Citrix Analytics for Security

Tableaux de bord Citrix Analytics dans Splunk

Remarque

Ces tableaux de bord sont en aperçu.

Conditions préalables

Pour utiliser les tableaux de bord Citrix Analytics suivants, vérifiez que vous avez déjà configuré et configuré l’ application Citrix Analytics pour Splunk.

Aperçu du score de risque utilisateur

Ce tableau de bord fournit une vue consolidée des utilisateurs à risque de votre organisation. Les utilisateurs sont classés en fonction des niveaux de risque : élevé, moyen et faible. Les niveaux de risque sont basés sur les anomalies des activités de l’utilisateur et, par conséquent, un score de risque est attribué. Pour plus d’informations sur les types d’utilisateurs à risque, consultez le tableau de bord Utilisateurs.

Pour afficher ce tableau de bord, cliquez sur Citrix Analytics- Tableaux de bord > Citrix Analytics- Aperçu des scores de risque utilisateur.

Liste déroulante Aperçu du score de risque

Sélectionnez une plage de temps prédéfinie ou une plage de temps personnalisée pour afficher la chronologie des utilisateurs à risque et leurs détails.

Tableau de bord de l'aperçu du score de risque 1

Le tableau Utilisateurs risqués fournit les informations suivantes :

  • Utilisateur : indique le nom d’utilisateur. Cliquez sur un nom d’utilisateur pour afficher les détails du comportement risqué de l’utilisateur dans le tableau de bord Citrix Analytics - Détails de l’entité.

  • Risques de points de terminaison compromis détectés : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur qui appartiennent à la catégorie de risque des points de terminaison compromis.

  • Risques détectés par les utilisateurs compromis : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur appartenant à la catégorie de risque des utilisateurs compromis.

  • Risques d’exfiltration de données détectés : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur qui appartiennent à la catégorie de risque d’exfiltration de données.

  • Risques de menaces internes détectés : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur qui appartiennent à la catégorie de risque de menaces internes.

  • Score de risque : indique le score de risque de l’utilisateur.

Vous pouvez également rechercher un utilisateur par son nom d’utilisateur et obtenir les informations requises.

Pour plus d’informations, consultez la section Catégories de risques.

Liste des utilisateurs risqués

Aperçu des indicateurs de risque

Le tableau de bord fournit une vue consolidée des indicateurs de risque déclenchés par les utilisateurs de votre organisation.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Vue d’ensemble des indicateurs de risque.

Menu de présentation des indicateurs de risque

Sélectionnez une catégorie pour afficher le rapport

Recherchez les indicateurs de risque en sélectionnant une ou plusieurs catégories :

  • Période : sélectionnez uneplagede temps prédéfinie ou une plage de temps personnalisée pour afficher les indicateurs de risque déclenchés pour cette période.

  • Type d’indicateur de risque : sélectionnez le type d’indicateur de risque : intégré ou personnalisé.

  • Type d’entité : sélectionnez l’utilisateur ou l’ID de partage pour afficher les indicateurs de risque associés. Les ID de partage sont associés uniquement aux indicateurs de risque Citrix Content Collaboration.

  • Groupe : sélectionnez un critère pour regrouper les événements utilisateur par source de données, catégorie d’indicateur, nom d’indicateur, type d’indicateur ou type d’entité, et affichez les indicateurs de risque associés.

    Catégories d'aperçu des indicateurs de risque

Afficher le rapport

Utilisez les rapports suivants pour afficher des détails sur les indicateurs de risque en sélectionnant une ou plusieurs catégories :

  • Nombre d’indicateurs de risque déclenchés : affiche le nombre d’indicateurs de risque déclenchés pour la période sélectionnée. Utilisez ce rapport pour identifier le schéma et les domaines d’activités à risque. Identifiez également les activités les plus risquées de votre organisation.

  • Nombre total et distinct d’événements d’indicateurs de risque : affiche le total des événements et les événements uniques correspondant à un indicateur de risque. Utilisez ce rapport pour identifier les occurrences de chaque indicateur de risque et les principaux indicateurs de risque de votre organisation. Vous pouvez également identifier le nombre d’utilisateurs uniques qui ont déclenché un indicateur de risque particulier et vérifier si l’indicateur de risque est déclenché par un groupe d’utilisateurs plus important ou plus petit.

  • Indicateurs de risque par emplacement : affiche le nombre d’indicateurs de risque déclenchés par les utilisateurs sur tous les sites. Utilisez ce rapport pour identifier les sites qui présentent les activités les plus risquées et vérifier si les sites se trouvent en dehors de la zone d’opérations de votre organisation.

  • Détails de l’indicateur de risque : affiche les détails de l’indicateur de risque, tels que la source de données associée, la catégorie d’indicateur, le type d’indicateur et le nombre d’occurrences.

Rapports d'aperçu des indicateurs de risque 1

Rapports d'aperçu des indicateurs de risque 2

Détails de l’indicateur de risque

Le tableau de bord fournit des informations détaillées sur les indicateurs de risque intégrés et personnalisés déclenchés par les utilisateurs. Pour plus d’informations, consultez les sections Indicateurs de risque utilisateur Citrix et Indicateursde risque personnalisés.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Détails de l’indicateur de risque.

Sélection des détails de l'indicateur de risque

Sélectionnez une catégorie pour afficher les rapports

Affichez les détails des indicateurs de risque en sélectionnant une ou plusieurs catégories :

  • Période : sélectionnez une plage de temps prédéfinie ou une plage de temps personnalisée pour afficher les détails des indicateurs de risque déclenchés pour cette période.

  • Type d’entité : sélectionnez l’utilisateur ou l’ID de partage pour afficher les détails des indicateurs de risque associés.

  • Type d’indicateur de risque : sélectionnez le type d’indicateur de risque intégré ou personnalisé pour afficher ses détails.

  • Source de données : sélectionnez la source de données pour afficher les détails des indicateurs de risque associés.

  • Catégorie d’indicateurs de risque- Sélectionnez la catégorie de risque pour afficher les détails des indicateurs de risque associés.

  • Indicateur de risque- Sélectionnez l’indicateur de risque pour afficher ses détails.

Afficher les rapports

Par exemple, dans la liste Sélectionner un indicateur de risque, sélectionnez Échec d’authentification inhabituel (Citrix Content Collaboration), cliquez sur Soumettreet affichez les informations suivantes :

  • 10 principaux utilisateurs ou identifiants de partage associés à l’indicateur de risque

  • Des détails sur l’indicateur de risque, tels que

    • Date et heure du déclenchement

    • Source de données associée

    • Catégorie de risque associée

    • ID d’entité et type d’entité associés (utilisateur ou partage)

    • Gravité du risque élevée, moyenne ou faible

    • Probabilité de risque de l’événement utilisateur

    • Identité unique de l’indicateur de risque (UUID)

      Top 10 des entités

Dans Top 10 des entités par indicateurs de risque, cliquez sur une entité pour afficher ses détails dans le tableau de bord Citrix Analytics - Détails de l’entité .

Détails de l'indicateur de risque

Cliquez sur chaque ligne du tableau Détails de l’indicateur de risque pour afficher le résumé des événements, les détails des événements et les événements bruts de l’indicateur de risque sélectionné.

Dans la section Résumé des événements de l’indicateur de risque, cliquez sur le lien de l’interface utilisateur de Citrix Analytics pour accéder directement à la chronologie utilisateur de Citrix Analytics for Security depuis votre Splunk. Sur la chronologie de l’utilisateur, affichez l’indicateur de risque, les événements associés et toutes les actions appliquées à l’utilisateur.

Pour plus d’informations sur le résumé des événements et les détails des événements, consultez la section Format de données Citrix Analytics pour SIEM.

Détails du résumé de l'événement

Détails de l’entité

Utilisez le tableau de bord pour afficher les détails d’une entité (ID utilisateur ou partage) et de son comportement à risque.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Détails de l’entité.

Sélection des détails de l'événement

Afficher le rapport

Entrez une période et l’entité (nom d’utilisateur ou ID de partage), puis cliquez sur Soumettre pour afficher les informations détaillées.

Vous pouvez également afficher les informations détaillées sur une entité à partir des tableaux de bord suivants :

  • Dans Citrix Analytics - Détails des indicateurs de risque, accédez à Top 10 Entities by Risk Indicators, puis cliquez sur une entité.

    Vue Entité

  • Dans Citrix Analytics - Vue d’ensemble du score de risque, accédez à Utilisateurs risqués, puis cliquez sur un nom d’utilisateur.

    Sélection du nom d'utilisateur

Les informations détaillées suivantes sont affichées :

  • Score de risque actuel et chronologie du score de risque pour la période sélectionnée.

  • Distribution en pourcentage des indicateurs de risque. Vous aide à analyser le schéma des activités à risque de l’entité.

  • Distribution géographique des indicateurs de risque. Vous aide à identifier les lieux inhabituels et à haut risque.

  • Détails de l’adresse IP du client associés aux activités à risque.

  • Détails de l’appareil utilisateur associés aux activités à risque.

  • Détails des indicateurs de risque tels que la source de données associée, la catégorie de risque, la gravité du risque, etc.

  • Mesures d’utilisation telles que l’utilisation des applications, l’utilisation de l’appareil, l’emplacement auquel vous accédez, les fichiers partagés, etc.

    Vue détaillée de l'entité 1

    Vue détaillée de l'entité 2

Corrélez les adresses IP clientes et les appareils utilisateur associés aux activités à risque avec les événements collectés à partir d’autres sources de sécurité connectées à votre Splunk. Par exemple, cliquez sur une ligne de la table Client IP Details .

Détails de l'adresse IP client

Dans le tableau de bord Citrix Analytics Event Corrélation, vous pouvez afficher les événements associés à l’adresse IP client sélectionnée qui sont corrélés à partir de vos autres sources de données de sécurité (en fonction de l’index et du type de source). Ces événements fournissent des informations plus approfondies sur les activités malveillantes associées à l’adresse IP du client.

Tableau de bord de corrélation des événements

Vue d’ensemble du profil utilisateur

Utilisez le tableau de bord pour afficher les mesures d’événements associées aux utilisateurs de votre organisation.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Vue d’ensemble du profil utilisateur.

Sélection de l'aperçu du profil utilisateur

Afficher les événements

Sélectionnez une plage de temps et affichez les mesures suivantes :

  • 10 applications les plus utilisées par les utilisateurs

  • Les 10 principaux appareils utilisés par les utilisateurs

  • Top 10 des emplacements utilisés par les utilisateurs

  • Nombre d’applications Web et SaaS utilisées

  • Nombre d’appareils utilisés

  • Nombre d’utilisateurs ayant accédé à différents emplacements

  • Mesures d’utilisation des données telles que les fichiers téléchargés, téléchargés et partagés

Ces mesures vous fournissent des informations sur les activités des utilisateurs au sein de votre organisation. Vous pouvez identifier les principales applications et appareils, les modèles d’utilisation, les appareils et applications non conformes, les emplacements inhabituels, les accès à risque et les activités de fichiers inhabituelles.

Vue d'ensemble du profil utilisateur

Événements reçus

Utilisez le tableau de bord pour afficher les événements reçus de Citrix Analytics for Security. Un événement indique un type d’activité utilisateur.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Événements reçus.

Sélection des événements reçus

Afficher les rapports

Sélectionnez une plage de temps pour afficher et comparer les différents types d’événements reçus. Le tableau de bord fournit les informations suivantes :

  • Nombre total d’événements reçus : il s’agit de l’agrégat de tous les événements reçus de Citrix Analytics for Security, qui comprend les éléments suivants :

    • Événements d’indicateur de risque total : indique les événements associés aux indicateurs de risque déclenchés par les utilisateurs.

    • Événements détaillés de l’indicateur de risque total : indique les événements associés aux détails des indicateurs de risque déclenchés.

    • Événements de modification du score de risque total : indique les événements associés à la modification du score de risque des utilisateurs.

    • Total des événements de score de risque du profil utilisateur : indique les événements associés aux scores de risque des utilisateurs.

    • Nombre total d’événements d’application de profil utilisateur : indique les événements associés aux applications utilisées par les utilisateurs.

    • Nombre total d’événements d’appareils de profil utilisateur : indique les événements associés aux terminaux utilisés par les utilisateurs.

    • Nombre total d’événements d’utilisation des données de profil utilisateur : indique les événements associés à l’utilisation des données par les utilisateurs.

    • Nombre total d’événements d’emplacement de profil utilisateur : indique les événements associés aux emplacements auxquels les utilisateurs ont accédé.

      Tableau de bord des événements reçus

Exemple de corrélation d’événements

Utilisez le tableau de bord pour mettre en corrélation les événements reçus de Citrix Analytics for Security avec les événements collectés à partir d’autres sources de données de sécurité configurées dans votre Splunk. Vous obtenez des informations plus approfondies sur les activités risquées des utilisateurs collectées à partir de plusieurs sources de données, trouvez les relations entre les événements et identifiez les menaces éventuelles.

Pour afficher le tableau de bord, cliquez sur Corrélation SIEM - Exemples de tableaux de bord > Corrélation des événements Citrix Analytics.

Sélection de corrélation d'événements

Conditions préalables

Pour effectuer une corrélation, vérifiez les points suivants :

  • Vous devez disposer d’événements provenant de vos autres sources de données de sécurité pour pouvoir établir une corrélation. Par exemple, les événements associés aux utilisateurs, aux appareils et aux adresses IP des clients reçus d’autres sources de données configurées dans votre Splunk.

  • Vous devez disposer d’un index de corrélation déjà défini lors de la configuration.

Corrélez les événements

Vous pouvez afficher les entités les plus risquées et les adresses IP les plus risquées détectées par Citrix Analytics for Security. Pour mettre en corrélation ces événements avec d’autres sources de données (définies dans l’index et le type de source), cliquez sur une entité ou une adresse IP dans les tables.

Événements les plus risqués

La valeur d’index affichée dans le champ de requête est définie lors de la configuration de l’application. Vous pouvez modifier la valeur de l’index en une autre source de données de sécurité en fonction de vos besoins.

Événements provenant d'autres sources de données

Dépannage en cas d’absence d’événements

Si vous ne trouvez aucun événement sur tous les tableaux de bord, cela peut être dû aux problèmes de configuration de l’application Citrix Analytics pour Splunk et du module complémentaire Citrix Analytics pour Splunk. Dans un tel scénario, vérifiez la valeur de l’index et la valeur du type de source. Assurez-vous que les valeurs de l’index et du type de source sont identiques dans l’application et dans le module complémentaire.

Pour afficher les paramètres de configuration de l’application Citrix Analytics pour Splunk, procédez comme suit :

  1. Cliquez sur Applications > Gérer les applications.

    Application Config

  2. Recherchez l’application Citrix Analytics pour Splunk dans la liste. Cliquez sur Configurer.

    Configurer

  3. Vérifiez le type de source et l’index.

    Type de source

Pour afficher les paramètres de configuration du module complémentaire Citrix Analytics pour Splunk, procédez comme suit :

  1. Cliquez sur Paramètres > Entrées de données.

    Les entrées de données

  2. Cliquez sur Citrix Analytics Add-on.

    Sélectionnez Ajouter

  3. Cliquez sur le locataire à partir duquel vous obtenez les événements.

  4. Sélectionnez Plus de paramètres.

    Configuration

  5. Vérifiez le type de source et l’index.

    Type de source

Pour plus d’informations sur la configuration, consultez Configurer le module complémentaire Citrix Analytics pour Splunk.