Citrix Analytics for Security

Chronologie et profil des risques utilisateur

La chronologie des risques utilisateur sur le profil d’un utilisateur vous permet, en tant qu’administrateur Citrix Analytics, d’obtenir des informations plus approfondies sur le comportement risqué d’un utilisateur. Par défaut, la chronologie des risques utilisateur est affichée pour le dernier mois. Vous pouvez également voir les actions correspondantes effectuées sur leur compte pendant une période sélectionnée. À partir de la chronologie des risques utilisateur, vous pouvez approfondir le profil d’un utilisateur pour comprendre les éléments suivants :

Vous pouvez également afficher le score de risque et les tendances des indicateurs de risque pour l’utilisateur et déterminer s’il s’agit d’un utilisateur à haut risque ou non.

Lorsque vous accédez à la chronologie des risques d’un utilisateur, vous pouvez sélectionner un indicateur de risque ou une action qui a été appliquée à son compte. Si vous choisissez l’une des options ci-dessus, le volet droit affiche la section Indicateur de risque ou la section Action.

Chronologie des risques

Chronologie des risques

La chronologie des risques affiche les informations suivantes :

  • Indicateurs de risque. Les indicateurs de risque sont des activités des utilisateurs suspectes ou susceptibles de poser une menace à la sécurité de votre organisation. Les indicateurs sont déclenchés lorsque le comportement de l’utilisateur s’écarte de son comportement normal. Les indicateurs de risque peuvent être destinés aux sources de données suivantes :

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops/Citrix Workspace

    • Citrix Access Control

    Lorsque vous sélectionnez un indicateur de risque dans la chronologie de l’utilisateur, la section Informations sur l’indicateur de risque s’affiche dans le volet droit. Vous pouvez consulter la raison de l’indicateur de risque ainsi que les détails de l’événement. Ils sont globalement classés dans les sections suivantes :

    Section d'information sur la chronologie des risques

    • Que s’est-il passé ? Vous pouvez consulter un résumé de l’indicateur de risque ici. Par exemple, si vous avez sélectionné l’indicateur de risque de partage de fichiers excessif . Dans la section Que s’est-il passé, vous pouvez afficher le nombre de liens de partage envoyés aux destinataires et le moment où l’événement de partage s’est produit.

    • Détails de l’événement. Vous pouvez afficher les entrées d’événements individuels sous forme graphique et tabulaire, ainsi que les détails de l’événement. Cliquez sur Recherche d’événements pour accéder à la page de recherche en libre-service et afficher les événements correspondant à l’indicateur de risque de l’utilisateur. Pour plus d’informations, consultez la rubrique Recherche en libre-service.

    • Informations contextuelles supplémentaires. Vous pouvez consulter les données partagées, le cas échéant, pendant la survenance d’un événement dans cette section.

    En savoir plus : Indicateurs de risque

  • Actions. Les actions vous aident à réagir aux événements suspects et à prévenir de futurs événements anormaux. Les actions qui ont été appliquées sur le profil d’un utilisateur sont affichées sur la chronologie des risques. Ces actions sont automatiquement appliquées au compte d’un utilisateur via des stratégies configurées ou vous pouvez appliquer manuellement une action spécifique.

    Pour en savoir plus : Politiques et actions.

    Actions de chronologie des risques

  • Événements d’utilisateurs privilégiés. Les événements d’utilisateur privilégié sont déclenchés chaque fois qu’il y a un changement dans le statut du privilège Admin ou Executive d’un utilisateur. Lorsqu’un indicateur de risque est déclenché pour un utilisateur, vous pouvez le mettre en corrélation avec l’événement de changement de statut de privilège spécifié. Si nécessaire, vous pouvez appliquer l’action appropriée sur le profil utilisateur. Les événements de privilège Admin ou Executive affichés sur la chronologie des risques utilisateur sont les suivants :

    • Ajouté au groupe Executive

    • Supprimé du groupe Exécutif

    • Privilège élevé au rang d’administrateur

    • Privilège d’administrateur supprimé

    Prenons l’exemple de l’utilisateur Adam Maxwell qui a été ajouté au groupe de privilèges Executive CitrixAnalytics. L’événement du groupe Added to Executive est ajouté à la chronologie des risques de l’utilisateur. Désormais, Adam commence à supprimer excessivement des fichiers et des dossiers et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur. Vous pouvez comparer l’événement et l’indicateur de risque sur la chronologie des risques. Après la comparaison, vous pouvez déterminer si l’indicateur de risque a été déclenché à la suite de l’événement. Si c’est le cas, vous pouvez appliquer les actions appropriées sur le profil d’Adam. Pour plus d’informations sur les utilisateurs privilégiés, consultez la section Utilisateurs privilégiés.

Lorsque vous sélectionnez un événement dans la chronologie de l’utilisateur, la section des informations sur l’événement s’affiche dans le volet droit.

Pour un exécutif, le volet droit affiche des informations telles que le statut de l’utilisateur, la date et l’heureet le groupe Active Directory.

Utilisateurs privilégiés

Pour un événement de privilège Admin, le volet droit affiche des informations telles que le statut de l’utilisateur, la date et l’heureet Dans le produit.

Résumé des risques

Affichez les facteurs de risque associés à l’utilisateur qui ont contribué à son score de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Résumé des risques

Cliquez sur Résumé des risques pour afficher les informations suivantes :

  • Nombre total d’occurrences d’indicateurs : indique le nombre total d’indicateurs de risque déclenchés par l’utilisateur au cours des deux dernières semaines. Ces indicateurs de risque déclenché déterminent le score de risque de l’utilisateur.

  • Score de risque : indique le score de risque de l’utilisateur en fonction de son comportement à risque. Le score de risque détermine le niveau de risque qu’un utilisateur pose à une organisation pendant une période spécifique. La valeur du score de risque est dynamique et varie en fonction de l’analyse du comportement des utilisateurs. Sur la base du score de risque, un utilisateur peut entrer dans l’une des catégories suivantes : utilisateur à risque élevé, utilisateur à risque moyen, utilisateur à faible risque et utilisateur avec un score de risque nul. Pour plus d’informations sur les catégories d’utilisateurs, consultez Tableau de bord des utilisateurs.

  • Facteurs de risque : indique une ou plusieurs combinaisons de facteurs de risque associés aux activités de l’utilisateur qui ont contribué au score de risque.

  • Répartition des risques : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur pour chaque facteur de risque. Développez la ligne pour afficher les détails.

    Facteurs de risque

Dans la chronologie de l’utilisateur, cliquez sur Filtrer et sélectionnez les facteurs de risque, les actions appliquées ou le statut d’utilisateur privilégié associé à l’utilisateur et affichez les événements correspondants.

Filtres de chronologie

Profil utilisateur

Le profil utilisateur affiche les informations suivantes :

Profil utilisateur avancé

Remarque

Les données d’authentification et de domaines ne sont actuellement pas disponibles dans le profil Informations utilisateur.

Application

Nombre d’applications auxquelles l’utilisateur a accédé pendant cette période. Citrix Analytics collecte ces données à partir de Citrix Virtual Apps and Desktops. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher le nom et le nombre d’applications utilisées par l’utilisateur. Le lien Trend View dans le coin supérieur droit fournit une représentation graphique de l’historique des applications de l’utilisateur pour une période spécifique.

Utilisation des données d'informations utilisateur

Utilisation des données

Le volume de données consommé par l’utilisateur peut inclure des données téléchargées ou téléchargées, des fichiers téléchargés ou téléchargés et des fichiers partagés ou supprimés. Citrix Analytics collecte ces données à partir de Citrix Content Collaboration. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher les détails de l’utilisation des données par l’utilisateur. Le lien Trend View fournit une représentation graphique de l’historique d’utilisation des données d’un utilisateur pendant une période spécifique.

Utilisation des données d'informations utilisateur

Devices

Nombre d’appareils utilisés par l’utilisateur pour accéder aux sources de données. Citrix Analytics collecte ces données à partir de Citrix Endpoint Management et de Citrix Virtual Apps and Desktops. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher le nom et le nombre d’appareils utilisés par l’utilisateur. Le lien Trend View dans le coin supérieur droit fournit une représentation graphique de l’historique des appareils de l’utilisateur pour une période spécifique.

Appareils d'information utilisateur

Lieux

Lieux à partir desquels l’utilisateur s’est connecté aux sources de données. Citrix Analytics collecte les données de Citrix Content Collaboration, Citrix Gateway et Citrix Virtual Apps and Desktops. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher les emplacements à partir desquels l’utilisateur a accédé aux données et le nombre d’ouvertures de session à partir de ces emplacements. Le lien Map View dans le coin supérieur droit fournit l’historique des emplacements de connexion de l’utilisateur pour une période spécifique.

Emplacement des informations utilisateur

Chronologie et profil des risques utilisateur