Citrix Analytics for Security

Recherche en libre-service pour Gateway

Utilisez la fonction de recherche en libre-service pour obtenir des informations sur les événements utilisateur reçus de la source de données Citrix Gateway. Lorsque les utilisateurs accèdent à leurs ressources réseau telles que des serveurs de fichiers, des applications et des sites Web via Citrix Gateway, des événements sont générés pour chaque connexion utilisateur. Certains exemples d’événements utilisateur sont tels que l’étape d’authentification, le type d’autorisation et le code de session VPN. Citrix Analytics for Security reçoit ces événements et les affiche sur la page de recherche en libre-service. Vous pouvez afficher les utilisateurs et leurs détails d’accès.

Pour plus d’informations sur les fonctionnalités de recherche, reportez-vous à la section Recherche en libre-service.

Sélectionnez la source de données Gateway

Pour afficher les événements de la passerelle, dans la zone de recherche, sélectionnez Passerelle dans la liste. Sélectionnez la période pour laquelle vous souhaitez afficher les événements, puis cliquez sur Rechercher.

Sélectionner une source de données de passerelle

Par défaut, la page libre-service affiche les événements du dernier mois. La page vous fournit également plusieurs facettes et un champ de recherche pour filtrer et se concentrer sur les événements requis.

Page Présentation de Gateway

Remarque

Vous pouvez également accéder à la page Recherche en libre-service de passerelle à partir du tableau de bord Sécurité > Utilisateurs > Récapitulatif des accès. Dans les scénarios de connexion réussis, vous pouvez accéder aux données par le code d’état. Pour plus d’informations, consultez le tableau de bord Récapitulatif des accès.

Utiliser les facettes pour filtrer les événements

Les facettes sont classées en fonction des événements reçus de votre source de données. Utilisez les facettes suivantes pour filtrer vos événements :

Facettes de passerelle

  • Authentication Stage- Recherchez des événements basés sur différentes étapes de l’authentification du client, telles que primaire, secondaire et tertiaire.

  • Type d’authentification- Recherchez les événements basés sur les types d’authentification client tels que Local, RADIUS, LDAP, TACACS, authentification par certificat client, y compris l’authentification par carte à puce.

  • Agent de périphériques- Recherchez des événements basés sur les périphériques clients tels que iPhone, iPad, Windows Mobile.

  • Type d’enregistrement : recherchez des événements en fonction des types d’enregistrements VPN. Les types d’enregistrements VPN suivants sont disponibles :

    Type d’enregistrement Description
    VPN_AI Filtre les événements utilisateur liés à l’authentification.
    VPN_IF Filtre les événements utilisateur liés au fichier ICA.
    VPN_ST Filtre les événements utilisateur liés à la déconnexion de session.
  • Navigateur- Rechercher des événements basés sur les navigateurs tels que Internet Explorer, Chrome, Firefox, Safari.

  • OS- Rechercher des événements basés sur les systèmes d’exploitation client tels que Windows, Mac, Linux, Android, iOS.

  • Code d’état- Rechercher des événements basés sur les codes d’état VPN tels que l’échec de la réponse de redirection SSL, l’échec de l’autorisation, l’échec de l’authentification unique.

  • État de la session- Rechercher des événements basés sur les états de session VPN tels que l’état du client, l’état d’autorisation, l’état SSO, la mise à jour de la bande passante de l’application.

  • Mode session- Rechercher des événements basés sur les modes de session VPN tels que tunnel complet, proxy ICA, sans client.

  • Méthode d’authentification SSO- Recherche d’événements basés sur différentes méthodes d’authentification unique telles que base, digest, NTLM, Kerberos, AG basique, SSO basé sur le formulaire.

  • Mode de déconnexion- Rechercher des événements basés sur les modes de déconnexion VPN tels que la déconnexion d’erreur interne, le délai de déconnexion de session, la déconnexion initiée par l’utilisateur, la session terminée par l’administrateur.

Spécifier la requête de recherche pour filtrer les événements

Placez votre curseur dans la zone de recherche pour afficher la liste des dimensions des événements Gateway. Utilisez les dimensions et les opérateurs pour spécifier votre requête et rechercher les événements requis.

Liste des dimensions de passerelle

Par exemple, vous souhaitez afficher les événements d’un utilisateur « ns133 » pour lesquels le code d’état VPN est « connexion réussie ».

  1. Saisissez « utilisateur » dans la zone de recherche pour choisir la dimension associée.

    Requête de recherche de passerelle 1

  2. Sélectionnez Nom d’utilisateur et entrez la valeur « ns133 » à l’aide de l’opérateur égal.

    Requête de recherche de passerelle 2

    Requête de recherche de passerelle 3

  3. Sélectionnez l’opérateur AND, puis sélectionnez la dimension Code d’état. Entrez la chaîne « Connexion réussie » pour le code d’état en utilisant l’opérateur égal.

    Requête de recherche de passerelle 4

    Pour identifier les valeurs de chaîne possibles pour le Code d’état, développez la liste des filtres Code d’étatet utilisez le nom du filtre comme chaîne dans votre requête de recherche.

    Valeurs du code d'état

  4. Sélectionnez la période et cliquez sur Rechercher pour afficher les événements dans la table DATA.

Valeurs prises en charge pour votre requête de recherche

Entrez les valeurs suivantes pour les dimensions afin de définir votre requête de recherche.

Drapeaux Access Insight

Indique les états de la session VPN. Entrez l’une des valeurs d’indicateur suivantes :

État de la session VPN Valeur du drapeau
Préauthentification 2
Dernier ou dernier état de l’authentification NFactor (multifacteur) 1
Après authentification 4

Remarque

Cet indicateur s’applique uniquement aux états de session VPN précédents pour les événements d’authentification. Pour tous les autres événements, la valeur de l’indicateur est nulle.

Applications - Consommation d’octets

Pour la Applications-Byte-Consumption dimension, entrez la valeur suivante :

Valeur Type Description
Exemples : 40, 100 Nombre Données (en octets) consommées par l’application que vous utilisez.

Authentification-Servers-IP

Pour la Authentication-Servers-IP dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xx.xx Chaîne Adresse IP du serveur d’authentification.

Étape d’authentification

Pour la Authentication-Stage dimension, entrez la valeur suivante :

Valeur Type Description
PrimarySecondary, ou Tertiary Chaîne Différentes étapes de l’authentification client.

Type d’authentification

Pour la Authentication-Type dimension, entrez la valeur suivante :

Valeur Type Description
LDAP,SAML, Local, RadiusTACACS, SAMLIDP, ou OTP. Chaîne Authentifiez vos utilisateurs via l’une des méthodes disponibles.

Nom du serveur principal

Pour la Backend-Server-Name dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xxx.xx Chaîne Adresse IP du serveur principal.

Pour la Browser dimension, entrez la valeur suivante :

Valeur Type Description
PN Agent, EdgeFirefox, Chrome, ou Safari. Chaîne Navigateur utilisé.

Ville

Pour la City dimension, entrez la valeur suivante :

Valeur Type Description
Exemples : Boston, Beijing Chaîne Ville à partir de laquelle l’utilisateur s’est connecté.

Client-IP

Pour la Client-IP dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xxx.xx Chaîne Adresse IP de la machine utilisateur.

Type IP client

Pour la Client-IP-Type dimension, entrez la valeur suivante :

Valeur Type Description
public, privé Chaîne Indique si l’adresse IP de l’utilisateur est publique ou privée.

Remarque

Les valeurs sont sensibles à la casse. Entrez les valeurs en minuscules.

Port client

Pour la Client-Port dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 45334 Nombre Numéro de port de la machine utilisateur.

Pays

Pour la Country dimension, entrez la valeur suivante :

Valeur Type Description
Exemples : United States, India Chaîne Pays depuis lequel l’utilisateur s’est connecté.

Remarque

Placez la valeur dans « » si la valeur contient des espaces. Exemple : Country = « États-Unis ».

Type d’événement

Pour la Event-Type dimension, entrez la valeur suivante :

Valeur Type Description
Authentification, fichier ICA, déconnexion de session Chaîne Type d’événements utilisateur.

FQDN de passerelle

Pour la Gateway-FQDN dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : Gateway-test Chaîne Nom de domaine de votre Citrix Gateway.

IP de passerelle

Pour la Gateway-IP dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xxx.xx Chaîne Adresse IP de votre Citrix Gateway.

Port de passerelle

Pour la Gateway-Port dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 443 Chaîne Numéro de port de votre Citrix Gateway.

Mode déconnexion

Pour la Logout-Mode dimension, entrez la valeur suivante :

Valeur Type Description
"Internal error", "Inactive time out""User initiated logout", ou "Administrator killed session". Chaîne Raison du délai d’expiration ou de la fin de la session VPN.

Remarque

Placez la valeur dans « » si la valeur contient des espaces. Exemple : Mode déconnexion = "Internal error".

NetScaler-IP

Pour la NetScaler-IP dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xx.xx Chaîne Adresse IP de votre appliance Citrix ADC.

OS

Pour la OS dimension, entrez la valeur suivante :

Valeur Type Description
Exemples : MAC_OS, WINDOWS Chaîne Système d’exploitation de la machine utilisateur.

Type d’enregistrement

Pour la Record Type dimension, entrez la valeur suivante :

Valeur Type Description
VPN_AI Chaîne Indique les événements utilisateur liés à l’authentification.
VPN_IF Chaîne Indique les événements utilisateur liés au fichier ICA.
VPN_ST Chaîne Indique les événements utilisateur liés à la déconnexion de session.

Méthode d’authentification SSO

Pour la SSO-Authentication-Method dimension, entrez la valeur suivante :

Valeur Type Description
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASICNSAUTH_NEGOTIATE, NSAUTH_NTLM, ou NSAUTH_BASIC. Chaîne Différentes méthodes d’authentification par authentification unique.

IP serveur

Pour la Server-IP dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 10.xx.xxx.xx Chaîne Adresse IP du serveur principal.

Port serveur

Pour la Server-Port dimension, entrez la valeur suivante :

Valeur Type Description
Exemple : 47054 Nombre Numéro de port du serveur principal.

État de la session

Pour la Session-State dimension, entrez la valeur suivante :

Valeur Type Description
"Set Client State", "Authorization State""SSO State", et "Application Bandwidth Update" Chaîne État de la session VPN.

Remarque

Placez la valeur dans « » si la valeur contient des espaces. Exemple : Session-State = "Set Client State".

Code d’état

Pour la Status-Code dimension, entrez la valeur suivante :

Valeur Type Description
"Successful login", "Invalid credentials passed", "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached" Chaîne Le code d’état du VPN.

Remarque

Placez la valeur dans « » si la valeur contient des espaces. Exemple : Code de session = "Successful login".

Agent utilisateur

Pour la User-Agent dimension, entrez la valeur suivante :

Valeur Type Description
IPHONEIPAD, ou WINPHONE Chaîne L’agent ou l’appareil utilisé pour accéder au VPN.

ID de session VPN

Pour la VPN-Session-ID dimension, entrez la valeur suivante :

Valeur Type Description
c2c290c61dfe4e07247bde1e22142a12 Chaîne ID de session attribué par le serveur pour la session VPN d’un utilisateur.

Mode session VPN

Pour la VPN-Session-Mode dimension, entrez la valeur suivante :

Valeur Type Description
"Full Tunnel""ICA Proxy", ou Clientless Chaîne Différents modes de session VPN d’un utilisateur.

Remarque

Placez la valeur dans « » si la valeur contient des espaces. Exemple : Code de session = "Full Tunnel".

Recherche en libre-service pour Gateway