Citrix Analytics

Les environnements informatiques des entreprises deviennent de plus en plus complexes à mesure qu’ils commencent à adopter des applications SaaS, cloud et mobiles. Les administrateurs ont besoin d’une visibilité sur leur environnement non seulement pour le protéger contre les utilisateurs malveillants, mais aussi pour améliorer l’expérience utilisateur de manière proactive. Citrix Analytics rassemble l’ensemble du portefeuille Citrix pour fournir une visibilité sur l’état et le contexte des utilisateurs individuels. Contrairement à certains des autres outils de surveillance fournis par Citrix, Citrix Analytics vous donne des informations proactives et normatives sur votre environnement afin de résoudre les problèmes avant qu’ils ne deviennent un problème. Citrix Analytics est piloté par l’apprentissage automatique pour vous fournir les informations nécessaires sans surcharge d’informations.

Généralités

Citrix Analytics génère des informations exploitables, permettant aux administrateurs de gérer de manière proactive les menaces de sécurité des utilisateurs et des applications, d’améliorer les performances des applications et de prendre en charge les opérations continues. Citrix Analytics est disponible en tant que service cloud fourni via Citrix Cloud. Citrix Analytics peut être divisé en trois catégories : sécurité, performances et utilisation. Citrix Analytics for Security vous permet de surveiller et d’identifier les activités incohérentes ou suspectes au sein de votre environnement. Usage Analytics vous donne une visibilité sur la façon dont les utilisateurs interagissent avec divers produits Citrix. Citrix Analytics for Performance fournit des scores d’expérience centrés sur l’utilisateur, des scores de performances des applications et de l’infrastructure grâce à des analyses avancées.

Citrix Analytics for Security

Citrix Analytics for Security collecte des données sur Citrix et les produits tiers et génère des informations exploitables. Il prend en charge l’intégration avec les éléments suivants :

  • Citrix Secure Workspace Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops (sur site et en tant que service)
  • Citrix Secure Browser Service
  • API de sécurité Microsoft Graph
  • Microsoft Active Directory (sur site)

Citrix Analytics for Security détecte les comportements anormaux des utilisateurs via son service μ-learning machine. Il attribue aux utilisateurs un score de risque, une valeur qui indique le niveau global de risque qu’un utilisateur pose par le biais de son score de risque μ-service. Ce score est une valeur dynamique basée sur UBA (User Behavior Analytics). Les administrateurs peuvent créer des stratégies pour automatiser les processus et appliquer des actions basées sur des indicateurs de risque. Citrix Analytics for Security conserve les données pendant 13 mois. Si l’administrateur désactive le traitement des données pour une source de données spécifique, les données déjà capturées restent stockées pendant 13 mois. Plus d’informations sur les journaux spécifiques par source de données collectés ici.

Citrix Analytics for Security reçoit les informations de la manière suivante. Pour le service Citrix Secure Workspace Access, Citrix Content Collaboration, Citrix Endpoint Management et Citrix Gateway Service (cloud), il reçoit ses informations directement à partir du plan de contrôle de la source de données spécifique. Pour Citrix Gateway sur site, il reçoit les données de l’agent Application Delivery Management. Pour Citrix Virtual Apps and Desktop (cloud et sur site), il reçoit ses informations via l’application Citrix Workspace. Pour obtenir des données Active Directory, Citrix Analytics communique avec les connecteurs Cloud. Pour la sécurité de Microsoft Graph, nous pouvons obtenir des informations à partir de la protection d’identité Azure AD et de Windows Defender ATP via des API graphiques.

Pour commencer, vous devez disposer d’un compte Citrix Cloud. Une fois que vous avez accès à Citrix Cloud, vous pouvez demander l’accès à une version d’essai de Citrix Analytics for Security. Ensuite, avez les options pour activer le traitement des données et commencer à recevoir des informations. Un guide détaillé sur la façon de commencer peut être trouvé ici.

Architecture de haut niveau

Tableau de bord utilisateurs

Le tableau de bord utilisateurs vous permet d’obtenir une vue globale de tous les utilisateurs considérés comme risqués au sein de votre organisation. Les utilisateurs sont classés entre les utilisateurs à risque élevé, moyen et faible. Les administrateurs peuvent modifier les vues des utilisateurs ayant les scores les plus élevés, les utilisateurs de changement de score le plus élevé, les utilisateurs d’indicateurs de risque ou les changements d’indicateurs de risque. De plus, il présente les catégories de risque, ce qui vous donne essentiellement une liste complète de l’exposition au risque et de ce qui nécessite une attention immédiate. Vous trouverez plus d’informations sur le tableau de bord de l’utilisateur ici.

Tableau de bord utilisateur

Avec tous ces tableaux de bord, vous pouvez cliquer et obtenir des informations plus granulaires. Par exemple, si vous cliquez sur Voir plus sous le tableau de bord Catégories de risque, vous obtenez un résumé des occurrences d’indicateurs de risque sous chaque catégorie.

Rapport de risque

De plus, si sous le tableau de bord des utilisateurs à risque, vous cliquez sur un utilisateur spécifique, il vous redirigera vers la chronologie des risques utilisateur. Cette chronologie vous permet d’obtenir des informations plus approfondies sur les actions que l’utilisateur a effectuées qui sont risquées. Vous verrez également si des actions automatisées ont été prises contre cet utilisateur spécifique. En cliquant sur chaque événement, vous pouvez obtenir des informations supplémentaires sur le moment où un événement s’est produit et où se trouve la source de cet événement. Dans le tableau de bord des risques utilisateur, vous pouvez trouver des informations utilisateur telles que des informations AD (téléphone, e-mail, titre) et des informations sur l’application, les appareils et les emplacements qu’ils utilisent. Vous trouverez de plus amples renseignements sur le calendrier des risques ici.

Chronologie des risques

Les scores de risque sont calculés par des violations basées sur des stratégies (définies par les administrateurs), la modélisation du comportement des utilisateurs au fil du temps, la détection du comportement des anomalies AI/ML et la normalisation des groupes homologues. Les cotes de risque sont des valeurs qui indiquent le niveau global de risque que pose un utilisateur. Les indicateurs de risque sont des activités des utilisateurs qui semblent suspectes ou qui peuvent constituer une menace pour la sécurité de votre organisation. Il existe des indicateurs de risque par défaut qui sont utilisés par le système, mais l’administrateur peut également créer des indicateurs de risque personnalisés.

Score de risque

Stratégies et actions

Les stratégies sont définies de sorte qu’une fois qu’une condition est remplie, l’action est exécutée. Une stratégie contient une ou plusieurs conditions et une seule action. Il existe des stratégies par défaut disponibles : ces stratégies ont des conditions prédéfinies et ont une action correspondante. Ces stratégies par défaut peuvent être utilisées telles qu’elles sont ou modifiées en fonction de vos besoins. Les stratégies par défaut sont les suivantes :

  • Exploitation réussie des informations d’identification
  • Exfiltration potentielle des données
  • Accès inhabituel à partir d’une adresse IP suspecte
  • Accès inhabituel aux applications à partir d’un emplacement inhabituel
  • Utilisateur à faible risque : premier accès à partir d’une nouvelle adresse IP
  • Premier accès à partir de l’appareil

Les actions sont les réponses aux événements suspects qui empêchent de futurs événements anormaux de se produire. Les actions peuvent être appelées à volonté par l’administrateur Citrix Analytics ou automatiquement par le système en fonction des règles définies par l’administrateur. Actuellement, les actions suivantes sont disponibles :

  • Global
    • Demander une réponse de l’utilisateur final
    • Ajouter à la liste de surveillance
    • Avertir l’administrateur (s)
    • Supprimer de la liste de surveillance
  • Citrix Content Collaboration
    • Désactiver l’utilisateur
    • Expiration de tous les liens
  • Citrix Virtual Apps and Desktops
    • Fermer la session utilisateur
    • Démarrer l’enregistrement de session
    • Arrêt de l’enregistrement
  • Citrix Endpoint Management
    • Verrouiller un appareil
    • Avertir admin
    • Aviser l’utilisateur

Actuellement, les conditions suivantes sont disponibles lors de la création d’une stratégie :

  • Cote de risque
    • Score de risque (égal, est supérieur à, est inférieur à)
  • Citrix Gateway
    • Échecs excessifs d’autorisation
    • Échec de l’analyse EPA
    • Échec excessif de l’authentification
    • Ouverture de session à partir d’une adresse IP suspecte
    • Accès depuis un endroit inhabituel
    • Premier accès à partir d’une nouvelle adresse IP
  • Citrix Virtual Apps and Desktops
    • Premier accès à partir d’un nouvel appareil
    • Exfiltration potentielle des données
    • Accès à partir d’un appareil avec système d’exploitation non pris en charge
    • Temps inhabituel d’utilisation des applications (SaaS)
    • Temps inhabituel d’utilisation de l’application (virtuel)
  • Citrix Content Collaboration
    • Téléchargements excessifs de fichiers
    • Suppression excessive de fichiers/dossiers
    • Partage excessif de fichiers
    • Chargements excessifs de fichiers
    • Échec excessif de l’authentification
    • Activité de ransomware Suspecté (Fichiers remplacés)
    • Activité de ransomware suspectée (alerte DLP)
    • Téléchargements excessifs
    • Accès pour la première fois depuis un nouvel emplacement
    • Activité de ransomware suspectée (fichiers mis à jour)
  • Citrix Secure Workspace Access
    • Tentative d’accès à l’URL de liste noire
    • Accès à un site Web risqué
    • Téléchargement excessif de données
    • Volume de téléchargement inhabituel
  • Citrix Endpoint Management
    • Appareil avec des applications sur la liste noire détectées
    • Appareil jailbreaké/rooté détecté
    • Périphérique non géré détecté

Stratégie

Vous trouverez plus d’informations sur la façon de configurer des politiques et des actions ici.

Tableau de bord d’accès utilisateur

Le tableau de bord Accès utilisateur récapitule le nombre de domaines à risque accessibles et le volume de données téléchargées et téléchargées par les utilisateurs de votre réseau. Il fournit les mesures suivantes :

  • Nombre de domaines malveillants accédés par les utilisateurs
  • Nombre de domaines dangereux accédés par les utilisateurs
  • Nombre de domaines inconnus auxquels les utilisateurs ont accédé
  • Nombre de domaines propres accessibles par les utilisateurs
  • Nombre d’URL bloquées accédées par les utilisateurs

Accès utilisateur

Tableau de bord App Access

Le tableau de bord App Access résume les détails des domaines, des URL et des applications accessibles par les utilisateurs de votre réseau. La section Récapitulatif App Access fournit une vue d’ensemble des mesures suivantes de votre réseau :

  • Nombre de domaines malveillants accédés par les utilisateurs
  • Nombre de domaines dangereux auxquels les utilisateurs accèdent
  • Nombre de domaines inconnus auxquels les utilisateurs ont accédé
  • Nombre de domaines propres accessibles par les utilisateurs
  • Volume de données téléchargées ou téléchargées à partir des domaines à risque

App Access

Tableau de bord Liens partagés

Le tableau de bord Partager des liens est le point de lancement de l’analyse des événements de partage et de la prévention des menaces. Il montre la visibilité sur les modèles du lien de partage au sein d’une organisation.

Partager Liens

Rapports

Les administrateurs peuvent créer des rapports personnalisés à partir des événements reçus dans vos sources de données. Actuellement, les sources de données prises en charge pour les rapports personnalisés incluent Secure Workspace Access, Content Collaboration et Virtual Apps and Desktops. Vous trouverez plus d’informations sur la création de rapports personnalisés ici.

Rapport

Citrix Analytics for Performance

Citrix Analytics for Performance quantifie l’expérience utilisateur et donne aux clients une visibilité de bout en bout sur la cause première de l’expérience utilisateur final. Il fournit également une agrégation et des rapports multi-sites afin que les clients disposant de plusieurs sites puissent consommer des données à partir d’un seul panneau de verre au lieu d’avoir à se connecter à plusieurs consoles Director. Enfin, il fournit le score de performance de l’infrastructure pour donner aux administrateurs une vision cohérente de l’état de leur infrastructure.

Le score d’expérience utilisateur est calculé en tenant compte de différents facteurs affectant l’expérience utilisateur final, tels que la résilience de session, la disponibilité de la session, la durée d’ouverture de session et la réactivité de session. Les administrateurs sont alors en mesure de diviser plus profondément et d’examiner les sous-facteurs pour être en mesure de déterminer la cause exacte du problème. Par exemple, les sous-facteurs de durée d’ouverture de session incluent les objets de stratégie de groupe, la charge de profil, la session interactive, le courtage, le démarrage de machine virtuelle, la connexion HDX, l’authentification et les scripts d’ouverture de session. Les seuils dynamiques sont utilisés pour comparer la durée d’ouverture de session et les facteurs et sous-facteurs de réactivité de session. Ces calculs sont effectués par client et calculés sur la base des 30 derniers jours. Les seuils sont recalibrés tous les sept jours pour tenir compte des changements intervenus dans l’environnement. Vous trouverez plus d’informations sur la façon dont le score d’expérience utilisateur est calculé ici.

Score UX

Citrix Analytics for Performance peut être utilisé pour les clients sur site et cloud et n’exige pas que les clients soient sur Citrix Workspace. Citrix Analytics récupère les données directement à partir de la base de données de surveillance du Director. Les données sont transmises en toute sécurité de Director à Citrix Analytics via le port https 443. Citrix Analytics for Performance capture également les données HDX de Citrix Gateway. Pour une passerelle sur site, un client doit utiliser le service ADM. Pour le service Gateway, les données HDX sont envoyées directement à Citrix Analytics. Il n’y a pas de données allant de Citrix Cloud à votre environnement sur site. La communication de données est sortante, ce qui signifie qu’aucun port n’a besoin d’être ouvert ou que tout trafic entrant soit autorisé. Pour le client sur Citrix Virtual Apps & Desktop Service, Citrix Analytics obtient des données directement à partir de la plate-forme Director, qui sont toutes hébergées dans Citrix Cloud.

Architecture CASP

Tableau de bord Score de l’expérience utilisateur

Le tableau de bord User Experience Score donne une vue globale des utilisateurs qui vivent une expérience « excellente », « équitable » ou « médiocre ». Citrix Analytics for Performance dispose d’une agrégation multi-sites pour vous donner une vue globale de tous vos environnements (cloud ou sur site). L’agrégation multisite donne à l’administrateur la possibilité d’examiner son environnement de manière holistique ou de filtrer par site spécifique.

Tableau de bord UX

Les administrateurs Citrix Analytics peuvent effectuer une hiérarchisation vers le bas pour voir les facteurs qui pousse l’utilisateur à obtenir ce score d’expérience utilisateur final spécifique. Citrix Analytics for Performance fournit aux administrateurs des informations sur les causes profondes possibles de ce qui peut être à l’origine du problème d’expérience utilisateur. Vous trouverez plus d’informations sur les sous-facteurs de l’expérience utilisateur ici.

Sous-facteurs

En outre, dans ce tableau de bord Expérience utilisateur, les administrateurs peuvent voir les tendances des sessions utilisateur qui affichent le total des sessions par rapport au total des utilisateurs uniques et le nombre d’échecs de session. Le nombre total de sessions indique le nombre total de sessions utilisateur lorsqu’une application ou un bureau est lancé à partir de l’application Workspace. Le nombre total d’utilisateurs uniques correspond au nombre d’utilisateurs uniques qui ont lancé une session ou qui ont une session active pendant la période spécifiée.

Sessions utilisateur

Tableau de bord de l’infrastructure

Le tableau de bord de l’infrastructure fournit aux administrateurs une vue d’ensemble de l’état de l’infrastructure de leur environnement. Le tableau de bord fournit les informations VDA sur tous les sites. Pour les VDA avec système d’exploitation multisession, les administrateurs peuvent voir quels VDA sont inutilisables en fonction de l’index de l’évaluateur de charge. Pour les VDA avec système d’exploitation mono-session, les administrateurs peuvent voir le nombre de VDA en cours d’utilisation et disponibles. Vous trouverez plus d’informations sur les mesures disponibles dans le tableau de bord Infrastructure ici.

Infrastructure

Analyses d’utilisation

Usage Analytics fournit des informations sur la façon dont les utilisateurs interagissent avec divers produits Citrix afin de mieux comprendre l’adoption et l’engagement des utilisateurs. L’analyse d’utilisation prend actuellement en charge le service Secure Workspace Access, le Service de collaboration de contenu et le service Microapps.

Tableau de bord de la collaboration

Le tableau de bord Content Collaboration fournit les informations suivantes :

  • Nombre d’utilisateurs uniques utilisant le service Content Collaboration
  • Principaux utilisateurs de Content Collaboration
  • Quantité de données téléchargées vers le service Content Collaboration
  • Quantité de données téléchargées sur le service Content Collaboration
  • Nombre de fichiers téléchargés vers le service Content Collaboration
  • Nombre de fichiers téléchargés vers le service Content Collaboration
  • Nombre d’actions effectuées par les utilisateurs sur les fichiers
  • Nombre d’événements de partage créés par l’utilisateur

Utilisation

Tableau de bord des microapplications

Le tableau de bord Microapp fournit des informations sur la manière dont les utilisateurs interagissent avec le service Microapp. Les informations suivantes se trouvent dans le tableau de bord :

  • Nombre d’utilisateurs uniques utilisant les microapplications
  • Meilleurs utilisateurs de microapp
  • Microapps les plus utilisées
  • Nombre d’actions lancées par les utilisateurs utilisant les microapplications
  • Nombre d’actions prises par les utilisateurs sur les notifications envoyées par les microapplications

Microapps

Tableau de bord SaaS et applications Web

Le tableau de bord SaaS et Web Apps fournit aux administrateurs Citrix Analytics des informations sur les applications SaaS et Web publiées dans Citrix Workspace. Les informations suivantes se trouvent dans le tableau de bord SaaS et Web Apps :

  • Nombre d’utilisateurs uniques utilisant les applications SaaS et Web
  • Principaux utilisateurs SaaS et applications Web
  • Nombre d’applications SaaS et Web lancées
  • Principales applications SaaS et Web
  • Principaux domaines accédés par les utilisateurs
  • Quantité totale de données téléchargées et téléchargées sur les utilisateurs, les applications et les domaines.

SaaS

Architecture et flux de processus

Vous trouverez ci-dessous l’architecture conceptuelle et le flux de processus de Citrix Analytics.

Flux de processus d'analyse