Documentation produit
Citrix Analytics for Security
Voir PDF

Chronologie et profil des risques utilisateur

December 7, 2023
Contributeur: 
C

Remarque

Attention : Citrix Content Collaboration et ShareFile ont atteint leur fin de vie et ne sont plus disponibles pour les utilisateurs.

La chronologie des risques utilisateur sur le profil d’un utilisateur vous permet, en tant qu’administrateur Citrix Analytics, d’obtenir des informations plus approfondies sur le comportement risqué d’un utilisateur. Par défaut, la chronologie des risques utilisateur est affichée pour le dernier mois. Vous pouvez également voir les actions correspondantes effectuées sur leur compte pendant une période sélectionnée. À partir de la chronologie des risques utilisateur, vous pouvez approfondir le profil d’un utilisateur pour comprendre les éléments suivants :

  • Utilisation de l’application
  • Utilisation des données
  • Utilisation des appareils
  • Utilisation des emplacements

Vous pouvez également afficher le score de risque et les tendances des indicateurs de risque pour l’utilisateur et déterminer s’il s’agit d’un utilisateur à haut risque ou non.

Vous pouvez consulter le dernier score de risque de l’utilisateur dans le coin supérieur gauche de la page Chronologie des risques utilisateur. Les rapports de visualisation du résumé des risques présentent à la fois les scores maximaux les plus récents et historiques.

Résumé des risques, dernier score de risque

Lorsque vous accédez à la chronologie des risques d’un utilisateur, vous pouvez sélectionner un indicateur de risque ou une action qui a été appliquée à son compte. Si vous choisissez l’une des options ci-dessus, le volet droit affiche la section Indicateur de risque ou la section Action.

Chronologie des risques

Chronologie des risques

La chronologie des risques affiche les informations suivantes :

  • Indicateurs de risque. Les indicateurs de risque sont des activités des utilisateurs suspectes ou susceptibles de poser une menace à la sécurité de votre organisation. Les indicateurs sont déclenchés lorsque le comportement de l’utilisateur s’écarte de son comportement normal. Les indicateurs de risque peuvent être destinés aux sources de données suivantes :

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops ou Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service)

    • Citrix Secure Private Access

    Lorsque vous sélectionnez un indicateur de risque dans la chronologie de l’utilisateur, la section Informations sur l’indicateur de risque s’affiche dans le volet droit. Vous pouvez consulter la raison de l’indicateur de risque ainsi que les détails de l’événement. Ils sont globalement classés dans les sections suivantes :

    Section d'information sur la chronologie des risques

    • Que s’est-il passé ? Vous pouvez consulter un résumé de l’indicateur de risque ici. Par exemple, si vous avez sélectionné l’indicateur de risque de partage de fichiers excessif . Dans la section Que s’est-il passé, vous pouvez afficher le nombre de liens de partage envoyés aux destinataires et le moment où l’événement de partage s’est produit.

    • Détails de l’événement. Vous pouvez afficher les entrées d’événements individuels sous forme graphique et tabulaire, ainsi que les détails de l’événement. Cliquez sur Recherche d’événements pour accéder à la page de recherche en libre-service et afficher les événements correspondant à l’indicateur de risque de l’utilisateur. Pour plus d’informations, consultez la rubrique Recherche en libre-service.

    • Informations contextuelles supplémentaires. Vous pouvez consulter les données partagées, le cas échéant, pendant la survenance d’un événement dans cette section.

    Vous pouvez marquer manuellement les indicateurs de risque comme utiles ou inutiles. Pour plus d’informations, voir Fournir des commentaires sur les indicateurs de risque utilisateur.

    En savoir plus : Indicateurs de risque

  • Des actions. Les actions vous aident à réagir aux événements suspects et à prévenir de futurs événements anormaux. Les actions qui ont été appliquées au profil d’un utilisateur sont affichées sur la chronologie des risques. Ces actions sont automatiquement appliquées au compte d’un utilisateur via des stratégies configurées ou vous pouvez appliquer manuellement une action spécifique.

    Pour en savoir plus : Stratégies et actions.

    Actions de chronologie des risques

  • Événements d’utilisateurs privilégiés. Les événements d’utilisateur privilégié sont déclenchés chaque fois qu’il y a un changement dans le statut du privilège Admin ou Executive d’un utilisateur. Lorsqu’un indicateur de risque est déclenché pour un utilisateur, vous pouvez le mettre en corrélation avec l’événement de changement de statut de privilège spécifié. Si nécessaire, vous pouvez appliquer l’action appropriée sur le profil utilisateur. Les événements de privilège Admin ou Executive affichés sur la chronologie des risques utilisateur sont les suivants :

    • Ajouté au groupe Executive

    • Supprimé du groupe Exécutif

    • Privilège élevé au rang d’administrateur

    • Privilège d’administrateur supprimé

    Prenons l’exemple de l’utilisateur Adam Maxwell qui a été ajouté au groupe de privilèges Executive CitrixAnalytics. L’événement du groupe Added to Executive est ajouté à la chronologie des risques de l’utilisateur. Maintenant, Adam commence à supprimer des fichiers et des dossiers de manière excessive et déclenche l’algorithme d’apprentissage automatique qui détecte les comportements inhabituels. L’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur. Vous pouvez comparer l’événement et l’indicateur de risque sur la chronologie des risques. Après la comparaison, vous pouvez déterminer si l’indicateur de risque a été déclenché à la suite de l’événement. Si tel est le cas, vous pouvez appliquer les actions appropriées au profil d’Adam. Pour plus d’informations sur les utilisateurs privilégiés, consultez la section Utilisateurs privilégiés.

Lorsque vous sélectionnez un événement dans la chronologie de l’utilisateur, la section des informations sur l’événement s’affiche dans le volet droit.

Pour un exécutif, le volet droit affiche des informations telles que le statut de l’utilisateur, la date et l’heureet le groupe Active Directory.

Utilisateurs privilégiés

Pour un événement de privilège Admin, le volet droit affiche des informations telles que le statut de l’utilisateur, la date et l’heureet Dans le produit.

Résumé des risques

Affichez les facteurs de risque associés à l’utilisateur qui ont contribué à son score de risque. Vous pouvez consulter les détails du score de risque considéré comme le maximum sur la période sélectionnée, ainsi que le score le plus récent et le nombre d’indicateurs de risque correspondants. Lorsque vous accédez à la chronologie de l’utilisateur à partir de la page d’accueil principale ou de la page Utilisateurs à risque, la sélection de l’heure est conservée depuis la page source. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Résumé des risques

Cliquez sur Résumé des risques pour afficher les informations suivantes :

  • Dernier score de risque : Le dernier score de risque indique le risque actuel de l’utilisateur en fonction de son comportement récent. Le score de risque détermine le niveau de risque qu’un utilisateur représente pour une organisation au cours des deux dernières semaines. La valeur du score de risque est dynamique et varie en fonction de l’analyse du comportement des utilisateurs. Sur la base du score, un utilisateur peut appartenir à l’une des catégories suivantes : utilisateur à haut risque, utilisateur à risque moyen, utilisateur à faible risque et utilisateur ayant un score de risque nul. Pour plus d’informations sur les catégories d’utilisateurs, consultez Tableau de bord des utilisateurs.

    • Nombre total d’occurrences d’indicateurs : indique le nombre total d’indicateurs de risque déclenchés par l’utilisateur au cours des deux dernières semaines. Ces indicateurs de risque déclenché déterminent le score de risque de l’utilisateur.

  • Score de risquele plus élevé : Le score de risque le plus élevé indique la valeur maximale des scores de risque calculés pour cet utilisateur pendant la durée sélectionnée. Il est représentatif du risque global pour l’utilisateur et peut ne pas toujours être égal au score de risque le plus récent.

  • Facteurs de risque : indique une ou plusieurs combinaisons de facteurs de risque associés aux activités de l’utilisateur qui ont contribué au score de risque.

  • Répartition des risques : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur pour chaque facteur de risque. Développez la ligne pour afficher les détails.

Dans la chronologie de l’utilisateur, cliquez sur Filtrer et sélectionnez les facteurs de risque, les actions appliquées ou le statut d’utilisateur privilégié associé à l’utilisateur et affichez les événements correspondants.

Filtres de chronologie

Profil utilisateur

La page Profil utilisateur affiche les informations utilisateur suivantes qui proviennent de l’Active Directory de l’utilisateur :

  • Intitulé du poste
  • Adresse
  • E-mail
  • Phone
  • Emplacement
  • Organization

Profil utilisateur avancé

Chronologie et profil des risques utilisateur
December 7, 2023
Contributeur: 
C
December 7, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.