Citrix Analytics for Security

Indicateurs de risque Citrix Gateway

Accès depuis un endroit inhabituel

Citrix Analytics détecte les menaces basées sur l’accès en fonction de connexions inhabituelles au réseau et déclenche l’indicateur de risque correspondant.

Quand l’indicateur Accès à partir d’un emplacement inhabituel est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre organisation se connecte à partir d’un emplacement inhabituel. L’emplacement est déterminé à partir de l’adresse IP de l’appareil de l’utilisateur. Citrix Gateway détecte ces événements utilisateur et les signale à Citrix Analytics. Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur. L’indicateur de risque est déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville qui est anormalement éloignée de tout lieu de connexion précédent. Parmi les autres facteurs, mentionnons le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation des utilisateurs est basé sur les 30 jours précédents d’activité de connexion.

L’indicateur de risque d’accès à partir d’un emplacement inhabituel est ajouté au calendrier de risque de l’utilisateur.

Comment analyser l’accès à partir d’un indicateur de risque de localisation inhabituel ?

Considérons l’utilisateur Georgina Kalou, qui signe depuis le Royaume-Uni pour la première fois. Son lieu habituel de connexion est Beijing, en Chine. Citrix Gateway signale cet événement utilisateur à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque d’accès à partir d’un emplacement inhabituel est déclenché et ajouté au calendrier de risque de Georgina Kalou.

À partir de la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’ accès signalé à partir d’un indicateur de risque de localisation inhabituel. La raison de l’événement est affichée avec des détails tels que l’heure de l’événement et l’emplacement de connexion.

Accès à partir d'un emplacement inhabituel

  • QUE S’EST-IL PASSÉ : Fournit un bref résumé qui inclut le nombre de tentatives de connexion, l’emplacement inhabituel et l’heure de l’événement.

    Accès à partir d'un emplacement inhabituel

  • Emplacements de connexion : Affiche une vue cartographique géographique des emplacements habituels et inhabituels de connexion de l’utilisateur. Les données de localisation habituelles concernent les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher les détails exacts de chaque emplacement.

    Accès à partir d'un emplacement inhabituel

  • Emplacement habituel — 30 derniers jours : affiche une vue graphique à secteurs des six derniers emplacements de connexion habituels à partir desquels l’utilisateur s’est connecté, au cours des 30 derniers jours.

    Accès à partir d'un emplacement inhabituel

  • Détails de l’événement de localisation inhabituelle : fournit une visualisation chronologique de l’événement de connexion inhabituel qui s’est produit pour l’utilisateur. En outre, ce tableau fournit les informations suivantes sur l’événement inhabituel de connexion :

    • Date et heure — Date et heure de l’événement inhabituel de connexion.
    • IP du client  : adresse IP du périphérique client.
    • Système d’exploitation de l’appareil à l’aide duquel l’utilisateur s’est connecté à l’emplacement inhabituel.
    • Navigateur de périphériques — Navigateur Web à l’aide duquel l’utilisateur s’est connecté à l’application.

    Accès à partir d'un emplacement inhabituel

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsqu’un compte d’utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Gateway n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des actions se rapportant à d’autres sources de données peuvent être appliquées.

Échec de l’analyse des points de terminaison (EPA)

Citrix Analytics détecte les menaces basées sur l’accès utilisateur en fonction de l’activité des échecs d’analyse EPA et déclenche l’indicateur de risque correspondant.

Quand l’indicateur de risque de défaillance du scan de l’EPA est-il déclenché ?

L’indicateur de risque d’échec de l’analyse EPA est signalé lorsqu’un utilisateur tente d’accéder au réseau à l’aide d’un périphérique qui a échoué aux stratégies d’analyse EPA (End Point Analysis) de Citrix Gateway pour la pré-authentification ou la post-authentification.

Citrix Gateway détecte ces événements et les signale à Citrix Analytics. Citrix Analytics surveille tous ces événements pour détecter si l’utilisateur a eu trop d’échecs d’analyse EPA. Lorsque Citrix Analytics détermine des échecs excessifs d’analyse EPA pour un utilisateur, il met à jour le score de risque de l’utilisateur et ajoute une entrée d’indicateur de risque d’échec de l’analyse EPA à la chronologie de risque de l’utilisateur.

Comment analyser l’indicateur de risque des échecs d’analyse EPA ?

Considérons l’utilisateur Lemuel, qui a récemment essayé plusieurs fois d’accéder au réseau à l’aide d’un périphérique qui a échoué l’analyse EPA de Citrix Gateway. Citrix Gateway signale cet échec à Citrix Analytics, qui attribue un score de risque mis à jour à Lemuel. L’indicateur de risque de défaillance de l’EPA est ajouté au calendrier de risque de Lemuel Kildow.

Pour afficher l’entrée d’échec d’analyse EPA pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Dans la chronologie des risques de Guillaume Martin, vous pouvez sélectionner le dernier indicateur de risque Échecs d’analyse EPA signalé pour l’utilisateur. Lorsque vous sélectionnez une entrée d’indicateur de risque de défaillance d’analyse EPA dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Échecs d'analyse EPA

  • La section QUE S’EST-IL PASSÉ fournit un bref résumé de l’indicateur de risque de défaillance du scan de l’EPA. Et, inclut le nombre d’échecs d’analyse EPA après ouverture de session signalés au cours de la période sélectionnée.

Échec de l'analyse EPA ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — ÉCHEC D’ANALYSE comprend une visualisation chronologique des événements d’échec d’analyse EPA qui se sont produits au cours de la période sélectionnée. En outre, il inclut un tableau qui fournit les informations clés suivantes sur chaque événement :

    • Temps. Heure à laquelle l’échec de l’analyse EPA s’est produit.

    • IP du client. Adresse IP du client à l’origine de l’échec de l’analyse EPA.

    • IP de la passerelle. Adresse IP de Citrix Gateway qui a signalé l’échec de l’analyse EPA.

    • Nom de domaine complet. Le nom de domaine complet de Citrix Gateway.

    • Description de l’événement. Brève description de la raison de l’échec de l’analyse EPA.

    • Nom de la stratégie. Nom de la stratégie d’analyse EPA configuré sur Citrix Gateway.

    • Expression de sécurité. Expression de sécurité configurée sur Citrix Gateway.

    Détails de l'événement d'échec d'analyse EPA

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsqu’un compte d’utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Gateway n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Échec excessif de l’authentification

Citrix Analytics détecte les menaces basées sur l’accès des utilisateurs en fonction des échecs d’authentification excessifs et déclenche l’indicateur de risque correspondant.

Quand l’indicateur de risque d’échecs d’authentification excessifs est-il déclenché ?

L’indicateur de risque d’échec d’ouverture de session est signalé lorsque l’utilisateur rencontre plusieurs échecs d’authentification Citrix Gateway au cours d’une période donnée. Les échecs d’authentification Citrix Gateway peuvent être des échecs d’authentification primaire, secondaire ou tertiaire, selon que l’authentification multifacteur est configurée pour l’utilisateur.

Citrix Gateway détecte tous les échecs d’authentification des utilisateurs et signale ces événements à Citrix Analytics. Citrix Analytics surveille tous ces événements pour détecter si l’utilisateur a eu trop d’échecs d’authentification. Lorsque Citrix Analytics détermine des échecs d’authentification excessifs, il met à jour le score de risque de l’utilisateur. L’indicateur de risque de défaillances d’authentification excessives est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’échecs d’authentification excessifs ?

Considérons l’utilisateur Lemuel, qui a récemment échoué plusieurs tentatives d’authentification du réseau. Citrix Gateway signale ces échecs à Citrix Analytics et un score de risque mis à jour est attribué à Lemuel. L’indicateur de risque de défaillance excessive d’authentification est ajouté à la chronologie des risques de Lemuel Kildow.

Pour afficher l’entrée de l’indicateur de risque de défaillances d’authentification excessives pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

À partir de la chronologie des risques de Lemuel Kildow, vous pouvez sélectionner le dernier indicateur de risque de défaillances d’authentification excessives signalé pour l’utilisateur. Lorsque vous sélectionnez l’entrée de l’indicateur de risque de défaillances d’authentification excessives dans la chronologie de risque, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Échec excessif de l'authentification

  • La section QUE S’EST-IL PASSÉ fournit un bref résumé de l’indicateur de risque, y compris le nombre de défaillances d’authentification survenues au cours de la période sélectionnée.

Échec excessif de l'authentification

  • La section EVENT DETAILS inclut une visualisation chronologique des événements individuels d’échec d’authentification excessive survenus au cours de la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Temps. Heure à laquelle l’échec d’ouverture de session s’est produit.

    • Nombre d’erreurs. Nombre d’échecs d’authentification détectés pour l’utilisateur au moment de l’événement et pour les 48 heures précédentes.

    • Description de l’événement. Brève description de la raison de l’échec de l’ouverture de session.

    Détails de l'événement des échecs d'authentification excessifs

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsqu’un compte d’utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Gateway n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Premier accès à partir d’une nouvelle adresse IP

Citrix Analytics détecte les menaces d’accès utilisateur en fonction du premier accès à partir d’une nouvelle adresse IP et déclenche l’indicateur de risque correspondant.

Le premier accès à partir d’un nouvel indicateur de risque IP est déclenché lorsqu’un utilisateur Citrix Receiver se connecte à partir d’une adresse IP après un minimum de 90 jours. L’indicateur de risque est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion pour l’utilisateur à partir de cette adresse IP au cours des 90 derniers jours.

Quand le premier accès à partir d’un nouvel indicateur de risque IP est-il déclenché ?

Le premier accès à partir d’un nouvel indicateur de risque IP est signalé lorsqu’un utilisateur se connecte à partir d’une adresse IP après 90 jours. Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. Le premier accès à partir d’un nouvel indicateur de risque IP est ajouté au calendrier de risque de l’utilisateur.

Comment analyser l’accès à partir du nouvel indicateur de risque IP ?

Considérez l’utilisateur Adam Maxwell, qui est connecté à une session via Citrix Receiver à partir d’une adresse IP que l’utilisateur n’a pas utilisée depuis au moins 90 jours. Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque d’accès à la première fois signalé. La raison de l’alerte est affichée avec des détails tels que l’heure de l’événement et l’adresse IP.

Premier accès à partir d'une nouvelle adresse IP

Pour afficher le premier accès à partir d’un nouvel indicateur de risque IP signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

  • Dans la section QUE S’EST-IL PASSÉ, vous pouvez afficher le résumé de l’accès pour la première fois à partir d’un nouvel événement IP. Vous pouvez afficher le nombre d’instances de connexion qui se sont produites à partir d’une nouvelle adresse IP et l’heure à laquelle l’événement s’est produit.

Premier accès à partir d'une nouvelle adresse IP

  • La section EVENT DETAILS, les événements d’accès provenant d’une nouvelle adresse IP apparaissent sous forme graphique et tabulaire. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes sur les événements :

    • Temps. Heure à laquelle la connexion s’est produite sur l’instance.

    • IP du client. Adresse IP du périphérique utilisée pour la connexion.

Premier accès à partir d'une nouvelle adresse IP

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsqu’un compte d’utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Gateway n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Ouverture de session à partir d’une adresse IP suspecte

Citrix Analytics détecte les menaces d’accès des utilisateurs en fonction d’une activité de connexion suspecte et déclenche l’indicateur de risque correspondant.

Quand l’indicateur de risque IP suspect est-il déclenché ?

L’indicateur de risque d’ouverture de session à partir d’une adresse IP suspecte est signalé lorsqu’un utilisateur tente d’accéder au réseau à partir d’une adresse IP identifiée comme suspecte par Citrix Gateway. L’adresse IP est considérée comme suspecte en fonction de l’une des conditions suivantes :

  • Est répertorié dans le flux externe sur la détection des menaces IP

  • Contient plusieurs enregistrements de connexion utilisateur à partir d’un emplacement inhabituel

  • Contient des tentatives de connexion excessives qui peuvent indiquer une attaque par force brute

Citrix Gateway détecte cet événement et signale Citrix Analytics. Citrix Analytics surveille cet événement pour détecter si l’utilisateur a eu trop de tentatives de connexion IP suspectes. Lorsque Citrix Analytics détermine les tentatives de connexion IP suspectes pour un utilisateur, il met à jour le score de risque de l’utilisateur et ajoute une ouverture de session à partir d’une entrée d’indicateur de risque IP suspecte à la chronologie de risque de l’utilisateur.

Comment analyser l’indicateur de risque IP suspect ?

Considérons l’utilisateur Lemuel, qui a tenté d’accéder au réseau à partir d’une adresse IP identifiée comme suspecte par Citrix Gateway. Citrix Gateway signale cet événement à Citrix Analytics, qui attribue un score de risque mis à jour à Lemuel. L’indicateur de risque IP suspect d’ouverture de session est ajouté à la chronologie des risques de Lemuel Kildow.

Ouverture de session à partir d'une adresse IP suspecte

Pour afficher l’indicateur de risque IP suspect signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur. À partir de la chronologie des risques de Lemuel Kildow, vous pouvez sélectionner la dernière connexion à partir de l’indicateur de risque IP suspect signalé pour l’utilisateur. Lorsque vous sélectionnez l’entrée d’indicateur de risque IP suspect d’ouverture de session dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

  • La section QUE S’EST-IL PASSÉ fournit un bref résumé de l’indicateur de risque d’une connexion provenant d’une adresse IP suspecte. Et, inclut le nombre de connexions à partir d’une adresse IP suspecte signalée au cours de la période sélectionnée.

Ouverture de session à partir d'une adresse IP suspecte

  • La section DÉTAILS DE L’ÉVÉNEMENT comprend une visualisation chronologique de la tentative de connexion individuelle qui s’est produite pendant la période sélectionnée. En outre, il inclut un tableau qui fournit les informations clés suivantes sur chaque événement :

    • Temps. Heure à laquelle la connexion s’est produite sur l’instance.

    • IP du client. Adresse IP du périphérique utilisé pour la connexion.

    • Emplacement. Emplacement à partir duquel la tentative de connexion suspecte a été effectuée.

    • FORCE BRUTE. Indique qu’un comportement de force brute a été détecté.

    • MENACE EXTERNE. Indique que l’adresse IP se trouve dans le flux externe de renseignements sur les menaces IP.

    • Accès géographique inhabituel. Indique que l’accès à partir d’un emplacement géographique inhabituel a été détecté.

Ouverture de session à partir d'une adresse IP suspecte

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsqu’un compte d’utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Gateway n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Échec d’authentification inhabituel

Citrix Analytics détecte les menaces basées sur l’accès lorsqu’un utilisateur présente des échecs d’ouverture de session à partir d’une adresse IP inhabituelle et déclenche l’indicateur de risque correspondant.

Quand l’indicateur d’échec d’authentification inhabituel est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation a des échecs d’ouverture de session à partir d’une adresse IP inhabituelle qui est contraire à son comportement habituel.

Citrix Gateway détecte ces événements et les signale à Citrix Analytics. Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur. L’indicateur de risque d’échec d’authentification inhabituelle est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur d’échec d’authentification inhabituel ?

Pensez à l’utilisateur Georgina Kalou, qui se connecte régulièrement à Citrix Gateway à partir de ses réseaux domestiques et de bureau habituels. Un attaquant distant tente d’authentifier le compte de Georgina en devinant différents mots de passe, ce qui entraîne des échecs d’authentification à partir d’un réseau inconnu.

Dans ce scénario, Citrix Gateway signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque de défaillance inhabituelle d’authentification est ajouté au calendrier de risque de Georgina Kalou.

À partir de la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque d’échec d’authentification inhabituel signalé. La raison de l’événement est affichée avec des détails tels que l’heure de l’événement et l’emplacement.

Échec d'authentification

  • Dans la section QUE S’EST-IL PASSÉ, vous pouvez afficher le bref résumé qui inclut le nombre total d’échecs d’authentification et l’heure de l’événement.

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT — SUCCÈS ET ÉCHECS DE CONNEXION, vous pouvez afficher un graphique indiquant les échecs d’authentification inhabituels, ainsi que toute autre activité d’ouverture de session détectée pendant la même durée.

  • Dans la section DÉTAILS D’AUTHENTIFICATION INHABITUELS, le tableau fournit les informations suivantes sur les échecs d’authentification inhabituels :

    • Heure d’ouverture de session : date et heure de l’événement

    • IP du client — Adresse IP de la machine utilisateur

    • Emplacement — Emplacement à partir duquel l’événement s’est produit

    • Raison de l’échec — La raison de l’échec de l’authentification

      Détails de l'échec d'authentification

  • Dans la section ACTIVITÉ D’AUTHENTIFICATION DE L’UTILISATEUR — 30 JOURS PRÉCÉDENTS, le tableau fournit les informations suivantes sur les 30 jours précédents d’activité d’authentification pour l’utilisateur :

    • Sous-réseau — Adresse IP du réseau utilisateur

    • Succès : nombre total d’événements d’authentification réussis et heure de l’événement de réussite le plus récent pour l’utilisateur

    • Échec : nombre total d’événements d’authentification ayant échoué et heure du dernier événement échoué pour l’utilisateur

    • Emplacement — Emplacement à partir duquel l’événement d’authentification s’est produit

      Activité d'authentification

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsqu’un compte d’utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Gateway n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.