Citrix Analytics for Security

Recherche en libre-service

Qu’est-ce que la recherche en libre-service ?

La fonction de recherche en libre-service vous permet de rechercher et de filtrer les événements utilisateur reçus de vos sources de données. Vous pouvez explorer les événements utilisateur sous-jacents et ses attributs. Ces événements vous aident à identifier les problèmes de données et à les résoudre. La page de recherche affiche diverses facettes (dimensions) et mesures pour une source de données. Vous pouvez définir votre requête de recherche et appliquer des filtres pour afficher les événements correspondant à vos critères définis. Par défaut, la page de recherche en libre-service affiche les événements utilisateur du dernier mois.

Actuellement, la fonction de recherche en libre-service est disponible pour les sources de données suivantes :

En outre, vous pouvez effectuer une recherche en libre-service sur les événements qui répondaient à vos stratégies définies. Pour de plus amples informations, consultez Recherche en libre-service pour les stratégies.

Comment accéder à la recherche en libre-service

Vous pouvez accéder à la recherche en libre-service en utilisant les options suivantes :

  • Barre supérieure : cliquez sur Rechercherdans la barre supérieure pour afficher tous les événements utilisateur pour la source de données sélectionnée.

  • Chronologie des risques sur une page de profil utilisateur : cliquez sur Recherched’événements pour afficher les événements de l’utilisateur concerné.

Recherche en libre-service à partir de la barre supérieure

Utilisez cette option pour accéder à la page de recherche en libre-service depuis n’importe quel endroit de l’interface utilisateur.

  1. Cliquez sur Rechercher pour afficher la page libre-service.

    Recherche dans la barre supérieure

  2. Sélectionnez la source de données et la période pour afficher les événements correspondants.

    Page de recherche de la barre supérieure

Recherche en libre-service à partir de la chronologie des risques de l’utilisateur

Utilisez cette option si vous souhaitez afficher les événements utilisateur associés à un indicateur de risque.

Lorsque vous sélectionnez un indicateur de risque dans la chronologie d’un utilisateur, la section Informations sur l’indicateur de risque s’affiche dans le volet droit. Cliquez sur Recherche d’événements pour explorer les événements associés à l’utilisateur et à la source de données (pour laquelle l’indicateur de risque est déclenché) sur la page de recherche en libre-service.

Recherche de chronologie des risques

Pour plus d’informations sur la chronologie des risques utilisateur, reportez-vous à la section Chronologie des risques.

Comment utiliser la recherche en libre-service

Utilisez les fonctionnalités suivantes sur la page de recherche en libre-service :

Utiliser les facettes pour filtrer les événements

Les facettes sont le résumé des points de données qui constituent un événement. Les facettes varient en fonction de la source de données. Par exemple, les facettes de la source de données Contrôle d’accès sont la réputation, les actions, l’emplacement et le groupe de catégories. Attendu que les facettes pour les Virtual Apps et les postes de travail sont le type d’événement, le domaine et la plate-forme.

Sélectionnez les facettes pour filtrer les résultats de votre recherche. Les facettes sélectionnées sont affichées sous forme de puces.

Pour plus d’informations sur les facettes correspondant à chaque source de données, consultez l’article de recherche en libre-service pour la source de données mentionnée plus haut dans cet article.

Utiliser la requête de recherche dans la zone de recherche pour filtrer les événements

Lorsque vous placez votre curseur dans la zone de recherche, la zone de recherche affiche une liste de dimensions en fonction des événements utilisateur. Ces dimensions varient en fonction de la source de données. Utilisez les dimensions et les opérateursvalides pour définir vos critères de recherche et rechercher les événements requis.

Par exemple, dans la recherche d’accès en libre-service, vous obtenez les dimensions suivantes pour les événements d’accès. Utilisez les dimensions pour taper votre requête, sélectionnez la période, puis cliquez sur Rechercher.

Recherche de recherche

Opérateurs supportés dans la requête de recherche

Utilisez les opérateurs suivants dans vos requêtes de recherche pour affiner les résultats de votre recherche.

Opérateur Description Exemple Résultat
: Attribuez une valeur à une dimension de recherche. Nom d’utilisateur : John Affiche les événements de l’utilisateur John.
= Attribuez une valeur à une dimension de recherche. Nom d’utilisateur = John Affiche les événements de l’utilisateur John.
~ Recherchez des événements avec des valeurs similaires. Nom d’utilisateur ~ test Affiche les événements ayant des noms d’utilisateur similaires.
”” Placez des valeurs séparées par des espaces. Nom d’utilisateur = « John Smith » Affiche les événements de l’utilisateur John Smith.
<, > Recherchez une valeur relationnelle. Volume de données > 100 Affiche les événements où le volume de données est supérieur à 100 Go.
ET Recherchez des événements où les conditions spécifiées sont vraies. Nom d’utilisateur : Volume de données AND John > 100 Affiche les événements de l’utilisateur John où le volume de données est supérieur à 100 Go.
!~ Vérifie les événements pour le modèle de correspondance que vous spécifiez. Cet opérateur NOT LIKE renvoie les événements qui ne contiennent aucun modèle correspondant dans la chaîne d’événement. Nom d’utilisateur ! ~ John Affiche les événements pour les utilisateurs à l’exception de John, John Smith ou de tout autre utilisateur qui contient le nom correspondant « John ».
!= Vérifie les événements pour la chaîne exacte que vous spécifiez. Cet opérateur NOT EQUAL renvoie les événements qui ne contiennent aucune chaîne exacte dans la chaîne d’événement. Country != USA Affiche les événements pour les pays sauf les États-Unis.
* Recherchez des événements correspondant aux chaînes spécifiées. Actuellement, l’opérateur * est pris en charge uniquement avec l’opérateur = et le ! = opérateur. Les résultats de la recherche sont sensibles à la casse. Nom d’utilisateur = John* Affiche les événements de tous les noms d’utilisateur commençant par John.
    Nom d’utilisateur = *John* Affiche les événements de tous les noms d’utilisateur contenant John.
    Nom d’utilisateur = *Smith Affiche les événements de tous les noms d’utilisateurs qui se terminent par Smith.
    Nom d’utilisateur ! = John* Affiche les événements de tous les noms d’utilisateur qui ne commencent pas par John.
    Nom d’utilisateur ! = *Smith Affiche les événements de tous les noms d’utilisateurs qui ne se terminent pas par Smith.
IN Attribuez plusieurs valeurs à une dimension de recherche pour obtenir les événements liés à une ou plusieurs valeurs. Remarque : Actuellement, vous pouvez utiliser cet opérateur avec les dimensions suivantes de Citrix Virtual Apps and Desktops- Device IDDomainEvent-Type, et User-Name. Cet opérateur s’applique uniquement aux valeurs de chaîne. Nom d’utilisateur IN (John, Kevin) Retrouvez tous les événements liés à John ou Kevin.
NOT IN Attribuez plusieurs valeurs à une dimension de recherche et recherchez les événements qui ne contiennent pas les valeurs spécifiées. Remarque : Actuellement, vous pouvez utiliser cet opérateur avec les dimensions suivantes de Citrix Virtual Apps and Desktops- Device IDDomainEvent-Type, et User-Name. Cet opérateur s’applique uniquement aux valeurs de chaîne. Nom d’utilisateur NON ENTRÉ (John, Kevin) Trouvez les événements pour tous les utilisateurs sauf John et Kevin.

Remarque

Pour l’opérateur NOT EQUAL, lorsque vous entrez les valeurs des dimensions de votre requête, utilisez les valeurs exactes disponibles sur la page de recherche en libre-service pour une source de données. Les valeurs de dimension sont sensibles à la casse.

Pour plus d’informations sur la façon de spécifier votre requête de recherche pour la source de données, consultez l’article de recherche en libre-service pour la source de données mentionnée plus haut dans cet article.

Sélectionner l’heure d’affichage de l’événement

Sélectionnez une heure prédéfinie ou saisissez une plage de temps personnalisée et cliquez sur Rechercher pour afficher les événements.

Sélection de l'heure

Afficher les détails de la chronologie

La chronologie fournit une représentation graphique des événements utilisateur pour la période sélectionnée. Déplacez les barres de sélection pour choisir la plage de temps et afficher les événements correspondant à la plage de temps sélectionnée.

La figure présente les détails de la chronologie pour les données d’accès.

Détails de la chronologie

Voir l’événement

Vous pouvez afficher les informations détaillées sur l’événement utilisateur. Dans la table DATA, cliquez sur la flèche de chaque colonne pour afficher les détails de l’événement utilisateur.

La figure montre les détails sur les données d’accès de l’utilisateur.

Événements

Ajouter ou supprimer des colonnes

Vous pouvez ajouter ou supprimer des colonnes de la table d’événements pour afficher ou masquer les points de données correspondants. Procédez comme suit :

  1. Cliquez sur Ajouter ou supprimer des colonnes.

     Mise à jour des

  2. Sélectionnez ou désélectionnez les éléments de données de la liste, puis cliquez sur Mettre à jour.

    Mettre à jour les

Si vous désélectionnez un point de données de la liste, la colonne correspondante est supprimée de la table d’événements. Toutefois, vous pouvez afficher ce point de données en développant la ligne d’événement pour un utilisateur. Par exemple, lorsque vous désélectionnez le point de données TIME de la liste, la colonne TIME est supprimée de la table d’événements. Pour afficher l’enregistrement de temps, développez la ligne d’événement pour un utilisateur.

Attributs cachés

Exporter les événements dans un fichier CSV

Exportez les résultats de la recherche dans un fichier CSV et enregistrez-les pour référence. Cliquez sur Exporter au format CSV pour exporter les événements et télécharger le fichier CSV généré.

Exportation CSV

Exporter un résumé visuel

Vous pouvez télécharger le rapport récapitulatif visuel de votre requête de recherche et en partager une copie avec d’autres utilisateurs, administrateurs ou votre équipe de direction.

Cliquez sur Exporter un résumé visuel pour télécharger le rapport de synthèse visuel au format PDF. Le rapport contient les informations suivantes :

  • La requête de recherche que vous avez spécifiée pour les événements de la période sélectionnée.

  • Les facettes (filtres) que vous avez appliquées aux événements pour la période sélectionnée.

  • Le résumé visuel tel que les graphiques chronologiques, les graphiques à barres ou les graphiques des événements de recherche pour la période sélectionnée.

Pour une source de données, vous pouvez télécharger le rapport récapitulatif visuel uniquement si les données sont affichées dans des formats visuels tels que des graphiques à barres ou des détails de la chronologie. Sinon, cette option n’est pas disponible. Par exemple, vous pouvez télécharger le rapport récapitulatif visuel des sources de données telles que Virtual Apps and Desktops, Sessions, où vous voyez les données sous forme de détails de chronologie et de graphiques à barres. Pour les sources de données telles que les utilisateurs et les machines, les données sont uniquement présentées sous forme de tableau. Par conséquent, vous ne pouvez télécharger aucun rapport de synthèse visuel.

Exporter un résumé visuel

Tri multi-colonnes

Le tri aide à organiser vos données et offre une meilleure visibilité. Sur la page de recherche en libre-service, vous pouvez trier les événements utilisateur par une ou plusieurs colonnes. Les colonnes représentent les valeurs de divers éléments de données tels que le nom d’utilisateur, la date et l’heure et l’URL. Ces éléments de données varient en fonction des sources de données sélectionnées.

Pour effectuer un tri multi-colonnes, procédez comme suit :

  1. Cliquez sur Trier par.

    Tri-by

  2. Sélectionnez une colonne dans la liste Trier par.

  3. Sélectionnez l’ordre de tri croissant (flèche vers le haut) ou décroissant (flèche vers le bas) pour trier les événements dans la colonne.

  4. Cliquez sur + Ajouter des colonnes.

  5. Sélectionnez une autre colonne dans la liste Puis par.

  6. Sélectionnez l’ordre de tri croissant (flèche vers le haut) ou décroissant (erreur vers le bas) pour trier les événements dans la colonne.

    Remarque

    Vous pouvez ajouter jusqu’à six colonnes pour effectuer le tri.

  7. Cliquez sur Apply.

  8. Si vous ne souhaitez pas appliquer les paramètres précédents, cliquez sur Annuler. Pour supprimer les valeurs des colonnes sélectionnées, cliquez sur Effacer tout.

L’exemple suivant montre un tri multi-colonnes sur les événements Contrôle d’accès. Les événements sont triés par temps (dans l’ordre le plus récent au plus ancien) puis par URL (par ordre alphabétique).

Tri multi-colonnes

Vous pouvez également effectuer un tri multi-colonnes à l’aide de la touche Maj. Appuyez sur la touche Maj et cliquez sur les en-têtes de colonne pour trier les événements utilisateur.

Comment enregistrer la recherche en libre-service

En tant qu’administrateur, vous pouvez enregistrer une requête en libre-service. Cette fonctionnalité permet d’économiser du temps et des efforts de réécriture de la requête que vous utilisez souvent pour l’analyse ou le dépannage. Les options suivantes sont enregistrées avec la requête :

  • Filtres de recherche appliqués
  • Source de données sélectionnée et durée

Effectuez les opérations suivantes pour enregistrer une requête en libre-service :

  1. Sélectionnez la source de données et la durée requises.

  2. Tapez une requête dans la barre de recherche.

  3. Appliquez les filtres requis.

  4. Cliquez sur Enregistrer la recherche.

  5. Spécifiez le nom pour enregistrer la requête personnalisée.

    Remarque

    Assurez-vous que le nom de la requête est unique. Sinon, la requête n’enregistre pas.

  6. Activez le bouton Planifier un rapport par e-mail si vous souhaitez envoyer une copie du rapport de requête de recherche à vous-même et à d’autres utilisateurs à intervalles réguliers. Pour de plus amples informations, consultez Planifier un e-mail pour une requête de recherche.

  7. Cliquez sur Enregistrer.

Pour afficher les recherches enregistrées :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Cliquez sur le nom de la requête de recherche.

Pour supprimer une recherche enregistrée :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Sélectionnez la requête de recherche que vous avez enregistrée.

  3. Cliquez sur Supprimer la recherche enregistrée.

Supprimer la recherche enregistrée

Pour modifier une recherche enregistrée :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Cliquez sur le nom de la requête de recherche que vous avez enregistrée.

  3. Modifiez la requête de recherche ou la sélection des facettes en fonction de vos besoins.

  4. Cliquez sur Mettre à jour la recherche > Enregistrer pour mettre à jour et enregistrer la recherche modifiée avec le même nom de requête de recherche.

  5. Si vous souhaitez enregistrer la recherche modifiée sous un nouveau nom, cliquez sur la flèche vers le bas, puis sur Enregistrer en tant que nouvelle recherche > Enregistrer sous.

Si vous remplacez la recherche par un nouveau nom, la recherche est enregistrée en tant que nouvelle entrée. Si vous conservez le nom de recherche existant lors du remplacement, les données de recherche modifiées remplacent les données de recherche existantes.

Remarque

  • Seul un propriétaire de requête peut modifier ou supprimer ses recherches enregistrées.
  • Vous pouvez copier l’adresse du lien de recherche enregistrée pour la partager avec un autre utilisateur.

Planifier un e-mail pour une requête de recherche

Vous pouvez envoyer une copie du rapport de requête de recherche à vous-même et à d’autres utilisateurs à intervalles réguliers en configurant un calendrier de remise des e-mails.

Cette option n’est disponible que si votre rapport de requête de recherche contient des données dans des formats visuels tels que des graphiques à barres ou des détails de la chronologie. Sinon, vous ne pouvez pas planifier une livraison d’e-mail. Par exemple, vous pouvez planifier un e-mail pour les sources de données telles que Virtual Apps and Desktops, Sessions, où vous voyez les données sous forme de détails de chronologie et de graphiques à barres. Pour les sources de données telles que les utilisateurs et les machines, les données sont uniquement présentées sous forme de tableau. Par conséquent, vous ne pouvez pas planifier un e-mail.

Planifier un e-mail tout en enregistrant une requête de recherche

Lors de l’enregistrement d’une requête de recherche, configurez un calendrier de remise des e-mails comme suit :

  1. Dans la boîte de dialogue Enregistrer la recherche, activez le bouton Planifier le rapport par e-mail .

    Planifier un e-mail

  2. Saisissez ou collez les adresses e-mail des destinataires.

    Remarque

    Les groupes de messagerie ne sont pas pris en charge.

  3. Définissez la date et l’heure de livraison de l’e-mail.

  4. Sélectionnez la fréquence de livraison : quotidienne, hebdomadaire ou mensuelle.

  5. Cliquez sur Enregistrer.

Planifier un e-mail pour une requête de recherche déjà enregistrée

Si vous souhaitez configurer un calendrier de remise des e-mails pour une requête de recherche que vous avez précédemment enregistrée, procédez comme suit :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Accédez à la requête de recherche que vous avez créée. Cliquez sur l’icône Envoyer cette requête par e-mail .

    Remarque

    Seul un propriétaire de requête peut programmer la livraison par e-mail de sa requête de recherche enregistrée.

    Requête par e-mail

  3. Activez le bouton Planifier le rapport par e-mail .

  4. Saisissez ou collez les adresses e-mail des destinataires.

    Remarque

    Les groupes de messagerie ne sont pas pris en charge.

  5. Définissez la date et l’heure de livraison de l’e-mail.

  6. Sélectionnez la fréquence de livraison : quotidienne, hebdomadaire ou mensuelle.

  7. Cliquez sur Enregistrer.

Arrêter un calendrier de livraison d’e-mails pour une requête de recherche

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Accédez à la requête de recherche que vous avez créée. Cliquez sur l’icône Afficher le calendrier de livraison des e-mails .

    Remarque

    Seul un propriétaire de requête peut arrêter la planification des e-mails de sa requête de recherche enregistrée.

    Arrêter le calendrier des

  3. Désactivez le bouton Planifier le rapport par e-mail .

  4. Cliquez sur Enregistrer.

Contenu des e-mails

Les destinataires reçoivent un e-mail de « Citrix Cloud - Notifications < donotreplynotifications@citrix.com > » concernant le rapport de requête de recherche. Le rapport est joint en tant que document PDF. L’e-mail est envoyé à un intervalle régulier défini par vous dans les paramètres du rapport de messagerie Schedule .

Le rapport de requête de recherche contient les informations suivantes :

  • La requête de recherche que vous avez spécifiée pour les événements de la période sélectionnée.

  • Les facettes (filtres) que vous avez appliquées aux événements.

  • Résumé visuel tel que les graphiques de chronologie, les graphiques à barres ou les graphiques des événements de recherche.