Citrix Analytics for Security

Indicateurs de risque Citrix Virtual Apps and Desktops

Accès depuis un endroit inhabituel

Citrix Analytics détecte les menaces basées sur l’accès en fonction de connexions inhabituelles depuis Citrix Workspace et déclenche l’indicateur de risque correspondant.

Quand l’indicateur Accès à partir d’un emplacement inhabituel est-il déclenché ?

Vous êtes averti lorsqu’un utilisateur de votre organisation se connecte à partir d’un emplacement inhabituel. L’emplacement est déterminé à partir de l’adresse IP de l’appareil de l’utilisateur. Citrix Workspace détecte ces événements utilisateur et les signale à Citrix Analytics. Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur. L’indicateur de risque est déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville qui est anormalement éloignée des emplacements de connexion précédents. Parmi les autres facteurs, mentionnons le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation de l’utilisateur est basé sur les 30 jours précédents d’activité de connexion.

L’indicateur de risque Accès à partir d’un emplacement inhabituel est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’accès à partir d’un indicateur de risque de localisation inhabituel ?

Considérez l’utilisateur Adam Maxwell qui se connecte depuis le San Jose, USA pour la première fois. Son lieu habituel de connexion est l’Alaska, États-Unis. Citrix Workspace signale ces événements de connexion à Citrix Analytics, qui attribue un score de risque mis à jour à Adam Maxwell. L’indicateur de risque Accès à partir d’un emplacement inhabituel est déclenché et ajouté à la chronologie des risques d’Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, vous pouvez sélectionner l’accès signalé à partir d’un indicateur de risque de localisation inhabituel. La raison de l’événement est affichée avec des détails tels que l’heure de l’événement et l’emplacement de connexion.

Pour afficher l’indicateur de risque d’accès à partir d’un emplacement inhabituel signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Emplacement inhabituel

  • QUE S’EST-IL PASSÉ : Fournit un bref résumé qui inclut le nombre de tentatives de connexion, l’emplacement inhabituel et l’heure de l’événement.

    Nature du problème

  • Emplacements de connexion : Affiche une vue cartographique géographique des emplacements habituels et inhabituels de connexion de l’utilisateur. Les données de localisation habituelles concernent les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher les détails exacts de chaque emplacement.

    Connexion

  • Emplacement inhabituel — 30 derniers jours : affiche une vue graphique à secteurs des six principaux emplacements de connexion habituels à partir desquels l’utilisateur s’est connecté, au cours des 30 derniers jours.

    Emplacement inhabituel

  • Détails de l’événement de localisation inhabituel : Le tableau des détails de l’événement fournit les informations suivantes sur l’événement de connexion inhabituel :

    Détails de l'événement

    • Date et heure. Indique la date et l’heure de l’événement inhabituel de localisation de connexion.

    • IP du client. Indique l’adresse IP de l’appareil client.

    • ID de l’appareil Indique le type de périphérique utilisateur tel qu’Android, Mac ou Windows.

    • Système d’exploitation de l’appareil Indique le système d’exploitation du périphérique utilisant lequel l’utilisateur s’est connecté depuis un emplacement inhabituel.

    • Navigateur de périphérique. Indique le navigateur Web à l’aide duquel l’utilisateur s’est connecté à l’application.

    • Type de récepteur. Indique le type d’application Citrix Workspace ou de Citrix Receiver installé sur la machine utilisateur.

    • Type d’événement. Indique si l’activité de l’utilisateur est l’ouverture de session ou l’ouverture de session de compte. L’événement de connexion au compte est déclenché lorsque l’authentification d’un utilisateur sur son compte est réussie. Attendu que l’événement d’ouverture de session est déclenché lorsqu’un utilisateur entre ses informations d’identification et se connecte à sa session d’application ou de bureau.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel se produit sur le compte Virtual Desktops de l’utilisateur, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors de futures sessions d’ouverture de session. Toutefois, si l’utilisateur se trouve sur Virtual Apps and Desktops 7.18 ou une version ultérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Exfiltration potentielle des données

Citrix Analytics détecte les menaces de données en fonction des tentatives excessives d’exfiltration des données et déclenche l’indicateur de risque correspondant.

L’indicateur de risque potentiel d’exfiltration de données est déclenché lorsqu’un utilisateur Citrix Receiver tente de télécharger ou de transférer des fichiers sur un lecteur ou une imprimante. Ces données peuvent être un événement de téléchargement de fichier tel que le téléchargement d’un fichier sur un lecteur local, des lecteurs mappés ou un périphérique de stockage externe. Il peut également s’agir de données qui sont exfiltrées à l’aide du presse-papiers ou de l’action copier-coller.

Remarque

Les opérations du Presse-papiers sont prises en charge uniquement par les applications SaaS.

Quand l’indicateur de risque d’exfiltration des données potentielles est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur a transféré un nombre excessif de fichiers sur un lecteur ou une imprimante au cours d’une certaine période de temps. Cet indicateur de risque est également déclenché lorsque l’utilisateur utilise l’action copier-coller sur son ordinateur local.

Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque potentiel d’exfiltration des données est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque potentiel d’exfiltration des données ?

Considérez l’utilisateur Adam Maxwell, qui est connecté à une session et tente d’imprimer des fichiers qui dépassent la limite prédéfinie. Par cette action, Adam Maxwell avait dépassé son comportement normal de transfert de fichiers basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque potentiel d’exfiltration de données . La raison de l’événement est affichée avec les détails tels que les fichiers transférés et le périphérique utilisé pour transférer le fichier.

Pour afficher l’indicateur de risque potentiel d’exfiltration de données signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Exfiltration potentielle des données

  • La section QUE S’EST-IL PASSÉ, vous pouvez afficher le résumé de l’événement potentiel d’exfiltration de données. Vous pouvez afficher le nombre d’événements d’exfiltration de données au cours d’une période donnée.

    Exfiltration potentielle des données ce qui s'est passé

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT, les tentatives d’exfiltration de données apparaissent sous forme graphique et tabulaire. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes :

    • Heure. Heure à laquelle l’événement d’exfiltration des données s’est produit.

    • Dossiers. Fichier téléchargé, imprimé ou copié.

    • Type de fichier. Type de fichier téléchargé, imprimé ou copié.

      Remarque

      Le nom de fichier imprimé est disponible uniquement à partir de l’événement d’impression d’applications SaaS.

    • Action. Types d’événement d’exfiltration de données qui a été effectué : impression, téléchargement ou copie.

    • Appareils. L’appareil utilisé.

    • Taille : Taille du fichier à exfiltrer.

    • Emplacement. Ville d’où l’utilisateur tente d’exfiltrer les données.

      Détails des événements potentiels d'exfiltration de données

  • La section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, pendant l’événement, vous pouvez afficher les éléments suivants :

    • Nombre de fichiers qui ont été exfiltrés.

    • Les actions effectuées.

    • Les applications utilisées.

    • Périphérique utilisé par l’utilisateur.

      Exfiltration des données potentielle information contextuelle supplémentaire

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertissez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud. Vous pouvez également sélectionner les administrateurs qui reçoivent une notification concernant l’activité de l’utilisateur.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel se produit sur le compte Virtual Desktops de l’utilisateur, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors de futures sessions d’ouverture de session. Toutefois, si l’utilisateur se trouve sur Virtual Apps and Desktops 7.18 ou une version supérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque Citrix Virtual Apps and Desktops