Citrix Analytics for Security

Indicateurs de risque Citrix Virtual Apps and Desktops

Exfiltration potentielle des données

Citrix Analytics détecte les menaces liées aux données en fonction de tentatives excessives d’exfiltration des données et déclenche l’indicateur de risque correspondant.

Le facteur de risque associé à l’indicateur de risque potentiel d’exfiltration de données est l’indicateur de risque basé sur les données. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

L’indicateur de risque potentiel d’exfiltration de données est déclenché lorsqu’un utilisateur Citrix Receiver tente de télécharger ou de transférer des fichiers vers un lecteur ou une imprimante. Ces données peuvent être un événement de téléchargement de fichier tel que le téléchargement d’un fichier sur un lecteur local, des lecteurs mappés ou un périphérique de stockage externe. Il peut également s’agir de données qui sont exfiltrées à l’aide du presse-papiers ou par l’action copier-coller.

Remarque

Les opérations du presse-papiers sont prises en charge uniquement par les applications SaaS.

Quand l’indicateur de risque potentiel d’exfiltration de données est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur a transféré un nombre excessif de fichiers vers un lecteur ou une imprimante au cours d’une période donnée. Cet indicateur de risque est également déclenché lorsque l’utilisateur utilise l’action copier-coller sur son ordinateur local.

Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque potentiel d’exfiltration de données est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque potentiel d’exfiltration des données ?

Prenons l’exemple de l’utilisateur Adam Maxwell, qui est connecté à une session et tente d’imprimer des fichiers dépassant la limite prédéfinie. Par cette action, Adam Maxwell avait dépassé son comportement normal de transfert de fichiers basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque potentiel d’exfiltration de données . La raison de l’événement est affichée avec les détails tels que les fichiers transférés et le périphérique utilisé pour transférer le fichier.

Pour afficher l’indicateur de risque potentiel d’exfiltration de données signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Exfiltration potentielle des données

  • Dans la section WHAT BAPEN, vous pouvez consulter le résumé de l’événement potentiel d’exfiltration de données. Vous pouvez afficher le nombre d’événements d’exfiltration de données au cours d’une période spécifique.

    Exfiltration potentielle de données : que s'est-il passé

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT, les tentatives d’exfiltration de données apparaissent sous forme graphique et tabulaire. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes :

    • Heure. Heure à laquelle l’événement d’exfiltration de données s’est produit.

    • Fichiers. Le fichier qui a été téléchargé, imprimé ou copié.

    • Type de fichier. Type de fichier qui a été téléchargé, imprimé ou copié.

      Remarque

      Le nom du fichier imprimé n’est disponible qu’à partir de l’événement d’impression des applications SaaS.

    • Action : Types d’événements d’exfiltration de données qui ont été effectués (impression, téléchargement ou copie).

    • Appareils. L’appareil utilisé.

    • taille. Taille du fichier en cours d’exfiltration.

    • Emplacement. Ville d’où l’utilisateur tente d’exfiltrer des données.

      Détails des événements potentiels d'exfiltration de données

  • La section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, pendant la survenance de l’événement, vous permet d’afficher les éléments suivants :

    • Nombre de fichiers qui ont été exfiltrés.

    • Les actions effectuées.

    • Les applications utilisées.

    • Appareil utilisé par l’utilisateur.

      Exfiltration potentielle de données, informations contextuelles supplémentaires

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via les bureaux virtuels.

  • Démarrer l’enregistrement de la session. En cas d’événement inhabituel sur le compte Virtual Desktops de l’utilisateur, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des sessions d’ouverture de session futures. Toutefois, si l’utilisateur utilise Virtual Apps and Desktops 7.18 ou une version ultérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session en cours de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Ouverture de session suspecte

Citrix Analytics détecte les ouvertures de session de l’utilisateur qui semblent inhabituelles ou risquées en fonction de plusieurs facteurs contextuels, définis conjointement par l’appareil, l’emplacement et le réseau utilisés par l’utilisateur.

Quand l’indicateur de risque d’ouverture de session suspecte est-il déclenché ?

L’indicateur de risque est déclenché par la combinaison des facteurs suivants, chaque facteur étant considéré comme potentiellement suspect en fonction d’une ou de plusieurs conditions.

Facteur Conditions
Appareil inhabituel L’utilisateur ouvre une session à partir d’un appareil qui n’a pas été utilisé au cours des 30 derniers jours.
  L’utilisateur ouvre une session à partir d’un appareil qui n’est pas géré par le serveur Citrix Virtual Apps and Desktops.
  L’utilisateur ouvre une session à partir d’un client HTML5 ou d’un client Chrome dont la signature de l’appareil n’est pas cohérente avec l’historique de l’utilisateur.
Emplacement inhabituel Ouvrez une session à partir d’une ville ou d’un pays où l’utilisateur n’a pas ouvert de session au cours des 30 derniers jours.
  La ville ou le pays est géographiquement éloigné des emplacements d’ouverture de session récents (30 derniers jours).
  Zéro ou minimum d’utilisateurs se sont connectés depuis la ville ou le pays au cours des 30 derniers jours.
Réseau insolite Ouvrez une session à partir d’une adresse IP que l’utilisateur n’a pas utilisée au cours des 30 derniers jours.
  Ouvrez une session à partir d’un sous-réseau IP que l’utilisateur n’a pas utilisé au cours des 30 derniers jours.
  Aucun ou un minimum d’utilisateurs se sont connectés depuis le sous-réseau IP au cours des 30 derniers jours.
Menace IP L’adresse IP est identifiée comme présentant un risque élevé par le flux de renseignements sur les menaces de la communauté Webroot.
  Citrix Analytics a récemment détecté des activités d’ouverture de session très suspectes à partir de l’adresse IP d’autres utilisateurs.

Comment analyser l’indicateur de risque d’ouverture de session suspecte

Prenons l’exemple de l’utilisateur Adam Maxwell, qui se connecte pour la première fois depuis Mumbai, en Inde. Il utilise un nouvel appareil ou un appareil qui n’a pas été utilisé au cours des 30 derniers jours pour se connecter à Citrix Virtual Apps and Desktops et se connecter à un nouveau réseau. Citrix Analytics détecte cet événement d’ouverture de session comme suspect car les facteurs (emplacement, appareil et réseau) s’écartent de son comportement habituel et déclenchent l’indicateur de risque d’ouverture de session suspecte . L’indicateur de risque est ajouté à la chronologie des risques d’Adam Maxwell et un score de risque lui est attribué.

Pour afficher le temps de risque d’Adam Maxwell, sélectionnez Sécurité > Utilisateurs. Dans le volet Utilisateurs risqués, sélectionnez l’utilisateur Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, sélectionnez l’indicateur de risque de connexion suspecte. Vous pouvez consulter les informations suivantes :

  • CE QUI S’EST PASSÉ : Fournit un bref résumé des activités suspectes, y compris les facteurs de risque et le moment de l’événement.

    Ouverture de session suspecte : ce qui s'est passé

  • DÉTAILS DE CONNEXION : fournit un résumé détaillé des activités suspectes correspondant à chaque facteur de risque. Chaque facteur de risque se voit attribuer un score qui indique le niveau de suspicion. Un seul facteur de risque n’indique pas un risque élevé de la part d’un utilisateur. Le risque global est basé sur la corrélation entre les multiples facteurs de risque.

    Niveau de suspicion Indication
    0–69 Le facteur semble normal et n’est pas considéré comme suspect.
    70–89 Le facteur semble légèrement inhabituel et est considéré comme modérément suspect avec d’autres facteurs.
    90–100 Le facteur est tout à fait nouveau ou inhabituel et est considéré comme très suspect par rapport à d’autres facteurs.

    Détails d'ouverture de session suspects

  • EMPLACEMENT D’OUVERTURE DE SESSION - 30 DERNIERS JOURS : affiche une vue cartographique géographique des derniers emplacements connus et de l’emplacement actuel de l’utilisateur. Les données de localisation sont affichées pour les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher le nombre total d’ouvertures de session de chaque emplacement.

    Emplacement d'ouverture de session suspect

  • OUVERTURE DESESSION SUSPECTE - DÉTAILSDE L’ÉVÉNEMENT : Le tableau des détails de l’événement fournit les informations suivantes sur l’événement d’ouverture de session suspect :

    • Heure : indique la date et l’heure de la connexion suspecte.

    • Type d’ouverturede session : indique si l’activité de l’utilisateur est l’ouverture de session ou la connexion au compte. L’événement de connexion au compte est déclenché lorsque l’authentification d’un utilisateur sur son compte est réussie. Attendu que l’événement d’ouverture de session est déclenché lorsqu’un utilisateur entre ses informations d’identification et se connecte à sa session d’application ou de bureau.

    • Type de client : indique le type d’application Citrix Workspace installée sur la machine utilisateur. Selon le système d’exploitation de la machine utilisateur, le type de client peut être Android, iOS, Windows, Linux, Mac, etc.

    • OS : indique le système d’exploitation de la machine utilisateur.

    • Navigateur : indique le navigateur Web utilisé pour accéder à l’application.

    • Emplacement : indique l’emplacement depuis lequel l’utilisateur s’est connecté.

    • IP du client : indique l’adresse IP de la machine utilisateur.

    • Appareil : indique le nom de l’appareil de l’utilisateur.

      Détails des événements d'ouverture de session suspects

Quelles actions pouvez-vous appliquer aux utilisateurs ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via les bureaux virtuels.

  • Démarrer l’enregistrement de la session. En cas d’événement inhabituel sur le compte Virtual Desktops de l’utilisateur, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des sessions d’ouverture de session futures. Toutefois, si l’utilisateur utilise Virtual Apps and Desktops 7.18 ou une version ultérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session en cours de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque Citrix Virtual Apps and Desktops