Citrix Analytics for Security

Nouveautés

Citrix a pour objectif de fournir de nouvelles fonctionnalités et mises à jour de produits aux clients Citrix Analytics lorsqu’elles sont disponibles. Les nouvelles versions étant plus avantageuses, il est important que vous en profitiez le plus rapidement possible.

Pour vous, en tant que client, ce processus est transparent. Les mises à jour initiales sont uniquement appliquées aux sites Citrix internes pour être ensuite graduellement appliquées aux environnements des clients. La mise à jour progressive par vagues permet d’assurer la qualité des produits et de maximiser la disponibilité.

15 septembre 2021

Nouveautés

Améliorations des indicateurs de risque personnalisés

  • Lorsqu’un indicateur de risque personnalisé est déclenché, il s’affiche immédiatement sur la chronologie de l’utilisateur . Toutefois, le résumé des risques et le score de risque de l’utilisateur sont mis à jour après quelques minutes (environ 15 à 20 minutes).

  • Si vous modifiez les attributs tels que la condition, la catégorie de risque, la gravité et le nom d’un indicateur de risque personnalisé existant, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé (avec les anciens attributs) qui ont été déclenchées pour l’utilisateur.

  • Si vous supprimez un indicateur de risque personnalisé, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé qui ont été déclenchées pour l’utilisateur.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

14 septembre 2021

Nouveautés

Présentation de l’indicateur de risque d’ouverture de session suspecte

Citrix Analytics for Security détecte désormais les ouvertures de session utilisateur de nature suspecte en fonction de plusieurs facteurs contextuels tels que :

  • La localisation est jugée inhabituelle par rapport à l’utilisateur et à l’historique de l’organisation.

  • L’appareil est considéré comme inhabituel par rapport à l’historique de l’utilisateur et de l’organisation

  • Le réseau est considéré comme inhabituel par rapport à l’historique de l’utilisateur et de l’organisation

  • L’adresse IP est jugée suspecte en fonction des flux de renseignements sur les menaces IP

Lorsqu’un utilisateur Citrix Virtual Apps and Desktops ouvre une session à partir d’un contexte suspect en fonction de la combinaison de ces facteurs, l’indicateur de risque est déclenché.

Cet indicateur de risque remplace l’indicateur de risque Accès à partir d’un emplacement inhabituel associé à la source de données Citrix Virtual Apps and Desktops. Toutes les stratégies existantes basées sur l’indicateur de risque Accès à partir d’un emplacement inhabituel sont automatiquement liées au nouvel indicateur de risque : Ouverture de session suspecte.

Pour plus d’informations sur l’indicateur de risque, consultez Indicateurs de risque Citrix Virtual Apps and Desktops.

Amélioration des messages SIEM

Citrix Analytics for Security envoie désormais les détails du schéma de l’indicateur de risque d’ ouverture de session suspecte à votre service SIEM. Vous pouvez afficher le schéma du récapitulatif de l’indicateur et les détails de l’événement de l’indicateur de risque d’ ouverture de session suspecte . Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

Problème résolu

  • Pour la recherche en libre-service Citrix Virtual Apps and Desktops, la valeur IP du client est manquante dans le fichier CSV téléchargé. Ce problème est désormais résolu. [CAS-58426]

19 août 2021

Nouveautés

Présentation de l’application Citrix Analytics pour Splunk

Remarque

L’application est en prévisualisation.

L’application Citrix Analytics pour Splunk vous permet d’afficher les données collectées à partir de Citrix Analytics for Security sous la forme de tableaux de bord pertinents sur votre Splunk. Les tableaux de bord fournissent des informations sur les événements à risque de vos utilisateurs. Vous pouvez également mettre en corrélation les données Citrix Analytics avec les journaux collectés à partir de diverses autres sources de données. La corrélation vous aide à trouver des relations entre les événements et à prendre des mesures opportunes pour protéger votre environnement informatique.

Pour télécharger l’application, accédez à Splenkbase. Installez l’application sur votre tête de recherche Splunk.

Pour plus d’informations, consultez l’ application Citrix Analytics pour Splunk.

Schéma d’indicateur de risque personnalisé pour SIEM

Dans votre service SIEM, vous pouvez désormais afficher le schéma des indicateurs de risque personnalisés créés pour Citrix Virtual Apps and Desktops. Ces données vous aident à mieux comprendre la posture de risque de sécurité de votre organisation.

Pour plus d’informations sur le schéma d’indicateur de risque personnalisé, consultez la section Format de données Citrix Analytics pour SIEM.

Prise en charge de Citrix Director en tant que source de données

Vous pouvez désormais configurer vos sites locaux sur Citrix Director pour envoyer des événements à Security Analytics. Ces événements sont utilisés pour découvrir les utilisateurs connectés à Security Analytics et déterminer les versions de l’application Workspace installées sur les appareils des utilisateurs.

Par défaut, le traitement des données est activé après la découverte des sites. Sur la carte de surveillance, vous pouvez afficher tous les sites connectés.

Pour plus d’informations sur la façon de configurer vos sites sur Director, consultez la section Source de données Citrix Virtual Apps and Desktops.

Prise en charge de la géolocalisation dans le tableau de bord de localisation Access Assurance

Vous pouvez désormais utiliser les paramètres de géolocalisation dans le tableau de bord pour sélectionner et activer les zones géoréférencées. Après avoir activé le geofence, la carte affiche les zones géoréférencées (pays) et les connexions de l’utilisateur depuis l’extérieur et l’intérieur de la clôture géographique. Cette fonctionnalité utilise la session CVAD démarrée en dehors de l’indicateur de risque de géofence pour surveiller les ouvertures de session des utilisateurs.

Pour plus d’informations, consultez Tableau de bord de localisation Access Assurance.

État de l’application Workspace sur la page Utilisateurs

Sur la page Utilisateurs, vous pouvez désormais afficher l’état des clients de l’application Citrix Workspace pris en charge par Citrix Analytics. La page affiche l’état suivant :

  • Pris en charge
  • Prise en charge partielle
  • Non pris en charge
  • Non disponible
  • Inactif

L’état vous aide à identifier toutes les versions de client non prises en charge utilisées par les utilisateurs et à recommander aux utilisateurs de mettre à niveau leurs clients vers une version prise en charge. Une version client prise en charge envoie les événements utilisateur à Citrix Analytics.

Remarque

Pour afficher l’état de l’application Citrix Workspace, vous devez embarquer votre source de données Citrix Director. Sinon, l’état de chaque utilisateur Citrix Virtual Apps and Desktops est affiché comme Inactif.

Pour plus d’informations, consultez le tableau de bord Utilisateurs.

Prise en charge de l’opérateur IS EMPTY

Lors de la création d’un indicateur de risque personnalisé, vous pouvez désormais utiliser l’opérateur IS EMPTY dans votre condition pour vérifier la dimension nulle ou vide.

Remarque

L’opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-Name, Browser et Country.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Scoring de risque amélioré

Dans la chronologie de l’utilisateur, vous pouvez désormais afficher le résumé des risques d’un utilisateur. Le résumé des risques fournit des informations sur les facteurs de risque associés aux événements utilisateur. Le facteur de risque vous aide à identifier le type d’anomalies dans les événements utilisateur et à déterminer le score de risque. Les facteurs de risque sont les suivants :

  • Indicateurs de risque basés sur les appareils

  • Indicateurs de risque basés sur la localisation

  • Indicateurs de risque basés sur IP

  • Indicateurs de risque basés sur les échecs de connexion

  • Indicateurs de risque basés sur des données

  • Indicateurs de risque basés sur les fichiers

  • Indicateurs de risque personnalisés

  • Autres indicateurs de risque

Dans la chronologie de l’utilisateur, vous pouvez désormais appliquer un filtre pour afficher les événements utilisateur en fonction des facteurs de risque.

Pour plus d’informations, consultez les rubriques suivantes :

29 juillet 2021

Fonctionnalité obsolète

Actions obsolètes associées à Citrix Endpoint Management

Les actions suivantes sont supprimées de la source de données Citrix Endpoint Management. Vous ne pouvez plus appliquer ces actions sur les indicateurs de risque ni créer de stratégies à l’aide de ces actions.

  • Verrouiller un appareil

  • Notifier l’administrateur Endpoint Management

  • Notifier un utilisateur

  • Révoquer un appareil

  • Wipe device

Dans vos stratégies existantes, si ces actions sont déjà utilisées, elles sont automatiquement remplacées par l’action Ajouter à la liste de suivi . Et vous pouvez surveiller ces utilisateurs à partir de la liste de suivi.

14 juillet 2021

Nouveautés

Prise en charge de l’opérateur IS NOT EMPTY

Lors de la création d’un indicateur de risque personnalisé, vous pouvez désormais utiliser l’opérateur IS NOT EMPTY dans votre état pour vérifier si la dimension n’est pas vide (pas vide).

Remarque

L’opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-Name, Browser et Country.

Par exemple, la condition suivante détecte les événements d’ouverture de session utilisateur de tout pays où la valeur du pays n’est pas nulle. En d’autres termes, le nom du pays est spécifié.

Event-Type = “Session.logon” AND Country IS NOT EMPTY

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

06 juillet 2021

Nouveautés

Afficher les utilisateurs non risqués sur le tableau de bord Utilisateurs

Dans le tableau de bord Utilisateurs, vous pouvez désormais afficher le nombre d’utilisateurs non risqués pour la période sélectionnée. Ces utilisateurs découverts sont identifiés comme étant non risqués sur la base du score de risque zéro pour la période sélectionnée. Cliquez sur la fiche Utilisateurs non risqués pour afficher tous les utilisateurs dont le score de risque est nul.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Utilisateurs non risqués

01 juillet 2021

Nouveautés

Améliorations du tableau de bord de localisation Access Assurance

  • Dans le tableau Top 10 des emplacements d’ouverture de session uniques, vous pouvez afficher le nombre d’ouvertures de session uniques d’utilisateurs à partir d’emplacements inconnus. Cette liste est un sous-ensemble des 10 principaux emplacements d’ouverture de session uniques. Vous pouvez également trouver les raisons pour lesquelles les emplacements sont inconnus et les moyens possibles d’obtenir les emplacements des utilisateurs.

    Emplacements inconnus

  • Sur la page Emplacement d’accès, si vous sélectionnez plusieurs emplacements, vous pouvez afficher et comparer les détails de la chronologie des ouvertures de session des utilisateurs de tous les emplacements, des cinq premiers emplacements et des cinq derniers emplacements.

    Comparaison de la chronologie

  • Sur la page Emplacement d’accès, vous pouvez utiliser les facettes imbriquées telles que le pays et ses villes, les systèmes d’exploitation, les versions principales et secondaires. Ces facettes vous permettent de filtrer les événements de manière granulaire.

    Facettes imbriquées

Pour plus d’informations, consultez la section Emplacement de la garantie d’accès.

Mise à jour de la facette du système d’exploitation dans la recherche en libre-service pour Virtual Apps and Desktops

Vous pouvez désormais filtrer les événements Citrix Virtual Apps and Desktops à l’aide de la facette du système d’exploitation imbriqué. Sélectionnez la version principale et la version secondaire associées à un système d’exploitation et filtrez les événements de manière granulaire. Pour plus d’informations, consultez la rubrique Recherche en libre-service d’Virtual Apps and Desktops.

Facette imbriquée du système d'exploitation

30 juin 2021

Nouveautés

Ajout de la version de l’application Workspace dans la condition d’indicateur de risque personnalisé pour Virtual Apps and Desktops

Pour la source de données Apps and Desktops, vous pouvez désormais utiliser la dimension Workspace-App-Version pour définir votre condition tout en créant un indicateur de risque personnalisé. Pour plus d’informations sur la dimension, consultez la rubrique Recherche en libre-service d’Virtual Apps and Desktops.

Version CWA

23 juin 2021

Nouveautés

Améliorations apportées aux messages SIEM

Les champs suivants sont désormais ajoutés au schéma des indicateurs de risque :

  • indicator_vector_name- Indique le vecteur de risque associé à un indicateur de risque. Les vecteurs de risque sont les indicateurs de risque basés sur l’appareil, les indicateurs de risque basés sur l’emplacement, les indicateurs de risque basés sur les échecs de connexion, les indicateurs de risque basés sur IP, les indicateurs de risque basés sur les données, les indicateurs de risque basés sur les fichiers et d’autres indicateurs de risque.

  • indicator_vector_id- L’identifiant associé à un vecteur de risque. ID 1 = indicateurs de risque basés sur l’appareil, ID 2 = indicateurs de risque basés sur la localisation, ID 3 = indicateurs de risque basés sur l’échec de la connexion, ID 4 = indicateurs de risque basés sur IP, ID 5 = indicateurs de risque basés sur IP, ID 6 = indicateurs de risque basés sur les données, ID 7 = Autres indicateurs de risque et ID 999 = Non disponible.

Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

07 juin 2021

Nouveautés

Améliorations apportées à l’action Notifier les administrateurs

Lorsque vous appliquez l’action Notifier les administrateurs à un indicateur de risque ou que vous créez une stratégie avec cette action, vous pouvez désormais sélectionner les administrateurs qui reçoivent une notification concernant le comportement à risque de l’utilisateur. Pour plus d’informations sur cette action, consultez la section Stratégies et actions.

Ajout de la prise en charge de l’action de partage en lecture seule

Si un utilisateur partage des fichiers de manière excessive, Citrix Analytics déclenche l’indicateur de risque de partage de fichiers excessif . À partir de la chronologie des risques de l’utilisateur, vous pouvez désormais appliquer l’action Modifier les liens vers le partage en lecture seule à l’indicateur de risque de partage de fichiers excessif . Vous pouvez également appliquer l’action sur un lien de partage particulier sur la chronologie des risques liés au lien de partage. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations sur cette action, consultez la section Stratégies et actions.

18 mai 2021

Nouveautés

Migration des indicateurs de risque par défaut vers des indicateurs de risque personnalisés

Les indicateurs de risque par défaut suivants sont migrés vers des indicateurs de risque personnalisés préconfigurés.

Indicateur de risque de défaut Source de données Indicateur de risque personnalisé préconfiguré
Premier accès à partir d’un nouvel appareil Citrix Virtual Apps and Desktops Accès au CVAD pour la première fois depuis un nouvel appareil
Premier accès à partir d’une nouvelle adresse IP Citrix Gateway Accès Gateway pour la première fois à partir d’une nouvelle adresse IP

Avec cette migration vers les indicateurs de risque personnalisés, les indicateurs de risque par défaut et les algorithmes de machine learning associés sont déconseillés.

Les indicateurs de risque personnalisés correspondants sont déclenchés en fonction des conditions préconfigurées suivantes :

  • Lorsqu’un utilisateur accède pour la première fois à partir d’un nouvel appareil ou d’un appareil existant qui n’a pas été utilisé depuis au moins 90 jours.

  • Lorsqu’un utilisateur se connecte pour la première fois à partir d’une nouvelle adresse IP ou d’une adresse IP existante qui n’a pas été utilisée depuis au moins 90 jours.

En plus des conditions préconfigurées, vous pouvez désormais ajouter vos propres conditions pour ces indicateurs de risque personnalisés afin d’identifier les menaces dans votre environnement Citrix. Cette option vous permet de configurer l’indicateur de risque personnalisé en fonction de vos besoins en matière de sécurité. Vous pouvez également créer des stratégies pour appliquer des actions sur les événements risqués détectés par ces indicateurs de risque personnalisés.

Toutefois, sur la ligne de temps de l’utilisateur, vous pouvez toujours afficher les indicateurs de risque par défaut précédemment déclenchés et leurs événements.

Les stratégies associées à ces indicateurs de risque par défaut sont automatiquement liées aux indicateurs de risque personnalisés préconfigurés correspondants.

Pour plus d’informations, consultez la section Indicateurs et stratégies de risque personnalisés préconfigurés.

Améliorations apportées à la recherche en libre-service pour Gateway

  • Le filtre Type d’événement est maintenant renommé en Type d’enregistrement. Sélectionnez l’un des types d’enregistrement suivants pour filtrer vos événements : VPN_AI, VPN_IF et VPN_ST.

  • Dans la table DATA, développez une ligne pour un événement utilisateur pour afficher le type d’événement correspondant. Les types d’événements peuvent être les suivants : Authentification, Fichier ICA ou Déconnexion de session.

Le tableau suivant décrit la corrélation entre les types d’enregistrement et les types d’événements.

Type d’enregistrement Type d’événement
VPN_AI Authentification
VPN_IF Fichier ICA
VPN_ST Déconnexion de session

Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.

Problème résolu

  • L’indicateur de risque personnalisé est déclenché en fonction de la sensibilité à la casse des valeurs conditionnelles. Par exemple, dans les événements utilisateur contenant des ID d’appareil dans la liste autorisée, vous constatez le comportement suivant :

    • Si vous saisissez la valeur de la Device-ID dimension en minuscules, l’indicateur personnalisé est déclenché.

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • Si vous saisissez la valeur de la Device-ID dimension en majuscules pour le même appareil, l’indicateur personnalisé ne se déclenche pas.

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    Ce problème est désormais résolu et l’indicateur de risque personnalisé est déclenché indépendamment de la sensibilité à la casse des valeurs conditionnelles.

    [CAS-50153]

29 avril 2021

Nouveautés

Détails des événements pour un indicateur de risque personnalisé

Sur la page de chronologie des risques de l’utilisateur, vous pouvez désormais afficher les événements qui ont déclenché un indicateur de risque personnalisé. Auparavant, vous ne pouvez afficher que les conditions définies, la description et la fréquence de déclenchement d’un indicateur de risque personnalisé. Cliquez sur Recherche d’événements pour afficher les détails des événements associés à l’utilisateur et l’indicateur de risque. Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Problème résolu

  • Un administrateur n’est pas en mesure de créer des indicateurs de risque personnalisés même après que son autorisation d’accès est passée de l’administrateur en lecture seule à l’administrateur complet. [CAS-49628]

16 avril 2021

Nouveautés

Améliorations apportées aux messages SIEM

Vous pouvez consulter les améliorations suivantes concernant le format du schéma de l’indicateur de risque :

  • L’adresse IP du client est désormais disponible dans le schéma pour tous les indicateurs de risque de lot. Auparavant, l’adresse IP du client n’était disponible que pour quelques indicateurs de risque de lot :

    • Échec de l’analyse EPA
    • Échec excessif de l’authentification
    • Ouverture de session à partir d’une adresse IP suspecte
    • Accès depuis un endroit inhabituel
    • Échec d’authentification inhabituel
    • Téléchargement anonyme de partage sensible
    • Exfiltration potentielle des données
  • Si une valeur de champ de type de données entier n’est pas disponible, la valeur attribuée est -999. Par exemple, "latitide" = -999.

  • Si une valeur de champ de type de données de chaîne n’est pas disponible, la valeur attribuée est NA. Par exemple, "city"= "NA".

Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

26 mars 2021

Nouveautés

Restriction sur les messages SIEM

Citrix Analytics envoie un maximum de 1 000 détails d’événements pour chaque occurrence d’indicateur de risque à votre service SIEM. Ces événements sont envoyés dans un ordre chronologique d’occurrence. Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

Ajout des champs ID de source de données et ID de catégorie d’indicateur dans les messages SIEM

Les champs suivants sont ajoutés dans le schéma récapitulatif de l’indicateur et dans le schéma des détails de l’événement de l’indicateur.

Champ Description
data_source_id ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id ID associé à une catégorie d’indicateurs de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis

Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.

18 mars 2021

Nouveautés

Tableau de bord de localisation Access Assurance

Remarque

La fonctionnalité est en prévisualisation.

Le tableau de bord Access Assurance Location fournit une vue d’ensemble des emplacements à partir desquels les utilisateurs de Citrix Virtual Apps and Desktops se sont connectés pendant une période sélectionnée. Citrix Analytics reçoit ces événements d’ouverture de session utilisateur de l’application Citrix Workspace installée sur les appareils des utilisateurs.

Pour afficher le tableau de bord, cliquez sur Sécurité > Access Assurance.

Vous pouvez consulter les informations suivantes pour une période sélectionnée :

  • Nombre total d’ouvertures de session utilisateur à partir d’un emplacement particulier et entre les différents emplacements.

  • Nombre total d’ouvertures de session utilisateur uniques dans les emplacements.

  • Nombre total de pays depuis lesquels les utilisateurs se sont connectés.

  • Top 10 des emplacements avec des ouvertures de session utilisateur uniques.

Pour plus d’informations, consultez la section Emplacement de la garantie d’accès.

Page récapitulative de connexion utilisateur

Prise en charge du programme NOT LIKE (! ~) opérateur

Pour la requête de recherche en libre-service et la condition de l’indicateur de risque personnalisé, vous pouvez maintenant utiliser le paramètre NOT LIKE (! ~). L’opérateur recherche les événements utilisateur correspondant au modèle de correspondance que vous avez spécifié. Elle renvoie les événements qui ne contiennent pas le modèle spécifié dans la chaîne d’événements.

Par exemple, la requête User-Name !~ “John” affiche des événements pour les utilisateurs, à l’exception de John, John Smith ou de tout autre utilisateur qui contient le nom correspondant « John ».

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

Version traduite du système d’exploitation

Pour la source de données Citrix Virtual Apps and Desktops, la dimension Platform est désormais traduite en dimensions OS-Major-version, OS-Minor-versionet OS-Extra-Details . En fonction des détails du système d’exploitation d’un utilisateur, Citrix Analytics affiche ces dimensions sur la page de recherche en libre-service.

Vous pouvez utiliser ces dimensions pour définir les conditions d’un indicateur de risque personnalisé.

Pour les indicateurs de risque personnalisés précédemment créés, si vous avez utilisé la dimension Platform comme condition, Citrix Analytics remplace automatiquement la dimension Platform par la version majeure du système d’ordinateur, la versionmineuredu système d’analyse et lesdétails supplémentaires d’OS. Cette mise à jour n’affecte pas l’intégrité de la condition définie.

Pour plus d’informations sur les nouvelles dimensions, consultez la rubrique Recherche en libre-service d’Virtual Apps and Desktops.

Mise à jour des champs de données pour Citrix Virtual Apps and Desktops

Dans la recherche en libre-service de Citrix Virtual Apps and Desktops, affichez les champs de données mis à jour en fonction du modèle contextuel.

Pour plus d’informations, consultez la rubrique Recherche en libre-service d’Virtual Apps and Desktops.

Fonctionnalité obsolète

Suppression des événements VPN_AF et VPN_SU de la page de recherche en libre-service

Sur la page de recherche en libre-service de la source de données Citrix Gateway, les types d’enregistrement suivants sont désormais supprimés.

Type d’enregistrement Nom de l’enregistrement
VPN_SU Enregistrement de mise à jour de session
VPN_AF Enregistrement d’échec du lancement de l’application

Vous ne pouvez donc pas filtrer et afficher vos événements en fonction de ces types d’enregistrement. Tous les indicateurs de risque personnalisés basés sur ces types d’enregistrements cessent de fonctionner.

Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.

11 mars 2021

Nouveautés

Horodatage actuel du schéma de score de risque utilisateur

Un nouveau champ last_update_timestamp est ajouté dans le format du schéma de score de risque utilisateur. Ce champ indique l’heure à laquelle le score de risque a été mis à jour pour la dernière fois. Pour plus d’informations sur le format du schéma, consultez Schéma de score de risque utilisateur.

03 mars, 2021

Nouveautés

Améliorations apportées à l’indicateur de risque d’ouverture de session à partir d’une adresse IP suspecte

Sur la page de chronologie des risques de l’utilisateur, une nouvelle section IP suspecte s’affiche pour l’indicateur de risque Ouverture de session à partir d’une adresse IP suspecte . Cette section fournit les informations suivantes :

Section IP suspecte

  • Adresse IP à partir de laquelle une activité de connexion suspecte est détectée.
  • Emplacement de l’utilisateur.
  • Tout modèle d’activité IP suspecte que Citrix Analytics a récemment détecté dans votre organisation.
  • Flux de renseignements au niveau de la communauté concernant l’adresse IP.

Pour plus d’informations, consultez l’indicateur de risque d’ ouverture de session à partir d’une adresse IP suspecte .

Améliorations apportées à l’indicateur de risque d’accès à partir d’un emplacement inhabituel

  • Dans l’indicateur de risque Accès à partir d’un emplacement inhabituel pour Citrix Content Collaboration, la colonne TOOL NAME a été ajoutée dans la table des événements. Suppression de la colonne DEVICE BROWSER de la table des événements. Pour plus d’informations, consultez la section Indicateurs de risque Citrix Content Collaboration.

  • Dans l’indicateur de risque Accès à partir d’un emplacement inhabituel pour Citrix Virtual Apps and Desktops, les colonnes DEVICE ID et RECEIVER TYPE ont été ajoutées dans la table des événements. Pour plus d’informations, consultez la section Indicateurs de risque Citrix Virtual Apps and Desktops.

Format de données Citrix Analytics pour SIEM

Cet article décrit le schéma des données traitées générées par Citrix Analytics pour votre service SIEM.

Problème résolu

  • Pour un utilisateur Content Collaboration, si la valeur Is Employee<!--NeedCopy--> est NULL, l’utilisateur n’est pas affiché dans la liste des utilisateurs découverts. [CAS-47815]

February 18, 2021

Nouveautés

Prise en charge du premier accès à partir d’une nouvelle entité dans l’indicateur de risque personnalisé

Vous pouvez désormais créer un indicateur de risque qui se déclenche lorsque Citrix Analytics reçoit des événements d’une nouvelle entité pour la première fois. Voici quelques exemples d’entités : Client IP, City et Country.

Sur la page Créer un indicateur, cliquez sur l’option Première fois . Activez le bouton Première fois pour un nouveau bouton et sélectionnez une entité valide dans la liste en fonction de la source de données. Il n’est pas nécessaire d’attribuer une valeur spécifique à l’entité. Par exemple, si vous sélectionnez Ville dans la liste, Citrix Analytics déclenche un indicateur de risque chaque fois que les utilisateurs se connectent à partir d’une nouvelle ville pour la première fois.

Pour plus d’informations, consultez la section Création d’un indicateur de risque personnalisé.

Première fois pour une nouvelle option

Limite maximale de création d’un indicateur de risque personnalisé

Vous pouvez désormais créer des indicateurs de risque personnalisés jusqu’à une limite maximale de 50. Si vous atteignez cette limite maximale, vous devez supprimer ou modifier tout indicateur de risque personnalisé existant pour créer un indicateur de risque personnalisé.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Données de localisation des utilisateurs provenant de Citrix Virtual Apps and Desktops

Sur la page Informations utilisateur, Citrix Analytics affiche désormais l’emplacement de l’utilisateur à partir de la source de données Citrix Virtual Apps and Desktops.

Pour plus d’informations sur l’emplacement de l’utilisateur, consultez Profil utilisateur.

Tri multi-colonnes

Sur la page de recherche en libre-service, vous pouvez désormais trier les événements utilisateur par plusieurs colonnes. Cliquez sur Trier par, ajoutez les colonnes et l’ordre de tri. Cliquez sur Appliquer pour trier les événements utilisateur. Vous pouvez ajouter jusqu’à six colonnes pour effectuer un tri sur plusieurs colonnes.

Tri multi-colonnes

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

Fonctionnalités obsolètes

L’indicateur de risque de défaillance d’autorisation excessive est obsolète

L’indicateur de risque Citrix Gateway - Défaillance d’autorisation excessive est obsolète. Vous ne pouvez consulter que les données historiques liées à cet indicateur.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

  • Citrix Analytics ne génère plus ces indicateurs de risque.

  • Citrix Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.

  • Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.

27 janvier 2021

Nouveautés

Améliorations apportées à l’indicateur de risque Accès à partir d’un emplacement inhabituel

Pour Citrix Content Collaboration, Citrix Gateway et Citrix Virtual Apps and Desktops, l’indicateur de risque Accès à partir d’un emplacement inhabituel est désormais déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville anormalement éloignée de toute connexion précédente emplacement. D’autres facteurs incluent le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation des utilisateurs est basé sur les 30 jours précédents d’activité de connexion.

Pour plus d’informations sur l’indicateur de risque, consultez les rubriques suivantes :

January 20, 2021

Problème résolu

  • Pour la source de données Virtual Apps and Desktops avec StoreFront local, le traitement des données échoue bien que le déploiement StoreFront soit correctement connecté.

    [CAS-46656]

19 janvier 2021

Problème résolu

  • Dans la page d’indicateur de risque personnalisé, après avoir corrigé une condition non valide dans le champ de recherche, le lien Estimate Trigger ne répond pas.

    Par exemple, vous saisissez une condition Client-IP = 10.10.10.10non valide. Après avoir corrigé cette condition et tapé Client-IP = « 10.10.10.10 », le lien Estimate Trigger ne répond pas.

    Solution : actualisez la page des indicateurs personnalisés, puis créez l’indicateur personnalisé avec une condition valide.

    [CAS-46316]

January 13, 2021

Nouveautés

Une nouvelle version du module complémentaire Citrix Analytics pour Splunk est disponible

Le module complémentaire Citrix Analytics version 2.1.0 pour Splunk est désormais disponible. Accédez à la page des téléchargements pour télécharger le fichier.

Ajout de la prise en charge de Splunk Cloud Inputs Data Manager (IDM) et de Splunk 8.1 64 bits

Vous pouvez désormais intégrer Citrix Analytics for Security avec Splunk Cloud IDM et Splunk 8.1 64 bits. Pour plus d’informations, consultez la section Intégration de Splunk.

Prise en charge dépréciée

Suppression du support pour Splunk 7.1 64 bits

Vous ne pouvez plus intégrer Citrix Analytics for Security avec Splunk 7.1 64 bits. Pour plus d’informations sur les versions Splunk prises en charge, voir Intégration de Splunk.

11 janvier 2021

Problème résolu

  • Sur la fiche de site Virtual Apps and Desktops, l’étiquette Utilisateurs clients pris en charge est renommée en Événements reçus des utilisateurs. Le libellé Utilisateurs clients non pris en charge est renommé «  Impossible de recevoir des événements de la part des utilisateurs ».

    [CAS-44773]

December 17, 2020

Nouveautés

Utilisez des indicateurs de risque personnalisés préconfigurés et une stratégie pour bloquer l’accès depuis des emplacements inhabituels (géorepérage)

Citrix fournit une liste d’indicateurs de risque personnalisés préconfigurés et une stratégie qui vous aident à surveiller la sécurité de votre infrastructure Citrix. Grâce à ces indicateurs et à une stratégie, vous pouvez bloquer l’accès utilisateur provenant de pays hors de leur pays d’exploitation habituel. Par défaut, le pays est défini sur « États-Unis ». Vous pouvez définir votre pays requis pour le géofencing.

Voici les indicateurs de risque personnalisés préconfigurés et une stratégie :

  • La session CVAD-débute en dehors du périmètre de géofencing

  • Traversée GW-Geofence

  • Croisement CCC-géofence

  • Début de la session en dehors de la clôture géographique

Pour plus d’informations, consultez la section Indicateurs et stratégies de risque personnalisés préconfigurés.

Afficher les emplacements accessibles dans l’e-mail de réponse utilisateur

Au lieu de l’adresse IP d’une machine utilisateur, l’e-mail de réponse de l’utilisateur affiche désormais tous les emplacements auxquels l’utilisateur a accédé au cours des 15 dernières minutes. L’emplacement est affiché dans le <City>,<Country><!--NeedCopy--> format. Si la ville ou le pays n’est pas disponible, la valeur correspondante est affichée comme « Inconnu ».

Pour plus d’informations, consultez la section Demander une réponse utilisateur.

Indicateur de risque de Content Collaboration renommé - Premier accès depuis un nouvel emplacement

L’indicateur de risque Citrix Content Collaboration Le premier accès à partir d’un nouvel emplacement est renommé Accès depuis un emplacement inhabituel.

Pour plus d’informations, consultez Accès à partir d’un emplacement inhabituel.

Fonctionnalités obsolètes

Feedback sur les indicateurs de risque

Le mécanisme de rétroaction des indicateurs de risque est supprimé. Si l’indicateur de risque Content Collaboration - Accès depuis un emplacement inhabituel est déclenché de manière incorrecte, vous ne pouvez plus le signaler comme un faux positif et fournir des commentaires.

December 07, 2020

Nouveautés

Améliorations de l’indicateur de risque potentiel d’exfiltration de données

Les améliorations suivantes sont apportées à l’indicateur de risque :

  • Les informations de la section CE QUI S’EST PASSÉ sont mises à jour. Le format de l’heure est mis à jour pour maintenir la cohérence.

  • Les informations de localisation de l’appareil apparaissent dans la liste des événements.

Pour plus d’informations sur l’indicateur de risque, voir Exfiltration potentielle de données.

Améliorations de l’indicateur de risque Content Collaboration - Premier accès depuis un nouvel emplacement

Dans la chronologie des risques utilisateur, sélectionnez Premier accès depuis un nouvel emplacement pour afficher les informations suivantes :

  • Emplacements de connexion : affiche une vue cartographique géographique des emplacements habituels et inhabituels à partir desquels l’utilisateur s’est connecté.

  • Nombre de connexions depuis des emplacements habituels - 30 derniers jours : affiche un graphique à secteurs des 6 premiers emplacements habituels à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours. Il affiche également le nombre d’événements de connexion de ces emplacements.

  • Détails de l’événement pour un emplacement inhabituel : fournit la liste des événements de connexion de l’emplacement inhabituel pour l’utilisateur.

Pour plus d’informations sur l’indicateur de risque, voir Premier accès depuis un nouvel emplacement.

30 novembre 2020

Nouveautés

Amélioration de la page de recherche en libre

Les améliorations suivantes sont apportées pour améliorer la convivialité de la page de recherche en libre-service :

  • La zone de recherche affiche un exemple de requête pour indiquer comment saisir votre propre requête.

    Requête de zone de recherche

  • Sous macOS, la barre de défilement de la liste des dimensions apparaît désormais par défaut.

    Barre de défilement Mac

  • Les filtres appliqués apparaissent désormais sous forme de jetons.

    Puces filtrantes

  • L’étiquette Ajouter ou supprimer des colonnes remplace l’icône + .

    Mise à jour de

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

Amélioration des politiques

La page Stratégies affiche désormais les stratégies associées aux sources de données qui ont été découvertes et connectées à Citrix Analytics. Cette page n’affiche pas les stratégies pour lesquelles une condition est définie pour les sources de données non découvertes. La désactivation du traitement des données pour une source de données déjà connectée n’affecte pas les stratégies existantes sur la page Stratégies .

Pour plus d’informations, consultez la section Configurer des stratégies et des actions.

04 novembre 2020

Nouveautés

Échec d’authentification inhabituel : indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces basées sur l’accès lorsqu’un utilisateur a des échecs de connexion à partir d’une adresse IP inhabituelle et déclenche l’indicateur de risque d’échec d’authentification inhabituel .

Cet indicateur de risque est déclenché lorsqu’un utilisateur de votre organisation a des échecs de connexion à partir d’une adresse IP inhabituelle qui est contraire à son comportement habituel.

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.

Échec d'authentification

20 octobre 2020

Problème résolu

  • L’indicateur de risque Premier accès depuis un nouvel appareil avec l’action Déconnexion de l’utilisateur appliquée ne fonctionne pas comme prévu.

    [CAS-40743]

15 octobre 2020

Nouvelles fonctionnalités

Accès depuis un emplacement inhabituel : indicateur de risque Citrix Virtual Apps and Desktops

Citrix Analytics détecte les menaces basées sur l’accès en fonction des connexions inhabituelles de Citrix Workspace et déclenche l’indicateur de risque correspondant.

Emplacement inhabituel

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Virtual Apps and Desktops.

  • La colonne SHARE URL est maintenant remplacée par la colonne SHARE ID. Chaque URL de partage est désormais identifiée par un ID de partage.

  • La sélection de l’heure sur le tableau de bord est supprimée. Désormais, ce tableau de bord affiche tous les liens de partage entre l’état actif et l’état expiré au lieu d’une période sélectionnée.

  • Tous les liens de partage sont triés dans l’ordre des liens actifs, puis des liens expirés. Par défaut, le lien de partage avec le nombre d’indicateurs de risque le plus élevé apparaît en haut de la liste.

  • Les liens risqués affichent désormais les liens actifs qui présentent un comportement risqué. Il n’affiche pas les liens expirés. Par défaut, le lien risqué avec le nombre d’indicateurs de risque le plus élevé apparaît en haut de la liste.

  • La vue des tendances de la carte Liens de partage risqués et de la fiche Tous les liens de partage est supprimée.

Pour plus d’informations, consultez la section Tableau de bord Partager des liens.

La chronologie des risques affiche désormais l’ID de partage au lieu de l’URL du partage. Pour plus d’informations, voir Chronologie des risques de lien de partage.

Fonctionnalités obsolètes

L’accès à partir d’un appareil doté d’un indicateur de risque de système d’exploitation (OS) non pris en charge est obsolète

L’indicateur de risque Citrix Virtual Apps and Desktops - L’accès à partir d’un appareil doté d’un système d’exploitation (SE) non pris en charge est obsolète. Vous ne pouvez consulter que les données historiques liées à cet indicateur.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

  • Analytics ne génère plus ces indicateurs de risque.

  • Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.

  • Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.

Pour plus d’informations sur les indicateurs de risque Citrix Virtual Apps and Desktops, consultez la section Indicateurs de risque Citrix Virtual Apps and Desktops.

10 septembre 2020

Nouvelles fonctionnalités

Liste de contrôle pour StoreFront

Citrix Analytics affiche désormais une liste des conditions préalables que vous devez respecter avant de télécharger le fichier de configuration StoreFront. Consultez la liste de contrôle et assurez-vous que toutes les exigences minimales sont sélectionnées. Si la configuration minimale n’est pas sélectionnée, vous ne pouvez pas télécharger le fichier de configuration. Pour plus d’informations, consultez la section Source de données Citrix Virtual Apps and Desktops.

StoreFront - Liste de contrôle

Recherche en libre-service - prise en charge de NOT EQUAL (! =) opérateur

Vous pouvez maintenant utiliser la fonction NOT EQUAL (! =) dans votre requête dans les fonctionnalités suivantes :

  • Indicateur de risque personnalisé

  • Recherche en libre-service

Vous pouvez utiliser cet opérateur pour les conditions suivantes :

Source de données Dimensions
Content Collaboration Pays, ville, système d’exploitation client
Contrôle d’accès Pays, Ville, Action, URL, Catégorie d’URL, Réputation, Navigateur, OS, Appareil
Virtual Apps and Desktops Pays, ville, nom de l’application, fonctionnement du presse-papiers, navigateur, système d’exploitation
Gateway Étape d’authentification, IP du client

À l’aide de l’opérateur, créez une expression d’indicateur personnalisée avec une seule valeur telle que « Country ! = XYZ » et affichez la liste des utilisateurs. Créez ensuite une stratégie pour appliquer des actions telles que Ajouter à la liste de suivi, Notifier l’administrateur ou Désactiver l’utilisateur. Vous pouvez également utiliser l’opérateur dans la recherche en libre-service des sources de données spécifiées pour filtrer les événements utilisateur.

Lorsque vous saisissez les valeurs des dimensions de votre requête, utilisez les valeurs exactes affichées sur la page de recherche en libre-service d’une source de données. Les valeurs de dimension sont sensibles à la casse.

08 septembre 2020

Nouvelles fonctionnalités

Corrélation des utilisateurs

Analytics corréle désormais les utilisateurs découverts à partir de diverses sources de données. Ce mécanisme élimine la plupart des utilisateurs dupliqués de la liste des utilisateurs découverts. Les utilisateurs découverts dans Analytics affichent désormais la liste des utilisateurs uniques ainsi que leurs sources de données et les indicateurs de risque.

Par exemple, l’utilisateur « Joe Smith » peut avoir plusieurs identifiants d’utilisateur - JosephSM, joe.smith@citrix.com et joe.smith en fonction des sources de données. Analytics identifie désormais cet utilisateur avec un nom d’identificateur unique. Tous les autres identificateurs d’utilisateur sont corrélés et les événements reçus pour Joe Smith à partir de diverses sources de données sont liés à ce nom unique. Pour plus d’informations, consultez la section Utilisateurs découverts

Problème résolu

Dans la liste Actions, après avoir sélectionné les options d’action et cliqué sur Appliquer, un message d’erreur s’affiche.

[CAS-39914]

11 août 2020

Problèmes résolus

  • Vous n’êtes pas en mesure d’intégrer Microsoft Graph Security à Citrix Analytics. Ce problème s’est produit car le portail Microsoft n’a pas pu être redirigé vers Citrix Analytics.

[CAS-38021]

31 juillet 2020

Problèmes résolus

  • L’option Déclencheurs estimés de l’indicateur de risque personnalisé ne prédit pas les instances de l’indicateur de risque personnalisé pour le dernier jour.

[CAS-38129]

09 juillet 2020

Nouvelles fonctionnalités

La fiche de site Virtual Apps and Desktops affiche les utilisateurs avec des clients pris en charge et non pris en charge

Sur la fiche de site, vous pouvez désormais afficher le nombre d’utilisateurs qui utilisent des versions prises en charge et non prises en charge de l’application Citrix Workspace ou des clients Citrix Receiver sur leurs points de terminaison.

  • Cliquez sur le nombre d’utilisateurs des clients pris en charge pour afficher la page Utilisateur qui affiche tous les utilisateurs découverts.

  • Cliquez sur le nombre d’utilisateurs des clients non pris en charge pour télécharger un fichier CSV. Le fichier répertorie les utilisateurs et leurs versions client non prises en charge. Analytics ne reçoit pas d’événements utilisateur des clients non pris en charge et n’ajoute donc pas les utilisateurs en tant qu’utilisateurs découverts. À l’aide du fichier CSV, vous identifiez les utilisateurs qui doivent mettre à niveau leurs clients vers une version prise en charge afin qu’Analytics puisse fournir des informations de sécurité sur leur comportement.

Pour afficher la liste des clients pris en charge, consultez la section Source de données Citrix Virtual Apps and Desktops.

État du client

Accès à partir d’un indicateur de risque de localisation inhabituelle

  • L’indicateur de risque Citrix Gateway Premier accès depuis un nouvel emplacement est renommé Accès à partir d’un emplacement inhabituel.

  • Dans la chronologie du risque utilisateur, une carte géographique et un diagramme circulaire sont introduits dans la section Détails de l’événement.

    • Emplacements de connexion : Cette section affiche une vue cartographique géographique des emplacements habituels et inhabituels de l’utilisateur. Les emplacements habituels et inhabituels sont indiqués par un code couleur en haut à droite de la carte géographique. Vous pouvez zoomer sur la carte géographique pour voir de plus près l’emplacement.

      Accès depuis un emplacement inhabituel

    • Emplacements habituels - 30 derniers jours : Cette section affiche un graphique à secteurs qui donne une vue des 6 principaux emplacements habituels depuis lesquels l’utilisateur s’est connecté. Chaque emplacement est marqué par un code couleur différent. Vous pouvez trier la section par emplacement pour obtenir une vue détaillée de l’emplacement sélectionné.

      Accès depuis un emplacement inhabituel

Pour plus d’informations, consultez Accès à partir d’un emplacement inhabituel.

Données du tableau de bord des utilisateurs

Le nombre d’utilisateurs à risque, d’utilisateurs découverts, d’utilisateurs privilégiés et d’utilisateurs dans la liste de suivi est affiché pour les 13 derniers mois, quelle que soit la période sélectionnée dans le tableau de bord Utilisateurs et la page Utilisateurs . Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Données du tableau de bord utilisateur

Page Utilisateurs repensée

La page Utilisateurs a été améliorée pour une meilleure expérience utilisateur. Il fournit un résumé consolidé des événements utilisateur en fonction des scores de risque utilisateur, de la source de données et du type d’utilisateur.

Pour permettre une recherche plus ciblée, la page Utilisateurs contient la section Filtres dans le volet gauche et la barre de recherche en haut. Vous pouvez rechercher des événements utilisateur pour une durée prédéfinie ou une plage de temps personnalisée.

Section Utilisateurs découverts

Pour afficher la page Utilisateurs  :

  • Accédez à Sécurité > Utilisateurs pour afficher le tableau de bord Utilisateurs et procédez comme suit :

    • Cliquez sur l’un des liens suivants ou sur les fiches.

      Page Utilisateurs

    • Dans le volet Utilisateurs risqués, cliquez sur Voir plus.

    • Dans le volet Utilisateurs de la liste de suivi, cliquez sur Voir plus.

    • Dans le volet Utilisateurs privilégiés, cliquez sur Voir plus.

  • Accédez à Paramètres > Sources de données > Sécurité. Cliquez sur le nombre d’utilisateurs de n’importe quelle fiche de site de source de données.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Améliorations du volet Utilisateurs risqués

La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.

Pour plus d’informations, consultez la section Utilisateurs risqués.

Volet utilisateur risqué

Améliorations apportées aux utilisateurs dans le volet Liste de suivi

La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.

Pour plus d’informations, consultez la section Utilisateurs dans la liste de suivi.

Volet Liste de suivi

Améliorations du volet Utilisateurs privilégiés

  • La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.

  • Cliquez sur Voir plus pour afficher la page Utilisateurs . La page Utilisateurs qui affiche la liste des utilisateurs privilégiés administrateur et exécutif. Sur cette page, vous pouvez ajouter ou supprimer un utilisateur en tant qu’utilisateur privilégié.

Pour plus d’informations, consultez la section Utilisateurs privilégiés.

Volet des utilisateurs privilégiés

Fonctionnalités obsolètes

Alertes

La fonctionnalité Alertes est désormais obsolète et n’est plus disponible dans l’interface utilisateur Analytics.

Alertes

Page Utilisateurs à risque et liste de suivi

Les pages Utilisateurs risqués et Liste de suivi sont obsolètes. Ils sont remplacés par la page Utilisateurs qui récapitule tous les événements utilisateur risqués et les utilisateurs de la liste de suivi.

Page utilisateur risquée

Page de la liste de suivi

Volet Utilisateurs risqués

Les onglets Changement du score le plus élevé et Changement de l’indicateur de risque sont supprimés du volet Utilisateurs risqués .

Volet utilisateur risqué

Volet Indicateur de risque

  • L’onglet Changement d’occurrence et la colonne CHANGE sont supprimés.

    Volet indicateur de risque

  • La page Détails de l’indicateur de risque est obsolète. Auparavant, cette page était affichée lorsqu’un indicateur de risque était sélectionné dans le volet Indicateurs de risque ou sur la page Aperçu de l’indicateur de risque .

    Page de détail de l'indicateur de risque

Vue des tendances

Dans le tableau de bord Utilisateurs, la vue des tendances du nombre d’utilisateurs est supprimée des fiches Utilisateurs à risque élevé, Utilisateursà risque moyen,Utilisateurs à faible risqueet Utilisateurs de la liste de surveillance .

Vue des tendances

Page Groupes d’utilisateurs

La page Groupes d’utilisateurs sous l’option Paramètres est obsolète. Vous ne pouvez plus ajouter ou supprimer un groupe d’utilisateurs en tant que groupe privilégié. Toutefois, vous pouvez ajouter ou supprimer des utilisateurs individuels en tant qu’utilisateurs privilégiés. Pour plus de détails, consultez la section Utilisateurs privilégiés.

Page de groupe d'utilisateurs

26 juin 2020

Fonctionnalités obsolètes

Indicateurs de risque liés au temps inhabituel d’accès aux applications (virtuel/SaaS) dépréciés

Les indicateurs de risque Citrix Virtual Apps and Desktops - Heure inhabituelle d’accès aux applications (virtuel) et Heure inhabituelle d’accès aux applications (SaaS) ont été déconseillés. Vous ne pouvez consulter que les données historiques liées à ces indicateurs.

Les modifications suivantes sont applicables dans le cadre de cette dépréciation :

  • Analytics ne génère plus ces indicateurs de risque.
  • Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.
  • Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.

Pour plus d’informations sur les indicateurs de risque Citrix Virtual Apps and Desktops, consultez la section Indicateurs de risque Citrix Virtual Apps and Desktops.

02 juin 2020

Problèmes résolus

  • Dans la chronologie des risques utilisateur, l’état des actions Virtual Apps and Desktops (basées sur une stratégie ou appliquées manuellement) apparaît comme « Échec », même si les actions ont été appliquées avec succès sur le compte d’utilisateur. Par exemple, l’action Démarrer l’enregistrement de session est appliquée avec succès sur le compte d’utilisateur, mais le résultat est affiché comme « Échec ». [CAS-32773]

    État d'échec de l'action

11 mai 2020

Problèmes résolus

  • Pour certains utilisateurs, les actions basées sur des stratégies ne sont pas déclenchées et le mode d’application de la stratégie ne peut pas être appliqué. Ce problème se produit lorsque les identifiants des clients ne sont pas en minuscules.

    [CAS 34209], [CAS 34141]

  • Impossible de créer des indicateurs de risque personnalisés pour certains utilisateurs. Ce problème se produit lorsque les identifiants des clients ne sont pas en minuscules.

    [CAS-34139]

29 avril 2020

Problèmes résolus

  • Les actions appliquées aux indicateurs de risque Citrix Virtual Apps and Desktops ne prennent pas effet, bien qu’Analytics affiche un message indiquant que les actions ont été correctement appliquées. Ce problème est observé dans la version Citrix Virtual Apps and Desktops 7 1912.

    [CAS-31544]

02 avril 2020

Nouvelles fonctionnalités

Désactiver le traitement des données lorsque StoreFront n’est pas ajouté

Sur la fiche de site de la source de donnéesParamètres> Sources de données > Sécurité > Virtual Apps and Desktops, le bouton Activer le traitement des données n’est pas activé si vous n’avez pas intégré StoreFront. Le message d’avertissement StoreFront non connecté s’affiche sur la fiche de site. Si vous disposez d’un site sur site actif à partir duquel vous souhaitez qu’Analytics reçoive des données, vous devez vérifier que vous avez intégré StoreFront à Citrix Analytics. Il garantit la protection de vos comptes d’utilisateurs.

Sur la fiche de site Virtual Apps and Desktops, sélectionnez les points de suspension verticaux () et cliquez sur Connecter le déploiement StoreFront. Sur l’écran qui s’affiche, suivez les instructions et terminez la configuration de StoreFront.

Pour plus d’informations, consultez la section Onboard Virtual Apps and Desktops sites using StoreFront.

Avertissement StoreFront

Problèmes résolus

  • Pour les utilisateurs de Citrix Content Collaboration, les actions basées sur des stratégies ne prennent pas effet dans les conditions suivantes :

    • Lorsque les conditions de l’indicateur de risque personnalisé sont définies

    • Jusqu’à ce qu’un indicateur de risque soit généré pour un utilisateur

    [CAS-29226]

04 mars 2020

Problèmes résolus

  • Lorsque les utilisateurs de passerelle sont connectés à Analytics pour la première fois, ils voient l’erreur Citrix ADC ne répond pas ou les informations d’identification sont incorrectes. Lors d’une nouvelle tentative, ils voient l’erreur L’ appareil avec cette adresse IP existe déjà.

[CAS-31180]

20 février 2020

Nouvelles fonctionnalités

Offre Citrix Analytics for Security

Citrix Analytics for Security est désormais disponible pour un abonnement individuel. Vous pouvez vous abonner à Citrix Analytics for Security et obtenir des informations spécifiques à cette offre. Pour plus d’informations, reportez-vous à la section Mise en route.

Tableau de bord des catégories de risques

Citrix Analytics introduit la catégorisation des indicateurs de risque en fonction des risques ayant un impact similaire sur l’aspect sécurité de l’entreprise. Ce tableau de bord fournit une vue complète des expositions aux risques et des risques critiques qui nécessitent une attention immédiate. Pour les indicateurs de risque par défaut, Analytics attribue automatiquement une catégorie de risque en fonction de l’exposition au risque. Pour les indicateurs de risque personnalisés, vous devez sélectionner une catégorie de risque appropriée en fonction de l’exposition au risque.

Analytics prend en charge les catégories de risques suivantes :

  • Exfiltration de données
  • Menaces internes
  • Utilisateurs compromis
  • Points de terminaison compromis

Pour plus d’informations, consultez Catégories de risques.

Tableau de bord des catégories de risques

Colonne Catégorie de risque de la page Indicateurs personnalisés

La colonne Catégorie de risque est introduite sur la page Indicateur de risque personnalisé. En fonction du type d’exposition au risque, vous pouvez sélectionner une catégorie de risque pour votre indicateur de risque personnalisé. Les indicateurs de risque personnalisés créés précédemment sont affichés dans le tableau de bord Catégories de risques si vous les modifiez en sélectionnant une catégorie de risque.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Liste déroulante des catégories de risques

Changement de nom des indicateurs de risque

Les noms des indicateurs de risque suivants ont été modifiés :

Source de données Ancien nom Nouveau nom
Citrix Virtual Apps and Desktops Utilisation inhabituelle des applications (Virtual) Heure inhabituelle d’accès à l’application (Virtuel)
Citrix Virtual Apps and Desktops Utilisation inhabituelle des applications (SaaS) Délai d’accès aux applications (SaaS) inhabituel
Citrix Content Collaboration Échecs d’ouverture de session excessifs Échec excessif de l’authentification
Citrix Content Collaboration Accès inhabituel à l’ouverture de session Accès pour la première fois depuis un nouvel emplacement
Citrix Access Control Volume de téléchargement inhabituel Téléchargement excessif de données
Citrix Gateway Échecs d’ouverture de session Échec excessif de l’authentification
Citrix Gateway Échecs d’autorisation Échecs excessifs d’autorisation
Citrix Gateway Accès inhabituel à l’ouverture de session Accès pour la première fois depuis un nouvel emplacement

Pour plus d’informations, consultez la section Indicateurs de risque.

Problèmes résolus

  • Pour certains utilisateurs, Citrix Analytics ne peut pas recevoir de données de Virtual Apps and Desktops, même si la source de données est correctement intégrée et que StoreFront est activé. [CAS-24134]

  • Citrix Analytics n’est pas en mesure de recevoir les événements de téléchargement de Citrix Content Collaboration. Par conséquent, les indicateurs de risque suivants ne sont pas déclenchés :

    • Téléchargement anonyme sensible

    • Téléchargements excessifs

    • Accès excessif aux fichiers sensibles

    • Téléchargements excessifs de fichiers

    [CAS-29207]

  • Pour les nouveaux utilisateurs intégrés, les actions manuelles et basées sur des stratégies appliquées aux indicateurs de risque Citrix Gateway n’ont aucun effet. [CAS-29029]

  • Certains utilisateurs ne peuvent pas afficher les fiches de site sur la page Sources de données. Ce problème est résolu en remplissant à nouveau le cache. [CAS-28781]

09 janvier 2020

Nouvelles fonctionnalités

Évaluation continue des risques

Parmi les défis auxquels les utilisateurs de Citrix Workspace sont confrontés, l’accès à distance expose les données sensibles à des risques de sécurité par le biais d’activités cybercriminelles telles que l’exfiltration de données, le vol, le vandalisme et les interruptions de service. Les employés au sein des organisations sont également susceptibles de contribuer à ces dommages.

Certains moyens de remédier à ces risques sont la mise en œuvre de l’authentification multifacteur, l’application de délais de connexion courts, etc. Bien que ces méthodes d’évaluation des risques garantissent un niveau de sécurité plus élevé, elles ne fournissent pas une sécurité complète après la validation initiale.

Pour améliorer l’aspect sécurité et garantir une meilleure expérience utilisateur, Citrix Analytics introduit la solution d’évaluation continue des risques. Cette solution vous aide à surveiller en permanence les profils des utilisateurs et à prendre diverses mesures lorsque des événements risqués sont détectés.

Pour plus d’informations, consultez la section Évaluation continue des risques.

Évaluation continue des risques

Configuration de la stratégie

Citrix Analytics vous aide à gérer les configurations de stratégie plus efficacement. Vous pouvez protéger les comptes d’utilisateurs contre les attaques malveillantes à l’aide des fonctionnalités suivantes :

  • Stratégies par défaut : Citrix Analytics prend en charge les stratégies par défaut suivantes :

    • Exploitation réussie des informations d’identification
    • Exfiltration potentielle des données
    • Accès inhabituel à partir d’une adresse IP suspecte
    • Accès inhabituel aux applications à partir d’un emplacement inhabituel
    • Utilisateur à faible risque : premier accès à partir d’une nouvelle adresse IP
    • Premier accès à partir de l’appareil

    Vous pouvez modifier les stratégies par défaut en fonction de vos besoins.

    Stratégies par défaut

  • Conditions multiples : une stratégie peut contenir jusqu’à quatre conditions. Les conditions peuvent être définies avec des combinaisons de scores de risque et d’indicateurs de risque, ou les deux.

    Ajouter et supprimer une condition

  • Indicateurs de risque par défaut et personnalisés : Le menu des conditions de la page Créer une stratégie est désormais séparé en fonction des indicateurs de risque par défaut et personnalisés. Lorsque vous créez une stratégie, vous pouvez basculer entre les onglets des indicateurs de risque par défaut et personnalisés, et définir les conditions de l’indicateur de risque.

    Ajouter et supprimer une condition

  • Demande de réponse utilisateur : Citrix Analytics introduit l’action Demander une réponse utilisateur . Cette action vous permet d’envoyer une notification par e-mail à l’utilisateur concernant l’activité à risque détectée. Une fois que l’utilisateur répond à l’activité, vous pouvez déterminer le prochain plan d’action à prendre sur son compte. Vous pouvez également définir le temps de réponse de l’utilisateur. Si aucune réponse n’est reçue, Citrix Analytics considère Aucune réponse comme état.

    Demander réponse de l'utilisateur

  • Appliquer des actions perturbatrices : Vous pouvez avertir les utilisateurs lorsqu’une action perturbatrice, telle que Fermer la session de l’utilisateur ou Verrouiller l’utilisateur, est appliquée. Une notification est envoyée à l’utilisateur avec les détails de l’activité et de l’action appliquée. Cette action interrompt temporairement les services du compte de l’utilisateur afin d’éviter toute autre utilisation abusive. Pour continuer à accéder au compte, l’utilisateur doit contacter l’administrateur pour obtenir de l’aide.

    Appliquer une action perturbatrice

  • Modes d’application et de surveillance : vous pouvez définir des modes d’application ou de surveillance pour vos stratégies.

    Modes de stratégie

Pour plus d’informations sur les améliorations apportées aux stratégies, consultez la section Stratégies et actions.

Verrouiller l’utilisateur et Déverrouiller les actions utilisateur

Citrix Analytics introduit les actions de passerelle suivantes :

  • Verrouiller l’utilisateur
  • Déverrouiller l’utilisateur

Vous pouvez appliquer ces actions manuellement ou lorsque vous configurez des stratégies.

Pour plus d’informations, consultez la section Que sont les actions ?

Ensuite, procédez comme suit

Tableau de bord de résumé des accès

Citrix Analytics introduit le panneau Résumé des accès dans le tableau de bord Utilisateurs . Il récapitule le nombre total de tentatives effectuées par les utilisateurs pour accéder aux ressources au sein d’une organisation.

Pour plus d’informations, consultez la section Résumé des accès.

Tableau de bord de résumé des accès

Tableau de bord Stratégies et actions

Citrix Analytics introduit le panneau Stratégies et actions du tableau de bord Utilisateurs . Il affiche les cinq principales stratégies et actions appliquées aux profils utilisateur. Vous pouvez trier les données en fonction des principales stratégies et des principales actions pour une période sélectionnée.

Pour plus d’informations, consultez la section Stratégies et actions.

Tableau de bord Stratégies et actions

Recherche de stratégies en libre-service

Utilisez la recherche en libre-service pour afficher les événements utilisateur qui respectent vos stratégies définies. Vous pouvez également afficher les actions qu’Analytics a appliquées pour ces événements anormaux. Utilisez les facettes et la zone de recherche pour rechercher les événements requis.

Pour afficher les événements, dans la zone de recherche, sélectionnez Stratégies dans la liste, sélectionnez la période, puis cliquez sur Rechercher.

Pour plus d’informations, consultez la section Recherche en libre-service de stratégies.

Fonctionnalités obsolètes

Condition basée sur la stratégie de changement de score de risque supprimée

Lorsque vous configurez des stratégies, vous ne pouvez plus utiliser la condition basée sur la stratégie de changement de score de risque . Citrix Analytics ne prend pas en charge cette condition.

Pour plus d’informations, consultez la section Stratégies et actions.

Suppression de plusieurs actions basées sur des stratégies

Lorsque vous configurez des stratégies, vous ne pouvez plus appliquer plusieurs actions. Citrix Analytics ne prend en charge qu’une seule action pour chaque stratégie.

Pour plus d’informations, consultez la section Stratégies et actions.

Problèmes résolus

  • Les administrateurs délégués en lecture seule rencontrent une erreur lors de l’accès aux tableaux de bord Accès utilisateur et Accès aux applications . [CAS-16297]

12 décembre 2019

Nouvelles fonctionnalités

Prise en charge des versions Splunk

Citrix Analytics prend en charge les versions suivantes de Splunk :

  • Splunk 8.0 64 bits
  • Splunk 7.3 64 bits

Pour bénéficier des avantages de sécurité maximaux de l’intégration de Splunk, effectuez une mise à niveau vers la dernière version de l’application complémentaire Splunk à partir de la page de téléchargement .

Pour plus d’informations sur les versions Splunk prises en charge, consultez Versions prises en charge.

04 décembre 2019

Nouvelles fonctionnalités

Indicateur de risque personnalisé pour Citrix Gateway

À l’aide d’indicateurs de risque personnalisés, vous pouvez désormais définir les conditions et la fréquence de déclenchement des indicateurs de risque pour les événements Citrix Gateway. Lorsqu’un événement utilisateur remplit les conditions, Analytics déclenche les indicateurs de risque. Pour plus d’informations sur la création d’ indicateurs de risque personnalisés, voir Indicateurs de risque personnalisés.

Indicateur personnalisé Gateway

22 novembre 2019

Nouvelles fonctionnalités

Premier accès depuis un nouvel appareil : indicateur de risque Citrix Virtual Apps and Desktops

Citrix Analytics détecte les menaces d’accès en fonction de l’accès à partir d’un nouvel appareil et déclenche l’indicateur de risque correspondant.

L’indicateur de risque Premier accès à partir d’un nouvel appareil est déclenché lorsqu’un utilisateur se connecte à partir d’un appareil après 90 jours. Cet événement est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion à partir de cet appareil nouveau ou inconnu au cours des 90 derniers jours. Pour plus d’informations, consultez la section Indicateurs de risque Citrix Virtual Apps and Desktops.

Premier accès à partir d'un nouvel appareil

Premier accès à partir d’une nouvelle adresse IP - indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces d’accès en fonction de l’accès à partir d’une nouvelle adresse IP et déclenche l’indicateur de risque correspondant.

Le premier accès à partir d’un nouvel indicateur de risque IP est déclenché lorsqu’un utilisateur se connecte à partir d’une adresse IP après 90 jours. Cet événement est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion à partir de la nouvelle adresse IP ou de l’adresse IP inconnue au cours des 90 derniers jours.

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.

Premier accès à partir d'une nouvelle adresse IP

Ouverture de session à partir d’une adresse IP suspecte - indicateur de risque Citrix Gateway

Citrix Analytics détecte les menaces d’accès des utilisateurs en fonction de l’activité de connexion IP suspecte et déclenche l’indicateur de risque d’ouverture de session à partir d’adresses IP suspectes .

Cet indicateur de risque est déclenché lorsqu’un utilisateur tente d’accéder au réseau à partir d’une adresse IP suspecte. Analytics considère qu’une adresse IP est suspecte en fonction de l’une des conditions suivantes :

  • Est répertorié dans le flux externe sur la détection des menaces IP

  • A plusieurs enregistrements de connexion utilisateur à partir d’un emplacement inhabituel

  • Contient des tentatives de connexion excessives qui peuvent indiquer une attaque par force brute

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.

Ouvrez une session à partir d'une adresse IP suspecte

Recherche en libre-service des événements Citrix Gateway

Utilisez la fonctionnalité de recherche en libre-service pour obtenir un aperçu des événements utilisateur reçus de la source de données Citrix Gateway. Citrix Analytics reçoit des événements tels que l’étape d’authentification, le type d’autorisation, le code de session VPN et l’état de la session VPN pour les utilisateurs de Citrix Gateway. Utilisez les facettes et la zone de recherche pour rechercher les événements requis et explorer les données sous-jacentes.

Pour afficher les événements, dans la zone de recherche, sélectionnez Passerelle dans la liste, sélectionnez la période, puis cliquez sur Rechercher.

Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.

Recherche en libre-service pour les événements Citrix Secure Browser

Utilisez la fonction de recherche en libre-service pour obtenir des informations sur les événements de navigation reçus de Citrix Secure Browser Service. Citrix Analytics reçoit des événements tels que la connexion de session, le lancement de session, les applications publiées, les applications supprimées pour chaque connexion utilisateur. Utilisez la zone de recherche pour rechercher les événements requis et explorer les données sous-jacentes.

Pour afficher les événements, dans la zone de recherche, sélectionnez Navigateur sécurisé dans la liste, sélectionnez la période, puis cliquez sur Rechercher.

Pour plus d’informations, consultez la section Recherche en libre-service de Secure Browser.

Action Supprimer de la liste de surveillance

Vous pouvez supprimer un utilisateur de la liste de suivi en appliquant la méthode manuelle ou en appliquant une méthode basée sur des stratégies. Pour plus d’informations, consultez la section Liste de suivi.

Messages d’intégration améliorés lors de la configuration d’un déploiement StoreFront

Citrix Analytics fournit désormais les messages suivants pour vous aider à configurer vos déploiements StoreFront :

  • Après avoir téléchargé le fichier de configuration, vous pouvez voir un message indiquant la date et l’heure du téléchargement et le nom d’utilisateur. Lorsque vous actualisez cette page, le bouton Télécharger le fichier se transforme à nouveau en Télécharger le fichier.

    Fichier de téléchargement StoreFront

  • Si votre configuration StoreFront est incomplète, un message d’avertissement s’affiche pour vous demander de suivre les étapes de configuration et de connecter votre déploiement StoreFront à Analytics.

    Avertissement de configuration incomplète de StoreFront

Pour plus d’informations sur la façon de configurer votre déploiement StoreFront, consultez la section Onboard your Virtual Apps and Desktops Sites using StoreFront.

Fonctionnalités obsolètes

Indicateur de risque - Suppression de l’accès depuis un nouvel appareil

Citrix Analytics ne déclenche plus l’indicateur de risque Access from new device . Toutefois, sur le tableau de bord utilisateur, la chronologie utilisateur et le tableau de bord des stratégies, vous pouvez afficher les données historiques liées à cet indicateur de risque.

Pour les stratégies créées précédemment en fonction de l’ accès à partir d’un nouvel appareil, vous devez modifier la stratégie ou créer une stratégie avec le nouvel indicateur de risque Premier accès depuis un nouvel appareil.

Problèmes résolus

  • La recherche d’authentification en libre-service ne parvient pas à afficher les événements. [CAS-24959]

08 novembre 2019

Problèmes résolus

  • Pour les indicateurs de risque Citrix Content Collaboration, les utilisateurs ne peuvent pas appliquer d’actions sur la chronologie des risques. [CAS-24844]

  • L’application Citrix Workspace pour Chrome antérieure à la version 1911 ne parvient pas à envoyer les détails de l’événement à Citrix Analytics. [CAS-24938]

21 octobre 2019

Nouvelles fonctionnalités

Nom modifié de l’agent analytique

Le nom de l’agent est désormais mentionné en tant qu’ agent de stratégie Analytics sur les interfaces utilisateur pour indiquer son rôle. Lors de l’intégration des sources de données Citrix Virtual Apps and Desktops locales, Citrix Analytics indique clairement qu’un agent de stratégie est nécessaire uniquement pour configurer des stratégies et des actions pour votre site. Cet agent n’a aucun rôle dans la transmission des données depuis la source de données. Pour plus d’informations, consultez la section Source de données Citrix Virtual Apps and Desktops.

Agent de stratégie

Prise en charge de la dimension temporelle pour le rapport personnalisé

Vous pouvez désormais regrouper les événements en fonction du temps en sélectionnant la dimension Temps de l’axe X. Le rapport affiche le nombre total d’événements reçus en fonction des intervalles de temps pour la période sélectionnée. Pour plus d’informations sur la création de rapports, consultez la section Rapports personnalisés.

Dimension de temps de rapport personnalisée

Améliorations apportées aux journaux d’audit

L’expérience utilisateur de la page Journal d’audit est améliorée.

  • Vous pouvez afficher les détails de la date et de l’heure de la dernière mise à jour de la page Journal d’audit et actualiser la page pour afficher les derniers journaux d’audit.

  • Vous pouvez effacer tous les filtres appliqués aux journaux d’audit.

Pour plus d’informations sur les données d’audit, consultez Journaux d’audit.

Actualiser les journaux d'audit

Problèmes résolus

  • Citrix Analytics n’est pas en mesure de générer l’indicateur de risque d’ adresse IP anonyme même si Microsoft Graph Security est correctement intégré. [CAS-21329]

  • L’application Citrix Workspace pour HTML5 antérieure à la version 1910 ne parvient pas à envoyer les détails de l’événement à Citrix Analytics. [CAS-24938]

23 septembre 2019

Problèmes résolus

  • Sur les fiches de site des sources de données, le champ Dernier événement affiche des informations de date et d’heure incorrectes. [CAS-24087]

30 août 2019

Nouvelles fonctionnalités

Modification de la période par défaut dans les tableaux de bord

La période par défaut des tableaux de bord suivants passe de la dernière heure au dernier mois :

  • Utilisateurs

  • Chronologie des risques

  • Accès utilisateur

  • Accès aux applications

  • Partager des liens

  • Historique des alertes

Les tableaux de bord affichent désormais les événements du dernier mois par défaut. Vous bénéficiez d’une expérience plus attrayante en utilisant ces tableaux de bord. Par exemple, lorsque vous ouvrez le tableau de bord App Access, le tableau de bord affiche par défaut les événements d’accès aux applications du dernier mois.

Sélection de la période par défaut

Problèmes résolus

  • Pour les indicateurs de risque de Content Collaboration, l’action Désactiver la stratégie utilisateur ne peut pas être appliquée correctement. [CAS-17304]

  • Citrix Analytics ne peut pas traiter les événements de Citrix Gateway 13.0. Ce problème se produit car Citrix Gateway 13.0 ne parvient pas à fournir les noms d’utilisateur dans les événements d’ouverture de session envoyés à Citrix Analytics. [CAS-21339]

20 août 2019

Nouvelles fonctionnalités

Améliorations de la recherche en libre-service

  • L’expérience utilisateur de la page en libre-service est améliorée. Vous pouvez désormais basculer en toute transparence entre la chronologie des risques utilisateur et la page de recherche en libre-service.

  • Vous pouvez désormais trier vos événements par heure. Par défaut, les derniers événements apparaissent en premier dans le tableau des événements. Cliquez sur l’icône de tri dans la colonne TIME pour trier les événements en fonction de l’heure la plus récente ou de la première heure.

Pour plus d’informations sur l’utilisation de la recherche en libre-service, consultez la rubrique Recherche en libre-service.

Améliorations des rapports personnalisés

  • De nouvelles dimensions sont ajoutées pour les sources de données Access Control, Content Collaboration et Virtual Apps and Desktops. Vous pouvez choisir ces dimensions pour créer des rapports. Les dimensions suivantes sont ajoutées pour les sources de données :

    • Contrôle d’accès : agent utilisateur, nom d’utilisateur

    • Content Collaboration contenu : e-mail de l’utilisateur, nom d’utilisateur, créé par, ID de compte, ID client OAuth, ID d’événement, ID de dossier, nom de dossier, ID de ressource, ID de formulaire, adresse IP du client

    • Virtual Apps and Desktops : nom d’utilisateur, adresse IP, ID de périphérique, jail cassé, type de lancement de session, nom du serveur de session, nom d’utilisateur de session, nom du fichier de téléchargement, chemin d’accès au fichier de téléchargement, nom de l’imprimante d’impression, nom du fichier des détails de la tâche d’impression, URL de lancement de l’application SaaS, opération du presse-papiers, résultat des détails du presse-papiers

  • L’interface utilisateur du rapport personnalisé est améliorée avec la prise en charge de la pagination et une option Effacer tout pour les filtres.

Pour plus d’informations sur la création d’un rapport personnalisé à l’aide de ces dimensions, consultez la section Rapports personnalisés.

Tableau de bord des indicateurs de risque

Le tableau de bord des indicateurs de risque est présenté sur la page Utilisateurs . Il résume les cinq principaux indicateurs de risque par défaut et personnalisés pour un utilisateur. Un lien Voir plus vous redirige vers la page Aperçu de l’indicateur de risque . Cette page fournit des informations détaillées sur les indicateurs de risque générés pour une période sélectionnée.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Tableau de bord des indicateurs de risque

Améliorations du tableau de bord des utilisateurs risqués

Citrix Analytics introduit les onglets Indicateurs de risque et Changement des indicateurs de risque dans le tableau de bord Utilisateurs risqués . Vous pouvez consulter les cinq principaux utilisateurs à risque en fonction de ces onglets. Le tableau de bord présente également la colonne Indicateurs de risque . Il indique le nombre d’indicateurs de risque pour un utilisateur.

La page Utilisateurs risqués présente les colonnes Occurrences et Occurrences Change . Ces colonnes résument le nombre total d’occurrences et la modification des occurrences des indicateurs de risque personnalisés et par défaut.

Pour plus d’informations, consultez Tableau de bord des utilisateurs.

Utilisateurs risqués

Indicateur de risque de lien de partage - Téléchargements excessifs

Citrix Analytics détecte les menaces d’accès en fonction des téléchargements excessifs sur un lien de partage et déclenche l’indicateur de risque de téléchargements excessifs . En identifiant les liens de partage présentant des téléchargements excessifs, en fonction du comportement précédent, vous pouvez surveiller le lien de partage pour détecter les attaques potentielles. Cet indicateur de risque vous aide à identifier une activité excessive de téléchargement de fichiers.

Pour plus d’informations, consultez la section Téléchargements excessifs.

Recherche en libre-service des données d’authentification

Utilisez la recherche en libre-service pour obtenir des informations sur les événements d’authentification. Citrix Analytics reçoit les événements d’authentification tels que la connexion utilisateur, la fermeture de session utilisateur et la mise à jour du client à partir du service Identity and Access Management de Citrix Cloud. La recherche fournit un rapport détaillé sur les événements d’authentification, vous aide à identifier les problèmes d’authentification et à les résoudre. Vous pouvez également définir une requête de recherche pour récupérer les événements qui correspondent à vos critères définis.

Pour afficher les événements, sélectionnez Authentification dans la liste, sélectionnez la période, puis cliquez sur Rechercher.

Pour plus d’informations, consultez la rubrique Recherche en libre-service pour l’authentification.

11 Juillet 2019

Nouvelles fonctionnalités

Indicateurs de risque personnalisés

Les indicateurs de risque par défaut générés par Citrix Analytics sont basés sur des algorithmes de machine learning. Citrix Analytics vous permet désormais de créer des indicateurs de risque personnalisés. En fonction des événements utilisateur, vous pouvez définir les conditions et créer des indicateurs de risque personnalisés.

Lorsque les conditions définies sont remplies, Citrix Analytics génère des indicateurs de risque personnalisés similaires aux indicateurs de risque par défaut, et les affiche sur la chronologie des risques de l’utilisateur. Les indicateurs de risque personnalisés sont désignés par une étiquette sur la chronologie des risques de l’utilisateur.

Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.

Statut privilégié sur la chronologie des risques

La chronologie des risques utilisateur affiche les événements suivants chaque fois qu’il y a un changement dans le statut du privilège Admin ou Executive d’un utilisateur :

  • Ajouté au groupe Executive

  • Supprimé du groupe Exécutif

  • Privilège élevé au rang d’administrateur

  • Privilège d’administrateur supprimé

Lorsqu’un indicateur de risque est déclenché pour un utilisateur, vous pouvez le mettre en corrélation avec l’événement de changement de statut de privilège spécifié. Si nécessaire, vous pouvez appliquer les actions appropriées sur le profil utilisateur.

Pour plus d’informations, voir Chronologie des risques utilisateur.

Action d’expiration du lien de partage

Citrix Analytics vous permet d’appliquer des actions sur les indicateurs de risque de lien de partage. Actuellement, l’action prise en charge est Expire le lien de partage.

Pour plus d’informations, consultez la section Indicateurs de risque de lien de partage Citrix.

Améliorations de la recherche en libre-service

  • Prise en charge du caractère joker * dans la requête de recherche : Utilisez l’astérisque (*) dans votre requête de recherche pour correspondre à n’importe quel caractère zéro ou plusieurs fois. Par exemple, la requête de recherche User-Name = « John* » affiche les événements pour tous les noms d’utilisateurs commençant par John.

  • Ajout de l’option Effacer tout pour les facettes : cliquez sur Effacertout pour supprimer toutes les facettes sélectionnées à la fois.

  • Afficher les données de colonne masquées dans la liste des événements : après avoir supprimé une colonne de la table des événements, vous pouvez afficher les données correspondantes dans la liste des événements utilisateur. Développez la ligne d’événement d’un utilisateur et affichez les données.

Pour plus d’informations, consultez la rubrique Recherche en libre-service.

État des erreurs de données sur les fiches de site

Les fiches de site affichent l’étiquette Aucune donnée reçue en rouge lorsque Citrix Analytics ne reçoit pas d’événements de la dernière heure de la source de données. Il affiche également le nombre d’événements reçus et est lié à la page de recherche en libre-service correspondante. Cette fonctionnalité vous permet d’afficher les événements correspondants sur la page de recherche en libre-service et de rechercher tout problème de transmission de données.

Remarque

Actuellement, la recherche en libre-service n’est disponible que pour les sources de données Access, Content Collaboration et Virtual Apps and Desktop.

Pour plus d’informations, consultez la section Activer Analytics sur les sources de données Citrix.

Problèmes résolus

  • Pour la source de données Access Control, le nombre d’événements sur la fiche de site ne correspond pas aux résultats de la recherche en libre-service. [CAS-18286]

19 juin 2019

Problèmes résolus

  • La page Journal d’audit affiche l’état Activé ou désactivé de la transmission de données chaque fois que la source de données Active Directory est découverte. [CAS-17575]

  • Le menu de période du tableau de bord Utilisateurs ne se charge pas correctement. Il affiche un message d’erreur de délai d’expiration. [CAS-19467]

  • Les utilisateurs reçoivent un message d’erreur sur Citrix Analytics lorsqu’ils se connectent à un client depuis Splunk. Il arrive parfois que l’intégration de nouvelles sources de données échoue. [CAS-19429]

17 juin 2019

Nouvelles fonctionnalités

Configuration du StoreFront

Si votre organisation utilise StoreFront local, vous pouvez désormais configurer StoreFront pour qu’il se connecte à Citrix Analytics. La configuration est effectuée à l’aide d’un fichier de configuration importé depuis Citrix Analytics. Une fois la configuration terminée, l’application Citrix Workspace envoie des événements utilisateur à Citrix Analytics pour générer des informations exploitables sur les comportements des utilisateurs. Les informations vous aident à détecter tout comportement anormal des utilisateurs et à gérer de manière proactive les menaces de sécurité au sein de votre organisation. Pour plus d’informations, consultez la section Onboard Virtual Apps and Desktops Sites using StoreFront.

30 mai 2019

Nouvelles fonctionnalités

Échecs d’ouverture de session excessifs

Citrix Analytics détecte les menaces d’accès en fonction d’une activité d’ouverture de session excessive et déclenche l’indicateur de risque d’échecs de connexion excessifs. Cet indicateur de risque est déclenché lorsqu’un utilisateur rencontre plusieurs tentatives d’ouverture de session échouées pour accéder à Content Collaboration. En identifiant les utilisateurs présentant des échecs de connexion excessifs, en fonction du comportement précédent, les administrateurs peuvent surveiller le compte de l’utilisateur pour détecter les attaques par force brute.

Remarque

Les échecs d’ouverture de session excessifs sont désormais renommés en tant qu’ échecs d’authentification excessifs.

Problèmes résolus

  • Pour certains événements utilisateur transmis par les applications Citrix Workspace, la source de données est incorrectement identifiée comme Endpoint Management au lieu de Citrix Virtual Apps and Desktops.

    [CAS-17323]

  • Le chargement du tableau de bord Utilisateurs est long pour la période du dernier mois . Ce problème se produit lorsque le nombre d’utilisateurs est élevé. Dans certains cas, vous pouvez même rencontrer des erreurs 601.

    [CAS-16300]

  • Citrix Content Collaboration n’est pas découvert en tant que source de données, bien que certains utilisateurs s’abonnent au service sur Citrix Cloud.

    [CAS-16299]

09 mai 2019

Nouvelles fonctionnalités

Création de rapports personnalisés

Vous pouvez désormais créer des rapports personnalisés en fonction de vos besoins opérationnels. Citrix Analytics fournit une liste de dimensions et de mesures en fonction de la source de données sélectionnée. Choisissez les paramètres requis et les types de visualisation tels que le graphique à barres, le graphique d’événements, le graphique en courbes ou le tableau pour créer vos rapports. La création de rapports vous aide à organiser et à analyser graphiquement vos données.

Pour créer un rapport personnalisé, dans l’onglet Sécurité, cliquez sur Rapports > Créer un rapport. Pour afficher les rapports que vous avez créés précédemment, dans l’onglet Sécurité, cliquez sur Rapports. Pour plus d’informations, consultez la section Rapports personnalisés.

Surveillance des utilisateurs privilégiés

Citrix Analytics vous permet de surveiller de près les anomalies de comportement des utilisateurs privilégiés d’une organisation. Les utilisateurs privilégiés étant très vulnérables aux menaces de sécurité, il devient difficile de distinguer leurs activités quotidiennes des activités malveillantes. Par conséquent, les activités malveillantes des utilisateurs privilégiés restent longtemps inaperçues. Cette fonctionnalité vous permet de surveiller de manière proactive ces activités et de prendre les mesures appropriées sur les comptes d’utilisateurs appropriés. Les utilisateurs privilégiés sont représentés par une icône dans le tableau de bord Utilisateurs .

Citrix Analytics prend en charge la surveillance des types d’utilisateurs privilégiés suivants :

  • Admins  : utilisateurs auxquels des privilèges d’administrateur sont attribués par le service Citrix respectif. Actuellement, Citrix Analytics prend en charge la surveillance des utilisateurs privilégiés pour les utilisateurs disposant de privilèges d’administrateur dans le service Content Collaboration.

  • Executives  : sur Citrix Analytics, vous pouvez marquer un groupe AD en tant que groupe Executives. Le fait de marquer un groupe AD en tant que groupe exécutif fait de tous les utilisateurs du groupe des utilisateurs privilégiés. S’il n’est pas nécessaire de prendre en charge davantage les anomalies de comportement des utilisateurs d’un groupe AD, vous pouvez supprimer le groupe en tant que groupe exécutif.

Pour plus d’informations, consultez la section Utilisateurs privilégiés.

Récapitulatif hebdomadaire des courriels

Citrix Analytics envoie un e-mail hebdomadaire aux administrateurs pour résumer les risques de sécurité dans l’environnement informatique de leur entreprise. La notification par e-mail est envoyée tous les mardis aux administrateurs et elle met en évidence les événements de sécurité survenus la semaine précédente. Cet e-mail garantit que les administrateurs sont informés des risques de sécurité sans se connecter à Citrix Analytics. Pour plus d’informations, consultez la section Résumé hebdomadaire des e-mails.

26 avril 2019

Nouvelles fonctionnalités

Administrateurs délégués

Citrix Analytics prend désormais en charge les rôles d’administrateur délégué. Cette fonctionnalité vous permet d’inviter d’autres administrateurs sur votre compte Citrix Cloud afin de gérer Citrix Analytics pour votre organisation. Si vous êtes un administrateur Citrix Analytics avec une autorisation d’accès complet, vous pouvez ajouter d’autres administrateurs à votre compte Citrix Cloud. Ces administrateurs supplémentaires sont appelés administrateurs délégués. Vous pouvez actuellement attribuer un accès en lecture seule aux administrateurs délégués. Pour plus d’informations, consultez la section Administrateurs délégués.

Problèmes résolus

Peu d’indicateurs de risque pour les sources de données qui utilisent le flux de données ne génèrent pas d’alertes. Vous ne recevez aucune notification d’alerte et les actions basées sur des stratégies ne sont pas appliquées automatiquement si l’un des indicateurs de risque suivants est déclenché :

  • Indicateurs de risque Citrix Endpoint Management  : appareil non géré, appareil jailbreaké ou rooté et appareil avec des applications sur liste noire.

  • Indicateur de risque Citrix Virtual Apps and Desktops  : accès à partir d’un appareil doté d’un système d’exploitation (SE) non pris en charge.

  • Indicateur de risque Citrix Content Collaboration  : accès excessif aux fichiers sensibles.

[CAS-14590]

19 février 2019

Nouvelles fonctionnalités

Intégration Splunk

Citrix Analytics s’intègre à Splunk pour améliorer vos expériences de surveillance des incidents de sécurité et de dépannage. Cette intégration augmente vos sources de données existantes avec les fonctionnalités d’analyse des risques et l’intelligence de Citrix Analytics for Security, telles que les indicateurs de risque, les scores de risque et les profils utilisateur. Citrix Analytics exporte les informations d’analyse des risques vers un canal. Splunk tire la même chose de cette chaîne.

L’intégration de Splunk implique la configuration sur Citrix Analytics, l’installation du module complémentaire Citrix Analytics pour l’application Splunk et la configuration de l’application. Assurez-vous d’activer le traitement des données pour au moins une source de données. Il aide Citrix Analytics à démarrer le processus d’intégration de Splunk.

Pour plus d’informations, consultez la section Intégration de Splunk.

Configuration Splunk

Enregistrement de session dynamique

Citrix Analytics offre la possibilité de déclencher l’enregistrement de session de manière dynamique sur les sessions Virtual Apps and Desktops actuelles des utilisateurs. Il permet de saisir les preuves requises pour l’analyse des risques et de prendre les mesures appropriées de réponse aux incidents, telles que les sessions de déconnexion et l’utilisateur de blocage.

Pour plus d’informations, consultez la section Stratégies et actions.

Citrix Analytics introduit la visibilité des risques pour Share Links en fonction des données collectées à partir de Citrix Content Collaboration. Il vous aide à comprendre l’exposition au risque des liens de partage grâce aux indicateurs de risque déclenchés par ces liens.

Pour plus d’informations, consultez la section Tableau de bord Partager des liens.

Tableau de bord des liens de partage

Actuellement, l’indicateur de risque de téléchargement de partage sensible anonyme est déclenché pour un lien de partage. Lorsque Content Collaboration détecte ce comportement risqué, Citrix Analytics reçoit les événements. Vous êtes averti dans le panneau Alertes et l’indicateur de risque de téléchargement sensible anonyme est ajouté à la chronologie des risques du lien de partage.

Pour plus d’informations, consultez la chronologie des risques de Share Link et les indicateurs de risque Citrix Share Link.

Chronologie des risques

Intégration Microsoft Active Directory

Vous pouvez désormais intégrer Microsoft Active Directory à Citrix Analytics. Cette intégration améliore le contexte des utilisateurs à risque avec des informations supplémentaires telles que l’intitulé du poste, l’organisation, l’emplacement du bureau, l’e-mail et les coordonnées. Vous pouvez obtenir une meilleure visibilité d’un utilisateur sur la page de profil utilisateur de Citrix Analytics.

Pour plus d’informations, voir Intégrer Analytics à Microsoft Active Directory.

Utilisateur Active Directory

04 janvier 2019

Nouvelles fonctionnalités

Ajout de la colonne SOURCE pour les indicateurs de risque existants

La colonne SOURCE a été introduite dans la section DÉTAILS DE L’ÉVÉNEMENT pour les indicateurs de risque suivants :

  • Chargements excessifs de fichiers

  • Téléchargements excessifs de fichiers

  • Partage excessif de fichiers

  • Suppression excessive de fichiers ou de dossiers

Pour plus d’informations, consultez la section Indicateurs de risque Citrix Content Collaboration.

Profil utilisateur avancé

La vue Informations utilisateur sur le profil utilisateur a été améliorée. Le lien Trend View a été introduit dans le coin supérieur droit des sections Application, Deviceset Data Usage . Le lien Vue sur la carte a été introduit dans le coin supérieur droit de la section Emplacements . Ces liens fournissent une représentation graphique du comportement historique de l’utilisateur au cours d’une période spécifique. Vous pouvez accéder aux informations utilisateur à partir de la chronologie des risques de l’utilisateur ou à partir de la page Sources de données .

Remarque

Les données d’authentification et de domaines ne sont actuellement pas disponibles dans le profil Informations utilisateur.

Pour plus d’informations, consultez la section Chronologie et profil des risques utilisateur.

Profil utilisateur avancé

Indicateurs de risque Microsoft Graph Security

Microsoft Graph Security intégré peut recevoir les détails des indicateurs de risque de l’un des fournisseurs de sécurité suivants, et les transmet à Citrix Analytics :

  • Protection des identités Azure AD

  • Microsoft Defender pour Endpoint

Pour plus d’informations, consultez la section Indicateurs de risque de sécurité Microsoft Graph.

Comment accéder à la page de recherche en libre-service

Vous pouvez désormais accéder à la page de recherche en libre-service à l’aide des options suivantes :

  • Barre supérieure : cliquez sur Rechercher dans la barre supérieure pour accéder directement à la page de recherche.

    Recherche dans la barre supérieure

  • Chronologie des risques sur la page de profil utilisateur : cliquez sur Recherche d’événements pour accéder à la page de recherche et afficher les événements correspondant à l’indicateur de risque d’un utilisateur spécifique et à la source de données. Pour plus d’informations, consultez la rubrique Recherche en libre-service.

    Chronologie des risques

Recherche en libre-service pour Content Collaboration

Utilisez la recherche en libre-service pour obtenir des informations sur les événements associés à la source de données Content Collaboration. Pour afficher les événements, sélectionnez Content Collaboration dans la liste, sélectionnez la période, puis cliquez sur Rechercher. Pour plus d’informations, consultez la rubrique Recherche en libre-service de Content Collaboration.

Recherche en libre-service pour Virtual Apps and Desktops

Utilisez la recherche en libre-service pour obtenir des informations sur les événements associés à la source de données Virtual Apps and Desktops. Pour afficher les événements, sélectionnez Applications et bureaux dans la liste, sélectionnez la période, puis cliquez sur Rechercher. Pour plus d’informations, consultez la rubrique Recherche en libre-service d’Virtual Apps and Desktops.

Exporter les événements de recherche en libre-service dans un fichier CSV

Vous pouvez désormais exporter les événements de recherche en libre-service dans un fichier CSV et télécharger le fichier pour une utilisation ultérieure. Pour plus d’informations, consultez la rubrique Recherche en libre-service.

Intégration améliorée pour les Virtual Apps and Desktops

Le processus d’intégration de la source de données Virtual Apps and Desktop est désormais amélioré pour offrir une meilleure expérience utilisateur. Les cartes de site et les étapes d’embarquement ont été modifiées. Pour plus d’informations, consultez la section Source de données Citrix Virtual Apps and Desktops.

29 novembre 2018

Nouvelles fonctionnalités

Source de données Microsoft Security Graph

Microsoft Graph Security est une source de données externe qui regroupe les données de plusieurs fournisseurs de sécurité. Il permet également d’accéder aux données d’inventaire des utilisateurs.

Citrix Analytics prend actuellement en charge la protection d’identité Azure AD et les fournisseurs de sécurité Microsoft Defender for Endpoint associés à cette source de données.

Pour pouvoir utiliser cette source de données, vous devez obtenir des autorisations de la plateforme d’identité Microsoft. Pour plus d’informations, consultez la section Microsoft Graph Security.

Intégration de MSG

Afficher les détails des événements et les utilisateurs découverts sur les fiches de site pour les sources de données

Les fiches de site des sources de données affichent désormais les détails des événements et le nombre d’utilisateurs. Par exemple, vous pouvez afficher les détails de l’événement et les utilisateurs du contrôle d’accès sur la fiche de site. Pour plus d’informations, consultez la section Activer Analytics sur les sources de données.

Image de contrôle d'accès

16 novembre 2018

Nouvelles fonctionnalités

Recherche en libre-service des données d’accès

Vous pouvez utiliser la recherche en libre-service pour obtenir un aperçu des détails d’accès pour les utilisateurs de votre entreprise. Citrix Analytics collecte les détails d’accès des utilisateurs à partir du service Citrix Access Control. Utilisez les facettes et la requête de recherche pour affiner vos résultats de recherche.

Pour utiliser la page de recherche en libre-service, dans l’onglet Sécurité, cliquez sur Recherche d’événements.

Pour plus d’informations, consultez la rubrique Recherche en libre-service pour Access.

Image de recherche

Feedback sur les indicateurs de risque

À l’aide de la fonctionnalité de retour d’information sur les indicateurs de risque de Citrix Analytics, vous pouvez fournir des commentaires concernant un indicateur de risque. Vos commentaires permettent de confirmer si l’incident de sécurité signalé est exact ou non.

Actuellement, cette fonctionnalité est prise en charge sur l’indicateur de risque d’accès de connexion inhabituel déclenché par la source de données Content Collaboration. Si cet indicateur de risque déclenché est incorrect, vous pouvez le signaler comme un faux positif et fournir des commentaires. Vous pouvez également modifier les commentaires que vous avez déjà envoyés. Citrix Analytics capture vos commentaires et valide les informations prédites afin d’optimiser la détection des comportements anormaux.

Image fausse positive

Problèmes résolus

  • Vous ne pouvez pas modifier et enregistrer une stratégie si vous accédez à Citrix Analytics à l’aide d’Internet Explorer 11.0.