Citrix Analytics for Security

Tableau de bord des utilisateurs

Le tableau de bord Utilisateurs est le point de lancement de l’analyse du comportement des utilisateurs et de la prévention des menaces.

Ce tableau de bord fournit une visibilité sur les modèles de comportement utilisateur au sein d’une organisation. À l’aide de ces données, vous pouvez surveiller, détecter et signaler de manière proactive les comportements qui ne correspondent pas à la norme, tels que les attaques par phishing ou par ransomware.

Le tableau de bord Utilisateurs contient les sections suivantes :

  • Utilisateurs découverts. Nombre total d’utilisateurs dans votre organisation qui utilisent les sources de données pour lesquelles vous avez activé Analytics.

  • Utilisateurs risqués. Utilisateurs qui ont agi de manière risquée ou présenté un comportement risqué. Liste des utilisateurs à risque qui ont le score de risque le plus élevé et les occurrences d’indicateurs de risque associées à leur compte.

  • Utilisateurs à haut risque. Utilisateurs qui représentent une menace immédiate pour l’organisation.

  • Utilisateurs à risque moyen. Les utilisateurs qui peuvent avoir plusieurs violations graves sur leur compte et doivent être surveillés de près.

  • Utilisateurs à faible risque. Utilisateurs dont certaines violations ont été détectées sur leur compte, mais potentiellement pas une menace.

  • Utilisateurs dans la liste de surveillance. Utilisateurs surveillés de près par les administrateurs.

  • Utilisateurs privilégiés. Utilisateurs qui peuvent afficher des données sensibles et modifier les paramètres système critiques dans une organisation.

  • Indicateurs de risque. Affiche les cinq principaux indicateurs de risque de votre organisation.

  • Récapitulatif des accès. Récapitule le nombre total de tentatives effectuées par les utilisateurs pour accéder aux ressources au sein de votre organisation.

  • Stratégies et actions. Affiche les cinq principales stratégies et actions appliquées aux profils utilisateur.

  • Catégories de risque. Affiche les catégories de risque que Citrix Analytics prend en charge. Les indicateurs de risque ayant des modèles comportementaux similaires sont regroupés dans les catégories.

Utilisateurs découverts

Nombre total d’utilisateurs dans votre organisation qui utilisent les sources de données pour lesquelles vous avez activé Analytics. Ils peuvent ou non avoir un score de risque associé à leur compte. Il est possible que le nombre d’utilisateurs détectés dans le tableau de bord Utilisateurs soit supérieur au nombre d’utilisateurs risqués.

Cliquez sur le lien Utilisateurs découverts dans le tableau de bord pour afficher la page Utilisateurs qui affiche la liste complète des utilisateurs découverts par Citrix Analytics. La page Utilisateurs affiche également les sources de données, les scores de risque et le nombre d’occurrences d’indicateurs de risque associées aux utilisateurs découverts.

Utilisateurs découverts

Remarque

Sur le tableau de bord Utilisateurset la page Utilisateurs, le nombre d’utilisateurs découverts s’affiche pour les 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de temps.

Utilisez la carte d’interface suivante pour apprendre à interagir avec la page Utilisateurs.

Section Utilisateurs découverts

Consultez les informations suivantes :

Facettes

Filtrer les événements utilisateur en fonction des catégories suivantes :

  • Score de risque : Événements des utilisateurs basés sur le risque élevé, le risque moyen et les scores de risque faibles.

  • Utilisateur : Événements utilisateur basés sur le privilège administrateur, le privilège exécutif et les utilisateurs de liste de surveillance.

  • Sources de données découvertes : événements utilisateur basés sur la source de données que vous avez intégré.

Boîte de recherche

Utilisez la zone de recherche pour rechercher des événements pour les utilisateurs. Vous pouvez utiliser des opérateurs dans votre requête pour affiner le focus de votre recherche. Pour plus d’informations sur les opérateurs valides que vous pouvez utiliser dans votre requête, reportez-vous à la section Recherche en libre-service.

Score

Le score de risque détermine le niveau de risque qu’un utilisateur pose à une organisation pendant une période donnée. La valeur du score de risque est dynamique et varie en fonction de l’analyse du comportement de l’utilisateur. Selon le score de risque, un utilisateur peut relever de l’une des trois catégories suivantes : utilisateur à risque élevé, utilisateur à risque moyen ou utilisateur à faible risque.

Utilisateur

Liste de tous les utilisateurs découverts par Analytics. Sélectionnez un nom d’utilisateur pour afficher les informations utilisateur et la chronologie des risques pour l’utilisateur. Il se peut que l’utilisateur ait déclenché ou non un indicateur de risque. Si aucun événement risqué n’est associé à cet utilisateur, le message suivant s’affiche.

Aucun événement risqué

S’il y a des événements à risque associés à un utilisateur, les indicateurs de risque figurent sur son calendrier de risque. Sélectionnez l’utilisateur pour afficher son échéancier des risques.

Un utilisateur peut être marqué comme privilégié et ajouté à la liste de surveillance.

Indicateur de risque

Nombre de fois qu’un indicateur de risque est déclenché pour un utilisateur. Un indicateur de risque peut être default ou Personnaliser. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de temps.

Source de données découverte

Source de données associée à un utilisateur. Lorsqu’un utilisateur utilise activement la source de données, Analytics reçoit les événements utilisateur de cette source de données. Pour recevoir des événements utilisateur, vous devez activer le traitement des données sur la carte de site source de données, disponible sur la page Sources de données.

Utilisateurs risqués

Les utilisateurs à risque sont des utilisateurs découverts qui ont des événements à risque associés et qui ont déclenché au moins un indicateur de risque. Le niveau de risque qu’un utilisateur pose pour le réseau pendant une période donnée est déterminé par le score de risque associé à l’utilisateur. La valeur du score de risque est dynamique et repose sur l’analyse du comportement de l’utilisateur. Selon le score de risque, un utilisateur risqué peut se classer dans l’une des trois catégories suivantes : utilisateur à risque élevé, utilisateur à risque moyen ou utilisateur à faible risque.

Dans le volet Utilisateurs à risque, vous pouvez trier les cinq principaux utilisateurs à risque en fonction du score le plus élevé ou des occurrences d’indicateur de risque le plus élevé.

  • Sélectionnez le score le plus élevé pour afficher les cinq principaux utilisateurs à risque en fonction du score de risque le plus élevé.

  • Sélectionnez Indicateur de risque pour afficher les cinq principaux indicateurs de risque avec le maximum d’occurrences.

Lien utilisateur risqué

Cliquez sur le lien Utilisateurs à risque en haut ou sur le lien Voir plus dans le volet Utilisateurs à risque pour afficher la page Utilisateurs. Cette page affiche tous les utilisateurs à risque et leurs indicateurs de risque. Vous pouvez utiliser les facettes et la barre de recherche pour filtrer les événements en fonction de vos besoins.

Remarque

Sur le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs à risque s’affiche pour les 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de temps.

Tableau de bord utilisateur risqué

Utilisateurs à haut risque

Utilisateurs dont le score de risque est compris entre 90 et 100. Ces utilisateurs représentent des menaces immédiates pour l’organisation.

Dans le tableau de bord Utilisateurs, vous pouvez afficher le nombre d’utilisateurs à haut risque au cours des 13 derniers mois. Par exemple, l’image suivante montre cinq utilisateurs à haut risque au cours des 13 derniers mois.

Utilisateurs à haut risque

Cliquez sur cette case pour afficher la page Utilisateurs qui affiche les détails sur les utilisateurs à haut risque, tels que le score de risque, les occurrences d’indicateurs de risque et leurs sources de données. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de temps.

Consultez l’article Utilisateurs risqués.

Utilisateurs à risque moyen

Utilisateurs dont le score de risque est compris entre 70 et 89. Ces utilisateurs peuvent avoir de multiples violations graves sur leur compte et doivent être surveillés de près.

Dans le tableau de bord Utilisateurs, vous pouvez afficher le nombre d’utilisateurs à risque moyen au cours des 13 derniers mois. Par exemple, l’image suivante montre huit utilisateurs à risque moyen au cours des 13 derniers mois.

Utilisateurs à risque moyen

Cliquez sur cette case pour afficher la page Utilisateurs qui affiche les détails sur les utilisateurs à risque moyen, tels que le score de risque, les occurrences d’indicateurs de risque et leurs sources de données. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de temps.

Consultez l’article Utilisateurs risqués.

Utilisateurs à faible risque

Utilisateurs dont le score de risque est compris entre 1 et 69. Ces utilisateurs peuvent avoir des violations détectées sur leur compte. Ils peuvent également inclure des utilisateurs qui étaient auparavant des utilisateurs à risque élevé ou moyen. Ces utilisateurs ont été réévalués sur une période prédéterminée.

Dans le tableau de bord Utilisateurs, vous pouvez afficher le nombre d’utilisateurs à faible risque au cours des 13 derniers mois. Par exemple, l’image suivante montre 147 utilisateurs à faible risque au cours des 13 derniers mois.

Utilisateurs à faible risque

Cliquez sur cette case pour afficher la page Utilisateurs qui affiche les détails sur les utilisateurs à faible risque, tels que le score de risque, les occurrences d’indicateurs de risque et leurs sources de données. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent en fonction de la sélection de temps.

Consultez l’article Utilisateurs risqués.

Utilisateurs dans la liste de surveillance

Liste des utilisateurs surveillés de près pour détecter les menaces potentielles. Par exemple, vous pouvez surveiller les utilisateurs qui ne sont pas des employés à temps plein au sein de votre organisation en ajoutant ces utilisateurs à la liste de surveillance. Vous pouvez également surveiller fréquemment les utilisateurs qui déclenchent un indicateur de risque spécifique. Vous ajoutez manuellement un utilisateur à la liste de surveillance ou définissez stratégies pour ajouter des utilisateurs à la liste de suivi.

Si aucun utilisateur n’a été ajouté à la liste de suivi, l’écran suivant s’affiche dans le tableau de bord Utilisateurs .

Aucun utilisateur dans les listes de surveillance

Si vous avez ajouté des utilisateurs à la liste de surveillance, dans le tableau de bord Utilisateurs, vous pouvez afficher les cinq principaux utilisateurs de la liste de suivi en fonction du score le plus élevé.

Utilisateurs du tableau de bord utilisateurs dans la liste de surveillance

Cliquez sur la zone Utilisateurs dans la liste de surveillance ou sur le lien Voir plus dans le volet Utilisateurs dans la liste de surveillance pour afficher la page Utilisateurs qui affiche la liste de tous les utilisateurs de la liste de surveillance.

Remarque

Sur le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs de la liste de suivi s’affiche pour les 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de temps.

En savoir plus : Liste de surveillance

Utilisateurs privilégiés

Les utilisateurs privilégiés sont les employés qui ont un accès légitime aux données sensibles et aux paramètres système d’une organisation. En raison de leurs droits privilégiés, les actions malveillantes des utilisateurs privilégiés sont souvent indiscernables de leurs activités quotidiennes. Par conséquent, les actions des utilisateurs privilégiés restent indétectées pendant une longue période. De telles actions exposent les organisations à une grande variété de risques. Pour relever ce défi, Citrix Analytics fournit la fonctionnalité de surveillance utilisateur privilégiée. Cette fonctionnalité vous permet de surveiller de près les anomalies de comportement des utilisateurs privilégiés dans votre organisation.

Dans le tableau de bord Utilisateurs, vous pouvez afficher les cinq principaux utilisateurs privilégiés en fonction du score de risque le plus élevé. Les utilisateurs privilégiés sont classés comme administrateurs et dirigeants.

  • Administrateurs. Utilisateurs disposant de droits d’administrateur sur un produit ou un service. Par exemple, lorsque le privilège d’un utilisateur est élevé en administrateur dans le service Content Collaboration, ces informations sont affichées sur la page Utilisateurs. Vous pouvez ensuite surveiller les activités des utilisateurs administrateur.

    Considérez l’utilisateur Maria Brown qui a reçu des privilèges d’administrateur dans le service Content Collaboration. Maria commence à supprimer excessivement des fichiers et des dossiers, et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque Suppression des fichiers ou des dossiers excessifs est ajouté à la chronologie des risques de l’utilisateur. Citrix Analytics vous aide à comparer cet indicateur de risque avec les informations disponibles sur la page Utilisateurs . Vous pouvez décider si l’indicateur de risque a été déclenché après l’attribution de privilèges d’administrateur à l’utilisateur dans Content Collaboration. Si oui, vous pouvez prendre les mesures appropriées sur le profil de l’utilisateur privilégié.

  • Des cadres. Utilisateurs, de préférence de la haute direction de votre organisation. Sur la page Utilisateurs, vous pouvez ajouter ou supprimer des utilisateurs en tant qu’utilisateurs exécutifs. Pour obtenir des instructions, consultez les sections Ajouter en tant qu’utilisateur privilégié et Supprimer en tant qu’utilisateur privilégié.

    Considérez un scénario où vous avez ajouté un utilisateur en tant qu’utilisateur privilégié. L’utilisateur commence à supprimer des fichiers et des dossiers excessivement, et déclenche l’algorithme d’apprentissage automatique qui a détecté un comportement inhabituel. L’indicateur de risque Suppression des fichiers ou des dossiers excessifs est ajouté à la chronologie des risques de l’utilisateur. Citrix Analytics vous aide à comparer l’indicateur de risque avec les informations de la page Utilisateurs. Lorsque vous comparez les informations, vous pouvez déterminer si l’indicateur de risque a été déclenché après que l’utilisateur a été marqué comme un utilisateur exécutif. Si oui, vous pouvez prendre les mesures appropriées sur le profil de l’utilisateur.

Utilisateurs privilégiés du tableau de bord utilisateurs

Cliquez sur le lien Utilisateurs privilégiés en haut ou sur le lien Voir plus dans le volet Utilisateurs privilégiés pour afficher la page Utilisateurs qui affiche les utilisateurs privilégiés avec administrateurs et dirigeants ainsi que les derniers détails des indicateurs de risque. Les utilisateurs privilégiés sont représentés par une icône dans la colonne USER.

Remarque

Sur le tableau de bord Utilisateurs et la page Utilisateurs, le nombre d’utilisateurs privilégiés s’affiche pour les 13 derniers mois, quelle que soit la période sélectionnée. Lorsque vous sélectionnez une période, les occurrences de l’indicateur de risque changent en fonction de la sélection de temps.

Ajouter en tant qu’utilisateur privilégié

  1. Sur la page Utilisateurs, accédez au tableau Tous les utilisateurs et sélectionnez les utilisateurs que vous souhaitez ajouter en tant qu’utilisateurs exécutifs.

  2. Cliquez sur Marquer le privilège.

Utilisateurs privilégiés

Supprimer en tant qu’utilisateur privilégié

  1. Sur la page Utilisateurs, accédez au tableau Tous les utilisateurs et sélectionnez les utilisateurs que vous souhaitez supprimer en tant qu’utilisateurs exécutifs.

  2. Cliquez sur Supprimer des privilèges.

Utilisateurs privilégiés

Indicateurs de risque

Résume les cinq principaux indicateurs de risque pour une période donnée. Les indicateurs de risque peuvent être default ou Personnaliser. Pour les indicateurs de risque par défaut, Citrix Analytics collecte des données à partir des sources de données découvertes et sur lesquelles le traitement des données est activé.

Pour les indicateurs de risque personnalisés, Citrix Analytics collecte des données à partir des sources de données suivantes en fonction des événements à risque générés :

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Dans le volet Indicateurs de risque, vous pouvez afficher les cinq principaux indicateurs de risque et les trier en fonction du nombre total d’occurrences ou de la gravité.

Tableau de bord des indicateurs de risque

Cliquez sur Voir plus dans le volet Indicateurs de risque pour afficher la page Aperçu des indicateurs de risque.

La page Aperçu des indicateurs de risque fournit des informations sur les indicateurs de risque par défaut et personnalisés. Sélectionnez la période pour afficher les indicateurs de risque et leurs occurrences.

Aperçu des indicateurs de risque

Cliquez sur un indicateur de risque dans la colonne NOM pour afficher les détails de l’indicateur de risque, tels que la vue chronologique, les utilisateurs, les occurrences et l’heure déclenchée. Vous pouvez également cliquer sur un indicateur de risque dans le tableau de bord Indicateurs de risque pour afficher ses détails. L’image suivante montre les détails de l’accès excessif aux fichiers sensibles (alerte DLP).

Détails de l'alerte DLP

Récapitulatif des accès

Ce tableau de bord résume tous les événements d’accès à la passerelle pour une période sélectionnée. Il indique le nombre total d’accès, d’accès réussi et d’accès échoué via Citrix Gateway.

Cliquez sur les pointeurs du graphique pour afficher la page Recherche en libre-service pour Gateway. Pour les scénarios de connexion réussie, les événements d’accès à la passerelle sont triés par le code d’état de la page.

Accéder au tableau de bord récapitulatif

Stratégies et actions

Affiche les cinq principales stratégies et actions appliquées aux profils utilisateur pour une période sélectionnée. Cliquez sur le lien Voir plus dans le volet Stratégies et actions pour obtenir des informations détaillées sur les stratégies et actions.

Tableau de bord Stratégies et actions

Principales politiques

Les cinq principales stratégies configurées sont déterminées en fonction du nombre d’occurrences. Lorsque vous êtes dans la section Stratégies principales du tableau de bord et que vous sélectionnez Voir plus, vous êtes redirigé vers la page Toutes les stratégies .

Tableau de bord Stratégies et actions

Toutes les politiques

Cette page fournit des informations détaillées sur toutes les stratégies configurées. Lorsque vous sélectionnez une stratégie, vous êtes redirigé vers laRecherche en libre-service pour les stratégiespage. Dans le volet gauche, vous pouvez filtrer en fonction des actions appliquées.

Lorsque vous sélectionnez un nom d’utilisateur, vous êtes redirigé vers la chronologie des risques. L’action basée sur une stratégie est ajoutée à la chronologie des risques de l’utilisateur. Lorsque vous sélectionnez l’action, ses détails sont affichés dans le volet droit de la chronologie du risque.

Principales actions

Les cinq principales actions associées aux stratégies appliquées aux profils utilisateur. Cette section n’affiche pas les actions que vous avez appliquées manuellement sur les profils utilisateur. Les principales actions sont déterminées par le nombre d’occurrences.

Cliquez sur Voir plus pour afficher toutes les actions basées sur des stratégies sur la page Actions .

Actions

La page fournit la liste de toutes les actions basées sur des stratégies appliquées à vos utilisateurs pendant la période sélectionnée. Vous affichez les informations suivantes :

  • Nom de l’action appliquée conformément à la stratégie

  • Nombre d’utilisateurs sur lesquels l’action a été appliquée

  • Nombre d’occurrences de l’action

  • Nombre de stratégies associées à l’action

  • Date et heure de l’action appliquée

Tableau de bord Stratégies et actions

Cliquez sur une action pour afficher toutes les stratégies associées. Ces stratégies sont triées en fonction du nombre d’occurrences. Par exemple, cliquez sur Demander une réponse utilisateur sur la page Actions . La page Toutes les stratégies affiche toutes les stratégies associées à l’action Demander une réponse utilisateur .

Tableau de bord Stratégies et actions

Sur la page Toutes les stratégies, cliquez sur une stratégie pour afficher les événements utilisateur auxquels l’action a été appliquée.

Catégories de risque

Ce tableau de bord fournit une vue agrégée du niveau d’exposition au risque d’une organisation pour une période donnée. Les indicateurs de risque sont regroupés en catégories connues en fonction des risques similaires. La catégorisation des risques est prise en charge par les indicateurs de risque par défaut et personnalisés.

Tableau de bord catégories de risque

L’objectif du tableau de bord Catégories de risque est de permettre aux administrateurs Citrix Virtual Apps and Desktops de gérer les risques des utilisateurs et d’avoir des discussions simplifiées avec leurs homologues en matière de sécurité sans avoir besoin de connaissances en matière de sécurité au niveau des experts. Il permet l’application de la sécurité à un niveau organisationnel et ne se limite pas aux seuls administrateurs de sécurité.

Cas d’utilisation

Considérez que vous êtes un administrateur Citrix Virtual Apps and Desktops et que vous gérez les droits d’accès aux applications des employés de votre organisation. Si vous accédez à la section Catégories de risque > Utilisateurs compromis > Défaillances d’authentification excessives - Indicateur de risque Citrix Gateway, vous pouvez évaluer si les employés auxquels vous avez accordé l’accès ont été compromis. Si vous naviguez plus loin, vous pouvez obtenir des informations plus précises sur cet indicateur de risque, telles que les raisons de défaillance, les emplacements de connexion, les détails de la chronologie et le récapitulatif des utilisateurs. Si vous remarquez des divergences entre les utilisateurs auxquels l’accès a été accordé et ceux qui ont été compromis, vous pouvez en informer l’administrateur de la sécurité. Cette notification opportune à l’administrateur de la sécurité contribue à l’application de la sécurité au niveau de l’organisation.

Cas d'utilisation des catégories de risque

Comment analyser le tableau de bord Catégories de risque ?

Lorsque vous sélectionnez Voir plus dans le tableau de bord Catégories de risque, vous êtes redirigé vers la page qui résume les détails des catégories de risque. Cette page contient les détails suivants :

  • Rapport de catégorie de risque : Représente le total des occurrences d’indicateurs de risque de chaque catégorie pour une période donnée.

    Page Catégories de risque

  • Détails de la chronologie : fournit une représentation graphique du total des occurrences d’indicateurs de risque pour chaque catégorie de risque pour une période donnée. Si vous accédez au bas de cette section, vous pouvez trier en fonction des catégories de risque pour obtenir des informations plus précises sur les indicateurs de risque.

    Page Catégories de risque

  • Résumé des catégories de risque : Cette section fournit des détails tels que l’incidence, les événements et la gravité des indicateurs de risque associés à chaque catégorie. Sélectionnez une catégorie de risque pour afficher les détails sur les indicateurs de risque associés à cette catégorie. Par exemple, lorsque vous sélectionnez la catégorie Utilisateurs compromis, vous êtes redirigé vers la page Utilisateurs compromis.

    Page Catégories de risque

La page Utilisateurs compromis affiche les détails suivants :

  • Rapport sur les indicateurs de risque : affiche les indicateurs de risque appartenant à la catégorie Utilisateurs compromis pour une période sélectionnée. Il affiche également le total des occurrences des indicateurs de risque qui ont été déclenchées au cours de la période sélectionnée.

    Page Utilisateurs compromis

  • Détails de la chronologie : fournit une représentation graphique des occurrences d’indicateurs de risque pour une période sélectionnée.

    Page Utilisateurs compromis

  • Résumé des indicateurs de risque : Affiche un résumé des indicateurs de risque générés sous la catégorie des utilisateurs compromis. Cette section affiche également la gravité, la source de données, le type d’indicateur de risque, les occurrences et la dernière occurrence.

    Page Utilisateurs compromis

Lorsque vous sélectionnez un indicateur de risque, vous êtes redirigé vers la page qui résume les détails de cet indicateur. Par exemple, si vous sélectionnez l’indicateur de risque Premier accès à partir d’un nouvel appareil, vous êtes redirigé vers la page qui résume les détails de cet indicateur. Le résumé comprend des détails de chronologie sur les occurrences de cet événement et un résumé de l’utilisateur qui répertorie les utilisateurs ayant déclenché cet indicateur de risque, les occurrences d’indicateurs de risque et l’heure de l’événement. Lorsque vous sélectionnez un utilisateur, vous êtes redirigé vers la chronologie des risques de l’utilisateur.

Page Utilisateurs compromis

Remarque

Citrix Analytics regroupe les indicateurs de risque par défaut sous la catégorie de risque appropriée. Pour les indicateurs de risque personnalisés, vous devez sélectionner une catégorie de risque sur la page Créer un indicateur. Pour de plus amples informations, consultez Indicateurs de risque personnalisés.

Types de catégories de risque

Exfiltration des données

Cette catégorie regroupe les indicateurs de risque déclenchés par des logiciels malveillants ou par des employés qui effectuent des transferts de données non autorisés ou des vols de données vers ou à partir d’un appareil au sein d’une organisation. Vous pouvez obtenir des informations sur toutes les activités d’exfiltration des données qui ont eu lieu pendant une période donnée, et atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risque d’exfiltration des données regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque de l’utilisateur
Citrix Virtual Apps and Desktops Exfiltration potentielle des données
Citrix Content Collaboration Accès excessif aux fichiers sensibles
Citrix Content Collaboration Partage excessif de fichiers
Citrix Access Control Volume de chargement inhabituel

Menaces d’initiés

Cette catégorie regroupe les indicateurs de risque déclenchés par les employés au sein d’une organisation. Étant donné que les employés ont des niveaux d’accès plus élevés aux applications spécifiques à l’entreprise, les entreprises sont plus exposées à des risques de sécurité. Les activités risquées peuvent être intentionnellement causées par un initié malveillant ou être le résultat d’une erreur humaine. Dans l’un ou l’autre des scénarios, l’impact sur la sécurité de l’organisation est dommageable. Cette catégorie fournit un aperçu de toutes les activités liées aux menaces initiées qui ont eu lieu pendant une période donnée. Grâce à ces informations, vous pouvez atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risque « Insider Menaces » regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque de l’utilisateur
Citrix Content Collaboration Suppression de fichiers ou de dossiers excessifs
Citrix Content Collaboration Chargements excessifs de fichiers
Citrix Access Control Téléchargement excessif de données
Citrix Access Control Tentative d’accès à l’URL de la liste noire
Citrix Access Control Accès à un site Web risqué

Utilisateurs compromis

Cette catégorie regroupe les indicateurs de risque dans lesquels les utilisateurs affichent des schémas comportementaux inhabituels tels que des connexions suspectes, des échecs de connexion. Alternativement, les modèles inhabituels peuvent être le résultat d’une compromission des comptes d’utilisateur. Vous pouvez obtenir des informations sur tous les événements utilisateur compromis qui se sont produits au cours d’une période donnée et atténuer les risques associés à cette catégorie en appliquant de manière proactive des actions sur les profils utilisateur.

La catégorie de risque des utilisateurs compromis regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque de l’utilisateur
Citrix Virtual Apps and Desktops Premier accès à partir d’un nouvel appareil
Citrix Content Collaboration Accès pour la première fois depuis un nouvel emplacement
Citrix Content Collaboration Échec excessif de l’authentification
Citrix Content Collaboration Activité de ransomware suspectée
Citrix Content Collaboration Téléchargements excessifs de fichiers
Citrix Gateway Ouverture de session à partir d’une adresse IP suspecte
Citrix Gateway Échec excessif de l’authentification
Citrix Gateway Échecs excessifs d’autorisation
Citrix Gateway Accès depuis un endroit inhabituel
Microsoft Graph Security Indicateurs de risque Azure AD Identity Protection
Microsoft Graph Security Indicateurs de risque Microsoft Defender pour Endpoint

Points de terminaison compromis

Cette catégorie regroupe les indicateurs de risque déclenchés lorsque les périphériques présentent un comportement non sécurisé pouvant indiquer une compromission.

La catégorie de risque des paramètres compromis regroupe les indicateurs de risque suivants :

Sources de données Indicateurs de risque de l’utilisateur
Citrix Virtual Apps and Desktops Accès à partir d’un appareil avec système d’exploitation non pris en charge
Citrix Gateway Échec de l’analyse des points de terminaison (EPA)
Citrix Endpoint Management Périphérique non géré détecté
Citrix Endpoint Management Appareil jailbreaké ou rooté détecté
Citrix Endpoint Management Appareil avec des applications sur la liste noire détectées