Citrix Virtual Apps and Desktopsおよび Citrix DaaS リスク指標
あり得ない移動
Citrix Analytics は、2つの異なる国からの連続したログオンが、国間の予想される移動時間よりも短い期間内に行われた場合、ユーザーのログオンが危険であると検出します。
あり得ない移動時間のシナリオは、次のリスクを示しています。
-
侵害された認証情報:リモートの攻撃者が正当なユーザーの資格情報を盗みます。
-
共有認証情報:異なるユーザーが同じユーザー資格情報を使用しています。
あり得ない移動リスク指標はいつトリガーされますか
あり得ない移動リスク指標は 、連続するユーザーログオンの各ペア間の時間と推定距離を評価し、その距離が個々の人がその時間内に移動できるよりも長い場合にトリガーされます。
注:
このリスク指標には、ユーザーの実際の場所を反映していない次のシナリオの誤検知アラートを減らすためのロジックも含まれています。
- ユーザーがプロキシ接続から仮想アプリケーションとデスクトップにログオンしたとき。
- ユーザーがホストされているクライアントから仮想アプリケーションとデスクトップにログオンしたとき。
インポッシブルリスク指標の分析方法
ユーザー Adam Maxwell について考えてみましょう。Adam Maxwell は、ロシアのモスクワと中国のフフホトの 2 つの場所から 1 分以内にログオンします。Citrix Analytics は、このログオンイベントをあり得ない移動シナリオとして検出し、 あり得ない移動リスク指標をトリガーします 。リスク指標がAdam Maxwellのリスクタイムラインに追加され、リスクスコアがAdam Maxwellに割り当てられます。
Adam Maxwell のリスクタイムラインを表示するには、[ セキュリティ] > [ユーザー] を選択します。[ 危険なユーザー ] ペインから、ユーザー Adam Maxwell を選択します。
Adam Maxwell のリスクタイムラインから、 あり得ない移動リスク指標を選択します 。次の情報を表示できます。
-
WHAT HAPPENEDセクションには 、あり得ない移動イベントの概要が記載されています。
-
[INDICATOR DETAILS ] セクションには、ユーザーがログオンした場所、連続してログオンするまでの時間、および 2 つの場所の間の距離が表示されます。
-
[ LOGON LOCATION-LAST 30 DAYS ] セクションには、あり得ない移動場所とユーザーの既知の場所の地理的マップビューが表示されます。過去 30 日間の位置データが表示されます。マップ上のポインターにカーソルを合わせると、各場所からの合計ログオン数が表示されます。
-
「 あり得ない移動-イベントの詳細 」セクションには、あり得ない移動イベントに関する次の情報が表示されます。
- 日時:ログオンの日付と時刻を示します。
- クライアント IP: ユーザーデバイスの IP アドレスを示します。
- 場所:ユーザーがログオンした場所を示します。
- デバイス:ユーザーのデバイス名を示します。
- ログオンの種類:ユーザーアクティビティがセッションログオンかアカウントログオンかを示します。アカウントログオンイベントは、ユーザーのアカウントへの認証が成功するとトリガーされます。一方、セッションログオンイベントは、ユーザーが資格情報を入力してアプリまたはデスクトップセッションにログオンしたときにトリガーされます。
- OS: ユーザーデバイスのオペレーティングシステムを示します。
- ブラウザ:アプリケーションへのアクセスに使用される Web ブラウザを示します。
ユーザーに適用できるアクションは何ですか
ユーザーのアカウントに対して次のアクションを実行できます。
- ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。
- 管理者に通知します。ユーザーのアカウントに異常または疑わしいアクティビティがある場合、すべての管理者または選択した管理者に電子メール通知が送信されます。
- ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Virtual Desktops を介してリソースにアクセスできなくなります。
- セッションの記録を開始します。ユーザーの Virtual Desktops アカウントに異常なイベントが発生した場合、管理者は今後のログオンセッションにおけるユーザーのアクティビティの記録を開始できます。ただし、ユーザーがCitrix Virtual Apps and Desktops 7.18以降を使用している場合、管理者はユーザーの現在のログオンセッションの記録を動的に開始および停止できます。
アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。
アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション] メニューからアクションを選択し 、[ 適用] をクリックします。
注:
リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。
データ流出の可能性
Citrix Analytics は、データ漏洩の過度の試みに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。
潜在的なデータ漏洩リスク指標に関連するリスク要因は、データベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。
潜在的なデータ漏洩リスク指標は 、Citrix Receiverユーザーがドライブまたはプリンターにファイルをダウンロードまたは転送しようとしたときにトリガーされます。このデータは、ローカルドライブ、マップされたドライブ、または外部ストレージデバイスへのファイルのダウンロードなど、ファイルのダウンロードイベントである可能性があります。データは、クリップボードを使用するか、コピーと貼り付けの操作によっても引き出すことができます。
注
クリップボード操作は、SaaS アプリケーションでのみサポートされています。
潜在的なデータ漏洩リスク指標はいつトリガーされますか?
ユーザーが一定期間内にドライブまたはプリンタに過剰な数のファイルを転送した場合に通知を受け取ることができます。このリスク指標は、ユーザーがローカルコンピューターでコピー/貼り付け操作を使用したときにもトリガーされます。
Citrix Receiverがこの動作を検出すると、Citrix Analytics はこのイベントを受け取り、各ユーザーにリスクスコアを割り当てます。潜在データ漏出リスク指標がユーザーのリスクタイムラインに追加されます 。
潜在的なデータ流出リスク指標を分析する方法は
セッションにログオンし、事前定義された制限を超えるファイルを印刷しようとするユーザー Adam Maxwell を考えてみましょう。このアクションにより、Adam Maxwell は、機械学習アルゴリズムに基づく通常のファイル転送動作を超えていました。
Adam Maxwell のタイムラインから、 潜在的なデータの流出リスク指標を選択できます 。イベントの理由は、転送されたファイルやファイルの転送に使用されたデバイスなどの詳細とともに表示されます。
ユーザーについて報告された潜在的なデータ漏洩リスク指標を表示するには 、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。
-
WHAT HAPPENESEDセクションでは 、潜在的なデータ漏洩イベントの概要を表示できます。特定の期間におけるデータ漏洩イベントの数を表示できます。
-
[ EVENT DETAILS ] セクションでは、データ漏出の試行がグラフおよび表形式で表示されます。イベントはグラフに個別のエントリとして表示され、表には次の重要な情報が表示されます。
-
時間。データ流出イベントが発生した時刻。
-
[ファイル]。ダウンロード、印刷、またはコピーされたファイル。
-
ファイルタイプ。ダウンロード、印刷、またはコピーされたファイルの種類。
注
印刷されたファイル名は、SaaS アプリの印刷イベントからのみ使用できます。
-
操作。実行されたデータ漏洩イベントの種類(印刷、ダウンロード、コピー)。
-
デバイス。使用したデバイス。
-
[サイズ]。流出されるファイルのサイズ。
-
場所。ユーザーがデータを取り出そうとしている都市。
-
-
「 追加のコンテキスト情報 」セクションでは、イベントの発生中に、次の項目を表示できます。
-
流出されたファイルの数。
-
実行されたアクション。
-
使用したアプリケーション。
-
ユーザーが使用するデバイス。
-
ユーザーに適用できるアクション
ユーザーのアカウントでは、次の操作を実行できます。
-
ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。
-
管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。
-
ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Virtual Desktops を介してリソースにアクセスできなくなります。
-
セッションの記録を開始します。ユーザーの仮想デスクトップアカウントに異常なイベントがある場合、管理者は将来のログオンセッションでのユーザーのアクティビティの記録を開始できます。ただし、ユーザーが Citrix Virtual Apps and Desktops 7.18 以降を使用している場合、管理者はユーザーの現在のログオンセッションの記録を動的に開始および停止できます。
アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。
アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション] メニューからアクションを選択し 、[ 適用] をクリックします。
注:
リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。
疑わしいログオン
Citrix Analytics は、ユーザーが使用するデバイス、場所、ネットワークによって共同で定義される複数のコンテキスト要因に基づいて、異常または危険に見えるユーザーのログオンを検出します。
疑わしいログオンリスクインジケータはいつトリガーされますか?
リスク指標は、次の要因の組み合わせによってトリガーされます。各要因は、1つまたは複数の条件に基づいて潜在的に疑わしいと見なされます。
| 要素 | 条件 |
|---|---|
| 異常なデバイス | ユーザーは、過去 30 日間に使用されていないデバイスからログオンします。 |
| ユーザーは、デバイスの署名がユーザーの履歴と矛盾している HTML5 クライアントまたは Chrome クライアントからログオンします。 | |
| 通常以外の場所 | 過去 30 日間にユーザーがログオンしていない都市または国からログオンします。 |
| 都市または国が、最近の (過去 30 日間) のログオン場所から地理的に離れている。 | |
| 過去 30 日間に都市または国からログオンしたユーザー数が 0 人または最小です。 | |
| 異常なネットワーク | ユーザーが過去 30 日間に使用していない IP アドレスからログオンします。 |
| ユーザーが過去 30 日間に使用していない IP サブネットからログオンします。 | |
| 過去 30 日間にゼロ人または最小のユーザーが IP サブネットからログオンしました。 | |
| IP 脅威 | IP アドレスは、コミュニティ脅威インテリジェンスフィード(Webroot)によって高リスクとして識別されます。 |
| Citrix Analytics は最近、他のユーザーのIPアドレスから非常に疑わしいログオンアクティビティを検出しました。 | |
疑わしいログオンリスク指標を分析する方法
インドのムンバイから初めてログオンしたユーザー Adam Maxwell を考えてみましょう。新しいデバイス、または過去 30 日間使用されなかったデバイスを使用して、 Citrix Virtual Apps and Desktops 新しいネットワークにログオンして接続しました。Citrix Analytics は、場所、デバイス、ネットワークなどの要因が通常の動作から逸脱し、疑わしいログオンリスク指標をトリガーするため、 このログオンイベントを疑わしいとして検出します 。リスク指標はAdam Maxwellのリスクタイムラインに追加され、リスクスコアが彼に割り当てられます。
Adam Maxwell のリスク時間を表示するには、[ セキュリティ] > [ユーザー] を選択します。[ 危険なユーザー ] ペインから、ユーザー Adam Maxwell を選択します。
Adam Maxwell のリスクタイムラインから、 疑わしいログオンリスク指標を選択します 。次の情報を表示できます。
-
「 WHAT HAPPENED」セクションには、リスク要因やイベントの発生時間など、疑わしいアクティビティの概要が表示されます。
-
[ 推奨アクション ] セクションには、リスク指標に適用できる推奨アクションが表示されます。Citrix Analytics for Securityでは、ユーザーがもたらすリスクの重大度に応じてアクションを推奨します。推奨されるアクションは、次のアクションの 1 つまたは組み合わせです。
-
管理者に通知
-
ウォッチリストに追加
-
ポリシーを作成する
レコメンデーションに基づいてアクションを選択できます。または、「アクション」(Actions) メニューの選択内容に応じて、 適用するアクションを選択することもできます 。詳細については、「 アクションを手動で適用する」を参照してください。
-
-
[LOGON DETAILS ] セクションには、各リスク要因に対応する疑わしいアクティビティの詳細な概要が表示されます。各リスクファクターには、疑わしいレベルを示すスコアが割り当てられます。単一のリスク要因は、ユーザーからのリスクが高いことを示すものではありません。全体的なリスクは、複数のリスク因子の相関に基づいています。
疑惑レベル 指示 0–69 この要因は正常に見え、疑わしいとは見なされません。 70–89 この要因はわずかに通常とは違うように見え、他の要因では適度に疑わしいと考えられます。 90–100 この要因はまったく新しいものまたは通常とは違うものであり、他の要因と非常に疑わしいと考えられています。 
-
[ LOGON LOCATION-過去 30 日間 ] セクションには、最後に認識された場所とユーザーの現在の場所の地理的マップビューが表示されます。過去 30 日間の位置データが表示されます。マップ上のポインターにカーソルを合わせると、各場所からの合計ログオン数が表示されます。
-
[ 疑わしいログオン-イベントの詳細 ] セクションには、疑わしいログオンイベントに関する次の情報が表示されます。
-
時刻:疑わしいログオンの日付と時刻を示します。
-
ログオンの種類:ユーザーアクティビティがセッションログオンかアカウントログオンかを示します。アカウントログオンイベントは、ユーザーのアカウントへの認証が成功するとトリガーされます。一方、セッションログオンイベントは、ユーザーが資格情報を入力してアプリまたはデスクトップセッションにログオンしたときにトリガーされます。
-
クライアントの種類:ユーザーデバイスにインストールされているCitrix Workspace アプリの種類を示します。ユーザーデバイスのオペレーティングシステムに応じて、クライアントの種類は Android、iOS、Windows、Linux、Mac などです。
-
OS: ユーザーデバイスのオペレーティングシステムを示します。
-
ブラウザ:アプリケーションへのアクセスに使用される Web ブラウザを示します。
-
場所:ユーザーがログオンした場所を示します。
-
クライアント IP: ユーザーデバイスの IP アドレスを示します。
-
デバイス:ユーザーのデバイス名を示します。
-
ユーザーに適用できるアクションは何ですか
ユーザーのアカウントでは、次の操作を実行できます。
-
ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。
-
管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。
-
ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Virtual Desktops を介してリソースにアクセスできなくなります。
-
セッションの記録を開始します。ユーザーの仮想デスクトップアカウントに異常なイベントがある場合、管理者は将来のログオンセッションでのユーザーのアクティビティの記録を開始できます。ただし、ユーザーが Citrix Virtual Apps and Desktops 7.18 以降を使用している場合、管理者はユーザーの現在のログオンセッションの記録を動的に開始および停止できます。
アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。
アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション] メニューからアクションを選択し 、[ 適用] をクリックします。
注:
リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。