Citrix Analytics for Security

Calendrier et profil des risques utilisateur

La chronologie du risque utilisateur sur le profil d’un utilisateur vous permet, en tant qu’administrateur Citrix Analytics, d’obtenir des informations plus détaillées sur le comportement risqué d’un utilisateur. Par défaut, la chronologie du risque utilisateur s’affiche pour le dernier mois. Vous pouvez également voir les actions correspondantes effectuées sur leur compte pour une période sélectionnée. À partir de la chronologie des risques de l’utilisateur, vous pouvez approfondir le profil d’un utilisateur pour comprendre les éléments suivants :

Vous pouvez également afficher le score de risque et les tendances des indicateurs de risque pour l’utilisateur et déterminer si l’utilisateur est un utilisateur à haut risque ou non.

Lorsque vous accédez à la chronologie des risques d’un utilisateur, vous pouvez sélectionner un indicateur de risque ou une action qui a été appliquée à son compte. Si vous choisissez l’une des options ci-dessus, le volet droit affiche la section Indicateur de risque ou la section Action.

Chronologie des risques

Chronologie des risques

La chronologie des risques affiche les informations suivantes :

  • Indicateurs de risque. Les indicateurs de risque sont des activités des utilisateurs qui sont suspectes ou qui peuvent constituer une menace pour la sécurité de votre organisation. Les indicateurs sont déclenchés lorsque le comportement de l’utilisateur s’écarte de son comportement normal. Les indicateurs de risque peuvent porter sur les sources de données suivantes :

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops/Citrix Workspace

    • Citrix Access Control

    Lorsque vous sélectionnez un indicateur de risque dans la chronologie de l’utilisateur, la section Informations sur l’indicateur de risque s’affiche dans le volet droit. Vous pouvez afficher la raison de l’indicateur de risque ainsi que les détails de l’événement. Ils sont répartis en grandes catégories dans les sections suivantes :

    Section des informations sur la chronologie des risques

    • Que s’est-il passé. Vous pouvez consulter ici un résumé de l’indicateur de risque. Par exemple, si vous avez sélectionné l’indicateur de risque de partage de fichiers excessif . Dans la section Que s’est-il passé, vous pouvez afficher le nombre de liens de partage envoyés aux destinataires et le moment où l’événement de partage s’est produit.

    • Détails de l’événement. Vous pouvez afficher les entrées d’événement individuelles au format graphique et tabulaire ainsi que les détails de l’événement. Cliquez sur Recherche d’événements pour accéder à la page de recherche en libre-service et afficher les événements correspondant à l’indicateur de risque de l’utilisateur. Pour de plus amples informations, consultez la section Recherche en libre-service.

    • Informations contextuelles supplémentaires. Vous pouvez afficher les données partagées, le cas échéant, lors de l’occurrence d’un événement dans cette section.

    Consultez l’article Indicateurs de risque.

  • Actions. Les actions vous aident à réagir à des événements suspects et à prévenir de futurs événements anormaux. Les actions qui ont été appliquées sur le profil d’un utilisateur sont affichées dans la chronologie des risques. Ces actions sont automatiquement appliquées au compte d’un utilisateur via des stratégies configurées ou vous pouvez appliquer manuellement une action spécifique.

    En savoir plus : Stratégies et actions.

    Mesures relatives à l'échéancier des risques

  • Événements utilisateur privilégiés. Les événements utilisateur privilégiés sont déclenchés chaque fois que le statut des privilèges Admin ou Exécutif change d’un utilisateur. Lorsqu’un indicateur de risque est déclenché pour un utilisateur, vous pouvez le rattacher à l’événement de modification de statut de privilège spécifié. Si nécessaire, vous pouvez appliquer l’action appropriée sur le profil utilisateur. Les événements de privilège Admin ou Executive affichés sur la chronologie des risques utilisateur sont les suivants :

    • Ajouté au groupe exécutif

    • Supprimé du groupe exécutif

    • Privilège élevé à Admin

    • Privilège administrateur supprimé

    Considérez l’utilisateur Adam Maxwell qui a été ajouté au groupe privilégié Executive CitrixAnalytics. L’événement Ajoutée au groupe exécutif est ajouté à la chronologie des risques de l’utilisateur. Maintenant, Adam commence à supprimer excessivement des fichiers et des dossiers et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque Suppression des fichiers ou des dossiers excessifs est ajouté à la chronologie des risques de l’utilisateur. Vous pouvez comparer l’événement et l’indicateur de risque sur la chronologie du risque. Après la comparaison, vous pouvez déterminer si l’indicateur de risque a été déclenché à la suite de l’événement. Si c’est le cas, vous pouvez appliquer les actions appropriées sur le profil d’Adam. Pour plus d’informations sur les utilisateurs privilégiés, reportez-vous à la section Utilisateurs privilégiés.

Lorsque vous sélectionnez un événement dans la chronologie de l’utilisateur, la section d’informations sur l’événement s’affiche dans le volet droit.

Pour un administrateur, le volet droit affiche des informations telles que le statut de l’utilisateur, la date et l’heureet le groupe Active Directory.

Utilisateurs privilégiés

Pour un événement de privilège Admin, le volet droit affiche des informations telles que l’état de l’utilisateur, la date et l’heureet le produit In.

Profil d’utilisateur

Le profil utilisateur affiche les informations suivantes :

Profil utilisateur avancé

Remarque

Les données Authentificationet Domainesne sont actuellement pas disponibles dans le profil Informations utilisateur.

Application

Nombre d’applications auxquelles l’utilisateur a accédé pendant cette période. Citrix Analytics collecte ces données à partir de Citrix Virtual Apps and Desktops. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher le nom et le nombre d’applications utilisées par l’utilisateur. Le lien Vue des tendances dans le coin supérieur droit fournit une représentation graphique de l’historique des applications de l’utilisateur pour une période donnée.

Utilisation des données d'informations utilisateur

Utilisation des données

Le volume de données consommé par l’utilisateur peut inclure les données téléchargées ou téléchargées, les fichiers téléchargés ou téléchargés, et les fichiers partagés ou supprimés. Citrix Analytics collecte ces données à partir de Citrix Content Collaboration. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher les détails de l’utilisation des données pour l’utilisateur. Le lien Vue des tendances fournit une représentation graphique de l’historique d’utilisation des données d’un utilisateur pour une période donnée.

Utilisation des données d'informations utilisateur

Devices

Nombre de périphériques utilisés par l’utilisateur pour accéder aux sources de données. Citrix Analytics collecte ces données à partir de Citrix Endpoint Management et Citrix Virtual Apps and Desktops. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher le nom et le nombre de périphériques utilisés par l’utilisateur. Le lien Vue des tendances dans le coin supérieur droit fournit une représentation graphique de l’historique de l’appareil de l’utilisateur pour une période donnée.

Appareils d'information utilisateur

Emplacements

Endroits à partir desquels l’utilisateur s’est connecté aux sources de données. Citrix Analytics collecte les données à partir de Citrix Content Collaboration, Citrix Gateway et Citrix Virtual Apps and Desktops. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher les emplacements à partir desquels l’utilisateur a accédé aux données et le nombre d’ouvertures de session à partir de ces emplacements. Le lien Vue cartographique dans le coin supérieur droit fournit l’historique de l’emplacement d’ouverture de session de l’utilisateur pour une période donnée.

Emplacement des informations utilisateur

Calendrier et profil des risques utilisateur