Indicateurs de risque Citrix Virtual Apps and Desktops

Premier accès à partir d’un nouvel appareil

Citrix Analytics détecte les menaces d’accès en fonction du premier accès à partir d’un nouvel appareil et déclenche l’indicateur de risque correspondant.

L’indicateur de risque Premier accès à partir d’un nouveau périphérique est déclenché lorsqu’un utilisateur Citrix Workspace se connecte à partir d’un périphérique inconnu, généralement un nouveau périphérique. En effet, Citrix Receiver n’a pas d’enregistrement de connexion pour l’utilisateur à partir de ce nouveau périphérique inconnu.

Quand l’indicateur de risque du premier accès à partir d’un nouvel appareil est-il déclenché ?

L’indicateur de risque Premier accès à partir d’un nouvel appareil est signalé lorsqu’un utilisateur se connecte à partir d’un nouvel appareil.

Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque Premier accès à partir d’un nouvel appareil est ajouté à la chronologie des risques de l’utilisateur et une alerte s’affiche dans le panneau Alertes .

Comment analyser l’accès à partir d’un nouvel indicateur de risque de périphérique ?

Considérez l’utilisateur Adam Maxwell, qui est connecté à une session via Citrix Receiver à partir d’un nouvel appareil que l’utilisateur n’a pas utilisé auparavant.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque de premier accès au nouvel appareil signalé. La raison de l’accès à partir d’une nouvelle alerte de périphérique s’affiche avec des détails tels que l’heure de l’événement, l’ID de périphérique, etc.

Pour afficher l’indicateur de risque Premier accès à partir d’un nouvel appareil signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Premier accès à partir d'un nouvel appareil

  • La section WHAT HAPPENED, vous pouvez afficher le résumé de la première fois accès à partir d’un nouvel événement de périphérique. Vous pouvez afficher le nombre d’instances de connexion qui se sont produites à partir d’un nouveau périphérique et l’heure à laquelle l’événement s’est produit.

Premier accès à partir d'un nouvel appareil ce qui s'est passé

  • Dans la section DÉTAILS DE L’ÉVENEMENT, les événements d’accès provenant d’un nouvel appareil apparaissent sous forme de tableau. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes sur les événements :

    • Heure. Heure à laquelle la connexion s’est produite sur l’instance.

    • Type de récepteur. Type de Citrix Receiver utilisé, tel que Windows, Mac, etc.

    • ID du périphérique. Adresse IP du périphérique utilisée pour la connexion.

    Accès à partir des détails de l'événement du nouvel appareil

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel sur le compte Virtual Desktops de l’utilisateur est détecté, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Toutefois, si l’utilisateur est sur Virtual Apps and Desktops 7.18 ou une version supérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Exfiltration potentielle des données

Citrix Analytics détecte les menaces de données en fonction des tentatives excessives d’exfiltration des données et déclenche l’indicateur de risque correspondant.

L’indicateur de risque potentiel d’exfiltration de données est déclenché lorsqu’un utilisateur Citrix Receiver tente de télécharger ou de transférer des fichiers sur un lecteur ou une imprimante. Ces données peuvent être un événement de téléchargement de fichiers, tel que le téléchargement d’un fichier sur un lecteur local, des lecteurs mappés, sur un périphérique de stockage externe, etc. Il peut également s’agir de données qui sont exfiltrées à l’aide du presse-papiers ou par l’action copier-coller.

Quand l’indicateur de risque potentiel d’exfiltration des données est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur a transféré un nombre excessif de fichiers sur un lecteur ou une imprimante au cours d’une certaine période de temps. Cet indicateur de risque est également déclenché lorsque l’utilisateur utilise l’action copier-coller sur son ordinateur local.

Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque potentiel d’exfiltration de données est ajouté à la chronologie des risques de l’utilisateur et une alerte s’affiche dans le panneau Alertes .

Comment analyser le risque potentiel d’exfiltration des données Indicateur ?

Considérez l’utilisateur Adam Maxwell, qui est connecté à une session et tente d’imprimer des fichiers qui dépassent la limite prédéfinie. Par cette action, Adam Maxwell avait dépassé son comportement normal de transfert de fichiers basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque potentiel d’exfiltration de données . La raison de l’événement s’affiche avec les détails tels que les fichiers transférés, le périphérique utilisé pour transférer le fichier, etc.

Pour afficher l’indicateur de risque potentiel d’exfiltration de données signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Exfiltration potentielle des données

  • La section WHAT HAPPENED, vous pouvez afficher le résumé de l’événement potentiel d’exfiltration de données. Vous pouvez afficher le nombre d’événements d’exfiltration de données au cours d’une période donnée.

Exfiltration potentielle des données ce qui s'est passé

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT, les tentatives d’exfiltration de données apparaissent sous forme graphique et tabulaire. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes :

    • Heure. Heure à laquelle l’événement d’exfiltration des données s’est produit.

    • Dossiers. Fichier téléchargé, imprimé ou copié.

    • Type de fichier. Type de fichier téléchargé, imprimé ou copié.

    • Action. Type d’événement d’exfiltration de données qui a été effectué (impression, téléchargement ou copie).

    • Appareils. L’appareil utilisé.

    • Taille : Taille du fichier en cours d’exfiltration.

    Détails des événements potentiels d'exfiltration de données

  • La section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, pendant l’occurrence de l’événement, vous pouvez afficher les éléments suivants :

    • Le nombre de fichiers exfiltrés.

    • Les actions effectuées.

    • Les applications utilisées.

    • Périphérique utilisé par l’utilisateur.

    Exfiltration potentielle de données informations contextuelles supplémentaires

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel sur le compte Virtual Desktops de l’utilisateur est détecté, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Toutefois, si l’utilisateur est sur Virtual Apps and Desktops 7.18 ou une version supérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Accès à partir d’un appareil avec système d’exploitation (OS) non pris en charge

Citrix Analytics détecte les menaces d’accès en fonction de l’accès d’un utilisateur à partir d’un périphérique exécutant un système d’exploitation non pris en charge et déclenche l’indicateur de risque correspondant.

L’indicateur de risque Accès à partir d’un périphérique avec système d’exploitation non pris en charge est déclenché lorsqu’un utilisateur Citrix Receiver ouvre une session à partir d’un système d’exploitation ou d’un navigateur non pris en charge. L’alerte est déclenchée en fonction de l’ensemble des versions du système d’exploitation et du navigateur prises en charge par Citrix Receiver.

Quand l’accès à partir d’un appareil avec un indicateur de risque du système d’exploitation non pris en charge est-il déclenché ?

L’indicateur de risque Accès à partir d’un périphérique avec système d’exploitation non pris en charge est signalé lorsqu’un utilisateur ouvre une session à partir d’un périphérique exécutant un système d’exploitation ou un navigateur non pris en charge. Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque Accès depuis un appareil doté d’un OS non pris en charge est ajouté à la chronologie des risques de l’utilisateur et une alerte s’affiche dans le panneau Alertes.

Remarque

Lorsqu’un utilisateur passe à un autre système d’exploitation, mais se connecte à la même session, l’événement d’ouverture de session est conservé.

Comment analyser l’accès à partir d’un appareil avec un indicateur de risque du système d’exploitation non pris en charge ?

Considérez l’utilisateur Georgina Kalou, connecté à une session qui s’exécute sur un système d’exploitation ou un navigateur non pris en charge par Citrix Receiver. Citrix Analytics détecte cet événement et attribue un score de risque à Georgina Kalou. Vous êtes alors notifié dans le panneau Alertes et l’indicateur de risque Accès à partir d’un appareil avec système d’exploitation non pris en charge est ajouté à la chronologie des risques de l’utilisateur.

Dans la chronologie de Georgina Kalou, vous pouvez sélectionner l’accès signalé à partir de l’appareil avec indicateur de risque du système d’exploitation non pris en charge. La raison de l’événement est affichée à l’écran avec les détails de l’événement, tels que la version du système d’exploitation, la version du navigateur, etc.

Pour afficher l’indicateur de risque Accès à partir d’un appareil avec système d’exploitation non pris en charge, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Accès à partir d'un appareil avec système d'exploitation non pris en charge

  • La section WHAT HAPPENED, vous pouvez afficher le résumé de l’accès à partir d’un appareil avec indicateur de risque du système d’exploitation non pris en charge. Vous pouvez afficher le nombre de périphériques avec un système d’exploitation ou une version de navigateur non pris en charge utilisés pour lancer Citrix Receiver et l’heure à laquelle les événements se sont produits.

Accès depuis un appareil avec système d'exploitation non pris en charge ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT - DISPOSITIF ACCESS, les événements d’accès aux périphériques non pris en charge apparaissent sous forme graphique et tabulaire. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes sur les événements :

    • Heure de lancement. Heure à laquelle l’événement s’est produit.

    • Récepteur. Détails de la plate-forme Receiver.

    • Navigateur. Version du navigateur utilisée pour l’ouverture de session.

    • Système d’exploitation. Version du système d’exploitation utilisée pour l’ouverture de session.

    • ID du périphérique. Informations sur l’ID du périphérique utilisé pour ouvrir une session.

    • Adresse IP. Adresse IP du périphérique utilisé pour l’ouverture de session.

    Remarque

    Si votre appareil utilise un navigateur non pris en charge pour l’accès, vous ne pouvez pas voir de données sous la colonne Adresse IP.

    Accès à partir d'un appareil avec des détails d'événements du système d'exploitation non pris en

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel sur le compte Virtual Desktops de l’utilisateur est détecté, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Toutefois, si l’utilisateur est sur Virtual Apps and Desktops 7.18 ou une version supérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Utilisation inhabituelle de l’application (Virtuelle)

Citrix Analytics détecte les menaces de données en fonction de l’accès d’un utilisateur à partir d’une nouvelle application et déclenche l’indicateur de risque correspondant.

L’indicateur de risque d’utilisation inhabituelle d’une application est déclenché lorsqu’un utilisateur Citrix Receiver présente un comportement inhabituel d’utilisation d’une application. Un comportement inhabituel peut être le tout premier lancement d’une application HDX à un moment donné de la journée.

Quand l’indicateur de risque inhabituel d’utilisation des applications est-il déclenché ?

L’indicateur de risque d’utilisation inhabituelle d’une application est signalé lorsque l’utilisateur tente d’accéder à une application qu’il n’a pas utilisée auparavant, en tenant compte de l’heure de la journée.

Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque d’utilisation inhabituelle de l’application est ajouté à la chronologie des risques de l’utilisateur et une alerte s’affiche dans le panneau Alertes .

Comment analyser l’indicateur de risque d’utilisation inhabituelle des applications ?

Considérez l’utilisateur Georgina Kalou, qui est connecté à une session et tente d’accéder à une application pour la première fois pendant les heures non ouvrables.

Dans la chronologie de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque d’utilisation inhabituelle de l’application signalée. La raison de l’événement est affichée avec des détails tels que le nom de l’application, le fuseau horaire à partir de laquelle elle a été accédé, etc.

Pour afficher l’indicateur de risque d’utilisation inhabituelle de l’application signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Utilisation inhabituelle de l'application

  • La section WHAT HAPPENED, vous pouvez afficher le résumé de l’événement. Vous pouvez afficher le nombre de nouvelles applications auxquelles vous avez accédé et leur date d’accès.

Utilisation inhabituelle de l'application ce qui s'est passé

  • La section DÉTAILS DE L’ÉVÉNEMENT - UTILISATION DES APPLICATIONS, l’événement est affiché sous forme graphique et tabulaire. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes sur les événements :

    • Heure. Heure d’accès à l’application.

    • Nom de l’application. Nom de l’application consultée.

    • Fuseau horaire. Fuseau horaire à partir duquel l’application est accessible.

    Détails de l'événement d'utilisation de l'application inhabituelle

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Avertir l’administrateur. Lorsqu’il y a une activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs Citrix Cloud.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via Virtual Desktops.

  • Démarrer l’enregistrement de la session. Si un événement inhabituel sur le compte Virtual Desktops de l’utilisateur est détecté, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Toutefois, si l’utilisateur est sur Virtual Apps and Desktops 7.18 ou une version supérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, reportez-vous à la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.