Service Citrix Analytics

Public

Ce document s’adresse aux professionnels techniques, aux décideurs informatiques, aux partenaires et aux intégrateurs de systèmes. Ce document permet également à l’administrateur d’explorer et d’adopter le service Citrix Analytics avec d’autres produits du portefeuille Citrix. Citrix Analytics améliore la sécurité de l’environnement Citrix d’une entreprise en surveillant et en gérant efficacement les facteurs de risque. Le lecteur doit avoir une compréhension de base des produits et solutions du portefeuille Citrix.

Objectif du présent document

Ce document présente une présentation technique, des concepts architecturaux et des fonctionnalités du service Citrix Analytics. Ce document inclut une solution sur mesure avec d’autres solutions Citrix qui aident les administrateurs et les utilisateurs à comprendre et à adopter dans leur environnement Citrix.

Détection et atténuation intelligentes des menaces

À l’ère d’aujourd’hui, les organisations se préoccupent davantage de la sécurité et de la confidentialité des informations, et de nombreuses organisations misent sur la meilleure solution de sécurité défensive de leur catégorie dans leur environnement. Une des technologies émergentes est une plateforme intelligente de détection des menaces. Une telle plate-forme aide de nombreuses organisations à regrouper, corréler et analyser les données sur les menaces provenant de différentes sources afin de prendre des mesures défensives pertinentes.

Dans l’environnement dynamique de l’informatique, les facteurs de menace ne cessent de changer, les menaces avancées axées sur les entreprises publiques et privées augmentent à un rythme plus rapide. L’organisation a besoin d’une solution de sécurité complète qui atténue et rencontre tout acte dangereux. La solution protège la propriété intellectuelle, les informations sensibles et les données financières de l’organisation.

Machine learning et intelligence artificielle

De nombreuses organisations ont été confrontées (et continuent d’être confrontées aujourd’hui) à diverses cyberattaques. Les intrus adoptent l’automatisation et les scripts dans leurs attaques et augmentent leur vitesse et leur échelle. L’organisation doit atténuer et être en mesure de réagir en temps réel à la vitesse du processeur pour contrer ce type d’attaques agressives. L’apprentissage automatique et l’intelligence artificielle peuvent aider et permettre à l’organisation de contrer les attaques et de construire des murs défensifs efficacement.

L’adoption de l’apprentissage automatique et de l’intelligence artificielle améliore la sécurité de l’environnement informatique. Les erreurs de main-d’œuvre peuvent être atténuées et réduites. L’apprentissage automatique et l’intelligence artificielle peuvent vous aider dans des domaines tels que l’analyse des risques, la lutte contre les programmes malveillants et la détection des anomalies.

L’intelligence artificielle peut être appliquée pour différencier les comportements normaux et anormaux dans l’environnement. L’apprentissage automatique peut être utilisé pour reconnaître ces comportements et fournir une couche de sécurité aux applications réseau et logicielles en arrière-plan. L’apprentissage automatique utilise des logs/enregistrements stockés et apprend des analyses pour prédire les données à l’avenir.

CAS-1

Le diagramme précédent illustre une plate-forme conceptuelle d’apprentissage automatique. En général, une plate-forme d’apprentissage automatique permet d’analyser les données d’entrée à partir de points de collecte de données (sources de données). Dans les étapes ultérieures, il sépare les données en fonction du type d’applications. La plateforme continue à mettre à jour les modèles et profils en fonction des données et des résultats. Les techniques d’apprentissage automatique sont appliquées de plusieurs façons spécifiques à l’exigence.

En appliquant des techniques d’apprentissage automatique sur des ensembles de données plus massifs, une entreprise peut être plus efficace dans sa compilation de renseignements sur les menaces et l’enquête sur les menaces. De cette façon, les organisations peuvent être plus proactives dans leur approche des menaces et des préoccupations en matière de sécurité.

Présentation de Citrix Analytics

De nombreuses organisations sont confrontées à des cybermenaces venant du monde entier. En temps réel, il est difficile d’identifier les menaces internes car elles peuvent être encore plus dommageables que les menaces externes. Les analyses standard ne parviennent souvent pas à exposer ces menaces avant de graves dommages au système. L’organisation doit adopter des analyses de comportement des utilisateurs fournissant des informations proactives et sécurisées. Les solutions d’analyse standard se concentrent principalement sur la sécurité, et la résolution ne fournit pas de visibilité sur la session utilisateur et les informations sur les activités de l’utilisateur. Finalement, l’équipe informatique perd le contrôle des performances et des opérations de l’environnement informatique.

Citrix a développé une solution clé en main qui fonctionne à l’échelle de la gamme de produits Citrix. Citrix Analytics collecte des données sur les produits du portefeuille Citrix et les produits tiers. Citrix Analytics permet aux administrateurs de détecter, d’analyser et de réagir de manière proactive aux menaces de sécurité dans les environnements Citrix.

Citrix Analytics permet aux administrateurs de gérer les menaces de sécurité des utilisateurs et des applications, d’améliorer les performances des applications et de prendre en charge les opérations continues. Citrix Analytics est disponible en tant que service cloud fourni via Citrix Cloud.

Offres Citrix Analytics

Analyses de sécurité

Security Analytics fournit une visibilité sur le comportement des utilisateurs et des applications. L’administrateur peut faire la distinction entre un comportement normal et un attaquant malveillant. Une plateforme d’apprentissage automatique intégrée qui identifie et gère de manière proactive les menaces internes et externes.

Analyse des performances

Performance Analytics fournit une visibilité sur les détails de session utilisateur au sein d’une organisation. Les mesures collectées par les moteurs d’analyse aident à identifier les problèmes qui surviennent au cours de la session de connexion d’un utilisateur.

Analyse des opérations

Operations Analytics fournit des informations sur les activités des utilisateurs comme les sites Web visités et la consommation de bande passante. Les mesures reçues des sources de données aident à surveiller les réseaux et à prendre des mesures correctives.

CAS-2

Le diagramme précédent illustre le service Citrix Analytics qui est un service basé sur le cloud qui fonctionne sur les produits Citrix Portefeuille et les produits tiers. Il collecte des données provenant de différentes sources de données et détecte les comportements anormaux d’un utilisateur ou de toute autre entité. Ce processus utilise des algorithmes d’apprentissage automatique (ML) qui surveillent en permanence l’environnement du client.

Gouvernance des données et sources de données

La gouvernance des données fournit des informations concernant la collecte, le stockage, la conservation des journaux et protège les données collectées par le service Analytics. Les administrateurs de sécurité peuvent choisir les journaux à surveiller et prendre des mesures représentatives en fonction de l’activité enregistrée.

CAS-3

La plupart des organisations disposent d’une forme ou d’une autre de gouvernance des données pour des applications ou des sections individuelles. La gouvernance des données est une tâche essentielle à accomplir pendant la mise en œuvre du projet. Peu de sujets obligatoires englobés par la gouvernance des données sont les suivants :

  • Sources de données
  • Confidentialité
  • Transmission de données
  • Contrôle des données
  • Rétention des données
  • Stockage des données
  • Qualité et types de données

Référence : Gouvernance des données

Sources de données

Les sources de données sont les services qui envoient des données à Citrix Analytics. Services qui s’exécutent sur le cloud ou dans les emplacements locaux qui deviennent une source de données pour Citrix Analytics en activant certaines fonctions dans le produit.

Les services qui s’exécutent sur Citrix Cloud, y compris Content Collaboration et Endpoint Management associés au compte Citrix Cloud, sont automatiquement détectés par Citrix Analytics. D’autres services locaux tels que Citrix Gateway et Citrix Virtual Apps and Desktops peuvent être ajoutés en tant que sources de données à Citrix Analytics.

Les diagrammes précédents montrent que des sources de données externes telles que Microsoft® Graph Security et Microsoft® Active Directory font partie des sources de données Citrix Analytics. Citrix Analytics capture les données de ces sources de données externes après une intégration réussie.

Référence : Sources de données

Concepts technologiques

Cette section traite de l’architecture et des services offerts par Citrix Analytics.

Produits Citrix Analytics pour Citrix

Citrix Analytics peut être intégré à plusieurs produits Citrix et Microsoft®. Il recueille des mesures sur les utilisateurs, les applications, les terminaux, les réseaux et les données afin de fournir des informations complètes sur le comportement des utilisateurs. Citrix Analytics, à ce jour, prend en charge les produits suivants :

  • Citrix Secure Workspace Access
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops
  • Citrix Endpoint Management

Citrix Analytics crée des profils des utilisateurs et des applications sur le réseau. La création de profil n’est possible qu’avec les informations/données collectées à partir de la source de données (informations sur le comportement de l’utilisateur). Ce profil contient des informations sur les périphériques, les fichiers, les emplacements, etc. Pour atténuer les menaces dans le réseau, le modèle généré par l’analyse offre une visibilité élevée et prend les mesures nécessaires. Ce service offre une visibilité complète sur le comportement des utilisateurs dans l’environnement.

CAS-4

L’image précédente illustre l’intégration des produits Citrix avec le service cloud Citrix Analytics. Généralement, les utilisateurs finaux utilisent leurs propres appareils pour se connecter à Citrix Workspace et accéder aux ressources requises. Ces services communiquent avec le service Citrix Analytics hébergé dans Citrix Cloud. En outre, les clients peuvent relier l’environnement local Citrix Virtual Apps and Desktops pour communiquer avec le service Citrix Analytics. La connexion de ressources locales nécessite une agrégation de site ou un agent StoreFront et Citrix Analytics local installé sur le Delivery Controller.

Le service Citrix Analytics reçoit des journaux directement à partir des sources de données. Les données saisies restent dans les bases de données pendant 13 mois. Citrix Analytics utilise ces mesures à des fins d’analyse via une plateforme d’apprentissage automatique et peut effectuer des actions en cas d’activités déviantes ou suspectes.

Intégration des produits Citrix Analytics et Microsoft®

Aujourd’hui, la plupart des entreprises s’appuient sur un portefeuille diversifié de solutions de sécurité qui incluent la protection des terminaux, les pare-feu réseau, l’identité, les contrôles d’accès, la sécurité du cloud, etc. En fin de compte, il tend à augmenter les coûts et la complexité. Parallèlement, connecter plusieurs outils et flux de travail de sécurité devient une tâche difficile pour l’équipe informatique. Pour surmonter ces défis, le processus d’intégration est simplifié. L’intégration de Citrix Analytics avec les produits Microsoft® facilite l’unification de la sécurité et de la gestion des incidents, ce qui permet de simplifier les rapports et les analyses.

Citrix Analytics prend en charge l’intégration des produits Microsoft® qui incluent Microsoft® Graph Security et Microsoft® Active Directory. Actuellement, il prend en charge Azure AD Identity Protection et Windows Defender ATP de Microsoft® Graph Security. Pour activer ce service sur les produits Microsoft®, le client doit avoir activé Citrix Analytics Service à partir de Citrix Cloud. Pour plus d’informations, reportez-vous à ce qui suit lien.

Activer Citrix Analytics sur Microsoft® Graph Security

L’API Microsoft® Graph Security fournit une interface standard et un schéma uniforme pour intégrer les alertes de sécurité, déverrouiller les informations contextuelles et simplifier l’automatisation de la sécurité. Microsoft® Graph Security regroupe les données de plusieurs fournisseurs de sécurité, notamment Microsoft® Defender ATP, Office 365 ATP, Azure ATP, Microsoft® Intune, Azure Sentinel, etc.

L’API Microsoft® Graph Security peut facilement être couplée à Citrix Analytics. Microsoft® Graph Security agit comme source de données pour le service Analytics qui transmet des données à partir des fournisseurs de sécurité. Actuellement, cette solution prend en charge les fournisseurs de sécurité suivants de Microsoft® Graph Security :

  • Protection des identités Azure AD
  • DAV de Windows Defender

CAS-5

Le diagramme précédent illustre la solution Microsoft® Security Graph avec Citrix Analytics pour améliorer les capacités d’analyse globales. L’administrateur peut avoir des informations claires sur le comportement de l’utilisateur lors de l’utilisation des ressources, y compris les applications et les postes de travail des utilisateurs finaux. Citrix Analytics extrait les données de Microsoft® Graph Security hébergé sur Azure. Les deux produits fonctionnent sur la même plate-forme qui facilite même l’intégration.

L’interface utilisateur Citrix Analytics fournit des données traitées basées sur des indicateurs de score de risque élevés, moyens et faibles. En fonction du score de risque, l’analyse de valeur peut effectuer des actions sur cet utilisateur particulier. Grâce aux flux externes de Microsoft® Graph Security vers Citrix, les administrateurs Analytics peuvent commencer à avoir une image globale de l’accès aux ressources par un utilisateur.

Référence : Intégration de Microsoft® Graph Security

Intégrer les analyses à Microsoft® Active Directory

L’organisation peut connecter le service Microsoft® Active Directory à Citrix Analytics, ce qui entraîne une amélioration du profil utilisateur dans Citrix Analytics. Le profil utilisateur dans Citrix Analytics englobe les informations importées telles que les informations utilisateur et les données de groupes d’utilisateurs. Dans le cas où les utilisateurs à risque sont identifiés par Citrix Analytics, les informations importées telles que le titre du poste, l’organisation, l’emplacement du bureau, l’e-mail et les coordonnées aident à obtenir une visibilité sur le profil utilisateur.

Security Analytics dispose de dispositions pour surveiller les utilisateurs privilégiés. Cette fonctionnalité permet à l’administrateur de surveiller de près les anomalies de comportement des utilisateurs privilégiés. Par exemple, si un utilisateur privilégié commence à supprimer des fichiers et des dossiers excessivement, la plate-forme d’apprentissage automatique détecte un comportement inhabituel et déclenche une alarme.

Référence : Utilisateurs privilégiés dans Citrix Analytics

CAS-6

Le diagramme précédent illustre l’intégration de Microsoft® Active Directory avec Citrix Analytics. Avant d’activer ce service par l’administrateur, Cloud Connector est installé sur site pour extraire les informations. En cas d’intégration réussie, l’administrateur Citrix doit activer le traitement des données sur l’interface utilisateur Citrix Analytics afin qu’il puisse surveiller et résoudre les risques identifiés dans l’environnement.

Pour en savoir plus sur l’intégration à Microsoft® Active Directory, reportez-vous à cette section lien.

Analytics

D’innombrables cas d’utilisation existent en adoptant Citrix Analytics dans un environnement Citrix. Le service Analytics est divisé en trois domaines :

  • Analyses de sécurité
  • Analyse des performances
  • Analyse des opérations

Chaque offre est abordée dans les sections suivantes :

Analyses de sécurité

Security Analytics regroupe les données des terminaux pour la surveillance de la sécurité et la détection des menaces. De nombreux déploiements ont un ensemble différent d’outils qui intègrent des ensembles de données volumineux et divers dans l’algorithme. Au fur et à mesure que la technologie évolue, l’analyse de la sécurité inclut des compétences Cela aide à calibrer les modèles de détection, basés sur les apprentissages et la logique derrière la détection des anomalies.

Citrix Security Analytics reçoit des données provenant de plusieurs sources de données et affiche des informations exploitables. Les algorithmes d’apprentissage automatique dans Security Analytics détectent et prennent des actions prédéfinies sur le comportement de l’utilisateur. Indicateurs de score de risque dynamiques basés sur les utilisateurs, le comportement des utilisateurs, les points de terminaison, le trafic réseau et les fichiers.

Security Analytics prend en charge l’intégration avec les éléments suivants :

  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Secure Workspace Access
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops
  • Sécurité Microsoft® Graph
  • Microsoft® Active Directory

Pour en savoir plus sur Security Analytics, reportez-vous à ce qui suit lien.

Indicateurs de risque utilisateur

Les indicateurs de risque utilisateur sont des activités de l’utilisateur qui semblent suspectes ou qui peuvent constituer une menace pour la sécurité de l’organisation. Les indicateurs de risque utilisateur s’étendent sur tous les produits Citrix utilisés dans le déploiement. Les signes sont basés sur le comportement de l’utilisateur et sont déclenchés là où le comportement de l’utilisateur s’écarte de la norme. Les indicateurs de risque de l’utilisateur aident à déterminer le score de risque de l’utilisateur.

Les indicateurs de risque pour les utilisateurs sont basés sur les catégories suivantes :

  • Basée sur accès
  • Données basées
  • Basé sur les applications

CAS-7

Le diagramme précédent illustre les indicateurs de cote de risque de l’utilisateur. Les indicateurs sont basés sur le comportement de l’utilisateur et sont déclenchés lorsque le comportement de l’utilisateur s’écarte de la norme.

Référence : Indicateurs de risque utilisateur Citrix

Stratégies et actions

Une stratégie est définie comme un ensemble de conditions qui doivent être remplies pour qu’une action s’exécute. Une stratégie contient une seule condition et une ou plusieurs actions. L’administrateur peut créer une stratégie unique avec plusieurs actions qui peuvent être appliquées au compte d’un utilisateur.

Les stratégies de Citrix Analytics permettent d’effectuer des actions sur les comptes d’utilisateurs lorsque des activités inhabituelles ou suspectes se produisent. Une fois les stratégies appliquées, l’action est déclenchée immédiatement après qu’un événement inattendu se produit.

CAS-8

Comme mentionné, la politique est un ensemble de conditions. Le score de risque et le changement de cote de risque sont des conditions globales appliquées à un utilisateur spécifique pour une source de données particulière.

Référence : Stratégies

Les actions aident à réagir en cas d’événements suspects et à empêcher de futurs événements anormaux de se produire. L’administrateur peut prendre des mesures sur les comptes d’utilisateur qui affichent un comportement inhabituel ou suspect. Il appartient à l’administrateur d’appliquer l’action automatiquement ou manuellement selon les conditions.

Référence : Actions

Analyse des performances

Performance Analytics est un outil puissant qui permet de trouver la cause profonde des problèmes d’expérience utilisateur final. En outre, il quantifie l’expérience utilisateur et les performances des applications offrent aux utilisateurs une visibilité de bout en bout. Performance Analytics prend en charge l’agrégation et la création de rapports multisites afin que les données provenant de plusieurs sites ou de plusieurs sources soient représentées dans un affichage unifié.

Le score d’expérience utilisateur est calculé en fonction de la latence, de la durée d’ouverture de session, des reconnexions et des échecs. La cause profonde exacte du problème identifiée en examinant avec insu les mesures. Par exemple, la durée d’ouverture de session inclut : courtage, démarrage de machine virtuelle, connexion HDX, authentification, objets de stratégie de groupe, chargement de profil, etc.

CAS-9

Le diagramme précédent montre la compilation du score UX en obtenant des informations provenant de la latence, de la durée de connexion, des échecs et des reconnexions d’un utilisateur final. Il permet à l’administrateur de poursuivre l’exploration vers le bas pour trouver la cause première des problèmes rencontrés par les utilisateurs. L’analyse des performances est disponible pour les environnements Citrix Virtual Apps and Desktops locaux et basés sur le cloud.

Pour en savoir plus sur l’expérience utilisateur, reportez-vous à ce qui suit lien.

Analyse des opérations

Operations Analytics est un terme plus spécifique orienté vers l’analyse d’entreprise qui met l’accent sur l’amélioration des opérations existantes. Operations Analytics implique l’utilisation de diverses agrégations de données pour obtenir des informations plus transparentes pour les services informatiques quotidiens. L’infrastructure Citrix se compose de plusieurs produits qui sont une fusion de différents ensembles de charges de travail, et l’administrateur doit avoir des informations sur l’environnement. De plus, de nombreux administrateurs ne parviennent pas à se concentrer sur l’amélioration et l’optimisation de l’environnement Citrix.

Pour surmonter ces problèmes, Citrix a intégré Operations Analytics dans une solution d’analyse. La solution d’analyse contient des algorithmes d’apprentissage automatique et fournit des informations exploitables sur les données opérationnelles des environnements Citrix des clients.

Par exemple, si une entreprise utilise le service Citrix Secure Workspace Access, les administrateurs peuvent utiliser les tableaux de bord des opérations pour obtenir des informations sur les opérations des utilisateurs et les données d’exploitation des applications. L’administrateur dispose d’une visibilité complète de la consommation de données (téléchargement et téléchargement), des domaines consultés et d’autres mesures disponibles en fonction des sources de données. Ces mesures aident à acquérir et à fournir des ressources et à répondre rapidement à tout problème opérationnel.

D’une autre manière, l’analyse des opérations appuie l’idée du progiciel de gestion intégré. Operation Analytics regroupe les informations pour améliorer l’approche proactive de la gestion des ressources.

CAS-10

Le diagramme précédent illustre Operations Analytics. Il a deux tableaux de bord qui sont :

Opérations utilisateur : fournit une vue d’ensemble des données d’opérations utilisateur en fonction des transactions et du volume d’utilisation des données.

Opérations d’application : fournit une vue d’ensemble des données d’exploitation des applications basées sur les domaines, les catégories et le volume de téléchargement.

Référence : Analyse des opérations

Intégration de Citrix Analytics avec les produits Citrix

Citrix Analytics est intégré aux autres composants Citrix étiquetés « sources de données ». Les produits suivants pris en charge par le service Citrix Analytics et fournissent des informations sur le comportement des utilisateurs dans l’environnement Citrix.

  • Citrix Secure Workspace Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

Dans cette section, l’intégration de Citrix Analytics avec d’autres produits Citrix a été discutée.

Citrix Analytics et Citrix Secure Workspace Access

Le service Citrix Secure Workspace Access permet aux administrateurs de fournir une expérience cohérente intégrant l’authentification unique, l’accès distant et l’inspection du contenu dans une solution unique pour l’Secure Workspace Access sécurisé de bout en bout. Les administrateurs peuvent protéger le réseau et les appareils des utilisateurs finaux de l’entreprise contre les logiciels malveillants et les fuites de données en filtrant l’accès à des sites Web et à des catégories de sites Web spécifiques.

Les solutions Citrix Secure Workspace Access et Citrix Analytics fournissent des informations claires sur le comportement des utilisateurs et surveillent l’ensemble du réseau. La fonctionnalité intégrée de Citrix Analytics qui utilise l’apprentissage automatique permet de prendre des mesures correctives. Citrix Analytics utilise des mesures similaires et collectées par le service Secure Workspace Access. Les paramètres des activités des utilisateurs, tels que les sites Web visités, et la bande passante dépensée. Il détecte également les logiciels malveillants et les sites d’hameçonnage.

CAS-11

Le diagramme précédent illustre une vue holistique de l’intégration de Citrix Secure Workspace Access avec le service Citrix Analytics. Citrix Secure Workspace Access et Citrix Analytics Services sont hébergés sur Citrix Cloud. Le traitement des données peut être activé par l’administrateur en quelques clics sur l’interface utilisateur Analytics. Citrix Analytics commence ensuite à capturer les données à partir de Secure Workspace Access.

Analyses de sécurité

Voici des stratégies qu’un administrateur peut créer pour effectuer des actions en fonction de l’activité d’un utilisateur.

  • Tentative d’accès à une URL de liste noire : stratégie qui permet d’indiquer quand un utilisateur tente d’accéder à une URL sur liste noire

  • Accès à un site Web risqué : Cette politique suggère que l’utilisateur ait essayé d’accéder à des sites Web malveillants, suspects ou dangereux ayant une forte réputation. (L’évaluation de la réputation d’URL est donnée pour les sites Web. Les valeurs vont de 1 à 4. 4 est le site le plus risqué, et 1 est un site propre

  • Volume de téléchargement inhabituel : le volume de données téléchargées par l’utilisateur à partir d’une application ou de sites Web a dépassé le seuil défini implicitement par Citrix Analytics

  • Volume de téléchargement inhabituel : la quantité de données téléchargées par l’utilisateur à partir d’une application ou de sites a dépassé la limite définie implicitement par Citrix Analytics

Pour en savoir plus sur l’intégration de Citrix Analytics avec Citrix Secure Workspace Access, reportez-vous à ce qui suit lien.

Collaboration de contenu Citrix Analytics et Citrix

Citrix Content Collaboration nous permet d’échanger rapidement et en toute sécurité des documents, d’envoyer de nombreux documents par e-mail et de gérer en toute sécurité les transferts de documents à des tiers. Dans l’environnement Citrix Workspace, l’utilisateur peut accéder à tous ses fichiers à partir de l’application Citrix Workspace. Pour suivre le comportement et l’activité de l’utilisateur, il est encombrant. Dans un environnement Citrix à petite échelle ou à grande échelle, les menaces cachées derrière l’écran sont difficiles à discerner et prendre des mesures de précaution.

Citrix Content Collaboration peut être surveillé et dépanné à l’aide de Citrix Analytics. Le service Citrix Content Collaboration hébergé sur Citrix Cloud s’intègre facilement au service Analytics en activant les sources de données.

CAS-12

Le diagramme précédent illustre l’intégration du service Citrix Content Collaboration et Citrix Analytics. Security Analytics en tant que partie du service Analytics prend en charge la surveillance et le dépannage du comportement et des activités des utilisateurs.

Analyses de sécurité

Voici des stratégies qu’un administrateur peut créer pour effectuer des actions en fonction de l’activité de l’utilisateur.

  • Téléchargements excessifs de fichiers : cette stratégie indique une tentative de téléchargement de données qui dépasse le seuil basé sur l’IA pour cette période

  • Suppression excessive de fichiers/dossiers : cette stratégie indique une tentative de suppression d’un nombre disproportionné de fichiers ou de dossiers, qui dépasse le seuil basé sur l’IA pour l’utilisateur

  • Partage excessif de fichiers : cette stratégie indique que les liens de partage créés et partagés ont dépassé le seuil défini par les algorithmes d’apprentissage automatique pour cette période

  • Chargement excessif de fichiers : cette stratégie indique une tentative de téléchargement de données qui dépasse le seuil basé sur l’IA pour cette période

  • Échec excessif de connexion : l’utilisateur effectue plusieurs tentatives de connexion échouées

  • Activité de ransomware suspectée (fichier remplacé) : Cette stratégie indique une tentative de remplacement des fichiers existants par des versions chiffrées, ressemblant à une attaque par ransomware

  • Accès excessif aux fichiers sensibles (alerte DLP) : indique une tentative d’accès à des fichiers jugés confidentiels supérieure au seuil défini dans la stratégie DLP (Citrix Content Collaboration Data Loss Prevention)

  • Accès inhabituel à la connexion : cet indicateur est déclenché lorsque l’utilisateur dispose d’un accès suspect au compte Citrix Content Collaboration identifié par le moteur Analytics IA, en fonction des emplacements d’utilisation et des modèles de comportement de l’utilisateur

  • Activité de ransomware suspectée (Fichiers mis à jour) : cette stratégie indique une tentative de mise à jour des fichiers existants avec des versions cryptées, ressemblant à une attaque par ransomware

Dans le cas où un comportement inhabituel ou une activité suspecte détecté par le service Citrix Analytics, il peut protéger les données en désactivant l’utilisateur et expirer tous les liens.

Citrix Analytics et Citrix Endpoint Management

Solution de gestion des points de terminaison, Citrix Endpoint Management offre des fonctionnalités de gestion d’appareils mobiles (MDM) et de gestion d’applications mobiles (MAM). Avec Endpoint Management, l’administrateur peut gérer les stratégies des appareils et des applications et fournir des applications aux utilisateurs.

Généralement, l’utilisateur final peut changer d’appareil ou installer l’une des applications répertoriées sur la liste noire. De tels incidents déclenchent une alarme dans les environnements Endpoint Management. La plupart du temps, il peut passer inaperçu aux administrateurs Citrix ou la possibilité d’erreurs manuelles.

Dans de tels cas, lorsqu’un administrateur doit gérer des milliers de terminaux, cela devient un fardeau. Ce processus tend à augmenter beaucoup d’heures de travail dans la gestion des appareils. Pour résoudre ces problèmes, Citrix Endpoints Management peut être intégré au service Citrix Analytics par l’administrateur. Cela aide à la détection des appareils non gérés, la détection des périphériques installés sur la liste noire et l’application d’actions sur ce périphérique peuvent être automatisées.

CAS-13

Le diagramme précédent illustre l’intégration de Citrix Analytics avec Citrix Endpoint Management (service Citrix Cloud). Depuis l’interface utilisateur Analytics en quelques clics, le service Endpoint Management peut être surveillé et détecter toute activité suspecte sur les terminaux. Ce service de surveillance démarre sur n’importe quel appareil Android, iOS, géré ou non géré, de sorte que l’administrateur dispose d’une vue claire des appareils tels que les applications jailbreakées sur liste noire.

Analyses de sécurité

Les stratégies suivantes qu’un administrateur peut créer pour effectuer des actions basées sur les appareils et les applications.

  • Un périphérique avec des applications sur liste noire détectées : cette stratégie indique la détection d’un périphérique avec des applications sur liste noire sur le réseau à l’aide du service Citrix Endpoint Management

  • Périphérique jailbreaké ou root détecté : cette stratégie indique la détection d’un périphérique jailbreaké ou root sur le réseau à l’aide du service Citrix Endpoint Management

  • Périphérique non géré détecté : cette stratégie indique qu’un périphérique non géré découvert par le service Citrix Endpoint Management dans votre réseau

Lorsque l’une des conditions est remplie, l’administrateur a la possibilité d’envoyer une notification à l’administrateur et à l’utilisateur. L’administrateur peut également verrouiller ce périphérique particulier.

Citrix Analytics et Citrix Gateway

Le service Citrix Gateway fournit des solutions d’accès distant sécurisées avec diverses fonctionnalités de gestion des identités et des accès (iDAM). Le service de passerelle aide à fournir une expérience unifiée dans les applications SaaS, les Virtual Apps and Desktops de travail hétérogènes, etc.

Les stratégies d’analyse EPA (End Point Analysis) de Citrix Gateway aident à détecter les menaces et les rapports basés sur l’accès des utilisateurs dans l’interface utilisateur. De même, Citrix Gateway détecte tous les échecs d’ouverture de session utilisateur, qui peuvent être des échecs d’authentification primaire, secondaire ou tertiaire. En outre, les échecs d’autorisation se distinguent de Citrix Gateway.

Les mesures Citrix Gateway sur l’activité d’ouverture de session de l’utilisateur sont collectées par Citrix Analytics pour effectuer une tâche automatisée qui ne serait pas pratique pour un administrateur d’effectuer manuellement.

CAS-14

Le diagramme précédent illustre l’intégration de Citrix Analytics avec Citrix Gateway Service. L’administrateur doit activer le traitement des données afin que Citrix Analytics commence à capturer les données à partir du service de passerelle.

Analyses de sécurité

Les stratégies suivantes peuvent être créées par l’administrateur pour automatiser l’activité de surveillance.

  • Échec de l’autorisation : cette stratégie indique que le moteur Analytics IA a identifié que l’utilisateur a tenté d’accéder à une ressource sans autorisations suffisantes

  • Échec de l’analyse EPA : Cette stratégie affiche une tentative d’accès au réseau à l’aide d’un périphérique qui a échoué l’analyse EPA (End Point Analysis) de Citrix Gateway avant ou après l’authentification

  • Échec d’ouverture de session : cette stratégie indique que le moteur Analytics IA a identifié plusieurs échecs d’authentification principale en fonction de l’utilisation et des modèles de comportement de l’utilisateur

  • Accès inhabituel à la connexion : cette stratégie suggère une tentative d’ouverture de session à Citrix Gateway à partir d’emplacements importants qui déviaient du modèle d’accès de l’utilisateur

Avec l’aide de Citrix Analytics, lorsque l’une des conditions surgissent, l’administrateur peut agir sur cet utilisateur en activant « Déconnexion de l’utilisateur » à partir de l’interface utilisateur Analytics. Sinon, les administrateurs peuvent examiner l’activité de cet utilisateur en sélectionnant « Notifier l’administrateur ».

Applications et postes de travail virtuels Citrix Analytics et Citrix

Citrix Virtual Apps and Desktops sont des solutions de virtualisation qui fournissent au personnel informatique un contrôle des machines virtuelles, des applications, des licences et de la sécurité tout en offrant un accès à n’importe quel appareil. Citrix Virtual Apps and Desktops permettent aux utilisateurs finaux d’exécuter des applications et des postes de travail indépendamment du système d’exploitation et de l’interface du périphérique. De même, les administrateurs ont l’avantage de gérer le réseau et de contrôler l’accès à partir d’appareils sélectionnés ou de tous les périphériques.

Citrix Analytics for Virtual Apps and Desktops offre un aperçu des activités des utilisateurs. En fonction du comportement de l’utilisateur, des alertes ou des notifications sont déclenchées lorsque le comportement de l’utilisateur s’écarte du comportement normal. Les indicateurs de risque basés sur l’application sont déclenchés lorsque les utilisateurs tentent d’accéder à une application non autorisée pendant une période donnée. Des indicateurs de risque basés sur les données sont générés pour le téléchargement et le téléchargement de données inhabituelles avec un volume important.

CAS-15

Le diagramme précédent illustre l’intégration de Citrix Analytics avec Citrix Virtual Apps and Desktops. Basé sur la tentative de l’utilisateur d’accéder aux ressources avec un périphérique qui a des systèmes d’exploitation non pris en charge, de nouveaux équipements, une alarme déclenchée par notification. La plateforme d’apprentissage automatique intégrée continue à alimenter la dernière mise à jour dans sa base de données, et les profils sont mis à jour. À l’avenir, toute anomalie dans l’environnement peut être facilement détectée et atténuée sans intervention de l’administrateur.

Analyses de sécurité

Les stratégies suivantes peuvent être créées par l’administrateur pour automatiser l’activité de surveillance.

  • Exfiltration potentielle des données : cette stratégie indique une tentative d’exfiltrage des données de Citrix Workspace vers un périphérique ou un emplacement externe

  • Accès à partir de nouveaux périphériques : cette stratégie indique une tentative d’ouverture de session à Citrix Workspace à partir d’un nouvel appareil

  • Accès à partir d’un périphérique avec un système d’exploitation non pris en charge : cette stratégie indique une tentative d’accès au récepteur de lancement réseau à partir d’un périphérique avec une version du système d’exploitation non prise en charge ou une version de navigateur non prise en charge

  • Utilisation d’applications inhabituelles (SaaS) : cette stratégie indique que l’utilisateur a utilisé des applications à des moments atteints qui s’écartent des modèles d’utilisation et de comportement de l’utilisateur identifiés par Citrix Analytics

  • Utilisation inhabituelle des applications (virtuelles) : cette stratégie indique que le moteur Analytics IA a identifié l’utilisation des applications à des moments très fréquents en fonction de l’utilisation et des modèles de comportement de l’utilisateur

Citrix Analytics peut effectuer des actions sur le compte de l’utilisateur lorsque les conditions précédentes sont rencontrées. Lors de la création de la stratégie, l’administrateur peut activer l’action lorsque les conditions sont remplies.

Référence : Indicateurs de risque du CVAD

Analyse des performances

Performance Analytics donne un aperçu des détails de session utilisateur dans l’environnement Citrix. Les données collectées par Citrix Analytics permettent de surveiller et de résoudre les problèmes qui surviennent au cours de la session de connexion d’un utilisateur.

Les mesures suivantes sont fournies par Citrix Performance Analytics à l’administrateur.

  • Expérience utilisateur : Cette offre fournit des informations sur les paramètres de performance de l’utilisateur et de la session — une vue approfondie de tous les sites de l’organisation au sein d’un tableau de bord concis. Le score d’expérience utilisateur aide à séparer les utilisateurs en fonction de leur expérience, à savoir Excellent, Fair ou Faible

  • Sessions utilisateur : la section Session utilisateur du tableau de bord Expérience utilisateur affiche une mesure de session importante pour la période et le site choisis. L’administrateur peut afficher les données Total Sessions, Total des utilisateurs uniques et échecs de session

  • Réactivité de la session : Ces données représentent le temps du trajet aller-retour ICA. Informations utilisées pour quantifier l’expérience utilisateur. La réactivité de session a une tendance Session active, Classification de session et classification de session. Si une session rencontre des problèmes réseau, les données de tendance de réactivité de session aident à identifier ces problèmes dans le réseau

  • Durée d’ouverture de session : La durée d’ouverture de session correspond à la disponibilité de l’application ou du bureau après que l’utilisateur clique dans l’application Citrix Workspace. Le temps total d’ouverture de session comprend des phases telles que le courtage, le démarrage de la machine virtuelle, la connexion HDX, l’authentification, la charge de profil, le script d’ouverture de session, l’objet de stratégie de groupe et le lancement de l’environnement Shell. Cette section comprend le nombre total d’ouvertures de session, la classification de session et triée par groupes de mise à disposition

Référence : Analyse des performances

Citrix Analytics et Citrix Virtual Apps and Desktops locaux

De nombreuses entreprises disposant d’environnements Citrix Virtual Apps and Desktops locaux peuvent tirer parti du service Citrix Analytics Cloud. Citrix Analytics prend en charge et découvre automatiquement les sources de données.

Pour activer Analytics sur les Virtual Apps and Desktops, l’administrateur des sites peut adopter l’une des méthodes suivantes pour intégrer des sites d’Virtual Apps and Desktops locaux à Citrix Analytics :

  • Sites embarqués à l’aide de Workspace
  • Sites embarqués utilisant StoreFront

CAS-16

Sur les sites Virtual Apps and Desktops à l’aide de l’espace de travail

Citrix Analytics détecte automatiquement les sites une fois ajoutés à Citrix Workspace. La fiche de site Virtual Apps and Desktops affiche le nombre de sites et d’utilisateurs découverts. Pour ajouter des sites dans Citrix Cloud, le client doit disposer d’un abonnement Workspace. L’administrateur doit effectuer l’agrégation de site avant de procéder à l’intégration sur Citrix Analytics.

L’administrateur doit activer le traitement des données sur la carte Site. Une fois que Citrix Analytics commence à recevoir les événements, les données collectées peuvent être affichées en fonction de l’heure sélectionnée. Agent de stratégie installé pour configurer les stratégies et cette étape n’est pas associée à la transmission de données à partir des sources de données. Pour en savoir plus sur l’agent de stratégie et l’installation, reportez-vous à ce qui suit lien.

Intégrer des sites Virtual Apps and Desktops à l’aide de StoreFront

Une autre méthode que StoreFront peut devenir une source de données pour Citrix Analytics consiste à agréger des applications et des bureaux à partir de Citrix Virtual Apps and Desktops Sites dans un magasin unique pour les utilisateurs. Les événements utilisateur capturés par Citrix Analytics permettent d’obtenir des informations exploitables sur les comportements des utilisateurs. Il existe quelques conditions préalables que l’administrateur doit configurer avant d’activer cette méthode. Sur le plan de la mise en réseau, les déploiements StoreFront doivent avoir le port TCP 443 ouvert pour la connexion Internet sortante. Dans le cas où l’environnement utilise des serveurs proxy sur le réseau, l’administrateur doit autoriser un port de communication particulier.

À partir du service Citrix Analytics, l’administrateur doit se connecter à un déploiement StoreFront local. Pour activer cette fonctionnalité, importez les paramètres de configuration. Ainsi, Citrix Analytics reçoit les données de StoreFront.

Pour en savoir plus sur Citrix Virtual Apps and Desktops en tant que source de données, reportez-vous aux points suivants lien.

Intégration de Citrix Performance Analytics

Performance Analytics est une solution de surveillance complète. L’analyse des performances permet de surveiller et d’afficher l’utilisation des sites Citrix Virtual Apps and Desktops dans l’organisation. Pour activer ces fonctionnalités, l’administrateur doit configurer des sites locaux avec Citrix Analytics à partir de la console Citrix Director. Cette fonctionnalité nécessite Director version 1909 ou ultérieure, Delivery Controller et VDA version 1906 ou ultérieure.

Référence : Configuration de sites locaux avec Citrix Analytics pour des performances

Principaux avantages de Citrix Analytics

Citrix Analytics est un service d’analyse intuitif qui permet aux administrateurs de surveiller et d’identifier les activités incohérentes ou suspectes sur les réseaux. Une plateforme d’apprentissage automatique clé en main qui fournit des informations exploitables sur le comportement des utilisateurs basées sur des indicateurs sur les utilisateurs, les points de terminaison, le trafic réseau et les fichiers.

Une entreprise peut résoudre les défis commerciaux et les problèmes liés aux performances en adoptant des solutions d’analyse basées sur une plateforme d’apprentissage automatique. Les organisations et les administrateurs peuvent tirer parti de divers avantages en sélectionnant Analytics Service dans le déploiement de sites contaminés Citrix ou le déploiement sur site vert.

  • Détectez et analysez les menaces en fonction du comportement de l’utilisateur Détectez et évitez les attaques par ransomware en prenant des mesures de sécurité. Surveiller et analyser l’accès des utilisateurs, et le comportement d’authentification aide à arrêter les activités malveillantes et à prévenir toute perte de données. Plateforme automatisée à l’aide d’algorithmes ML et AI, toutes les anomalies sont détectées

  • Visibilité de la santé L’analyse avancée permet d’identifier les problèmes de manière proactive. Application Performance Analytics distille les données des applications et de nombreuses mesures de performances en temps réel dans un score d’application à un chiffre qui montre la réactivité d’une application. Les administrateurs et les propriétaires d’applications peuvent explorer l’infrastructure associée à des applications spécifiques pour résoudre les problèmes

  • Sécurité externe renforcée Citrix Analytics génère un index de menaces basé sur le type de violation, le taux d’attaque, l’emplacement et les détails du client

  • Sécurité interne améliorée Citrix Analytics collecte une grande variété de données provenant de nombreuses sources entourant l’activité des utilisateurs, les comportements d’accès et les modèles d’utilisation du réseau et des données. La plateforme automatisée d’apprentissage automatique aide à atténuer les événements inhabituels. Les informations sur l’interface utilisateur aident les administrateurs à comprendre les activités/événements sur l’environnement

  • Gestion et automatisation centralisées Citrix Analytics collecte différentes mesures à partir de plusieurs ressources, qui aident un administrateur à surveiller tous les produits du portefeuille Citrix à partir d’une seule interface utilisateur

  • Le service cloud Citrix Analytics est une offre SaaS de Citrix Cloud qui offre sécurité, performances et tableau de bord opérationnel. L’interface utilisateur fournit un résumé et une catégorisation des profils de risque utilisateur, des détails de l’expérience utilisateur, etc. dans l’environnement Citrix

Synthèse

Un grand nombre des défis mondiaux en matière de sécurité ne sont pas résolus par les seuls outils traditionnels de protection contre les menaces existants. La plupart des attaques proviennent d’acteurs externes qui ont peut-être défendu, mais les grèves à l’intérieur du périmètre sont encore plus menaçantes. Tout en défendant les menaces externes, de nombreuses organisations ne reconnaissent pas l’impact sur les performances et n’identifient pas la cause profonde.

Citrix Analytics, qui est livré avec l’apprentissage automatique intégré amélioré avec l’intelligence artificielle, est très prometteur pour relever de nombreux défis de sécurité dans un environnement Citrix. Citrix Analytics ne concerne pas seulement la sécurité d’un environnement Citrix. Il donne une visibilité sur les performances avec le score d’expérience utilisateur et la visibilité des opérations de l’utilisateur en termes de domaines visités, consommation de données, etc. L’intégration de Citrix Analytics dans des déploiements de terrain vert ou de sites contaminés permet à l’administrateur d’avoir un meilleur contrôle de l’environnement Citrix et de réduire les coûts informatiques.

Sources

L’objectif de cette architecture de référence est de vous aider à planifier votre propre implémentation. Pour faciliter cette tâche, nous aimerions vous fournir des diagrammes source que vous pouvez adapter dans vos propres conceptions détaillées et guides de mise en œuvre : diagrammes source.

Références

Les ressources suivantes référencées pour une meilleure compréhension de Citrix Analytics :

Citrix Analytics

Analyses de sécurité

Analyse des opérations

Questions fréquentes

Service Citrix Analytics