Citrix Analytics for Security

Tableau de bord des utilisateurs

Le tableau de bord Users est le point de départ de l’analyse du comportement des utilisateurs et de la prévention des menaces.

Ce tableau de bord offre une visibilité sur les modèles de comportement des utilisateurs au sein d’une organisation. À l’aide de ces données, vous pouvez surveiller, détecter et signaler de manière proactive les comportements qui sortent de la norme, tels que les attaques par hameçonnage ou par ransomware.

Le tableau de bord Utilisateurs contient les sections suivantes :

  • Utilisateurs découverts. Nombre total d’utilisateurs de votre organisation utilisant les sources de données pour lesquelles vous avez activé Analytics.

  • Les utilisateurs risqués. Les utilisateurs qui ont agi de manière risquée ou qui ont présenté un comportement risqué. Liste des utilisateurs à risque qui présentent le score de risque et les occurrences d’indicateurs de risque les plus élevés associés à leur compte.

  • Utilisateurs à haut risque. Les utilisateurs qui représentent une menace immédiate pour l’organisation.

  • Utilisateurs à risque moyen. Les utilisateurs susceptibles d’avoir plusieurs violations graves sur leur compte et qui doivent être surveillés de près.

  • Utilisateurs à faible risque. Les utilisateurs dont certaines violations ont été détectées sur leur compte, mais qui ne constituent potentiellement pas une menace.

  • Utilisateurs non risqués. Les utilisateurs qui n’ont détecté aucune violation active sur leur compte. Ces utilisateurs ne sont pas considérés comme une menace pendant la période sélectionnée.

  • Utilisateurs dans la liste de suivi. Les utilisateurs sont surveillés de près par les administrateurs.

  • Utilisateurs privilégiés. Les utilisateurs qui peuvent afficher des données sensibles et modifier les paramètres système critiques d’une organisation.

  • Indicateurs de risque. Affiche les cinq principaux indicateurs de risque de votre organisation.

  • Résumé de l’accès. Récapitule le nombre total de tentatives effectuées par les utilisateurs pour accéder aux ressources de votre organisation.

  • Politiques et actions. Affiche les cinq principales stratégies et actions appliquées aux profils utilisateur.

  • Catégories de risques. Affiche les catégories de risques prises en charge par Citrix Analytics. Les indicateurs de risque présentant des schémas comportementaux similaires sont regroupés dans les catégories.

Utilisateurs découverts

Nombre total d’utilisateurs de votre organisation utilisant les sources de données pour lesquelles vous avez activé Analytics. Il se peut qu’ils aient ou non un score de risque associé à leur compte. Il est possible que le nombre d’utilisateurs découverts dans le tableau de bord Utilisateurs soit supérieur au nombre d’utilisateurs à risque.

Cliquez sur le lien Utilisateurs découverts du tableau de bord pour afficher la page Utilisateurs qui affiche la liste complète des utilisateurs découverts par Citrix Analytics. La page Utilisateurs affiche également les sources de données, les scores de risque et le nombre d’occurrences d’indicateurs de risque associées aux utilisateurs découverts.

Utilisateurs découverts

Remarque

Dans le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs découverts est affiché au cours des 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

Section Utilisateurs découverts

Consultez les informations suivantes :

Facettes

Filtrez les événements utilisateur en fonction des catégories suivantes :

  • Score de risque : événements utilisateur basés sur des scores de risque élevé, de risque moyen, de risque faible et de risque zéro.

  • Utilisateur : événements utilisateur basés sur les privilèges d’administrateur, les privilèges exécutifs et les utilisateurs de la liste de suivi.

  • Sources de données découvertes : événements utilisateur basés sur la source de données que vous avez intégrée.

  • Étatde l’application Workspace : étatde prise en charge des versions de l’application Citrix Workspace utilisées sur la machine utilisateur.

    Remarque

    L’état de l’application Workspace est déterminé à partir des événements utilisateur reçus de Citrix Director. Pour afficher l’état, vous devez connecter Citrix Analytics à Citrix Director. Sinon, l’état de tous les utilisateurs Citrix Virtual Apps and Desktops est affiché comme Inactif.

    Utilisez les étiquettes suivantes pour identifier le statut :

    • Prise en charge : La version de l’application Citrix Workspace est prise en charge par Citrix Analytics et les événements utilisateur sont reçus de l’application.

    • Partiellement pris en charge : la version de l’application Citrix Workspace est prise en charge, mais aucun événement utilisateur n’est reçu de l’application. Pour identifier et résoudre les problèmes, consultez le guide de dépannage.

    • Non pris en charge : la version de l’application Citrix Workspace n’est pas prise en charge et aucun événement utilisateur n’est reçu de l’application. L’utilisateur doit mettre à jour l’application Citrix Workspace vers une version prise en charge. Pour obtenir la liste des versions prises en charge, consultez les clients pris en charge.

    • Non disponible (NA) : l’utilisateur n’utilise pas la source de données Citrix Virtual Apps and Desktops. Ils peuvent utiliser une source de données différente, telle que Content Collaboration, Access Control et Gateway.

    • Inactif : l’utilisateur n’a pas de session active dans son Citrix Virtual Apps and Desktops au cours de la dernière semaine. Par conséquent, aucun événement n’est reçu de la part de l’utilisateur.

    Au cours de la dernière semaine, si l’utilisateur met à jour l’application Citrix Workspace vers quatre versions différentes (par exemple : xx, xy, yx et yy), l’info-bulle affiche les quatre versions différentes. Le statut change en fonction du scénario suivant.

    Scénario État de l’application Workspace
    Lorsque les quatre versions (xx, xy, yx et yy) sont prises en charge. Pris en charge
    Parmi les quatre versions, au moins une version (xx) n’est pas prise en charge et les autres versions (xy, yx et yy) sont prises en charge. Non pris en charge
    Parmi les quatre versions, au moins une version (xx) est partiellement prise en charge et les autres versions (xy, yx et yy) sont prises en charge. Prise en charge partielle
    Parmi les quatre versions, la version (xx) n’est pas prise en charge, la version (yx) est partiellement prise en charge et les deux autres versions (yx, yy) sont prises en charge. Non pris en charge

    Remarque

    L’état Non pris en charge est prioritaire par rapport à l’état Supporté et à l’état Partiellement pris en charge.

Boîte de recherche

Utilisez la zone de recherche pour rechercher des événements pour les utilisateurs. Vous pouvez utiliser des opérateurs dans votre requête pour affiner le focus de votre recherche. Pour plus d’informations sur les opérateurs valides que vous pouvez utiliser dans votre requête, consultez la rubrique Recherche en libre-service.

Partition

Le score de risque détermine le niveau de risque qu’un utilisateur pose à une organisation pendant une période spécifique. La valeur du score de risque est dynamique et varie en fonction de l’analyse du comportement des utilisateurs. Sur la base du score de risque, un utilisateur peut entrer dans l’une des catégories suivantes : utilisateur à risque élevé, utilisateur à risque moyen, utilisateur à faible risque et utilisateur avec un score de risque nul.

Utilisateur

Liste de tous les utilisateurs découverts par Analytics. Sélectionnez un nom d’utilisateur pour afficher les informations utilisateur et la chronologie des risques pour l’utilisateur. Il se peut que l’utilisateur ait déclenché ou non un indicateur de risque. Si aucun événement risqué n’est associé à cet utilisateur, le message suivant s’affiche.

Aucun événement risqué

S’il y a des événements à risque associés à un utilisateur, les indicateurs de risque figurent sur son calendrier de risque. Sélectionnez l’utilisateur pour afficher la chronologie des risques.

Un utilisateur peut être marqué comme privilégié et ajouté à la liste de suivi.

Occurrence des indicateurs de risque

Nombre de fois qu’un indicateur de risque est déclenché pour un utilisateur. Un indicateur de risque peut être par défaut ou personnalisé. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

Source de données découverte

Source de données associée à un utilisateur. Lorsqu’un utilisateur utilise activement la source de données, Analytics reçoit les événements utilisateur de cette source de données. Pour recevoir des événements utilisateur, vous devez activer le traitement des données sur la fiche de site de la source de données, disponible sur la page Sources de données .

Utilisateurs risqués

Les utilisateurs à risque sont des utilisateurs découverts auxquels des événements risqués sont associés et qui ont déclenché au moins un indicateur de risque. Le niveau de risque qu’un utilisateur pose au réseau pendant une période de temps spécifique est déterminé par le score de risque associé à l’utilisateur. La valeur du score de risque est dynamique et repose sur l’analyse du comportement des utilisateurs. Sur la base du score de risque, un utilisateur à risque peut appartenir à l’une des trois catégories suivantes : utilisateur à risque élevé, utilisateur à risque moyen ou utilisateur à faible risque.

Dans le volet Utilisateurs à risque, vous pouvez trier les cinq principaux utilisateurs à risque en fonction du score le plus élevé ou des occurrences d’indicateur de risque le plus élevé.

  • Sélectionnez le score le plus élevé pour afficher les cinq principaux utilisateurs à risque en fonction du score de risque le plus élevé.

  • Sélectionnez Indicateur de risque pour afficher les cinq principaux indicateurs de risque avec le nombre maximal d’occurrences.

Lien utilisateur risqué

Cliquez sur le lien Utilisateurs risqués en haut ou sur le lien Voir plus dans le volet Utilisateurs risqués pour afficher la page Utilisateurs . Cette page affiche tous les utilisateurs à risque et leurs indicateurs de risque. Vous pouvez utiliser les facettes et la barre de recherche pour filtrer les événements en fonction de vos besoins.

Remarque

Sur le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs à risque est affiché au cours des 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

Tableau de bord utilisateur risqué

Utilisateurs à haut risque

Utilisateurs dont le score de risque est compris entre 90 et 100. Ces utilisateurs représentent des menaces immédiates pour l’organisation.

Dans le tableau de bord Utilisateurs, vous pouvez afficher le nombre d’utilisateurs à haut risque au cours des 13 derniers mois. Par exemple, l’image suivante montre cinq utilisateurs à haut risque au cours des 13 derniers mois.

Utilisateurs à haut risque

Cliquez sur la vignette Utilisateurs à haut risque pour afficher la page Utilisateurs . La page affiche les détails des utilisateurs à haut risque, tels que le score de risque, les occurrences d’indicateurs de risque et leurs sources de données. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

En savoir plus : Utilisateurs risqués

Utilisateurs à risque moyen

Utilisateurs dont le score de risque est compris entre 70 et 89. Ces utilisateurs peuvent avoir plusieurs violations graves sur leur compte et doivent être surveillés de près.

Dans le tableau de bord Utilisateurs, vous pouvez afficher le nombre d’utilisateurs à risque moyen au cours des 13 derniers mois. Par exemple, l’image suivante montre huit utilisateurs à risque moyen au cours des 13 derniers mois.

Utilisateurs à risque moyen

Cliquez sur la vignette Utilisateurs à risque moyen pour afficher la page Utilisateurs . La page affiche les détails des utilisateurs à risque moyen, tels que le score de risque, les occurrences d’indicateurs de risque et leurs sources de données. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

En savoir plus : Utilisateurs risqués

Utilisateurs à faible risque

Utilisateurs dont le score de risque est compris entre 1 et 69. Ces utilisateurs peuvent avoir détecté des violations sur leur compte. Ils peuvent également inclure des utilisateurs qui étaient auparavant des utilisateurs à risque élevé ou moyen. Ces utilisateurs ont été réévalués sur une période prédéterminée.

Dans le tableau de bord Utilisateurs, vous pouvez afficher le nombre d’utilisateurs à faible risque au cours des 13 derniers mois. Par exemple, l’image suivante montre 147 utilisateurs à faible risque au cours des 13 derniers mois.

Utilisateurs à faible risque

Cliquez sur la vignette Utilisateurs à faible risque pour afficher la page Utilisateurs . La page affiche les détails des utilisateurs à faible risque, tels que le score de risque, les occurrences d’indicateurs de risque et leurs sources de données. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

En savoir plus : Utilisateurs risqués

Utilisateurs non risqués

Utilisateurs avec un score de risque nul. Ces utilisateurs n’ont détecté aucune violation active dans leur compte pendant la période sélectionnée.

Utilisateurs non risqués

Cliquez sur la vignette Utilisateurs non risqués pour afficher la page Utilisateurs . La page affiche les utilisateurs dont le score de risque zéro est sélectionné et leurs sources de données. Pendant une période sélectionnée, ces utilisateurs non risqués peuvent être associés à des occurrences d’indicateurs de risque, bien que leur score de risque soit nul.

Utilisateurs dans la liste de suivi

Liste des utilisateurs surveillés de près pour détecter les menaces potentielles. Par exemple, vous pouvez surveiller les utilisateurs qui ne sont pas des employés à temps plein au sein de votre organisation en ajoutant ces utilisateurs à la liste de suivi. Vous pouvez également surveiller les utilisateurs qui déclenchent fréquemment un indicateur de risque spécifique. Vous pouvez soit ajouter un utilisateur à la liste de suivi manuellement, soit définir des stratégies pour ajouter des utilisateurs à la liste de suivi.

Si aucun utilisateur n’est ajouté à la liste de suivi, l’écran suivant s’affiche dans le tableau de bord Utilisateurs .

Zéro utilisateur dans les listes de suivi

Si vous avez ajouté des utilisateurs à la liste de suivi, dans le tableau de bord Utilisateurs, vous pouvez afficher les cinq premiers utilisateurs de la liste de suivi en fonction du score le plus élevé.

Utilisateurs du tableau de bord des utilisateurs dans la liste de suivi

Cliquez sur la vignette Utilisateurs dans la liste de suivi ou sur le lien Voir plus dans le volet Utilisateurs dans la liste de suivi pour afficher la page Utilisateurs . La page affiche la liste de tous les utilisateurs de la liste de suivi.

Remarque

Sur le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs dans la liste de suivi est affiché pour les 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

En savoir plus : Liste de surveillance

Utilisateurs privilégiés

Les utilisateurs privilégiés sont les employés qui ont un accès légitime aux données sensibles et aux paramètres système d’une organisation. En raison de leurs droits privilégiés, les actions malveillantes des utilisateurs privilégiés sont souvent indiscernables de leurs activités quotidiennes. Par conséquent, les actions des utilisateurs privilégiés restent longtemps inaperçues. De telles actions exposent les organisations à un large éventail de risques. Pour relever ce défi, Citrix Analytics fournit la fonctionnalité de surveillance des utilisateurs privilégiés. Cette fonctionnalité vous permet de surveiller de près les anomalies de comportement des utilisateurs privilégiés de votre organisation.

Dans le tableau de bord Utilisateurs, vous pouvez afficher les cinq premiers utilisateurs privilégiés en fonction du score de risque le plus élevé. Les utilisateurs privilégiés sont classés en tant qu’administrateurs et cadres.

  • Administrateurs. Les utilisateurs disposant de droits d’administrateur sur un produit ou un service. Par exemple, lorsque le privilège d’un utilisateur est élevé au rang d’administrateur dans le service Content Collaboration, ces informations sont affichées sur la page Utilisateurs . Vous pouvez ensuite surveiller les activités des utilisateurs administrateurs.

    Prenons l’exemple de l’utilisateur Maria Brown à qui des privilèges d’administrateur ont été attribués dans le service Content Collaboration. Maria commence à supprimer excessivement des fichiers et des dossiers et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur. Citrix Analytics vous aide à comparer cet indicateur de risque avec les informations disponibles sur la page Utilisateurs . Vous pouvez décider si l’indicateur de risque a été déclenché après l’attribution de privilèges d’administrateur à l’utilisateur dans Content Collaboration. Si oui, vous pouvez effectuer les actions appropriées sur le profil de l’utilisateur privilégié.

  • Dirigeants. Utilisateurs, de préférence issus de la haute direction de votre organisation. Sur la page Utilisateurs, vous pouvez ajouter ou supprimer des utilisateurs en tant qu’utilisateurs exécutifs. Pour obtenir des instructions, consultez les sections Ajouter en tant qu’utilisateur privilégié et Supprimer en tant qu’utilisateur privilégié .

    Imaginons un scénario dans lequel vous avez ajouté un utilisateur en tant qu’utilisateur privilégié. L’utilisateur commence à supprimer des fichiers et des dossiers de manière excessive et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur. Citrix Analytics vous aide à comparer l’indicateur de risque avec les informations de la page Utilisateurs . Lorsque vous comparez les informations, vous pouvez déterminer si l’indicateur de risque a été déclenché après que l’utilisateur a été marqué en tant qu’utilisateur exécutif. Si oui, vous pouvez effectuer les actions appropriées sur le profil de l’utilisateur.

Tableau de bord des utilisateurs utilisateurs privilégiés

Cliquez sur le lien Utilisateurs privilégiés en haut ou sur le lien Voir plus dans le volet Utilisateurs privilégiés pour afficher la page Utilisateurs qui affiche les utilisateurs privilégiés avec des administrateurs et des cadres, ainsi que les derniers détails de l’indicateur de risque. Les utilisateurs privilégiés sont représentés par une icône dans la colonne USER .

Remarque

Dans le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs privilégiés est affiché pour les 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

Ajouter en tant qu’utilisateur privilégié

  1. Sur la page Utilisateurs, accédez au tableau Tous les utilisateurs et sélectionnez les utilisateurs que vous souhaitez ajouter en tant qu’utilisateurs exécutifs.

  2. Cliquez sur Marquer comme privilégié.

Utilisateurs privilégiés

Supprimer en tant qu’utilisateur privilégié

  1. Sur la page Utilisateurs, accédez au tableau Tous les utilisateurs et sélectionnez les utilisateurs que vous souhaitez supprimer en tant qu’utilisateurs exécutifs.

  2. Cliquez sur Supprimer des privilèges.

Utilisateurs privilégiés

Indicateurs de risque

Résume les cinq principaux indicateurs de risque pour une période sélectionnée. Les indicateurs de risque peuvent être par défaut ou personnalisés. Pour les indicateurs de risque par défaut, Citrix Analytics collecte des données à partir des sources de données découvertes et sur lesquelles le traitement des données est activé.

Pour les indicateurs de risque personnalisés, Citrix Analytics collecte des données à partir des sources de données suivantes en fonction des événements risqués générés :

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Dans le volet Indicateurs de risque, vous pouvez afficher les cinq principaux indicateurs de risque et les trier en fonction du nombre total d’occurrences ou de leur gravité.

Tableau de bord des indicateurs de risque

Cliquez sur Voir plus dans le volet Indicateurs de risque pour afficher la page Aperçu des indicateurs de risque .

La page Aperçu des indicateurs de risque fournit des informations sur les indicateurs de risque par défaut et personnalisés. Sélectionnez la période pour afficher les indicateurs de risque et leurs occurrences.

Aperçu des indicateurs de risque

Cliquez sur un indicateur de risque dans la colonne NOM pour afficher des détails sur l’indicateur de risque, tels que la vue chronologique, les utilisateurs, les occurrences et l’heure de déclenchement. Vous pouvez également cliquer sur un indicateur de risque dans le tableau de bord Indicateurs de risque pour afficher ses détails. L’image suivante montre les détails de l’accès excessif aux fichiers sensibles (alerte DLP).

Détails de l'alerte DLP

Résumé des accès

Ce tableau de bord récapitule tous les événements d’accès à la passerelle pendant une période sélectionnée. Il affiche le nombre total d’accès, d’accès réussis et d’accès échoué via Citrix Gateway.

Cliquez sur les pointeurs du graphique pour afficher la page Recherche en libre-service de passerelle . Pour les scénarios de connexion réussis, les événements d’accès à la passerelle sont triés en fonction du code d’état sur la page.

Tableau de bord de résumé des accès

Stratégies et actions

Affiche les cinq principales stratégies et actions appliquées aux profils utilisateur pendant une période sélectionnée. Cliquez sur le lien Voir plus dans le volet Stratégies et actions pour obtenir des informations détaillées sur les stratégies et les actions.

Tableau de bord Stratégies et actions

Principales politiques

Les cinq principales stratégies configurées sont déterminées en fonction du nombre d’occurrences. Lorsque vous êtes dans la section Principales stratégies du tableau de bord et que vous sélectionnez Voir plus, vous êtes redirigé vers la page Toutes les stratégies .

Tableau de bord Stratégies et actions

Toutes les politiques

Cette page fournit des informations détaillées sur toutes les stratégies configurées. Lorsque vous sélectionnez une stratégie, vous êtes redirigé vers la page Recherche de stratégies en libre-service . Dans le volet gauche, vous pouvez filtrer en fonction des actions appliquées.

Lorsque vous sélectionnez un nom d’utilisateur, vous êtes redirigé vers la chronologie des risques. L’action basée sur une stratégie est ajoutée à la chronologie des risques de l’utilisateur. Lorsque vous sélectionnez l’action, ses détails sont affichés dans le volet droit de la chronologie des risques.

Principales actions

Les cinq principales actions associées aux stratégies appliquées aux profils utilisateur. Cette section n’affiche pas les actions que vous avez appliquées manuellement sur les profils utilisateur. Les principales actions sont déterminées par le nombre d’occurrences.

Cliquez sur Voir plus pour afficher toutes les actions basées sur des stratégies sur la page Actions .

Actions

La page fournit la liste de toutes les actions basées sur des stratégies qui ont été appliquées à vos utilisateurs pendant la période sélectionnée. Vous affichez les informations suivantes :

  • Nom de l’action appliquée conformément à la stratégie

  • Nombre d’utilisateurs auxquels l’action a été appliquée

  • Nombre d’occurrences de l’action

  • Nombre de stratégies associées à l’action

  • Date et heure de l’action appliquée

Tableau de bord Stratégies et actions

Cliquez sur une action pour afficher toutes les stratégies associées. Ces stratégies sont triées en fonction du nombre d’occurrences. Par exemple, cliquez sur Demander une réponse utilisateur sur la page Actions . La page Toutes les stratégies affiche toutes les stratégies associées à l’action Demander une réponse utilisateur .

Tableau de bord Stratégies et actions

Sur la page Toutes les stratégies, cliquez sur une stratégie pour afficher les événements utilisateur auxquels l’action a été appliquée.

Catégories de risque

Ce tableau de bord fournit une vue agrégée du niveau d’exposition au risque d’une organisation pour une période sélectionnée. Les indicateurs de risque sont regroupés en catégories connues en fonction des risques similaires. La catégorisation des risques est prise en charge sur les indicateurs de risque par défaut et personnalisés.

Tableau de bord des catégories de risques

L’objectif du tableau de bord des catégories de risques est de permettre aux administrateurs Citrix Virtual Apps and Desktops de gérer les risques des utilisateurs et de simplifier les discussions avec leurs homologues en matière de sécurité sans avoir besoin de connaissances de niveau expert en matière de sécurité. Il permet à l’application de la sécurité de prendre effet au niveau de l’organisation et n’est pas limité aux seuls administrateurs de sécurité.

Cas d’utilisation

Considérez que vous êtes un administrateur Citrix Virtual Apps and Desktops et que vous gérez les droits d’accès aux applications des employés de votre organisation. Si vous accédez à la section Catégories de risque > Utilisateurs compromis > Échecs d’authentification excessifs - Indicateur de risque Citrix Gateway, vous pouvez évaluer si les employés auxquels vous avez accordé l’accès ont été compromis. Si vous naviguez plus loin, vous pouvez obtenir des informations plus précises sur cet indicateur de risque, telles que les raisons de l’échec, les emplacements de connexion, les détails de la chronologie et le résumé utilisateur. Si vous constatez des divergences entre les utilisateurs auxquels l’accès a été accordé et ceux qui ont été compromis, vous pouvez en informer l’administrateur de sécurité. Cette notification en temps opportun à l’administrateur de la sécurité contribue à l’application de la sécurité au niveau de l’organisation.

Cas d'utilisation des catégories de risques

Comment analyser le tableau de bord des catégories de risques ?

Lorsque vous sélectionnez Voir plus sur le tableau de bord Catégories de risques, vous êtes redirigé vers la page qui récapitule les détails des catégories de risque. Cette page contient les informations suivantes :

  • Rapport de catégorie de risque : représente le nombre total d’occurrences d’indicateurs de risque de chaque catégorie pour une période sélectionnée.

    Page Catégories de risques

  • Détails de la chronologie : fournit une représentation graphique du nombre total d’occurrences d’indicateurs de risque de chaque catégorie de risque pour une période sélectionnée. Si vous accédez au bas de cette section, vous pouvez effectuer un tri en fonction des catégories de risque pour obtenir des informations plus précises sur les indicateurs de risque.

    Page Catégories de risques

  • Résumé des catégories de risques : Cette section fournit des détails tels que l’impact, les occurrences et la gravité des indicateurs de risque associés à chaque catégorie. Sélectionnez n’importe quelle catégorie de risque pour afficher des détails sur les indicateurs de risque associés à cette catégorie. Par exemple, lorsque vous sélectionnez la catégorie Utilisateurs compromis, vous êtes redirigé vers la page Utilisateurs compromis .

    Page Catégories de risques

La page Utilisateurs compromis affiche les informations suivantes :

  • Rapport des indicateursde risque : affiche les indicateurs de risque qui appartiennent à la catégorie Utilisateurs compromis pour une période sélectionnée. Il affiche également le nombre total d’occurrences des indicateurs de risque qui ont été déclenchés au cours de la période sélectionnée.

    Page Utilisateurs compromis

  • Détails de la chronologie : fournit une représentation graphique des occurrences de l’indicateur de risque pour une période sélectionnée.

    Page Utilisateurs compromis

  • Résumé des indicateurs de risque : affiche un résumé des indicateurs de risque générés dans la catégorie des utilisateurs compromis. Cette section affiche également la gravité, la source de données, le type d’indicateur de risque, les occurrences et la dernière occurrence.

    Page Utilisateurs compromis

Lorsque vous sélectionnez un indicateur de risque, vous êtes redirigé vers la page qui récapitule les détails de cet indicateur. Par exemple, si vous sélectionnez l’indicateur de risque Premier accès à partir d’un nouvel appareil, vous êtes redirigé vers la page qui récapitule les détails de cet indicateur. Le résumé inclut des détails chronologiques sur les occurrences de cet événement et un résumé utilisateur qui répertorie les utilisateurs qui ont déclenché cet indicateur de risque, les occurrences de l’indicateur de risque et l’heure de l’événement. Lorsque vous sélectionnez un utilisateur, vous êtes redirigé vers la chronologie des risques de l’utilisateur.

Page Utilisateurs compromis

Remarque

Citrix Analytics regroupe les indicateurs de risque par défaut dans la catégorie de risque appropriée. Pour les indicateurs de risque personnalisés, vous devez sélectionner une catégorie de risque sur la page Créer un indicateur . Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Types de catégories de risques

Exfiltration de données

Cette catégorie regroupe les indicateurs de risque déclenchés par des logiciels malveillants ou par des employés qui effectuent des transferts de données non autorisés ou des vols de données vers ou depuis un appareil d’une organisation. Vous pouvez obtenir des informations sur toutes les activités d’exfiltration de données qui ont eu lieu au cours d’une période donnée et atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risque d’exfiltration de données regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque utilisateur
Citrix Virtual Apps and Desktops Exfiltration potentielle des données
Citrix Content Collaboration Accès excessif aux fichiers sensibles
Citrix Content Collaboration Partage excessif de fichiers
Citrix Access Control Volume de téléchargement inhabituel

Menaces internes

Cette catégorie regroupe les indicateurs de risque déclenchés par les employés au sein d’une organisation. Étant donné que les employés disposent de niveaux d’accès plus élevés aux applications spécifiques à l’entreprise, les entreprises sont plus susceptibles de présenter des risques de sécurité. Les activités risquées peuvent être intentionnellement causées par un initié malveillant ou être le résultat d’une erreur humaine. Dans l’un ou l’autre des scénarios, l’impact sur la sécurité de l’organisation est préjudiciable. Cette catégorie fournit des informations sur toutes les activités liées aux menaces internes qui ont eu lieu au cours d’une période donnée. À l’aide de ces informations, vous pouvez atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risques liés aux menaces internes regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque utilisateur
Citrix Content Collaboration Suppression excessive de fichiers ou de dossiers
Citrix Content Collaboration Chargements excessifs de fichiers
Citrix Access Control Téléchargement excessif de données
Citrix Access Control Tentative d’accès à une URL de liste noire
Citrix Access Control Accès à un site Web risqué

Utilisateurs compromis

Cette catégorie regroupe les indicateurs de risque dans lesquels les utilisateurs affichent des modèles comportementaux inhabituels tels que des connexions suspectes ou des échecs de connexion. Les tendances inhabituelles peuvent également résulter de la compromission des comptes d’utilisateurs. Vous pouvez obtenir des informations sur tous les événements utilisateur compromis qui se sont produits au cours d’une période spécifiée et atténuer les risques associés à cette catégorie en appliquant des actions proactives sur les profils utilisateur.

La catégorie de risque Utilisateurs compromis regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque utilisateur
Citrix Content Collaboration Accès depuis un endroit inhabituel
Citrix Content Collaboration Échecs d’authentification inhabituels
Citrix Content Collaboration Activité de ransomware suspectée
Citrix Content Collaboration Téléchargements excessifs de fichiers
Citrix Gateway Ouverture de session à partir d’une adresse IP suspecte
Citrix Gateway Échec excessif de l’authentification
Citrix Gateway Échecs excessifs d’autorisation
Citrix Gateway Accès depuis un endroit inhabituel
Microsoft Graph Security Indicateurs de risque Azure AD Identity Protection
Microsoft Graph Security Indicateurs de risque Microsoft Defender for Endpoint

Points de terminaison compromis

Cette catégorie regroupe les indicateurs de risque qui sont déclenchés lorsque les appareils présentent un comportement non sécurisé pouvant indiquer une compromission.

La catégorie de risque des points de terminaison compromis regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque utilisateur
Citrix Gateway Échec de l’analyse EPA (End Point Analysis)
Citrix Endpoint Management Périphérique non géré détecté
Citrix Endpoint Management Appareil jailbreaké ou rooté détecté
Citrix Endpoint Management Appareil avec des applications sur la liste noire détectées