Documentation produit
Citrix Analytics for Security
Voir PDF

Tableau de bord des utilisateurs

May 2, 2023
Contributeur: 
C

Vue d’ensemble

Le tableau de bord Users est le point de départ de l’analyse du comportement des utilisateurs et de la prévention des menaces.

Ce tableau de bord offre une visibilité sur les modèles de comportement des utilisateurs au sein d’une organisation. À l’aide de ces données, vous pouvez surveiller, détecter et signaler de manière proactive les comportements qui sortent de la norme, tels que les attaques par hameçonnage ou par ransomware.

Pour consulter le tableau de bord des utilisateurs, accédez à Sécurité > Utilisateurs. Le tableau de bord Utilisateurs contient les sections suivantes :

  • Vue d’ensemble : La section de présentation fournit des résumés des indicateurs qui peuvent vous aider à comprendre le niveau de sécurité global de votre organisation.

    Tableau de bord des utilisateurs

  • Répartition des risques par les utilisateurs : nombre d’utilisateurs présentant des profils à risque élevé, moyen, faible et sans risque sur la base de leur score de risque calculé le plus élevé au cours de la période sélectionnée.

  • Principaux utilisateurs : lesmeilleurs utilisateurs sont triés selon leur score de risque, segmentés par tous les utilisateurs, utilisateurs privilégiés et utilisateurs de la liste de surveillance.

  • Catégories de risques : affiche les catégories de risques prises en charge par Citrix Analytics. Les indicateurs de risque présentant des schémas comportementaux similaires sont regroupés dans les catégories.

  • Indicateurs de risque et actions : distribution des indicateurs de risque et des actions tracés sur une durée sélectionnée pour tous les utilisateurs de votre organisation.

  • Résumé de l’accès : Récapitulele nombre total de tentatives effectuées par les utilisateurs pour accéder aux ressources de votre organisation.

  • Politiques et actions : affiche les cinq principales politiques et actions appliquées aux profils utilisateur.

  • Indicateurs de risque : affiche les cinq principaux indicateurs de risque de votre organisation.

Tous les utilisateurs découverts

Nombre total d’utilisateurs de votre organisation utilisant les sources de données pour lesquelles vous avez activé Analytics. Il se peut qu’ils aient ou non un score de risque associé à leur compte. Il est possible que le nombre d’utilisateurs découverts dans le tableau de bord Utilisateurs soit supérieur au nombre d’utilisateurs à risque.

Cliquez sur la vignette Tous les utilisateurs découverts sur le tableau de bord pour afficher la page Utilisateurs qui affiche la liste complète des utilisateurs découverts par Citrix Analytics. La page Utilisateurs affiche les sources de données, les scores de risque et l’état de l’application de l’espace de travail, ainsi que les utilisateurs découverts.

Remarque

Dans le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs découverts est affiché au cours des 13 derniers mois, quelle que soit la période sélectionnée. Les actions et les événements comptabilisent les modifications en fonction de l’heure sélectionnée.

Section Utilisateurs découverts

Facettes

Filtrez les événements utilisateur en fonction des catégories suivantes :

  • Score de risque : événements utilisateur basés sur des scores de risque élevé, de risque moyen, de risque faible et de risque zéro.

  • Utilisateur : événements utilisateur basés sur les privilèges d’administrateur, les privilèges exécutifs et les utilisateurs de la liste de suivi.

  • Sources de données découvertes : événements utilisateur basés sur la source de données que vous avez intégrée.

  • Étatde l’application Workspace : étatde prise en charge des versions de l’application Citrix Workspace utilisées sur la machine utilisateur.

    Remarque

    L’état de l’application Workspace est déterminé à partir des événements utilisateur reçus de Citrix Director. Pour afficher l’état, vous devez connecter Citrix Analytics à Citrix Director. Sinon, l’état de tous les utilisateurs de Citrix Virtual Apps and Desktops et de Citrix DaaS est affiché comme Inactif.

Boîte de recherche

Utilisez la zone de recherche pour rechercher des événements pour les utilisateurs. Vous pouvez utiliser des opérateurs dans votre requête pour affiner le focus de votre recherche. Pour plus d’informations sur les opérateurs valides que vous pouvez utiliser dans votre requête, consultez la rubrique Recherche en libre-service.

Dernier score

Le score de risque détermine le niveau de risque qu’un utilisateur pose à une organisation pendant une période spécifique. La valeur du score de risque est dynamique et varie en fonction de l’analyse du comportement des utilisateurs. Sur la base du dernier score de risque, un utilisateur peut appartenir à l’une des catégories suivantes : utilisateur à risque élevé, utilisateur à risque moyen, utilisateur à faible risque et utilisateur avec un score de risque nul.

Utilisateur

Liste de tous les utilisateurs découverts par Analytics. Sélectionnez un nom d’utilisateur pour afficher les informations utilisateur et la chronologie des risques pour l’utilisateur. Il se peut que l’utilisateur ait déclenché ou non un indicateur de risque. Si aucun événement risqué n’est associé à cet utilisateur, le message suivant s’affiche.

Aucun événement risqué

S’il y a des événements à risque associés à un utilisateur, les indicateurs de risque figurent sur son calendrier de risque. Sélectionnez l’utilisateur pour afficher la chronologie des risques.

Un utilisateur peut être marqué comme privilégié et ajouté à la liste de suivi.

Source de données découverte

Source de données associée à un utilisateur. Lorsqu’un utilisateur utilise activement la source de données, Analytics reçoit les événements utilisateur de cette source de données. Pour recevoir des événements utilisateur, vous devez activer le traitement des données sur la fiche de site de la source de données, disponible sur la page Sources de données .

État de l’application Workspace

Utilisez les étiquettes suivantes pour identifier l’état de l’application Workspace :

  • Prise en charge : La version de l’application Citrix Workspace est prise en charge par Citrix Analytics et les événements utilisateur proviennent de l’application.

  • Prise en charge partielle : la version de l’application Citrix Workspace est prise en charge mais aucun événement utilisateur n’est reçu de la part de l’application. Pour identifier et résoudre les problèmes, consultez le guide de dépannage.

  • Non prise en charge : la version de l’application Citrix Workspace n’est pas prise en charge et aucun événement utilisateur n’est reçu de l’application. L’utilisateur doit mettre à jour l’application Citrix Workspace vers une version prise en charge. Pour obtenir la liste des versions prises en charge, consultez les clients pris en charge.

  • Non disponible (NA) : l’utilisateur n’utilise pas la source de données Citrix Virtual Apps and Desktops et Citrix DaaS. Ils peuvent utiliser une source de données différente, telle que Content Collaboration, Secure Private Access et Gateway.

  • Inactif : l’utilisateur n’a eu aucune session active dans Citrix Virtual Apps and Desktops et Citrix DaaS au cours de la dernière semaine. Par conséquent, aucun événement n’est reçu de la part de l’utilisateur.

Au cours de la dernière semaine, si l’utilisateur a mis à jour l’application Citrix Workspace vers quatre versions différentes (par exemple : xx, xy, yx et yy), l’infobulle affiche les quatre versions différentes. Le statut change en fonction du scénario suivant.

Scénario État de l’application Workspace
Lorsque les quatre versions (xx, xy, yx et yy) sont prises en charge. Prise en charge
Parmi les quatre versions, au moins une version (xx) n’est pas prise en charge et les autres versions (xy, yx et yy) sont prises en charge. Non pris en charge
Parmi les quatre versions, au moins une version (xx) est partiellement prise en charge et les autres versions (xy, yx et yy) sont prises en charge. Prise en charge partielle
Parmi les quatre versions, la version (xx) n’est pas prise en charge, la version (yx) est partiellement prise en charge et les deux autres versions (yx, yy) sont prises en charge. Non pris en charge

Remarque

L’état Non pris en charge est prioritaire par rapport à l’état Supporté et à l’état Partiellement pris en charge.

Indicateurs déclenchés

Indique le nombre d’indicateurs de risque déclenchés par les utilisateurs pendant la durée sélectionnée. Cliquez sur la vignette Indicateurs déclenchés pour afficher les détails des indicateurs de risque. Le tableau des indicateurs de risque fournit les informations suivantes :

  • Nom : nomde l’indicateur de risque.
  • Gravité : gravité du risque associé à l’événement. Le risque peut être élevé, moyen ou faible.
  • Source de données : sourcede données à laquelle s’applique le modèle d’indicateur de risque.
  • Type : Type d’indicateur de risque. Un indicateur de risque peut être par défaut ou personnalisé.
  • Occurrences : nombre de fois qu’un indicateur de risque est déclenché pour un utilisateur. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.
  • Dernière occurrence : affiche la date et l’heure de la dernière occurrence.

Lien utilisateur risqué

Actions appliquées

Indique le nombre d’actions appliquées aux utilisateurs pendant la durée sélectionnée. Cela inclut les actions appliquées manuellement par les administrateurs et les actions basées sur des politiques. Cliquez sur la vignette Action appliquée pour afficher les détails de l’action. Cette section n’affiche pas les actions que vous avez appliquées manuellement sur les profils utilisateur.

Actions appliquées

Le tableau des actions fournit les informations suivantes :

  • Action : nom de l’action appliquée conformément à la politique.
  • Utilisateurs : nombre d’utilisateurs auxquels l’action a été appliquée.
  • Occurrences : nombre d’occurrences de l’action.
  • Date et heure : date et heure de l’action appliquée.

Événements traités

Nombre total d’événements utilisateur reçus à partir de vos sources de données connectées et traités par Analytics.

Répartition des risques pour les utilisateurs

Vous pouvez consulter le nombre d’utilisateurs présentant des profils à risque élevé, moyen, faible et sans risque en fonction de leur score de risque calculé le plus élevé au cours de la période sélectionnée. Sous les chiffres globaux, un graphique à barres montre l’évolution au fil du temps de la répartition des utilisateurs présentant un risque faible, moyen et élevé.

Répartition des risques pour les utilisateurs

Le niveau de risque est classé dans un code à trois couleurs.

  • Rouge  : représente les utilisateurs à haut risque.
  • Orange  : représente les utilisateurs présentant un risque moyen.
  • Gris  : représente les utilisateurs à faible risque.

Vous pouvez consulter le nombre d’utilisateurs à risque (élevé, moyen et faible) en passant votre souris sur les barres de couleur en fonction d’une période spécifique. Vous pouvez consulter les détails de la dernière mise à jour (date et heure) à l’aide des informations relatives à l’intervalle de données. Cliquez sur l’option d’actualisation pour obtenir les données mises à jour.

Nombre total d’utilisateurs

Cliquez sur l’option Nombre total d’utilisateurs pour afficher la page Utilisateurs.

Nombre total d'utilisateurs

Cette page affiche tous les utilisateurs et leurs scores de risque. Vous pouvez utiliser les facettes et la barre de recherche pour filtrer les événements.

Nombre total d'utilisateurs

Utilisateurs risqués

Les utilisateurs à risque sont des utilisateurs découverts auxquels des événements risqués sont associés et qui ont déclenché au moins un indicateur de risque. Le niveau de risque qu’un utilisateur pose au réseau pendant une période de temps spécifique est déterminé par le score de risque associé à l’utilisateur. La valeur du score de risque est dynamique et repose sur l’analyse du comportement des utilisateurs.

Le risque de chaque utilisateur est régulièrement mis à jour au fil du temps en fonction de l’activité de l’utilisateur. Par conséquent, un utilisateur peut présenter un risque moyen ou élevé à un moment donné, mais passer à un niveau de risque inférieur plus tard. Sur la base du score de risque, un utilisateur à risque peut appartenir à l’une des catégories suivantes :

Sur la page Utilisateurs à risque, vous pouvez utiliser les facettes pour filtrer en fonction des niveaux de risque associés à la période sélectionnée, et la barre de recherche pour rechercher un ou plusieurs utilisateurs spécifiques.

Facette des utilisateurs à risque

Cliquez sur l’adresse e-mail de l’utilisateur pour afficher la page de chronologie des risques pour cet utilisateur sélectionné en particulier. Cette page affiche les indicateurs de risque ainsi que les détails des scores de risque les plus récentset les plus élevés en fonction de la période sélectionnée.

Score de risque le plus récent et le plus élevé

Risque élevé

Utilisateurs dont le score de risque est compris entre 90 et 100. Ces utilisateurs ont adopté de multiples comportements correspondant à des facteurs de risque modérés à graves et peuvent représenter une menace immédiate pour l’organisation.

Sur le tableau de bord des utilisateurs, vous pouvez consulter le nombre d’utilisateurs présentant un risque élevé en fonction du score de risque calculé le plus élevé au cours de la période sélectionnée.

Utilisateurs à haut risque

Cliquez sur l’option Risque élevé pour afficher la page Utilisateurs à risque . La page affiche les détails concernant les utilisateurs à haut risque.

Risque moyen

Utilisateurs dont le score de risque est compris entre 70 et 89. Ces utilisateurs ont généralement une ou plusieurs activités qui semblent potentiellement suspectes et/ou anormales, et qui peuvent valoir la peine d’être surveillées de près.

Utilisateurs à risque moyen

Cliquez sur l’option Risque moyen pour afficher la page Utilisateurs à risque . La page affiche les détails concernant les utilisateurs présentant un risque moyen.

Risque faible

Utilisateurs dont le score de risque est compris entre 1 et 69. Ces utilisateurs disposent d’au moins un indicateur de risque reflétant un comportement inhabituel ou inattendu, mais pas suffisamment pour mériter une classification de risque plus grave.

Utilisateurs à faible risque

Cliquez sur l’option Risque faible pour afficher la page Utilisateurs à risque . La page affiche les détails concernant les utilisateurs à faible risque.

Score de risque faible

Non risqué

Utilisateurs avec un score de risque nul. Aucun indicateur de risque n’est déclenché sur leur compte pour la période sélectionnée. Ces utilisateurs non risqués peuvent être associés à des occurrences d’indicateurs de risque bien que leur score de risque soit nul.

Utilisateurs non risqués

Les meilleurs utilisateurs

Vous pouvez consulter les meilleurs utilisateurs dans différentes catégories d’utilisateurs, triés selon les scores de risque les plus élevés pour la période sélectionnée. Le tableau des principaux utilisateurs suivant présente les cinq utilisateurs les plus exposés au risque (tous les utilisateurs, les utilisateurs privilégiés et les utilisateurs de la liste de surveillance) en fonction de leur score de risque calculé sur la période sélectionnée, plutôt que du score de risque le plus récent.

Les meilleurs utilisateurs

Remarque

Dans les versions précédentes, le tableau des principaux utilisateurs affichait toujours le score de risque le plus récent, quelle que soit la période sélectionnée.

Utilisateurs privilégiés

Les utilisateurs privilégiés sont les employés qui ont un accès légitime aux données sensibles et aux paramètres système d’une organisation. En raison de leurs droits privilégiés, les actions malveillantes des utilisateurs privilégiés sont souvent indiscernables de leurs activités quotidiennes. Par conséquent, les actions des utilisateurs privilégiés restent longtemps inaperçues. De telles actions exposent les organisations à un large éventail de risques. Pour relever ce défi, Citrix Analytics fournit la fonctionnalité de surveillance des utilisateurs privilégiés. Cette fonctionnalité vous permet de surveiller de près les anomalies de comportement des utilisateurs privilégiés de votre organisation.

Dans la section Tableau de bord desutilisateurs > Principaux utilisateurs, vous pouvez voir les cinq principaux utilisateurs privilégiés en fonction du score de risque le plus élevé. Les utilisateurs privilégiés sont classés en tant qu’administrateurs et cadres.

  • Administrateurs. Les utilisateurs disposant de droits d’administrateur sur un produit ou un service. Par exemple, lorsque le privilège d’un utilisateur est élevé au rang d’administrateur dans le service Content Collaboration, ces informations sont affichées sur la page Utilisateurs . Vous pouvez ensuite surveiller les activités des utilisateurs administrateurs.

    Prenons l’exemple de l’utilisateur Maria Brown à qui des privilèges d’administrateur ont été attribués dans le service Content Collaboration. Maria commence à supprimer excessivement des fichiers et des dossiers et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur. Citrix Analytics vous aide à comparer cet indicateur de risque avec les informations disponibles sur la page Utilisateurs . Vous pouvez décider si l’indicateur de risque a été déclenché après l’attribution de privilèges d’administrateur à l’utilisateur dans Content Collaboration. Si oui, vous pouvez effectuer les actions appropriées sur le profil de l’utilisateur privilégié.

  • Dirigeants. Utilisateurs, de préférence issus de la haute direction de votre organisation. Sur la page Utilisateurs, vous pouvez ajouter ou supprimer des utilisateurs en tant qu’utilisateurs exécutifs. Pour obtenir des instructions, consultez les sections Ajouter en tant qu’utilisateur privilégié et Supprimer en tant qu’utilisateur privilégié .

    Imaginons un scénario dans lequel vous avez ajouté un utilisateur en tant qu’utilisateur privilégié. L’utilisateur commence à supprimer des fichiers et des dossiers de manière excessive et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque de suppression excessive de fichiers ou de dossiers est ajouté à la chronologie des risques de l’utilisateur. Citrix Analytics vous aide à comparer l’indicateur de risque avec les informations de la page Utilisateurs . Lorsque vous comparez les informations, vous pouvez déterminer si l’indicateur de risque a été déclenché après que l’utilisateur a été marqué en tant qu’utilisateur exécutif. Si oui, vous pouvez effectuer les actions appropriées sur le profil de l’utilisateur.

Tableau de bord des utilisateurs utilisateurs privilégiés

Cliquez sur le lien Voir plus dans l’onglet Tous les utilisateurs pour afficher la page Utilisateurs qui affiche les détails des utilisateurs privilégiés. Après avoir accédé à la page Utilisateurs, vous pouvez utiliser les facettes pour obtenir plus de détails si nécessaire. Par exemple, vous pouvez sélectionner un utilisateur en tant qu’ administrateur ou cadre supérieur en fonction du score de risque actuel. Les utilisateurs privilégiés sont représentés par une icône dans la colonne USER .

Remarque

Dans le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs privilégiés est affiché pour les 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

Ajouter en tant qu’utilisateur privilégié

  1. Sur la page Utilisateurs, accédez au tableau Tous les utilisateurs et sélectionnez les utilisateurs que vous souhaitez ajouter en tant qu’utilisateurs exécutifs.

  2. Cliquez sur Marquer comme privilégié.

Utilisateurs privilégiés

Supprimer en tant qu’utilisateur privilégié

  1. Sur la page Utilisateurs, accédez au tableau Tous les utilisateurs et sélectionnez les utilisateurs que vous souhaitez supprimer en tant qu’utilisateurs exécutifs.

  2. Cliquez sur Supprimer des privilèges.

Utilisateurs privilégiés

Utilisateurs de la liste de surveillance

Liste des utilisateurs surveillés de près pour détecter les menaces potentielles. Par exemple, vous pouvez surveiller les utilisateurs qui ne sont pas des employés à temps plein au sein de votre organisation en ajoutant ces utilisateurs à la liste de suivi. Vous pouvez également surveiller les utilisateurs qui déclenchent fréquemment un indicateur de risque spécifique. Vous pouvez soit ajouter un utilisateur à la liste de suivi manuellement, soit définir des stratégies pour ajouter des utilisateurs à la liste de suivi.

Si vous avez ajouté des utilisateurs à la liste de suivi, vous pouvez consulter les cinq meilleurs utilisateurs de la liste de suivi en fonction du score le plus élevé.

Zéro utilisateur dans les listes de suivi

Cliquez sur le lien Voir plus dans le volet Tous les utilisateurs pour afficher la page Utilisateurs. La page affiche la liste de tous les utilisateurs de la liste de suivi.

Remarque

Sur le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs dans la liste de suivi est affiché pour les 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de l’heure.

En savoir plus : Liste de surveillance

Catégories de risque

Le graphique en anneau des catégories de risques résume le nombre d’occurrences d’indicateurs par catégorie de risque au cours de la période sélectionnée. Le nombre d’utilisateurs uniques est affiché lorsque vous passez la souris sur chaque segment du graphique, qui renvoie à la page de présentation des catégories d’indicateurs de risque correspondante. La catégorisation des risques est prise en charge sur les indicateurs de risque par défaut et personnalisés.

Tableau de bord des catégories de risques

L’objectif du tableau de bord des catégories de risques est de permettre aux administrateurs de Citrix Virtual Apps and Desktops et de Citrix DaaS de gérer les risques liés aux utilisateurs et de discuter de manière simplifiée avec leurs homologues chargés de la sécurité sans avoir besoin de connaissances de niveau expert en matière de sécurité. Il permet à l’application de la sécurité de prendre effet au niveau de l’organisation et n’est pas limité aux seuls administrateurs de sécurité.

Cas d’utilisation

Considérez que vous êtes un administrateur Citrix Virtual Apps and Desktops et que vous gérez les droits d’accès aux applications des employés de votre organisation. Si vous accédez à la section Catégories de risque > Utilisateurs compromis > Échecs d’authentification excessifs - Indicateur de risque Citrix Gateway, vous pouvez évaluer si les employés auxquels vous avez accordé l’accès ont été compromis. Si vous naviguez plus loin, vous pouvez obtenir des informations plus précises sur cet indicateur de risque, telles que les raisons de l’échec, les emplacements de connexion, les détails de la chronologie et le résumé utilisateur. Si vous constatez des divergences entre les utilisateurs auxquels l’accès a été accordé et ceux qui ont été compromis, vous pouvez en informer l’administrateur de sécurité. Cette notification en temps opportun à l’administrateur de la sécurité contribue à l’application de la sécurité au niveau de l’organisation.

Cas d'utilisation des catégories de risques

Comment analyser le tableau de bord des catégories de risques ?

Lorsque vous sélectionnez Voir plus sur le tableau de bord Catégories de risques, vous êtes redirigé vers la page qui récapitule les détails des catégories de risque. Cette page contient les informations suivantes :

  • Rapport de catégorie de risque : représente le nombre total d’occurrences d’indicateurs de risque de chaque catégorie pour une période sélectionnée.

    Page Catégories de risques

  • Détails de la chronologie : fournit une représentation graphique du nombre total d’occurrences d’indicateurs de risque de chaque catégorie de risque pour une période sélectionnée. Si vous accédez au bas de cette section, vous pouvez effectuer un tri en fonction des catégories de risque pour obtenir des informations plus précises sur les indicateurs de risque.

    Page Catégories de risques

  • Résumé des catégories de risques : Cette section fournit des détails tels que l’impact, les occurrences et la gravité des indicateurs de risque associés à chaque catégorie. Sélectionnez n’importe quelle catégorie de risque pour afficher des détails sur les indicateurs de risque associés à cette catégorie. Par exemple, lorsque vous sélectionnez la catégorie Utilisateurs compromis, vous êtes redirigé vers la page Utilisateurs compromis .

    Page Catégories de risques

La page Utilisateurs compromis affiche les informations suivantes :

  • Rapport des indicateursde risque : affiche les indicateurs de risque qui appartiennent à la catégorie Utilisateurs compromis pour une période sélectionnée. Il affiche également le nombre total d’occurrences des indicateurs de risque qui ont été déclenchés au cours de la période sélectionnée.

    Page Utilisateurs compromis

  • Détails de la chronologie : fournit une représentation graphique des occurrences de l’indicateur de risque pour une période sélectionnée.

    Page Utilisateurs compromis

  • Résumé des indicateurs de risque : affiche un résumé des indicateurs de risque générés dans la catégorie des utilisateurs compromis. Cette section affiche également la gravité, la source de données, le type d’indicateur de risque, les occurrences et la dernière occurrence.

    Page Utilisateurs compromis

Lorsque vous sélectionnez un indicateur de risque, vous êtes redirigé vers la page qui récapitule les détails de cet indicateur. Par exemple, si vous sélectionnez l’indicateur de risque Premier accès à partir d’un nouvel appareil, vous êtes redirigé vers la page qui récapitule les détails de cet indicateur. Le résumé inclut des détails chronologiques sur les occurrences de cet événement et un résumé utilisateur qui répertorie les utilisateurs qui ont déclenché cet indicateur de risque, les occurrences de l’indicateur de risque et l’heure de l’événement. Lorsque vous sélectionnez un utilisateur, vous êtes redirigé vers la chronologie des risques de l’utilisateur.

Page Utilisateurs compromis

Remarque

Citrix Analytics regroupe les indicateurs de risque par défaut dans la catégorie de risque appropriée. Pour les indicateurs de risque personnalisés, vous devez sélectionner une catégorie de risque sur la page Créer un indicateur . Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Types de catégories de risques

Exfiltration de données

Cette catégorie regroupe les indicateurs de risque déclenchés par des logiciels malveillants ou par des employés qui effectuent des transferts de données non autorisés ou des vols de données vers ou depuis un appareil d’une organisation. Vous pouvez obtenir des informations sur toutes les activités d’exfiltration de données qui ont eu lieu au cours d’une période donnée et atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risque d’exfiltration de données regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque utilisateur
Citrix Content Collaboration Accès excessif aux fichiers sensibles
Citrix Content Collaboration Téléchargements excessifs de fichiers
Citrix Content Collaboration Partage excessif de fichiers
Citrix Virtual Apps and Desktops et Citrix DaaS Exfiltration potentielle des données

Menaces internes

Cette catégorie regroupe les indicateurs de risque déclenchés par les employés au sein d’une organisation. Étant donné que les employés disposent de niveaux d’accès plus élevés aux applications spécifiques à l’entreprise, les entreprises sont plus susceptibles de présenter des risques de sécurité. Les activités risquées peuvent être intentionnellement causées par un initié malveillant ou être le résultat d’une erreur humaine. Dans l’un ou l’autre des scénarios, l’impact sur la sécurité de l’organisation est préjudiciable. Cette catégorie fournit des informations sur toutes les activités liées aux menaces internes qui ont eu lieu au cours d’une période donnée. À l’aide de ces informations, vous pouvez atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risques liés aux menaces internes regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque utilisateur
Citrix Content Collaboration Suppression excessive de fichiers ou de dossiers
Citrix Content Collaboration Chargements excessifs de fichiers
Citrix Content Collaboration Fichiers malveillants détectés
Citrix Secure Private Access Tentative d’accès à une URL de liste noire
Citrix Secure Private Access Téléchargement excessif de données
Citrix Secure Private Access Accès à un site Web risqué
Citrix Secure Private Access Volume de téléchargement inhabituel

Utilisateurs compromis

Cette catégorie regroupe les indicateurs de risque dans lesquels les utilisateurs affichent des modèles comportementaux inhabituels tels que des connexions suspectes ou des échecs de connexion. Les tendances inhabituelles peuvent également résulter de la compromission des comptes d’utilisateurs. Vous pouvez obtenir des informations sur tous les événements utilisateur compromis qui se sont produits au cours d’une période spécifiée et atténuer les risques associés à cette catégorie en appliquant des actions proactives sur les profils utilisateur.

La catégorie de risque Utilisateurs compromis regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque utilisateur
Citrix Content Collaboration Voyages impossibles
Citrix Content Collaboration Activité de ransomware suspectée
Citrix Content Collaboration Échecs d’authentification inhabituels
Citrix Gateway Échec de l’analyse du point final
Citrix Gateway Échec excessif de l’authentification
Citrix Gateway Voyages impossibles
Citrix Gateway Ouverture de session à partir d’une adresse IP suspecte
Citrix Gateway Échec d’authentification inhabituel
Citrix Virtual Apps and Desktops et Citrix DaaS Ouverture de session suspecte
{page.cvad-and-daas-product-name}} Voyages impossibles
Microsoft Graph Security Indicateurs de risque Azure AD Identity Protection
Microsoft Graph Security Indicateurs de risque Microsoft Defender for Endpoint

Points de terminaison compromis

Cette catégorie regroupe les indicateurs de risque qui sont déclenchés lorsque les appareils présentent un comportement non sécurisé pouvant indiquer une compromission.

La catégorie de risque des points de terminaison compromis regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque utilisateur
Citrix Endpoint Management Périphérique non géré détecté
Citrix Endpoint Management Appareil jailbreaké ou rooté détecté
Citrix Endpoint Management Appareil avec des applications sur la liste noire détectées

Indicateurs de risque et actions

Vous pouvez consulter les indicateurs de risque déclenchés et les actions appliquées à vos utilisateurs pour la période sélectionnée. Le nouveau graphique à barres des indicateurs de risque et des actions fournit le détail du nombre d’indicateurs, d’actions et d’événements au fil du temps, avec une plage de temps globale et un intervalle de barres dérivés de la période sélectionnée.

Indicateurs de risque et actions

Cliquez sur un segment de barre correspondant à des indicateurs ou à des actions pour afficher une visualisation détaillée des chiffres par indicateur ou action, respectivement.

Indicateurs de risque et barre d'actions 1

Indicateurs de risque et barre d'actions 2

Dans la liste déroulante des indicateurs, cliquez sur une barre d’indicateur individuelle pour accéder à la page de l’indicateur de risque correspondant, pour la période sélectionnée.

Résumé des accès

Ce tableau de bord récapitule tous les événements d’accès à la passerelle pendant une période sélectionnée. Il affiche le nombre total d’accès, d’accès réussis et d’accès échoué via Citrix Gateway.

Cliquez sur les pointeurs du graphique pour afficher la page Recherche en libre-service de passerelle . Pour les scénarios de connexion réussis, les événements d’accès à la passerelle sont triés en fonction du code d’état sur la page.

Tableau de bord de résumé des accès

Stratégies et actions

Affiche les cinq principales stratégies et actions appliquées aux profils utilisateur pendant une période sélectionnée. Cliquez sur le lien Voir plus dans le volet Stratégies et actions pour obtenir des informations détaillées sur les stratégies et les actions.

Tableau de bord Stratégies et actions

Principales stratégies

Les cinq principales stratégies configurées sont déterminées en fonction du nombre d’occurrences. Lorsque vous êtes dans la section Principales stratégies du tableau de bord et que vous sélectionnez Voir plus, vous êtes redirigé vers la page Toutes les stratégies .

Tableau de bord Stratégies et actions

Toutes les stratégies

Cette page fournit des informations détaillées sur toutes les stratégies configurées. Lorsque vous sélectionnez une stratégie, vous êtes redirigé vers la page Recherche de stratégies en libre-service . Dans le volet gauche, vous pouvez filtrer en fonction des actions appliquées.

Lorsque vous sélectionnez un nom d’utilisateur, vous êtes redirigé vers la chronologie des risques. L’action basée sur une stratégie est ajoutée à la chronologie des risques de l’utilisateur. Lorsque vous sélectionnez l’action, ses détails sont affichés dans le volet droit de la chronologie des risques.

Principales actions

Les cinq principales actions associées aux stratégies appliquées aux profils utilisateur. Cette section n’affiche pas les actions que vous avez appliquées manuellement sur les profils utilisateur. Les principales actions sont déterminées par le nombre d’occurrences.

Cliquez sur Voir plus pour afficher toutes les actions basées sur des stratégies sur la page Actions .

Actions

La page fournit la liste de toutes les actions basées sur des stratégies qui ont été appliquées à vos utilisateurs pendant la période sélectionnée. Vous affichez les informations suivantes :

  • Nom de l’action appliquée conformément à la stratégie

  • Nombre d’utilisateurs auxquels l’action a été appliquée

  • Nombre d’occurrences de l’action

  • Nombre de stratégies associées à l’action

  • Date et heure de l’action appliquée

Tableau de bord Stratégies et actions

Cliquez sur une action pour afficher toutes les stratégies associées. Ces stratégies sont triées en fonction du nombre d’occurrences. Par exemple, cliquez sur Demander une réponse de l’utilisateur final sur la page Actions . La page Toutes les stratégies affiche toutes les stratégies associées à l’action Demander une réponse de l’utilisateur final .

Tableau de bord Stratégies et actions

Sur la page Toutes les stratégies, cliquez sur une stratégie pour afficher les événements utilisateur auxquels l’action a été appliquée.

Indicateurs de risque

Résume les cinq principaux indicateurs de risque pour une période sélectionnée. Les indicateurs de risque peuvent être par défaut ou personnalisés. Pour les indicateurs de risque par défaut, Citrix Analytics collecte des données à partir des sources de données découvertes et sur lesquelles le traitement des données est activé.

Pour les indicateurs de risque personnalisés, Citrix Analytics collecte des données à partir des sources de données suivantes en fonction des événements risqués générés :

  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Secure Private Access
  • Citrix Virtual Apps and Desktops
  • Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service)

Dans le volet Indicateurs de risque, vous pouvez afficher les cinq principaux indicateurs de risque et les trier en fonction du nombre total d’occurrences ou de leur gravité.

Panneau des indicateurs de risque

Cliquez sur Voir plus dans le volet Indicateurs de risque pour afficher la page Aperçu des indicateurs de risque .

Vue d'ensemble des indicateurs de risque

Tableau de bord des utilisateurs
May 2, 2023
Contributeur: 
C
May 2, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.