Citrix Analytics for Security

Nouveautés

Citrix a pour objectif de fournir de nouvelles fonctionnalités et mises à jour de produits aux clients Citrix Analytics lorsqu’elles sont disponibles. Les nouvelles versions étant plus avantageuses, il est important que vous en profitiez le plus rapidement possible.

Pour vous, en tant que client, ce processus est transparent. Les mises à jour initiales sont uniquement appliquées aux sites Citrix internes pour être ensuite graduellement appliquées aux environnements des clients. La mise à jour progressive par vagues permet d’assurer la qualité des produits et de maximiser la disponibilité.

07 juin 2021

Nouveautés

Améliorations apportées à l’action Notifier les administrateurs

Lorsque vous appliquez l’action Notifier les administrateurs à un indicateur de risque ou que vous créez une stratégie avec l’action, vous pouvez désormais sélectionner les administrateurs qui reçoivent une notification concernant le comportement risqué de l’utilisateur. Pour plus d’informations sur l’action, reportez-vous à la section Stratégies et actions.

Ajout de la prise en charge de l’action de partage en lecture seule

Si un utilisateur partage excessivement des fichiers, Citrix Analytics déclenche l’indicateur de risque de partage de fichiers excessif . À partir de la chronologie des risques de l’utilisateur, vous pouvez désormais appliquer les liens Modifier à l’action de partage en lecture seule à l’indicateur de risque de partage de fichiers excessif . Vous pouvez également appliquer l’action sur un lien de partage particulier sur la chronologie du risque de lien de partage. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations sur l’action, reportez-vous à la section Stratégies et actions.

18 mai 2021

Nouveautés

Migration des indicateurs de risque par défaut vers des indicateurs de risque personnalisés

Les indicateurs de risque par défaut suivants sont migrés vers des indicateurs de risque personnalisés préconfigurés.

indicateur de risque de défaut Source de données Indicateur de risque personnalisé préconfiguré
Premier accès à partir d’un nouvel appareil Citrix Virtual Apps and Desktops CVAD - Premier accès depuis un nouvel appareil
Premier accès à partir d’une nouvelle adresse IP Citrix Gateway Accès pour la première fois sur la passerelle à partir d’une nouvelle adresse IP

Avec cette migration vers les indicateurs de risque personnalisés, les indicateurs de risque par défaut et les algorithmes d’apprentissage automatique associés sont obsolètes.

Les indicateurs de risque personnalisés correspondants sont déclenchés en fonction des conditions préconfigurées suivantes :

  • Lorsqu’un utilisateur accède pour la première fois à partir d’un nouvel appareil ou d’un appareil existant qui n’a pas été utilisé depuis au moins 90 jours.

  • Lorsqu’un utilisateur se connecte pour la première fois à partir d’une nouvelle adresse IP ou d’une adresse IP existante qui n’a pas été utilisée depuis au moins 90 jours.

Outre les conditions préconfigurées, vous pouvez désormais ajouter vos propres conditions pour ces indicateurs de risque personnalisés afin d’identifier les menaces dans votre environnement Citrix. Cette option vous permet de configurer l’indicateur de risque personnalisé en fonction de vos besoins de sécurité. Vous pouvez également créer des stratégies pour appliquer des actions sur les événements à risque détectés par ces indicateurs de risque personnalisés.

Toutefois, sur la ligne de temps de l’utilisateur, vous pouvez toujours afficher les indicateurs de risque par défaut précédemment déclenchés et leurs événements.

Les stratégies associées à ces indicateurs de risque par défaut sont automatiquement liées aux indicateurs de risque personnalisés préconfigurés correspondants.

Pour de plus amples informations, consultez Indicateurs et stratégies de risque personnalisés préconfigurés.

Améliorations de la recherche en libre-service pour Gateway

  • Le filtre Type d’événement est désormais renommé Type d’enregistrement. Sélectionnez l’un des types d’enregistrements suivants pour filtrer vos événements : VPN_AI, VPN_IF et VPN_ST.

  • Dans la table DATA, développez une ligne pour un événement utilisateur afin d’afficher le type d’événement correspondant. Les types d’événements peuvent être les suivants : authentification, fichier ICA ou déconnexion de session.

Le tableau suivant décrit la corrélation entre les types d’enregistrements et les types d’événements.

Type d’enregistrement Type d’événement
VPN_AI Authentification
VPN_IF ICA Fichier
VPN_ST Déconnexion de session

Pour de plus amples informations, consultez Recherche en libre-service pour Gateway.

Problème résolu

  • L’indicateur de risque personnalisé est déclenché en fonction de la sensibilité à la casse des valeurs conditionnelles. Par exemple, dans les événements utilisateur contenant des ID d’appareil dans la liste autorisée, le comportement suivant s’affiche :

    • Si vous entrez la valeur de la Device-ID dimension en minuscules, l’indicateur personnalisé est déclenché.

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • Si vous entrez la valeur de la Device-ID dimension en majuscules pour le même appareil, l’indicateur personnalisé ne se déclenche pas.

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    Ce problème est maintenant résolu et l’indicateur de risque personnalisé est déclenché indépendamment de la sensibilité à la casse des valeurs conditionnelles.

    [CAS-50153]

29 avril 2021

Nouveautés

Détails des événements pour un indicateur de risque personnalisé

Sur la page de chronologie des risques de l’utilisateur, vous pouvez désormais afficher les événements qui ont déclenché un indicateur de risque personnalisé. Auparavant, vous étiez en mesure d’afficher uniquement les conditions définies, la description et la fréquence de déclenchement d’un indicateur de risque personnalisé. Cliquez sur Recherche d’événements pour afficher les détails des événements associés à l’utilisateur et l’indicateur de risque. Pour plus d’informations, reportez-vous à la section Indicateurs de risque personnalisés.

Problème résolu

  • Un administrateur ne peut pas créer d’indicateurs de risque personnalisés même après que son autorisation d’accès est passée d’administrateur en lecture seule à administrateur complet. [CAS-49628]

16 avril 2021

Nouveautés

Améliorations des messages SIEM

Vous pouvez afficher les améliorations suivantes concernant le format de schéma des indicateurs de risque :

  • L’adresse IP du client est désormais disponible dans le schéma pour tous les indicateurs de risque de lot. Auparavant, l’adresse IP du client n’était disponible que pour quelques indicateurs de risque par lots :

    • Échec de l’analyse EPA
    • Échec excessif de l’authentification
    • Ouverture de session à partir d’une adresse IP suspecte
    • Accès depuis un endroit inhabituel
    • Échec d’authentification inhabituel
    • Téléchargement de partage sensible anonyme
    • Exfiltration potentielle des données
  • Si une valeur de champ de type de données entier n’est pas disponible, la valeur attribuée est -999. Par exemple, "latitide" = -999.

  • Si une valeur de champ de type de données de chaîne n’est pas disponible, la valeur attribuée est NA. Par exemple, "city"= "NA".

Pour de plus amples informations, consultez Format de données Citrix Analytics pour SIEM.

26 mars 2021

Nouveautés

Restriction sur les messages SIEM

Citrix Analytics envoie un maximum de 1000 informations sur les événements pour chaque occurrence d’indicateur de risque à votre service SIEM. Ces événements sont envoyés dans un ordre chronologique d’occurrence. Pour de plus amples informations, consultez Format de données Citrix Analytics pour SIEM.

Ajout de l’ID de la source de données et des champs ID de catégorie d’indicateurs dans les messages SIEM

Les champs suivants sont ajoutés dans le schéma récapitulatif de l’indicateur et dans le schéma de détails des événements de l’indicateur.

Champ Description
data_source_id ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id ID associé à une catégorie d’indicateurs de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis

Pour de plus amples informations, consultez Format de données Citrix Analytics pour SIEM.

18 mars 2021

Nouveautés

Tableau de bord de l’assurance d’accès

Remarque

La fonctionnalité est en avant-première.

Le tableau de bord Access Assurance Location fournit une vue d’ensemble des emplacements à partir desquels les utilisateurs Citrix Virtual Apps and Desktops se sont connectés pendant une période donnée. Citrix Analytics reçoit ces événements d’ouverture de session de l’utilisateur à partir de l’application Citrix Workspace installée sur les appareils des utilisateurs.

Pour afficher le tableau de bord, cliquez sur Sécurité > Assurance d’accès.

Vous pouvez afficher les informations suivantes pour une période sélectionnée :

  • Nombre total d’ouvertures de session d’utilisateurs depuis un emplacement particulier et entre les emplacements.

  • Nombre total d’ouvertures de session d’utilisateurs uniques sur tous les emplacements.

  • Nombre total de pays depuis lesquels les utilisateurs se sont connectés.

  • Les 10 meilleurs emplacements avec des connexions utilisateur uniques.

Pour de plus amples informations, consultez Emplacement d’assurance d’accès.

Page récapitulatif de connexion utilisateur

Support pour NOT LIKE (! ~) opérateur

Pour la requête de recherche en libre-service et la condition d’indicateur de risque personnalisé, vous pouvez désormais utiliser le paramètre NOT LIKE (! ~) opérateur. L’opérateur vérifie la présence d’événements utilisateur pour le modèle de correspondance que vous avez spécifié. Il renvoie les événements qui ne contiennent pas le modèle spécifié nulle part dans la chaîne d’événement.

Par exemple, la requête User-Name !~ “John” affiche des événements pour les utilisateurs à l’exception de John, John Smith ou de tout autre utilisateur qui contient le nom correspondant « John ».

Pour de plus amples informations, consultez Recherche en libre-service.

Version traduite du système d’exploitation

Pour la source de données Citrix Virtual Apps and Desktops, la dimension Platform est désormais traduite par les dimensions OS-Major-Version, OS-Minor-Versionet OS-Extra-Details . En fonction des détails du système d’exploitation d’un utilisateur, Citrix Analytics affiche ces dimensions sur la page de recherche en libre-service.

Vous pouvez utiliser ces dimensions pour définir les conditions d’un indicateur de risque personnalisé.

Pour les indicateurs de risque personnalisés créés précédemment, si vous avez utilisé la dimension Platform comme condition, Citrix Analytics remplace automatiquement la dimension Platform par la version majeure du système d’exploitation, la versionmineure**du système d’exploitation et les détails **OS-Extra-Details. Cette mise à jour n’affecte pas l’intégrité de votre condition définie.

Pour plus d’informations sur les nouvelles dimensions, reportez-vous à la section Recherche en libre-service pour Virtual Apps and Desktops.

Mise à jour des champs de données pour Citrix Virtual Apps and Desktops

Dans la recherche en libre-service de Citrix Virtual Apps and Desktops, affichez les champs de données mis à jour en fonction du modèle contextuel.

Pour de plus amples informations, consultez Recherche en libre-service pour Virtual Apps and Desktops.

Fonctionnalité obsolète

Suppression des événements VPN_AF et VPN_SU de la page de recherche en libre-service

Sur la page de recherche en libre-service de la source de données Citrix Gateway, les types d’enregistrements suivants sont désormais supprimés.

Type d’enregistrement Nom de l’enregistrement
VPN_SU Enregistrement de mise à jour de session
VPN_AF Enregistrement d’échec du lancement de l’application

Vous ne pouvez donc pas filtrer et afficher vos événements en fonction de ces types d’enregistrements. Tous les indicateurs de risque personnalisés basés sur ces types d’enregistrements cessent de fonctionner.

Pour de plus amples informations, consultez Recherche en libre-service pour Gateway.

11 mars 2021

Nouveautés

Horodatage actuel du schéma de score de risque utilisateur

Un nouveau champ last_update_timestamp est ajouté au format de schéma de score de risque utilisateur. Ce champ indique l’heure à laquelle le score de risque a été mis à jour pour la dernière fois. Pour plus d’informations sur le format du schéma, reportez-vous à la section Schéma de score de risque utilisateur.

03 mars, 2021

Nouveautés

Améliorations apportées à l’ouverture de session à partir d’un indicateur de risque IP suspect

Sur la page de chronologie des risques de l’utilisateur, une nouvelle section IP suspecte s’affiche pour l’indicateur de risque Logon from suspect IP . Cette section fournit les informations suivantes :

Section IP suspecte

  • Adresse IP à partir de laquelle une activité de connexion suspecte est détectée.
  • Emplacement de l’utilisateur.
  • Tous les modèles d’activité IP suspecte que Citrix Analytics a récemment détectés dans votre organisation.
  • Flux de renseignements au niveau de la communauté sur l’adresse IP.

Pour plus d’informations, consultez l’indicateur de Ouverture de session à partir d’une adresse IP suspecte risque.

Améliorations de l’accès à partir d’un indicateur de risque de localisation inhabituel

  • Dans l’indicateur de risque d’accès à partir d’un emplacement inhabituel pour Citrix Content Collaboration, la colonne TOOL NAME a été ajoutée dans la table des événements. Suppression de la colonne DEVICE BROWSER de la table des événements. Pour de plus amples informations, consultez Indicateurs de risque Citrix Content Collaboration.

  • Dans l’indicateur de risque d’accès à partir d’un emplacement inhabituel pour Citrix Virtual Apps and Desktops, les colonnes DEVICE ID et RECEIVER TYPE ont été ajoutés dans la table des événements. Pour de plus amples informations, consultez Indicateurs de risque Citrix Virtual Apps and Desktops.

Format de données Citrix Analytics pour SIEM

Le article décrit le schéma des données traitées générées par Citrix Analytics pour votre service SIEM.

Problème résolu

  • Pour un utilisateur Content Collaboration, si la valeur Is Employee est NULL, l’utilisateur n’est pas affiché dans la liste des utilisateurs découverts. [CAS-47815]

February 18, 2021

Nouveautés

Prise en charge pour la première fois d’un accès à partir d’une nouvelle entité dans l’indicateur de risque personnalisé

Vous pouvez désormais créer un indicateur de risque qui se déclenche lorsque Citrix Analytics reçoit des événements d’une nouvelle entité pour la première fois. Voici quelques exemples d’entités : IP client, ville et pays.

Sur la page Créer un indicateur, cliquez sur l’option Première fois. Activez la première fois pour un nouveau bouton et sélectionnez une entité valide dans la liste en fonction de la source de données. Vous n’avez pas besoin d’affecter une valeur spécifique à l’entité. Par exemple, si vous sélectionnez Ville dans la liste, Citrix Analytics déclenche un indicateur de risque chaque fois que les utilisateurs se connectent à partir d’une nouvelle ville pour la première fois.

Pour de plus amples informations, consultez Création d’un indicateur de risque personnalisé.

Première fois pour une nouvelle option

Limite maximale pour la création d’un indicateur de risque personnalisé

Vous pouvez désormais créer des indicateurs de risque personnalisés jusqu’à une limite maximale de 50. Si vous atteignez cette limite maximale, vous devez supprimer ou modifier tout indicateur de risque personnalisé existant pour créer un indicateur de risque personnalisé.

Pour de plus amples informations, consultez Indicateurs de risque personnalisés.

Données de localisation utilisateur à partir de Citrix Virtual Apps and Desktops

Sur la page Informations utilisateur, Citrix Analytics affiche désormais l’emplacement de l’utilisateur à partir de la source de données Citrix Virtual Apps and Desktops.

Pour plus d’informations sur l’emplacement de l’utilisateur, reportez-vous à la section Profil d’utilisateur.

Tri multi-colonnes

Sur la page de recherche en libre-service, vous pouvez désormais trier les événements utilisateur par plusieurs colonnes. Cliquez sur Trier par, ajoutez les colonnes et l’ordre de tri. Cliquez sur Appliquer pour trier les événements utilisateur. Vous pouvez ajouter jusqu’à six colonnes pour effectuer un tri multi-colonnes.

Tri multi-colonnes

Pour de plus amples informations, consultez Recherche en libre-service.

Fonctionnalités obsolètes

Indicateur de risque de défaillance excessive d’autorisation obsolète

L’indicateur de risque Citrix Gateway - Échec d’autorisation excessive a été obsolète. Vous ne pouvez afficher que les données historiques liées à cet indicateur.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

  • Citrix Analytics ne génère plus ces indicateurs de risque.

  • Citrix Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.

  • Les stratégies par défaut avec ces indicateurs de risque étant donné que les conditions ne prennent plus effet.

Pour de plus amples informations, consultez Indicateurs de risque Citrix Gateway.

January 27, 2021

Nouveautés

Améliorations apportées à l’accès à partir d’un indicateur de risque de localisation inhabituel

Pour Citrix Content Collaboration, Citrix Gateway et Citrix Virtual Apps and Desktops, l’indicateur de risque d’ accès à partir d’un emplacement inhabituel est désormais déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville qui est anormalement éloignée de toute connexion précédente emplacement. Parmi les autres facteurs, mentionnons le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation des utilisateurs est basé sur les 30 jours précédents d’activité de connexion.

Pour plus d’informations sur l’indicateur de risque, consultez les rubriques suivantes :

January 20, 2021

Problème résolu

  • Pour la source de données Virtual Apps and Desktops avec StoreFront local, le traitement des données échoue bien que le déploiement StoreFront soit correctement connecté.

    [CAS-46656]

January 19, 2021

Problème résolu

  • Dans la page d’indicateur de risque personnalisé, après avoir corrigé une condition non valide dans le champ de recherche, le lien Déclencheur d’estimation ne répond pas.

    Par exemple, vous tapez une condition client-IP non valide = 10.10.10.10. Après avoir corrigé cette condition et tapez comme Client-IP = « 10.10.10.10”, le lien Déclencheur d’estimation ne répond pas.

    Solution : actualisez la page d’indicateur personnalisé, puis créez l’indicateur personnalisé avec une condition valide.

    [CAS-46316]

January 13, 2021

Nouveautés

Nouvelle version du module complémentaire Citrix Analytics pour Splunk est disponible

Citrix Analytics Add-on version 2.1.0 pour Splunk est maintenant disponible. Allez sur la page téléchargements pour télécharger le fichier.

Ajout de la prise en charge de Splunk Cloud Inputs Data Manager (IDM) et Splunk 8.1 64 bits

Vous pouvez désormais intégrer Citrix Analytics for Security avec Splunk Cloud IDM et Splunk 8.1 64 bits. Pour de plus amples informations, consultez Intégration de Splunk.

Prise en charge obsolète

Suppression de la prise en charge de Splunk 7.1 64 bits

Vous ne pouvez plus intégrer Citrix Analytics for Security avec Splunk 7.1 64 bits. Pour plus d’informations sur les versions de Splunk prises en charge, consultez Intégration de Splunk.

January 11, 2021

Problème résolu

  • Sur la carte de site Applications et bureaux virtuels, l’étiquette Utilisateurs clients pris en charge est renommée Événements reçus des utilisateurs. L’étiquette Utilisateurs clients non pris en charge est renommée Impossible de recevoir les événements des utilisateurs.

    [CAS-44773]

December 17, 2020

Nouveautés

Utiliser des indicateurs de risque personnalisés préconfigurés et une stratégie pour bloquer l’accès à partir d’emplacements inhabituels (géofencing)

Citrix fournit une liste d’indicateurs de risque personnalisés préconfigurés et une stratégie qui vous aident à surveiller la sécurité de votre infrastructure Citrix. Grâce à ces indicateurs et à une stratégie, vous pouvez bloquer l’accès utilisateur provenant de pays hors de leur pays d’exploitation habituel. Par défaut, le pays est défini sur « États-Unis ». Vous pouvez définir votre pays requis pour le géofencing.

Voici les indicateurs de risque personnalisés préconfigurés et une stratégie :

  • La session CVAD-débute en dehors du périmètre de géofencing

  • Croisement GW-Géofence

  • Croisement CCC-géofence

  • Début de la session en dehors du périmètre de géofencing

Pour de plus amples informations, consultez Indicateurs et stratégies de risque personnalisés préconfigurés.

Afficher les emplacements accessibles dans l’e-mail de réponse utilisateur

Au lieu de l’adresse IP d’une machine utilisateur, l’e-mail de réponse de l’utilisateur affiche désormais tous les emplacements auxquels l’utilisateur a accédé au cours des 15 dernières minutes. L’emplacement est affiché dans au format <City>,<Country>. Si la ville ou le pays n’est pas disponible, la valeur correspondante s’affiche comme « Inconnu ».

Pour de plus amples informations, consultez Demander réponse de l’utilisateur.

Indicateur de risque Renommé Content Collaboration - Premier accès depuis un nouvel emplacement

L’indicateur de risque Citrix Content Collaboration pour la première fois que l’accès à partir d’un nouvel emplacement est renommé Access à partir d’un emplacement inhabituel.

Pour de plus amples informations, consultez Accès depuis un endroit inhabituel.

Fonctionnalités obsolètes

Feedback sur les indicateurs de risque

Le mécanisme de rétroaction des indicateurs de risque est supprimé. Si l’indicateur de risque Content Collaboration - L’accès à partir d’un emplacement inhabituel n’est pas correctement déclenché, vous ne pouvez plus le signaler comme un faux positif et fournir des commentaires.

December 07, 2020

Nouveautés

Amélioration de l’indicateur de risque potentiel d’exfiltration des données

Les améliorations suivantes sont apportées à l’indicateur de risque :

  • Les informations contenues dans la section QUE S’EST-IL PASSÉ sont mises à jour. Le format temporel est mis à jour pour maintenir la cohérence.

  • Les informations d’emplacement du périphérique apparaissent dans la liste des événements.

Pour plus d’informations sur l’indicateur de risque, reportez-vous à la section Exfiltration potentielle des données.

Améliorations apportées à l’indicateur de risque Content Collaboration - Premier accès depuis un nouvel emplacement

Dans la chronologie du risque utilisateur, sélectionnez Premier accès à partir d’un nouvel emplacement pour afficher les informations suivantes :

  • Emplacements de connexion : Affiche une vue cartographique géographique des emplacements habituels et inhabituels à partir desquels l’utilisateur s’est connecté.

  • Nombre de connexions depuis des emplacements habituels - 30 derniers jours : Affiche un graphique à secteurs des 6 principaux emplacements habituels à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours. Il affiche également le nombre d’événements de connexion à partir de ces emplacements.

  • Détails de l’événement pour un emplacement inhabituel : Fournit la liste des événements de connexion à partir de l’emplacement inhabituel pour l’utilisateur.

Pour plus d’informations sur l’indicateur de risque, reportez-vous à la section Accès pour la première fois depuis un nouvel emplacement.

November 30, 2020

Nouveautés

Amélioration des pages de recherche en libre-service

Les améliorations suivantes sont apportées pour améliorer la convivialité de la page de recherche en libre-service :

  • La zone de recherche affiche un exemple de requête pour indiquer comment taper votre propre requête.

    Requête de zone de recherche

  • Sous macOS, la barre de défilement de la liste des dimensions apparaît désormais par défaut.

    Barre de défilement Mac

  • Les filtres appliqués apparaissent désormais sous forme de puces.

    Puces de filtre

  • L’étiquette Ajouter ou supprimer des colonnes remplace l’icône +.

    Mise à jour de

Pour de plus amples informations, consultez Recherche en libre-service.

Amélioration des politiques

La page Stratégies affiche désormais les stratégies associées aux sources de données qui sont découvertes et connectées avec succès à Citrix Analytics. Cette page n’affiche pas les stratégies pour lesquelles une condition est définie pour les sources de données non découvertes. La désactivation du traitement des données pour une source de données déjà connectée n’affecte pas les stratégies existantes sur la page Stratégies.

Pour de plus amples informations, consultez Configurer les stratégies et les actions.

04 novembre 2020

Nouveautés

Échec d’authentification inhabituel - Indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces basées sur l’accès lorsqu’un utilisateur présente des échecs d’ouverture de session à partir d’une adresse IP inhabituelle et déclenche l’indicateur de risque d’échec d’authentification inhabituelle.

Cet indicateur de risque est déclenché lorsqu’un utilisateur de votre organisation a des échecs d’ouverture de session à partir d’une adresse IP inhabituelle qui est contraire à son comportement habituel.

Pour de plus amples informations, consultez Indicateurs de risque Citrix Gateway.

Échec d'authentification

October 20, 2020

Problème résolu

  • L’indicateur de risque L’ accès pour la première fois à partir d’un nouvel appareil avec l’action de déconnexion de l’utilisateur appliquée ne fonctionne pas comme prévu.

    [CAS-40743]

October 15, 2020

Nouvelles fonctionnalités

Accès à partir d’un emplacement inhabituel — Indicateur de risque Citrix Virtual Apps and Desktops

Citrix Analytics détecte les menaces basées sur l’accès en fonction de connexions inhabituelles depuis Citrix Workspace et déclenche l’indicateur de risque correspondant.

Emplacement inhabituel

Pour de plus amples informations, consultez Indicateurs de risque Citrix Virtual Apps and Desktops.

  • La colonne SHARE URL est maintenant remplacée par la colonne SHARE ID. Chaque URL de partage est désormais identifiée par un ID de partage.

  • La sélection de l’heure sur le tableau de bord est supprimée. Maintenant, ce tableau de bord affiche tous les liens de partage de l’état actif à l’état expiré au lieu d’une période sélectionnée.

  • Tous les liens de partage sont triés dans l’ordre des liens actifs d’abord, puis des liens expirés. Par défaut, le lien de partage avec le nombre d’indicateurs de risque le plus élevé apparaît en haut de la liste.

  • Les liens à risque affichent désormais les liens actifs qui ont un comportement risqué. Il n’affiche pas les liens expirés. Par défaut, le lien risqué avec le nombre d’indicateurs de risque le plus élevé apparaît en haut de la liste.

  • La vue des tendances de la carte Liens de partage risqués et de la carte Tous les liens de partage est supprimée.

Pour de plus amples informations, consultez Tableau de bord des liens de partage.

La chronologie de risque affiche désormais l’ID de partage au lieu de l’URL du partage. Pour de plus amples informations, consultez Chronologie des risques liés au lien de partage.

Fonctionnalités obsolètes

Accès à partir d’un appareil avec indicateur de risque du système d’exploitation non pris en charge (OS) obsolète

L’indicateur de risque Citrix Virtual Apps and Desktops - Accès à partir d’un périphérique avec système d’exploitation (OS) non pris en charge a été obsolète. Vous ne pouvez afficher que les données historiques liées à cet indicateur.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

  • L’analyse ne génère plus ces indicateurs de risque.

  • Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.

  • Les stratégies par défaut avec ces indicateurs de risque étant donné que les conditions ne prennent plus effet.

Pour plus d’informations sur les indicateurs de risque Citrix Virtual Apps and Desktops, reportez-vous à la section Indicateurs de risque Citrix Virtual Apps and Desktops.

10 septembre 2020

Nouvelles fonctionnalités

Liste de contrôle pour StoreFront

Citrix Analytics affiche désormais une liste des conditions préalables que vous devez remplir avant de télécharger le fichier de configuration StoreFront. Examinez la liste de contrôle et assurez-vous que toutes les exigences minimales sont sélectionnées. Si la configuration minimale requise n’est pas sélectionnée, vous ne pouvez pas télécharger le fichier de configuration. Pour de plus amples informations, consultez Source de données Citrix Virtual Apps and Desktops.

Liste de contrôle StoreFront

Recherche en libre-service - support pour l’opérateurNOT EQUAL (!=)

Vous pouvez maintenant utiliser l’opérateur NOT EQUAL (!=) dans votre requête dans les fonctionnalités suivantes :

  • Indicateur de risque personnalisé

  • Recherche en libre-service

Vous pouvez utiliser cet opérateur pour les conditions suivantes :

Source de données Dimensions
Content Collaboration Pays, ville, système d’exploitation client
Contrôle d’accès Pays, Ville, Action, URL, Catégorie d’URL, Réputation, Navigateur, OS, Appareil
Virtual Apps and Desktops Pays, Ville, Nom de l’application, Opération du Presse-papiers, Navigateur, OS
Passerelle Étape d’authentification, IP du client

À l’aide de l’opérateur, créez une expression d’indicateur personnalisée avec une seule valeur telle que « Country ! = XYZ » et affichez la liste des utilisateurs. Créez ensuite une stratégie pour appliquer des actions telles que Ajouter à la liste de suivi, Notifier l’administrateur ou Désactiver l’utilisateur. Vous pouvez également utiliser l’opérateur dans la recherche en libre-service des sources de données spécifiées pour filtrer les événements utilisateur.

Lorsque vous saisissez les valeurs des dimensions de votre requête, utilisez les valeurs exactes affichées sur la page de recherche libre-service d’une source de données. Les valeurs de dimension sont sensibles à la casse.

08 septembre 2020

Nouvelles fonctionnalités

Corrélation utilisateur

Analytics met désormais en corrélation les utilisateurs découverts à partir de diverses sources de données. Ce mécanisme élimine la plupart des utilisateurs dupliqués de la liste des utilisateurs découverts. Les utilisateurs découverts dans Analytics affichent désormais la liste des utilisateurs uniques ainsi que leurs sources de données et les indicateurs de risque.

Par exemple, l’utilisateur « Joe Smith » peut avoir plusieurs identifiants d’utilisateur : JosephSM, joe.smith@citrix.com et joe.smith en fonction des sources de données. Analytics identifie désormais cet utilisateur avec un nom d’identificateur unique. Tous les autres identifiants d’utilisateur sont corrélés et les événements reçus pour Joe Smith à partir de diverses sources de données sont liés à ce nom unique. Pour de plus amples informations, consultez Utilisateurs découverts

Problème résolu

Dans la liste Actions, un message d’erreur s’affiche après avoir sélectionné les options d’action et cliqué sur Appliquer.

[CAS-39914]

August 11, 2020

Problèmes résolus

  • Vous ne pouvez pas intégrer Microsoft Graph Security à Citrix Analytics. Ce problème s’est produit car le portail Microsoft n’a pas pu rediriger vers Citrix Analytics.

[CAS-38021]

July 31, 2020

Problèmes résolus

  • L’option Déclencheurs estimés de l’indicateur de risque personnalisé ne prédit pas les instances d’indicateurs de risque personnalisées pour le dernier jour.

[CAS-38129]

July 09, 2020

Nouvelles fonctionnalités

La carte de site Applications et bureaux virtuels affiche les utilisateurs avec des clients pris en charge et non pris en charge

Sur la carte de site, vous pouvez désormais afficher le nombre d’utilisateurs qui utilisent des versions prises en charge et non prises en charge de l’application Citrix Workspace ou des clients Citrix Receiver sur leurs terminaux.

  • Cliquez sur le nombre d’utilisateurs pour les clients pris en charge pour afficher la page Utilisateur qui affiche tous les utilisateurs découverts.

  • Cliquez sur le nombre d’utilisateurs pour les clients non pris en charge pour télécharger un fichier CSV. Le fichier répertorie les utilisateurs et leurs versions clientes non prises en charge. Analytics ne reçoit pas d’événements utilisateur des clients non pris en charge et n’ajoute donc pas les utilisateurs en tant qu’utilisateurs découverts. À l’aide du fichier CSV, vous identifiez les utilisateurs qui doivent mettre à niveau leurs clients vers une version prise en charge afin qu’Analytics puisse fournir des informations de sécurité sur leur comportement.

Pour afficher la liste des clients pris en charge, reportez-vous à la section Source de données Citrix Virtual Apps and Desktops.

Statut du client

Accès à partir d’un indicateur de risque de localisation inhabituel

  • L’indicateur de risque Citrix Gateway pour la première fois que l’accès à partir d’un nouvel emplacement est renommé Access à partir d’un emplacement inhabituel.

  • Dans la chronologie du risque utilisateur, une carte géographique et un diagramme circulaire sont introduits dans la section Détails de l’événement.

    • Emplacements de connexion : Cette section affiche une vue cartographique géographique des emplacements habituels et inhabituels de l’utilisateur. Les emplacements habituels et inhabituels sont indiqués par un code couleur en haut à droite de la carte géographique. Vous pouvez zoomer la carte géographique pour voir de plus près l’emplacement.

      Accès à partir d'un emplacement inhabituel

    • Emplacements habituels - 30 derniers jours : Cette section affiche un graphique à secteurs qui donne une vue des 6 principaux emplacements habituels depuis lequel l’utilisateur s’est connecté. Chaque emplacement est marqué avec un code de couleur différent. Vous pouvez trier la section par emplacement pour obtenir une vue détaillée de l’emplacement sélectionné.

      Accès à partir d'un emplacement inhabituel

Pour de plus amples informations, consultez Accès depuis un endroit inhabituel.

Données du tableau de bord utilisateur

Le nombre d’utilisateurs à risque, d’utilisateurs découverts, d’utilisateurs privilégiés et d’utilisateurs figurant dans la liste de surveillance est affiché pour les 13 derniers mois, quelle que soit la période sélectionnée dans le tableau de bord Utilisateurs et la page Utilisateurs. Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent.

Pour de plus amples informations, consultez Tableau de bord des utilisateurs.

Données de tableau de bord utilisateur

Page Utilisateurs redessinée

La page Utilisateurs a été améliorée pour une meilleure expérience utilisateur. Il fournit un résumé consolidé des événements utilisateur basé sur les scores de risque utilisateur, la source de données et le type d’utilisateur.

Pour prendre en charge une recherche plus ciblée, la page Utilisateurs contient la section Filtres dans le volet gauche et la barre de recherche en haut. Vous pouvez rechercher des événements utilisateur pour une durée prédéfinie ou une plage de temps personnalisée.

Section Utilisateurs découverts

Pour afficher la page Utilisateurs  :

  • Accédez à Sécurité > Utilisateurs pour afficher le tableau de bord Utilisateurs et procédez comme suit :

    • Cliquez sur l’un des liens suivants ou sur les cartes.

      Page Utilisateurs

    • Dans le volet Utilisateurs à risque, cliquez sur Voir plus.

    • Dans le volet Utilisateurs dans la liste de surveillance, cliquez sur Voir plus.

    • Dans le volet Utilisateurs privilégiés, cliquez sur Voir plus.

  • Accédez à Réglages > Sources de données > Sécurité. Cliquez sur le nombre d’utilisateurs sur n’importe quelle carte de site de source de données.

Pour de plus amples informations, consultez Tableau de bord des utilisateurs.

Améliorations du volet Utilisateurs risqués

La colonne Modification est remplacée par la colonne Indicateurs de risque. La colonne Indicateurs de risque affiche le total des occurrences d’indicateurs de risque d’un utilisateur pour une période donnée.

Pour de plus amples informations, consultez Utilisateurs risqués.

Volet utilisateur risqué

Améliorations du volet des utilisateurs dans le volet Liste de surveillance

La colonne Modification est remplacée par la colonne Indicateurs de risque. La colonne Indicateurs de risque affiche le total des occurrences d’indicateurs de risque d’un utilisateur pour une période donnée.

Pour de plus amples informations, consultez Utilisateurs dans la liste de surveillance.

Volet Liste de surveillance

Améliorations du volet Utilisateurs privilégiés

  • La colonne Modification est remplacée par la colonne Indicateurs de risque. La colonne Indicateurs de risque affiche le total des occurrences d’indicateurs de risque d’un utilisateur pour une période donnée.

  • Cliquez sur Voir plus pour afficher la page Utilisateurs. Page Utilisateurs qui affiche la liste des utilisateurs privilégiés administrateur et exécutif. Sur cette page, vous pouvez ajouter ou supprimer un utilisateur en tant qu’utilisateur privilégié.

Pour de plus amples informations, consultez Utilisateurs privilégiés.

Volet Utilisateurs privilégiés

Fonctionnalités obsolètes

Alertes

La fonctionnalité Alertes est désormais obsolète et n’est plus disponible sur l’interface utilisateur Analytics.

Alertes

Page Utilisateurs à risque et liste de surveillance

Les pages Utilisateurs risqués et Liste de surveillance sont obsolètes. Ils sont remplacés par la page Utilisateurs qui résume tous les événements utilisateur à risque et les utilisateurs de la liste de surveillance.

Page utilisateur risqué

Page Liste de surveillance

Volet Utilisateurs à risque

Les onglets Changement de score le plus élevé et Changement d’indicateur de risque sont supprimés du volet Utilisateurs à risque.

Volet utilisateur risqué

Volet Indicateur de risque

  • L’onglet Modification d’occurrence et la colonne CHANGE sont supprimés.

    Volet indicateur de risque

  • La page Détails de l’indicateur de risque est obsolète. Auparavant, cette page s’affichait lorsqu’un indicateur de risque était sélectionné dans le volet Indicateurs de risque ou sur la page Aperçu de l’indicateur de risque.

    Page détaillée de l'indicateur de risque

Vue Tendance

Dans le tableau de bord Utilisateurs, la vue des tendances du nombre d’utilisateurs est supprimée des fiches Utilisateurs à risque élevé, Utilisateurs à risque moyen, Utilisateurs à faible risqueet Utilisateurs dans la liste de surveillance.

Vue Tendance

Page Groupes d’utilisateurs

La page Groupes d’utilisateurs sous l’option Paramètres est obsolète. Vous ne pouvez plus ajouter ou supprimer un groupe d’utilisateurs en tant que groupe privilégié. Toutefois, vous pouvez ajouter ou supprimer des utilisateurs individuels en tant qu’utilisateurs privilégiés. Pour plus de détails, consultez Utilisateurs privilégiés.

Page Groupe d'utilisateurs

26 juin 2020

Fonctionnalités obsolètes

Indicateurs de risque de temps inhabituel d’accès aux applications (Virtual/SaaS) obsolètes

Les indicateurs de risque Citrix Virtual Apps and Desktops - Temps inhabituel d’accès aux applications (Virtual) et Heure inhabituelle d’accès aux applications (SaaS) ont été obsolètes. Vous ne pouvez afficher que les données historiques liées à ces indicateurs.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

  • L’analyse ne génère plus ces indicateurs de risque.
  • Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.
  • Les stratégies par défaut avec ces indicateurs de risque étant donné que les conditions ne prennent plus effet.

Pour plus d’informations sur les indicateurs de risque Citrix Virtual Apps and Desktops, reportez-vous à la section Indicateurs de risque Citrix Virtual Apps and Desktops.

June 02, 2020

Problèmes résolus

  • Dans la chronologie des risques utilisateur, l’état des actions Applications et bureaux virtuels (basées sur des stratégies ou appliquées manuellement) apparaît comme « Échec » même si les actions sont correctement appliquées sur le compte d’utilisateur. Par exemple, l’action d’enregistrement de session Démarrer est appliquée avec succès sur le compte d’utilisateur, mais le résultat est affiché comme « Échec ». [CAS-32773]

    État d'échec de l'action

May 11, 2020

Problèmes résolus

  • Pour certains utilisateurs, les actions basées sur des stratégies ne sont pas déclenchées et le mode d’application de la stratégie ne peut pas être appliqué. Ce problème se produit lorsque les ID client ne sont pas en minuscules.

    [CAS-34209],[CAS-34141]

  • Impossible de créer des indicateurs de risque personnalisés pour certains utilisateurs. Ce problème se produit lorsque les ID client ne sont pas en minuscules.

    [CAS-34139]

April 29, 2020

Problèmes résolus

  • Les actions appliquées aux indicateurs de risque Citrix Virtual Apps and Desktops ne prennent pas effet, bien qu’Analytics affiche un message indiquant que les actions sont correctement appliquées. Ce problème est observé dans la version de Citrix Virtual Apps and Desktops 7 1912.

    [CAS-31544]

April 02, 2020

Nouvelles fonctionnalités

Désactiver le traitement des données lorsque StoreFront n’est pas ajouté

Dans la carte de site de source de donnéesParamètres> Sources de données > Sécurité > Applications et bureaux virtuels, le bouton Activer le traitement des données n’est pas activé si vous n’avez pas intégré StoreFront. Le message d’avertissement StoreFront non connecté s’affiche sur la carte de site. Si vous disposez d’un site sur site actif à partir duquel vous souhaitez que Analytics reçoive des données, vous devez vérifier que vous avez intégré StoreFront à Citrix Analytics. Il garantit la protection de vos comptes d’utilisateurs.

Sur la carte de site Virtual Apps and Desktops, sélectionnez les points de suspension verticaux () et cliquez sur Connecter le déploiement StoreFront. Sur l’écran qui s’affiche, suivez les instructions et terminez la configuration StoreFront.

Pour de plus amples informations, consultez Virtual Apps et sites de bureau embarqués à l’aide de StoreFront.

Avertissement StoreFront

Problèmes résolus

  • Pour les utilisateurs Citrix Content Collaboration, les actions basées sur des stratégies ne peuvent pas prendre effet dans les conditions suivantes :

    • Lorsque des conditions d’indicateur de risque personnalisées sont définies

    • Jusqu’à ce qu’un indicateur de risque soit généré pour un utilisateur

    [CAS-29226]

March 04, 2020

Problèmes résolus

  • Lorsque les utilisateurs de Gateway sont embarqués à Analytics pour la première fois, ils voient l’erreur Citrix ADC ne répond pas ou les informations d’identification sont incorrectes. Lors d’une nouvelle tentative, ils voient l’erreur Le périphérique avec cette adresse IP existe déjà.

[CAS-31180]

February 20, 2020

Nouvelles fonctionnalités

Offre Citrix Analytics for Security

Citrix Analytics for Security est désormais disponible pour un abonnement individuel. Vous pouvez vous abonner à Citrix Analytics for Security et obtenir des informations spécifiques à cette offre. Pour de plus amples informations, consultez Mise en route.

Tableau de bord catégories de risque

Citrix Analytics introduit la catégorisation des indicateurs de risque en fonction des risques ayant un impact similaire sur l’aspect de sécurité de l’entreprise. Ce tableau de bord fournit une vue complète des expositions aux risques et des risques critiques qui nécessitent une attention immédiate. Pour les indicateurs de risque par défaut, Analytics attribue automatiquement une catégorie de risque basée sur l’exposition au risque. Pour les indicateurs de risque personnalisés, vous devez sélectionner une catégorie de risque appropriée en fonction de l’exposition au risque.

Analytics prend en charge les catégories de risque suivantes :

  • Exfiltration des données
  • Menaces d’initiés
  • Utilisateurs compromis
  • Points de terminaison compromis

Pour de plus amples informations, consultez Catégories de risque.

Tableau de bord catégories de risque

Colonne Catégorie de risque de la page Indicateurs personnalisés

La colonne Catégorie de risque est introduite sur la page Indicateur de risque personnalisé. En fonction du type d’exposition au risque, vous pouvez sélectionner une catégorie de risque pour votre indicateur de risque personnalisé. Les indicateurs de risque personnalisés précédemment créés sont affichés dans le tableau de bord Catégories de risque si vous les modifiez en sélectionnant une catégorie de risque.

Pour de plus amples informations, consultez Indicateurs de risque personnalisés.

Liste déroulante Catégories de risque

Changement des noms des indicateurs de risque

Les noms des indicateurs de risque suivants ont été modifiés :

Source de données Ancien nom Nouveau nom
Citrix Virtual Apps and Desktops Utilisation inhabituelle de l’application (Virtuelle) Temps inhabituel d’accès aux applications (virtuel)
Citrix Virtual Apps and Desktops Utilisation inhabituelle des applications (SaaS) Temps inhabituel d’accès aux applications (SaaS)
Citrix Content Collaboration Échecs d’ouverture de session excessifs Échec excessif de l’authentification
Citrix Content Collaboration Accès inhabituel à l’ouverture de session Accès pour la première fois depuis un nouvel emplacement
Citrix Access Control Volume de téléchargement inhabituel Téléchargement excessif de données
Citrix Gateway Échecs d’ouverture de session Échec excessif de l’authentification
Citrix Gateway Échecs d’autorisation Échecs excessifs d’autorisation
Citrix Gateway Accès inhabituel à l’ouverture de session Accès pour la première fois depuis un nouvel emplacement

Pour de plus amples informations, consultez Indicateurs de risque.

Problèmes résolus

  • Pour certains utilisateurs, Citrix Analytics ne peut pas recevoir de données de Virtual Apps and Desktops même si la source de données est correctement intégré et StoreFront est activé. [CAS-24134]

  • Citrix Analytics ne peut pas recevoir d’événements de téléchargement à partir de Citrix Content Collaboration. Par conséquent, les indicateurs de risque suivants ne sont pas déclenchés :

    • Téléchargement anonyme sensible

    • Téléchargements excessifs

    • Accès excessif aux fichiers sensibles

    • Téléchargements excessifs de fichiers

    [CAS-29207]

  • Pour les utilisateurs nouvellement intégrés, les actions manuelles et basées sur des stratégies appliquées aux indicateurs de risque Citrix Gateway n’ont aucun effet. [CAS-29029]

  • Certains utilisateurs ne peuvent pas afficher les fiches de site sur la page Sources de données. Ce problème est résolu en reremplissant le cache. [CAS-28781]

Janvier 09, 2020

Nouvelles fonctionnalités

Évaluation continue des risques

Les utilisateurs de Citrix Workspace sont confrontés à certains défis : l’accès à distance expose les données sensibles à des risques de sécurité par le biais d’activités cybercriminelles telles que l’exfiltration de données, le vol, le vandalisme et les interruptions de service. Les employés au sein des organisations sont également susceptibles de contribuer à ce préjudice.

Certaines façons de remédier à ces risques sont d’implémenter l’authentification multifacteur, de mettre en œuvre des délais d’attente de connexion courts, etc. Bien que ces méthodes d’évaluation des risques garantissent un niveau de sécurité plus élevé, elles ne fournissent pas une sécurité complète après la validation initiale.

Pour améliorer l’aspect sécurité et garantir une meilleure expérience utilisateur, Citrix Analytics introduit la solution d’évaluation continue des risques. Cette solution vous aide à surveiller en permanence les profils utilisateur et à prendre diverses actions lorsque des événements risqués sont détectés.

Pour plus d’informations, reportez-vous à la sectionÉvaluation continue des risques.

Évaluation continue des risques

Configuration de la stratégie

Citrix Analytics vous aide à gérer plus efficacement les configurations de stratégies. Vous pouvez protéger les comptes d’utilisateurs contre les attaques malveillantes à l’aide des fonctionnalités suivantes :

  • Stratégies par défaut : Citrix Analytics prend en charge les stratégies par défaut suivantes :

    • Exploitation réussie des informations d’identification
    • Exfiltration potentielle des données
    • Accès inhabituel à partir d’une adresse IP suspecte
    • Accès inhabituel aux applications à partir d’un emplacement inhabituel
    • Utilisateur à faible risque - accès pour la première fois à partir d’une nouvelle IP
    • Premier accès à partir de l’appareil

    Vous pouvez modifier les stratégies par défaut en fonction de vos besoins.

    Stratégies par défaut

  • Conditions multiples : une stratégie peut contenir jusqu’à quatre conditions. Les conditions peuvent être définies avec des combinaisons de scores de risque et d’indicateurs de risque, ou les deux.

    Ajouter et supprimer une condition

  • Indicateurs de risque par défaut et personnalisés : le menu Conditions de la page Créer une stratégieest désormais séparé en fonction des indicateurs de risque par défaut et personnalisés. Lors de la création d’une stratégie, vous pouvez basculer entre les onglets Indicateurs de risque par défaut et personnalisés et définir les conditions de l’indicateur de risque.

    Ajouter et supprimer une condition

  • Demande de réponse de l’utilisateur : Citrix Analytics introduit l’action Demande de réponse de l’utilisateur. En utilisant cette action, vous pouvez envoyer une notification par e-mail à l’utilisateur concernant l’activité risquée détectée. Une fois que l’utilisateur répond à propos de l’activité, vous pouvez déterminer le plan d’action suivant à prendre sur son compte. Vous pouvez également définir le temps de réponse de l’utilisateur. Si aucune réponse n’est reçue, Citrix Analytics considère Aucune réponse comme l’état.

    Demander réponse de l'utilisateur

  • Appliquer des actions perturbatrices : vous pouvez avertir les utilisateurs lorsqu’une action perturbatrice telle que l’utilisateur Fermer la sessionou Verrouiller l’utilisateurest appliquée. Une notification est envoyée à l’utilisateur avec les détails de l’activité et de l’action appliquée. Cette action perturbe temporairement les services du compte de l’utilisateur afin d’éviter toute utilisation abusive ultérieure. Pour continuer à accéder au compte, l’utilisateur doit contacter l’administrateur pour obtenir de l’aide.

    Appliquer une action perturbatrice

  • Modes d’application et de surveillance : vous pouvez définir des modes d’application ou de surveillance pour vos stratégies.

    Modes de stratégie

Pour plus d’informations sur les améliorations apportées aux stratégies, reportez-vous à la sectionStratégies et actions.

Verrouiller l’utilisateur et Déverrouiller les actions de l’utilisateur

Citrix Analytics introduit les actions Gateway suivantes :

  • Verrouiller l’utilisateur
  • Déverrouiller l’utilisateur

Vous pouvez appliquer ces actions manuellement ou lorsque vous configurez des stratégies.

Pour de plus amples informations, consultez Quelles sont les actions.

Ensuite, procédez comme suit

Accéder au tableau de bord récapitulatif

Citrix Analytics présente le panneau Récapitulatif des accès dans le tableau de bord Utilisateurs . Il résume le nombre total de tentatives effectuées par les utilisateurs pour accéder aux ressources au sein d’une organisation.

Pour de plus amples informations, consultez Récapitulatif de l’accès.

Accéder au tableau de bord récapitulatif

Tableau de bord Stratégies et actions

Citrix Analytics présente le panneau Stratégies et actions du tableau de bord Utilisateurs . Il affiche les cinq principales stratégies et actions appliquées aux profils utilisateur. Vous pouvez trier les données en fonction des stratégies les plus importantes et des actions les plus importantes pour une période sélectionnée.

Pour de plus amples informations, consultez Stratégies et actions.

Tableau de bord Stratégies et actions

Recherche en libre-service de politiques

Utilisez la recherche en libre-service pour afficher les événements utilisateur qui répondaient à vos stratégies définies. Vous pouvez également afficher les actions appliquées par Analytics pour ces événements anormaux. Utilisez les facettes et la zone de recherche pour rechercher les événements requis.

Pour afficher les événements, dans la zone de recherche, sélectionnez Stratégies dans la liste, sélectionnez la période, puis cliquez sur Rechercher .

Pour de plus amples informations, consultez Recherche en libre-service pour les stratégies.

Fonctionnalités obsolètes

Modification du score de risque condition basée sur la stratégie supprimée

Lorsque vous configurez des stratégies, vous ne pouvez plus utiliser la condition basée sur la stratégie de changement de score de risque. Citrix Analytics ne prend pas en charge cette condition.

Pour de plus amples informations, consultez Stratégies et actions.

Plusieurs actions basées sur des stratégies supprimées

Lorsque vous configurez des stratégies, vous ne pouvez plus appliquer plusieurs actions. Citrix Analytics ne prend en charge qu’une seule action pour chaque stratégie.

Pour de plus amples informations, consultez Stratégies et actions.

Problèmes résolus

  • Les administrateurs délégués en lecture seule rencontrent une erreur lors de l’accès aux tableaux de bord Accès utilisateur et Accès aux applications . [CAS-16297]

Décembre 12, 2019

Nouvelles fonctionnalités

Prise en charge de la version Splunk

Citrix Analytics prend en charge les versions suivantes de Splunk :

  • Splunk 8.0 64 bits
  • Splunk 7.3 64 bits

Pour bénéficier des avantages de sécurité maximaux de l’intégration de Splunk, effectuez une mise à niveau vers la dernière version de l’application complémentaire Splunk à partir de la page Téléchargements.

Pour plus d’informations sur les versions de Splunk prises en charge, reportez-vous à la sectionVersions prises en charge.

04 décembre 2019

Nouvelles fonctionnalités

Indicateur de risque personnalisé pour Citrix Gateway

À l’aide d’indicateurs de risque personnalisés, vous pouvez désormais définir les conditions et la fréquence de déclenchement des indicateurs de risque pour les événements Citrix Gateway. Lorsqu’un événement utilisateur remplit les conditions, Analytics déclenche les indicateurs de risque. Pour plus d’informations sur la création d’un indicateur de risque personnalisé, reportez-vous à la sectionIndicateurs de risque personnalisés.

Indicateur personnalisé de passerelle

22 novembre 2019

Nouvelles fonctionnalités

Premier accès à partir d’un nouvel appareil — Indicateur de risque Citrix Virtual Apps and Desktops

Citrix Analytics détecte les menaces d’accès en fonction de l’accès à partir d’un nouvel appareil et déclenche l’indicateur de risque correspondant.

Le premier accès à partir d’un nouvel appareil est déclenché lorsqu’un utilisateur se connecte à partir d’un appareil après 90 jours. Cet événement est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion à partir de ce nouveau périphérique ou non familier au cours des 90 derniers jours. Pour de plus amples informations, consultez Indicateurs de risque Citrix Virtual Apps and Desktops.

Premier accès à partir d'un nouvel appareil

Premier accès à partir d’une nouvelle IP - Indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces d’accès en fonction de l’accès à partir d’une nouvelle adresse IP et déclenche l’indicateur de risque correspondant.

Le premier accès à partir d’un nouvel indicateur de risque IP est déclenché lorsqu’un utilisateur se connecte à partir d’une adresse IP après 90 jours. Cet événement est déclenché car Citrix Receiver n’a aucun enregistrement de connexion à partir de la nouvelle adresse IP ou non familière au cours des 90 derniers jours.

Pour de plus amples informations, consultez Indicateurs de risque Citrix Gateway.

Premier accès à partir d'une nouvelle adresse IP

Ouverture de session à partir d’une adresse IP suspecte - Indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces d’accès utilisateur en fonction de l’activité de connexion IP suspecte et déclenche l’indicateur de risque IP suspect .

Cet indicateur de risque est déclenché lorsqu’un utilisateur tente d’accéder au réseau à partir d’une adresse IP suspecte. Analytics considère une adresse IP comme suspecte sur la base de l’une des conditions suivantes :

  • Est répertorié dans le flux externe sur la détection des menaces IP

  • Contient plusieurs enregistrements de connexion utilisateur à partir d’un emplacement inhabituel

  • Contient des tentatives de connexion excessives qui peuvent indiquer une attaque par force brute

Pour de plus amples informations, consultez Indicateurs de risque Citrix Gateway.

Se connecter à partir d'une adresse IP suspecte

Recherche en libre-service pour les événements Citrix Gateway

Utilisez la fonctionnalité de recherche en libre-service pour obtenir des informations sur les événements utilisateur reçus de la source de données Citrix Gateway. Citrix Analytics reçoit des événements tels que l’étape d’authentification, le type d’autorisation, le code de session VPN, l’état de session VPN pour les utilisateurs de Citrix Gateway. Utilisez les facettes et la zone de recherche pour rechercher les événements requis et explorer les données sous-jacentes.

Pour afficher les événements, dans la zone de recherche, sélectionnez Passerelle dans la liste, sélectionnez la période, puis cliquez sur Rechercher .

Pour de plus amples informations, consultez Recherche en libre-service pour Gateway.

Recherche en libre-service pour les événements Citrix Secure Browser

Utilisez la fonction de recherche en libre-service pour obtenir des informations sur les événements de navigation reçus du service Citrix Secure Browser. Citrix Analytics reçoit des événements tels que la connexion de session, le lancement de session, les applications publiées, les applications supprimées pour chaque connexion utilisateur. Utilisez la zone de recherche pour rechercher les événements requis et explorer les données sous-jacentes.

Pour afficher les événements, dans la zone de recherche, sélectionnez Navigateur sécurisé dans la liste, sélectionnez la période, puis cliquez sur Rechercher .

Pour de plus amples informations, consultez Recherche en libre-service pour Secure Browser.

Action Supprimer de la liste de surveillance

Vous pouvez supprimer un utilisateur de la liste de suivi en appliquant la méthode manuelle ou en appliquant une méthode basée sur des règles. Pour de plus amples informations, consultez Liste de surveillance.

Amélioration des messages d’intégration lors de la configuration d’un déploiement StoreFront

Citrix Analytics fournit désormais les messages suivants pour vous aider à configurer vos déploiements StoreFront :

  • Après avoir téléchargé le fichier de configuration, vous pouvez voir un message indiquant la date et l’heure du téléchargement et le nom d’utilisateur. Lorsque vous actualisez cette page, le bouton Télécharger le fichier passe à nouveau à Télécharger le fichier .

    Fichier de téléchargement StoreFront

  • Si votre configuration StoreFront est incomplète, un message d’avertissement vous invitant à suivre les étapes de configuration et à connecter votre déploiement StoreFront à Analytics s’affiche.

    Avertissement de configuration incomplète StoreFront

Pour plus d’informations sur la configuration de votre déploiement StoreFront, reportez-vous à la sectionEmbarquez sur vos sites Virtual Apps and Desktops à l’aide de StoreFront.

Fonctionnalités obsolètes

Indicateur de risque - L’accès depuis un nouvel appareil supprime

Citrix Analytics ne déclenche plus l’indicateur de risque Access à partir du nouvel appareil . Toutefois, dans le tableau de bord utilisateur, la chronologie utilisateur et le tableau de bord de stratégie, vous pouvez afficher les données historiques liées à cet indicateur de risque.

Pour les stratégies précédemment créées basées sur Access à partir d’un nouveau périphérique, vous devez modifier la stratégie ou créer une stratégie avec le nouvel indicateur de risque Accès premier à partir d’un nouveau périphérique.

Pour en savoir plus, consultez l’indicateur dePremier accès à partir d’un nouvel appareilrisque.

Problèmes résolus

  • La recherche en libre-service d’authentification ne parvient pas à afficher les événements. [CAS-24959]

Novembre 08, 2019

Problèmes résolus

  • Pour les indicateurs de risque Citrix Content Collaboration, les utilisateurs ne peuvent pas appliquer d’actions sur la chronologie des risques. [CAS-24844]

  • L’application Citrix Workspace pour Chrome antérieure à la version 1911 ne parvient pas à envoyer les détails de l’événement à Citrix Analytics. [CAS-24938]

21 octobre 2019

Nouvelles fonctionnalités

Nom modifié de l’agent analytique

Le nom de l’agent est maintenant mentionné comme agent de stratégie Analytics sur les interfaces utilisateur pour indiquer son rôle. Lors de l’intégration des sources de données Citrix Virtual Apps and Desktops locales, Citrix Analytics signale clairement qu’un agent de stratégie est nécessaire uniquement pour configurer les stratégies et les actions de votre site. Cet agent n’a aucun rôle à jouer dans la transmission des données à partir de la source de données. Pour de plus amples informations, consultez Source de données Citrix Virtual Apps and Desktops.

Agent de stratégie

Prise en charge de la dimension temporelle pour le rapport personnalisé

Vous pouvez maintenant regrouper les événements en fonction du temps en sélectionnant la dimension Temps pour l’axe X. Le rapport affiche le total des événements reçus en fonction des intervalles de temps pour la période sélectionnée. Pour plus d’informations sur la création de rapports, reportez-vous à la section Rapports personnalisés.

Dimension temporelle personnalisée du rapport

Améliorations des journaux d’audit

L’expérience utilisateur de la page Journal d’audit est améliorée.

  • Vous pouvez afficher les détails de la date et de l’heure de la dernière mise à jour de la page Journal d’audit et actualiser la page pour afficher les derniers journaux d’audit.

  • Vous pouvez effacer tous les filtres qui ont été appliqués dans les journaux d’audit.

Pour plus d’informations sur les données d’audit, reportez-vous à la section Journaux d’audit.

Actualiser les journaux d'audit

Problèmes résolus

  • Citrix Analytics ne peut pas générer l’indicateur de risque d’adresse IP anonyme même si Microsoft Graph Security est intégré avec succès. [CAS-21329]

  • L’application Citrix Workspace pour HTML5 antérieure à la version 1910 ne parvient pas à envoyer les détails de l’événement à Citrix Analytics. [CAS-24938]

23 septembre 2019

Problèmes résolus

  • Sur les fiches de site sources de données, le champ Dernier événement affiche des informations de date et d’heure incorrectes. [CAS-24087]

30 août 2019

Nouvelles fonctionnalités

Modification de la période par défaut dans les tableaux de bord

La période par défaut sur les tableaux de bord suivants passe de 1 heure à Mois dernier :

  • Utilisateurs

  • Échéancier des risques

  • Accès utilisateur

  • Accès aux applications

  • Partager des liens

  • Historique des alertes

Maintenant, les tableaux de bord affichent les événements du dernier mois par défaut. Vous obtenez une expérience plus attrayante en utilisant ces tableaux de bord. Par exemple, lorsque vous ouvrez le tableau de bord App Access, le tableau de bord affiche par défaut les événements d’accès à l’application pour le dernier mois.

Sélection de la période par défaut

Problèmes résolus

  • Pour les indicateurs de risque Content Collaboration, l’action Désactiver basée sur une stratégie utilisateur ne peut pas être appliquée correctement. [CAS-17304]

  • Citrix Analytics ne peut pas traiter les événements à partir de Citrix Gateway 13.0. Ce problème se produit car Citrix Gateway 13.0 ne parvient pas à fournir des noms d’utilisateur dans les événements d’ouverture de session envoyés à Citrix Analytics. [CAS-21339]

20 août 2019

Nouvelles fonctionnalités

Améliorations de la recherche en libre-service

  • L’expérience utilisateur de la page libre-service est améliorée. Vous pouvez désormais basculer en toute transparence entre la chronologie des risques utilisateur et la page de recherche en libre-service.

  • Vous pouvez maintenant trier vos événements par temps. Par défaut, les derniers événements apparaissent en premier dans la table des événements. Cliquez sur l’icône de tri dans la colonne TIME pour trier les événements en fonction de l’heure la plus récente ou de l’heure la plus ancienne.

Pour plus d’informations sur l’utilisation de la recherche en libre-service, reportez-vous à la section Recherche en libre-service.

Améliorations des rapports personnalisés

  • De nouvelles dimensions sont ajoutées pour les sources de données Access Control, Content Collaboration et Virtual Apps and Desktops. Vous pouvez choisir ces dimensions pour créer des rapports. Les dimensions suivantes sont ajoutées pour les sources de données :

    • Access Control : Agent utilisateur, Nom d’utilisateur

    • Content Collaboration : Courrier électronique de l’utilisateur, Nom d’utilisateur, Créé par, ID de compte, ID client OAuth, ID d’événement, ID de dossier, nom de dossier, ID de ressource, ID de formulaire, adresse IP du client

    • Virtual Apps et postes de travail : Nom d’utilisateur, Adresse IP, ID de périphérique, Jail cassé, Type de lancement de session, Nom du serveur de session, Nom de l’utilisateur de la session, Nom du fichier de téléchargement, Chemin d’accès du fichier, Nom de l’imprimante d’impression, Détails du travail d’impression Nom du fichier, URL de lancement de l’application SaaS, opération du Presse-papiers, Détails du Presse-papiers Résultat

  • L’interface utilisateur du rapport personnalisé est améliorée grâce à la prise en charge de la pagination et à l’option Effacer tout pour les filtres.

Pour plus d’informations sur la création d’un rapport personnalisé à l’aide de ces dimensions, reportez-vous à la section Rapports personnalisés.

Tableau de bord des indicateurs de risque

Le tableau de bord Indicateurs de risque est introduit sur la page Utilisateurs . Il résume les cinq principaux indicateurs de risque par défaut et personnalisés pour un utilisateur. Un lien Voir plus vous redirige vers la page Aperçu des indicateurs de risque . Cette page fournit des informations détaillées sur les indicateurs de risque générés pour une période donnée.

Pour de plus amples informations, consultez Tableau de bord des utilisateurs.

Tableau de bord des indicateurs de risque

Améliorations du tableau de bord des utilisateurs risqués

Citrix Analytics présente les onglets Modificationdes indicateursde risque et des indicateurs de risque du tableau de bord Utilisateurs risqués . Vous pouvez afficher les cinq principaux utilisateurs à risque en fonction de ces onglets. Le tableau de bord présente également la colonne Indicateurs de risque . Il indique le nombre d’indicateurs de risque pour un utilisateur.

La page Utilisateurs risqués présente les colonnes Modificationdesoccurrences et occurrences . Ces colonnes résument le total des occurrences et la modification des occurrences des indicateurs de risque personnalisés et par défaut.

Pour de plus amples informations, consultez Tableau de bord des utilisateurs.

Utilisateurs risqués

Indicateur de risque du lien de partage - Téléchargements excessifs

Citrix Analytics détecte les menaces d’accès basées sur des téléchargements excessifs sur un lien de partage et déclenche l’indicateur de risque de téléchargements excessifs . En identifiant les liens de partage avec des téléchargements excessifs, en fonction du comportement précédent, vous pouvez surveiller le lien de partage à la recherche d’attaques potentielles. Cet indicateur de risque vous aide à identifier une activité excessive de téléchargement de fichiers.

Pour de plus amples informations, consultez Téléchargements excessifs.

Recherche en libre-service pour les données d’authentification

Utilisez la recherche en libre-service pour obtenir des informations sur les événements d’authentification. Citrix Analytics reçoit les événements d’authentification tels que la connexion utilisateur, la fermeture de session utilisateur et la mise à jour du client à partir du service Gestion des identités et des accès de Citrix Cloud. La recherche fournit un rapport détaillé sur les événements d’authentification, vous aide à identifier les problèmes d’authentification et à les résoudre. Vous pouvez également définir une requête de recherche pour récupérer les événements qui correspondent à vos critères définis.

Pour afficher les événements, sélectionnez Authentification dans la liste, sélectionnez la période, puis cliquez sur Rechercher .

Pour de plus amples informations, consultez Recherche en libre-service pour l’authentification.

11 Juillet 2019

Nouvelles fonctionnalités

Indicateurs de risque personnalisés

Les indicateurs de risque par défaut générés par Citrix Analytics sont basés sur des algorithmes d’apprentissage automatique. Citrix Analytics vous permet désormais de créer des indicateurs de risque personnalisés. En fonction des événements utilisateur, vous pouvez définir les conditions et créer des indicateurs de risque personnalisés.

Lorsque les conditions définies sont remplies, Citrix Analytics génère des indicateurs de risque personnalisés similaires aux indicateurs de risque par défaut, et les affiche sur la chronologie des risques de l’utilisateur. Les indicateurs de risque personnalisés sont désignés par une étiquette sur la chronologie des risques de l’utilisateur.

Pour de plus amples informations, consultez Indicateurs de risque personnalisés.

Statut privilégié sur la chronologie des risques

La chronologie des risques utilisateur affiche les événements suivants chaque fois qu’il y a une modification du statut de privilège Admin ou Executive d’un utilisateur :

  • Ajouté au groupe exécutif

  • Supprimé du groupe exécutif

  • Privilège élevé à Admin

  • Privilège administrateur supprimé

Lorsqu’un indicateur de risque est déclenché pour un utilisateur, vous pouvez le rattacher à l’événement de modification de statut de privilège spécifié. Si nécessaire, vous pouvez appliquer les actions appropriées sur le profil utilisateur.

Pour de plus amples informations, consultez Chronologie du risque utilisateur.

Expiration de l’action de lien de partage

Citrix Analytics vous permet d’appliquer des actions sur des indicateurs de risque de lien de partage. Actuellement, l’action prise en charge est Expirer le lien de partage.

Pour de plus amples informations, consultez Indicateurs de risque de lien de partage Citrix.

Améliorations de la recherche en libre-service

  • Prise en charge du caractère joker * dans la requête de recherche : Utilisez l’astérisque (*) dans votre requête de recherche pour correspondre à n’importe quel caractère zéro ou plusieurs fois. Par exemple, la requête de recherche User-Name = « John* » affiche des événements pour tous les noms d’utilisateur commençant par John.

  • Ajout de l’option Effacer tout pour les facettes : cliquez sur Effacertout pour supprimer toutes les facettes sélectionnées à la fois.

  • Afficher les données de colonne masquées dans la liste d’événements : après avoir supprimé une colonne de la table d’événements, vous pouvez afficher les données correspondantes dans la liste d’événements utilisateur. Développez la ligne d’événement pour un utilisateur et affichez les données.

Pour de plus amples informations, consultez Recherche en libre-service.

État des erreurs de données sur les cartes de site

Les fiches Site affichent l’étiquette Aucune donnée reçue en rouge lorsque Citrix Analytics ne reçoit pas d’événements au cours de la dernière heure de la source de données. Il affiche également le nombre d’événements reçus et est lié à la page de recherche en libre-service correspondante. Cette fonctionnalité vous permet d’afficher les événements correspondants sur la page de recherche en libre-service et de vérifier les éventuels problèmes de transmission de données.

Remarque

Actuellement, la recherche en libre-service est disponible uniquement pour les sources de données Access, Content Collaboration et Virtual Apps and Desktop.

Pour de plus amples informations, consultez Activer Analytics sur les sources de données Citrix.

Problèmes résolus

  • Pour la source de données Access Control, le nombre d’événements sur la carte de site ne correspond pas aux résultats de recherche en libre-service. [CAS-18286]

19 juin 2019

Problèmes résolus

  • La page Journal d’audit affiche l’état de transmission de données activé ou désactivé chaque fois que la source de données Active Directory est découverte. [CAS-17575]

  • Le menu Période du tableau de bord Utilisateurs ne se charge pas correctement. Il affiche un message d’erreur de délai d’expiration. [CAS-19467]

  • Les utilisateurs reçoivent un message d’erreur sur Citrix Analytics lors de la connexion à un locataire depuis Splunk. Parfois, l’intégration de nouvelles sources de données échoue. [CAS-19429]

17 juin 2019

Nouvelles fonctionnalités

Configuration du StoreFront

Si votre organisation utilise StoreFront local, vous pouvez désormais configurer StoreFront pour qu’il se connecte à Citrix Analytics. La configuration est effectuée à l’aide d’un fichier de configuration importé à partir de Citrix Analytics. Une fois la configuration terminée, l’application Citrix Workspace envoie des événements utilisateur à Citrix Analytics pour générer des informations exploitables sur les comportements des utilisateurs. Ces informations vous aident à détecter les comportements anormaux des utilisateurs et à gérer de manière proactive les menaces de sécurité dans votre organisation. Pour de plus amples informations, consultez Intégrer des sites Virtual Apps and Desktops à l’aide de StoreFront.

30 mai 2019

Nouvelles fonctionnalités

Échecs d’ouverture de session excessifs

Citrix Analytics détecte les menaces d’accès basées sur une activité d’ouverture de session excessive et déclenche l’indicateur de risque d’échecs d’ouverture de session excessive. Cet indicateur de risque est déclenché lorsqu’un utilisateur rencontre plusieurs tentatives d’ouverture de session échouées pour accéder à Content Collaboration. En identifiant les utilisateurs présentant des échecs d’ouverture de session excessifs, en fonction du comportement antérieur, les administrateurs peuvent surveiller le compte de l’utilisateur à la recherche d’attaques par force brute.

Pour de plus amples informations, consultez Échec excessif de l’authentification.

Remarque

Les échecs d’ouverture de session excessifs sont désormais renommés comme échecs d’authentification excessifs.

Problèmes résolus

  • Pour certains événements utilisateur transmis par les applications Citrix Workspace, la source de données est incorrectement identifiée comme Endpoint Management plutôt que Citrix Virtual Apps and Desktops.

    [CAS-17323]

  • Le tableau de bord Utilisateurs prend beaucoup de temps à charger pour la période du 1 dernier mois. Ce problème se produit lorsque le nombre d’utilisateurs est élevé. Dans certains cas, vous pouvez même rencontrer 601 erreurs.

    [CAS-16300]

  • Citrix Content Collaboration n’est pas découverte en tant que source de données, bien que certains utilisateurs s’abonnent au service sur Citrix Cloud.

    [CAS-16299]

09 Mai 2019

Nouvelles fonctionnalités

Création de rapports personnalisés

Vous pouvez désormais créer des rapports personnalisés en fonction de vos besoins opérationnels. Citrix Analytics fournit une liste de dimensions et de mesures en fonction de la source de données sélectionnée. Choisissez les paramètres requis et les types de visualisation tels que le graphique à barres, le graphique des événements, le graphique en courbes ou la table pour créer vos rapports. La création de rapports vous aide à organiser et à analyser vos données graphiquement.

Pour créer un rapport personnalisé, dans l’onglet Sécurité, cliquez sur Rapports > Créer un rapport . Pour afficher vos rapports précédemment créés, dans l’onglet Sécurité, cliquez sur Rapports . Pour de plus amples informations, consultez Rapports personnalisés.

Surveillance des utilisateurs privilégiée

Citrix Analytics vous permet de surveiller de près les anomalies de comportement des utilisateurs privilégiés dans une organisation. Comme les utilisateurs privilégiés sont très vulnérables aux menaces de sécurité, il devient difficile de distinguer leurs activités quotidiennes des activités malveillantes. Par conséquent, les activités malveillantes des utilisateurs privilégiés restent longtemps indétectées. Cette fonctionnalité vous permet de surveiller de manière proactive ces activités et de prendre les mesures appropriées sur les comptes d’utilisateurs appropriés. Les utilisateurs privilégiés sont représentés par une icône dans le tableau de bord Utilisateurs .

Citrix Analytics prend en charge la surveillance des types d’utilisateurs privilégiés suivants :

  • Administrateurs - Utilisateurs auxquels les privilèges d’administrateur sont attribués par le service Citrix respectif. Actuellement, Citrix Analytics prend en charge la surveillance utilisateur privilégiée pour les utilisateurs disposant de privilèges d’administrateur dans le service Content Collaboration.

  • Executives - Dans Citrix Analytics, vous pouvez marquer un groupe AD en tant que groupe Executives. Le marquage d’un groupe AD comme groupe exécutif rend tous les utilisateurs du groupe comme utilisateurs privilégiés. S’il n’est pas nécessaire de prendre en charge les anomalies de comportement des utilisateurs d’un groupe AD, vous pouvez supprimer le groupe en tant que groupe exécutif.

Pour de plus amples informations, consultez Utilisateurs privilégiés.

Récapitulatif hebdomadaire des courriels

Citrix Analytics envoie un e-mail hebdomadaire aux administrateurs pour résumer les risques liés à la sécurité dans l’environnement informatique de leur organisation. La notification par e-mail est envoyée tous les mardis aux administrateurs et elle met en évidence les événements de sécurité survenus la semaine précédente. Cet e-mail garantit que les administrateurs sont informés des risques de sécurité sans se connecter à Citrix Analytics. Pour de plus amples informations, consultez Récapitulatif hebdomadaire des courriels.

26 avril 2019

Nouvelles fonctionnalités

Administrateurs délégués

Citrix Analytics prend désormais en charge les rôles d’administrateur délégués. Cette fonctionnalité vous permet d’inviter d’autres administrateurs à accéder à votre compte Citrix Cloud pour gérer Citrix Analytics pour votre organisation. Si vous êtes un administrateur Citrix Analytics disposant d’une autorisation d’accès complet, vous pouvez ajouter d’autres administrateurs à votre compte Citrix Cloud. Ces administrateurs supplémentaires sont appelés administrateurs délégués. Vous pouvez actuellement attribuer un accès en lecture seule aux administrateurs délégués. Pour de plus amples informations, consultez Administrateurs délégués.

Problèmes résolus

Peu d’indicateurs de risque pour les sources de données qui utilisent le streaming de données ne génèrent pas d’alertes. Vous ne recevez aucune notification d’alerte et les actions basées sur des stratégies ne sont pas appliquées automatiquement si l’un des indicateurs de risque suivants est déclenché :

  • Indicateurs de risque Citrix Endpoint Management : Périphérique non géré, Périphérique jailbreaké ou racine et Périphérique avec applications sur liste noire.

  • Indicateur de risque Citrix Virtual Apps and Desktops - Accès à partir d’un appareil avec système d’exploitation (OS) non pris en charge.

  • Indicateur de risque Citrix Content Collaboration - Accès excessif aux fichiers sensibles.

[CAS-14590]

19 février 2019

Nouvelles fonctionnalités

Intégration de Splunk

Citrix Analytics s’intègre à Splunk pour améliorer vos expériences de surveillance des incidents de sécurité et de dépannage. Cette intégration renforce vos sources de données existantes grâce aux capacités d’analyse des risques et à l’intelligence de Citrix Analytics for Security, telles que les indicateurs de risque, les scores de risque et les profils utilisateur. Citrix Analytics exporte les informations d’analyse des risques vers un canal. Splunk tire la même chose de ce canal.

L’intégration de Splunk implique la configuration sur Citrix Analytics, l’installation du module complémentaire Citrix Analytics pour Splunk et la configuration de l’application. Veillez à activer le traitement des données pour au moins une source de données. Il aide Citrix Analytics à lancer le processus d’intégration de Splunk.

Pour de plus amples informations, consultez Intégration de Splunk.

Configuration de Splunk

Enregistrement de session dynamique

Citrix Analytics introduit la possibilité de déclencher l’enregistrement de session dynamiquement sur les sessions Virtual Apps and Desktops actuelles des utilisateurs. Il permet de saisir les preuves requises pour l’analyse des risques et de prendre les mesures appropriées de réponse aux incidents, telles que les sessions de déconnexion et l’utilisateur de blocage.

Pour de plus amples informations, consultez Stratégies et actions.

Tableau de bord Partager Liens et indicateur de risque

Citrix Analytics introduit la visibilité des risques pour Partager les liens en fonction des données collectées à partir de Citrix Content Collaboration. Il vous aide à comprendre l’exposition au risque des liens de partage à travers les indicateurs de risque que les liens de partage déclenchent.

Pour de plus amples informations, consultez Tableau de bord des liens de partage.

Tableau de bord des liens de partage

Actuellement, l’indicateur de risque de téléchargement de partage sensible anonyme est déclenché pour un lien de partage. Lorsque Content Collaboration détecte ce comportement risqué, Citrix Analytics reçoit les événements. Vous êtes averti dans le panneau Alertes et l’indicateur de risque de téléchargement sensible anonyme est ajouté à la chronologie des risques du lien de partage.

Pour plus d’informations, veuillez consulter Chronologie des risques liés au lien de partage et Indicateurs de risque de lien de partage Citrix.

Chronologie des risques

Intégration de Microsoft Active Directory

Vous pouvez désormais intégrer Microsoft Active Directory à Citrix Analytics. Cette intégration améliore le contexte des utilisateurs à risque avec des informations supplémentaires telles que le titre du poste, l’organisation, l’emplacement du bureau, le courrier électronique et les coordonnées. Vous pouvez obtenir une meilleure visibilité d’un utilisateur sur la page de profil utilisateur dans Citrix Analytics.

Pour de plus amples informations, consultez Intégrer Analytics à Microsoft Active Directory.

Utilisateur Active Directory

04 janvier 2019

Nouvelles fonctionnalités

Ajout de la colonne SOURCE pour les indicateurs de risque existants

La colonne SOURCE a été introduite dans la section DÉTAILS DE L’ÉVÉNEMENT pour les indicateurs de risque suivants :

  • Chargements excessifs de fichiers

  • Téléchargements excessifs de fichiers

  • Partage excessif de fichiers

  • Suppression de fichiers ou de dossiers excessifs

Pour de plus amples informations, consultez Indicateurs de risque Citrix Content Collaboration.

Profil utilisateur avancé

La vue Informations utilisateur du profil utilisateur a été améliorée. Le lien Vue des tendances a été introduit dans le coin supérieur droit des sections Application, Appareils et Utilisation des données . Le lien Vue sur la carte a été introduit dans le coin supérieur droit de la section Emplacements . Ces liens fournissent une représentation graphique du comportement historique de l’utilisateur pendant une période spécifique. Vous pouvez accéder aux informations utilisateur à partir de la chronologie des risques de l’utilisateur ou à partir de la page Sources de données .

Remarque

Les données Authentificationet Domainesne sont actuellement pas disponibles dans le profil Informations utilisateur.

Pour de plus amples informations, consultez Calendrier et profil des risques utilisateur.

Profil utilisateur avancé

Indicateurs de risque Microsoft Graph Security

Microsoft Graph Security intégré peut recevoir les détails des indicateurs de risque de l’un des fournisseurs de sécurité suivants et les transfère à Citrix Analytics :

  • Protection des identités Azure AD

  • Microsoft Defender pour Endpoint

Pour de plus amples informations, consultez Indicateurs de risque Microsoft Graph Security.

Façons d’accéder à la page de recherche en libre-service

Vous pouvez désormais accéder à la page de recherche en libre-service à l’aide des options suivantes :

  • Barre supérieure : cliquez sur Rechercherdans la barre supérieure pour accéder directement à la page de recherche.

    Recherche dans la barre supérieure

  • Chronologie des risques sur la page de profil utilisateur : cliquez sur Recherche d’événements pour accéder à la page de recherche et afficher les événements correspondant à l’indicateur de risque d’un utilisateur spécifique et à la source de données. Pour de plus amples informations, consultez Recherche en libre-service.

    Chronologie des risques

Recherche en libre-service pour Content Collaboration

Utilisez la recherche en libre-service pour obtenir un aperçu des événements associés à la source de données Content Collaboration. Pour afficher les événements, sélectionnez Content Collaboration dans la liste, sélectionnez la période, puis cliquez sur Rechercher . Pour plus d’informations, voir Recherche en libre-service pour Content Collaboration.

Recherche en libre-service pour Virtual Apps and Desktops

Utilisez la recherche en libre-service pour obtenir un aperçu des événements associés à la source de données Virtual Apps and Desktops. Pour afficher les événements, sélectionnez Applications et postes de travail dans la liste, sélectionnez la période, puis cliquez sur Rechercher . Pour de plus amples informations, consultez Recherche en libre-service pour Virtual Apps and Desktops.

Exporter les événements de recherche en libre-service dans un fichier CSV

Vous pouvez désormais exporter les événements de recherche en libre-service vers un fichier CSV et le télécharger pour une utilisation ultérieure. Pour de plus amples informations, consultez Recherche en libre-service.

Amélioration de l’intégration des Virtual Apps and Desktops

Le processus d’intégration des Virtual Apps et des sources de données de bureau est maintenant amélioré pour offrir une meilleure expérience utilisateur. Les cartes de site et les étapes d’embarquement ont été modifiées. Pour de plus amples informations, consultez Source de données Citrix Virtual Apps and Desktops.

29 novembre 2018

Nouvelles fonctionnalités

Source de données Microsoft Security Graph

Microsoft Graph Security est une source de données externe qui regroupe les données de plusieurs fournisseurs de sécurité. Il permet également d’accéder aux données d’inventaire des utilisateurs.

Citrix Analytics prend actuellement en charge la protection des identités Azure AD et les fournisseurs de sécurité Microsoft Defender pour Endpoint associés à cette source de données.

Pour accéder à cette source de données, vous devez obtenir des autorisations à partir de la plate-forme d’identité Microsoft. Pour de plus amples informations, consultez Microsoft Graph Security.

Intégration de MSG

Afficher les détails de l’événement et les utilisateurs découverts sur les fiches de site pour les sources de données

Les fiches de site des sources de données affichent désormais les détails de l’événement et le nombre d’utilisateurs. Par exemple, vous pouvez afficher les détails de l’événement et les utilisateurs d’Access Control sur la carte de site. Pour de plus amples informations, consultez Activer Analytics sur les sources de données.

Image de contrôle d'accès

Novembre 16, 2018

Nouvelles fonctionnalités

Recherche en libre-service des données d’accès

Vous pouvez utiliser la recherche en libre-service pour obtenir un aperçu des détails d’accès pour les utilisateurs de votre entreprise. Citrix Analytics collecte les détails d’accès des utilisateurs à partir du service Citrix Access Control. Utilisez les facettes et la requête de recherche pour affiner vos résultats de recherche.

Pour utiliser la page de recherche en libre-service, dans l’onglet Sécurité, cliquez sur Recherche d’événements .

Pour de plus amples informations, consultez Recherche en libre-service pour Access.

Rechercher une image

Feedback sur les indicateurs de risque

À l’aide de la fonction de feedback sur les indicateurs de risque de Citrix Analytics, vous pouvez fournir des commentaires sur un indicateur de risque. Vos commentaires aident à confirmer si l’incident de sécurité signalé est exact ou non.

Actuellement, cette fonctionnalité est prise en charge sur l’indicateur de risque d’accès inhabituel déclenché par la source de données Content Collaboration. Si cet indicateur de risque déclenché est incorrect, vous pouvez le signaler comme un faux positif et fournir des commentaires. Vous pouvez également modifier les commentaires que vous avez déjà soumis. Citrix Analytics capture vos commentaires et valide les informations prédites afin d’optimiser la détection des comportements anormaux.

Image fausse positive

Problèmes résolus

  • Vous ne pouvez pas modifier et enregistrer une stratégie si vous accédez à Citrix Analytics à l’aide d’Internet Explorer 11.0.