Citrix Analytics for Security

Indicateurs de risque Citrix Endpoint Management

Périphérique non géré détecté

Citrix Analytics détecte les menaces d’accès en fonction de l’activité non gérée des périphériques et déclenche l’indicateur de risque correspondant.

L’indicateur de risque détecté par périphérique non géré est déclenché lorsqu’un périphérique est :

  • Essuyé à distance grâce à une action automatisée.

  • Effacé manuellement par l’administrateur.

  • Désinscrit par l’utilisateur.

Quand l’indicateur de risque détecté du périphérique non géré est-il déclenché ?

L’indicateur de risque détecté par périphérique non géré est signalé lorsque l’appareil d’un utilisateur est devenu non géré. Un périphérique passe à un état non géré en raison de :

  • Action effectuée par l’utilisateur.

  • Action exécutée par l’administrateur Endpoint Management ou le serveur.

Dans votre organisation, à l’aide du service Endpoint Management, vous pouvez gérer les appareils et les applications qui accèdent au réseau. Pour de plus amples informations, consultez Modes de gestion.

Lorsque l’appareil d’un utilisateur passe à un état non géré, le service Endpoint Management détecte cet événement et le signale à Citrix Analytics. Le score de risque de l’utilisateur est mis à jour et une notification s’affiche dans le panneau Alertes . Ensuite, l’indicateur de risque détecté par périphérique non géré est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque détecté de périphérique non géré ?

Considérez l’utilisateur Georgina Kalou, dont l’appareil est effacé à distance par une action automatisée sur le serveur. Endpoint Management signale cet événement à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque détecté par périphérique non géré. La raison de l’événement est affichée avec des détails tels que l’heure à laquelle l’indicateur de risque a été déclenché, la description de l’événement, etc.

Pour afficher l’indicateur de risque détecté par périphérique non géré pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Périphérique non géré détecté

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher un résumé de l’événement. Vous pouvez afficher le nombre de périphériques non gérés détectés et l’heure à laquelle les événements se sont produits.

Périphérique non géré détecté ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — DISPOSITIF DETECTÉ, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure détectée. Heure à laquelle l’événement a été détecté.

    • Appareil. Appareil mobile utilisé.

    • ID du périphérique. ID de périphérique de l’appareil mobile.

    • Système d’exploitation. Système d’exploitation de l’appareil mobile.

    Détails de l'événement détecté par le périphérique non géré

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer des actions de sécurité de périphérique telles que la révocation ou l’effacement d’un périphérique de Citrix Analytics. Choisissez la ligne contenant le périphérique et sélectionnez l’une des options ci-dessous :

  • Révoquer l’appareil. Interdit à un périphérique de se connecter à Endpoint Management Server.

  • Effacer l’appareil. Toutes les données d’un appareil doivent être effacées. Pour les appareils Android, il inclut également la possibilité d’effacer toutes les cartes mémoire.

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Verrouiller l’appareil. En cas d’activité inhabituelle sur le périphérique, vous pouvez appliquer l’action Verrouiller l’appareil pour vous assurer que l’appareil de l’utilisateur est verrouillé. Cependant, les utilisateurs peuvent balayer l’écran de leur appareil, entrer le code d’accès et continuer leur travail.

  • Avertir l’administrateur de Endpoint Management. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte Endpoint Management de l’utilisateur, l’administrateur Endpoint Management est averti.

  • Avertir l’utilisateur. L’utilisateur voit un message de l’administrateur concernant son compte lorsque l’action Avertir l’utilisateur est appliquée. La notification vue par l’utilisateur est le message entré par l’administrateur lorsqu’il applique l’action.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Appareil jailbreaké ou rooté détecté

Citrix Analytics détecte les menaces d’accès en fonction de l’activité des périphériques jailbreakés ou rootés et déclenche l’indicateur de risque correspondant.

L’indicateur de risque de périphérique Jailbreaké ou rooté est déclenché lorsqu’un utilisateur utilise un périphérique jailbreaké ou rooté pour se connecter au réseau. Secure Hub détecte le périphérique et signale l’incident au service Endpoint Management. L’alerte garantit que seuls les utilisateurs et appareils autorisés se trouvent sur le réseau de votre organisation.

Quand l’indicateur de risque détecté par l’appareil jailbreaké ou rooté est-il déclenché ?

Il est important que les agents de sécurité soient en mesure de s’assurer que les utilisateurs se connectent à l’aide d’appareils compatibles avec le réseau. L’indicateur de risque périphérique jailbreaké ou rooté détecté vous alerte aux utilisateurs dont les appareils iOS sont jailbreakés ou les appareils Android qui sont rootés.

L’indicateur de risque Périphérique jailbreaké ou rooté est déclenché lorsqu’un appareil inscrit devient jailbreaké ou rooté. Secure Hub détecte l’événement sur l’appareil et le signale au service Endpoint Management.

Comment analyser l’indicateur de risque d’appareil jailbreaké ou rooté détecté ?

Considérez l’utilisateur Georgina Kalou, dont l’appareil iOS inscrit récemment est devenu jailbreaké. Ce comportement suspect est détecté par Citrix Analytics et un score de risque est attribué à Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque détecté par l’appareil Jailbroken ou rooté . La raison de l’événement est affichée avec les détails tels que l’heure à laquelle l’indicateur de risque a été déclenché, la description de l’événement, etc.

Pour afficher l’indicateur de risque détecté par périphérique Jailbroken ou root pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Appareil jailbreaké ou rooté détecté

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher le résumé de l’événement. Vous pouvez afficher le nombre de périphériques jailbreakés ou racines détectés et l’heure à laquelle les événements se sont produits.

Dispositif jailbreaké ou rooté détecté - qu'est-ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — DISPOSITIF DETECTÉ, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure détectée. Heure à laquelle le périphérique jailbreaké ou enraciné est détecté.

    • Appareil. Appareil mobile utilisé.

    • ID du périphérique. Informations sur l’ID du périphérique utilisé pour ouvrir une session.

    • Système d’exploitation. Système d’exploitation de l’appareil mobile.

    Détails de l'événement détecté par un périphérique jailbreaké ou enraciné

Remarque

En plus d’afficher les détails sous forme de tableau, vous pouvez cliquer sur la flèche en regard de l’instance d’une alerte pour afficher plus de détails.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer des actions de sécurité de périphérique telles que la révocation ou l’effacement d’un périphérique de Citrix Analytics. Choisissez la ligne contenant le périphérique et sélectionnez l’une des options ci-dessous :

  • Révoquer l’appareil. Interdit à un périphérique de se connecter à Endpoint Management Server.

  • Effacer l’appareil. Toutes les données d’un appareil doivent être effacées. Pour les appareils Android, il inclut également la possibilité d’effacer toutes les cartes mémoire.

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Verrouiller l’appareil. En cas d’activité inhabituelle sur le périphérique, vous pouvez appliquer l’action Verrouiller l’appareil pour vous assurer que l’appareil de l’utilisateur est verrouillé. Cependant, les utilisateurs peuvent balayer l’écran de leur appareil, entrer le code d’accès et continuer leur travail.

  • Avertir l’administrateur de Endpoint Management. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte Endpoint Management de l’utilisateur, l’administrateur Endpoint Management est averti.

  • Avertir l’utilisateur. L’utilisateur voit un message de l’administrateur concernant son compte lorsque l’action Avertir l’utilisateur est appliquée. La notification vue par l’utilisateur est le message entré par l’administrateur lorsqu’il applique l’action.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Appareil avec des applications sur la liste noire détectées

Citrix Analytics détecte les menaces d’accès en fonction de l’activité d’un appareil doté d’applications sur la liste noire et déclenche l’indicateur de risque correspondant.

L’indicateur de risque Appareil avec des applications sur liste noire détectées est déclenché lorsque le service Endpoint Management détecte une application sur la liste noire pendant l’inventaire des logiciels. L’alerte garantit que seules les applications autorisées sont exécutées sur des appareils qui se trouvent sur le réseau de votre organisation.

Quand l’indicateur de risque détecté de l’appareil avec des applications sur la liste noire est-il déclenché ?

L’indicateur de risque Appareil avec des applications sur liste noire détectées est signalé lorsque des applications sur la liste noire sont détectées sur l’appareil d’un utilisateur. Lorsque le service Endpoint Management détecte une ou plusieurs applications sur la liste noire sur un appareil lors de l’inventaire logiciel, un événement est envoyé à Citrix Analytics.

Citrix Analytics surveille ces événements, met à jour le score de risque de l’utilisateur et crée une notification dans le panneau Alertes. En outre, il ajoute une entrée d’indicateur de risque détecté par les applications sur la liste noire à la chronologie de risque de l’utilisateur.

Comment analyser l’appareil avec des applications sur la liste noire détecté indicateur de risque ?

Considérez l’utilisateur Andrew Jackson, qui a utilisé un appareil qui avait récemment installé des applications sur la liste noire. Endpoint Management signale cette condition à Citrix Analytics, qui affecte un score de risque mis à jour à Andrew Jackson.

Dans la chronologie des risques d’Andrew Jackson, vous pouvez sélectionner l’indicateur de risque détecté Appareil avec des applications sur la liste noire . La raison de l’événement s’affiche avec des détails tels que la liste des applications sur la liste noire, la date à laquelle Endpoint Management a détecté l’application sur la liste noire, etc.

Pour afficher l’indicateur de risque Appareil avec des applications sur liste noire détectées pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Appareil avec des applications sur la liste noire détectées

  • Dans la section QUE S’EST-IL PASSÉ, vous pouvez afficher le résumé de l’événement. Vous pouvez afficher le nombre de périphériques avec des applications sur la liste noire détectées par le service Endpoint Management et l’heure à laquelle les événements se sont produits.

Appareil avec des applications sur la liste noire détecté ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — ACCES A DES APPLICATIONS SUR LISTE NOIRE SUR L’APPAREIL, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure détectée. Lorsque la présence d’applications sur la liste noire signalée par Endpoint Management.

    • Applications sur la liste noire. Les applications sur la liste noire de l’appareil.

    • Appareil. Appareil mobile utilisé.

    • ID du périphérique. Informations sur l’ID du périphérique utilisé pour ouvrir une session.

    • Système d’exploitation. Système d’exploitation de l’appareil mobile.

    Détails des événements détectés sur un appareil avec des applications sur la liste noire

Remarque

En plus d’afficher les détails sous forme de tableau, vous pouvez cliquer sur la flèche en regard de l’instance d’une alerte pour afficher plus de détails.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer des actions de sécurité de périphérique telles que la révocation ou l’effacement d’un périphérique de Citrix Analytics. Choisissez la ligne contenant le périphérique et sélectionnez l’une des options ci-dessous :

  • Révoquer l’appareil. Interdit à un périphérique de se connecter à Endpoint Management Server.

  • Effacer l’appareil. Toutes les données d’un appareil doivent être effacées. Pour les appareils Android, il inclut également la possibilité d’effacer toutes les cartes mémoire.

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Verrouiller l’appareil. En cas d’activité inhabituelle sur le périphérique, vous pouvez appliquer l’action Verrouiller l’appareil pour vous assurer que l’appareil de l’utilisateur est verrouillé. Cependant, les utilisateurs peuvent balayer l’écran de leur appareil, entrer le code d’accès et continuer leur travail.

  • Avertir l’administrateur de Endpoint Management. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte Endpoint Management de l’utilisateur, l’administrateur Endpoint Management est averti.

  • Avertir l’utilisateur. L’utilisateur voit un message de l’administrateur concernant son compte lorsque l’action Avertir l’utilisateur est appliquée. La notification vue par l’utilisateur est le message entré par l’administrateur lorsqu’il applique l’action.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Indicateurs de risque Citrix Endpoint Management