Citrix Analytics for Security

Recherche en libre-service pour Gateway

Utilisez la fonction de recherche en libre-service pour obtenir des informations sur les événements utilisateur reçus de la source de données Citrix Gateway. Lorsque les utilisateurs accèdent à leurs ressources réseau, telles que des serveurs de fichiers, des applications, des sites Web via Citrix Gateway, des événements tels que le stade d’authentification, le type d’autorisation et le code de session VPN sont générés pour chaque connexion utilisateur. Citrix Analytics for Security reçoit ces événements et les affiche sur la page de recherche en libre-service. Vous pouvez afficher les utilisateurs et leurs détails d’accès.

Pour plus d’informations sur les fonctionnalités de recherche, reportez-vous à la section Recherche en libre-service.

Sélectionnez la source de données Gateway

Pour afficher les événements de la passerelle, dans la zone de recherche, sélectionnez Passerelle dans la liste. Sélectionnez la période pour laquelle vous souhaitez afficher les événements, puis cliquez sur Rechercher.

Sélectionner les données de Gateway

Par défaut, la page libre-service affiche les événements du dernier mois. La page vous fournit également plusieurs facettes et un champ de recherche pour filtrer et se concentrer sur les événements requis.

Page Présentation de Gateway

Remarque

Vous pouvez également accéder à la page Recherche en libre-service de passerelle à partir du tableau de bord Sécurité > Utilisateurs > Récapitulatif des accès. Dans les scénarios de connexion réussis, vous pouvez accéder aux données par le code d’état. Pour plus d’informations, consultez le tableau de bord Récapitulatif des accès.

Utiliser les facettes pour filtrer les événements

Les facettes sont classées en fonction des événements reçus de votre source de données. Utilisez les facettes suivantes pour filtrer vos événements :

Facettes de passerelle

  • Authentication Stage- Recherchez des événements basés sur différentes étapes de l’authentification du client, telles que primaire, secondaire et tertiaire.

  • Type d’authentification- Recherchez les événements basés sur les types d’authentification client tels que Local, RADIUS, LDAP, TACACS, authentification par certificat client, y compris l’authentification par carte à puce.

  • Agent de périphériques- Recherchez des événements basés sur les périphériques clients tels que iPhone, iPad, Windows Mobile.

  • Type d’événement- Recherchez les événements en fonction des types d’enregistrements VPN. Les types d’enregistrements VPN suivants sont disponibles :

    Type d’enregistrement Nom de l’enregistrement
    VPN_AI Enregistrement d’authentification
    VPN_SU Enregistrement de mise à jour de session
    VPN_ST Enregistrement de déconnexion de session
    VPN_AF Enregistrement d’échec du lancement de l’application
  • Navigateur- Rechercher des événements basés sur les navigateurs tels que Internet Explorer, Chrome, Firefox, Safari.

  • OS- Rechercher des événements basés sur les systèmes d’exploitation client tels que Windows, Mac, Linux, Android, iOS.

  • Code d’état- Rechercher des événements basés sur les codes d’état VPN tels que l’échec de la réponse de redirection SSL, l’échec de l’autorisation, l’échec de l’authentification unique.

  • État de la session- Rechercher des événements basés sur les états de session VPN tels que l’état du client, l’état d’autorisation, l’état SSO, la mise à jour de la bande passante de l’application.

  • Mode session- Rechercher des événements basés sur les modes de session VPN tels que tunnel complet, proxy ICA, sans client.

  • Méthode d’authentification SSO- Recherche d’événements basés sur différentes méthodes d’authentification unique telles que base, digest, NTLM, Kerberos, AG basique, SSO basé sur le formulaire.

  • Mode de déconnexion- Rechercher des événements basés sur les modes de déconnexion VPN tels que la déconnexion d’erreur interne, le délai de déconnexion de session, la déconnexion initiée par l’utilisateur, la session terminée par l’administrateur.

La figure suivante montre les événements utilisateur où l’étape d’authentification client est principale et le type d’enregistrement est l’authentification.

Sélection de facettes de passerelle

Spécifier la requête de recherche pour filtrer les événements

Placez votre curseur dans la zone de recherche pour afficher la liste des dimensions des événements Gateway. Utilisez les dimensions et les opérateurs pour spécifier votre requête et rechercher les événements requis.

Liste des dimensions de passerelle

Par exemple, vous voulez afficher les événements pour un utilisateur « ns133 » où le code d’état VPN est « connexion réussie ».

  1. Entrez « utilisateur » dans la zone de recherche pour choisir la dimension associée.

    Requête de recherche de passerelle 1

  2. Sélectionnez User-Name et entrez la valeur « ns133 » en utilisant l’opérateur égal.

    Requête de recherche de passerelle 2

    Requête de recherche de passerelle 3

  3. Sélectionnez l’opérateur AND, puis sélectionnez la dimension Code d’état. Entrez la chaîne « Connexion réussie » pour le code d’état en utilisant l’opérateur égal.

    Requête de recherche de passerelle 4

    Pour identifier les valeurs de chaîne possibles pour le Code d’état, développez la liste des filtres Code d’étatet utilisez le nom du filtre comme chaîne dans votre requête de recherche.

    Valeurs du code d'état

  4. Sélectionnez la période et cliquez sur Rechercher pour afficher les événements dans la table DATA.

Recherche en libre-service pour Gateway