Nouveautés

Citrix a pour objectif de fournir de nouvelles fonctionnalités et mises à jour de produits aux clients Citrix Analytics lorsqu’elles sont disponibles. Les nouvelles versions étant plus avantageuses, il est important que vous en profitiez le plus rapidement possible.

Pour vous, en tant que client, ce processus est transparent. Les mises à jour initiales sont uniquement appliquées aux sites Citrix internes pour être ensuite graduellement appliquées aux environnements des clients. La mise à jour progressive par vagues permet d’assurer la qualité des produits et de maximiser la disponibilité.

29 janvier 2024

Mises à jour des champs Workspace App Status

• Recherche en libre-service : vous pouvez désormais effectuer des requêtes pour connaître l’état de support d’une version de l’application Workspace en utilisant le nouveau champ d’état de l’application Workspace pour la source de données Citrix Apps and Desktops.
• Utilisateurs : la colonne État de l’application Workspace a été supprimée.

Pour plus d’informations, consultez la section Recherche en libre-service pour les applications et les postes de travail.

25 janvier 2024

Les incohérences dans l’interface utilisateur CAS ont été uniformisées

Les problèmes suivants ont été résolus dans la fonction de recherche en libre-service pour la source de données Apps and Desktops :

• Les événements qui étaient précédemment affichés de manière désordonnée au cours d’une session apparaissent désormais correctement.
• Les colonnes par défaut ont été mises à jour.

24 janvier 2024

Événements de profil utilisateur améliorés sur les environnements SIEM

Les événements de profil utilisateur exportés vers vos environnements SIEM incluent désormais :

• Informations sur les adresses IP
• Informations sur la localisation de Citrix Virtual Apps and Desktops et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops service)

Ces nouvelles améliorations vous permettent d’identifier l’adresse IP du client utilisée pour accéder aux données de votre organisation et de recueillir des informations de localisation des utilisateurs à la fois auprès de Citrix Virtual Apps and Desktops et de Citrix DaaS.

Pour plus d’informations, consultez la section Données d’analyse des risques pour le SIEM.

1 décembre 2023

Page des paramètres de messagerie de l’administrateur pour les e-mails hebdomadaires et les alertes SIEM

La nouvelle fonctionnalité Paramètres de messagerie de l’administrateur vous permet de configurer les destinataires de la liste de distribution personnalisée pour les alertes système. Cette amélioration garantit que les administrateurs reçoivent uniquement les alertes système qui les concernent.

Pour plus d’informations, consultez la section Paramètres de messagerie de l’administrateur.

Tableau de bord des utilisateurs - Nouveau filtre de temps de comptage des utilisateurs actifs et mise à jour de la section Aperçu

Le nouveau filtre horaire du tableau de bord des utilisateurs vous permet de consulter et de modifier le nombre total d’utilisateurs actifs dans votre organisation pendant une période donnée, en tenant compte des sources de données pour lesquelles vous avez activé Citrix Analytics.

La section Aperçu améliorée du tableau de bord des utilisateurs affiche le nombre total d’utilisateurs de votre organisation, ainsi que le nombre d’utilisateurs actifs et inactifs actuellement connectés.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Rapports personnalisés améliorés

• Vous pouvez désormais créer et planifier des rapports personnalisés à l’aide des événements et des informations disponibles dans Citrix Analytics for Security. Les rapports personnalisés vous aident à extraire des informations présentant un intérêt spécifique et à organiser les données graphiquement.
• Vous pouvez désormais utiliser les fonctionnalités améliorées de la plateforme Custom Report, qui incluent des rapports basés sur des requêtes de recherche en libre-service, des modèles, de meilleures visualisations, la couverture de toutes les sources de données et de tous les indicateurs, la planification des rapports et l’exportation de PDF.

Pour plus d’informations, consultez la section Rapports personnalisés.

30 novembre 2023

Suppression de toutes les fonctionnalités de ShareFile dans Citrix Analytics

Les fonctionnalités de détection de ShareFile suivantes sont supprimées :

• Partager des liens
• Indicateurs de risque associés
• Les stratégies et leurs occurrences
• Configurations d’exportation de données de Content Collaboration
• Rapports de Content Collaboration
• Source de données Content Collaboration sur la recherche
• Content Collaboration et recherches enregistrées
• Source de données Content Collaboration.

La suppression de ces fonctionnalités peut entraîner une incohérence temporaire dans le score de risque et les délais des utilisateurs. Toutes les autres fonctionnalités de Citrix Analytics restent les mêmes.

Découvrez comment ShareFile simplifie l’accès aux contrôles de sécurité directement depuis ShareFile.com.

22 septembre 2023

Source de données Citrix Secure Browser dans Custom Indicator

Vous pouvez désormais créer des indicateurs de risque pour la source de données Citrix Secure Browser afin de suivre l’activité d’un utilisateur dans le navigateur sécurisé. Pour plus d’informations, consultez la section Indicateurs personnalisés.

Amélioration du courrier électronique hebdomadaire grâce à l’exportation de données SIEM

L’e-mail hebdomadaire a été amélioré pour fournir un aperçu plus approfondi de la posture de sécurité de votre organisation en permettant l’exportation des données SIEM. Vous pouvez désormais intégrer et activer davantage de sources de données pour découvrir un large éventail d’événements concernant vos utilisateurs. L’e-mail hebdomadaire inclut les nouveaux ajouts suivants :

• La section récapitulative des données indique l’état de la consommation de données dans l’environnement SIEM.
• Recommandations pour les exportations de données basées sur l’état de consommation des exportations de données.

Pour plus d’informations, voir Notification hebdomadaire par e-mail.

Consommation des préférences de notification personnalisées de l’administrateur dans les e-mails

Citrix Analytics for Security respecte désormais les préférences de notification définies par les administrateurs personnalisés dans Citrix Cloud. Cette amélioration offre aux administrateurs personnalisés une plus grande flexibilité dans la gestion de leurs préférences de notification. Cette préférence est également exploitée lors de l’envoi d’e-mails de notification tels que des e-mails hebdomadaires, des e-mails d’action Notifier les administrateurs et des alertes pour les exportations de données.

Pour plus d’informations, voir Gérer les rôles d’administrateur pour Security Analytics.

4 juillet 2023

Assistance aux opérateurs OR dans le cadre de la recherche en libre-service et de l’indicateur personnalisé

L’opérateur OR est désormais disponible dans les fonctionnalités de recherche en libre-service et d’indicateur de risque personnalisé. Vous pouvez utiliser l’opérateur OR dans les modes de recherche tels que les requêtes de recherche en libre-service et d’indicateurs personnalisés.

Pour plus d’informations, consultez la section Opérateurs pris en charge dans les requêtes de recherche.

15 juin 2023

Activer la télémétrie du presse-papiers VDA

Un événement appelé VDA.Clipboard se déclenche lorsque vous lancez une opération de presse-papiers dans Citrix Apps and Desktops. Ces journaux du presse-papiers fournissent des informations essentielles telles que le nom du VDA, la taille du presse-papiers, le type de format du presse-papiers, l’adresse IP du client, le fonctionnement du presse-papiers, la direction du fonctionnement du presse-papiers et si l’opération du presse-papiers était autorisée. Les attributs de l’événement VDA Clipboard sont également disponibles dans les flux de travail de recherche en libre-service et d’indicateurs de risque personnalisés.

• Recherche en libre-service : vous pouvez générer des rapports, enregistrer des requêtes et consulter les événements VDA.Clipboard ainsi que tous les détails de ses attributs.
• Indicateurs de risque personnalisés : les attributs des événements du presse-papiers du VDA sont disponibles dans le flux de travail des indicateurs personnalisés. Vous pouvez utiliser ces paires clé/valeur d’événement pour configurer des déclencheurs d’indicateurs personnalisés et configurer des stratégies automatisées avec des actions.

Vous pouvez utiliser la collection de métadonnées Clipboard Place pour la stratégie de surveillance de la sécurité afin d’activer la télémétrie du presse-papiers et la transmission des journaux du presse-papiers à Citrix Analytics for Security. Cette stratégie est activée par défaut. Pour la désactiver, accédez à la page Policy et désactivez-la pour arrêter la collecte de données à partir des VDA.

Pour plus d’informations, consultez la section Activation de la télémétrie du presse-papiers pour Citrix DaaS.

14 juin 2023

Disponibilité du cycle de vie de l’application d’enregistrement de session et des événements de registre dans Citrix Analytics for Security

Les événements suivants liés au cycle de vie des applications et au registre issus de l’enregistrement de session sont désormais disponibles dans Citrix Analytics for Security :

• Citrix.EventMonitor.RegistryChange
• Citrix.EventMonitor.SessionLaunch
• Citrix.EventMonitor.SessionEnd
• Citrix.EventMonitor.Clipboard
• Citrix.EventMonitor.FileTransfer

Vous pouvez consulter ces événements, créer des indicateurs personnalisés et les exporter vers vos environnements SIEM.

Pour plus d’informations, consultez la section Types d’événements et champs pris en charge.

8 juin 2023

Problèmes résolus

• Certains événements d’ouverture de session qui sont envoyés à Citrix Analytics for Security n’ont pas de nom d’utilisateur. Cela se traduit par l’affichage de la colonne du nom d’utilisateur sous la forme NA pour certains événements sur la page de connexion des utilisateurs de Self Service Search and Access Assurance. Parfois, cela se traduit également par un nombre d’utilisateurs uniques égal à zéro, bien que le nombre total d’ouvertures de session soit différent de zéro dans le graphique des organisations d’enregistrement IP Access Assurance lorsque vous consultez les données sur une courte période, telle que la dernière heure ou le dernier jour. Ce problème est désormais résolu. [CAS-70954]

• Dans la recherche en libre-service pour Apps and Desktops, pour les événements utilisateur Session.Logon et Session.End, la dimension App-Name dans les requêtes de recherche est renseignée avec des noms de groupes de mise à disposition plutôt que le nom de l’application ou du bureau lancé, ce qui peut induire en erreur les administrateurs. La dimension App-Name est plus utile pour les requêtes sur les événements App.Start/App.End, car elle pointe vers les applications en cours de lancement. Pour plus de détails, reportez-vous à la section Recherche en libre-service pour Apps and Desktops. Ce problème est désormais résolu. [CAS-67968]

• Si votre organisation est intégrée à Citrix Cloud dans la région d’origine Asie-Pacifique Sud, les événements Content Collaboration ne sont pas visibles dans vos locataires Citrix Analytics. Ce problème est désormais résolu. [CAS-62317]

• Quelques versions de l’application Citrix Workspace et du client Citrix Receiver n’envoient pas d’événements spécifiques à Citrix Analytics. Par conséquent, Citrix Analytics ne peut pas fournir d’informations et générer des indicateurs de risque pour ces événements. Ce problème est désormais résolu. Pour plus d’informations, consultez Contrôle 6 : les événements relatifs aux applications et bureaux virtuels sont-ils transmis à Analytics ?. [CAS-16151]

29 mai 2023

Le module complémentaire Citrix Analytics pour Splunk est désormais disponible sur Splunk Cloud Platform

L’intégration de Splunk pour Citrix Analytics utilise le module complémentaire Citrix Analytics pour Splunk pour se connecter à l’environnement d’analyse et intégrer des données critiques dans votre environnement Splunk.

Auparavant, l’extension était approuvée par Splunk uniquement pour être installée sur la couche Splunk Enterprise et les clients étaient responsables de la configuration de l’extension dans leur environnement Splunk sur site. Avec la dernière version de 2.1.2, le module complémentaire est désormais compatible avec Splunk Cloud entre la plateforme Splunk et Splunk Cloud. Les clients qui utilisent des instances Classic avec des instances IDM ou Victoria peuvent bénéficier de cette amélioration de la compatibilité de la plateforme. Les clients ont désormais la possibilité de choisir entre Splunk Enterprise ou Splunk Cloud tout en envisageant le déploiement de notre module complémentaire pour faciliter l’intégration de Splunk.

Pour plus d’informations, consultez Splunk Integration.

Enregistrement d’événements de session dans SIEM

Les événements d’enregistrement de session peuvent désormais être exportés vers SIEM sous la forme d’événements Risk Insight et d’événements de source de données pour les applications et les postes de travail. Les types d’événements récemment ajoutés se trouvent dans l’étape Evénements de données à exporter sur la page Exportations de données .

Pour plus d’informations, consultez la section Stratégies et actions.

24 mai 2023

Informer l’utilisateur final d’une action globale

La fonctionnalité Stratégies et actions de Citrix Analytics prend désormais en charge l’action globale Notifier l’utilisateur final, qui peut être associée à un ou plusieurs déclencheurs d’indicateurs de risque intégrés ou personnalisés. Les administrateurs peuvent créer des stratégies à l’aide de l’action Notifier l’utilisateur final qui génère des notifications par e-mail destinées uniquement aux utilisateurs finaux. Cette action peut être utilisée dans divers cas d’utilisation de conformité, tels que la notification aux utilisateurs en cas d’utilisation non autorisée d’applications ou l’envoi d’alertes en cas de comportement suspect sur leurs comptes Citrix sans prendre de mesures perturbatrices. Les administrateurs peuvent personnaliser le corps et l’objet du message électronique en fonction du scénario spécifique.

Pour plus d’informations, voir Notifier l’utilisateur final.

4 mai 2023

Génération d’événements de test

La fonctionnalité de génération d’événements de test est créée pour aider les clients à tester rapidement leur pipeline Citrix Analytics - SIEM. Auparavant, si l’administrateur devait tester cette intégration, il devait attendre l’intégration de la source de données et l’activité des utilisateurs pour vérifier si les événements étaient générés par Citrix Analytics et donc reçus par son environnement SIEM. Ce n’est plus une nécessité. Il suffit de cliquer sur le bouton Envoyer des données de test pour envoyer un événement fictif dans l’environnement SIEM et d’utiliser la requête fournie pour vérifier si l’intégration SIEM de Citrix Analytics est définie comme prévu. Cela peut également fonctionner pour l’administrateur qui essaie de déboguer un flux de données perturbé, car cela peut aider à isoler le point de défaillance.

Pour plus d’informations, consultez la section Génération d’événements de test.

Génération d’alertes par e-mail SIEM

La fonctionnalité de génération d’alertes par e-mail SIEM simplifie considérablement le processus de résolution des problèmes liés à l’exportation de données. Citrix Analytics envoie des alertes système pour les activités susceptibles d’entraîner ou d’indiquer une interruption du flux de données SIEM. L’e-mail est distribué aux administrateurs Citrix Cloud, aux administrateurs complets de Security, aux administrateurs en lecture seule de Security et aux administrateurs en lecture seule de Security and Performance. Les différents types d’alertes qui sont envoyés sont les suivants :

1. Alerte d’exportation de données SIEM - Le mot de passe a été réinitialisé

   Cet e-mail est déclenché chaque fois que le mot de passe du compte est réinitialisé depuis la page Exportations de données. Si cela est fait uniquement sur l’interface graphique de Citrix Analytics for Security, cela peut entraîner une interruption du flux de données. Cette alerte indique l’heure à laquelle la réinitialisation du mot de passe a été effectuée, ce qui facilite grandement le retour à un flux de données réussi.

2. Alerte d’exportation de données SIEM : arrêt du flux de données

Cet e-mail est déclenché chaque fois que le client est confronté à un formulaire d’interruption du flux de données

• Plus de 24 heures : temps critique pour retrouver rapidement un flux de données efficace en utilisant les conseils de dépannage utiles contenus dans l’alerte ou en utilisant l’onglet Résumé de l’exportation des données avec guide rapide.

• Plus de 7 jours  : la stratégie de conservation de Kakfa pour le sujet de chaque client est de sept jours, ce qui signifie qu’il est possible que certaines données sécurisées aient expiré. Il est impératif d’utiliser les outils de dépannage pour rétablir le flux de données vers le SIEM.

• Plus de 30 jours  : cela signifie que le client a souffert de problèmes de sécurité et qu’il doit immédiatement s’attacher à rétablir le flux de données entre Citrix Analytics et l’environnement SIEM.

Pour plus d’informations, consultez la section Génération d’alertes par e-mail SIEM.

13 avril 2023

Problème résolu

L’application Windows Citrix Workspace envoie un nom de fichier, un chemin et une propriété de format vides à partir de la version 2203 et des versions ultérieures de l’application Citrix Workspace. Par conséquent, l’interface graphique de Citrix Analytics for Security affiche les valeurs NA pour les colonnes Nom du fichier de téléchargement, Chemin du fichier de téléchargement et Format de fichier de téléchargement. Ce problème est désormais résolu. [CAS-73498]

31 mars 2023

Événements d’enregistrement de session dans Citrix Analytics for Security

Dans Citrix Apps and Desktops, deux nouveaux types d’événements ont été ajoutés pour aider à identifier et à évaluer les événements basés sur l’enregistrement de session.

• Citrix.EventMonitor.RDPConnection
• Citrix.EventMonitor.UserAccountModification

Les administrateurs peuvent désormais facilement identifier et évaluer les risques de sécurité potentiels. Ils peuvent utiliser ces événements pour recueillir des informations sur des données vitales telles que les identifiants de processus, les adresses IP de destination et les descriptions des opérations des comptes utilisateurs. En outre, ces événements peuvent également être consultés sur la page des indicateurs de risque personnalisés et sur la page de recherche en libre-service .

• Recherche en libre-service : vous pouvez consulter ces événements ainsi que les détails de leurs attributs.
• Indicateurs de risque personnalisés : vous pouvez configurer n’importe quel indicateur personnalisé à l’aide de ces types d’événements. Pour plus d’informations, consultez la section Types d’événements et champs pris en charge.

Événements de App Protection dans Self-Service Search

Un nouvel événement appelé AppProtection.ScreenCapture se déclenche lorsque vous essayez de capturer une capture d’écran alors que vous êtes dans une session protégée sous la source de données Citrix Apps and Desktops. Les événements AppProtection.ScreenCapture sont également disponibles sur les pages de recherche en libre-service et d’exportation de données.

• Recherche en libre-service : vous pouvez consulter les résultats de AppProtection.ScreenCapture ainsi que tous les détails de ses attributs.
• Exportations de données : vous pouvez consulter le type d’événement AppProtection.ScreenCapture dans la section Exportations de données. Accédez à Paramètres > Exportations de données > Configuration > Événements de données à exporter sélectionnez Applications et postes de travail dans la catégorie Événements de source de données (facultatif).

Vous pouvez également afficher un nouvel attribut appelé Stratégies App Protection pour l’événement Session.Logon.

Pour plus d’informations, consultez la section Types d’événements et champs pris en charge.

30 mars 2023

Prise en charge des rôles personnalisés

Un administrateur peut être ajouté pour des rôles personnalisés à l’aide de groupes dans votre Active Directory ou Azure Active Directory ou en configurant une intégration Okta pour Citrix Analytics for Security. Cette intégration permet une approche rationalisée de la gestion des autorisations d’accès aux services pour tous les administrateurs de groupe.

Après avoir correctement ajouté un administrateur à Active Directory ou à Azure Active Directory, l’administrateur peut créer des groupes et attribuer un rôle personnalisé à un groupe spécifique. Les autorisations individuelles sont privilégiées par rapport aux autorisations de groupe si un administrateur est membre des deux.

Pour plus d’informations, consultez la section Support des rôles personnalisés.

Panneau de résolution des problèmes pour l’interface utilisateur SIEM

L’interface utilisateur des exportations de données a été améliorée avec les modifications suivantes :

• Onglet Résumé : L’onglet Résumé décrit les mesures des événements SIEM, l’état d’intégration des sources de données et l’état de consommation des données dans le scénario suivant :

  • Données disponibles dans Citrix Analytics : fournit l’état d’intégration des différentes sources de données.
  • Événements disponibles pour la consommation du SIEM : fournit le nombre d’informations envoyées à votre environnement SIEM.
  • Consommation de données par SIEM : fournit l’état de la consommation de données.

• Onglet Configuration : L’onglet Configuration contient les informations relatives à la configuration de votre compte, à la configuration de l’environnement SIEM et à la sélection des événements de données.

• Guide rapide d’exportation de données : les administrateurs peuvent désormais utiliser le guide rapide, qui simplifie la configuration et la gestion des intégrations SIEM. Le lien Guide rapide d’exportation de données est accessible depuis les onglets Résumé et Configuration .

Pour plus d’informations, voir Résolution des problèmes liés à l’exportation de données.

24 mars 2023

Modification de la vue du profil utilisateur

Les données de profil des utilisateurs relatives aux applications, aux emplacements, aux appareils et à l’utilisation des données ShareFile ne sont pas disponibles sur la page Informations utilisateur de la chronologie de l’utilisateur. Les informations utilisateur suivantes provenant d’Active Directory sont toujours disponibles :

• Intitulé du poste
• Adresse
• E-mail
• Phone
• Emplacement
• Organization

Aucune modification n’a été apportée aux données du profil utilisateur qui sont exportées vers SIEM. Pour plus d’informations, consultez la section Profil utilisateur.

Suppression des suggestions automatiques dynamiques de toutes les vues de recherche

La fonctionnalité de suggestion automatique pour les dimensions basées sur les données historiques du locataire est désormais obsolète pour les pages suivantes :

• Recherche en libre-service
• Indicateur de risque personnalisé

Toutefois, les suggestions statiques pour des dimensions telles que Event-Type et Clipboard-Operations sont toujours disponibles dans la zone de recherche.

Pour plus d’informations, consultez Comment utiliser la recherche en libre-service.

21 mars 2023

Panneau de recommandations pour aider à intégrer la source de données StoreFront sur site

Un nouveau panneau de recommandations a été introduit sur la page Sources de données . Le panneau Recommandations de la page Sources de données explique à l’utilisateur l’importance d’intégrer des sources de données StoreFront sur site. Il permet à l’utilisateur d’intégrer facilement les sources de données StoreFront sur site et offre également la possibilité à l’utilisateur de consulter et de garantir l’intégration de toutes les sources de données disponibles.

Pour plus de détails, consultez la section Connexion à un déploiement StoreFront.

23 février 2023

Problèmes résolus

Les actions échouent pour les déploiements Citrix Apps and Desktop sur site où la version de Citrix Apps and Desktop > 1912. Ce problème a été observé à la fois dans les actions manuelles et basées sur des stratégies. Ce problème est désormais résolu. [CAS-69098]

La page Recherche en libre-service d’applications et de bureaux affiche plusieurs événements de démarrage et de fin d’application lorsque des applications virtuelles ne sont lancées qu’une seule fois. Ce problème se produit sur les versions clientes de l’application Citrix Workspace pour Linux. Ce problème est désormais résolu. [CAS-36236]

Les événements utilisateur du service Secure Private Access après le 4 avril 2022 et jusqu’à fin mai 2022 peuvent ne pas être disponibles dans vos clients Citrix Analytics. Ce problème est désormais résolu. [CAS-66897]

22 février 2023

Amélioration des notifications hebdomadaires par e-mail

Citrix Analytics envoie des notifications hebdomadaires par e-mail qui permettent de résumer les expositions aux risques de sécurité de votre entreprise. La notification hebdomadaire par e-mail a été améliorée avec les mises à jour suivantes :

• Fournit une vue de la répartition des risques des utilisateurs : nombre total d’utilisateurs découverts, nombre d’utilisateurs risqués et non risqués pendant une semaine
• Nombre total d’événements traités pendant une semaine
• Nombre total d’indicateurs déclenchés pendant une semaine
• Nombre total d’actions effectuées pendant une semaine
• Nombre total de sources de données activées pour le traitement des données

Pour plus de détails, consultez la section Notification hebdomadaire par e-mail.

Ajout du champ Download File Format pour le type d’événement app.saas.file.Download

Sur la page de recherche en libre-service de la source de données Apps and Desktops, un nouveau champ Download File Format a été ajouté pour le type d’événement App.saas.file.Download. Avec cette modification, vous pouvez désormais configurer des indicateurs de risque personnalisés pour le champ Format de fichier de téléchargement et également exporter le champ dans le cadre du format Exporter au format CSV.

Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

Modification des champs dérivés du navigateur

Auparavant, la page de recherche en libre-service comportait les champs Browser, Browser Major Version et Browser Minor Version pour représenter les noms et les versions des navigateurs. Toutefois, par souci de clarté et d’exactitude, ces trois champs sont désormais obsolètes et remplacés par le Browser Name et Browser Version dans la recherche en libre-service, un modèle d’indicateur personnalisé et une source de données à télécharger au format CSV pour les applications et les ordinateurs de bureau.

Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

16 février 2023

Problème résolu

Les e-mails hebdomadaires sont affectés pour certains clients de l’UE et de l’APS lors de la récupération du statut de masquage du nom d’utilisateur pour un locataire. Par conséquent, les administrateurs reçoivent 10 e-mails hebdomadaires identiques en raison de cette exception. Une fois l’exception survenue, les locataires suivants n’ont pas reçu l’e-mail hebdomadaire. Ce problème est désormais résolu. [CAS-76138]

3 février 2023

Support analytique pour le service Citrix Secure Private Access disponible dans l’Union européenne et dans les régions Asie-Pacifique Sud

Citrix Analytics for Security traite désormais les événements utilisateur à partir de Citrix Secure Private Access, disponible dans la région Union européenne et dans la région Asie-Pacifique Sud. Si votre organisation a intégré Citrix Cloud depuis la région de l’Union européenne ou de la région Asie-Pacifique Sud, vous pouvez consulter les informations sur les risques des utilisateurs qui utilisent le service Secure Private Access.

Pour plus d’informations, consultez la section Sources de données.

11 janvier 2023

Suppression de la fonctionnalité de filtrage Web de Secure Private Access

La fonctionnalité de filtrage Web a été supprimée de la catégorie Secure Private Access. Les fonctionnalités suivantes de Citrix Analytics for Security sont affectées par l’abandon du filtrage Web basé sur les catégories par Secure Private Access :

1. Les champs de données tels que le groupe de catégories, la catégorie et la réputation des URL ne sont plus disponibles sur le tableau de bord Citrix Analytics for Security.

2. L’indicateur Risky d’accès au site Web, qui repose sur les mêmes données, est également obsolète et n’est pas déclenché pour les clients.

3. Les indicateurs de risque personnalisés existants utilisant les champs de données (catégorie-groupe, catégorie et réputation des URL) et les stratégies associées ne sont plus déclenchés.

4. Les onglets Accès utilisateur et Accès aux applications .

5. Les exportations SIEM conservent les attributs urlcategory, urlcategorygroup et urlcategoryreputation depuis un certain temps avec les valeurs fictives suivantes :

   • 99999 pour la catégorie et le groupe de catégories
   • 0 pour Reputation

Pour plus d’informations, consultez la section Recherche en libre-service pour Secure Private Access.

27 décembre 2022

Modification de la liste déroulante des sources de données pour la recherche en libre-service

La liste des sources de données est modifiée pour refléter les sessions par défaut plutôt que les applications et les postes de travail sur la page de recherche en libre-service. De plus, la section Performances est déplacée vers le haut, suivie de la section Sécurité car les sources de données de performances n’étaient pas visibles.

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

13 décembre 2022

Amélioration du tableau de bord des utilisateurs

Le tableau de bord des utilisateurs a été remanié avec des résumés et des graphiques pour aider les administrateurs à surveiller le niveau de sécurité de l’organisation. La vue fournit non seulement des détails sur les utilisateurs découverts, les indicateurs de risque déclenchés et les actions appliquées, mais fournit également une courbe de tendance chronologique contenant des indicateurs critiques pour une meilleure évaluation des risques. Les administrateurs peuvent explorer les données qui les intéressent et accéder à des tableaux de bord pertinents avec le contexte approprié pour une analyse des risques plus rapide.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

5 décembre 2022

Tableau de bord de garantie d’accès - Logon Network

La section Logon Network vient d’être ajoutée et fournit les informations utilisateur suivantes :

• Les organisations associées aux adresses IP à partir desquelles les utilisateurs se sont connectés.

• Le total du sous-réseau public unique et du sous-réseau privé à partir duquel les utilisateurs se sont connectés.

• Les informations indiquant que l’utilisateur s’est connecté à l’aide de proxys et de services VPN privés.

À l’aide de ces informations supplémentaires, un administrateur peut valider les informations de connexion de l’utilisateur et s’assurer que l’ouverture de session de l’utilisateur répond aux attentes de sécurité de l’organisation.

Pour plus de détails, consultez Access Assurance Dashboard.

18 novembre 2022

Problème résolu

• Les indicateurs de géofence qui étaient déclenchés par erreur sans aucun événement source ont été corrigés. [CAS-73222]

8 novembre 2022

Renommer les actions

Certaines des actions utilisées dans Citrix Analytics for Security sont renommées pour plus de clarté. Ces actions sont les suivantes :

• Avertir les administrateurs - Avertir les administrateurs
• Verrouiller l’utilisateur - Verrouiller le compte utilisateur
• Déconnecter l’utilisateur  : déconnecter les sessions actives
• Déverrouiller l’utilisateur - Déverrouiller le compte utilisateur
• Désactiver l’utilisateur - Désactiver le compte utilisateur

Pour plus d’informations, voir Quelles sont les actions ?

Problèmes résolus

• Si vous sélectionnez une option dans la liste déroulante des actions de la chronologie, vous ne pouvez pas déclencher d’action manuelle car les boutons Effacer et Appliquer ne sont pas visibles. Cette condition se produit dans la dernière version de Firefox. Ce problème est désormais résolu. [CAS-72051]

• Les catégories HardDrive, harddrive et HDD sont regroupées en une seule catégorie en tant que Hard Disk Drive pour le champ Type de périphérique de téléchargement de la source de données Self-Service Search for the Apps and Desktops. [CAS-67188]

• Parfois, des notifications dupliquées sont reçues de Microsoft Graph avec le même ID d’alerte, ce qui entraîne la création d’événements à risque dupliqués. Un mécanisme de déduplication est mis en œuvre dans les applications pour éviter ce problème. [CAS-66731]

19 octobre 2022

Sélection et exportation des événements de la date et de la source

Vous pouvez désormais tirer parti du nouveau flux de travail d’exportation des événements de données pour exporter les événements des sources de données, en plus des informations sur les risques générées par l’apprentissage automatique, des événements et des données associées.

Cela permet aux administrateurs des opérations de sécurité et de sécurité (SOC) de :

• Corrélez les données de Citrix Analytics avec les événements d’autres sources de données agrégés sur les informations de sécurité et la gestion des événements (SIEM)

• Contrôlez les événements de données qui sont acheminés vers les SIEM pour optimiser les coûts de stockage

Les événements de données sont transmis à vos intégrations SIEM et connecteurs de données existants, à égalité avec ce qui est disponible sur notre affichage de recherche d’événements en libre-service.

Pour plus d’informations, consultez la section Événements liés aux données exportés depuis Citrix Analytics for Security vers votre service SIEM.

18 octobre 2022

Autoriser l’administrateur à exécuter une action d’enregistrement de session dynamique sur les sites Citrix DaaS

Les administrateurs peuvent désormais exécuter des actions d’enregistrement de session dynamique sur les sites Citrix DaaS et enregistrer de manière dynamique les sessions virtuelles des utilisateurs. Ils peuvent configurer l’action avec une stratégie pour démarrer automatiquement l’enregistrement des sessions utilisateur au cas où une activité risquée d’un utilisateur donné serait détectée par Citrix Analytics for Security.

Pour plus d’informations, voir Quelles sont les actions ?

14 octobre 2022

Fournir des commentaires sur les indicateurs de risque utilisateur

Les administrateurs de Citrix Analytics for Security peuvent désormais signaler les indicateurs de risque utilisateur comme utiles ou non utiles en fournissant des commentaires sur le panneau de détails des indicateurs. Cette fonctionnalité permet aux administrateurs de signaler les faux positifs, de réduire le bruit lié aux indicateurs fréquemment déclenchés et de partager du contexte supplémentaire avec d’autres administrateurs. Comme résultat supplémentaire, l’indicateur de risque inutile est masqué dans la chronologie de l’utilisateur et le score de risque de l’utilisateur est recalibré.

Pour plus d’informations, voir Fournir des commentaires sur les indicateurs de risque utilisateur.

26 septembre 2022

Garantie d’accès pour soutenir la liste de blocage de la géofence

Les onglets de localisation sécurisée et risquée sont ajoutés dans les paramètres de Geofence.

• Le géofencing sécurisé permet d’identifier et de restreindre l’accès en dehors d’une zone délimitée définie.
• Le géofencing de localisation à risque permet de détecter et de limiter les accès à risque des utilisateurs conformément au comportement connu de l’entreprise.

Les géofencings sûrs et risqués sont soutenus par leurs propres indicateurs de risque personnalisés préconfigurés.

Pour plus d’informations, voir Activer le géofencing.

Problèmes résolus

• API Citrix Cloud pour afficher le nom du client dans le corps de l’e-mail. Désormais, l’e-mail utilise le surnom pour afficher le nom du client dans le corps de l’e-mail envoyé aux administrateurs. [CAS-65350]

• La carte source de données Citrix Gateway est courante dans Citrix Analytics for Security et Citrix Analytics for Performance. Le traitement des données appelait en permanence le terminal Citrix Analytics for Security et était interrompu pour les clients disposant uniquement de droits Citrix Analytics for Performance . [CAS-70817]

• Lorsque plusieurs messages d’autorisation sont reçus simultanément de Citrix Cloud, une condition de course se produit lors de la mise à jour du cache Redis. Dans un tel scénario, un message d’autorisation est mis à jour dans le cache et le reste disparaît. Ce problème est désormais résolu pour mettre à jour tous les messages d’autorisation dans le cache. [CAS-70823]

13 septembre 2022

Amélioration du tableau de bord Sharelink

Le tableau de bord Sharelink a été remanié avec un résumé et une vue détaillée. La vue récapitulative comprend les principales actions actives et les actions les plus risquées. La vue détaillée fournit plus d’informations à l’administrateur avec l’introduction des attributs créés par, du nombre d’activités, du type d’authentification, de l’autorisation, du type de partage et du contenu. L’administrateur peut effectuer des recherches plus poussées et des filtres supplémentaires selon les besoins et modifier/fournir le délai pour consulter les données qui l’intéressent.

Pour plus d’informations, consultez la section Tableau de bord Partager des liens.

9 septembre 2022

Amélioration des indicateurs de risque d’Impossible Travel

Les indicateurs de risque Impossible Travel ont été améliorés pour indiquer l’organisation d’enregistrement et le type de routage des adresses IP des clients. Ces nouveaux champs sont disponibles à la fois dans les vues détaillées des indicateurs de la chronologie utilisateur et dans les détails des indicateurs envoyés au SIEM.

Pour plus d’informations sur les stratégies par défaut, consultez les articles suivants :

• Évaluation continue des risques.
• Stratégies et actions

19 août 2022

Activer la télémétrie d’impression VDA

Un événement appelé VDA.Print se déclenche lorsqu’une tâche d’impression est lancée dans Citrix Apps and Desktops. Les événements VDA Print sont également disponibles sur les pages de recherche en libre-service et d’ indicateurs de risque personnalisés .

• Recherche en libre-service : vous pouvez consulter les résultats de VDA.Print ainsi que tous les détails de ses attributs.
• Indicateurs de risque personnalisés : de nouveaux événements sont fournis pour la télémétrie d’impression VDA via EventHub et sont également disponibles dans Custom Indicator. Vous pouvez utiliser ces paires clé/valeur d’événement pour configurer des déclencheurs d’indicateurs personnalisés.

Pour activer la télémétrie d’impression et la transmission des journaux d’impression à Citrix Analytics for Security, vous devez créer des clés de registre et configurer votre VDA. Ces journaux d’impression fournissent des informations essentielles sur les activités d’impression, telles que les noms des imprimantes, les noms des fichiers d’impression et le nombre total de copies imprimées. En tant qu’administrateur de la sécurité, vous pouvez utiliser ces journaux pour analyser les risques et enquêter sur vos utilisateurs.

Pour plus d’informations, voir Activation de la télémétrie d’impression pour Citrix DaaS.

18 août 2022

Problème résolu

• Dans la recherche en libre-service pour les applications et les postes de travail et sur la page Connexions utilisateur sous le tableau de bord de localisation de l’assurance accès, la valeur de version de l’application Workspace a été renseignée sous la forme NA (non disponible) dans le fichier CSV téléchargé, alors qu’elle était disponible dans la vue de page. Ce problème est désormais résolu. [CAS-70361]

17 août 2022

Personnalisation de l’e-mail de l’utilisateur final par stratégie

Vous pouvez désormais personnaliser le contenu des e-mails envoyés aux utilisateurs finaux en fonction de la stratégie. Plus précisément, lorsque vous créez une stratégie avec l’action Demander la réponse de l’utilisateur final ou une action perturbatrice sur le compte de l’utilisateur (telle que Déconnecter l’utilisateur et Verrouiller l’utilisateur), le contenu des e-mails envoyés aux utilisateurs finaux lorsque la stratégie est appliquée est personnalisable.

Pour plus d’informations sur la personnalisation du courrier de l’utilisateur final par stratégie, consultez la section Stratégies et actions.

11 août 2022

De nouvelles questions concernant la garantie d’accès — Géolocalisation ont été ajoutées dans l’article FAQ . Pour plus de détails, consultez la FAQ.

Problème résolu

• Le bouton Afficher toutes les notifications a redirigé l’administrateur vers un lien e-mail https://citrix.cloud.com/notifications hebdomadaire contenant une faute de frappe. [CAS-69236]

17 juin 2022

Le traitement des données est activé par défaut pour les nouveaux droits payants

Auparavant, les clients disposant de nouveaux droits payants sur Citrix Analytics for Security devaient activer le traitement des données dans la carte de site de sources de données spécifiques pour commencer à traiter les données de ces sources de données.

Dans cette version, lorsque les nouveaux droits payants à Citrix Analytics for Security sont fournis, le traitement des données est activé par défaut pour les services Citrix Cloud suivants :

• Citrix Secure Private Access
• Citrix Content Collaboration
• Citrix DaaS

Pour plus d’informations, reportez-vous à la section Mise en route.

09 juin 2022

Problème résolu

• Les indicateurs de risque Microsoft Graph générés par la protection d’identité Azure AD et Microsoft Defender for Endpoint peuvent être affichés plusieurs fois dans Security Analytics. Ce problème est désormais résolu. [CAS-66593,CAS-66731]

2 juin 2022

Problèmes résolus

• Dans la recherche en libre-service des stratégies, lorsque vous sélectionnez la dimension Policy-Name dans votre requête de recherche pour filtrer les événements, une liste de stratégies non valides a été suggérée ainsi que les stratégies valides pour Security Analytics. [CAS-66838]

• La taille du fichier de téléchargement des événements File.Download de Windows Citrix Receiver ne s’affichait pas correctement dans la recherche en libre-service. Ce problème est apparu parce que la valeur réelle était exprimée en Ko et que l’interface utilisateur traitait la valeur comme des octets, ce qui entraînait l’affichage de valeurs incorrectes aux utilisateurs. [CAS-67105]

24 mai 2022

Présentation des indicateurs de risque de déplacement impossible pour Content Collaboration, Citrix DaaS et Citrix Virtual Apps and Desktops, et des sources de données Gateway

Si l’utilisateur ouvre une session à partir de deux emplacements trop éloignés l’un de l’autre pour voyager dans le temps écoulé, Citrix Analytics détecte cette activité comme un scénario de voyage impossible et déclenche l’indicateur de risque de voyage impossible . Pour plus d’informations sur les indicateurs de risque de voyage impossible, consultez les articles suivants :

• Indicateurs de risque Citrix Content Collaboration

• Indicateurs de risque de Citrix Gateway

• Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS

17 mai 2022

Virtual Apps and Desktops est renommé Apps and Desktops

Sur les tableaux de bord et les rapports Security Analytics et dans les données envoyées par Security Analytics à votre service SIEM, toutes les étiquettes Virtual Apps and Desktops sont désormais mises à jour en tant qu’applications et bureaux pour s’aligner sur le nouveau nom du produit.

Par exemple, sur la page Sources de données, les étiquettes Virtual Apps and Desktops sont renommées Apps and Desktops.

L’étiquette Apps and Desktops représente à la fois Citrix Virtual Apps and Desktops sur site et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) dans votre organisation.

Problèmes résolus

Citrix Analytics ne découvre pas automatiquement les sites Citrix DaaS Cloud Monitor ou Director associés à votre compte Citrix Cloud. [CAS-66801]

5 avril 2022

Nouveautés

Secure Workspace Access est renommé Secure Private Access

Dans les tableaux de bord et les rapports Analytics, toutes les étiquettes Secure Workspace Access de travail sont désormais mises à jour en tant qu’ accès privé sécurisé pour s’aligner sur le nom du produit renommé.

Par exemple, sur la page Sources de données et la page de recherche en libre-service, les étiquettes Secure Workspace Access de travail sont renommées Accès privé sécurisé.

21 mars 2022

Problème résolu

• Dans la page Créer un indicateur de risque, les suggestions automatiques de dimensions et d’opérateurs ne fonctionnent pas si la condition précédente de votre requête de recherche contient une valeur de dimension séparée par un espace.

  Par exemple, dans la requête suivante, les suggestions automatiques cessent de fonctionner une fois que vous avez sélectionné la ville en tant que San Jose. Ce problème est désormais résolu. [CAS-64126]

  

10 mars 2022

Nouveautés

Améliorations relatives à la notification

• La notification par e-mail pour l’action Notifier les administrateurs fournit désormais les détails des multiples indicateurs de risque associés à une stratégie déclenchée.

• Vous pouvez afficher le nom, le niveau de gravité et la date de déclenchement de chaque indicateur de risque associé à la stratégie.

• Cliquez sur Afficher les détails du risque pour ouvrir la page de chronologie de l’utilisateur dans Citrix Analytics et afficher le dernier indicateur de risque qui a déclenché la stratégie. Sur la page de chronologie de l’utilisateur, vous pouvez également afficher tous les indicateurs de risque déclenchés pour l’utilisateur.

Pour plus d’informations sur l’action Notifier les administrateurs, consultez la section Stratégies et actions.

Problème résolu

Citrix Analytics ne parvient pas à recevoir les événements utilisateur de la source de données Secure Workspace Access. Par conséquent, les événements utilisateur ne s’affichent pas dans la page de recherche en libre-service correspondante. En outre, vous ne pouvez pas créer d’indicateurs de risque personnalisés pour la source de données Secure Workspace Access. [CAS-64619]

3 mars 2022

Nouveautés

Appliquer la demande de réponse de l’utilisateur final manuellement

Auparavant, vous pouviez appliquer l’action Demander une réponse de l’utilisateur final à un compte d’utilisateur uniquement en créant une stratégie. Avec cette version, vous pouvez sélectionner l’action dans la liste Actions de la chronologie utilisateur et appliquer manuellement cette action à un indicateur de risque.

Pour plus d’informations sur l’action et sur la façon d’appliquer des actions manuellement, consultez Stratégies et actions.

Demander des améliorations aux réponses des utilisateurs finaux pour la stratégie

Lorsque vous créez une stratégie avec l’action Demander une réponse de l’utilisateur final, les améliorations suivantes s’affichent :

• Après avoir sélectionné Notifier les administrateurs comme action suivante, vous pouvez désormais afficher les listes de distribution par défaut et les listes de distribution d’e-mails créées parmi lesquelles vous pouvez choisir.

  

• Vous pouvez désormais sélectionner l’une des actions dans Citrix Content Collaboration ou Citrix Virtual Apps and Desktops et Citrix DaaS comme action suivante. Auparavant, vous ne pouviez sélectionner qu’une des actions globales ou des actions Citrix Gateway.

  

Pour plus d’informations sur cette action, consultez la section Stratégies et actions.

23 février 2022

Nouveautés

Mesures recommandées pour un indicateur de risque

Citrix Analytics vous suggère d’appliquer des actions telles que Notifier les administrateurs, Ajouter à la listede suivi et Créer une stratégie lorsque les indicateurs de risque suivants sont déclenchés pour un utilisateur :

• Échec d’authentification inhabituel (source de données Content Collaboration)

• Échec d’authentification inhabituel (source de données Gateway)

• Ouverture de session suspecte (Citrix Virtual Apps and Desktops et source de données Citrix DaaS)

Lorsque vous accédez à la chronologie de l’utilisateur et que vous sélectionnez l’indicateur de risque, vous pouvez afficher toutes les actions suggérées dans la section ACTION RECOMMANDÉE .

Par exemple, dans l’indicateur de risque d’échec d’authentification inhabituel, vous pouvez afficher les actions recommandées suivantes :

Cette fonctionnalité fournit des conseils pour choisir une action que vous pouvez entreprendre en fonction de la gravité du risque posé par l’utilisateur. Cependant, vous pouvez également prendre une mesure appropriée qui ne figure pas dans la liste recommandée et en fonction de votre analyse des risques.

Problème résolu

• Si votre organisation est intégrée à Citrix Cloud dans la région d’origine Asie-Pacifique Sud, Citrix Analytics peut ne pas recevoir d’événements utilisateur de la source de données d’authentification. Par conséquent, il est possible que vous ne voyiez pas les événements utilisateur dans la page de recherche en libre-service correspondante. Ce problème est résolu. [CAS-62300]

17 février 2022

Nouveautés

Amélioration de la collecte des données et des rapports pour les sources de données Citrix Virtual Apps and Desktops et Citrix DaaS

Dans cette version, vous pouvez constater les modifications suivantes :

• Améliorations apportées à la collecte des données, à la corrélation et à la création de rapports sur les événements à partir des clients de l’application Citrix Workspace

• Amélioration de la qualité des événements reçus des utilisateurs et des versions client, qui peuvent être utilisés pour la recherche en libre-service, les indicateurs de risque personnalisés et la détection globale des risques.

Prise en charge des modèles contextuels pour les événements de session et les événements d’application dans Content Collaboration

Sur la page de recherche en libre-service, vous pouvez désormais afficher les détails des seuls champs pertinents associés aux événements de fichier, de dossier, de session, de partage et d’utilisateur. Les champs non applicables aux événements sont supprimés.

Par exemple, vous pouvez afficher les détails suivants des File.Copy événements :

• ID de fichier

• ID de copie de fichier

• Chemin du fichier

• Chemin du fichier de destination

• Identifiant du flux

• ID de zone

Ces informations vous aident lors de l’enquête et de l’analyse des risques d’un compte utilisateur associé à un comportement à risque. Vous pouvez explorer les attributs spécifiques d’un événement qui semble risqué.

Pour plus d’informations sur les champs, voir Recherche en libre-service pour Content Collaboration.

10 février 2022

Nouveautés

Valeurs suggérées automatiquement pour les dimensions de l’indicateur de risque personnalisé

Dans la page d’indicateur de risque personnalisé, lorsque vous sélectionnez une dimension et un opérateur valide dans la barre de condition, les valeurs de la dimension s’affichent automatiquement. Sélectionnez une valeur dans la liste des suggestions automatiques ou saisissez manuellement une valeur en fonction de vos cas d’utilisation. Lorsque vous saisissez une valeur, les valeurs correspondantes disponibles dans les enregistrements sont suggérées automatiquement.

La liste des valeurs suggérées pour une dimension est soit prédéfinie (valeurs connues) dans la base de données, soit basée sur des événements historiques.

Par exemple, lorsque vous sélectionnez la dimension Event-Type et l’opérateur d’affectation, les valeurs connues sont suggérées automatiquement. Vous pouvez sélectionner une valeur en fonction de vos besoins.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

09 février 2022

Nouveautés

Nouveaux rôles personnalisés pour les administrateurs

En tant qu’administrateur Citrix Cloud disposant d’une autorisation d’accès total, vous pouvez inviter d’autres administrateurs à gérer Security Analytics dans votre organisation. Vous pouvez désormais attribuer les rôles personnalisés suivants aux administrateurs invités :

• Security Analytics - Administrateur complet

• Security Analytics - Administrateur en lecture seule

À l’aide du rôle personnalisé, vous pouvez fournir des autorisations d’accès en lecture seule ou complètes à vos administrateurs et leur permettre de gérer les différentes fonctionnalités de Security Analytics.

Pour plus d’informations sur les autorisations d’accès pour ces rôles personnalisés, voir Gérer les rôles d’administrateur pour Security Analytics.

Prise en charge des notifications par e-mail pour les administrateurs d’accès personnalisés

Si vous êtes un administrateur Citrix Cloud avec des autorisations d’accès personnalisées (lecture seule ou accès complet) pour gérer Security Analytics, vous recevez désormais les notifications suivantes :

• Notifications hebdomadaires concernant les risques de sécurité détectés dans votre organisation. Pour plus d’informations, voir Notification hebdomadaire par e-mail.

• Notifications concernant les indicateurs de risque lorsque l’action Notifier les administrateurs est appliquée manuellement ou déclenchée par une stratégie. Pour plus d’informations, consultez la section Stratégies et actions.

28 janvier 2022

Nouveautés

Présentation des indicateurs de risque de connexion suspecte pour les sources de données Content Collaboration et Gateway

Citrix Analytics for Security détecte désormais les ouvertures de session utilisateur de nature suspecte en fonction de plusieurs facteurs contextuels tels que :

• La localisation est jugée inhabituelle par rapport à l’utilisateur et à l’historique de l’organisation.

• L’appareil est considéré comme inhabituel par rapport à l’historique de l’utilisateur et de l’organisation

• Le réseau est considéré comme inhabituel en ce qui concerne l’historique de l’utilisateur et de l’organisation

• L’adresse IP est jugée suspecte en fonction des flux de renseignements sur les menaces IP

Lorsqu’un utilisateur se connecte à partir d’un contexte suspect basé sur la combinaison de ces facteurs, l’indicateur de risque est déclenché.

Cet indicateur de risque remplace l’indicateur de risque Accès à partir d’un emplacement inhabituel associé aux sources de données Citrix Content Collaboration et Citrix Gateway. Toutes les stratégies existantes basées sur l’indicateur de risque Accès à partir d’un emplacement inhabituel sont automatiquement liées au nouvel indicateur de risque : Ouverture de session suspecte.

Pour plus d’informations sur les indicateurs de risque, voir Connexion suspecte- Content Collaboration et Logon suspecte- Gateway.

Pour plus d’informations sur le schéma des indicateurs de risque, consultez Format de données Citrix Analytics pour SIEM.

20 janvier 2022

Nouveautés

Intégration avec Microsoft Azure Active Directory

Vous pouvez désormais connecter votre Azure Active Directory à Citrix Analytics pour la sécurité pour :

• Importez les détails des utilisateurs et les groupes d’utilisateurs du domaine de votre organisation vers Citrix Analytics for Security.

• Enrichissez les profils des utilisateurs avec des détails supplémentaires tels que le titre du poste, l’organisation, l’emplacement du bureau, l’adresse e-mail et les coordonnées, qui vous aideront lors de l’enquête et de l’analyse des risques.

Pour plus d’informations, consultez Intégration Azure Active Directory.

18 janvier 2022

Nouveautés

Prise en charge des actions de lien de partage sur tous les indicateurs de risque Content Collaboration

Auparavant, vous pouviez appliquer les actions de lien de partage - Expirer tous les liens et Modifier le lien pour le partage en lecture seule sur les indicateurs de risque basés sur des liens de partage suivants associés au service Content Collaboration :

• Téléchargement du lien de partage sensible anonyme

• Téléchargements de liens de partage excessifs

• Partage excessif de fichiers

Avec cette version, vous pouvez désormais appliquer les actions de lien de partage sur les indicateurs de risque basés sur les utilisateurs suivants associés au service Content Collaboration :

• Accès depuis un endroit inhabituel

• Accès excessif aux fichiers sensibles

• Chargements excessifs de fichiers

• Téléchargements excessifs de fichiers

• Suppression excessive de fichiers ou de dossiers

• Fichiers malveillants détectés

• Activité de ransomware suspectée

• Échecs d’authentification inhabituels

Vous pouvez également appliquer les actions du lien de partage sur les indicateurs de risque personnalisés associés au service Content Collaboration.

Pour plus d’informations sur les actions et les indicateurs de risque, consultez les articles suivants :

• Stratégies et actions

• Indicateurs de risque de Content

• Indicateurs de risque personnalisés

L’intégration avec SIEM est désormais disponible pour tous

Vous pouvez intégrer Citrix Analytics for Security à vos services de gestion des informations et des événements de sécurité (SIEM) et exporter les données des utilisateurs de l’environnement informatique Citrix vers votre SIEM. L’intégration vous aide à corréler les données collectées auprès de différentes sources et à obtenir une vue globale de la sécurité de votre organisation.

Actuellement, vous pouvez intégrer Citrix Analytics for Security aux services suivants :

• Splunk

• Sentinel

• Recherche élastique

• Autres services SIEM à l’aide d’un connecteur de données basé sur Kafka ou Logstash

Pour plus d’informations, voir Intégration de la gestion des informations et des événements de sécurité (SIEM).

23 décembre 2021

Nouveautés

Améliorations des indicateurs de risque liés

Les améliorations suivantes sont apportées :

• Vous pouvez désormais créer une stratégie avec l’indicateur de risque de téléchargement de lien de partage sensible anonyme .

• L’indicateur de risque de téléchargement d’actions sensibles anonymes est renommé Téléchargement de lien de partage sensible anonyme pour le distinguer en tant qu’indicateur de risque de lien de partage.

• L’indicateur de risque de téléchargements excessifs est renommé Téléchargements de liens de partage excessifs pour le distinguer en tant qu’indicateur de risque de lien de partage et pour le différencier de l’indicateur de risque de téléchargements excessifs de fichiers basé sur l’utilisateur.

Pour plus d’informations, consultez la section Indicateurs de risque de lien de partage Citrix.

21 décembre 2021

Nouveautés

Envoyez des notifications concernant les indicateurs de risque à vos administrateurs non Citrix Cloud

Vous pouvez désormais informer les administrateurs non Citrix Cloud de votre organisation avec l’action Notifier les administrateurs .

Pour informer ces administrateurs, créez une liste de distribution par e-mail. Sélectionnez les administrateurs dans la liste de distribution des e-mails soit à partir des domaines externes connectés à Citrix Cloud, soit en utilisant leurs adresses e-mail directement. Lors de l’application de l’action Notifier les administrateurs, sélectionnez la liste de distribution des e-mails qui contient les administrateurs non Citrix Cloud.

Pour plus d’informations, consultez la section Liste de distribution des e-mails.

20 décembre 2021

Nouveautés

Envoyez des notifications de réponse aux utilisateurs de Content Collaboration

Outre vos utilisateurs Active Directory, vous pouvez désormais appliquer l’action Demander une réponse de l’utilisateur final à vos utilisateurs Content Collaboration.

Cette action envoie des notifications par e-mail aux utilisateurs lorsque Citrix Analytics détecte des activités inhabituelles sur leurs comptes Citrix. Pour plus d’informations sur l’action Demander une réponse de l’utilisateur final, consultez Stratégies et actions.

Access Control est renommé Secure Workspace Access

Dans les tableaux de bord et les rapports Security Analytics, toutes les étiquettes de contrôle d’accès sont désormais mises à jour en tant que Secure Workspace Access pour s’aligner sur le nom du produit renommé.

Par exemple, sur la page Sources de données, la page de recherche en libre-service et la page Stratégies, les étiquettes de contrôle d’accès sont renommées Secure Workspace Access de travail.

Problème résolu

• Pour la source de données Apps and Desktops, lorsque vous téléchargez le rapport de recherche sous forme de fichier CSV, certaines valeurs de champ du fichier CSV sont affichées comme non disponibles (N/A) bien que leurs valeurs soient disponibles. Par exemple, les valeurs des champs tels que Download File NameSession Launch Type, et Workspace App Version sont affichées sur la page de recherche en libre-service, mais dans le fichier CSV téléchargé, vous voyez ces valeurs comme non disponibles (N/A). Ce problème est désormais résolu. [CAS-62299]

09 décembre 2021

Nouveautés

Créez facilement vos indicateurs de risque personnalisés grâce à des modèles

Vous pouvez désormais sélectionner un modèle en fonction de votre cas d’utilisation et créer un indicateur de risque personnalisé. Les modèles vous guident en fournissant des requêtes et des paramètres prédéfinis. Cela facilite vos efforts tout en créant un indicateur de risque personnalisé.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

07 décembre 2021

Problème résolu

• Sur Citrix Analytics for Security, vous ne recevez pas les événements des utilisateurs qui utilisent Citrix Secure Browser publié en septembre 2021. Le problème existe car la stratégie de suivi du nom d’hôte n’est pas visible dans Citrix Secure Browser après la publication de septembre 2021 et ne peut donc pas être activée pour s’intégrer à Citrix Analytics for Security. Ce problème est désormais résolu. [CAS-62254]

02 décembre 2021

Nouveautés

Indicateur de risque détecté des fichiers malveillants

Vous pouvez désormais recevoir une alerte lorsqu’un utilisateur charge un fichier infecté dans Content Collaboration.

L’indicateur de risque détecte un fichier infecté par un logiciel malveillant tel qu’un cheval de Troie, un virus ou toute autre menace malveillante. Il fournit une visibilité sur les détails du fichier malveillant tels que le propriétaire du fichier, le nom du virus et l’emplacement du fichier.

Le facteur de risque associé à l’indicateur de risque détecté par les fichiers malveillants est l’indicateur de risque basé sur les fichiers.

Pour plus d’informations sur l’indicateur de risque et les actions que vous pouvez appliquer, consultez l’ indicateur de risque Fichiers malveillants détectés.

Nouvelles actions pour la source de données Content Collaboration

Vous pouvez appliquer les actions suivantes lorsque l’indicateur de risque de fichiers malveillants détectés est déclenché pour un utilisateur :

• Supprimer l’autorisation d’accès au dossier. Vous pouvez bloquer l’autorisation d’accès de l’utilisateur qui télécharge le fichier infecté. L’utilisateur ne peut pas accéder au dossier dans lequel le fichier infecté a été téléchargé.

• Supprimez l’autorisation de chargement sur le dossier. Vous pouvez bloquer l’autorisation de chargement de l’utilisateur qui télécharge le fichier infecté. L’utilisateur ne peut pas télécharger de fichier dans le dossier dans lequel le fichier infecté a été chargé.

Pour plus d’informations sur les actions de Content Collaboration, voir Stratégies et actions.

29 novembre 2021

Nouveautés

Amélioration des paramètres de messagerie pour les notifications utilisateur

En tant qu’administrateur, vous pouvez désormais ajouter une image de bannière, un en-tête et un texte de pied de page dans le modèle d’e-mail de réponse de l’utilisateur. Ces champs renforcent la légitimité de votre e-mail, augmentant ainsi l’attention des utilisateurs et les réponses à votre e-mail.

Pour plus d’informations, consultez la section Paramètres de messagerie de l’utilisateur final.

26 novembre 2021

Nouveautés

Modifications du menu des indicateurs de risque personnalisés et des stratégies

Les liens de navigation des fonctionnalités suivantes sont mis à jour :

• Indicateurs de risque personnalisés : utilisez cette fonctionnalité en cliquant sur Sécurité > Indicateurs de risque personnalisés.

• Stratégies : utilisez cette fonctionnalité en cliquant sur Sécurité > Stratégies.

  

25 novembre 2021

Nouveautés

Amélioration de l’intégration de Security Information and Event Management (SIEM)

Remarque

Cette intégration est en préversion.

Vous pouvez désormais intégrer Citrix Analytics for Security aux services SIEM suivants :

• Sentinel

• Elasticsearch avec des services de visualisation tels que Kibana et un service SIEM tel que LogRythm

• Tout autre service SIEM utilisant le moteur de collecte de données Logstash

Selon les besoins de votre entreprise, importez les données des utilisateurs de Citrix Analytics for Security vers votre service SIEM. Cette intégration permet à vos équipes des opérations de sécurité de corréler, d’analyser et de rechercher des données provenant de journaux disparates au sein des services SIEM de votre organisation, les aidant ainsi à identifier et à corriger rapidement les risques de sécurité.

Pour plus d’informations, voir Intégration de la gestion des informations et des événements de sécurité (SIEM).

09 novembre 2021

Problème résolu

• Sur quelques locataires, les stratégies utilisateur ne fonctionnent pas. Ce problème s’est produit lorsque les alertes pour les applications virtuelles ont des valeurs de chaîne vides pour les domaines. Ce problème est désormais résolu. [CAS-60920]

02 novembre 2021

Nouveautés

Afficher les profils d’accès et les détails d’ouverture de session des utilisateurs Citrix Virtual Apps and Desktops et Citrix DaaS

Sur le tableau de bord Access Assurance Location, vous pouvez afficher les profils d’accès et les détails d’ouverture de session des utilisateurs qui se sont connectés à des applications virtuelles et à des bureaux virtuels. Ces informations vous aident lors de l’investigation et de l’analyse des menaces.

• La page Profil d’accès fournit le résumé des accès utilisateur depuis les emplacements sélectionnés. Vous pouvez afficher l’analyse des tendances et les principaux événements d’accès du nombre total d’utilisateurs ainsi que les ouvertures de session uniques des utilisateurs.

  

• La page Ouverture de session utilisateur fournit les détails des ouvertures de session utilisateur aux applications virtuelles et aux bureaux virtuels à partir des emplacements sélectionnés.

  

Pour plus d’informations, consultez le tableau de bord Emplacement Access Assurance.

Afficher les journaux des programmes malveillants sur la page de recherche en libre-service pour Content Collaboration

Sur la page en libre-service de Content Collaboration, vous pouvez désormais afficher l’événement malveillant File.VirusInfected et ses journaux associés. Cet événement est déclenché lorsqu’un utilisateur de Content Collaboration télécharge un fichier infecté par un logiciel malveillant.

Pour plus d’informations, voir Recherche en libre-service pour Content Collaboration

Problème résolu

• Quelques utilisateurs de Content Collaboration sont incorrectement définis en tant que non-employés lors du traitement des événements dans Citrix Analytics. Par conséquent, les utilisateurs ne sont pas identifiés comme étant des utilisateurs découverts. Ce problème est désormais résolu. [CAS-59608]

20 octobre 2021

Nouveautés

Intégration du serveur d’enregistrement de session

Pour votre déploiement Citrix Virtual Apps and Desktops et Citrix DaaS, vous pouvez désormais configurer vos serveurs d’enregistrement de session pour envoyer les événements utilisateur à Citrix Analytics for Security. Ces événements utilisateur sont traités pour fournir des informations exploitables sur le comportement des utilisateurs.

Sur la page Sources de données > Sécurité, accédez à la carte de site Virtual Apps and Desktops . Sur la fiche de site d’enregistrement de session, cliquez sur des points de suspension verticaux (), puis sélectionnez Connecter le serveur d’enregistrement de session.

Pour plus d’informations, consultez la section Déploiement Connexion à l’enregistrement de session.

19 octobre 2021

Nouveautés

Améliorations apportées au modèle d’e-mail

La notification par e-mail qu’un administrateur reçoit après avoir appliqué l’action Notifier l’administrateur (s) est améliorée afin de fournir de meilleures informations sur les événements à risque pour l’utilisateur.

• La notification fournit désormais des informations détaillées sur l’indicateur de risque déclenché ou la stratégie appliquée. Par exemple, vous pouvez afficher la gravité et l’heure de déclenchement des indicateurs de risque par défaut et personnalisés. La structure du contenu est améliorée pour une meilleure lisibilité.

• Les administrateurs peuvent désormais accéder à la chronologie des utilisateurs directement à partir de la notification par e-mail et afficher les détails des événements à risque.

• Une option de commentaire est ajoutée dans la notification. Cette option permet de collecter les réponses des administrateurs et d’améliorer continuellement le contenu de la notification en fonction des réponses.

Pour plus d’informations sur l’action Notifier les administrateurs, consultez la section Stratégies et actions.

Améliorations du résumé de connexion utilisateur

• Vous pouvez désormais afficher la tendance à la hausse ou à la baisse des ouvertures de session utilisateur pour le nombre total d’ouvertures de session utilisateur dans le monde et les ouvertures de session utilisateur uniques dans le monde entier.

  

• La colonne ÉCART du tableau Emplacements d’ouverture de session uniques indique la modification à la hausse ou à la baisse des ouvertures de session utilisateur uniques pour un emplacement particulier.

  

Ces statistiques vous aident à comprendre comment les ouvertures de session des utilisateurs ont changé (positives ou négatives) par rapport à la période précédente. Il fournit une visibilité sur les interactions des utilisateurs avec vos déploiements Citrix Virtual Apps and Desktops et Citrix DaaS.

Pour plus d’informations, consultez Tableau de bord de localisation Access Assurance.

Problème résolu

• Sur le tableau de bord Emplacement Access Assurance, les fiches Récapitulatif des ouvertures de session utilisateur n’affichent pas les mesures d’ouverture de session utilisateur (nombre total d’ouvertures de session utilisateur dans le monde, ouvertures de session utilisateur uniques dans le monde et pays ayant des ouvertures de session utilisateur) lorsqu’aucun utilisateur ne se connecte depuis l’extérieur des zones de géofence. Ce problème est désormais résolu. [CAS-59595]

01 octobre 2021

Nouveautés

Afficher les journaux d’audit sur la recherche en libre-service pour Content Collaboration

Dans la recherche en libre-service de Content Collaboration, vous pouvez désormais afficher les journaux d’audit. Ces journaux fournissent des informations sur les autorisations et les actions appliquées aux comptes d’utilisateurs par les administrateurs de Content Collaboration. À l’aide de ces données, vous pouvez vérifier si les administrateurs de Content Collaboration ont pris des mesures valides sur leurs comptes d’utilisateurs. En tant qu’administrateur de la sécurité, il vous aide lors de l’investigation et de l’analyse des risques.

Pour plus d’informations sur les journaux d’audit, voir Recherche en libre-service pour Content Collaboration.

Problème résolu

Les administrateurs qui se connectent à Citrix Cloud à l’aide d’Azure AD ne peuvent pas accéder au service Citrix Analytics lorsque l’ID de session expiré précédent est accompagné du nouvel ID de session. Ce problème est désormais résolu. [CAS-59385]

29 septembre 2021

Nouveautés

Le tableau de bord de localisation Access Assurance est désormais disponible

Le tableau de bord fournit une visibilité sur l’emplacement de vos utilisateurs Citrix Virtual Apps and Desktops et Citrix DaaS. Vous pouvez identifier les utilisateurs dont les emplacements sont inhabituels en activant le géofencing et en appliquant les actions appropriées pour prévenir toute menace.

Pour afficher le tableau de bord, cliquez sur Sécurité > Access Assurance. Sélectionnez la période pendant laquelle vous souhaitez afficher les détails du lieu.

Pour plus d’informations, consultez Tableau de bord de localisation Access Assurance.

15 septembre 2021

Nouveautés

Améliorations des indicateurs de risque personnalisés

• Lorsqu’un indicateur de risque personnalisé est déclenché, il s’affiche immédiatement sur la chronologie de l’utilisateur . Toutefois, le résumé des risques et le score de risque de l’utilisateur sont mis à jour après quelques minutes (environ 15 à 20 minutes).

• Si vous modifiez les attributs tels que la condition, la catégorie de risque, la gravité et le nom d’un indicateur de risque personnalisé existant, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé (avec les anciens attributs) qui ont été déclenchées pour l’utilisateur.

• Si vous supprimez un indicateur de risque personnalisé, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé qui ont été déclenchées pour l’utilisateur.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

14 septembre 2021

Nouveautés

Présentation de l’indicateur de risque d’ouverture de session suspecte

Citrix Analytics for Security détecte désormais les ouvertures de session utilisateur de nature suspecte en fonction de plusieurs facteurs contextuels tels que :

• La localisation est jugée inhabituelle par rapport à l’utilisateur et à l’historique de l’organisation.

• L’appareil est considéré comme inhabituel par rapport à l’historique de l’utilisateur et de l’organisation

• Le réseau est considéré comme inhabituel en ce qui concerne l’historique de l’utilisateur et de l’organisation

• L’adresse IP est jugée suspecte en fonction des flux de renseignements sur les menaces IP

Lorsqu’un utilisateur de Citrix Virtual Apps and Desktops et Citrix DaaS se connecte à partir d’un contexte suspect en fonction de la combinaison de ces facteurs, l’indicateur de risque est déclenché.

Cet indicateur de risque remplace l’indicateur de risque Accès à partir d’un emplacement inhabituel associé à la source de données Citrix Virtual Apps and Desktops. Toutes les stratégies existantes basées sur l’indicateur de risque Accès à partir d’un emplacement inhabituel sont automatiquement liées au nouvel indicateur de risque : Ouverture de session suspecte.

Pour plus d’informations sur l’indicateur de risque, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.

Amélioration des messages SIEM

Citrix Analytics for Security envoie désormais les détails du schéma de l’indicateur de risque d’ ouverture de session suspecte à votre service SIEM. Vous pouvez afficher le schéma du récapitulatif de l’indicateur et les détails de l’événement de l’indicateur de risque d’ ouverture de session suspecte . Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

Problème résolu

• Pour la recherche en libre-service Apps and Desktops, la valeur IP du client est manquante dans le fichier CSV téléchargé. Ce problème est désormais résolu. [CAS-58426]

19 août 2021

Nouveautés

Présentation de l’application Citrix Analytics pour Splunk

Remarque

L’application est en prévisualisation.

L’application Citrix Analytics pour Splunk vous permet d’afficher les données collectées à partir de Citrix Analytics for Security sous la forme de tableaux de bord pertinents sur votre Splunk. Les tableaux de bord fournissent des informations sur les événements à risque de vos utilisateurs. Vous pouvez également mettre en corrélation les données Citrix Analytics avec les journaux collectés à partir de diverses autres sources de données. La corrélation vous aide à trouver des relations entre les événements et à prendre des mesures opportunes pour protéger votre environnement informatique.

Pour télécharger l’application, accédez à Splenkbase. Installez l’application sur votre tête de recherche Splunk.

Pour plus d’informations, consultez l’ application Citrix Analytics pour Splunk.

Schéma d’indicateur de risque personnalisé pour SIEM

Dans votre service SIEM, vous pouvez désormais consulter le schéma des indicateurs de risque personnalisés créés pour Citrix Virtual Apps and Desktops et Citrix DaaS. Ces données vous aident à mieux comprendre la posture de risque de sécurité de votre organisation.

Pour plus d’informations sur le schéma d’indicateur de risque personnalisé, consultez la section Format de données Citrix Analytics pour SIEM.

Prise en charge de Citrix Director en tant que source de données

Vous pouvez désormais configurer vos sites locaux sur Citrix Director pour envoyer des événements à Security Analytics. Ces événements sont utilisés pour découvrir les utilisateurs connectés à Security Analytics et déterminer les versions de l’application Workspace installées sur les appareils des utilisateurs.

Par défaut, le traitement des données est activé après la découverte des sites. Sur la carte de surveillance, vous pouvez afficher tous les sites connectés.

Pour plus d’informations sur la façon de configurer vos sites sur Director, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS.

Prise en charge de la géolocalisation dans le tableau de bord de localisation Access Assurance

Vous pouvez désormais utiliser les paramètres de géolocalisation dans le tableau de bord pour sélectionner et activer les zones geofence. Après avoir activé le geofence, la carte affiche les zones geofence (pays) et les connexions de l’utilisateur depuis l’extérieur et l’intérieur de la clôture géographique. Cette fonctionnalité utilise la session CVAD démarrée en dehors de l’indicateur de risque de géofence pour surveiller les ouvertures de session des utilisateurs.

Pour plus d’informations, consultez Tableau de bord de localisation Access Assurance.

État de l’application Workspace sur la page Utilisateurs

Sur la page Utilisateurs, vous pouvez désormais afficher l’état des clients de l’application Citrix Workspace pris en charge par Citrix Analytics. La page affiche l’état suivant :

• Pris en charge
• Prise en charge partielle
• Non pris en charge
• Non disponible
• Inactif

L’état vous aide à identifier toutes les versions de client non prises en charge utilisées par les utilisateurs et à recommander aux utilisateurs de mettre à niveau leurs clients vers une version prise en charge. Une version client prise en charge envoie les événements utilisateur à Citrix Analytics.

Remarque

Pour afficher l’état de l’application Citrix Workspace, vous devez embarquer votre source de données Citrix Director. Dans le cas contraire, l’état de chaque utilisateur de Citrix Virtual Apps and Desktops et Citrix DaaS est indiqué comme Inactif.

Pour plus d’informations, consultez le tableau de bord Utilisateurs.

Prise en charge de l’opérateur IS EMPTY

Lors de la création d’un indicateur de risque personnalisé, vous pouvez désormais utiliser l’opérateur IS EMPTY dans votre condition pour vérifier la dimension nulle ou vide.

Remarque

L’opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-Name, Browser et Country.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Cotation de risque améliorée

Dans la chronologie de l’utilisateur, vous pouvez désormais afficher le résumé des risques d’un utilisateur. Le résumé des risques fournit des informations sur les facteurs de risque associés aux événements utilisateur. Le facteur de risque vous aide à identifier le type d’anomalies dans les événements utilisateur et à déterminer le score de risque. Les facteurs de risque sont les suivants :

• Indicateurs de risque basés sur les appareils

• Indicateurs de risque basés sur la localisation

• Indicateurs de risque basés sur IP

• Indicateurs de risque basés sur les échecs de connexion

• Indicateurs de risque basés sur des données

• Indicateurs de risque basés sur les fichiers

• Indicateurs de risque personnalisés

• Autres indicateurs de risque

Sur la chronologie de l’utilisateur, vous pouvez désormais appliquer le filtre pour afficher les événements utilisateur en fonction des facteurs de risque.

Pour plus d’informations, consultez les rubriques suivantes :

• Indicateurs de risque utilisateur Citrix

• Chronologie et profil des risques utilisateur

29 juillet 2021

Fonctionnalité obsolète

Actions obsolètes associées à Citrix Endpoint Management

Les actions suivantes sont supprimées de la source de données Citrix Endpoint Management. Vous ne pouvez plus appliquer ces actions sur les indicateurs de risque ni créer de stratégies à l’aide de ces actions.

• Verrouiller un appareil

• Notifier l’administrateur Endpoint Management

• Notifier un utilisateur

• Révoquer un appareil

• Wipe device

Dans vos stratégies existantes, si ces actions sont déjà utilisées, elles sont automatiquement remplacées par l’action Ajouter à la liste de suivi . Et vous pouvez surveiller ces utilisateurs à partir de la liste de suivi.

14 juillet 2021

Nouveautés

Prise en charge de l’opérateur IS NOT EMPTY

Lors de la création d’un indicateur de risque personnalisé, vous pouvez désormais utiliser l’opérateur IS NOT EMPTY dans votre état pour vérifier si la dimension n’est pas vide (pas vide).

Remarque

L’opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-Name, Browser et Country.

Par exemple, la condition suivante détecte les événements d’ouverture de session utilisateur de tout pays où la valeur du pays n’est pas nulle. En d’autres termes, le nom du pays est spécifié.

Event-Type = “Session.logon” AND Country IS NOT EMPTY

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

06 juillet 2021

Nouveautés

Afficher les utilisateurs non risqués sur le tableau de bord Utilisateurs

Dans le tableau de bord Utilisateurs, vous pouvez désormais afficher le nombre d’utilisateurs non risqués pour la période sélectionnée. Ces utilisateurs découverts sont identifiés comme étant non risqués sur la base du score de risque zéro pour la période sélectionnée. Cliquez sur la fiche Utilisateurs non risqués pour afficher tous les utilisateurs dont le score de risque est nul.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

01 juillet 2021

Nouveautés

Améliorations du tableau de bord de localisation Access Assurance

• Dans le tableau Top 10 des emplacements d’ouverture de session uniques, vous pouvez afficher le nombre d’ouvertures de session uniques d’utilisateurs à partir d’emplacements inconnus. Cette liste est un sous-ensemble des 10 principaux emplacements d’ouverture de session uniques. Vous pouvez également trouver les raisons pour lesquelles les emplacements sont inconnus et les moyens possibles d’obtenir les emplacements des utilisateurs.

  

• Sur la page Emplacement d’accès, si vous sélectionnez plusieurs emplacements, vous pouvez afficher et comparer les détails de la chronologie des ouvertures de session des utilisateurs de tous les emplacements, des cinq premiers emplacements et des cinq derniers emplacements.

  

• Sur la page Emplacement d’accès, vous pouvez utiliser les facettes imbriquées telles que le pays et ses villes, les systèmes d’exploitation, les versions principales et secondaires. Ces facettes vous permettent de filtrer les événements de manière granulaire.

  

Pour plus d’informations, consultez la section Emplacement de la garantie d’accès.

Mise à jour de la facette du système d’exploitation dans la recherche en libre-service pour Virtual Apps and Desktops

Vous pouvez désormais filtrer les événements Apps and Desktops à l’aide de la facette du système d’exploitation imbriqué. Sélectionnez la version principale et la version secondaire associées à un système d’exploitation et filtrez les événements de manière granulaire. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

30 juin 2021

Nouveautés

Ajout de la version de l’application Workspace dans l’état d’indicateur de risque personnalisé pour les applications

Pour la source de données Apps and Desktops, vous pouvez désormais utiliser la dimension Workspace-App-Version pour définir votre condition tout en créant un indicateur de risque personnalisé. Pour plus d’informations sur la dimension, consultez la section Recherche en libre-service d’applications et de bureaux.

23 juin 2021

Nouveautés

Améliorations apportées aux messages SIEM

Les champs suivants sont désormais ajoutés au schéma des indicateurs de risque :

• indicator_vector_name- Indique le vecteur de risque associé à un indicateur de risque. Les vecteurs de risque sont les indicateurs de risque basés sur l’appareil, les indicateurs de risque basés sur l’emplacement, les indicateurs de risque basés sur les échecs de connexion, les indicateurs de risque basés sur IP, les indicateurs de risque basés sur les données, les indicateurs de risque basés sur les fichiers et d’autres indicateurs de risque.

• indicator_vector_id- L’identifiant associé à un vecteur de risque. ID 1 = indicateurs de risque basés sur l’appareil, ID 2 = indicateurs de risque basés sur la localisation, ID 3 = indicateurs de risque basés sur l’échec de la connexion, ID 4 = indicateurs de risque basés sur IP, ID 5 = indicateurs de risque basés sur IP, ID 6 = indicateurs de risque basés sur les données, ID 7 = Autres indicateurs de risque et ID 999 = Non disponible.

Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

07 juin 2021

Nouveautés

Améliorations apportées à l’action Notifier les administrateurs

Lorsque vous appliquez l’action Notifier les administrateurs à un indicateur de risque ou que vous créez une stratégie avec cette action, vous pouvez désormais sélectionner les administrateurs qui reçoivent une notification concernant le comportement à risque de l’utilisateur. Pour plus d’informations sur cette action, consultez la section Stratégies et actions.

Ajout de la prise en charge de l’action de partage en lecture seule

Si un utilisateur partage des fichiers de manière excessive, Citrix Analytics déclenche l’indicateur de risque de partage de fichiers excessif . À partir de la chronologie des risques de l’utilisateur, vous pouvez désormais appliquer l’action Modifier les liens vers le partage en lecture seule à l’indicateur de risque de partage de fichiers excessif . Vous pouvez également appliquer l’action sur un lien de partage particulier sur la chronologie des risques liés au lien de partage. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations sur cette action, consultez la section Stratégies et actions.

18 mai 2021

Nouveautés

Migration des indicateurs de risque par défaut vers des indicateurs de risque personnalisés

Les indicateurs de risque par défaut suivants sont migrés vers des indicateurs de risque personnalisés préconfigurés.

Indicateur de risque de défaut	Source de données	Indicateur de risque personnalisé préconfiguré
Premier accès à partir d’un nouvel appareil	Citrix Virtual Apps and Desktops et Citrix DaaS	Accès au CVAD pour la première fois depuis un nouvel appareil
Premier accès à partir d’une nouvelle adresse IP	Citrix Gateway	Accès Gateway pour la première fois à partir d’une nouvelle adresse IP

Avec cette migration vers les indicateurs de risque personnalisés, les indicateurs de risque par défaut et les algorithmes de machine learning associés sont déconseillés.

Les indicateurs de risque personnalisés correspondants sont déclenchés en fonction des conditions préconfigurées suivantes :

• Lorsqu’un utilisateur accède pour la première fois à partir d’un nouvel appareil ou d’un appareil existant qui n’a pas été utilisé depuis au moins 90 jours.

• Lorsqu’un utilisateur se connecte pour la première fois à partir d’une nouvelle adresse IP ou d’une adresse IP existante qui n’a pas été utilisée depuis au moins 90 jours.

En plus des conditions préconfigurées, vous pouvez désormais ajouter vos propres conditions pour ces indicateurs de risque personnalisés afin d’identifier les menaces dans votre environnement Citrix. Cette option vous permet de configurer l’indicateur de risque personnalisé en fonction de vos besoins en matière de sécurité. Vous pouvez également créer des stratégies pour appliquer des actions sur les événements risqués détectés par ces indicateurs de risque personnalisés.

Toutefois, sur la ligne de temps de l’utilisateur, vous pouvez toujours afficher les indicateurs de risque par défaut précédemment déclenchés et leurs événements.

Les stratégies associées à ces indicateurs de risque par défaut sont automatiquement liées aux indicateurs de risque personnalisés préconfigurés correspondants.

Pour plus d’informations, consultez la section Indicateurs et stratégies de risque personnalisés préconfigurés.

Améliorations apportées à la recherche en libre-service pour Gateway

• Le filtre Type d’événement est maintenant renommé en Type d’enregistrement. Sélectionnez l’un des types d’enregistrement suivants pour filtrer vos événements : VPN_AI, VPN_IF et VPN_ST.

• Dans la table DATA, développez une ligne pour un événement utilisateur pour afficher le type d’événement correspondant. Les types d’événements peuvent être les suivants : Authentification, Fichier ICA ou Déconnexion de session.

Le tableau suivant décrit la corrélation entre les types d’enregistrement et les types d’événements.

Type d’enregistrement	Type d’événement
VPN_AI	Authentification
VPN_IF	Fichier ICA
VPN_ST	Déconnexion de session

Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.

Problème résolu

• L’indicateur de risque personnalisé est déclenché en fonction de la sensibilité à la casse des valeurs conditionnelles. Par exemple, dans les événements utilisateur contenant des ID d’appareil dans la liste autorisée, vous constatez le comportement suivant :

  • Si vous saisissez la valeur de la Device-ID dimension en minuscules, l’indicateur personnalisé est déclenché.

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

  • Si vous saisissez la valeur de la Device-ID dimension en majuscules pour le même appareil, l’indicateur personnalisé ne se déclenche pas.

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

  Ce problème est désormais résolu et l’indicateur de risque personnalisé est déclenché indépendamment de la sensibilité à la casse des valeurs conditionnelles.

  [CAS-50153]

29 avril 2021

Nouveautés

Détails des événements pour un indicateur de risque personnalisé

Sur la page de chronologie des risques de l’utilisateur, vous pouvez désormais afficher les événements qui ont déclenché un indicateur de risque personnalisé. Auparavant, vous ne pouvez afficher que les conditions définies, la description et la fréquence de déclenchement d’un indicateur de risque personnalisé. Cliquez sur Recherche d’événements pour afficher les détails des événements associés à l’utilisateur et l’indicateur de risque. Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Problème résolu

• Un administrateur n’est pas en mesure de créer des indicateurs de risque personnalisés même après que son autorisation d’accès est passée de l’administrateur en lecture seule à l’administrateur complet. [CAS-49628]

16 avril 2021

Nouveautés

Améliorations apportées aux messages SIEM

Vous pouvez consulter les améliorations suivantes concernant le format du schéma de l’indicateur de risque :

• L’adresse IP du client est désormais disponible dans le schéma pour tous les indicateurs de risque de lot. Auparavant, l’adresse IP du client n’était disponible que pour quelques indicateurs de risque de lot :

  • Échec de l’analyse EPA
  • Échec excessif de l’authentification
  • Ouverture de session à partir d’une adresse IP suspecte
  • Accès depuis un endroit inhabituel
  • Échec d’authentification inhabituel
  • Téléchargement anonyme de partage sensible
  • Exfiltration potentielle des données

• Si une valeur de champ de type de données entier n’est pas disponible, la valeur attribuée est -999. Par exemple, "latitide" = -999.

• Si une valeur de champ de type de données de chaîne n’est pas disponible, la valeur attribuée est NA. Par exemple, "city"= "NA".

Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

26 mars 2021

Nouveautés

Restriction sur les messages SIEM

Citrix Analytics envoie un maximum de 1 000 détails d’événements pour chaque occurrence d’indicateur de risque à votre service SIEM. Ces événements sont envoyés dans un ordre chronologique d’occurrence. Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

Ajout des champs ID de source de données et ID de catégorie d’indicateur dans les messages SIEM

Les champs suivants sont ajoutés dans le schéma récapitulatif de l’indicateur et dans le schéma des détails de l’événement de l’indicateur.

Champ	Description
data_source_id	ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id	ID associé à une catégorie d’indicateurs de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis

Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

18 mars 2021

Nouveautés

Tableau de bord de localisation Access Assurance

Remarque

La fonctionnalité est en prévisualisation.

Le tableau de bord Access Assurance Location fournit une vue d’ensemble des emplacements à partir desquels les utilisateurs de Citrix Virtual Apps and Desktops et Citrix DaaS se sont connectés pendant une période donnée. Citrix Analytics reçoit ces événements d’ouverture de session utilisateur de l’application Citrix Workspace installée sur les appareils des utilisateurs.

Pour afficher le tableau de bord, cliquez sur Sécurité > Access Assurance.

Vous pouvez consulter les informations suivantes pour une période sélectionnée :

• Nombre total d’ouvertures de session utilisateur à partir d’un emplacement particulier et entre les différents emplacements.

• Nombre total d’ouvertures de session utilisateur uniques dans les emplacements.

• Nombre total de pays depuis lesquels les utilisateurs se sont connectés.

• Top 10 des emplacements avec des ouvertures de session utilisateur uniques.

Pour plus d’informations, consultez la section Emplacement de la garantie d’accès.

Prise en charge du programme NOT LIKE (! ~) opérateur

Pour la requête de recherche en libre-service et la condition de l’indicateur de risque personnalisé, vous pouvez maintenant utiliser le paramètre NOT LIKE (! ~). L’opérateur recherche les événements utilisateur correspondant au modèle de correspondance que vous avez spécifié. Elle renvoie les événements qui ne contiennent pas le modèle spécifié dans la chaîne d’événements.

Par exemple, la requête User-Name !~ “John” affiche des événements pour les utilisateurs, à l’exception de John, John Smith ou de tout autre utilisateur qui contient le nom correspondant « John ».

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

Version traduite du système d’exploitation

Pour la source de données Citrix Virtual Apps and Desktops et Citrix DaaS, la dimension Plateforme est désormais traduite en dimensions OS-Major-Version, OS-Minor-Versionet OS-Extra-Details . En fonction des détails du système d’exploitation d’un utilisateur, Citrix Analytics affiche ces dimensions sur la page de recherche en libre-service.

Vous pouvez utiliser ces dimensions pour définir les conditions d’un indicateur de risque personnalisé.

Pour les indicateurs de risque personnalisés précédemment créés, si vous avez utilisé la dimension Platform comme condition, Citrix Analytics remplace automatiquement la dimension Platform par la version majeure du système d’ordinateur, la version mineure du système d’analyse et les détails supplémentaires d’OS. Cette mise à jour n’affecte pas l’intégrité de la condition définie.

Pour plus d’informations sur les nouvelles dimensions, consultez la rubrique Recherche en libre-service d’Virtual Apps and Desktops.

Mise à jour des champs de données pour les applications et les bureaux

Dans la recherche en libre-service d’applications et de bureaux, affichez les champs de données mis à jour en fonction du modèle contextuel.

Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

Fonctionnalité obsolète

Suppression des événements VPN_AF et VPN_SU de la page de recherche en libre-service

Sur la page de recherche en libre-service de la source de données Citrix Gateway, les types d’enregistrement suivants sont désormais supprimés.

Type d’enregistrement	Nom de l’enregistrement
VPN_SU	Enregistrement de mise à jour de session
VPN_AF	Enregistrement d’échec du lancement de l’application

Vous ne pouvez donc pas filtrer et afficher vos événements en fonction de ces types d’enregistrement. Tous les indicateurs de risque personnalisés basés sur ces types d’enregistrements cessent de fonctionner.

Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.

11 mars 2021

Nouveautés

Horodatage actuel du schéma de score de risque utilisateur

Un nouveau champ last_update_timestamp est ajouté dans le format du schéma de score de risque utilisateur. Ce champ indique l’heure à laquelle le score de risque a été mis à jour pour la dernière fois. Pour plus d’informations sur le format du schéma, consultez Schéma de score de risque utilisateur.

03 mars, 2021

Nouveautés

Améliorations apportées à l’indicateur de risque d’ouverture de session à partir d’une adresse IP suspecte

Sur la page de chronologie des risques de l’utilisateur, une nouvelle section IP suspecte s’affiche pour l’indicateur de risque Ouverture de session à partir d’une adresse IP suspecte . Cette section fournit les informations suivantes :

• Adresse IP à partir de laquelle une activité de connexion suspecte est détectée.
• Emplacement de l’utilisateur.
• Tout modèle d’activité IP suspecte que Citrix Analytics a récemment détecté dans votre organisation.
• Flux de renseignements au niveau de la communauté concernant l’adresse IP.

Pour plus d’informations, consultez l’indicateur de risque d’ ouverture de session à partir d’une adresse IP suspecte .

Améliorations apportées à l’indicateur de risque d’accès à partir d’un emplacement inhabituel

• Dans l’indicateur de risque Accès à partir d’un emplacement inhabituel pour Citrix Content Collaboration, la colonne TOOL NAME a été ajoutée dans la table des événements. Suppression de la colonne DEVICE BROWSER de la table des événements. Pour plus d’informations, consultez la section Indicateurs de risque Citrix Content Collaboration.

• Dans l’indicateur de risque d’accès depuis une localisation inhabituelle pour Citrix Virtual Apps and Desktops et Citrix DaaS, ajoutez les colonnes DEVICE ID et RECEIVER TYPE dans le tableau des événements. Pour plus d’informations, consultez la section Indicateurs de risque Citrix Virtual Apps and Desktops.

Format de données de Citrix Analytics pour SIEM

Cet article décrit le schéma des données traitées générées par Citrix Analytics pour votre service SIEM.

Problème résolu

• Pour un utilisateur Content Collaboration, si la valeur Is Employee<!--NeedCopy--> est NULL, l’utilisateur n’est pas affiché dans la liste des utilisateurs découverts. [CAS-47815]

February 18, 2021

Nouveautés

Prise en charge du premier accès à partir d’une nouvelle entité dans l’indicateur de risque personnalisé

Vous pouvez désormais créer un indicateur de risque qui se déclenche lorsque Citrix Analytics reçoit des événements d’une nouvelle entité pour la première fois. Voici quelques exemples d’entités : Client IP, City et Country.

Sur la page Créer un indicateur, cliquez sur l’option Première fois . Activez le bouton Première fois pour un nouveau bouton et sélectionnez une entité valide dans la liste en fonction de la source de données. Il n’est pas nécessaire d’attribuer une valeur spécifique à l’entité. Par exemple, si vous sélectionnez Ville dans la liste, Citrix Analytics déclenche un indicateur de risque chaque fois que les utilisateurs se connectent à partir d’une nouvelle ville pour la première fois.

Pour plus d’informations, consultez la section Création d’un indicateur de risque personnalisé.

Limite maximale de création d’un indicateur de risque personnalisé

Vous pouvez désormais créer des indicateurs de risque personnalisés jusqu’à une limite maximale de 50. Si vous atteignez cette limite maximale, vous devez supprimer ou modifier tout indicateur de risque personnalisé existant pour créer un indicateur de risque personnalisé.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Données de localisation des utilisateurs provenant de Citrix Virtual Apps and Desktops et Citrix DaaS

Sur la page Informations utilisateur, Citrix Analytics affiche désormais l’emplacement de l’utilisateur à partir de la source de données Citrix Virtual Apps and Desktops et Citrix DaaS.

Pour plus d’informations sur l’emplacement de l’utilisateur, consultez Profil utilisateur.

Tri multi-colonnes

Sur la page de recherche en libre-service, vous pouvez désormais trier les événements utilisateur par plusieurs colonnes. Cliquez sur Trier par, ajoutez les colonnes et l’ordre de tri. Cliquez sur Appliquer pour trier les événements utilisateur. Vous pouvez ajouter jusqu’à six colonnes pour effectuer un tri sur plusieurs colonnes.

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

Fonctionnalités obsolètes

L’indicateur de risque de défaillance d’autorisation excessive est obsolète

L’indicateur de risque Citrix Gateway - Défaillance d’autorisation excessive est obsolète. Vous ne pouvez consulter que les données historiques liées à cet indicateur.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

• Citrix Analytics ne génère plus ces indicateurs de risque.

• Citrix Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.

• Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.

27 janvier 2021

Nouveautés

Améliorations apportées à l’indicateur de risque Accès à partir d’un emplacement inhabituel

Pour Citrix Content Collaboration, Citrix Gateway et Citrix Virtual Apps and Desktops, l’indicateur de risque Accès à partir d’un emplacement inhabituel est désormais déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville anormalement éloignée de toute connexion précédente emplacement. D’autres facteurs incluent le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation des utilisateurs est basé sur les 30 jours précédents d’activité de connexion.

Pour plus d’informations sur l’indicateur de risque, consultez les rubriques suivantes :

• Indicateurs de risque Citrix Content Collaboration

• Indicateurs de risque de Citrix Gateway

• Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS

January 20, 2021

Problème résolu

• Pour la source de données Apps and Desktops avec StoreFront local, le traitement des données échoue bien que le déploiement StoreFront soit correctement connecté.

  [CAS-46656]

19 janvier 2021

Problème résolu

• Dans la page d’indicateur de risque personnalisé, après avoir corrigé une condition non valide dans le champ de recherche, le lien Estimate Trigger ne répond pas.

  Par exemple, vous saisissez une condition Client-IP = 10.10.10.10non valide. Après avoir corrigé cette condition et tapé Client-IP = « 10.10.10.10 », le lien Estimate Trigger ne répond pas.

  Solution : actualisez la page des indicateurs personnalisés, puis créez l’indicateur personnalisé avec une condition valide.

  [CAS-46316]

January 13, 2021

Nouveautés

Une nouvelle version du module complémentaire Citrix Analytics pour Splunk est disponible

Le module complémentaire Citrix Analytics version 2.1.0 pour Splunk est désormais disponible. Accédez à la page des téléchargements pour télécharger le fichier.

Ajout de la prise en charge de Splunk Cloud Inputs Data Manager (IDM) et de Splunk 8.1 64 bits

Vous pouvez désormais intégrer Citrix Analytics for Security avec Splunk Cloud IDM et Splunk 8.1 64 bits. Pour plus d’informations, consultez la section Intégration de Splunk.

Prise en charge dépréciée

Suppression du support pour Splunk 7.1 64 bits

Vous ne pouvez plus intégrer Citrix Analytics for Security avec Splunk 7.1 64 bits. Pour plus d’informations sur les versions Splunk prises en charge, voir Intégration de Splunk.

11 janvier 2021

Problème résolu

• Sur la fiche de site Virtual Apps and Desktops, l’étiquette Utilisateurs clients pris en charge est renommée en Événements reçus des utilisateurs. Le libellé Utilisateurs clients non pris en charge est renommé «  Impossible de recevoir des événements de la part des utilisateurs ».

  [CAS-44773]

December 17, 2020

Nouveautés

Utilisez des indicateurs de risque personnalisés préconfigurés et une stratégie pour bloquer l’accès depuis des emplacements inhabituels (géofencing)

Citrix fournit une liste d’indicateurs de risque personnalisés préconfigurés et une stratégie qui vous aident à surveiller la sécurité de votre infrastructure Citrix. Grâce à ces indicateurs et à une stratégie, vous pouvez bloquer l’accès utilisateur provenant de pays hors de leur pays d’exploitation habituel. Par défaut, le pays est défini sur « États-Unis ». Vous pouvez définir votre pays requis pour le géofencing.

Voici les indicateurs de risque personnalisés préconfigurés et une stratégie :

• La session CVAD débute en dehors du périmètre de géofencing

• GW-Geofence crossing

• CCC-Geofence crossing

• Début de la session en dehors de la clôture géographique

Pour plus d’informations, consultez la section Indicateurs et stratégies de risque personnalisés préconfigurés.

Afficher les emplacements accessibles dans l’e-mail de réponse utilisateur

Au lieu de l’adresse IP d’une machine utilisateur, l’e-mail de réponse de l’utilisateur affiche désormais tous les emplacements auxquels l’utilisateur a accédé au cours des 15 dernières minutes. L’emplacement est affiché dans le <City>,<Country><!--NeedCopy--> format. Si la ville ou le pays n’est pas disponible, la valeur correspondante est affichée comme « Inconnu ».

Pour plus d’informations, consultez la section Demander une réponse utilisateur.

Indicateur de risque de Content Collaboration renommé - Premier accès depuis un nouvel emplacement

L’indicateur de risque Citrix Content Collaboration Le premier accès à partir d’un nouvel emplacement est renommé Accès depuis un emplacement inhabituel.

Pour plus d’informations, consultez Accès à partir d’un emplacement inhabituel.

Fonctionnalités obsolètes

Feedback sur les indicateurs de risque

Le mécanisme de rétroaction des indicateurs de risque est supprimé. Si l’indicateur de risque Content Collaboration - Accès depuis un emplacement inhabituel est déclenché de manière incorrecte, vous ne pouvez plus le signaler comme un faux positif et fournir des commentaires.

December 07, 2020

Nouveautés

Améliorations de l’indicateur de risque potentiel d’exfiltration de données

Les améliorations suivantes sont apportées à l’indicateur de risque :

• Les informations de la section WHAT HAPPENED sont mises à jour. Le format de l’heure est mis à jour pour maintenir la cohérence.

• Les informations de localisation de l’appareil apparaissent dans la liste des événements.

Pour plus d’informations sur l’indicateur de risque, voir Exfiltration potentielle de données.

Améliorations de l’indicateur de risque Content Collaboration - Premier accès depuis un nouvel emplacement

Dans la chronologie des risques utilisateur, sélectionnez Premier accès depuis un nouvel emplacement pour afficher les informations suivantes :

• Emplacements de connexion : affiche une vue cartographique géographique des emplacements habituels et inhabituels à partir desquels l’utilisateur s’est connecté.

• Nombre de connexions depuis des emplacements habituels - 30 derniers jours : affiche un graphique à secteurs des 6 premiers emplacements habituels à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours. Il affiche également le nombre d’événements de connexion de ces emplacements.

• Détails de l’événement pour un emplacement inhabituel : fournit la liste des événements de connexion de l’emplacement inhabituel pour l’utilisateur.

Pour plus d’informations sur l’indicateur de risque, voir Premier accès depuis un nouvel emplacement.

30 novembre 2020

Nouveautés

Amélioration de la page de recherche en libre

Les améliorations suivantes sont apportées pour améliorer la convivialité de la page de recherche en libre-service :

• La zone de recherche affiche un exemple de requête pour indiquer comment saisir votre propre requête.

  

• Sous macOS, la barre de défilement de la liste des dimensions apparaît désormais par défaut.

  

• Les filtres appliqués apparaissent désormais sous forme de jetons.

  

• L’étiquette Ajouter ou supprimer des colonnes remplace l’icône + .

  

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

Amélioration des stratégies

La page Stratégies affiche désormais les stratégies associées aux sources de données qui ont été découvertes et connectées à Citrix Analytics. Cette page n’affiche pas les stratégies pour lesquelles une condition est définie pour les sources de données non découvertes. La désactivation du traitement des données pour une source de données déjà connectée n’affecte pas les stratégies existantes sur la page Stratégies .

Pour plus d’informations, consultez la section Configurer des stratégies et des actions.

04 novembre 2020

Nouveautés

Échec d’authentification inhabituel : indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces basées sur l’accès lorsqu’un utilisateur a des échecs de connexion à partir d’une adresse IP inhabituelle et déclenche l’indicateur de risque d’échec d’authentification inhabituel .

Cet indicateur de risque est déclenché lorsqu’un utilisateur de votre organisation a des échecs de connexion à partir d’une adresse IP inhabituelle qui est contraire à son comportement habituel.

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.

20 octobre 2020

Problème résolu

• L’indicateur de risque Premier accès depuis un nouvel appareil avec l’action Déconnexion de l’utilisateur appliquée ne fonctionne pas comme prévu.

  [CAS-40743]

15 octobre 2020

Nouvelles fonctionnalités

Accès depuis un emplacement inhabituel : indicateur de risque Citrix Virtual Apps and Desktops et Citrix DaaS

Citrix Analytics détecte les menaces basées sur l’accès en fonction des connexions inhabituelles de Citrix Workspace et déclenche l’indicateur de risque correspondant.

Pour plus d’informations, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.

Améliorations du tableau de bord Share Link

• La colonne SHARE URL est maintenant remplacée par la colonne SHARE ID. Chaque URL de partage est désormais identifiée par un ID de partage.

• La sélection de l’heure sur le tableau de bord est supprimée. Désormais, ce tableau de bord affiche tous les liens de partage entre l’état actif et l’état expiré au lieu d’une période sélectionnée.

• Tous les liens de partage sont triés dans l’ordre des liens actifs, puis des liens expirés. Par défaut, le lien de partage avec le nombre d’indicateurs de risque le plus élevé apparaît en haut de la liste.

• Les liens risqués affichent désormais les liens actifs qui présentent un comportement risqué. Il n’affiche pas les liens expirés. Par défaut, le lien risqué avec le nombre d’indicateurs de risque le plus élevé apparaît en haut de la liste.

• La vue des tendances de la carte Liens de partage risqués et de la fiche Tous les liens de partage est supprimée.

Pour plus d’informations, consultez la section Tableau de bord Partager des liens.

Améliorations de la chronologie des risques de Share Link

La chronologie des risques affiche désormais l’ID de partage au lieu de l’URL du partage. Pour plus d’informations, voir Chronologie des risques de lien de partage.

Fonctionnalités obsolètes

L’accès à partir d’un appareil doté d’un indicateur de risque de système d’exploitation (OS) non pris en charge est obsolète

L’indicateur de risque Citrix Virtual Apps and Desktops - L’accès à partir d’un appareil doté d’un système d’exploitation (SE) non pris en charge est obsolète. Vous ne pouvez consulter que les données historiques liées à cet indicateur.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

• Analytics ne génère plus ces indicateurs de risque.

• Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.

• Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.

Pour plus d’informations, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.

10 septembre 2020

Nouvelles fonctionnalités

Liste de contrôle pour StoreFront

Citrix Analytics affiche désormais une liste des conditions préalables que vous devez respecter avant de télécharger le fichier de configuration StoreFront. Consultez la liste de contrôle et assurez-vous que toutes les exigences minimales sont sélectionnées. Si la configuration minimale n’est pas sélectionnée, vous ne pouvez pas télécharger le fichier de configuration. Pour plus d’informations, consultez la section Source de données Citrix Virtual Apps and Desktops.

Recherche en libre-service - prise en charge de NOT EQUAL (! =) opérateur

Vous pouvez maintenant utiliser la fonction NOT EQUAL (! =) dans votre requête dans les fonctionnalités suivantes :

• Indicateur de risque personnalisé

• Recherche en libre-service

Vous pouvez utiliser cet opérateur pour les conditions suivantes :

Source de données	Dimensions
Content Collaboration	Pays, ville, système d’exploitation client
Contrôle d’accès	Pays, Ville, Action, URL, Catégorie d’URL, Réputation, Navigateur, OS, Appareil
Applications et bureaux	Pays, ville, nom de l’application, fonctionnement du presse-papiers, navigateur, système d’exploitation
Gateway	Étape d’authentification, IP du client

À l’aide de l’opérateur, créez une expression d’indicateur personnalisée avec une seule valeur telle que « Country ! = XYZ » et affichez la liste des utilisateurs. Créez ensuite une stratégie pour appliquer des actions telles que Ajouter à la liste de suivi, Notifier l’administrateur ou Désactiver l’utilisateur. Vous pouvez également utiliser l’opérateur dans la recherche en libre-service des sources de données spécifiées pour filtrer les événements utilisateur.

Lorsque vous saisissez les valeurs des dimensions de votre requête, utilisez les valeurs exactes affichées sur la page de recherche en libre-service d’une source de données. Les valeurs de dimension sont sensibles à la casse.

08 septembre 2020

Nouvelles fonctionnalités

Corrélation des utilisateurs

Analytics établit désormais une corrélation avec les utilisateurs découverts à partir de diverses sources de données. Ce mécanisme élimine la plupart des utilisateurs dupliqués de la liste des utilisateurs découverts. Les utilisateurs découverts dans Analytics affichent désormais la liste des utilisateurs uniques ainsi que leurs sources de données et les indicateurs de risque.

Par exemple, l’utilisateur « Joe Smith » peut avoir plusieurs identifiants utilisateur : JosephSM joe.smith@citrix.com et joe.smith, en fonction des sources de données. Analytics identifie désormais cet utilisateur avec un nom d’identificateur unique. Tous les autres identificateurs d’utilisateur sont corrélés et les événements reçus pour Joe Smith à partir de diverses sources de données sont liés à ce nom unique. Pour plus d’informations, consultez la section Utilisateurs découverts

Problème résolu

Dans la liste Actions, après avoir sélectionné les options d’action et cliqué sur Appliquer, un message d’erreur s’affiche.

[CAS-39914]

11 août 2020

Problèmes résolus

• Vous n’êtes pas en mesure d’intégrer Microsoft Graph Security à Citrix Analytics. Ce problème s’est produit car le portail Microsoft n’a pas pu être redirigé vers Citrix Analytics.

[CAS-38021]

31 juillet 2020

Problèmes résolus

• L’option Déclencheurs estimés de l’indicateur de risque personnalisé ne prédit pas les instances de l’indicateur de risque personnalisé pour le dernier jour.

[CAS-38129]

09 juillet 2020

Nouvelles fonctionnalités

La fiche de site Virtual Apps and Desktops affiche les utilisateurs avec des clients pris en charge et non pris en charge

Sur la fiche de site, vous pouvez désormais afficher le nombre d’utilisateurs qui utilisent des versions prises en charge et non prises en charge de l’application Citrix Workspace ou des clients Citrix Receiver sur leurs points de terminaison.

• Cliquez sur le nombre d’utilisateurs des clients pris en charge pour afficher la page Utilisateur qui affiche tous les utilisateurs découverts.

• Cliquez sur le nombre d’utilisateurs des clients non pris en charge pour télécharger un fichier CSV. Le fichier répertorie les utilisateurs et leurs versions client non prises en charge. Analytics ne reçoit pas d’événements utilisateur des clients non pris en charge et n’ajoute donc pas les utilisateurs en tant qu’utilisateurs découverts. À l’aide du fichier CSV, vous identifiez les utilisateurs qui doivent mettre à niveau leurs clients vers une version prise en charge afin qu’Analytics puisse fournir des informations de sécurité sur leur comportement.

Pour afficher la liste des clients pris en charge, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS.

Accès à partir d’un indicateur de risque de localisation inhabituelle

• L’indicateur de risque Citrix Gateway Premier accès depuis un nouvel emplacement est renommé Accès à partir d’un emplacement inhabituel.

• Dans la chronologie du risque utilisateur, une carte géographique et un diagramme circulaire sont introduits dans la section Détails de l’événement.

  • Emplacements de connexion : Cette section affiche une vue cartographique géographique des emplacements habituels et inhabituels de l’utilisateur. Les emplacements habituels et inhabituels sont indiqués par un code couleur en haut à droite de la carte géographique. Vous pouvez zoomer sur la carte géographique pour voir de plus près l’emplacement.

    

  • Emplacements habituels - 30 derniers jours : Cette section affiche un graphique à secteurs qui donne une vue des 6 principaux emplacements habituels depuis lesquels l’utilisateur s’est connecté. Chaque emplacement est marqué par un code couleur différent. Vous pouvez trier la section par emplacement pour obtenir une vue détaillée de l’emplacement sélectionné.

    

Pour plus d’informations, consultez Accès à partir d’un emplacement inhabituel.

Données du tableau de bord des utilisateurs

Le nombre d’utilisateurs à risque, d’utilisateurs découverts, d’utilisateurs privilégiés et d’utilisateurs dans la liste de suivi est affiché pour les 13 derniers mois, quelle que soit la période sélectionnée dans le tableau de bord Utilisateurs et la page Utilisateurs . Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Page Utilisateurs repensée

La page Utilisateurs a été améliorée pour une meilleure expérience utilisateur. Il fournit un résumé consolidé des événements utilisateur en fonction des scores de risque utilisateur, de la source de données et du type d’utilisateur.

Pour permettre une recherche plus ciblée, la page Utilisateurs contient la section Filtres dans le volet gauche et la barre de recherche en haut. Vous pouvez rechercher des événements utilisateur pour une durée prédéfinie ou une plage de temps personnalisée.

Pour afficher la page Utilisateurs  :

• Accédez à Sécurité > Utilisateurs pour afficher le tableau de bord Utilisateurs et procédez comme suit :

  • Cliquez sur l’un des liens suivants ou sur les fiches.

    

  • Dans le volet Utilisateurs risqués, cliquez sur Voir plus.

  • Dans le volet Utilisateurs de la liste de suivi, cliquez sur Voir plus.

  • Dans le volet Utilisateurs privilégiés, cliquez sur Voir plus.

• Accédez à Paramètres > Sources de données > Sécurité. Cliquez sur le nombre d’utilisateurs de n’importe quelle fiche de site de source de données.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Améliorations du volet Utilisateurs risqués

La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.

Pour plus d’informations, consultez la section Utilisateurs risqués.

Améliorations apportées aux utilisateurs dans le volet Liste de suivi

La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.

Pour plus d’informations, consultez la section Utilisateurs dans la liste de suivi.

Améliorations du volet Utilisateurs privilégiés

• La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.

• Cliquez sur Voir plus pour afficher la page Utilisateurs . La page Utilisateurs qui affiche la liste des utilisateurs privilégiés administrateur et exécutif. Sur cette page, vous pouvez ajouter ou supprimer un utilisateur en tant qu’utilisateur privilégié.

Pour plus d’informations, consultez la section Utilisateurs privilégiés.

Fonctionnalités obsolètes

Alertes

La fonctionnalité Alertes est désormais obsolète et n’est plus disponible dans l’interface utilisateur Analytics.

Page Utilisateurs à risque et liste de suivi

Les pages Utilisateurs risqués et Liste de suivi sont obsolètes. Ils sont remplacés par la page Utilisateurs qui récapitule tous les événements utilisateur risqués et les utilisateurs de la liste de suivi.

Volet Utilisateurs risqués

Les onglets Changement du score le plus élevé et Changement de l’indicateur de risque sont supprimés du volet Utilisateurs risqués .

Volet Indicateur de risque

• L’onglet Changement d’occurrence et la colonne CHANGE sont supprimés.

  

• La page Détails de l’indicateur de risque est obsolète. Auparavant, cette page était affichée lorsqu’un indicateur de risque était sélectionné dans le volet Indicateurs de risque ou sur la page Aperçu de l’indicateur de risque .

  

Vue des tendances

Dans le tableau de bord Utilisateurs, la vue des tendances du nombre d’utilisateurs est supprimée des fiches Utilisateurs à risque élevé, Utilisateurs à risque moyen, Utilisateurs à faible risqueet Utilisateurs de la liste de surveillance.

Page Groupes d’utilisateurs

La page Groupes d’utilisateurs sous l’option Paramètres est obsolète. Vous ne pouvez plus ajouter ou supprimer un groupe d’utilisateurs en tant que groupe privilégié. Toutefois, vous pouvez ajouter ou supprimer des utilisateurs individuels en tant qu’utilisateurs privilégiés. Pour plus de détails, consultez la section Utilisateurs privilégiés.

26 juin 2020

Fonctionnalités obsolètes

Indicateurs de risque liés au temps inhabituel d’accès aux applications (virtuel/SaaS) dépréciés

Les indicateurs de risque Citrix Virtual Apps and Desktops - Heure inhabituelle d’accès aux applications (virtuel) et Heure inhabituelle d’accès aux applications (SaaS) ont été déconseillés. Vous ne pouvez consulter que les données historiques liées à ces indicateurs.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

• Analytics ne génère plus ces indicateurs de risque.
• Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.
• Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.

Pour plus d’informations, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.

02 juin 2020

Problèmes résolus

• Dans la chronologie des risques utilisateur, l’état des actions Virtual Apps and Desktops (basées sur une stratégie ou appliquées manuellement) apparaît comme « Échec », même si les actions ont été appliquées avec succès sur le compte d’utilisateur. Par exemple, l’action Démarrer l’enregistrement de session est appliquée avec succès sur le compte d’utilisateur, mais le résultat est affiché comme « Échec ». [CAS-32773]

  

11 mai 2020

Problèmes résolus

• Pour certains utilisateurs, les actions basées sur des stratégies ne sont pas déclenchées et le mode d’application de la stratégie ne peut pas être appliqué. Ce problème se produit lorsque les identifiants des clients ne sont pas en minuscules.

  [CAS-34209], [CAS-34141]

• Impossible de créer des indicateurs de risque personnalisés pour certains utilisateurs. Ce problème se produit lorsque les identifiants des clients ne sont pas en minuscules.

  [CAS-34139]

29 avril 2020

Problèmes résolus

• Les actions appliquées aux indicateurs de risque Citrix Virtual Apps and Desktops ne prennent pas effet, bien qu’Analytics affiche un message indiquant que les actions ont été correctement appliquées. Ce problème est observé dans la version Citrix Virtual Apps and Desktops 7 1912.

  [CAS-31544]

02 avril 2020

Nouvelles fonctionnalités

Désactiver le traitement des données lorsque StoreFront n’est pas ajouté

Sur la fiche de site de la source de données Paramètres > Sources de données > Sécurité > Virtual Apps and Desktops, le bouton Activer le traitement des données n’est pas activé si vous n’avez pas intégré StoreFront. Le message d’avertissement StoreFront non connecté s’affiche sur la fiche de site. Si vous avez un site local actif à partir duquel vous souhaitez qu’Analytics reçoive des données, vous devez vérifier que vous avez intégré StoreFront à Citrix Analytics. Il garantit la protection de vos comptes d’utilisateurs.

Sur la fiche de site Virtual Apps and Desktops, sélectionnez les points de suspension verticaux () et cliquez sur Connecter le déploiement StoreFront. Sur l’écran qui s’affiche, suivez les instructions et terminez la configuration de StoreFront.

Pour plus d’informations, consultez Sites locaux Citrix Virtual Apps and Desktops intégrés à l’aide de StoreFront.

Problèmes résolus

• Pour les utilisateurs de Citrix Content Collaboration, les actions basées sur des stratégies ne prennent pas effet dans les conditions suivantes :

  • Lorsque les conditions de l’indicateur de risque personnalisé sont définies

  • Jusqu’à ce qu’un indicateur de risque soit généré pour un utilisateur

  [CAS-29226]

04 mars 2020

Problèmes résolus

• Lorsque les utilisateurs de passerelle sont connectés à Analytics pour la première fois, ils voient l’erreur Citrix ADC ne répond pas ou les informations d’identification sont incorrectes. Lors d’une nouvelle tentative, ils voient l’erreur L’ appareil avec cette adresse IP existe déjà.

[CAS-31180]

20 février 2020

Nouvelles fonctionnalités

Offre Citrix Analytics for Security

Citrix Analytics for Security est désormais disponible pour un abonnement individuel. Vous pouvez vous abonner à Citrix Analytics for Security et obtenir des informations spécifiques à cette offre. Pour plus d’informations, reportez-vous à la section Mise en route.

Tableau de bord des catégories de risques

Citrix Analytics introduit la catégorisation des indicateurs de risque en fonction des risques ayant un impact similaire sur l’aspect sécurité de l’entreprise. Ce tableau de bord fournit une vue complète des expositions aux risques et des risques critiques qui nécessitent une attention immédiate. Pour les indicateurs de risque par défaut, Analytics attribue automatiquement une catégorie de risque en fonction de l’exposition au risque. Pour les indicateurs de risque personnalisés, vous devez sélectionner une catégorie de risque appropriée en fonction de l’exposition au risque.

Analytics prend en charge les catégories de risques suivantes :

• Exfiltration de données
• Menaces internes
• Utilisateurs compromis
• Points de terminaison compromis

Pour plus d’informations, consultez Catégories de risques.

Colonne Catégorie de risque de la page Indicateurs personnalisés

La colonne Catégorie de risque est introduite sur la page Indicateur de risque personnalisé. En fonction du type d’exposition au risque, vous pouvez sélectionner une catégorie de risque pour votre indicateur de risque personnalisé. Les indicateurs de risque personnalisés créés précédemment sont affichés dans le tableau de bord Catégories de risques si vous les modifiez en sélectionnant une catégorie de risque.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Changement de nom des indicateurs de risque

Les noms des indicateurs de risque suivants ont été modifiés :

Source de données	Ancien nom	Nouveau nom
Citrix Virtual Apps and Desktops et Citrix DaaS	Utilisation inhabituelle des applications (Virtual)	Heure inhabituelle d’accès à l’application (Virtuel)
Citrix Virtual Apps and Desktops et Citrix DaaS	Utilisation inhabituelle des applications (SaaS)	Délai d’accès aux applications (SaaS) inhabituel
Citrix Content Collaboration	Échecs d’ouverture de session excessifs	Échec excessif de l’authentification
Citrix Content Collaboration	Accès inhabituel à l’ouverture de session	Accès pour la première fois depuis un nouvel emplacement
Citrix Access Control	Volume de téléchargement inhabituel	Téléchargement excessif de données
Citrix Gateway	Échecs d’ouverture de session	Échec excessif de l’authentification
Citrix Gateway	Échecs d’autorisation	Échecs excessifs d’autorisation
Citrix Gateway	Accès inhabituel à l’ouverture de session	Accès pour la première fois depuis un nouvel emplacement

Pour plus d’informations, consultez la section Indicateurs de risque.

Problèmes résolus

• Pour certains utilisateurs, Citrix Analytics ne peut pas recevoir de données de Virtual Apps and Desktops, même si la source de données est correctement intégrée et que StoreFront est activé. [CAS-24134]

• Citrix Analytics n’est pas en mesure de recevoir les événements de téléchargement de Citrix Content Collaboration. Par conséquent, les indicateurs de risque suivants ne sont pas déclenchés :

  • Téléchargement anonyme de partage sensible

  • Téléchargements de liens de partage excessifs

  • Accès excessif aux fichiers sensibles

  • Téléchargements excessifs de fichiers

  [CAS-29207]

• Pour les nouveaux utilisateurs intégrés, les actions manuelles et basées sur des stratégies appliquées aux indicateurs de risque Citrix Gateway n’ont aucun effet. [CAS-29029]

• Certains utilisateurs ne peuvent pas afficher les fiches de site sur la page Sources de données. Ce problème est résolu en remplissant à nouveau le cache. [CAS-28781]

09 janvier 2020

Nouvelles fonctionnalités

Évaluation continue des risques

Parmi les défis auxquels les utilisateurs de Citrix Workspace sont confrontés, l’accès à distance expose les données sensibles à des risques de sécurité par le biais d’activités cybercriminelles telles que l’exfiltration de données, le vol, le vandalisme et les interruptions de service. Les employés au sein des organisations sont également susceptibles de contribuer à ces dommages.

Certains moyens de remédier à ces risques sont la mise en œuvre de l’authentification multifacteur, l’application de délais de connexion courts, etc. Bien que ces méthodes d’évaluation des risques garantissent un niveau de sécurité plus élevé, elles ne fournissent pas une sécurité complète après la validation initiale.

Pour améliorer l’aspect sécurité et garantir une meilleure expérience utilisateur, Citrix Analytics introduit la solution d’évaluation continue des risques. Cette solution vous aide à surveiller en permanence les profils des utilisateurs et à prendre diverses mesures lorsque des événements risqués sont détectés.

Pour plus d’informations, consultez la section Évaluation continue des risques.

Configuration de la stratégie

Citrix Analytics vous aide à gérer les configurations de stratégie plus efficacement. Vous pouvez protéger les comptes d’utilisateurs contre les attaques malveillantes à l’aide des fonctionnalités suivantes :

• Stratégies par défaut : Citrix Analytics prend en charge les stratégies par défaut suivantes :

  • Exploitation réussie des informations d’identification
  • Exfiltration potentielle des données
  • Accès inhabituel à partir d’une adresse IP suspecte
  • Accès inhabituel aux applications à partir d’un emplacement inhabituel
  • Utilisateur à faible risque : premier accès à partir d’une nouvelle adresse IP
  • Premier accès à partir de l’appareil

  Vous pouvez modifier les stratégies par défaut en fonction de vos besoins.

  

• Conditions multiples : une stratégie peut contenir jusqu’à quatre conditions. Les conditions peuvent être définies avec des combinaisons de scores de risque et d’indicateurs de risque, ou les deux.

  

• Indicateurs de risque par défaut et personnalisés : Le menu des conditions de la page Créer une stratégie est désormais séparé en fonction des indicateurs de risque par défaut et personnalisés. Lorsque vous créez une stratégie, vous pouvez basculer entre les onglets des indicateurs de risque par défaut et personnalisés, et définir les conditions de l’indicateur de risque.

  

• Demander une réponse de l’utilisateur final : Citrix Analytics introduit l’action Demander une réponse de l’utilisateur final . Cette action vous permet d’envoyer une notification par e-mail à l’utilisateur concernant l’activité à risque détectée. Une fois que l’utilisateur répond à l’activité, vous pouvez déterminer le prochain plan d’action à prendre sur son compte. Vous pouvez également définir le temps de réponse de l’utilisateur. Si aucune réponse n’est reçue, Citrix Analytics considère Aucune réponse comme état.

  

• Appliquer des actions perturbatrices : Vous pouvez avertir les utilisateurs lorsqu’une action perturbatrice, telle que Fermer la session de l’utilisateur ou Verrouiller l’utilisateur, est appliquée. Une notification est envoyée à l’utilisateur avec les détails de l’activité et de l’action appliquée. Cette action interrompt temporairement les services du compte de l’utilisateur afin d’éviter toute autre utilisation abusive. Pour continuer à accéder au compte, l’utilisateur doit contacter l’administrateur pour obtenir de l’aide.

  

• Modes d’application et de surveillance : vous pouvez définir des modes d’application ou de surveillance pour vos stratégies.

  

Pour plus d’informations sur les améliorations apportées aux stratégies, consultez la section Stratégies et actions.

Verrouiller l’utilisateur et Déverrouiller les actions utilisateur

Citrix Analytics introduit les actions de passerelle suivantes :

• Verrouiller l’utilisateur
• Déverrouiller l’utilisateur

Vous pouvez appliquer ces actions manuellement ou lorsque vous configurez des stratégies.

Pour plus d’informations, consultez la section Que sont les actions ?

Tableau de bord de résumé des accès

Citrix Analytics introduit le panneau Résumé des accès dans le tableau de bord Utilisateurs . Il récapitule le nombre total de tentatives effectuées par les utilisateurs pour accéder aux ressources au sein d’une organisation.

Pour plus d’informations, consultez la section Résumé des accès.

Tableau de bord Stratégies et actions

Citrix Analytics introduit le panneau Stratégies et actions du tableau de bord Utilisateurs . Il affiche les cinq principales stratégies et actions appliquées aux profils utilisateur. Vous pouvez trier les données en fonction des principales stratégies et des principales actions pour une période sélectionnée.

Pour plus d’informations, consultez la section Stratégies et actions.

Recherche de stratégies en libre-service

Utilisez la recherche en libre-service pour afficher les événements utilisateur qui respectent vos stratégies définies. Vous pouvez également afficher les actions qu’Analytics a appliquées pour ces événements anormaux. Utilisez les facettes et la zone de recherche pour rechercher les événements requis.

Pour afficher les événements, dans la zone de recherche, sélectionnez Stratégies dans la liste, sélectionnez la période, puis cliquez sur Rechercher.

Pour plus d’informations, consultez la section Recherche en libre-service de stratégies.

Fonctionnalités obsolètes

Condition basée sur la stratégie de changement de score de risque supprimée

Lorsque vous configurez des stratégies, vous ne pouvez plus utiliser la condition basée sur la stratégie de changement de score de risque . Citrix Analytics ne prend pas en charge cette condition.

Pour plus d’informations, consultez la section Stratégies et actions.

Suppression de plusieurs actions basées sur des stratégies

Lorsque vous configurez des stratégies, vous ne pouvez plus appliquer plusieurs actions. Citrix Analytics ne prend en charge qu’une seule action pour chaque stratégie.

Pour plus d’informations, consultez la section Stratégies et actions.

Problèmes résolus

• Les administrateurs délégués en lecture seule rencontrent une erreur lors de l’accès aux tableaux de bord Accès utilisateur et Accès aux applications . [CAS-16297]

12 décembre 2019

Nouvelles fonctionnalités

Prise en charge des versions Splunk

Citrix Analytics prend en charge les versions suivantes de Splunk :

• Splunk 8.0 64 bits
• Splunk 7.3 64 bits

Pour bénéficier des avantages de sécurité maximaux de l’intégration de Splunk, effectuez une mise à niveau vers la dernière version de l’application complémentaire Splunk à partir de la page de téléchargement .

Pour plus d’informations sur les versions Splunk prises en charge, consultez Versions prises en charge.

04 décembre 2019

Nouvelles fonctionnalités

Indicateur de risque personnalisé pour Citrix Gateway

À l’aide d’indicateurs de risque personnalisés, vous pouvez désormais définir les conditions et la fréquence de déclenchement des indicateurs de risque pour les événements Citrix Gateway. Lorsqu’un événement utilisateur remplit les conditions, Analytics déclenche les indicateurs de risque. Pour plus d’informations sur la création d’ indicateurs de risque personnalisés, voir Indicateurs de risque personnalisés.

22 novembre 2019

Nouvelles fonctionnalités

Premier accès depuis un nouvel appareil : indicateur de risque Citrix Virtual Apps and Desktops

Citrix Analytics détecte les menaces d’accès en fonction de l’accès à partir d’un nouvel appareil et déclenche l’indicateur de risque correspondant.

L’indicateur de risque Premier accès à partir d’un nouvel appareil est déclenché lorsqu’un utilisateur se connecte à partir d’un appareil après 90 jours. Cet événement est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion à partir de cet appareil nouveau ou inconnu au cours des 90 derniers jours. Pour plus d’informations, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.

Premier accès à partir d’une nouvelle adresse IP - indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces d’accès en fonction de l’accès à partir d’une nouvelle adresse IP et déclenche l’indicateur de risque correspondant.

Le premier accès à partir d’un nouvel indicateur de risque IP est déclenché lorsqu’un utilisateur se connecte à partir d’une adresse IP après 90 jours. Cet événement est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion à partir de la nouvelle adresse IP ou de l’adresse IP inconnue au cours des 90 derniers jours.

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.

Ouverture de session à partir d’une adresse IP suspecte - indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces d’accès des utilisateurs en fonction de l’activité de connexion IP suspecte et déclenche l’indicateur de risque d’ouverture de session à partir d’adresses IP suspectes .

Cet indicateur de risque est déclenché lorsqu’un utilisateur tente d’accéder au réseau à partir d’une adresse IP suspecte. Analytics considère qu’une adresse IP est suspecte en fonction de l’une des conditions suivantes :

• Est répertorié dans le flux externe sur la détection des menaces IP

• A plusieurs enregistrements de connexion utilisateur à partir d’un emplacement inhabituel

• Contient des tentatives de connexion excessives qui peuvent indiquer une attaque par force brute

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.

Recherche en libre-service des événements Citrix Gateway

Utilisez la fonctionnalité de recherche en libre-service pour obtenir un aperçu des événements utilisateur reçus de la source de données Citrix Gateway. Citrix Analytics reçoit des événements tels que l’étape d’authentification, le type d’autorisation, le code de session VPN et l’état de la session VPN pour les utilisateurs de Citrix Gateway. Utilisez les facettes et la zone de recherche pour rechercher les événements requis et explorer les données sous-jacentes.

Pour afficher les événements, dans la zone de recherche, sélectionnez Passerelle dans la liste, sélectionnez la période, puis cliquez sur Rechercher.

Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.

Recherche en libre-service pour les événements Citrix Remote Browser Isolation

Utilisez la fonction de recherche en libre-service pour obtenir un aperçu des événements de navigation reçus du service Citrix Remote Browser Isolation. Citrix Analytics reçoit des événements tels que la connexion de session, le lancement de session, les applications publiées, les applications supprimées pour chaque connexion utilisateur. Utilisez la zone de recherche pour rechercher les événements requis et explorer les données sous-jacentes.

Pour afficher les événements, dans la zone de recherche, sélectionnez Remote Browser Isolation dans la liste, sélectionnez la période, puis cliquez sur Rechercher.

Pour plus d’informations, voir Recherche en libre-service pour Remote Browser Isolation.

Action Supprimer de la liste de surveillance

Vous pouvez supprimer un utilisateur de la liste de suivi en appliquant la méthode manuelle ou en appliquant une méthode basée sur des stratégies. Pour plus d’informations, consultez la section Liste de suivi.

Messages d’intégration améliorés lors de la configuration d’un déploiement StoreFront

Citrix Analytics fournit désormais les messages suivants pour vous aider à configurer vos déploiements StoreFront :

• Après avoir téléchargé le fichier de configuration, vous pouvez voir un message indiquant la date et l’heure du téléchargement et le nom d’utilisateur. Lorsque vous actualisez cette page, le bouton Télécharger le fichier se transforme à nouveau en Télécharger le fichier.

  

• Si votre configuration StoreFront est incomplète, un message d’avertissement s’affiche pour vous demander de suivre les étapes de configuration et de connecter votre déploiement StoreFront à Analytics.

  

Pour plus d’informations sur la façon de configurer votre déploiement StoreFront, consultez Sites locaux Citrix Virtual Apps and Desktops intégrés à l’aide de StoreFront.

Fonctionnalités obsolètes

Indicateur de risque - Suppression de l’accès depuis un nouvel appareil

Citrix Analytics ne déclenche plus l’indicateur de risque Access from new device . Toutefois, sur le tableau de bord utilisateur, la chronologie utilisateur et le tableau de bord des stratégies, vous pouvez afficher les données historiques liées à cet indicateur de risque.

Pour les stratégies créées précédemment en fonction de l’ accès à partir d’un nouvel appareil, vous devez modifier la stratégie ou créer une stratégie avec le nouvel indicateur de risque Premier accès depuis un nouvel appareil.

Problèmes résolus

• La recherche d’authentification en libre-service ne parvient pas à afficher les événements. [CAS-24959]

08 novembre 2019

Problèmes résolus

• Pour les indicateurs de risque Citrix Content Collaboration, les utilisateurs ne peuvent pas appliquer d’actions sur la chronologie des risques. [CAS-24844]

• L’application Citrix Workspace pour Chrome antérieure à la version 1911 ne parvient pas à envoyer les détails de l’événement à Citrix Analytics. [CAS-24938]

21 octobre 2019

Nouvelles fonctionnalités

Nom modifié de l’agent analytique

Le nom de l’agent est désormais mentionné en tant qu’ agent de stratégie Analytics sur les interfaces utilisateur pour indiquer son rôle. Lors de l’intégration des sources de données Citrix Virtual Apps and Desktops locales, Citrix Analytics indique clairement qu’un agent de stratégie est nécessaire uniquement pour configurer des stratégies et des actions pour votre site. Cet agent n’a aucun rôle dans la transmission des données depuis la source de données. Pour plus d’informations, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS.

Prise en charge de la dimension temporelle pour le rapport personnalisé

Vous pouvez désormais regrouper les événements en fonction du temps en sélectionnant la dimension Temps de l’axe X. Le rapport affiche le nombre total d’événements reçus en fonction des intervalles de temps pour la période sélectionnée. Pour plus d’informations sur la création de rapports, consultez la section Rapports personnalisés.

Améliorations apportées aux journaux d’audit

L’expérience utilisateur de la page Journal d’audit est améliorée.

• Vous pouvez afficher les détails de la date et de l’heure de la dernière mise à jour de la page Journal d’audit et actualiser la page pour afficher les derniers journaux d’audit.

• Vous pouvez effacer tous les filtres appliqués aux journaux d’audit.

Pour plus d’informations sur les données d’audit, consultez Journaux d’audit.

Problèmes résolus

• Citrix Analytics n’est pas en mesure de générer l’indicateur de risque d’ adresse IP anonyme même si Microsoft Graph Security est correctement intégré. [CAS-21329]

• L’application Citrix Workspace pour HTML5 antérieure à la version 1910 ne parvient pas à envoyer les détails de l’événement à Citrix Analytics. [CAS-24938]

23 septembre 2019

Problèmes résolus

• Sur les fiches de site des sources de données, le champ Dernier événement affiche des informations de date et d’heure incorrectes. [CAS-24087]

30 août 2019

Nouvelles fonctionnalités

Modification de la période par défaut dans les tableaux de bord

La période par défaut des tableaux de bord suivants passe de la dernière heure au dernier mois :

• Utilisateurs

• Chronologie des risques

• Accès utilisateur

• Accès aux applications

• Partager des liens

• Historique des alertes

Les tableaux de bord affichent désormais les événements du dernier mois par défaut. Vous bénéficiez d’une expérience plus attrayante en utilisant ces tableaux de bord. Par exemple, lorsque vous ouvrez le tableau de bord App Access, le tableau de bord affiche par défaut les événements d’accès aux applications du dernier mois.

Problèmes résolus

• Pour les indicateurs de risque de Content Collaboration, l’action Désactiver la stratégie utilisateur ne peut pas être appliquée correctement. [CAS-17304]

• Citrix Analytics ne peut pas traiter les événements de Citrix Gateway 13.0. Ce problème se produit car Citrix Gateway 13.0 ne parvient pas à fournir les noms d’utilisateur dans les événements d’ouverture de session envoyés à Citrix Analytics. [CAS-21339]

20 août 2019

Nouvelles fonctionnalités

Améliorations de la recherche en libre-service

• L’expérience utilisateur de la page en libre-service est améliorée. Vous pouvez désormais basculer en toute transparence entre la chronologie des risques utilisateur et la page de recherche en libre-service.

• Vous pouvez désormais trier vos événements par heure. Par défaut, les derniers événements apparaissent en premier dans le tableau des événements. Cliquez sur l’icône de tri dans la colonne TIME pour trier les événements en fonction de l’heure la plus récente ou de la première heure.

Pour plus d’informations sur l’utilisation de la recherche en libre-service, consultez la rubrique Recherche en libre-service.

Améliorations des rapports personnalisés

• De nouvelles dimensions sont ajoutées pour les sources de données Contrôle d’accès, Content Collaboration et Apps and Desktops. Vous pouvez choisir ces dimensions pour créer des rapports. Les dimensions suivantes sont ajoutées pour les sources de données :

  • Contrôle d’accès : agent utilisateur, nom d’utilisateur

  • Content Collaboration contenu : e-mail de l’utilisateur, nom d’utilisateur, créé par, ID de compte, ID client OAuth, ID d’événement, ID de dossier, nom de dossier, ID de ressource, ID de formulaire, adresse IP du client

  • Applications et postes de travail : nom d’utilisateur, adresse IP, identifiant de l’appareil, prison interrompue, type de lancement de session, nom du serveur de session, nom d’utilisateur de la session, nom du fichier de téléchargement, chemin du fichier de téléchargement, nom de l’imprimante d’impression, nom du fichier des détails de la tâche d’impression, URL de lancement de l’application SaaS, opération du presse-papiers, résultat des détails

• L’interface utilisateur du rapport personnalisé est améliorée avec la prise en charge de la pagination et une option Effacer tout pour les filtres.

Pour plus d’informations sur la création d’un rapport personnalisé à l’aide de ces dimensions, consultez la section Rapports personnalisés.

Tableau de bord des indicateurs de risque

Le tableau de bord des indicateurs de risque est présenté sur la page Utilisateurs . Il résume les cinq principaux indicateurs de risque par défaut et personnalisés pour un utilisateur. Un lien Voir plus vous redirige vers la page Aperçu de l’indicateur de risque . Cette page fournit des informations détaillées sur les indicateurs de risque générés pour une période sélectionnée.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Améliorations du tableau de bord des utilisateurs risqués

Citrix Analytics introduit les onglets Indicateurs de risque et Changement des indicateurs de risque dans le tableau de bord Utilisateurs risqués . Vous pouvez consulter les cinq principaux utilisateurs à risque en fonction de ces onglets. Le tableau de bord présente également la colonne Indicateurs de risque . Il indique le nombre d’indicateurs de risque pour un utilisateur.

La page Utilisateurs risqués présente les colonnes Occurrences et Occurrences Change . Ces colonnes résument le nombre total d’occurrences et la modification des occurrences des indicateurs de risque personnalisés et par défaut.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Indicateur de risque de lien de partage - Téléchargements excessifs

Citrix Analytics détecte les menaces d’accès en fonction des téléchargements excessifs sur un lien de partage et déclenche l’indicateur de risque de téléchargements excessifs . En identifiant les liens de partage présentant des téléchargements excessifs, en fonction du comportement précédent, vous pouvez surveiller le lien de partage pour détecter les attaques potentielles. Cet indicateur de risque vous aide à identifier une activité excessive de téléchargement de fichiers.

Pour plus d’informations, consultez la section Téléchargements excessifs.

Recherche en libre-service des données d’authentification

Utilisez la recherche en libre-service pour obtenir des informations sur les événements d’authentification. Citrix Analytics reçoit les événements d’authentification tels que la connexion utilisateur, la fermeture de session utilisateur et la mise à jour du client à partir du service Identity and Access Management de Citrix Cloud. La recherche fournit un rapport détaillé sur les événements d’authentification, vous aide à identifier les problèmes d’authentification et à les résoudre. Vous pouvez également définir une requête de recherche pour récupérer les événements qui correspondent à vos critères définis.

Pour afficher les événements, sélectionnez Authentification dans la liste, sélectionnez la période, puis cliquez sur Rechercher.

Pour plus d’informations, consultez la rubrique Recherche en libre-service pour l’authentification.

11 Juillet 2019

Nouvelles fonctionnalités

Indicateurs de risque personnalisés

Les indicateurs de risque par défaut générés par Citrix Analytics sont basés sur des algorithmes de machine learning. Citrix Analytics vous permet désormais de créer des indicateurs de risque personnalisés. En fonction des événements utilisateur, vous pouvez définir les conditions et créer des indicateurs de risque personnalisés.

Lorsque les conditions définies sont remplies, Citrix Analytics génère des indicateurs de risque personnalisés similaires aux indicateurs de risque par défaut, et les affiche sur la chronologie des risques de l’utilisateur. Les indicateurs de risque personnalisés sont désignés par une étiquette sur la chronologie des risques de l’utilisateur.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Statut privilégié sur la chronologie des risques

La chronologie des risques utilisateur affiche les événements suivants chaque fois qu’il y a un changement dans le statut du privilège Admin ou Executive d’un utilisateur :

• Ajouté au groupe Executive

• Supprimé du groupe Exécutif

• Privilège élevé au rang d’administrateur

• Privilège d’administrateur supprimé

Lorsqu’un indicateur de risque est déclenché pour un utilisateur, vous pouvez le mettre en corrélation avec l’événement de changement de statut de privilège spécifié. Si nécessaire, vous pouvez appliquer les actions appropriées sur le profil utilisateur.

Pour plus d’informations, voir Chronologie des risques utilisateur.

Action d’expiration du lien de partage

Citrix Analytics vous permet d’appliquer des actions sur les indicateurs de risque de lien de partage. Actuellement, l’action prise en charge est Expire le lien de partage.

Pour plus d’informations, consultez la section Indicateurs de risque de lien de partage Citrix.

Améliorations de la recherche en libre-service

• Prise en charge du caractère joker * dans la requête de recherche : Utilisez l’astérisque (*) dans votre requête de recherche pour correspondre à n’importe quel caractère zéro ou plusieurs fois. Par exemple, la requête de recherche User-Name = « John* » affiche les événements pour tous les noms d’utilisateurs commençant par John.

• Ajout de l’option Effacer tout pour les facettes : cliquez sur Effacertout pour supprimer toutes les facettes sélectionnées à la fois.

• Afficher les données de colonne masquées dans la liste des événements : après avoir supprimé une colonne de la table des événements, vous pouvez afficher les données correspondantes dans la liste des événements utilisateur. Développez la ligne d’événement d’un utilisateur et affichez les données.

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

État des erreurs de données sur les fiches de site

Les fiches de site affichent l’étiquette Aucune donnée reçue en rouge lorsque Citrix Analytics ne reçoit pas d’événements de la dernière heure de la source de données. Il affiche également le nombre d’événements reçus et est lié à la page de recherche en libre-service correspondante. Cette fonctionnalité vous permet d’afficher les événements correspondants sur la page de recherche en libre-service et de rechercher tout problème de transmission de données.

Remarque

Actuellement, la recherche en libre-service n’est disponible que pour les sources de données Access, Content Collaboration et Apps and Desktop.

Pour plus d’informations, consultez la section Activer Analytics sur les sources de données Citrix.

Problèmes résolus

• Pour la source de données Access Control, le nombre d’événements sur la fiche de site ne correspond pas aux résultats de la recherche en libre-service. [CAS-18286]

19 juin 2019

Problèmes résolus

• La page Journal d’audit affiche l’état Activé ou désactivé de la transmission de données chaque fois que la source de données Active Directory est découverte. [CAS-17575]

• Le menu de période du tableau de bord Utilisateurs ne se charge pas correctement. Il affiche un message d’erreur de délai d’expiration. [CAS-19467]

• Les utilisateurs reçoivent un message d’erreur sur Citrix Analytics lorsqu’ils se connectent à un client depuis Splunk. Il arrive parfois que l’intégration de nouvelles sources de données échoue. [CAS-19429]

17 juin 2019

Nouvelles fonctionnalités

Configuration du StoreFront

Si votre organisation utilise StoreFront local, vous pouvez désormais configurer StoreFront pour qu’il se connecte à Citrix Analytics. La configuration est effectuée à l’aide d’un fichier de configuration importé depuis Citrix Analytics. Une fois la configuration terminée, l’application Citrix Workspace envoie des événements utilisateur à Citrix Analytics pour générer des informations exploitables sur les comportements des utilisateurs. Les informations vous aident à détecter tout comportement anormal des utilisateurs et à gérer de manière proactive les menaces de sécurité au sein de votre organisation. Pour plus d’informations, consultez Sites locaux Citrix Virtual Apps and Desktops intégrés à l’aide de StoreFront.

30 mai 2019

Nouvelles fonctionnalités

Échecs d’ouverture de session excessifs

Citrix Analytics détecte les menaces d’accès en fonction d’une activité d’ouverture de session excessive et déclenche l’indicateur de risque d’échecs de connexion excessifs. Cet indicateur de risque est déclenché lorsqu’un utilisateur rencontre plusieurs tentatives d’ouverture de session échouées pour accéder à Content Collaboration. En identifiant les utilisateurs présentant des échecs de connexion excessifs, en fonction du comportement précédent, les administrateurs peuvent surveiller le compte de l’utilisateur pour détecter les attaques par force brute.

Remarque

Les échecs d’ouverture de session excessifs sont désormais renommés en tant qu’ échecs d’authentification excessifs.

Problèmes résolus

• Pour certains événements utilisateur transmis par les applications Citrix Workspace, la source de données est incorrectement identifiée comme Endpoint Management au lieu de Citrix Virtual Apps and Desktops.

  [CAS-17323]

• Le chargement du tableau de bord Utilisateurs est long pour la période du dernier mois . Ce problème se produit lorsque le nombre d’utilisateurs est élevé. Dans certains cas, vous pouvez même rencontrer des erreurs 601.

  [CAS-16300]

• Citrix Content Collaboration n’est pas découvert en tant que source de données, bien que certains utilisateurs s’abonnent au service sur Citrix Cloud.

  [CAS-16299]

09 mai 2019

Nouvelles fonctionnalités

Création de rapports personnalisés

Vous pouvez désormais créer des rapports personnalisés en fonction de vos besoins opérationnels. Citrix Analytics fournit une liste de dimensions et de mesures en fonction de la source de données sélectionnée. Choisissez les paramètres requis et les types de visualisation tels que le graphique à barres, le graphique d’événements, le graphique en courbes ou le tableau pour créer vos rapports. La création de rapports vous aide à organiser et à analyser graphiquement vos données.

Pour créer un rapport personnalisé, dans l’onglet Sécurité, cliquez sur Rapports > Créer un rapport. Pour afficher les rapports que vous avez créés précédemment, dans l’onglet Sécurité, cliquez sur Rapports. Pour plus d’informations, consultez la section Rapports personnalisés.

Surveillance des utilisateurs privilégiés

Citrix Analytics vous permet de surveiller de près les anomalies de comportement des utilisateurs privilégiés d’une organisation. Les utilisateurs privilégiés étant très vulnérables aux menaces de sécurité, il devient difficile de distinguer leurs activités quotidiennes des activités malveillantes. Par conséquent, les activités malveillantes des utilisateurs privilégiés restent longtemps inaperçues. Cette fonctionnalité vous permet de surveiller de manière proactive ces activités et de prendre les mesures appropriées sur les comptes d’utilisateurs appropriés. Les utilisateurs privilégiés sont représentés par une icône dans le tableau de bord Utilisateurs .

Citrix Analytics prend en charge la surveillance des types d’utilisateurs privilégiés suivants :

• Admins  : utilisateurs auxquels des privilèges d’administrateur sont attribués par le service Citrix respectif. Actuellement, Citrix Analytics prend en charge la surveillance des utilisateurs privilégiés pour les utilisateurs disposant de privilèges d’administrateur dans le service Content Collaboration.

• Executives  : sur Citrix Analytics, vous pouvez marquer un groupe AD en tant que groupe Executives. Le fait de marquer un groupe AD en tant que groupe exécutif fait de tous les utilisateurs du groupe des utilisateurs privilégiés. S’il n’est pas nécessaire de prendre en charge davantage les anomalies de comportement des utilisateurs d’un groupe AD, vous pouvez supprimer le groupe en tant que groupe exécutif.

Pour plus d’informations, consultez la section Utilisateurs privilégiés.

Récapitulatif hebdomadaire des courriels

Citrix Analytics envoie un e-mail hebdomadaire aux administrateurs pour résumer les risques de sécurité dans l’environnement informatique de leur entreprise. La notification par e-mail est envoyée tous les mardis aux administrateurs et elle met en évidence les événements de sécurité survenus la semaine précédente. Cet e-mail garantit que les administrateurs sont informés des risques de sécurité sans se connecter à Citrix Analytics. Pour plus d’informations, consultez la section Résumé hebdomadaire des e-mails.

26 avril 2019

Nouvelles fonctionnalités

Administrateurs délégués

Citrix Analytics prend désormais en charge les rôles d’administrateur délégué. Cette fonctionnalité vous permet d’inviter d’autres administrateurs sur votre compte Citrix Cloud afin de gérer Citrix Analytics pour votre organisation. Si vous êtes un administrateur Citrix Analytics avec une autorisation d’accès complet, vous pouvez ajouter d’autres administrateurs à votre compte Citrix Cloud. Ces administrateurs supplémentaires sont appelés administrateurs délégués. Vous pouvez actuellement attribuer un accès en lecture seule aux administrateurs délégués. Pour plus d’informations, consultez la section Administrateurs délégués.

Problèmes résolus

Peu d’indicateurs de risque pour les sources de données qui utilisent le flux de données ne génèrent pas d’alertes. Vous ne recevez aucune notification d’alerte et les actions basées sur des stratégies ne sont pas appliquées automatiquement si l’un des indicateurs de risque suivants est déclenché :

• Indicateurs de risque Citrix Endpoint Management  : appareil non géré, appareil jailbreaké ou rooté et appareil avec des applications sur liste noire.

• Indicateur de risque Citrix Virtual Apps and Desktops  : accès à partir d’un appareil doté d’un système d’exploitation (SE) non pris en charge.

• Indicateur de risque Citrix Content Collaboration  : accès excessif aux fichiers sensibles.

[CAS-14590]

19 février 2019

Nouvelles fonctionnalités

Intégration de Splunk

Citrix Analytics s’intègre à Splunk pour améliorer vos expériences de surveillance des incidents de sécurité et de dépannage. Cette intégration augmente vos sources de données existantes avec les fonctionnalités d’analyse des risques et l’intelligence de Citrix Analytics for Security, telles que les indicateurs de risque, les scores de risque et les profils utilisateur. Citrix Analytics exporte les informations d’analyse des risques vers un canal. Splunk tire la même chose de cette chaîne.

L’intégration de Splunk implique la configuration sur Citrix Analytics, l’installation du module complémentaire Citrix Analytics pour l’application Splunk et la configuration de l’application. Assurez-vous d’activer le traitement des données pour au moins une source de données. Il aide Citrix Analytics à démarrer le processus d’intégration de Splunk.

Pour plus d’informations, consultez la section Intégration de Splunk.

Enregistrement de session dynamique

Citrix Analytics offre la possibilité de déclencher l’enregistrement de session de manière dynamique sur les sessions Virtual Apps and Desktops actuelles des utilisateurs. Il permet de saisir les preuves requises pour l’analyse des risques et de prendre les mesures appropriées de réponse aux incidents, telles que les sessions de déconnexion et l’utilisateur de blocage.

Pour plus d’informations, consultez la section Stratégies et actions.

Tableau de bord Share Links et indicateur de risque

Citrix Analytics introduit la visibilité des risques pour Share Links en fonction des données collectées à partir de Citrix Content Collaboration. Il vous aide à comprendre l’exposition au risque des liens de partage grâce aux indicateurs de risque déclenchés par ces liens.

Pour plus d’informations, consultez la section Tableau de bord Partager des liens.

Actuellement, l’indicateur de risque de téléchargement de partage sensible anonyme est déclenché pour un lien de partage. Lorsque Content Collaboration détecte ce comportement risqué, Citrix Analytics reçoit les événements. Vous êtes averti dans le panneau Alertes et l’indicateur de risque de téléchargement de partage sensible anonyme est ajouté à la chronologie des risques du lien de partage.

Pour plus d’informations, consultez la chronologie des risques de Share Link et les indicateurs de risque Citrix Share Link.

Intégration de Microsoft Active Directory

Vous pouvez désormais intégrer Microsoft Active Directory à Citrix Analytics. Cette intégration améliore le contexte des utilisateurs à risque avec des informations supplémentaires telles que l’intitulé du poste, l’organisation, l’emplacement du bureau, l’e-mail et les coordonnées. Vous pouvez obtenir une meilleure visibilité d’un utilisateur sur la page de profil utilisateur de Citrix Analytics.

Pour plus d’informations, voir Intégrer Analytics à Microsoft Active Directory.

04 janvier 2019

Nouvelles fonctionnalités

Ajout de la colonne SOURCE pour les indicateurs de risque existants

La colonne SOURCE a été introduite dans la section DÉTAILS DE L’ÉVÉNEMENT pour les indicateurs de risque suivants :

• Chargements excessifs de fichiers

• Téléchargements excessifs de fichiers

• Partage excessif de fichiers

• Suppression excessive de fichiers ou de dossiers

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Content Collaboration.

Profil utilisateur avancé

La vue Informations utilisateur sur le profil utilisateur a été améliorée. Le lien Trend View a été introduit dans le coin supérieur droit des sections Application, Deviceset Data Usage . Le lien Vue sur la carte a été introduit dans le coin supérieur droit de la section Emplacements . Ces liens fournissent une représentation graphique du comportement historique de l’utilisateur au cours d’une période spécifique. Vous pouvez accéder aux informations utilisateur à partir de la chronologie des risques de l’utilisateur ou à partir de la page Sources de données .

Remarque

Les données d’authentification et de domaines ne sont actuellement pas disponibles dans le profil Informations utilisateur.

Pour plus d’informations, consultez la section Chronologie et profil des risques utilisateur.

Indicateurs de risque Microsoft Graph Security

Microsoft Graph Security intégré peut recevoir les détails des indicateurs de risque de l’un des fournisseurs de sécurité suivants, et les transmet à Citrix Analytics :

• Protection des identités Azure AD

• Microsoft Defender pour Endpoint

Pour plus d’informations, consultez la section Indicateurs de risque de sécurité Microsoft Graph.

Comment accéder à la page de recherche en libre-service

Vous pouvez désormais accéder à la page de recherche en libre-service à l’aide des options suivantes :

• Barre supérieure : cliquez sur Rechercher dans la barre supérieure pour accéder directement à la page de recherche.

  

• Chronologie des risques sur la page de profil utilisateur : cliquez sur Recherche d’événements pour accéder à la page de recherche et afficher les événements correspondant à l’indicateur de risque d’un utilisateur spécifique et à la source de données. Pour plus d’informations, consultez la rubrique Recherche en libre-service.

  

Recherche en libre-service pour Content Collaboration

Utilisez la recherche en libre-service pour obtenir des informations sur les événements associés à la source de données Content Collaboration. Pour afficher les événements, sélectionnez Content Collaboration dans la liste, sélectionnez la période, puis cliquez sur Rechercher. Pour plus d’informations, voir Recherche en libre-service pour Content Collaboration.

Recherche en libre-service d’applications et de bureaux

Utilisez la recherche en libre-service pour obtenir des informations sur les événements associés à la source de données Apps and Desktops. Pour afficher les événements, sélectionnez Applications et bureaux dans la liste, sélectionnez la période, puis cliquez sur Rechercher. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

Exporter les événements de recherche en libre-service dans un fichier CSV

Vous pouvez désormais exporter les événements de recherche en libre-service dans un fichier CSV et télécharger le fichier pour une utilisation ultérieure. Pour plus d’informations, consultez la rubrique Recherche en libre-service.

Intégration améliorée pour Citrix Virtual Apps and Desktops

Le processus d’intégration de la source de données Citrix Virtual Apps and Desktops est désormais amélioré afin d’offrir une meilleure expérience utilisateur. Les cartes de site et les étapes d’embarquement ont été modifiées. Pour plus d’informations, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS.

29 novembre 2018

Nouvelles fonctionnalités

Source de données Microsoft Security Graph

Microsoft Graph Security est une source de données externe qui regroupe les données de plusieurs fournisseurs de sécurité. Il permet également d’accéder aux données d’inventaire des utilisateurs.

Citrix Analytics prend actuellement en charge la protection d’identité Azure AD et les fournisseurs de sécurité Microsoft Defender for Endpoint associés à cette source de données.

Pour pouvoir utiliser cette source de données, vous devez obtenir des autorisations de la plateforme d’identité Microsoft. Pour plus d’informations, consultez la section Microsoft Graph Security.

Afficher les détails des événements et les utilisateurs découverts sur les fiches de site pour les sources de données

Les fiches de site des sources de données affichent désormais les détails des événements et le nombre d’utilisateurs. Par exemple, vous pouvez afficher les détails de l’événement et les utilisateurs du contrôle d’accès sur la fiche de site. Pour plus d’informations, consultez la section Activer Analytics sur les sources de données.

16 novembre 2018

Nouvelles fonctionnalités

Recherche en libre-service des données d’accès

Vous pouvez utiliser la recherche en libre-service pour obtenir un aperçu des détails d’accès pour les utilisateurs de votre entreprise. Citrix Analytics collecte les détails d’accès des utilisateurs à partir du service Citrix Access Control. Utilisez les facettes et la requête de recherche pour affiner vos résultats de recherche.

Pour utiliser la page de recherche en libre-service, dans l’onglet Sécurité, cliquez sur Recherche d’événements.

Pour plus d’informations, consultez la rubrique Recherche en libre-service pour Access.

Feedback sur les indicateurs de risque

À l’aide de la fonctionnalité de retour d’information sur les indicateurs de risque de Citrix Analytics, vous pouvez fournir des commentaires concernant un indicateur de risque. Vos commentaires permettent de confirmer si l’incident de sécurité signalé est exact ou non.

Actuellement, cette fonctionnalité est prise en charge sur l’indicateur de risque d’accès de connexion inhabituel déclenché par la source de données Content Collaboration. Si cet indicateur de risque déclenché est incorrect, vous pouvez le signaler comme un faux positif et fournir des commentaires. Vous pouvez également modifier les commentaires que vous avez déjà envoyés. Citrix Analytics capture vos commentaires et valide les informations prédites afin d’optimiser la détection des comportements anormaux.

Problèmes résolus

• Vous ne pouvez pas modifier et enregistrer une stratégie si vous accédez à Citrix Analytics à l’aide d’Internet Explorer 11.0.