Citrix Analytics for Security

セルフサービス検索

セルフサービス検索とは何ですか

セルフサービス検索機能を使用すると、データソースから受信したユーザーイベントを検索してフィルタリングできます。基礎となるユーザーイベントとその属性を調べることができます。これらのイベントは、データの問題を特定し、トラブルシューティングするのに役立ちます。検索ページには、データソースのさまざまなファセット (ディメンション) と指標が表示されます。検索クエリを定義し、フィルタを適用して、定義した基準に一致するイベントを表示できます。デフォルトでは、セルフサービス検索ページには、過去 1 日のユーザーイベントが表示されます。

現在、セルフサービス検索機能は、次のデータソースで使用できます。

また、定義したポリシーに一致するイベントに対してセルフサービス検索を実行することもできます。詳細については、 ポリシーのセルフサービス検索を参照してください

セルフサービス検索にアクセスする方法

次のオプションを使用して、セルフサービス検索にアクセスできます。

  • トップバー:トップバーの [ 検索 ] をクリックすると、選択したデータソースのすべてのユーザーイベントが表示されます。

  • ユーザープロファイルページのリスクタイムライン:[ イベント検索 ] をクリックして、各ユーザーのイベントを表示します。

トップバーからのセルフサービス検索

ユーザーインターフェイスの任意の場所からセルフサービス検索ページに移動するには、このオプションを使用します。

  1. [ 検索 (Search)] をクリックして、セルフサービスページを表示します。

    トップバー検索

  2. データソースと期間を選択して、対応するイベントを表示します。

    トップバーの検索ページ

ユーザーのリスクタイムラインからのセルフサービス検索

リスク指標に関連付けられたユーザーイベントを表示する場合は、このオプションを使用します。

ユーザーのタイムラインからリスク指標を選択すると、右側のペインにリスク指標情報セクションが表示されます。[ イベント検索 ] をクリックして、セルフサービス検索ページで、ユーザーおよびデータソース (リスク指標がトリガーされる) に関連付けられたイベントを調べます。

リスクタイムライン検索

ユーザーリスクタイムラインの詳細については、「 リスクタイムライン」を参照してください。

セルフサービス検索の使用方法

セルフサービス検索ページの次の機能を使用します。

ファセットを使用してイベントをフィルタリングする

ファセットは、イベントを構成するデータポイントの要約です。ファセットはデータソースによって異なります。たとえば、Secure Private Access データソースのファセットは、評判、アクション、場所、およびカテゴリグループです。一方、アプリとデスクトップのファセットは、イベントタイプ、ドメイン、プラットフォームです。

ファセットを選択して、検索結果をフィルタリングします。選択したファセットがチップとして表示されます。

各データソースに対応するファセットについて詳しくは、この記事で前述したデータソースのセルフサービス検索の記事を参照してください。

検索ボックスで検索クエリを使用してイベントをフィルタリングする

検索ボックスにカーソルを置くと、ユーザーイベントに基づいたディメンションのリストが検索ボックスに表示されます。これらのディメンションは、データソースによって異なります。 ディメンションと有効な演算子を使用して 、検索条件を定義し、必要なイベントを検索します。

たとえば、アプリとデスクトップのセルフサービス検索では、 Browserディメンションに対して次の値が取得されます。ディメンションを使用してクエリを入力し、期間を選択して、[ 検索] をクリックします。

検索クエリ

特定のディメンション(Event-TypeClipboard-Operationなど)を有効な演算子と一緒に選択すると、ディメンションの値が自動的に表示されます。推奨オプションから値を選択するか、要件に応じて新しい値を入力できます。

ディメンション値

検索クエリでサポートされる演算子

検索クエリで次の演算子を使用して、検索結果を絞り込みます。

演算子 説明 出力
検索ディメンションに値を割り当てます。 User-Name : John ユーザー John のイベントを表示します。
= 検索ディメンションに値を割り当てます。 User-Name = John ユーザー John のイベントを表示します。
~ 類似した値を持つイベントを検索します。 User-Name ~ test 類似のユーザー名を持つイベントを表示します。
"" 値をスペースで区切って囲みます。 User-Name = “John Smith” ユーザー John Smith のイベントを表示します。
< > リレーショナル値を検索します。 Data Volume > 100 データボリュームが 100 GB を超えるイベントを表示します。
AND 指定した条件が真であるイベントを検索します。 User-Name : John AND Data Volume > 100 データボリュームが 100 GB を超えるユーザー John のイベントを表示します。
!~ 指定した一致するパターンについてイベントをチェックします。この NOT LIKE 演算子は、イベント文字列のどこにも一致するパターンを含まないイベントを返します。 ユーザー名!~ ジョン John、John Smith、または一致する名前「John」を含むユーザー以外のユーザーのイベントを表示します。
!= イベントで、指定した文字列が正確にチェックされます。この NOT EQUAL演算子は、イベント文字列のどこにも正確な文字列を含まないイベントを返します。 国 != 米国 米国以外の国のイベントを表示します。
* 指定した文字列に一致するイベントを検索します。現在、 *演算子は次の演算子、:=および!=でのみサポートされています。検索結果では大文字と小文字が区別されます。 User-Name = John* John で始まるすべてのユーザー名のイベントを表示します。
    User-Name = John John を含むすべてのユーザー名のイベントを表示します。
    User-Name = *Smith Smith で終わるすべてのユーザー名のイベントを表示します。
    ユーザー名:John* John で始まるすべてのユーザー名のイベントを表示します。
    ユーザー名:John John を含むすべてのユーザー名のイベントを表示します。
    ユーザー名:*Smith Smith で終わるすべてのユーザー名のイベントを表示します。
    ユーザー名!= ジョン* John で始まるすべてのユーザー名のイベントを表示します。
    ユーザー名!= *スミス Smith で終わらないすべてのユーザー名のイベントを表示します。
IN 検索ディメンションに複数の値を割り当てて、1 つ以上の値に関連するイベントを取得します。:現在、この演算子は、アプリとデスクトップ -Device IDDomainEvent-TypeおよびUser-Nameのディメンションで使用できます。 この演算子は、文字列値にのみ適用されます。 ユーザーネーム IN (ジョン、ケビン) ジョンまたはケビンに関連するすべてのイベントを見つける。
NOT IN 検索ディメンションに複数の値を割り当てて、指定した値を含まないイベントを検索します。:現在、この演算子は、アプリとデスクトップ -Device IDDomainEvent-TypeおよびUser-Nameのディメンションで使用できます。 この演算子は、文字列値にのみ適用されます。 User-Name NOT IN (John, Kevin) John と Kevin 以外のすべてのユーザーのイベントを検索します。
IS EMPTY ディメンションの NULL 値または空の値をチェックします。この演算子は、App-NameBrowserCountryなどの文字列タイプのディメンションでのみ機能します。Upload-File-SizeDownload-File-SizeClient-IP などの非文字列 (数値) タイプのディメンションには使用できません 。 Country IS EMPTY 国名が利用できない、または空である (指定されていない) イベントを検索します。
IS NOT EMPTY ディメンションの NULL 値でない値または特定の値がないかどうかをチェックします。この演算子は、App-NameBrowserCountryなどの文字列タイプのディメンションでのみ機能します。Upload-File-SizeDownload-File-SizeClient-IP などの非文字列 (数値) タイプのディメンションには使用できません 。 Country IS NOT EMPTY 国名が利用可能または指定されているイベントを検索します。
OR どちらかまたは両方の条件に該当する値を検索します。 (ユーザー名 = John* またはユーザー名 = *Smith) およびイベントタイプ =「Session.Logon」 John で始まる、または Smith Session.Logon で終わるすべてのユーザー名のイベントを表示します。

NOT EQUAL演算子では 、クエリーのディメンションの値を入力するときに、データ・ソースのセルフ・サービス検索ページで使用可能な正確な値を使用します。寸法値では、大文字と小文字が区別されます。

データソースの検索クエリを指定する方法の詳細については、この記事で前述したデータソースのセルフサービス検索の記事を参照してください。

イベントを表示する時間を選択

プリセット時間を選択するか、カスタムの時間範囲を入力して [ 検索 (Search)] をクリックしてイベントを表示します。

時間選択

タイムラインの詳細を表示する

タイムラインには、選択した期間のユーザーイベントがグラフィカルに表示されます。セレクタバーを移動して時間範囲を選択し、選択した時間範囲に対応するイベントを表示します。

この図は、アクセスデータのタイムラインの詳細を示しています。

タイムラインの詳細

イベントを見る

ユーザーイベントに関する詳細情報を表示できます。 DATA テーブルで、各列の矢印をクリックして、ユーザーイベントの詳細を表示します。

この図は、ユーザーのアクセスデータに関する詳細を示しています。

Events

列を追加または削除する

イベントテーブルの列を追加または削除して、対応するデータポイントを表示または非表示にすることができます。以下を実行します:

  1. [ 列の追加または削除] をクリックします。

    更新イベント

  2. リストからデータ要素を選択または選択解除し、「 更新」をクリックします。

    列を更新する

リストからデータポイントを選択解除すると、対応する列がイベントテーブルから削除されます。ただし、ユーザーのイベント行を展開すると、そのデータポイントを表示できます。たとえば、リストから TIME データポイントを選択解除すると、 TIME 列がイベントテーブルから削除されます。時間レコードを表示するには、ユーザのイベント行を展開します。

非表示属性

イベントを CSV ファイルにエクスポートする

検索結果を CSV ファイルにエクスポートし、参照用に保存します。[ CSV 形式にエクスポート(Export to CSV format )] をクリックしてイベントをエクスポートし、生成された CSV ファイルをダウンロードします。 CSV 形式へのエクスポート機能を使用して、10万行をエクスポートできます

CSVエクスポート

ビジュアルサマリーを書き出す

検索クエリのビジュアルサマリーレポートをダウンロードし、他のユーザー、管理者、またはエグゼクティブチームとコピーを共有できます。

ビジュアルサマリーをエクスポートをクリックして 、ビジュアルサマリーレポートを PDF としてダウンロードします。レポートには、次の情報が含まれています。

  • 選択した期間のイベントに対して指定した検索クエリ。

  • 選択した期間のイベントに適用したファセット(フィルタ)。

  • 選択した期間の検索イベントのタイムラインチャート、棒グラフ、グラフなどの視覚的なサマリー。

データソースの場合、データが棒グラフ、タイムラインの詳細などのビジュアル形式で表示される場合にのみ、ビジュアルサマリーレポートをダウンロードできます。それ以外の場合、このオプションは使用できません。たとえば、アプリとデスクトップ、セッションなどのデータソースのビジュアルサマリーレポートをダウンロードして、データをタイムラインの詳細と棒グラフとして表示できます。Users や Machines などのデータソースの場合、データは表形式でのみ表示されます。したがって、ビジュアルサマリーレポートをダウンロードすることはできません。

ビジュアルサマリーを書き出す

複数列の並べ替え

並べ替えは、データの整理に役立ち、可視性を高めます。セルフサービス検索ページで、ユーザーイベントを 1 つ以上の列で並べ替えることができます。列は、ユーザー名、日付と時刻、URL などのさまざまなデータ要素の値を表します。これらのデータ要素は、選択したデータソースによって異なります。

複数列の並べ替えを実行するには、次の操作を行います。

  1. [ 並べ替え] をクリックします。

    Sort-by

  2. [ 並べ替え基準 ] リストから列を選択します。

  3. 列内のイベントを並べ替えるには、昇順 (上矢印) または降順 (下矢印) の並べ替え順序を選択します。

  4. [ + 列の追加] をクリックします。

  5. [次の項目] リストから別の列を選択します

  6. 列内のイベントをソートするには、ソート順として、昇順(上矢印)または降順(下方向エラー)を選択します。

    最大 6 つの列を追加して、並べ替えを実行できます。

  7. [適用] をクリックします。

  8. 上記の設定を適用しない場合は、[ キャンセル] をクリックします。選択した列の値を削除するには、「 すべてクリア」(Clear All) をクリックします。

次の例は、Secure Private Access イベントに対する複数列のソートを示しています。イベントは、時刻 (新しい順)、URL (アルファベット順) の順にソートされます。

複数列の並べ替え

または、 Shift キーを使用して複数列の並べ替えを実行することもできます。 Shift キーを押しながら列見出しをクリックして、ユーザーイベントを並べ替えます。

セルフサービス検索を保存する方法

管理者は、セルフサービスクエリを保存できます。この機能により、分析やトラブルシューティングで頻繁に使用するクエリを書き換える時間と労力を節約できます。次のオプションは、クエリーとともに保存されます。

  • 適用された検索フィルタ
  • 選択したデータソースと期間

セルフサービスクエリを保存するには、次の手順を実行します。

  1. 必要なデータソースと期間を選択します。

  2. 検索バーにクエリを入力します。

  3. 必要なフィルターを適用します。

  4. [ 検索を保存] をクリックします。

  5. カスタムクエリを保存する名前を指定します。

    (注

    )クエリ名が一意であることを確認します。それ以外の場合、クエリは保存されません。

  6. 検索クエリレポートのコピーを自分や他のユーザーに定期的に送信する場合は、[電子メールレポートのスケジュール ] ボタンを有効にします。詳細については、「 検索クエリのメールをスケジュールする」を参照してください。

  7. [保存]をクリックします。

保存した検索を表示するには、次の手順に従います。

  1. [ 保存された検索の表示]をクリックします。

  2. 検索クエリの名前をクリックします。

保存した検索を削除するには:

  1. [ 保存された検索の表示]をクリックします。

  2. 保存した検索クエリを選択します。

  3. [ 保存された検索条件を削除] をクリックします。

保存した検索を削除する

保存済み検索を変更するには、次の操作を行います。

  1. [ 保存された検索の表示]をクリックします。

  2. 保存した検索クエリの名前をクリックします。

  3. 要件に基づいて、検索クエリまたはファセットの選択を変更します。

  4. [ 検索の更新] > [保存 ] をクリックして、変更した検索を同じ検索クエリ名で更新して保存します。

  5. 変更した検索を新しい名前で保存する場合は、下矢印をクリックし、[ 新しい検索として保存] > [名前を付けて保存] をクリックします。

検索を新しい名前に置き換えると、検索は新しいエントリとして保存されます。置換時に既存の検索名を保持すると、変更された検索データが既存の検索データを上書きします。

  • クエリの所有者のみが、保存された検索を変更または削除できます。
  • 保存した検索リンクアドレスをコピーして、他のユーザーと共有することができます。

検索クエリのメールをスケジュールする

メール配信スケジュールを設定することで、検索クエリレポートのコピーを自分や他のユーザーに定期的に送信できます。

このオプションは、検索クエリレポートに棒グラフ、タイムラインの詳細などのビジュアル形式のデータが含まれている場合にのみ使用できます。そうしないと、メール配信をスケジュールできません。たとえば、[アプリとデスクトップ]、[セッション] などのデータソースの電子メールをスケジュールして、タイムラインの詳細と棒グラフとしてデータを表示できます。Users や Machines などのデータソースの場合、データは表形式でのみ表示されます。したがって、メールをスケジュールすることはできません。

検索クエリの保存中にメールをスケジュールする

検索クエリの保存中に、電子メール配信スケジュールを次のように設定します。

  1. [ 検索の保存 ] ダイアログボックスで、[ 電子メールレポートのスケジュール ] ボタンを有効にします。

    メールをスケジュールする

  2. 受信者の電子メールアドレスを入力または貼り付けます。

    メールグループはサポートされていません。

  3. メール配信の日付と時刻を設定します。

  4. 配信頻度(毎日、毎週、または毎月)を選択します。

  5. [保存]をクリックします。

すでに保存されている検索クエリのメールをスケジュールする

以前に保存した検索クエリの電子メール配信スケジュールを設定する場合は、次の操作を行います。

  1. [ 保存された検索の表示]をクリックします。

  2. 作成した検索クエリに移動します。[ このクエリを電子メールで送信 ] アイコンをクリックします。

    保存した検索クエリの電子メール配信をスケジュールできるのは、クエリの所有者だけです。

    メールクエリ

  3. [ 電子メールレポートをスケジュールする ] ボタンを有効にします。

  4. 受信者の電子メールアドレスを入力または貼り付けます。

    メールグループはサポートされていません。

  5. メール配信の日付と時刻を設定します。

  6. 配信頻度(毎日、毎週、または毎月)を選択します。

  7. [保存]をクリックします。

検索クエリのメール配信スケジュールを停止する

  1. [ 保存された検索の表示]をクリックします。

  2. 作成した検索クエリに移動します。[ メール配信スケジュールの表示 ] アイコンをクリックします。

    保存した検索クエリの電子メールスケジュールを停止できるのは、クエリの所有者だけです。

    メールスケジュールを停止する

  3. [ 電子メールレポートのスケジュール ] ボタンを無効にします。

  4. [保存]をクリックします。

メールコンテンツ

受信者は、「Citrix Cloud-通知 < donotreplynotifications@citrix.com >」から検索クエリレポートに関する電子メールを受信します。レポートは PDF ドキュメントとして添付されます。メールは、[ 電子メールレポートのスケジュール ] 設定で定義した一定の間隔で送信されます。

検索クエリレポートには、次の情報が含まれています。

  • 選択した期間のイベントに対して指定した検索クエリ。

  • イベントに適用したファセット (フィルタ)。

  • タイムラインチャート、棒グラフ、検索イベントのグラフなどの視覚的なサマリー。

フルアクセス管理者および読み取り専用アクセス管理者の権限

  • フルアクセス権を持つCitrix Cloud 管理者は、[ 検索 ]ページで使用できるすべての機能を使用できます。

  • 読み取り専用アクセス権を持つCitrix Cloud 管理者の場合、[ 検索 ]ページでは次のアクティビティのみを実行できます。

    • データソースと期間を選択して、検索結果を表示します。

    • 検索クエリを入力し、検索結果を表示します。

    • 他の管理者の保存済み検索結果を表示します。

    • ビジュアルサマリーをエクスポートし、検索結果を CSV ファイルとしてダウンロードします。

管理者の役割について詳しくは、「 Citrix Analytics の管理者の役割の管理」を参照してください。

セルフサービス検索