Citrix Analytics for Security

Recherche en libre-service

Qu’est-ce que la recherche en libre-service ?

La fonction de recherche en libre-service vous permet de rechercher et de filtrer les événements utilisateur reçus de vos sources de données. Vous pouvez explorer les événements utilisateur sous-jacents et leurs attributs. Ces événements vous aident à identifier les problèmes de données et à les résoudre. La page de recherche affiche différentes facettes (dimensions) et mesures pour une source de données. Vous pouvez définir votre requête de recherche et appliquer des filtres pour afficher les événements qui correspondent à vos critères définis. Par défaut, la page de recherche en libre-service affiche les événements utilisateur du dernier jour.

Actuellement, la fonction de recherche en libre-service est disponible pour les sources de données suivantes :

Vous pouvez également effectuer une recherche en libre-service sur les événements qui ont respecté vos stratégies définies. Pour plus d’informations, consultez la section Recherche en libre-service de stratégies.

Comment accéder à la recherche en libre-service

Vous pouvez accéder à la recherche en libre-service en utilisant les options suivantes :

  • Barre supérieure : cliquez sur Rechercher dans la barre supérieure pour afficher tous les événements utilisateur de la source de données sélectionnée.

  • Chronologie des risques sur une page de profil utilisateur : cliquez sur Recherche d’événements pour afficher les événements de l’utilisateur concerné.

Recherche en libre-service depuis la barre supérieure

Utilisez cette option pour accéder à la page de recherche en libre-service depuis n’importe quel endroit de l’interface utilisateur.

  1. Cliquez sur Rechercher pour afficher la page en libre-service.

    Recherche dans la barre supérieure

  2. Sélectionnez la source de données et la période pour afficher les événements correspondants.

    Page de recherche de la barre supérieure

Recherche en libre-service à partir de la chronologie des risques de l’utilisateur

Utilisez cette option si vous souhaitez afficher les événements utilisateur associés à un indicateur de risque.

Lorsque vous sélectionnez un indicateur de risque dans la chronologie d’un utilisateur, la section Informations sur l’indicateur de risque s’affiche dans le volet droit. Cliquez sur Recherche d’événements pour explorer les événements associés à l’utilisateur et à la source de données (pour laquelle l’indicateur de risque est déclenché) sur la page de recherche en libre-service.

Recherche dans la chronologie des risques

Pour plus d’informations sur la chronologie des risques utilisateur, voir Chronologie des risques.

Comment utiliser la recherche en libre-service

Utilisez les fonctionnalités suivantes sur la page de recherche en libre-service :

Utiliser les facettes pour filtrer les événements

Les facettes sont le résumé des points de données qui constituent un événement. Les facettes varient en fonction de la source de données. Par exemple, les facettes de la source de données Access Control sont la réputation, les actions, l’emplacement et le groupe de catégories. Alors que les facettes des Virtual Apps and Desktops sont le type d’événement, le domaine et la plate-forme.

Sélectionnez les facettes pour filtrer les résultats de votre recherche. Les facettes sélectionnées sont affichées sous forme de jetons.

Pour plus d’informations sur les facettes correspondant à chaque source de données, consultez l’article de recherche en libre-service pour la source de données mentionnée plus haut dans cet article.

Utiliser la requête de recherche dans la zone de recherche pour filtrer les événements

Lorsque vous placez le curseur dans la zone de recherche, la zone de recherche affiche une liste de dimensions en fonction des événements utilisateur. Ces dimensions varient en fonction de la source de données. Utilisez les dimensions et les opérateurs valides pour définir vos critères de recherche et rechercher les événements requis.

Par exemple, dans la recherche d’accès en libre-service, vous obtenez les dimensions suivantes pour les événements d’accès. Utilisez les dimensions pour taper votre requête, sélectionnez la période, puis cliquez sur Rechercher.

Requête de recherche

Opérateurs pris en charge dans la recherche

Utilisez les opérateurs suivants dans vos requêtes de recherche pour affiner vos résultats de recherche.

Opérateur Description Exemple Résultat
: Attribuez une valeur à une dimension de recherche. Nom d’utilisateur : John Affiche les événements de l’utilisateur John.
= Attribuez une valeur à une dimension de recherche. Nom d’utilisateur = John Affiche les événements de l’utilisateur John.
~ Recherchez des événements ayant des valeurs similaires. Nom d’utilisateur ~ test Affiche les événements ayant des noms d’utilisateur similaires.
”” Enclenchez les valeurs séparées par des espaces. Nom d’utilisateur = « John Smith » Affiche les événements de l’utilisateur John Smith.
<, > Recherchez la valeur relationnelle. Volume de données > 100 Affiche les événements dont le volume de données est supérieur à 100 Go.
ET Recherchez les événements pour lesquels les conditions spécifiées sont vraies. Nom d’utilisateur : Volume de données AND John > 100 Affiche les événements de l’utilisateur John dont le volume de données est supérieur à 100 Go.
!~ Vérifie les événements pour le modèle de correspondance que vous spécifiez. Cet opérateur NOT LIKE renvoie les événements qui ne contiennent pas le modèle correspondant dans la chaîne d’événements. Nom d’utilisateur ! ~ John Affiche les événements pour les utilisateurs, à l’exception de John, John Smith ou de tout autre utilisateur de ce type qui contient le nom correspondant « John ».
!= Vérifie les événements pour obtenir la chaîne exacte que vous spécifiez. Cet opérateur NOT EQUAL renvoie les événements qui ne contiennent pas la chaîne exacte n’importe où dans la chaîne d’événements. Country != USA Affiche les événements pour les pays, à l’exception des États-Unis.
* Recherchez les événements qui correspondent aux chaînes spécifiées. Actuellement, l’opérateur* n’est pris en charge qu’avec l’opérateur = et l’opérateur ! = opérateur. Les résultats de la recherche respectent la casse. Nom d’utilisateur = John* Affiche les événements pour tous les noms d’utilisateurs commençant par John.
    Nom d’utilisateur = *John* Affiche les événements de tous les noms d’utilisateurs contenant John.
    Nom d’utilisateur = *Smith Affiche les événements pour tous les noms d’utilisateurs qui se terminent par Smith.
    Nom d’utilisateur ! = John* Affiche les événements pour tous les noms d’utilisateurs qui ne commencent pas par John.
    Nom d’utilisateur ! = *Smith Affiche les événements pour tous les noms d’utilisateurs qui ne se terminent pas par Smith.
IN Attribuez plusieurs valeurs à une dimension de recherche pour obtenir les événements associés à une ou plusieurs valeurs. Remarque : Actuellement, vous pouvez utiliser cet opérateur avec les dimensions suivantes de Citrix Virtual Apps and Desktops- Device IDDomain, Event-Type, et User-Name. Cet opérateur s’applique uniquement aux valeurs de chaîne. Nom d’utilisateur IN (John, Kevin) Retrouvez tous les événements liés à John ou Kevin.
NOT IN Attribuez plusieurs valeurs à une dimension de recherche et recherchez les événements qui ne contiennent pas les valeurs spécifiées. Remarque : Actuellement, vous pouvez utiliser cet opérateur avec les dimensions suivantes de Citrix Virtual Apps and Desktops- Device IDDomain, Event-Type, et User-Name. Cet opérateur s’applique uniquement aux valeurs de chaîne. Nom d’utilisateur NON INSCRIT (John, Kevin) Trouvez les événements pour tous les utilisateurs, à l’exception de John et Kevin.
EST VIDE Vérifie la présence d’une valeur nulle ou vide pour une dimension. Cet opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-NameBrowser, et Country. Il ne fonctionne pas pour les dimensions de type non chaîne (nombre) telles que Upload-File-SizeDownload-File-Size, et Client-IP. Le pays EST VIDE Recherchez les événements pour lesquels le nom du pays n’est pas disponible ou est vide (non spécifié).
N’EST PAS VIDE Vérifie s’il n’y a pas de valeur nulle ou une valeur spécifique pour une dimension. Cet opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-NameBrowser, et Country. Il ne fonctionne pas pour les dimensions de type non chaîne (nombre) telles que Upload-File-SizeDownload-File-Size, et Client-IP. Le pays n’est pas vide Recherchez les événements pour lesquels le nom du pays est disponible ou spécifié.

Remarque

Pour l’opérateur NOT EQUAL, lorsque vous saisissez les valeurs des dimensions de votre requête, utilisez les valeurs exactes disponibles sur la page de recherche en libre-service d’une source de données. Les valeurs de dimension sont sensibles à la casse.

Pour plus d’informations sur la façon de spécifier votre requête de recherche pour la source de données, consultez l’article de recherche en libre-service de la source de données mentionné plus haut dans cet article.

Sélectionnez l’heure d’affichage de l’événement

Sélectionnez une heure prédéfinie ou saisissez une plage de temps personnalisée, puis cliquez sur Rechercher pour afficher les événements.

Sélection de l'heure

Afficher les détails de la chronologie

La chronologie fournit une représentation graphique des événements utilisateur pour la période sélectionnée. Déplacez les barres de sélection pour choisir la plage de temps et afficher les événements correspondant à la plage de temps sélectionnée.

La figure montre les détails de la chronologie des données d’accès.

Détails de la chronologie

Voir l’événement

Vous pouvez consulter les informations détaillées sur l’événement utilisateur. Dans le tableau DATA, cliquez sur la flèche de chaque colonne pour afficher les détails de l’événement utilisateur.

La figure montre les détails concernant les données d’accès de l’utilisateur.

Événements

Ajouter ou supprimer des colonnes

Vous pouvez ajouter ou supprimer des colonnes de la table d’événements pour afficher ou masquer les points de données correspondants. Procédez comme suit :

  1. Cliquez sur Ajouter ou supprimer des colonnes.

     Événements de mise

  2. Sélectionnez ou désélectionnez les éléments de données dans la liste, puis cliquez sur Mettre à jour.

    Colonnes Update

Si vous désélectionnez un point de données de la liste, la colonne correspondante est supprimée de la table des événements. Toutefois, vous pouvez afficher ce point de données en développant la ligne d’événement pour un utilisateur. Par exemple, lorsque vous désélectionnez le point de données TIME de la liste, la colonne TIME est supprimée de la table des événements. Pour afficher l’enregistrement de temps, développez la ligne d’événement d’un utilisateur.

Les attributs masqués

Exportez les événements dans un fichier CSV

Exportez les résultats de la recherche dans un fichier CSV et enregistrez-le pour référence. Cliquez sur Exporter au format CSV pour exporter les événements et télécharger le fichier CSV généré.

Exportation CSV

Résumé visuel de l’exportation

Vous pouvez télécharger le rapport de synthèse visuel de votre requête de recherche et en partager une copie avec d’autres utilisateurs, administrateurs ou votre équipe de direction.

Cliquez sur Exporter le résumé visuel pour télécharger le rapport de synthèse visuel au format PDF. Le rapport contient les informations suivantes :

  • La requête de recherche que vous avez spécifiée pour les événements de la période sélectionnée.

  • Les facettes (filtres) que vous avez appliquées aux événements pendant la période sélectionnée.

  • Le résumé visuel, tel que les graphiques chronologiques, les graphiques à barres ou les graphiques des événements de recherche pour la période sélectionnée.

Pour une source de données, vous pouvez télécharger le rapport de synthèse visuel uniquement si les données sont affichées dans des formats visuels tels que des graphiques à barres ou des détails de la chronologie. Sinon, cette option n’est pas disponible. Par exemple, vous pouvez télécharger le rapport récapitulatif visuel des sources de données telles que Virtual Apps and Desktops, Sessions, où les données sont affichées sous forme de détails de chronologie et de graphiques à barres. Pour les sources de données telles que Utilisateurs et Machines, les données s’affichent uniquement sous forme de tableau. Par conséquent, vous ne pouvez pas télécharger de rapport de synthèse visuel.

Résumé visuel de l'exportation

Tri multi-colonnes

Le tri aide à organiser vos données et offre une meilleure visibilité. Sur la page de recherche en libre-service, vous pouvez trier les événements utilisateur en fonction d’une ou de plusieurs colonnes. Les colonnes représentent les valeurs de divers éléments de données tels que le nom d’utilisateur, la date et l’heure et l’URL. Ces éléments de données varient en fonction des sources de données sélectionnées.

Pour effectuer un tri sur plusieurs colonnes, procédez comme suit :

  1. Cliquez sur Trier par.

    Trier par

  2. Sélectionnez une colonne dans la liste Trier par .

  3. Sélectionnez l’ordre de tri : croissant (flèche vers le haut) ou décroissant (flèche vers le bas) pour trier les événements de la colonne.

  4. Cliquez sur+Ajouter des colonnes.

  5. Sélectionnez une autre colonne dans la liste Then By .

  6. Sélectionnez l’ordre de tri : croissant (flèche vers le haut) ou décroissant (erreur vers le bas) pour trier les événements de la colonne.

    Remarque

    Vous pouvez ajouter jusqu’à six colonnes pour effectuer le tri.

  7. Cliquez sur Apply.

  8. Si vous ne souhaitez pas appliquer les paramètres précédents, cliquez sur Annuler. Pour supprimer les valeurs des colonnes sélectionnées, cliquez sur Effacer tout.

L’exemple suivant montre un tri sur plusieurs colonnes sur les événements de contrôle d’accès. Les événements sont triés par heure (du plus récent au plus ancien), puis par URL (par ordre alphabétique).

Tri multi-colonnes

Vous pouvez également effectuer un tri sur plusieurs colonnes à l’aide de la touche Maj . Appuyez sur la touche Maj et cliquez sur les en-têtes de colonne pour trier les événements utilisateur.

Comment sauvegarder la recherche en libre-service

En tant qu’administrateur, vous pouvez enregistrer une requête en libre-service. Cette fonctionnalité permet de gagner du temps et d’économiser les efforts liés à la réécriture de la requête que vous utilisez souvent à des fins d’analyse ou de dépannage. Les options suivantes sont enregistrées avec la requête :

  • Filtres de recherche appliqués
  • Source de données et durée sélectionnées

Pour enregistrer une requête en libre-service, procédez comme suit :

  1. Sélectionnez la source de données et la durée requises.

  2. Tapez une requête dans la barre de recherche.

  3. Appliquez les filtres requis.

  4. Cliquez sur Enregistrer la recherche.

  5. Spécifiez le nom pour enregistrer la requête personnalisée.

    Remarque

    Assurez-vous que le nom de la requête est unique. Sinon, la requête n’enregistre pas.

  6. Activez le bouton Planifier le rapport par e-mail si vous souhaitez envoyer une copie du rapport de requête de recherche à vous-même et à d’autres utilisateurs à intervalles réguliers. Pour plus d’informations, consultez la rubrique Planifier un e-mail pour une requête de recherche.

  7. Cliquez sur Enregistrer.

Pour afficher les recherches enregistrées, procédez comme suit :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Cliquez sur le nom de la requête de recherche.

Pour supprimer une recherche enregistrée :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Sélectionnez la requête de recherche que vous avez enregistrée.

  3. Cliquez sur Supprimer la recherche enregistrée.

Supprimer la recherche enregistrée

Pour modifier une recherche enregistrée :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Cliquez sur le nom de la requête de recherche que vous avez enregistrée.

  3. Modifiez la requête de recherche ou la sélection des facettes en fonction de vos besoins.

  4. Cliquez sur Mettre à jour la recherche > Enregistrer pour mettre à jour et enregistrer la recherche modifiée avec le même nom de requête de recherche.

  5. Si vous souhaitez enregistrer la recherche modifiée sous un nouveau nom, cliquez sur la flèche vers le bas, puis sur Enregistrer en tant que nouvelle recherche > Enregistrer sous.

Si vous remplacez la recherche par un nouveau nom, la recherche est enregistrée en tant que nouvelle entrée. Si vous conservez le nom de recherche existant lors du remplacement, les données de recherche modifiées remplacent les données de recherche existantes.

Remarque

  • Seul le propriétaire d’une requête peut modifier ou supprimer ses recherches enregistrées.
  • Vous pouvez copier l’adresse du lien de recherche enregistrée pour la partager avec un autre utilisateur.

Planifier un e-mail pour une requête de recherche

Vous pouvez envoyer une copie du rapport de requête de recherche à vous et à d’autres utilisateurs à intervalles réguliers en configurant un calendrier de remise des e-mails.

Cette option n’est disponible que si votre rapport de requête de recherche contient des données dans des formats visuels tels que des graphiques à barres et des détails de la chronologie. Sinon, vous ne pouvez pas planifier la livraison d’un e-mail. Par exemple, vous pouvez planifier un e-mail pour les sources de données telles que Virtual Apps and Desktops, Sessions, où les données sont affichées sous forme de détails de chronologie et de graphiques à barres. Pour les sources de données telles que Utilisateurs et Machines, les données s’affichent uniquement sous forme de tableau. Par conséquent, vous ne pouvez pas programmer un e-mail.

Planifier un e-mail lors de l’enregistrement d’une requête de recherche

Lors de l’enregistrement d’une requête de recherche, configurez un calendrier de remise des e-mails comme suit :

  1. Dans la boîte de dialogue Enregistrer la recherche, activez le bouton Planifier le rapport par e-mail .

    Planifier le

  2. Entrez ou collez les adresses e-mail des destinataires.

    Remarque

    Les groupes de messagerie ne sont pas pris en charge.

  3. Définissez la date et l’heure de la livraison de l’e-mail.

  4. Sélectionnez la fréquence de livraison : quotidienne, hebdomadaire ou mensuelle.

  5. Cliquez sur Enregistrer.

Planifier un e-mail pour une requête de recherche déjà enregistrée

Si vous souhaitez définir un calendrier de remise des e-mails pour une requête de recherche que vous avez précédemment enregistrée, procédez comme suit :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Accédez à la requête de recherche que vous avez créée. Cliquez sur l’icône Envoyer cette requête par e-mail .

    Remarque

    Seul le propriétaire d’une requête peut planifier la livraison par e-mail de sa requête de recherche enregistrée.

    Requête par e-mail

  3. Activez le bouton Planifier le rapport par e-mail .

  4. Entrez ou collez les adresses e-mail des destinataires.

    Remarque

    Les groupes de messagerie ne sont pas pris en charge.

  5. Définissez la date et l’heure de la livraison de l’e-mail.

  6. Sélectionnez la fréquence de livraison : quotidienne, hebdomadaire ou mensuelle.

  7. Cliquez sur Enregistrer.

Arrêter le calendrier de livraison d’un e-mail pour une requête de recherche

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Accédez à la requête de recherche que vous avez créée. Cliquez sur l’icône Afficher le calendrier de livraison des e-mails .

    Remarque

    Seul le propriétaire d’une requête peut arrêter la planification des e-mails de sa requête de recherche enregistrée.

    Arrêter la planification des

  3. Désactivez le bouton Planifier le rapport par e-mail .

  4. Cliquez sur Enregistrer.

Contenu de l’e-mail

Les destinataires reçoivent un e-mail de « Citrix Cloud - Notifications < donotreplynotifications@citrix.com > » concernant le rapport de requête de recherche. Le rapport est joint en tant que document PDF. L’e-mail est envoyé à un intervalle régulier défini par vous dans les paramètres du rapport Planifier les e-mails .

Le rapport sur les requêtes de recherche contient les informations suivantes :

  • La requête de recherche que vous avez spécifiée pour les événements de la période sélectionnée.

  • Les facettes (filtres) que vous avez appliquées aux événements.

  • Le résumé visuel, tel que les graphiques chronologiques, les graphiques à barres ou les graphiques des événements de recherche.