Citrix Analytics for Security

Chronologie du risque utilisateur

La chronologie du risque utilisateur sur le profil d’un utilisateur vous permet, en tant qu’administrateur Citrix Analytics, d’obtenir des informations plus détaillées sur le comportement risqué d’un utilisateur. Par défaut, la chronologie du risque utilisateur s’affiche pour le dernier mois. Vous pouvez également voir les actions correspondantes effectuées sur leur compte pour une période sélectionnée. À partir de la chronologie des risques de l’utilisateur, vous pouvez approfondir le profil d’un utilisateur pour comprendre les éléments suivants :

  • Consommation des données

  • Utilisation de l’appareil

  • Utilisation de l’application

  • Utilisation de l’emplacement

En outre, vous pouvez afficher le score de risque et les tendances des indicateurs de risque pour l’utilisateur et déterminer si l’utilisateur est un utilisateur à risque élevé ou non.

Lorsque vous accédez à la chronologie des risques d’un utilisateur, vous pouvez sélectionner un indicateur de risque ou une action qui a été appliquée à son compte. Si vous choisissez l’une des options ci-dessus, le volet droit affiche la section Indicateur de risque ou la section Action.

Chronologie des risques

La chronologie des risques affiche les informations suivantes :

  • Indicateurs de risque. Les indicateurs de risque sont des activités des utilisateurs qui sont suspectes ou qui peuvent constituer une menace pour la sécurité de votre organisation. Les indicateurs sont déclenchés lorsque le comportement de l’utilisateur s’écarte de son comportement normal. Les indicateurs de risque peuvent porter sur les sources de données suivantes :

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops/Citrix Workspace

    • Citrix Access Control

    Lorsque vous sélectionnez un indicateur de risque dans la chronologie de l’utilisateur, la section Informations sur l’indicateur de risque s’affiche dans le volet droit. Vous pouvez afficher la raison de l’indicateur de risque ainsi que les détails de l’événement. Ils sont répartis en grandes catégories dans les sections suivantes :

    Section des informations sur la chronologie des risques

    • Que s’est-il passé. Vous pouvez consulter ici un résumé de l’indicateur de risque. Par exemple, si vous avez sélectionné l’indicateur de risque de partage de fichiers excessif . Dans la section Que s’est-il passé, vous pouvez afficher le nombre de liens de partage envoyés aux destinataires et le moment où l’événement de partage s’est produit.

    • Détails de l’événement. Vous pouvez afficher les entrées d’événement individuelles au format graphique et tabulaire ainsi que les détails de l’événement. Cliquez sur Recherche d’événements pour accéder à la page de recherche en libre-service et afficher les événements correspondant à l’indicateur de risque de l’utilisateur. Pour de plus amples informations, consultez Recherche en libre-service.

    • Informations contextuelles supplémentaires. Vous pouvez afficher les données partagées, le cas échéant, lors de l’occurrence d’un événement dans cette section.

    Consultez l’article Indicateurs de risque.

  • Actions. Les actions vous aident à réagir à des événements suspects et à prévenir de futurs événements anormaux. Les actions qui ont été appliquées sur le profil d’un utilisateur sont affichées dans la chronologie des risques. Ces actions sont automatiquement appliquées au compte d’un utilisateur via des stratégies configurées ou vous pouvez appliquer manuellement une action spécifique.

    En savoir plus : Stratégies et actions.

    Mesures relatives à l'échéancier des risques

  • Événements utilisateur privilégiés. Les événements utilisateur privilégiés sont déclenchés chaque fois qu’un statut de privilège Admin ou Executive est modifié. Lorsqu’un indicateur de risque est déclenché pour un utilisateur, vous pouvez le rattacher à l’événement de modification de statut de privilège spécifié. Si nécessaire, vous pouvez appliquer l’action appropriée sur le profil utilisateur. Les événements de privilège Admin ou Executive affichés sur la chronologie des risques utilisateur sont les suivants :

    • Ajouté au groupe exécutif

    • Supprimé du groupe exécutif

    • Privilège élevé à Admin

    • Privilège administrateur supprimé

    Considérez l’utilisateur Adam Maxwell qui a été ajouté au groupe privilégié Executive CitrixAnalytics. L’événement Ajoutée au groupe exécutif est ajouté à la chronologie des risques de l’utilisateur. Maintenant, Adam commence à supprimer excessivement des fichiers et des dossiers et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque Suppression des fichiers ou des dossiers excessifs est ajouté à la chronologie des risques de l’utilisateur. Vous pouvez comparer l’événement et l’indicateur de risque sur la chronologie du risque. Après la comparaison, vous pouvez déterminer si l’indicateur de risque a été déclenché à la suite de l’événement. Si c’est le cas, vous pouvez appliquer les actions appropriées sur le profil d’Adam. Pour plus d’informations sur les utilisateurs privilégiés, reportez-vous à la section Utilisateurs privilégiés.

Lorsque vous sélectionnez un événement dans la chronologie de l’utilisateur, la section d’informations sur l’événement s’affiche dans le volet droit.

Pour un administrateur, le volet droit affiche des informations telles que le statut de l’utilisateur, la date et l’heureet le groupe Active Directory.

Utilisateurs privilégiés

Pour un événement de privilège Admin, le volet droit affiche des informations telles que l’état de l’utilisateur, la date et l’heureet le produit In.

Chronologie du risque utilisateur