Citrix Analytics for Security

Indicateurs de risque Citrix Gateway

Accès depuis un lieu insolite

Citrix Analytics détecte les menaces basées sur l’accès en fonction de connexions inhabituelles au réseau et déclenche l’indicateur de risque correspondant.

Le facteur de risque associé à l’indicateur de risque Accès à partir d’un emplacement inhabituel est l’indicateur de risque basé sur la localisation. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque Accès à partir d’un emplacement inhabituel est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre organisation se connecte à partir d’un emplacement inhabituel. L’emplacement est déterminé à partir de l’adresse IP de l’appareil de l’utilisateur. Citrix Gateway détecte ces événements utilisateur et les signale à Citrix Analytics. Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur. L’indicateur de risque est déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville qui est anormalement éloignée de tout lieu de connexion précédent. D’autres facteurs incluent le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation des utilisateurs est basé sur les 30 jours précédents d’activité de connexion.

L’indicateur de risque Accès à partir d’un emplacement inhabituel est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’accès à partir d’un indicateur de risque de localisation inhabituel ?

Prenons l’exemple de l’utilisateur Georgina Kalou, qui se connecte pour la première fois depuis le Royaume-Uni. Son lieu de connexion habituel est Beijing, en Chine. Citrix Gateway signale cet événement utilisateur à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque Accès à partir d’un emplacement inhabituel est déclenché et ajouté à la chronologie des risques de Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’ accès signalé à partir d’un indicateur de risque de localisation inhabituel . La raison de l’événement est affichée avec des détails tels que l’heure de l’événement et l’emplacement de connexion.

Accès depuis un emplacement inhabituel

  • CE QUI S’EST PASSÉ : fournit un bref résumé qui inclut le nombre de tentatives de connexion, l’emplacement inhabituel et l’heure de l’événement.

    Accès depuis un emplacement inhabituel

  • Emplacements de connexion : affiche une vue cartographique géographique des emplacements de connexion habituels et inhabituels de l’utilisateur. Les données de localisation habituelles concernent les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher les détails exacts de chaque emplacement.

    Accès depuis un emplacement inhabituel

  • Emplacement habituel — 30 derniers jours : affiche un graphique à secteurs des six derniers emplacements de connexion habituels à partir desquels l’utilisateur s’est connecté, au cours des 30 derniers jours.

    Accès depuis un emplacement inhabituel

  • Détails de l’événement d’emplacement inhabituel : fournit une visualisation chronologique de l’événement de connexion inhabituel qui s’est produit pour l’utilisateur. Ce tableau fournit également les informations suivantes sur l’événement de connexion inhabituel :

    • Date et heure  : date et heure de l’événement de lieu de connexion inhabituel.

    • IP du client  : adresse IP de l’appareil client.

    • Système d’exploitation de l’appareil  : système d’exploitation de l’appareil à l’aide duquel l’utilisateur s’est connecté à l’emplacement inhabituel.

    • Navigateur depériphérique : navigateur Web à l’aide duquel l’utilisateur s’est connecté à l’application.

      Accès depuis un emplacement inhabituel

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des actions relatives à d’autres sources de données peuvent être appliquées.

Échec de l’analyse EPA (End Point Analysis)

Citrix Analytics détecte les menaces basées sur l’accès utilisateur en fonction de l’activité des échecs d’analyse EPA et déclenche l’indicateur de risque correspondant.

Le facteur de risque associé à l’indicateur de risque d’échec de l’analyse End Point Analysis est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque de défaillance du scan de l’EPA est-il déclenché ?

L’indicateur de risque d’échec de l’analyse EPA est signalé lorsqu’un utilisateur tente d’accéder au réseau à l’aide d’un appareil qui a échoué aux stratégies d’analyse EPA (End Point Analysis) de Citrix Gateway pour la pré-authentification ou la post-authentification.

Citrix Gateway détecte ces événements et les signale à Citrix Analytics. Citrix Analytics surveille tous ces événements pour détecter si l’utilisateur a eu trop d’échecs d’analyse EPA. Lorsque Citrix Analytics détermine des échecs d’analyse EPA excessifs pour un utilisateur, il met à jour le score de risque de l’utilisateur et ajoute une entrée d’indicateur de risque d’échec de l’analyse EPA à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque des échecs d’analyse EPA ?

Prenons l’exemple de l’utilisateur Lemuel, qui a récemment essayé plusieurs fois d’accéder au réseau à l’aide d’un appareil qui a échoué à l’analyse EPA de Citrix Gateway. Citrix Gateway signale cet échec à Citrix Analytics, qui attribue un score de risque mis à jour à Lemuel. L’indicateur de risque de défaillance du scan de l’EPA est ajouté à la chronologie des risques de Lemuel Kildow.

Pour afficher l’entrée d’échec d’analyse EPA pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Dans la chronologie des risques de Lemuel Kildow, vous pouvez sélectionner le dernier indicateur de risque d’échec d’analyse EPA signalé pour l’utilisateur. Lorsque vous sélectionnez une entrée d’indicateur de risque de défaillance d’analyse EPA dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Échec de l'analyse EPA

  • La section WHAT BAPPEEN fournit un bref résumé de l’indicateur de risque de défaillance de l’analyse de l’EPA. Inclut également le nombre d’échecs d’analyse EPA après ouverture de session signalés au cours de la période sélectionnée.

    Échec de l'analyse EPA : ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT — ÉCHECS DE L’ANALYSE inclut une visualisation chronologique des événements d’échec d’analyse EPA individuels qui se sont produits pendant la période sélectionnée. Il inclut également un tableau qui fournit les informations clés suivantes concernant chaque événement :

    • Heure. Heure à laquelle l’échec de l’analyse EPA s’est produit.

    • IP du client. Adresse IP du client à l’origine de l’échec de l’analyse EPA.

    • IP de passerelle. Adresse IP de Citrix Gateway qui a signalé l’échec de l’analyse EPA.

    • FQDN. Le nom de domaine complet de Citrix Gateway.

    • Description de l’événement. Brève description de la raison de l’échec de l’analyse EPA.

    • Nom de la stratégie. Nom de la stratégie d’analyse EPA configuré sur Citrix Gateway.

    • Expression de sécurité. Expression de sécurité configurée sur Citrix Gateway.

      Détails de l'événement d'échec de l'analyse EPA

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Échec excessif de l’authentification

Citrix Analytics détecte les menaces basées sur l’accès utilisateur en fonction des échecs d’authentification excessifs et déclenche l’indicateur de risque correspondant.

Le facteur de risque associé à l’indicateur de risque d’échecs d’authentification excessifs est les indicateurs de risque basés sur les échecs de connexion. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque d’échecs d’authentification excessifs est-il déclenché ?

L’indicateur de risque d’échec de connexion est signalé lorsque l’utilisateur rencontre plusieurs échecs d’authentification Citrix Gateway au cours d’une période donnée. Les échecs d’authentification Citrix Gateway peuvent être des échecs d’authentification primaire, secondaire ou tertiaire, selon que l’authentification multifacteur est configurée pour l’utilisateur.

Citrix Gateway détecte tous les échecs d’authentification des utilisateurs et signale ces événements à Citrix Analytics. Citrix Analytics surveille tous ces événements pour détecter si l’utilisateur a eu trop d’échecs d’authentification. Lorsque Citrix Analytics détecte des échecs d’authentification excessifs, il met à jour le score de risque de l’utilisateur. L’indicateur de risque d’échecs d’authentification excessifs est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque d’échecs d’authentification excessifs ?

Prenons l’exemple de l’utilisateur Lemuel, qui a récemment échoué à plusieurs tentatives d’authentification du réseau. Citrix Gateway signale ces échecs à Citrix Analytics et un score de risque mis à jour est attribué à Lemuel. L’indicateur de risque d’échecs d’authentification excessifs est ajouté à la chronologie des risques de Lemuel Kildow.

Pour afficher l’entrée de l’indicateur de risque de défaillances d’authentification excessives pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Dans la chronologie des risques de Lemuel Kildow, vous pouvez sélectionner le dernier indicateur de risque d’échecs d’authentification excessifs signalé pour l’utilisateur. Lorsque vous sélectionnez l’entrée de l’indicateur de risque d’échecs d’authentification excessifs dans la chronologie des risques, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

Échec excessif de l'authentification

  • La section WHAT BAPSEEN fournit un bref résumé de l’indicateur de risque, y compris le nombre d’échecs d’authentification survenus au cours de la période sélectionnée.

    Échec excessif de l'authentification

  • La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des événements d’échec d’authentification excessif qui se sont produits pendant la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :

    • Heure. Heure à laquelle l’échec d’ouverture de session s’est produit.

    • Nombre d’erreurs. Nombre d’échecs d’authentification détectés pour l’utilisateur au moment de l’événement et au cours des 48 heures précédentes.

    • Description de l’événement. Brève description de la raison de l’échec de la connexion.

      Détails de l'événement d'échecs d'authentification excessifs

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Ouverture de session à partir d’une adresse IP suspecte

Citrix Analytics détecte les menaces d’accès des utilisateurs en fonction de l’activité de connexion à partir d’une adresse IP suspecte et déclenche cet indicateur de risque.

Le facteur de risque associé à l’indicateur de risque Ouverture de session à partir d’une adresse IP suspecte est l’indicateur de risque IP. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque IP suspect est-il déclenché ?

L’indicateur de risque d’ouverture de session à partir d’une adresse IP suspecte est déclenché lorsqu’un utilisateur tente d’accéder au réseau à partir d’une adresse IP identifiée comme suspecte par Citrix Analytics. L’adresse IP est considérée comme suspecte en raison de l’une des conditions suivantes :

  • Est répertorié dans le flux externe sur la détection des menaces IP

  • A plusieurs enregistrements de connexion utilisateur à partir d’un emplacement inhabituel

  • Contient des tentatives de connexion excessives qui peuvent indiquer une attaque par force brute

Citrix Analytics surveille les événements de connexion reçus de Citrix Gateway et détecte si un utilisateur s’est connecté à partir d’une adresse IP suspecte. Lorsque Citrix Analytics détecte une tentative de connexion à partir d’une adresse IP suspecte, il met à jour le score de risque de l’utilisateur et ajoute une entrée d’indicateur de risque d’ouverture de session à partir d’une adresse IP suspecte à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque IP suspect ?

Prenons l’exemple de l’utilisateur Lemuel, qui a tenté d’accéder au réseau à partir d’une adresse IP identifiée par Citrix Analytics comme suspecte. Citrix Gateway signale l’événement de connexion à Citrix Analytics, qui attribue un score de risque mis à jour à Lemuel. L’indicateur de risque de connexion à partir d’une adresse IP suspecte est ajouté à la chronologie des risques de Lemuel Kildow.

Ouverture de session à partir d'une adresse IP suspecte

Pour afficher l’indicateur de risque IP suspect signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur. Dans la chronologie des risques de Lemuel Kildow, vous pouvez sélectionner la dernière connexion à partir de l’indicateur de risque IP suspect signalé pour l’utilisateur. Lorsque vous sélectionnez l’entrée d’indicateur de risque IP suspect d’ouverture de session dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.

  • La section WHAT BAPSEEN fournit un bref résumé de l’indicateur de risque Ouverture de session à partir d’une adresse IP suspecte. De plus, inclut le nombre de connexions à partir d’une adresse IP suspecte signalée au cours de la période sélectionnée.

    Ouverture de session à partir d'une adresse IP suspecte

  • La section IP suspecte fournit les informations suivantes :

    Section IP suspecte

    • IP suspecte. Adresse IP associée à une activité de connexion suspecte.

    • Emplacement. La ville, la région et le pays de l’utilisateur. Ces emplacements sont affichés en fonction de la disponibilité des données.

    • Risque potentiel au niveau de l’organisation. Indique tous les modèles d’activité IP suspecte que Citrix Analytics a récemment détectés dans votre organisation. Les modèles risqués incluent des échecs de connexion excessifs compatibles avec des tentatives de force brute potentielles et un accès inhabituel par plusieurs utilisateurs.

      Si aucun modèle risqué n’est détecté pour une adresse IP de votre organisation, le message suivant s’affiche.

      Pas de motif risqué

    • Intelligence communautaire. Fournit le score de menace et les catégories de menaces d’une adresse IP identifiée comme présentant un risque élevé dans le flux externe de renseignements sur les menaces IP. Citrix Analytics attribue un score de risque à l’adresse IP à haut risque. Le score de risque commence à 80.

      Si aucune information sur les menaces n’est disponible sur une adresse IP dans le flux externe de renseignements sur les menaces IP, le message suivant s’affiche.

      Pas de flux d'intelligence

  • La section DÉTAILS DE L’ÉVÉNEMENT fournit les informations suivantes sur l’activité de connexion suspecte :

    Ouverture de session à partir d'une adresse IP suspecte

    • Heure. Heure de l’activité de connexion suspecte.

    • IP du client. Adresse IP de l’appareil de l’utilisateur qui a été utilisé pour l’activité de connexion suspecte.

    • Système d’exploitation de l’appareil Le système d’exploitation du navigateur.

    • Navigateurd’appareils. Le navigateur Web utilisé pour l’activité de connexion suspecte.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Échec d’authentification inhabituel

Citrix Analytics détecte les menaces liées à l’accès lorsqu’un utilisateur a des échecs de connexion à partir d’une adresse IP inhabituelle et déclenche l’indicateur de risque correspondant.

Le facteur de risque associé à l’indicateur de risque d’authentification inhabituel est les indicateurs de risque basés sur l’échec de la connexion. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur d’échec d’authentification inhabituel est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur de votre organisation a des échecs de connexion à partir d’une adresse IP inhabituelle qui est contraire à son comportement habituel.

Citrix Gateway détecte ces événements et les signale à Citrix Analytics. Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur. L’indicateur de risque d’échec d’authentification inhabituel est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur d’échec d’authentification inhabituel ?

Prenons l’exemple de l’utilisateur Georgina Kalou, qui se connecte régulièrement à Citrix Gateway à partir de ses réseaux domestiques et professionnels habituels. Un attaquant distant tente d’authentifier le compte de Georgina en devinant différents mots de passe, ce qui entraîne des échecs d’authentification provenant d’un réseau inconnu.

Dans ce scénario, Citrix Gateway signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque d’échec d’authentification inhabituel est ajouté à la chronologie des risques de Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque d’échec d’authentification inhabituel signalé. La raison de l’événement est affichée avec des détails tels que l’heure et le lieu de l’événement.

Échec d'authentification

  • Dans la section CE QUI S’EST PASSÉ, vous pouvez consulter le bref résumé qui inclut le nombre total d’échecs d’authentification et l’heure de l’événement.

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT — RÉUSSITE ET ÉCHECS DE LA CONNEXION, vous pouvez afficher un graphique indiquant les échecs d’authentification inhabituels, ainsi que toute autre activité d’ouverture de session détectée pendant la même durée.

  • Dans la section DÉTAILS DE L’AUTHENTIFICATION INHABITUELLE, le tableau fournit les informations suivantes sur les échecs d’authentification inhabituels :

    • Heure de connexion  : date et heure de l’événement

    • IP du client  : adresse IP de la machine utilisateur

    • Lieu  : lieu à partir duquel l’événement s’est produit

    • Motif de l’échec : raison de l’échec de l’authentification

      Détails sur les échecs d'authentification

  • Dans la section ACTIVITÉ D’AUTHENTIFICATION DE L’UTILISATEUR — 30 JOURS PRÉCÉDENTS, le tableau fournit les informations suivantes sur les 30 derniers jours d’activité d’authentification de l’utilisateur :

    • Sous-réseau : adresse IP du réseau utilisateur.

    • Succès : nombre total d’événements d’authentification réussis et heure du dernier événement de réussite pour l’utilisateur.

    • Échec : nombre total d’événements d’authentification ayant échoué et heure de l’événement échoué le plus récent pour l’utilisateur.

    • Emplacement : emplacement à partir duquel l’événement d’authentification s’est produit.

      Activité d'authentification

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.

  • Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque Citrix Gateway