargements excessifs de fichiers peuvent être classés comme risqués car ils indiquent un utilisateur compromis ou un initié qui pourrait essayer d’exfiler des données. Si le téléchargement d’une grande quantité de données n’est pas compatible avec le comportement normal de l’utilisateur, il peut être considéré comme suspect dans un sens plus général. Cette alerte est déclenchée lorsque le volume de données téléchargées dépasse le comportement normal de téléchargement de l’utilisateur basé sur des algorithmes d’apprentissage automatique.

Lorsque Citrix Analytics détecte un comportement de téléchargement excessif, cela augmente le score de risque de l’utilisateur concerné. L’indicateur de risque de téléchargements excessifs de fichiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque des téléchargements de fichiers excessifs ?

Considérons l’utilisateur Lemuel, qui a téléchargé une grande quantité de données sur son système local en une heure. Par cette action, Lemuel a dépassé son comportement normal de téléchargement basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de l’utilisateur, vous pouvez sélectionner l’indicateur de risque de téléchargement excessif de fichiers signalé. La raison de l’alerte de téléchargement excessif de fichiers s’affiche avec les détails de l’événement, tels que le nom du fichier, la taille du fichier et la durée du téléchargement.

Pour afficher l’indicateur de risque de téléchargement excessif de fichiers, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Téléchargements excessifs de fichiers

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher un résumé de l’événement de téléchargement excessif de fichiers. Vous pouvez afficher la quantité de données téléchargées par l’utilisateur et l’heure à laquelle l’événement s’est produit.

Téléchargements excessifs de fichiers ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — TÉLÉCHARGEMENTS DE FICHIERS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de téléchargement. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Nom et extension du fichier téléchargé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) à partir duquel le fichier a été téléchargé.

    • Taille du fichier. Taille du fichier téléchargé.

    Détails de l'événement de téléchargement excessif de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher la taille totale du téléchargement des fichiers téléchargés par l’utilisateur pendant l’événement.

    Téléchargement excessif de fichiers, informations contextuelles

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Suppression de fichiers ou de dossiers excessifs

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de suppression de fichiers ou de dossiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de suppression excessive de fichiers ou de dossiers est déclenché lorsque le comportement d’un utilisateur concernant la suppression de fichiers de dossiers est excessif. Cette anomalie peut indiquer un problème avec le compte de l’utilisateur, par exemple une attaque sur son compte.

Quand l’indicateur de risque de suppression excessive de fichiers ou de dossiers est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation a supprimé un nombre excessif de fichiers ou de dossiers au cours d’une certaine période de temps. Cette alerte est déclenchée lorsqu’un utilisateur supprime un nombre excessif de fichiers ou de dossiers en dehors de son comportement de suppression normal basé sur des algorithmes d’apprentissage automatique.

Lorsque ce comportement est détecté, Citrix Analytics augmente le score de risque pour l’utilisateur concerné. L’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de suppression excessive de fichiers ou de dossiers ?

Considérez l’utilisateur Lemuel, qui a supprimé de nombreux fichiers ou dossiers au cours d’une journée. Par cette action, Lemuel a dépassé son comportement normal de suppression basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de Lemuel Kildow, vous pouvez sélectionner l’indicateur de risque de suppression excessif de fichier ou de dossier signalé. La raison de l’événement est affichée à l’écran avec les détails de l’événement tels que le type de suppression (fichier ou dossier), l’heure à laquelle il a été supprimé, etc.

Pour afficher l’indicateur de risque de suppression excessive de fichiers ou de dossiers, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Suppression de fichiers ou de dossiers excessifs

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher un résumé de l’événement de suppression excessive de fichiers ou de dossiers. Vous pouvez afficher le nombre de fichiers et de dossiers supprimés et l’heure à laquelle l’événement s’est produit.

Suppression excessive de fichiers ou de dossiers ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — ÉLÉMENTS SUPPRIMÉS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure supprimée. Heure à laquelle le fichier ou le dossier a été supprimé.

    • Type. Type d’élément supprimé : fichier ou dossier.

    • Nom. Nom du fichier ou du dossier qui a été supprimé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) dans lequel le fichier a été supprimé.

    Détails excessifs sur les événements de suppression de fichiers ou de dossiers

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Échecs d’authentification inhabituels

Citrix Analytics détecte les menaces d’accès basées sur des activités d’authentification à partir d’adresses IP inhabituelles.

L’indicateur de risque d’échec d’authentification inhabituel est déclenché lorsqu’un utilisateur effectue des tentatives d’ouverture de session à partir d’une adresse IP considérée comme inhabituelle en fonction du modèle d’accès historique de l’utilisateur. En identifiant les utilisateurs présentant des échecs d’authentification inhabituels, en fonction du comportement antérieur, les administrateurs peuvent surveiller le compte de l’utilisateur à la recherche d’attaques par force brute.

Quand l’indicateur de risque d’échec d’authentification inhabituel est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre organisation a échoué plusieurs tentatives d’ouverture de session, ce qui est contraire à son comportement habituel.

L’indicateur de risque d’échec d’authentification inhabituel est déclenché lorsqu’un utilisateur tente à plusieurs reprises de se connecter au service Content Collaboration. Lorsque ce comportement est détecté, Citrix Analytics augmente le score de risque de l’utilisateur respectif. L’indicateur de risque d’échec d’authentification inhabituel est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de défaillances d’authentification inhabituelles ?

Pensez à l’utilisateur Maria Brown, qui a essayé plusieurs fois de se connecter à Content Collaboration. Par cette action, Maria Brown a déclenché l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. Dans la chronologie de Maria, vous pouvez sélectionner l’indicateur de risque d’échec d’authentification inhabituel signalé. La raison de l’événement et les détails de l’événement s’affichent à l’écran.

Pour afficher l’indicateur de risque d’échec d’authentification inhabituel, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Échecs d'authentification inhabituels

  • Dans la section CE QUI S’EST PASSÉ, vous pouvez afficher un résumé de l’événement inhabituel des échecs d’authentification. Vous pouvez afficher le nombre d’ouvertures de session infructueuses qui se sont produites au cours d’une période donnée.

    Échec excessif de l'authentification

    < ! — ! [Échecs d’authentification excessifs] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-what-happened.png) —>

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT, vous pouvez afficher la chronologie des événements et leurs détails. Le tableau fournit les informations clés suivantes :

    • Heure de l’événement. Heure de chaque tentative d’ouverture de session.

    • IP du client. Adresse IP du réseau de l’utilisateur.

    • Emplacement. Emplacement de la machine utilisateur.

    • Nom de l’outil. Outil ou application utilisé pour partager les fichiers.

    • Système d’exploitation. Le système d’exploitation de la machine utilisateur.

    Échecs d'authentification inhabituels

    < ! — ! [Échecs d’authentification inhabituels] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-event-details.png) —>

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Activité de ransomware suspectée

Citrix Analytics détecte les menaces de données en fonction d’une activité de ransomware et déclenche l’indicateur de risque correspondant.

Le ransomware est un logiciel malveillant qui empêche les utilisateurs d’accéder à leurs fichiers en remplaçant ou en mettant à jour les fichiers par une version chiffrée. En identifiant les attaques de type ransomware entre les fichiers partagés par les utilisateurs au sein d’une organisation, vous pouvez vous assurer que la productivité n’est pas affectée.

Quand l’indicateur de risque de ransomware est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre compte tente de supprimer et remplace un nombre excessif de fichiers portant des noms similaires et des extensions différentes. Vous êtes également averti lorsqu’un utilisateur met à jour un nombre excessif de fichiers portant des noms similaires et des extensions différentes. Cette activité indique que le compte de l’utilisateur a été compromis et qu’une éventuelle attaque par ransomware s’est produite. Lorsque Citrix Analytics détecte ce comportement, il augmente le score de risque de l’utilisateur concerné. L’indicateur de risque suspecté d’activité de ransomware est ajouté à la chronologie des risques de l’utilisateur.

L’indicateur Activité suspectée de ransomware peut être de deux types. Ils sont :

  • Uneactivité de ransomware suspectée (fichiers remplacés) indique une tentative de suppression des fichiers existants et de les remplacer par une nouvelle version des fichiers ressemblant à une attaque de ransomware. Les modèles d’attaque peuvent entraîner un plus grand nombre de téléchargements que le nombre de fichiers supprimés. Par exemple, une note de rançon peut être téléchargée avec les autres fichiers.

  • L’activité de ransomware suspectée (Fichiers mis à jour) indique une tentative de mise à jour des fichiers existants avec une version modifiée des fichiers ressemblant à une attaque de ransomware.

Comment analyser l’indicateur de risque de ransomware ?

Prenons l’exemple de l’utilisateur Adam Maxwell, qui tente de mettre à jour de nombreux fichiers avec des versions modifiées, dans un délai de 15 minutes. Par cette action, Adam Maxwell a déclenché un comportement inhabituel et suspect basé sur ce que les algorithmes d’apprentissage automatique jugent normal pour cet utilisateur spécifique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque d’ activité de ransomware suspectée (fichiers mis à jour) signalé. La raison de l’événement est affichée à l’écran avec des détails tels que le nom du fichier et l’emplacement du fichier.

Pour afficher l’indicateur de risque d’ activité de ransomware suspectée (fichiers mis à jour), accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur. Dans la chronologie des risques de l’utilisateur, sélectionnez l’indicateur de risque d’ activité de ransomware suspectée (fichiers mis à jour) qui est déclenché pour l’utilisateur.

Fichiers de ransomware mis à jour

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher le résumé de l’événement soupçonné d’activité ransomware. Vous pouvez afficher le nombre de fichiers mis à jour de manière suspecte et l’heure à laquelle l’événement s’est produit.

    Fichiers ransomware mis à jour ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — OPÉRATIONS DE FICHIER, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure. Heure à laquelle le fichier a été mis à jour.

    • Nom du fichier. Nom du fichier.

    • Chemin. Chemin d’accès où se trouve le fichier.

    Détails de l'événement mis à jour des fichiers de ransomware

De même, vous pouvez sélectionner l’indicateur de risque signalé d’ activité de ransomware suspectée (fichiers remplacés) . Vous pouvez consulter les détails de cet événement tels que :

  • La raison pour laquelle l’indicateur de risque est déclenché.

  • Nombre de fichiers supprimés et remplacés par une nouvelle version.

    Fichier remplacé

  • Heure à laquelle l’événement (fichiers en cours de remplacement) s’est produit.

  • Nom des fichiers.

  • Emplacement des fichiers.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer leur accès en désactivant leur compte Content Collaboration.

  • Expirer tous les liens partagés. Lorsqu’un utilisateur déclenche l’indicateur de partage de fichiers excessif, Citrix Analytics vous permet d’expirer tous les liens associés à cet indicateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.