Citrix Analytics for Security

Tableau de bord des utilisateurs

Le tableau de bord Utilisateurs est le point de lancement de l’analyse du comportement des utilisateurs et de la prévention des menaces.

Ce tableau de bord fournit une visibilité sur les modèles de comportement utilisateur au sein d’une organisation. À l’aide de ces données, vous pouvez surveiller, détecter et signaler de manière proactive les comportements qui ne correspondent pas à la norme, tels que les attaques par phishing ou par ransomware. Par défaut, ce tableau de bord affiche les profils de risque de l’utilisateur pour le dernier mois.

Le tableau de bord Utilisateurs contient les sections suivantes :

  • Utilisateurs découverts. Nombre total d’utilisateurs dans votre organisation qui utilisent les sources de données pour lesquelles vous avez activé Analytics. Cliquez sur le lien du tableau de bord pour afficher la liste complète des utilisateurs découverts par Citrix Analytics.

  • Utilisateurs risqués. Utilisateurs qui ont agi de manière risquée ou présenté un comportement risqué. Liste des utilisateurs à risque qui présentent le score de risque le plus élevé, le changement de score de risque le plus élevé, les indicateurs de risque, les occurrences d’indicateurs de risque et les changements d’occurrence d’indicateur de risque associés à leur compte. Cliquez sur le lien Utilisateurs risqués en haut ou sur le lien Voir plus dans le volet Utilisateurs risqués. Vous pouvez consulter la liste de tous les utilisateurs à risque et les indicateurs de risque.

  • Utilisateurs à haut risque. Utilisateurs qui représentent une menace immédiate pour l’organisation. Cliquez sur le lien pour afficher la liste de tous les utilisateurs à haut risque et les indicateurs de risque qu’ils ont déclenchés.

  • Utilisateurs à risque moyen. Les utilisateurs qui peuvent avoir plusieurs violations graves sur leur compte et doivent être surveillés de près. Cliquez sur le lien pour afficher la liste de tous les utilisateurs à risque moyen et les indicateurs de risque qu’ils ont déclenchés.

  • Utilisateurs à faible risque. Utilisateurs dont certaines violations ont été détectées sur leur compte, mais potentiellement pas une menace. Cliquez sur le lien pour afficher la liste de tous les utilisateurs à faible risque et les indicateurs de risque qu’ils ont déclenchés.

  • Utilisateurs dans la liste de surveillance. Utilisateurs surveillés de près par les administrateurs. Cliquez sur la zone Utilisateurs dans la liste de surveillance ou sur le lien Voir plusdans le volet Utilisateurs dans la liste de surveillance pour afficher la liste des utilisateurs ajoutés à la liste de surveillance.

  • Utilisateurs privilégiés. Utilisateurs qui peuvent afficher des données sensibles et modifier les paramètres système critiques dans une organisation. Cliquez sur le lien Utilisateurs privilégiés ou sur le lien Voir plus dans le volet Utilisateurs privilégiés pour afficher la liste de tous les utilisateurs privilégiés.

  • Indicateurs de risque. Affiche les cinq premiers indicateurs de risque par défaut et personnalisés. Cliquez sur Voir plus en bas du volet pour afficher la page Vue d’ensemble des indicateurs de risque .

  • Récapitulatif des accès. Récapitule le nombre total de tentatives effectuées par les utilisateurs pour accéder aux ressources au sein de votre organisation.

  • Stratégies et actions. Affiche les cinq principales stratégies et actions appliquées aux profils utilisateur. Cliquez sur le lien Voir plus dans le volet Stratégies et actions pour afficher la liste des stratégies et actions appliquées.

  • Catégories de risque. Affiche les catégories de risque prises en charge par Citrix Analytics. Les indicateurs de risque présentant des tendances comportementales similaires sont regroupés dans les catégories. Cliquez sur Voir plus dans le volet Catégories de risque pour afficher les détails de chaque catégorie.

Utilisateurs découverts

Nombre total d’utilisateurs dans votre organisation qui utilisent les sources de données pour lesquelles vous avez activé Analytics. Ils peuvent ou non avoir un score de risque associé à leur compte. Il est possible que le nombre d’utilisateurs détectés dans le tableau de bord Utilisateurs soit supérieur au nombre d’utilisateurs risqués.

Cliquez sur le lien du tableau de bord pour afficher la liste complète des utilisateurs découverts par Citrix Analytics.

Utilisateurs découverts

La page Utilisateurs découverts affiche la liste de tous les utilisateurs découverts au cours d’une période donnée. Vous pouvez afficher les données de la dernière heure, des dernières 12 heures, du dernier jour, de la dernière semaine ou du dernier mois.

Utilisez le mappage d’interface suivant pour apprendre à interagir avec la page Utilisateurs découverts .

Section Utilisateurs découverts

Consultez les informations suivantes :

Utilisateur

Liste de tous les utilisateurs découverts par Analytics. Cliquez sur un nom d’utilisateur pour afficher les informations utilisateur et la chronologie des risques de l’utilisateur. Il se peut que l’utilisateur ait déclenché ou non un indicateur de risque. Si aucun événement risqué n’est associé à cet utilisateur, le message suivant s’affiche.

Aucun événement risqué

S’il y a des événements à risque associés à un utilisateur, la chronologie du risque avec les détails de l’indicateur de risque s’affiche.

Pour de plus amples informations, consultez Chronologie des risques.

Devices

Nombre de périphériques utilisés par l’utilisateur pour accéder aux sources de données. Citrix Analytics collecte ces données à partir de Citrix Endpoint Management et Citrix Virtual Apps and Desktops. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher le nom et le nombre de périphériques utilisés par l’utilisateur. Le lien Vue des tendances dans le coin supérieur droit fournit une représentation graphique de l’historique de l’appareil de l’utilisateur pour une période donnée.

Appareils d'information utilisateur

Emplacements

Endroits à partir desquels l’utilisateur peut s’être connecté aux sources de données. Citrix Analytics collecte les données de Citrix Content Collaboration et Citrix Gateway. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher le nom et le nombre d’emplacements à partir desquels l’utilisateur a accédé aux données. Le lien Vue sur la carte en haut à droite fournit l’historique de l’emplacement d’ouverture de session de l’utilisateur pour une période spécifique.

Emplacement des informations utilisateur

Utilisation des données

Le volume de données consommé par l’utilisateur peut inclure les données téléchargées ou téléchargées, les fichiers téléchargés ou téléchargés, et les fichiers partagés ou supprimés. Citrix Analytics collecte ces données à partir de Citrix Content Collaboration. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher les détails de l’utilisation des données pour l’utilisateur. Le lien Vue des tendances fournit une représentation graphique de l’historique d’utilisation des données d’un utilisateur pour une période donnée.

Utilisation des données d'informations utilisateur

Applications utilisées

Nombre d’applications auxquelles l’utilisateur a accédé pendant cette période. Citrix Analytics collecte ces données à partir de Citrix Virtual Apps and Desktops. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher le nom et le nombre d’applications utilisées par l’utilisateur. Le lien Vue des tendances dans le coin supérieur droit fournit une représentation graphique de l’historique des applications de l’utilisateur pour une période donnée.

Utilisation des données d'informations utilisateur

Accès

Nombre total de fois où l’utilisateur a accédé à des données à partir de différents emplacements. Cliquez sur un nom d’utilisateur, puis accédez à Informations utilisateur pour afficher le nombre de fois où l’utilisateur a accédé aux données.

Par exemple, dans l’image suivante, vous pouvez voir que l’utilisateur « ShareFileUser » a des accès « 24 ».

Utilisateur lourd de produits croisés

Maintenant, cliquez sur le nom d’utilisateur et accédez au volet Informations sur l’utilisateur de la page Chronologie des risques . Vous pouvez voir que cet utilisateur dispose de 24 accès à partir de deux emplacements différents.

Accès aux informations utilisateur

Utilisateurs risqués

Les utilisateurs à risque sont des utilisateurs découverts qui ont des événements à risque associés et qui ont déclenché au moins un indicateur de risque. Le niveau de risque qu’un utilisateur pose pour le réseau pendant une période donnée est déterminé par le score de risque associé à l’utilisateur. La valeur du score de risque est dynamique et repose sur l’analyse du comportement de l’utilisateur. Selon le score de risque, un utilisateur risqué peut se classer dans l’une des trois catégories suivantes : utilisateur à risque élevé, utilisateur à risque moyen ou utilisateur à faible risque.

Dans le tableau de bord Utilisateurs, vous pouvez afficher les cinq principaux utilisateurs à risque triés en fonction du score le plus élevé ou des occurrences d’indicateurs de risque le plus élevé.

  • Cliquez sur Changement de score le plus élevé pour afficher les cinq principaux utilisateurs à risque en fonction du changement de score le plus élevé sur une période donnée.

Lien utilisateur risqué

  • Cliquez sur Indicateurs de risque pour afficher les cinq principaux indicateurs de risque avec un maximum d’occurrences.

  • Cliquez sur Modifier les indicateurs de risque pour afficher les cinq principaux indicateurs de risque avec un changement maximal dans les occurrences.

Tableau de bord utilisateur risqué

Cliquez sur le lien Utilisateurs à risque en haut ou sur le lien Voir plus dans le volet Utilisateurs à risque pour afficher la liste de tous les utilisateurs à risque et les indicateurs de risque.

La page Utilisateurs à risque affiche la liste de tous les utilisateurs à risque sur une période donnée. Vous pouvez afficher les données de la dernière heure, des dernières 12 heures, du dernier jour, de la dernière semaine ou du dernier mois.

Utilisez la carte d’interface suivante pour apprendre à interagir avec la page Utilisateurs risqués .

Utilisateurs risqués

Consultez les informations suivantes :

Score

Le score ou le score de risque détermine le niveau de risque qu’un utilisateur pose pour le réseau pendant une période donnée. La valeur du score de risque est dynamique et repose sur l’analyse du comportement de l’utilisateur. Selon le score de risque, un utilisateur risqué peut se classer dans l’une des trois catégories suivantes : utilisateur à risque élevé, utilisateur à risque moyen ou utilisateur à faible risque.

Modification

Le changement est le changement de cote de risque sur une période de temps. Un changement de cote de risque peut être positif ou négatif. Un changement positif du score de risque est représenté par un signe moins (-), ce qui signifie que le score de risque d’un utilisateur a diminué au cours d’une période donnée. Un changement de cote de risque négatif représenté par un signe plus (+), ce qui signifie que le score de risque d’un utilisateur a augmenté au cours d’une période donnée. Par exemple, si le score de risque d’un utilisateur était de 72 la veille et que le score de risque actuel est de 92, le changement de score de risque est négatif et est calculé à +20.

Changement du score de risque

Accès, Données, Application

Types d’indicateurs de risque déclenchés pour un utilisateur. Les colonnes indiquent le nombre de différents types d’indicateurs de risque soulevés sur un utilisateur au cours d’une période donnée.

Utilisateur

Liste de tous les utilisateurs à risque identifiés par les algorithmes d’apprentissage automatique de Citrix Analytics. Cliquez sur un nom d’utilisateur pour afficher les informations utilisateur et la chronologie des risques de l’utilisateur.

Les indicateurs de risque associés à un utilisateur et l’heure à laquelle un indicateur de risque a été déclenché sont affichés dans la chronologie du risque. Cliquez sur chaque indicateur de risque pour afficher les détails. Cliquez sur Informations utilisateur pour afficher les informations détaillées de l’utilisateur, telles que les périphériques, les emplacements, l’utilisation des données et l’application.

Consultez l’article Chronologie des risques.

Chronologie des risques de l'utilisateur découvert

Chronologie des risques de l'utilisateur découvert

Remarque Actuellement, les données Authentification et Domaines ne sont pas disponibles dans le profil Informations utilisateur.

Groupes

Affiche les groupes importés à partir de votre Active Directory. Les noms des groupes d’utilisateurs s’affichent si vous avez intégré Citrix Analytics à Active Directory. Le nom du groupe N/A indique que vous n’avez pas intégré Citrix Analytics avec Active Directory.

Évolution des occurrences et occurrences

  • Occurrences : Nombre total d’occurrences d’indicateurs de risque par défaut et personnalisés pour une période sélectionnée.

  • Modification desoccurrences : modificationdes occurrences des indicateurs de risque par défaut et personnalisés pour une période sélectionnée.

    Un changement d’occurrences positif est représenté par un signe moins (-), ce qui signifie que le total des occurrences d’un indicateur de risque a diminué au cours d’une période donnée. Un changement de score d’occurrences négatif est représenté par un signe plus (+), ce qui signifie que le total des occurrences de l’indicateur de risque a augmenté au cours d’une période donnée. Par exemple, s’il y a quatre occurrences d’un indicateur de risque au cours de l’heure ou du jour en cours et qu’il y a eu six occurrences du même indicateur de risque l’heure ou la journée précédente, le changement des occurrences d’indicateur de risque entre ces deux événements est calculé de 4 à 6 et le changement d’occurrences est affiché sous la forme -2.

Les occurrences utilisateur risquées et les occurrences changent

Comment accéder aux informations utilisateur à partir de la page Sources de données ?

  1. Accédez à Paramètres > Sources de données .
  2. Sur la carte de site de toute source de données, sélectionnez le nombre d’utilisateurs.
  3. Sur la page Utilisateurs, sélectionnez un utilisateur, puis cliquez sur Informations utilisateur. Le profil d’informations utilisateur basé sur l’application, les périphériques, l’emplacement et l’utilisation des données s’affiche.

Utilisateurs à haut risque

Utilisateurs dont le score de risque est compris entre 91 et 100. Ces utilisateurs représentent des menaces immédiates pour l’organisation.

Dans le tableau de bord Utilisateurs, vous pouvez voir le résumé du nombre d’utilisateurs à risque élevé pour une période spécifique. Cela montre le nombre total d’utilisateurs à haut risque et l’augmentation du nombre d’utilisateurs à haut risque.

Par exemple, l’image suivante montre les données des 12 dernières heures. À l’heure actuelle, il y a cinq utilisateurs à risque élevé, dont deux ont été identifiés comme des utilisateurs à risque élevé au cours des 12 dernières heures.

Utilisateurs à haut risque

Cliquez sur la case pour afficher des détails sur les utilisateurs à risque élevé, tels que le score de risque, le changement de score, la tendance du changement de score, le dernier indicateur de risque déclenché et les types d’indicateurs de risque.

Consultez l’article Utilisateurs risqués.

Informations sur l'utilisateur à haut risque

Utilisateurs à risque moyen

Utilisateurs dont le score de risque est compris entre 71 et 90. Ces utilisateurs peuvent avoir plusieurs violations graves sur leur compte et doivent être surveillés de près.

Dans le tableau de bord Utilisateurs, vous pouvez voir le résumé du nombre d’utilisateurs à risque moyen pour une période spécifique. Vous pouvez voir le nombre total d’utilisateurs à risque moyen et l’augmentation du nombre d’utilisateurs à risque moyen.

Par exemple, l’image suivante montre les données des 12 dernières heures. À l’heure actuelle, il y a huit utilisateurs à risque moyen, dont sept ont été identifiés comme des utilisateurs à risque moyen au cours des 12 dernières heures.

Utilisateurs à risque moyen

Cliquez sur la case pour afficher des détails sur les utilisateurs à risque moyen, tels que le score de risque, le changement de score, la tendance du changement de score, le dernier indicateur de risque déclenché et les types d’indicateurs de risque.

Consultez l’article Utilisateurs risqués.

Informations sur l'utilisateur à risque moyen

Utilisateurs à faible risque

Utilisateurs dont le score de risque est compris entre 0 et 70. Ces utilisateurs peuvent avoir des violations détectées sur leur compte. Ils peuvent également inclure les utilisateurs qui étaient auparavant des utilisateurs à risque élevé ou moyen qui ont été réévalués sur une période prédéterminée.

Dans le tableau de bord Utilisateurs, vous pouvez voir le résumé du nombre d’utilisateurs à faible risque pour une période spécifique. Vous pouvez voir le nombre total d’utilisateurs à faible risque et l’augmentation du nombre d’utilisateurs à faible risque.

Par exemple, l’image suivante montre les données des 12 dernières heures. À l’heure actuelle, il y a 147 utilisateurs à faible risque, dont 61 ont été identifiés comme des utilisateurs à faible risque au cours des 12 dernières heures.

Utilisateurs à faible risque

Cliquez sur la case pour afficher des détails sur les utilisateurs à faible risque, tels que le score de risque, le changement de score, la tendance du changement de score, le dernier indicateur de risque déclenché et les types d’indicateurs de risque.

Consultez l’article Utilisateurs risqués.

Informations sur l'utilisateur à faible risque

Utilisateurs dans la liste de surveillance

Liste des utilisateurs surveillés de près pour détecter les menaces potentielles. Par exemple, vous pouvez surveiller les utilisateurs qui ne sont pas des employés à temps plein au sein de votre organisation en ajoutant ces utilisateurs à la liste de suivi, ou vous pouvez surveiller les utilisateurs qui déclenchent fréquemment un indicateur de risque spécifique.

Vous pouvez ajouter manuellement un utilisateur à la liste de surveillance ou définir des stratégies qui, lorsqu’elles sont déclenchées, ajoutent un utilisateur à la liste de surveillance. Si aucun utilisateur n’a été ajouté à la liste de suivi, l’écran suivant s’affiche dans le tableau de bord Utilisateurs .

Aucun utilisateur dans les listes de surveillance

Si vous avez ajouté des utilisateurs à la liste de suivi, dans le tableau de bord Utilisateurs, vous pouvez afficher les cinq premiers utilisateurs de la liste de suivi triés en fonction du score le plus élevé. Vous pouvez également afficher les données de changement de score et la tendance de changement de score.

Cliquez sur la zone Utilisateurs dans la liste de suivi ou sur le lien Voir plus dans le volet Utilisateurs dans la liste de suivi pour afficher la liste de tous les utilisateurs ajoutés à la liste de suivi.

En savoir plus : Liste de surveillance

Utilisateurs du tableau de bord utilisateurs dans la liste de surveillance

Utilisateurs privilégiés

Compte tenu de l’accès légitime aux données sensibles et aux paramètres du système, les actions malveillantes des utilisateurs privilégiés sont souvent indiscernables de leur activité quotidienne. Par conséquent, les actions des utilisateurs privilégiés restent longtemps indétectées. De telles actions exposent les organisations à une grande variété de risques. Pour surmonter ce défi, Citrix Analytics introduit la fonctionnalité de surveillance utilisateur privilégiée. Cette fonctionnalité vous permet de surveiller de près les anomalies de comportement des utilisateurs privilégiés.

Dans le tableau de bord Utilisateurs, vous pouvez afficher les cinq premiers utilisateurs privilégiés triés en fonction du score le plus élevé.

Utilisateurs privilégiés du tableau de bord utilisateurs

Cliquez sur le lien Utilisateurs privilégiés en haut ou sur le lien Voir plus dans le volet Utilisateurs privilégiés. Vous pouvez afficher la page Utilisateurs qui affiche les utilisateurs privilégiés dont les administrateurs et les cadres sont sélectionnés dans le volet Filtres, ainsi que les derniers détails de l’indicateur de risque. Les utilisateurs privilégiés sont représentés par une icône dans la colonne USER. Vous pouvez afficher les données de la dernière heure, des dernières 12 heures, du dernier jour, de la dernière semaine ou du dernier mois.

Utilisateurs privilégiés du tableau de bord utilisateurs

Citrix Analytics prend en charge les types d’utilisateurs privilégiés suivants :

  • Administrateurs. Utilisateurs disposant de droits d’administrateur sur un produit ou un service. Lorsque le privilège d’un utilisateur est élevé en Admin dans le service Content Collaboration, ces informations sont disponibles sur la page Utilisateurs . Citrix Analytics vous aide à surveiller les activités de ses utilisateurs en tant qu’administrateurs.

    Considérez l’utilisateur Maria Brown qui a reçu des privilèges d’administrateur dans le service Content Collaboration. Maria commence à supprimer excessivement des fichiers et des dossiers, et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque Suppression des fichiers ou des dossiers excessifs est ajouté à la chronologie des risques de l’utilisateur. Citrix Analytics vous aide à comparer cet indicateur de risque avec les informations disponibles sur la page Utilisateurs . Vous pouvez déterminer si l’indicateur de risque a été déclenché après que les privilèges d’administration ont été attribués à l’utilisateur dans Content Collaboration. Si c’est le cas, vous pouvez prendre les mesures appropriées sur le profil de l’utilisateur privilégié.

  • Des cadres. Utilisateurs, de préférence de la haute direction de votre organisation. Lorsque vous marquez un groupe d’utilisateurs Active Directory (AD) en tant que groupe exécutif, Citrix Analytics fait de tous les utilisateurs de ce groupe des utilisateurs privilégiés. Il surveille même les activités de ces utilisateurs en tant que cadres. Pour plus d’informations, veuillez consulter Marquage d’un groupe AD en tant que groupe exécutif et Suppression d’un groupe AD en tant que groupe exécutif.

    Considérez le groupe d’utilisateurs AD Administrateurs de domaine, marqué comme groupe exécutif. Un utilisateur commence à supprimer des fichiers et des dossiers de manière excessive et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque Suppression des fichiers ou des dossiers excessifs est ajouté à la chronologie des risques de l’utilisateur. Citrix Analytics vous aide à comparer l’indicateur de risque avec les informations disponibles sur la page Utilisateurs ou Groupes d’utilisateurs . Une fois les informations comparées, vous pouvez déterminer si l’indicateur de risque a été déclenché après que le groupe AD a été marqué comme groupe de direction. Si c’est le cas, vous pouvez prendre les mesures appropriées sur le profil de l’utilisateur privilégié.

    Utilisateurs du tableau de bord utilisateurs dans la liste de surveillance

La page Groupe d’utilisateurs privilégiés contient une liste des membres privilégiés, de l’emplacement de travail et de l’organisation.

Utilisateurs du tableau de bord utilisateurs dans la liste de surveillance

Marquage d’un groupe AD en tant que groupe exécutif

  1. Accédez à Paramètres > Groupes d’utilisateurs.

  2. Sélectionnez le nom du groupe d’utilisateurs à marquer comme groupe exécutif.

  3. Sous Actions, sélectionnez Marquer comme groupe exécutif.

Suppression d’un groupe AD en tant que groupe exécutif

  1. Accédez à Paramètres > Groupes d’utilisateurs.

  2. Sélectionnez le nom du groupe d’utilisateurs à supprimer en tant que groupe exécutif.

  3. Sous Actions, sélectionnez Supprimer en tant que groupe exécutif.

Indicateurs de risque

Résume les cinq principaux indicateurs de risque par défaut et personnalisés pour un utilisateur. Pour les indicateurs de risque par défaut, Citrix Analytics collecte des données à partir de sources de données activées.

Pour les indicateurs de risque personnalisés, Citrix Analytics collecte des données à partir des sources de données suivantes en fonction des événements à risque générés :

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Virtual Apps and Desktops

Vous pouvez afficher les cinq principaux indicateurs de risque et même les trier en fonction du total des occurrences, de la variation des occurrences ou de la gravité.

Tableau de bord des indicateurs de risque

Lorsque vous cliquez sur Voir plus dans le tableau de bord Indicateurs de risque, vous êtes redirigé vers la page Aperçu des indicateurs de risque .

La page Aperçu de l’indicateur de risque fournit des informations sur les indicateurs de risque par défaut et personnalisés pour la source de données correspondante. Le volet supérieur résume les occurrences d’indicateurs de risque en fonction de leur gravité. Le tableau fournit une vue détaillée de tous les indicateurs de risque par défaut et personnalisés pour une période sélectionnée. Lorsque vous sélectionnez un indicateur de risque, vous êtes redirigé vers la page Détails de l’indicateur de risque . Vous pouvez également sélectionner un indicateur de risque dans le tableau de bord Indicateurs de risque pour afficher la page Détails de l’indicateur de risque .

Aperçu des indicateurs de risque

La page Détails de l’indicateur de risque résume le nombre total d’occurrences d’un indicateur de risque. Il fournit également des détails sur l’heure de l’événement, le nom d’utilisateur et les détails de l’événement.

Pour afficher les détails de l’indicateur de risque, cliquez sur Afficher dans la colonne DÉTAILS DE L’ÉVÉNEMENT . Vous êtes redirigé vers cet indicateur de risque sur la chronologie des risques de l’utilisateur. La chronologie du risque utilisateur affiche les indicateurs de risque générés pour une période sélectionnée.

Aperçu des indicateurs de risque

Pour plus d’informations sur les indicateurs de risque utilisateur par défaut, reportez-vous à la sectionIndicateurs de risque utilisateur Citrix. Pour plus d’informations sur les indicateurs de risque personnalisés, reportez-vous à la section Indicateurs de risque personnalisés.

Récapitulatif des accès

Ce tableau de bord résume tous les événements d’accès à la passerelle. Le graphique indique le nombre d’événements d’accès pour une période sélectionnée.

Lorsque vous sélectionnez les pointeurs sur le graphique, vous êtes redirigé vers laRecherche en libre-service pour Gatewaypage. Pour les scénarios de connexion réussis, les données sont triées en fonction du code d’état de la page Recherche en libre-service pour la passerelle.

Accéder au tableau de bord récapitulatif

Stratégies et actions

Affiche les cinq principales stratégies et actions appliquées aux profils utilisateur. Cliquez sur le lien Voir plus dans le volet Stratégies et actions pour obtenir des informations détaillées sur les stratégies et actions.

Tableau de bord Stratégies et actions

Principales politiques

Les cinq stratégies configurées les plus importantes qui sont déterminées en fonction du nombre d’occurrences. Lorsque vous êtes dans la section Stratégies principales du tableau de bord et que vous sélectionnez Voir plus, vous êtes redirigé vers la page Toutes les stratégies .

Tableau de bord Stratégies et actions

Toutes les politiques

Cette page fournit des informations détaillées sur toutes les stratégies configurées. Lorsque vous sélectionnez une stratégie, vous êtes redirigé vers laRecherche en libre-service pour les stratégiespage. Dans le volet gauche, vous pouvez filtrer en fonction des actions appliquées.

Lorsque vous sélectionnez un nom d’utilisateur, vous êtes redirigé vers la chronologie des risques. L’action basée sur une stratégie est ajoutée à la chronologie des risques de l’utilisateur. Lorsque vous sélectionnez l’action, ses détails sont affichés dans le volet droit de la chronologie du risque.

Principales actions

Les cinq principales actions qui ont été effectuées sur les profils utilisateur. Les actions les plus importantes sont déterminées en fonction du nombre d’occurrences. Lorsque vous êtes dans la section Actions principales du tableau de bord et que vous sélectionnez Voir plus, vous êtes redirigé vers la page Actions .

Tableau de bord Stratégies et actions

Actions

Cette page fournit des informations détaillées sur chaque action appliquée, les utilisateurs concernés, les occurrences, les stratégies et le moment de l’action. Lorsque vous sélectionnez une action, vous êtes redirigé vers la page Toutes les stratégies avec les données triées en fonction de l’action spécifiée dans le volet gauche. Par exemple, lorsque vous sélectionnez Demander une réponse utilisateur dans la page Actions, vous êtes redirigé vers la page Toutes les stratégies qui affiche toutes les stratégies configurées associées à l’action Demander une réponse utilisateur .

Tableau de bord Stratégies et actions

Catégories de risque

Ce tableau de bord fournit une vue agrégée du niveau d’exposition au risque d’une organisation. Les indicateurs de risque sont regroupés en catégories connues en fonction des risques semblables. La catégorisation des risques est prise en charge par les indicateurs de risque personnalisés et par défaut.

Tableau de bord Catégories de risque

Le tableau de bord Catégories de risque a pour but de permettre aux administrateurs Citrix Virtual Apps and Desktops de gérer les risques des utilisateurs et d’avoir des discussions simplifiées avec leurs homologues de sécurité sans avoir besoin d’une connaissance de sécurité de niveau expert. Il permet à l’application de la sécurité de prendre effet au niveau de l’organisation et ne se limite pas aux seuls administrateurs de sécurité.

Cas d’utilisation

Considérez que vous êtes administrateur Citrix Virtual Apps and Desktops et que vous gérez les droits d’accès aux applications des employés de votre organisation. Si vous accédez à la section Catégories de risque > Utilisateurs compromis > Échecs d’authentification excessifs - Indicateur de risque Citrix Gateway, vous pouvez déterminer si les employés auxquels vous avez accordé l’accès ont été compromis. Si vous naviguez plus loin, vous pouvez obtenir des informations plus précises sur cet indicateur de risque, telles que les raisons de l’échec, les emplacements de connexion, les détails de la chronologie et le résumé de l’utilisateur. Si vous remarquez des divergences entre les utilisateurs auxquels l’accès a été accordé et ceux qui ont été compromis, vous pouvez en informer l’administrateur de sécurité. Cette notification en temps opportun à l’administrateur de la sécurité contribue à l’application de la sécurité au niveau de l’organisation.

Cas d'utilisation des catégories de risque

Comment analyser le tableau de bord Catégories de risque ?

Lorsque vous sélectionnez Voir plus dans le tableau de bord Catégories de risque, vous êtes redirigé vers la page qui résume les détails des catégories de risque. Cette page contient les détails suivants :

  • Rapport sur les catégoriesde risque : Représente les occurrences totales d’indicateurs de risque de chaque catégorie pour une période donnée.

    Page Catégories de risque

  • Détails de la chronologie : fournit une représentation graphique des occurrences totales d’indicateurs de risque de chaque catégorie de risque pour une période donnée. Si vous accédez au bas de cette section, vous pouvez trier en fonction des catégories de risque pour obtenir des informations plus précises sur les indicateurs de risque.

    Page Catégories de risque

  • Résumé des catégories de risque : Cette section fournit des détails tels que l’impact, les occurrences et la gravité des indicateurs de risque associés à chaque catégorie. Sélectionnez une catégorie de risque pour afficher des détails sur les indicateurs de risque associés à cette catégorie. Par exemple, lorsque vous sélectionnez la catégorie Utilisateurs compromis, vous êtes redirigé vers la page Utilisateurs compromis.

    Page Catégories de risque

La page Utilisateurs compromis affiche les détails suivants :

  • Rapport sur les indicateursde risque : Affiche les indicateurs de risque appartenant à la catégorie Utilisateurs compromis pour une période sélectionnée. Il affiche également le total des occurrences des indicateurs de risque qui ont été déclenchées pendant la période sélectionnée.

    Page Utilisateurs compromis

  • Détails de la chronologie : fournit une représentation graphique des occurrences d’indicateurs de risque pour une période sélectionnée.

    Page Utilisateurs compromis

  • Résumé des indicateurs de risque : Affiche un résumé des indicateurs de risque générés dans la catégorie des utilisateurs compromis. Cette section affiche également la gravité, la source de données, le type d’indicateur de risque, les occurrences et la dernière occurrence.

    Page Utilisateurs compromis

Lorsque vous sélectionnez un indicateur de risque, vous êtes redirigé vers la page qui résume les détails de cet indicateur. Par exemple, si vous sélectionnez l’indicateur de risque Premier accès à partir du nouvel appareil, vous êtes redirigé vers la page qui résume les détails de cet indicateur. Le résumé comprend des détails de la chronologie sur les occurrences de cet événement et un résumé de l’utilisateur qui répertorie les utilisateurs qui ont déclenché cet indicateur de risque, les occurrences d’indicateurs de risque et l’heure de l’événement. Lorsque vous sélectionnez un utilisateur, vous êtes redirigé vers la chronologie des risques de l’utilisateur.

Page Utilisateurs compromis

Remarque

Citrix Analytics regroupe les indicateurs de risque par défaut dans la catégorie de risque appropriée. Pour les indicateurs de risque personnalisés, vous devez sélectionner une catégorie de risque sur la page Créer un indicateur. Pour de plus amples informations, consultez Indicateurs de risque personnalisés.

Types de catégories de risque

Exfiltration de données

Cette catégorie regroupe les indicateurs de risque déclenchés par des logiciels malveillants ou par des employés qui effectuent des transferts de données non autorisés ou des vols de données vers ou depuis un appareil d’une organisation. Vous pouvez obtenir des informations sur toutes les activités d’exfiltration de données qui ont eu lieu au cours d’une période donnée et atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risque d’exfiltration de données regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque de l’utilisateur
Citrix Virtual Apps and Desktops Exfiltration potentielle des données
Citrix Content Collaboration Accès excessif aux fichiers sensibles
Citrix Content Collaboration Partage excessif de fichiers
Citrix Access Control Volume de chargement inhabituel

Menaces d’initiés

Cette catégorie regroupe les indicateurs de risque déclenchés par les employés au sein d’une organisation. Étant donné que les employés ont des niveaux d’accès plus élevés aux applications spécifiques à l’entreprise, les entreprises sont plus susceptibles de présenter des risques de sécurité plus élevés. Les activités risquées peuvent être intentionnellement causées par un initié malveillant ou être le résultat d’une erreur humaine. Dans l’un ou l’autre des scénarios, l’impact sur la sécurité de l’organisation est dommageable. Cette catégorie fournit des informations sur toutes les activités liées aux menaces internes qui ont eu lieu au cours d’une période donnée. À l’aide de ces informations, vous pouvez atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risque Menaces initiés regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque de l’utilisateur
Citrix Virtual Apps and Desktops Temps inhabituel d’accès à l’application (virtuel)
Citrix Virtual Apps and Desktops Temps inhabituel d’accès aux applications (SaaS)
Citrix Content Collaboration Suppression de fichiers ou de dossiers excessifs
Citrix Content Collaboration Chargements excessifs de fichiers
Citrix Access Control Téléchargement excessif des données
Citrix Access Control Tentative d’accès à l’URL de la liste noire
Citrix Access Control Accès à un site Web risqué

Utilisateurs compromis

Cette catégorie regroupe les indicateurs de risque dans lesquels les utilisateurs affichent des comportements inhabituels tels que des connexions suspectes, des échecs de connexion. Alternativement, les modèles inhabituels peuvent résulter de la compromission des comptes d’utilisateur. Vous pouvez obtenir des informations sur tous les événements utilisateur compromis qui ont eu lieu au cours d’une période donnée et atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risque des utilisateurs compromis regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque de l’utilisateur
Citrix Virtual Apps and Desktops Premier accès à partir d’un nouvel appareil
Citrix Content Collaboration Premier accès depuis un nouvel emplacement
Citrix Content Collaboration Échecs d’authentification excessifs
Citrix Content Collaboration Activité de ransomware suspectée
Citrix Content Collaboration Téléchargements excessifs de fichiers
Citrix Gateway Ouverture de session à partir d’une adresse IP suspecte
Citrix Gateway Échecs d’authentification excessifs
Citrix Gateway Échecs excessifs d’autorisation
Citrix Gateway Premier accès depuis un nouvel emplacement
Microsoft Graph Security Indicateurs de risque Azure AD Identity Protection
Microsoft Graph Security Indicateurs de risque DAV Windows Defender

Points de terminaison compromis

Cette catégorie regroupe les indicateurs de risque qui sont déclenchés lorsque les périphériques présentent un comportement non sécurisé qui peut indiquer une compromission.

La catégorie de risque des paramètres compromis regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque de l’utilisateur
Citrix Virtual Apps and Desktops Accès à partir d’un appareil avec système d’exploitation non pris en charge
Citrix Gateway Échec de l’analyse des points de terminaison (EPA)
Citrix Endpoint Management Périphérique non géré détecté
Citrix Endpoint Management Appareil jailbreaké ou rooté détecté
Citrix Endpoint Management Appareil avec des applications sur la liste noire détectées