Citrix Analytics for Security

Indicateurs de risque Citrix Content Collaboration

Accès excessif aux fichiers sensibles

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive d’accès aux fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque Accès excessif aux fichiers sensibles est déclenché lorsque le comportement d’un utilisateur concernant l’accès aux fichiers sensibles est excessif. Cette activité inhabituelle peut indiquer un problème lié au compte de l’utilisateur, par exemple une attaque sur son compte.

Le facteur de risque associé à l’indicateur de risque Accès excessif aux fichiers sensibles est l’indicateur de risque basé sur les fichiers. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque d’accès excessif aux fichiers sensibles est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur a accédé à une quantité inhabituelle de données jugées sensibles au cours d’une période donnée. Cette alerte est déclenchée lorsqu’un utilisateur accède à des données sensibles identifiées par une solution de prévention contre la perte de données (DLP) ou de Cloud Access Security Broker (CASB). Lorsque Content Collaboration détecte ce comportement excessif, Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur concerné. L’indicateur de risque d’accès excessif aux fichiers sensibles est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’accès excessif aux fichiers sensibles ?

Considérez que l’utilisateur Adam Maxwell, avait accès à 10 fichiers sensibles, qu’il a téléchargés sur son système local en l’espace de 15 minutes. L’indicateur de risque Accès excessif aux fichiers sensibles est déclenché car il dépasse un seuil. Le seuil est calculé en fonction du nombre de fichiers sensibles téléchargés dans une fenêtre de temps donnée, en tenant compte des informations contextuelles telles que le mécanisme de téléchargement.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque d’accès excessif aux fichiers sensibles signalé. La raison de l’événement est affichée à l’écran avec les détails de l’événement, tels que le nom du fichier, la taille du fichier et l’heure de téléchargement.

Pour afficher l’indicateur de risque d’accès excessif aux fichiers sensibles, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Accès excessif aux fichiers sensibles

  • Dans la section WHAT HAPPENED, vous pouvez afficher un résumé de l’indicateur de risque d’accès excessif aux fichiers sensibles. Vous pouvez afficher le nombre de fichiers sensibles jugés excessifs par Citrix Analytics et l’heure à laquelle les événements se sont produits.

    Accès excessif aux fichiers sensibles

  • Dans la section EVENT DETAILS — SENSITIVE DATA DOWNLOAD, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de téléchargement. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Le nom et l’extension du fichier téléchargé.

    • Taille du fichier. Taille du fichier téléchargé.

    Accès excessif aux détails des événements de fichiers sensibles

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, pendant la survenance de l’événement, vous pouvez afficher les éléments suivants :

    • Nombre total de fichiers sensibles téléchargés.

    • Taille totale des fichiers téléchargés par l’utilisateur.

    Accès excessif aux informations contextuelles des fichiers sensibles

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Partage excessif de fichiers

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de partage de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de partage de fichiers excessif est déclenché en cas d’écart par rapport au comportement habituel de partage de fichiers de l’utilisateur. Tout écart par rapport à un comportement normal de partage de fichiers est considéré comme inhabituel et le compte de l’utilisateur est examiné pour détecter cette activité suspecte.

Le facteur de risque associé à l’indicateur de risque de partage excessif de fichiers est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque excessif de partage de fichiers est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation partage des fichiers plus souvent que prévu dans un comportement normal. En répondant à la notification concernant un utilisateur qui a trop partagé des fichiers, vous pouvez empêcher une exfiltration de données.

Citrix Analytics reçoit les événements de partage de Content Collaboration, les analyse et augmente le score de risque d’un utilisateur présentant un comportement de partage excessif. L’indicateur de risque de partage de fichiers excessif est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de partage de fichiers excessif ?

Prenons l’exemple de l’utilisateur Adam Maxwell, qui a partagé des fichiers six fois en une journée. Par cette action, Adam Maxwell a partagé des fichiers plus de fois qu’il ne le fait habituellement sur la base d’algorithmes d’apprentissage automatique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque de partage de fichiers excessif signalé. La raison de l’événement s’affiche avec des détails tels que le lien Content Collaboration partagé, l’heure à laquelle le fichier a été partagé, etc.

Pour afficher l’indicateur de risque de partage de fichiers excessif, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Partage excessif de fichiers

  • Dans la section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement de partage de fichiers excessif. Vous pouvez afficher le nombre de liens de partage envoyés aux destinataires et le moment où le partage a eu lieu.

    Partage de fichiers excessif

  • Dans la section EVENT DETAILS — EXCESSIVE FILES SHARED, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Temps partagé. Heure de partage du fichier.

    • Partagez l’ID. Le lien Content Collaboration utilisé pour partager le fichier.

    • Opérations. Opération effectuée par l’utilisateur à l’aide de Content Collaboration.

    • Nom de l’outil. Outil ou application utilisé pour partager les fichiers.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) dans lequel le fichier a été partagé.

      Détails excessifs sur les événements de partage de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher le nombre total de fichiers partagés par l’utilisateur pendant la survenance de l’événement.

    Informations contextuelles sur le partage de fichiers excessif

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

  • Lorsque l’utilisateur est désactivé, il ne peut pas se connecter à Content Collaboration. Ils voient une notification, sur la page d’ouverture de session, les invitant à contacter l’administrateur de leur compte Content Collaboration pour plus d’informations.

  • Lorsqu’un lien de partage est désactivé, le lien de partage n’est accessible à aucun utilisateur ou destinataire. Si l’utilisateur tente à nouveau d’accéder au lien de partage, la page affiche un message au destinataire indiquant que le lien n’est plus disponible.

  • Quelle que soit la source de données qui déclenche un indicateur de risque, des actions relatives à d’autres sources de données peuvent être appliquées.

Chargements excessifs de fichiers

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de téléchargement de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de téléchargement excessif de fichiers vous aide à identifier une activité de chargement de fichiers inhabituelle. Chaque utilisateur a un modèle de téléchargement de fichiers qu’il suit, qui inclut des attributs tels que :

  • Heure de chargement des fichiers

  • Type de fichiers qui ont été téléchargés

  • Volume de téléchargement de fichiers

  • Source de téléchargement de fichier

Tout écart par rapport au modèle habituel d’un utilisateur déclenche l’indicateur de risque de téléchargement excessif de fichiers .

Le facteur de risque associé à l’indicateur de risque de téléchargement excessif de fichiers est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque de téléchargement excessif de fichiers est-il déclenché ?

Les téléchargements excessifs de fichiers peuvent être classés comme risqués car ils indiquent un utilisateur compromis ou une menace d’initié qui pourrait essayer de télécharger du contenu malveillant ou crypté. Si le téléchargement d’une grande quantité de données n’est pas compatible avec le comportement normal de l’utilisateur, il peut être considéré comme suspect dans un sens plus général. Cette alerte est déclenchée lorsque le volume de données téléchargées dépasse le comportement de chargement normal de l’utilisateur basé sur des algorithmes de machine learning.

Lorsque Citrix Analytics détecte un comportement de téléchargement excessif, cela augmente le score de risque de l’utilisateur concerné. L’indicateur de risque de téléchargement excessif de fichiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque des téléchargements de fichiers excessifs ?

Considérons l’utilisateur Lemuel, qui a téléchargé une grande quantité de données dans une période d’une heure. Par cette action, Lemuel a dépassé son comportement normal de téléchargement basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de l’utilisateur, vous pouvez sélectionner l’indicateur de risque de téléchargement excessif de fichiers signalé. La raison de l’alerte est affichée ainsi que les détails de l’événement, tels que le nom du fichier, l’heure de téléchargement, le nom de l’outil et la source.

Pour afficher l’indicateur de risque de téléchargement excessif de fichiers, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Chargements excessifs de fichiers

  • Dans la section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement de téléchargement excessif de fichiers. Vous pouvez afficher la quantité de données téléchargées par l’utilisateur et l’heure à laquelle l’événement s’est produit.

Des téléchargements de fichiers excessifs, ce qui s'est

  • Dans la section EVENT DETAILS — EXCESSIVE FILES UPLOADS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de téléchargement. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Le nom et l’extension du fichier téléchargé.

    • Nom de l’outil. L’outil ou l’application à l’aide duquel le fichier a été téléchargé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) vers lequel le fichier a été téléchargé.

    Détails de l'événement de téléchargement excessif de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher la taille totale des fichiers téléchargés par l’utilisateur pendant la survenance de l’événement.

    Informations sur les téléchargements de fichiers excessifs

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Téléchargements excessifs de fichiers

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de téléchargement de fichiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de téléchargements de fichiers excessifs vous aide à identifier les activités de téléchargement de fichiers inhabituelles. Chaque utilisateur a un modèle de téléchargement de fichiers qu’il suit, qui inclut des attributs tels que :

  • Heure de téléchargement des fichiers.

  • Type de fichiers téléchargés.

  • Volume de téléchargement de fichiers, et ainsi de suite.

Tout écart par rapport au modèle habituel d’un utilisateur déclenche l’indicateur de risque de téléchargements de fichiers excessifs .

Le facteur de risque associé à l’indicateur de risque de téléchargement excessif de fichiers est l’indicateur de risque basé sur les fichiers. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque de téléchargement excessif de fichiers est-il déclenché ?

Les téléchargements excessifs de fichiers peuvent être classés comme risqués car ils indiquent un utilisateur compromis ou un initié qui pourrait essayer d’exfiler des données. Si le téléchargement d’une grande quantité de données n’est pas compatible avec le comportement normal de l’utilisateur, il peut être considéré comme suspect dans un sens plus général. Cette alerte est déclenchée lorsque le volume de données téléchargées dépasse le comportement de téléchargement normal de l’utilisateur basé sur des algorithmes de machine learning.

Lorsque Citrix Analytics détecte un comportement de téléchargement excessif, cela augmente le score de risque de l’utilisateur concerné. L’indicateur de risque de téléchargement excessif de fichiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque des téléchargements de fichiers excessifs ?

Considérons l’utilisateur Lemuel, qui a téléchargé une grande quantité de données sur son système local en une heure. Par cette action, Lemuel a dépassé son comportement normal de téléchargement basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de l’utilisateur, vous pouvez sélectionner l’indicateur de risque de téléchargement excessif de fichiers signalé. La raison de l’alerte de téléchargement excessif de fichiers s’affiche avec les détails de l’événement, tels que le nom du fichier, la taille du fichier et la durée du téléchargement.

Pour afficher l’indicateur de risque de téléchargements de fichiers excessifs, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Téléchargements excessifs de fichiers

  • Dans la section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement de téléchargement excessif de fichiers. Vous pouvez afficher la quantité de données téléchargées par l’utilisateur et l’heure à laquelle l’événement s’est produit.

Téléchargements de fichiers excessifs

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT — TÉLÉCHARGEMENTS EXCESSIFS DE FICHIERS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure de téléchargement. Heure à laquelle le fichier a été téléchargé.

    • Nom du fichier. Le nom et l’extension du fichier téléchargé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) à partir duquel le fichier a été téléchargé.

    • Taille du fichier. Taille du fichier téléchargé.

      Détails de l'événement de téléchargement excessif de fichiers

  • Dans la section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, vous pouvez afficher la taille totale de téléchargement des fichiers téléchargés par l’utilisateur pendant la survenance de l’événement.

    Informations contextuelles sur les téléchargements de fichiers excessifs

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Suppression excessive de fichiers ou de dossiers

Citrix Analytics détecte les menaces de données en fonction d’une activité excessive de suppression de fichiers ou de dossiers et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de suppression excessive de fichiers ou de dossiers est déclenché lorsque le comportement d’un utilisateur concernant la suppression de fichiers de dossiers est excessif. Cette anomalie peut indiquer un problème avec le compte de l’utilisateur, par exemple une attaque sur son compte.

Le facteur de risque associé à l’indicateur de risque de suppression excessive de fichiers ou de dossiers est l’indicateur de risque basé sur les fichiers. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque de suppression excessive de fichiers ou de dossiers est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation a supprimé un nombre excessif de fichiers ou de dossiers au cours d’une période donnée. Cette alerte est déclenchée lorsqu’un utilisateur supprime un nombre excessif de fichiers ou de dossiers en dehors de son comportement de suppression normal basé sur des algorithmes d’apprentissage automatique.

Lorsque ce comportement est détecté, Citrix Analytics augmente le score de risque pour l’utilisateur concerné. L’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque de suppression excessive de fichiers ou de dossiers ?

Considérez l’utilisateur Lemuel, qui a supprimé de nombreux fichiers ou dossiers au cours d’une journée. Par cette action, Lemuel a dépassé son comportement normal de suppression basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie de Lemuel Kildow, vous pouvez sélectionner l’indicateur de risque de suppression excessive de fichier ou de dossier signalé. La raison de l’événement est affichée à l’écran avec les détails de l’événement tels que le type de suppression (fichier ou dossier), l’heure à laquelle il a été supprimé, etc.

Pour afficher l’indicateur de risque de suppression excessive de fichiers ou de dossiers, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Suppression excessive de fichiers ou de dossiers

  • Dans la section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement de suppression excessive de fichiers ou de dossiers. Vous pouvez afficher le nombre de fichiers et de dossiers qui ont été supprimés et l’heure à laquelle l’événement s’est produit.

    Suppression excessive de fichiers ou de dossiers

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT — ÉLÉMENTS SUPPRIMÉS EXCESSIFS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure supprimée. Heure à laquelle le fichier ou le dossier a été supprimé.

    • Type. Type d’élément qui a été supprimé : fichier ou dossier.

    • Nom. Nom du fichier ou du dossier qui a été supprimé.

    • Source. Référentiel (Citrix Files, OneDrive, etc.) dans lequel le fichier a été supprimé.

      Détails excessifs de l'événement de suppression de fichiers ou de dossiers

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Voyages impossibles

Citrix Analytics détecte les ouvertures de session d’un utilisateur comme risquées lorsque les ouvertures de session consécutives proviennent de deux pays différents au cours d’une période inférieure au temps de trajet prévu entre les pays.

Le scénario de temps de trajet impossible indique les risques suivants :

  • Informations d’identification compromises : un attaquant distant vole les informations d’identification d’un utilisateur légitime.
  • Informations d’identification partagées : différents utilisateurs utilisent les mêmes informations d’identification utilisateur.

Quand l’indicateur de risque de voyage impossible se déclenche-t-il ?

L’indicateur de risque de déplacement impossible évalue le temps et la distance estimée entre chaque paire d’ouvertures de session utilisateur consécutives, et se déclenche lorsque la distance est supérieure à ce qu’une personne peut éventuellement parcourir pendant cette période.

Remarque

Cet indicateur de risque contient également une logique visant à réduire les alertes de faux positifs pour les scénarios suivants qui ne reflètent pas l’emplacement réel des utilisateurs :

  • Lorsque les utilisateurs se connectent à Content Collaboration à partir de connexions proxy.
  • Lorsque les utilisateurs se connectent à Content Collaboration depuis des clients hébergés.

Comment analyser l’indicateur de risque impossible

Prenons l’exemple de l’utilisateur Adam Maxwell, qui se connecte à partir de deux emplacements : Bengaluru, en Inde, et Oslo, en Norvège, dans un délai d’une minute. Citrix Analytics détecte cet événement d’ouverture de session comme un scénario de voyage impossible et déclenche l’indicateur de risque de déplacement impossible . L’indicateur de risque est ajouté à la chronologie de risque d’Adam Maxwell et un score de risque lui est attribué.

Pour consulter la chronologie des risques d’Adam Maxwell, sélectionnez Sécurité > Utilisateurs. Dans le volet Utilisateurs risqués, sélectionnez l’utilisateur Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, sélectionnez l’indicateur de risque de voyage impossible. Vous pouvez consulter les informations suivantes :

  • La section WHAT HAPPENED fournit un bref résumé de l’événement de voyage impossible.

    Que s'est-il passé

  • La section DÉTAILS DE L’INDICATEUR fournit les emplacements à partir desquels l’utilisateur s’est connecté, la durée entre les ouvertures de session consécutives et la distance entre les deux emplacements.

    Détails des indicateurs CCC

  • La section EMPLACEMENT D’OUVERTURE DE SESSION - 30 DERNIERS JOURS affiche une vue cartographique géographique des lieux de voyage impossibles et des emplacements connus de l’utilisateur. Les données de localisation sont affichées pour les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher le nombre total d’ouvertures de session de chaque emplacement.

    Emplacement d'ouverture de session CCC - 30 derniers jours

  • La section IMPOSSIBLE TRAVEL- EVENT DETAILS fournit les informations suivantes sur l’événement de voyage impossible :

    • Heure : indique la date et l’heure des ouvertures de session.
    • IP du client : indique l’adresse IP de la machine utilisateur.
    • Emplacement : indique l’emplacement depuis lequel l’utilisateur s’est connecté.
    • Système d’exploitation de l’appareil : indique le système d’exploitation de la machine utilisateur.

    Emplacement d'ouverture de session CCC - 30 derniers jours

Quelles actions pouvez-vous appliquer aux utilisateurs ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.
  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains d’entre eux.
  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.
  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.
  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer les actions à l’utilisateur manuellement, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Fichiers malveillants détectés

Citrix Analytics détecte les menaces liées aux données en fonction des fichiers infectés chargés dans Content Collaboration et déclenche l’indicateur de risque.

L’indicateur fournit une visibilité sur les détails du fichier malveillant tels que le propriétaire du fichier, le nom du virus et l’emplacement du fichier. Vous pouvez analyser la nature de la menace et le comportement de l’utilisateur et prendre des mesures en temps opportun pour empêcher toute exfiltration de données ou toute attaque de ransomware dans votre organisation.

Le facteur de risque associé à l’indicateur de risque détecté par les fichiers malveillants est l’indicateur de risque basé sur les fichiers. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque des fichiers malveillants détectés est-il déclenché ?

L’indicateur de risque Fichiers malveillants détectés est déclenché lorsqu’un utilisateur de Content Collaboration charge un fichier infecté par un logiciel malveillant tel qu’un cheval de Troie, un virus ou toute autre menace malveillante.

Lorsque Content Collaboration détecte un fichier malveillant, il envoie l’événement à Citrix Analytics for Security. Cet événement déclenche l’indicateur de risque et augmente le score de risque de l’utilisateur sur Citrix Analytics for Security. L’indicateur de risque des fichiers malveillants détectés est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque détecté par les fichiers malveillants ?

Supposons que l’utilisateur Kevin Smith télécharge un fichier infecté sur son compte Content Collaboration. Citrix Analytics déclenche l’indicateur de risque des fichiers malveillants détectés et l’affiche sur la chronologie de Kevin.

Dans la chronologie de Kevin, sélectionnez l’indicateur de risque et la période pour afficher les détails suivants :

  • La section WHAT HAPPENED : Résumé des événements utilisateur et de l’heure de détection.

    Fichiers malveillants ce qui s'est passé

  • La section DÉTAILS DE L’INDICATEUR  : détails du fichier infecté tels que le nom du virus, la valeur de hachage du fichier et le chemin d’accès du fichier infecté dans le compte Content Collaboration de l’utilisateur.

    Détails du fichier malveillant

  • La section RISQUES LIÉS  : Informations supplémentaires sur le fichier malveillant :

    • Nombre d’utilisateurs uniques dont le fichier infecté possède la même valeur de hachage de fichier. Cliquez sur le nombre d’utilisateurs pour afficher leurs détails.

    • Nombre total d’occurrences de l’indicateur de risque associé à vos utilisateurs. Cliquez sur le nombre d’occurrences pour afficher les détails.

    Risques liés aux fichiers malveillants

  • La section MALWARE CONTENT UPLOADED- EVENT DETAILS  : Détails des événements qui ont déclenché l’indicateur de risque.

    • Date et heure : indique la date et l’heure de l’événement.

    • Nom du fichier : indique le nom du fichier infecté.

    • Nom du virus : indique le nom du virus qui a infecté le fichier.

    • Dossier : indique le nom du dossier dans lequel le fichier est stocké dans le compte Content Collaboration de l’utilisateur.

    • Hachage du fichier : indique la valeur de hachage du fichier infecté.

    Cliquez sur le lien Recherche d’événements pour afficher tous les événements liés à cet indicateur de risque pour l’utilisateur Kevin Smith.

    Détails des événements relatifs aux fichiers malveillants

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Supprimer l’autorisation d’accès au dossier. Vous pouvez bloquer l’autorisation d’accès de l’utilisateur qui télécharge le fichier infecté. L’utilisateur ne peut pas accéder au dossier dans lequel le fichier infecté a été téléchargé.

  • Supprimez l’autorisation de chargement sur le dossier. Vous pouvez bloquer l’autorisation de chargement de l’utilisateur qui télécharge le fichier infecté. L’utilisateur ne peut pas télécharger de fichier dans le dossier dans lequel le fichier infecté a été chargé.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Activité de ransomware suspectée

Citrix Analytics détecte les menaces de données en fonction d’une activité de ransomware et déclenche l’indicateur de risque correspondant.

Un ransomware est un logiciel malveillant qui empêche les utilisateurs d’accéder à leurs fichiers en remplaçant ou en mettant à jour les fichiers avec une version cryptée. En identifiant les attaques de type ransomware entre les fichiers partagés par les utilisateurs au sein d’une organisation, vous pouvez vous assurer que la productivité n’est pas affectée.

Le facteur de risque associé à l’indicateur de risque suspecté d’activité de ransomware est les indicateurs de risque basés sur les fichiers. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque de ransomware est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre compte tente de supprimer et de remplacer un nombre excessif de fichiers portant des noms similaires et des extensions différentes. Vous êtes également averti lorsqu’un utilisateur met à jour un nombre excessif de fichiers portant des noms similaires et des extensions différentes. Cette activité indique que le compte de l’utilisateur a été compromis et qu’une éventuelle attaque par ransomware s’est produite. Lorsque Citrix Analytics détecte ce comportement, il augmente le score de risque de l’utilisateur concerné. L’indicateur de risque suspecté d’activité de ransomware est ajouté à la chronologie des risques de l’utilisateur.

L’indicateur Activité suspectée de ransomware peut être de deux types. Ils sont :

  • Uneactivité de ransomware suspectée (Fichiers remplacés) indique une tentative de suppression des fichiers existants et de remplacement par une nouvelle version des fichiers ressemblant à une attaque de ransomware. Les modèles d’attaque peuvent entraîner un plus grand nombre de téléchargements que le nombre de fichiers supprimés. Par exemple, une note de rançon peut être téléchargée avec les autres fichiers.

  • Uneactivité de ransomware suspectée (Fichiers mis à jour) indique une tentative de mise à jour des fichiers existants avec une version modifiée des fichiers qui ressemble à une attaque de ransomware.

Comment analyser l’indicateur de risque de ransomware ?

Prenons l’exemple de l’utilisateur Adam Maxwell, qui tente de mettre à jour de nombreux fichiers avec des versions modifiées, en 15 minutes. Par cette action, Adam Maxwell a déclenché un comportement inhabituel et suspect basé sur ce que les algorithmes d’apprentissage automatique jugent normal pour cet utilisateur spécifique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque d’ activité de ransomware suspectée (fichiers mis à jour) signalée. La raison de l’événement est affichée à l’écran avec des détails tels que le nom du fichier et l’emplacement du fichier.

Pour afficher l’indicateur de risque de suspicion d’activité de ransomware (Fichiers mis à jour), accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur. Dans la chronologie des risques de l’utilisateur, sélectionnez l’indicateur de risque d’ activité de ransomware suspectée (Fichiers mis à jour) qui est déclenché pour l’utilisateur.

Fichiers de ransomware mis à jour

  • La section WHAT HAPPENED, vous pouvez afficher le résumé de l’événement soupçonné d’activité ransomware. Vous pouvez afficher le nombre de fichiers mis à jour de manière suspecte et l’heure à laquelle l’événement s’est produit.

    Fichiers ransomware mis à jour ce qui s'est passé

  • Dans la section EVENT DETAILS — FILE OPERATIONS, l’événement est affiché sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Le temps. Heure de mise à jour du fichier.

    • Nom du fichier. Le nom du fichier.

    • Chemin. Chemin d’accès où se trouve le fichier.

      Détails de l'événement mis à jour des fichiers de ransomware

De même, vous pouvez sélectionner l’indicateur de risque d’ activité de ransomware suspectée (fichiers remplacés) signalée. Vous pouvez consulter les détails de cet événement tels que :

  • La raison pour laquelle l’indicateur de risque est déclenché.

  • Nombre de fichiers supprimés et remplacés par une nouvelle version.

    Fichier remplacé

  • Heure à laquelle l’événement (fichiers en cours de remplacement) s’est produit.

  • Nom des fichiers.

  • Emplacement des fichiers.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Ouverture de session suspecte

Remarques

  • Cet indicateur de risque remplace l’indicateur de risque Accès à partir d’un emplacement inhabituel.

  • Toutes les stratégies basées sur l’indicateur de risque d’accès à partir d’un emplacement inhabituel sont automatiquement liées à l’indicateur de risque d’ouverture de session suspecte.

Citrix Analytics détecte les ouvertures de session de l’utilisateur qui semblent inhabituelles ou risquées en fonction de plusieurs facteurs contextuels, définis conjointement par l’appareil, l’emplacement et le réseau utilisés par l’utilisateur.

Quand l’indicateur de risque d’ouverture de session suspecte est-il déclenché ?

L’indicateur de risque est déclenché par la combinaison des facteurs suivants, chaque facteur étant considéré comme potentiellement suspect en fonction d’une ou de plusieurs conditions.

Facteur Conditions
Appareil inhabituel L’utilisateur ouvre une session à partir d’un appareil dont la signature est différente de celle des appareils utilisés au cours des 30 derniers jours. La signature de l’appareil est basée sur le système d’exploitation de l’appareil et l’outil client (application) utilisé.
Emplacement inhabituel Ouvrez une session à partir d’une ville ou d’un pays où l’utilisateur n’a pas ouvert de session au cours des 30 derniers jours.
  La ville ou le pays est géographiquement éloigné des emplacements d’ouverture de session récents (30 derniers jours).
  Zéro ou minimum d’utilisateurs se sont connectés depuis la ville ou le pays au cours des 30 derniers jours.
Réseau insolite Ouvrez une session à partir d’une adresse IP que l’utilisateur n’a pas utilisée au cours des 30 derniers jours.
  Ouvrez une session à partir d’un sous-réseau IP que l’utilisateur n’a pas utilisé au cours des 30 derniers jours.
  Aucun ou un minimum d’utilisateurs se sont connectés depuis le sous-réseau IP au cours des 30 derniers jours.
Menace IP L’adresse IP est identifiée comme présentant un risque élevé par le flux de renseignements sur les menaces de la communauté Webroot.
  Citrix Analytics a récemment détecté des activités d’ouverture de session très suspectes à partir de l’adresse IP d’autres utilisateurs.

Comment analyser l’indicateur de risque d’ouverture de session suspecte

Prenons l’exemple de l’utilisateur Adam Maxwell, qui se connecte depuis North Charleston, aux États-Unis pour la première fois. Il utilise un appareil dont la signature n’est pas familière pour accéder au service Content Collaboration. En outre, il se connecte à partir d’un réseau qu’il n’a pas utilisé au cours des 30 derniers jours.

Citrix Analytics détecte cet événement d’ouverture de session comme suspect car les facteurs (emplacement, appareil et réseau) s’écartent de son comportement habituel et déclenchent l’indicateur de risque d’ouverture de session suspecte . L’indicateur de risque est ajouté à la chronologie des risques d’Adam Maxwell et un score de risque lui est attribué.

Pour afficher le temps de risque d’Adam Maxwell, sélectionnez Sécurité > Utilisateurs. Dans le volet Utilisateurs risqués, sélectionnez l’utilisateur Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, sélectionnez l’indicateur de risque d’ ouverture de session suspecte . Vous affichez les informations suivantes :

  • La section WHAT HAPPENED fournit un bref résumé des activités suspectes, y compris les facteurs de risque et le moment de l’événement.

    Ouverture de session suspecte

  • La section DÉTAILS DE CONNEXION fournit un résumé détaillé des activités suspectes correspondant à chaque facteur de risque. Chaque facteur de risque se voit attribuer un score qui indique le niveau de suspicion. Un seul facteur de risque n’indique pas un risque élevé de la part d’un utilisateur. Le risque global est basé sur la corrélation entre les multiples facteurs de risque.

    Niveau de suspicion Indication
    0–69 Le facteur semble normal et n’est pas considéré comme suspect.
    70–89 Le facteur semble légèrement inhabituel et est considéré comme modérément suspect avec d’autres facteurs.
    90–100 Le facteur est tout à fait nouveau ou inhabituel et est considéré comme très suspect par rapport à d’autres facteurs.

    Détails d'ouverture de session suspects

  • L’ EMPLACEMENT D’OUVERTURE DE SESSION - 30 DERNIERS JOURS affiche une carte géographique des derniers emplacements connus et de l’emplacement actuel de l’utilisateur. Les données de localisation sont affichées pour les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher le nombre total d’ouvertures de session de chaque emplacement.

    Carte d'ouverture de session suspecte

  • La section OUVERTURE DE SESSION SUSPECTE - DÉTAILS DE L’ÉVÉNEMENT fournit les informations suivantes sur l’événement d’ouverture de session suspect :

    • Heure : indique la date et l’heure de la connexion suspecte.

    • Système d’exploitation de l’appareil : indique le système d’exploitation de la machine utilisateur.

    • Nom de l’outil : application utilisée pour se connecter à Content Collaboration.

    Événements d'ouverture de session suspects

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Échecs d’authentification inhabituels

Citrix Analytics détecte les menaces d’accès en fonction des activités d’authentification provenant d’adresses IP inhabituelles.

L’indicateur de risque d’échecs d’authentification inhabituels est déclenché lorsqu’un utilisateur effectue des tentatives d’ouverture de session infructueuses à partir d’une adresse IP considérée comme inhabituelle en fonction du modèle d’accès historique de l’utilisateur. En identifiant les utilisateurs présentant des échecs d’authentification inhabituels, sur la base d’un comportement antérieur, les administrateurs peuvent surveiller le compte de l’utilisateur pour détecter les attaques par force brute.

Le facteur de risque associé à l’indicateur de risque d’échec d’authentification inhabituel est les indicateurs de risque basés sur l’échec de la connexion. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque d’échecs d’authentification inhabituels est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre organisation a échoué plusieurs tentatives d’ouverture de session, ce qui est contraire à son comportement habituel.

L’indicateur de risque d’échecs d’authentification inhabituels est déclenché lorsqu’un utilisateur tente de se connecter à plusieurs reprises au service Content Collaboration. Lorsque ce comportement est détecté, Citrix Analytics augmente le score de risque de l’utilisateur respectif. L’indicateur de risque d’échecs d’authentification inhabituels est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’échecs d’authentification inhabituels ?

Prenons le cas de l’utilisateur Maria Brown, qui a essayé plusieurs fois de se connecter à Content Collaboration. Par cette action, Maria Brown a déclenché l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. Dans la chronologie de Maria, vous pouvez sélectionner l’indicateur de risque d’échecs d’authentification inhabituels signalé. La raison de l’événement et les détails de l’événement s’affichent à l’écran.

Pour afficher l’indicateur de risque d’échecs d’authentification inhabituels, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Échecs d'authentification inhabituels

  • Dans la section WHAT HAPPENED, vous pouvez afficher un résumé de l’événement d’échec d’authentification inhabituel. Vous pouvez afficher le nombre d’ouvertures de session infructueuses qui se sont produites au cours d’une période donnée.

    Échec excessif de l'authentification

  • Dans la section ACTION RECOMMANDÉE, vous trouverez les actions suggérées qui peuvent être appliquées à l’indicateur de risque. Citrix Analytics for Security recommande les actions en fonction de la gravité du risque posé par l’utilisateur. La recommandation peut être l’une des actions suivantes ou une combinaison des actions suivantes :

    • Avertir l’administrateur (s)

    • Ajouter à la liste de surveillance

    • Créer une stratégie

    Vous pouvez sélectionner une action en fonction de la recommandation. Vous pouvez également sélectionner une action que vous souhaitez appliquer en fonction de votre choix dans le menu Actions . Pour plus d’informations, consultez Appliquer une action manuellement.

    Action recommandée

  • Dans la section ÉCHEC D’AUTHENTIFICATION INHABITUEL - DÉTAILS DE L’ÉVÉNEMENT, vous pouvez afficher la chronologie des événements et leurs détails. Le tableau fournit les informations clés suivantes :

    • Heure de l’événement. Heure de chaque tentative d’ouverture de session.

    • Adresse IP du client. L’adresse IP du réseau de l’utilisateur.

    • Emplacement. Emplacement de la machine utilisateur.

    • Nom de l’outil. Outil ou application utilisé pour partager les fichiers.

    • Système d’exploitation. Le système d’exploitation de la machine utilisateur.

      Échecs d'authentification inhabituels

  • Dans la section ACTIVITÉ D’AUTHENTIFICATION — 30 JOURS PRÉCÉDENTS, le tableau fournit les informations suivantes sur les 30 derniers jours d’activité d’authentification de l’utilisateur :

    • Sous-réseau : adresse IP du réseau utilisateur.

    • Succès : nombre total d’événements d’authentification réussis et heure du dernier événement de réussite pour l’utilisateur.

    • Échec : nombre total d’événements d’authentification ayant échoué et heure de l’événement échoué le plus récent pour l’utilisateur.

    • Emplacement : emplacement à partir duquel l’événement d’authentification s’est produit.

      Activité d'authentification

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Désactiver l’utilisateur. Citrix Analytics vous permet de restreindre ou de révoquer l’accès de l’utilisateur en désactivant son compte Content Collaboration. Vous pouvez appliquer cette action à l’utilisateur employé et à l’utilisateur client.

  • Expire tous les liens. Citrix Analytics vous permet d’expirer tous les liens de partage actifs de l’utilisateur. Lorsque les liens de partage ont expiré, les liens deviennent non valides et ne sont pas accessibles aux autres utilisateurs avec lesquels les liens sont partagés.

  • Changez le lien pour le partage en lecture seule. Citrix Analytics vous permet de modifier les liens de partage actifs de l’utilisateur en mode affichage seul. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations, consultez Partage en lecture seule.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque Citrix Content Collaboration