Citrix Analytics for Security

Indicateurs de risque Citrix Virtual Apps and Desktops

Accès depuis un endroit inhabituel

Citrix Analytics détecte les menaces basées sur l’accès en fonction de connexions inhabituelles depuis Citrix Workspace et déclenche l’indicateur de risque correspondant.

Quand l’indicateur Accès à partir d’un emplacement inhabituel est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre organisation se connecte à partir d’un emplacement inhabituel. L’emplacement est déterminé à partir de l’adresse IP de l’appareil de l’utilisateur. Citrix Workspace détecte ces événements utilisateur et les signale à Citrix Analytics. Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur. L’indicateur de risque est déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville qui est anormalement éloignée des emplacements de connexion précédents. Parmi les autres facteurs, mentionnons le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation de l’utilisateur est basé sur les 30 jours précédents d’activité de connexion.

L’indicateur de risque d’accès à partir d’un emplacement inhabituel est ajouté au calendrier de risque de l’utilisateur.

Comment analyser l’accès à partir d’un indicateur de risque de localisation inhabituel ?

Considérez l’utilisateur Adam Maxwell qui se connecte depuis le San Jose, USA pour la première fois. Son lieu habituel de connexion est l’Alaska, États-Unis. Citrix Workspace signale ces événements de connexion à Citrix Analytics, qui attribue un score de risque mis à jour à Adam Maxwell. L’indicateur de risque d’accès à partir d’un emplacement inhabituel est déclenché et ajouté au calendrier de risque d’Adam Maxwell.

À partir de la chronologie des risques d’Adam Maxwell, vous pouvez sélectionner l’accès signalé à partir d’un indicateur de risque de localisation inhabituel. La raison de l’événement est affichée avec des détails tels que l’heure de l’événement et l’emplacement de connexion.

Pour afficher l’indicateur de risque d’accès à partir d’un emplacement inhabituel signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Emplacement inhabituel

  • QUE S’EST-IL PASSÉ : Fournit un bref résumé qui inclut le nombre de tentatives de connexion, l’emplacement inhabituel et l’heure de l’événement.

    Nature du problème

  • Emplacements de connexion : Affiche une vue cartographique géographique des emplacements habituels et inhabituels de connexion de l’utilisateur. Les données de localisation habituelles concernent les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher les détails exacts de chaque emplacement.

    Connexion

  • Emplacement inhabituel — 30 derniers jours : affiche une vue graphique à secteurs des six principaux emplacements de connexion habituels à partir desquels l’utilisateur s’est connecté, au cours des 30 derniers jours.

    Emplacement inhabituel

  • Détails de l’événement de localisation inhabituelle : fournit une visualisation chronologique de l’événement de connexion inhabituel qui s’est produit pour l’utilisateur. En outre, ce tableau fournit les informations suivantes sur l’événement inhabituel de connexion :

    • Date et heure. Date et heure de l’événement inhabituel de connexion.

    • IP du client. Adresse IP de la machine client.

    • Système d’exploitation de l’appareil Système d’exploitation de l’appareil à l’aide duquel l’utilisateur s’est connecté à l’emplacement inhabituel.

    • Navigateur de périphérique. Navigateur Web à l’aide duquel l’utilisateur s’est connecté à l’application.

    • Type d’événement. Indique si l’activité de l’utilisateur est l’ouverture de session ou l’ouverture de session de compte. L’événement d’ouverture de session de compte est déclenché lorsque l’authentification d’un utilisateur à son compte réussit. Attendu que l’événement d’ouverture de session est déclenché lorsqu’un utilisateur entre ses informations d’identification et se connecte à sa session d’application ou de bureau.

      Détails de l'événement

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel sur le compte Virtual Desktops de l’utilisateur est détecté, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Toutefois, si l’utilisateur est sur Virtual Apps and Desktops 7.18 ou version ultérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session en cours de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Premier accès à partir d’un nouvel appareil

Citrix Analytics détecte les menaces d’accès en fonction du premier accès à partir d’un nouvel appareil et déclenche l’indicateur de risque correspondant.

Le premier accès à partir d’un nouvel appareil indicateur de risque est déclenché lorsqu’un utilisateur Citrix Workspace se connecte à partir d’un périphérique après un minimum de 90 jours. Cet indicateur de risque est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion pour l’utilisateur à partir de ce nouveau périphérique ou inconnu au cours des 90 derniers jours.

Quand l’indicateur de risque du premier accès à partir d’un nouvel appareil est-il déclenché ?

L’indicateur de risque de premier accès à partir d’un nouvel appareil est signalé lorsqu’un utilisateur se connecte à partir d’un appareil après 90 jours.

Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque pour la première fois de l’accès à partir d’un nouvel appareil est ajouté au calendrier de risque de l’utilisateur.

Comment analyser le premier accès à partir d’un nouvel indicateur de risque d’appareil ?

Considérez l’utilisateur Adam Maxwell, qui est connecté à une session via Citrix Receiver à partir d’un appareil que l’utilisateur n’a pas utilisé pendant les 90 derniers jours.

À partir de la chronologie d’Adam Maxwell, vous pouvez sélectionner le premier accès à partir du nouvel indicateur de risque d’appareil. La raison de l’accès à partir d’une nouvelle alerte de périphérique est affichée avec des détails tels que l’heure de l’événement et l’ID de l’appareil.

Pour afficher l’indicateur de risque Premier accès à partir d’un nouvel appareil signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Premier accès à partir d'un nouvel appareil

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher le résumé de la première accès à partir d’un nouvel événement de périphérique. Vous pouvez afficher le nombre d’instances de connexion qui se sont produites à partir d’un nouveau périphérique et l’heure à laquelle l’événement s’est produit.

    Premier accès à partir d'un nouvel appareil ce qui s'est passé

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT, les événements d’accès provenant d’un nouvel appareil apparaissent sous forme de tableau. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes sur les événements :

    • Temps. Heure à laquelle la connexion s’est produite sur l’instance.

    • Type de récepteur. Type de Citrix Receiver utilisé, tel que Windows et Mac.

    • ID du périphérique. Adresse IP du périphérique utilisée pour la connexion.

      Accès à partir des détails de l'événement du nouvel appareil

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel sur le compte Virtual Desktops de l’utilisateur est détecté, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Toutefois, si l’utilisateur est sur Virtual Apps and Desktops 7.18 ou version ultérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session en cours de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Exfiltration potentielle des données

Citrix Analytics détecte les menaces de données en fonction des tentatives excessives d’exfiltration des données et déclenche l’indicateur de risque correspondant.

L’indicateur de risque potentiel d’exfiltration de données est déclenché lorsqu’un utilisateur Citrix Receiver tente de télécharger ou de transférer des fichiers sur un lecteur ou une imprimante. Ces données peuvent être un événement de téléchargement de fichier tel que le téléchargement d’un fichier sur un lecteur local, des lecteurs mappés ou un périphérique de stockage externe. Il peut également s’agir de données qui sont exfiltrées à l’aide du presse-papiers ou de l’action copier-coller.

Remarque

Les opérations du Presse-papiers sont prises en charge uniquement par les applications SaaS.

Quand l’indicateur de risque d’exfiltration des données potentielles est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur a transféré un nombre excessif de fichiers sur un lecteur ou une imprimante au cours d’une certaine période de temps. Cet indicateur de risque est également déclenché lorsque l’utilisateur utilise l’action copier-coller sur son ordinateur local.

Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque potentiel d’exfiltration des données est ajouté au calendrier de risque de l’utilisateur.

Comment analyser l’indicateur de risque potentiel d’exfiltration des données ?

Considérez l’utilisateur Adam Maxwell, qui est connecté à une session et tente d’imprimer des fichiers qui dépassent la limite prédéfinie. Par cette action, Adam Maxwell avait dépassé son comportement normal de transfert de fichiers basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque potentiel d’exfiltration de données . La raison de l’événement est affichée avec les détails tels que les fichiers transférés et le périphérique utilisé pour transférer le fichier.

Pour afficher l’indicateur de risque potentiel d’exfiltration de données signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Exfiltration potentielle des données

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher le résumé de l’événement potentiel d’exfiltration de données. Vous pouvez afficher le nombre d’événements d’exfiltration de données au cours d’une période donnée.

    Exfiltration potentielle des données ce qui s'est passé

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT, les tentatives d’exfiltration de données apparaissent sous forme graphique et tabulaire. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes :

    • Temps. Heure à laquelle l’événement d’exfiltration des données s’est produit.

    • Dossiers. Fichier téléchargé, imprimé ou copié.

    • Type de fichier. Type de fichier téléchargé, imprimé ou copié.

      Remarque

      Le nom de fichier imprimé est disponible uniquement à partir de l’événement d’impression d’applications SaaS.

    • Action. Types d’événement d’exfiltration de données qui a été effectué : impression, téléchargement ou copie.

    • Appareils. L’appareil utilisé.

    • Taille : Taille du fichier à exfiltrer.

    • Emplacement. Ville à partir de laquelle l’utilisateur tente d’exfiltrer les données.

      Détails des événements potentiels d'exfiltration de données

  • La section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, pendant l’occurrence de l’événement, vous pouvez afficher les éléments suivants :

    • Nombre de fichiers qui ont été exfiltrés.

    • Les actions effectuées.

    • Les applications utilisées.

    • Périphérique utilisé par l’utilisateur.

      Exfiltration des données potentielle information contextuelle supplémentaire

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel sur le compte Virtual Desktops de l’utilisateur est détecté, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Toutefois, si l’utilisateur est sur Virtual Apps and Desktops 7.18 ou une version supérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque Citrix Virtual Apps and Desktops