アクセス保証ダッシュボード
リモートワークの増加に伴い、Citrix IT管理者として、ユーザーがCitrix Virtual Apps and DesktopsまたはCitrix DaaS(旧Citrix Virtual Apps and Desktopsサービス)に、通常かつ安全な場所からアクセスしていることを確認したいと考えるかもしれません。もし、不明な場所や新しい場所からログオンしているユーザーがいる場合、そのログオンの詳細を検証し、Citrix IT環境への脅威を軽減するために必要な措置を講じることができます。
アクセス保証ダッシュボードは、ユーザーが仮想アプリまたは仮想デスクトップにアクセスしている場所とネットワークの概要を提供します。Citrix Analytics for Securityは、ユーザーのデバイスにインストールされているCitrix Workspaceアプリから、これらのユーザーログオンイベントを受信します。サポートされているバージョンの詳細については、Citrix Workspaceアプリのバージョンマトリックスを参照してください。
ダッシュボードの表示
ダッシュボードを表示するには、[セキュリティ] > [アクセス保証] をクリックします。ログオンの詳細を表示したい期間を選択します。
アクセス概要
ダッシュボードの概要セクションでは、選択した期間について以下の情報を提供します。
-
(全世界の)全ロケーションにおけるユーザーログオンの総数。
-
(全世界の)全ロケーションにおけるユニークユーザーログオンの総数。
ログオンロケーション
[ログオンロケーション] セクションでは、選択した期間について以下の情報を提供します。
-
ユーザーがログオンした国の総数。
-
ユーザーがログオンした都市の総数。
-
ジオフェンシングエリアにおける国の総数とユニークユーザーログオン数。ジオフェンシングエリアからのログオン詳細を表示するには、ジオフェンシングを有効にするを参照してください。
-
ユニークユーザーログオン数が多い上位10ロケーション。上位のユニークユーザーログオンは、不明な都市や国からのものである場合もあり、これらは[不明なロケーション] タブに表示されます。不明なロケーションのリストは、上位10ロケーションのサブセットでもあります。一部のロケーションが特定できない理由については、利用不可として識別されたロケーションを参照してください。
全世界のユーザーログオン総数と全世界のユニークユーザーログオン総数の上昇または下降トレンドも表示できます。上位10ロケーションの場合、[偏差] 列には、各ロケーションにおけるユーザーログオンの変化(正(+)または負(-))が表示されます。この比較は、選択された期間と、同じ長さの前の期間に基づいています。たとえば、期間として [過去1か月] を選択した場合、ユーザーログオンのトレンドと偏差は、過去1か月と、その前の1か月間で比較されます。
注
ロケーション情報は都市および国レベルで提供され、正確な地理的位置を示すものではありません。アクセス保証、地理的位置情報の詳細については、FAQを参照してください。
[上位10のユニークログオンロケーション] テーブルで、ロケーションを選択して、ユーザーとそのアクセスプロファイルおよびログオン詳細を表示します。
マップには、選択した期間におけるさまざまなロケーションからのユニークユーザー数が表示されます。青いバブルにカーソルを合わせるか、ロケーションを拡大すると、そのロケーションからのユニークユーザーログオンの総数が表示されます。青いバブルをクリックすると、ロケーションのアクセス詳細が表示されます。
マップの右下隅には、ユニークユーザーログオンの範囲が表示されます。選択した期間では、小さいバブルは全ロケーションにおけるユニークユーザーログオンの最小数を示します。大きいバブルは、全ロケーションにおけるユニークユーザーログオンの最大数を示します。
利用不可として識別されたロケーション
[上位10のユニークログオンロケーション] テーブルで、一部のロケーションが不明または利用不可として表示される場合があります。不明なロケーションをクリックすると、[ユーザーログオン] ページで対応するユーザーログオンの詳細が表示されます。
[ユーザーログオン] ページでは、国または都市の情報が利用できない場合、[データ] テーブルに [NA] ラベルが表示されます。
[NA] ラベルにカーソルを合わせると、ロケーション情報が利用できない理由が表示されます。
ロケーションが利用できない場合、以下のいずれかのシナリオが考えられます。
| シナリオ | 理由 |
|---|---|
| 都市名と国名が利用できません。 | 以下のいずれか: |
|
|
| プライベートIPを持つロケーション | ユーザーのデバイスがプライベートネットワーク内にある場合、Citrix Analyticsはロケーション情報を利用できません。 |
| 国名は利用可能ですが、都市名が利用できません。 | ユーザーのデバイスが企業IPを使用している可能性があります。企業IP範囲は外部の地理的位置情報サービスで難読化されているため、Citrix Analyticsはロケーション情報を利用できません。 |
ジオフェンシングの有効化
ジオフェンシングは、安全なジオフェンスの外側および危険なジオフェンスの内側から仮想アプリまたは仮想デスクトップにアクセスするユーザーを特定するのに役立ちます。[アクセス概要] ページを表示するには、[セキュリティ] > [アクセス保証] に移動します。
デフォルトでは、[ジオフェンス設定] は常にオンになっています。ジオフェンスを設定するには、[ジオフェンスの追加/編集] をクリックします。
[ジオフェンス設定] ウィンドウには、2つのタブが表示されます。
- [安全なロケーション]: 安全なロケーションに該当する国を設定または削除できます。
- [危険なロケーション]: 危険なロケーションに該当する国を設定または削除できます。 各タブで設定されている安全なロケーションと危険なロケーションの総数も表示できます。安全なロケーションジオフェンスまたは危険なロケーションジオフェンスから国を削除するには、国の横にある閉じる(X)記号をクリックします。[保存] をクリックして、ジオフェンス設定を保存します。
危険なロケーションジオフェンスに該当する国を設定できます。危険なロケーションジオフェンスにリスクインジケーターが追加されていない場合、またはリスクインジケーターが削除されている場合、[ジオフェンスの追加/編集] の横に [ジオフェンスの更新] 警告メッセージが表示されます。
インジケーターを再作成するには、[危険なロケーション] タブに移動し、[危険なジオフェンスのリスクインジケーター] トグルをオンにします。
インジケーターは、危険なロケーションのデフォルトリストで作成されます。
[アクセス概要] ページには、ジオフェンスで囲まれた安全な国と危険な国も表示されます。
- ジオフェンスで囲まれた安全な国は、薄い灰色の円でマークされます。
- ジオフェンスで囲まれた危険な国は、濃い灰色の円でマークされます。
ジオフェンス: ユニークユーザーログオン
ジオフェンス: ユニークユーザーログオンを表示するには、アクセス概要ページに移動します。カードには、危険なロケーションの内側と安全なロケーションの外側の数が表示されます。
- [危険なロケーションの内側]: 危険なロケーションのジオフェンスエリアの内側からログオンしたユーザーを特定します。
- [安全なロケーションの外側]: 安全なロケーションのジオフェンスエリアの外側からログオンしたユーザーを特定します。
合計およびユニークユーザーログオンの詳細な概要については、[危険なロケーションの内側] または [安全なロケーションの外側] の横にある数字をクリックします。
この機能は、以下の事前設定されたカスタムリスクインジケーターを使用します。
- CVAD-Session started outside of geofence: 安全なジオフェンスの外側からのユーザーログオンを監視します。
- CVAD-Session started inside risky geofence: 危険なジオフェンスの内側からのユーザーログオンを監視します。
ジオフェンスの外側でユーザーログオンが検出された場合、リスクインジケーターがトリガーされ、[Session started outside of geofence] ポリシーがそれらのユーザーに適用されます。このポリシーは、[エンドユーザー応答の要求] アクションをトリガーし、ユーザーの応答に基づいて、疑わしいログオンによる脅威を防ぐために適切な措置を講じることができます。詳細については、事前設定されたカスタムリスクインジケーターを参照してください。
注
[ジオフェンス設定] で国を変更すると、CVAD-Session started outside of geofence リスクインジケーターも更新されます。
たとえば、オーストラリアとインドを新しいジオフェンス国として選択して保存すると、リスクインジケーターの事前設定された条件が、米国(デフォルトのジオフェンス)に加えて新しい国で更新されます。デフォルトのジオフェンス国である米国を削除することもできます。
リスクインジケーターの事前設定された条件:
Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"[ジオフェンス設定] を更新した後、リスクインジケーターの条件:
Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"CVAD-Session started outside of geofence リスクインジケーターが以前にアカウントから削除されている場合、[ジオフェンス設定] を有効にすると、リスクインジケーターが再度作成されます。リスクインジケーターのジオフェンス国は、[ジオフェンス設定] から制御されます。
[ジオフェンス設定] を有効にすると、マップにはジオフェンスで囲まれたエリアと、これらのエリアからのユニークユーザーログオンが表示されます。
ログオンネットワーク
アクセス保証ダッシュボードでは、以下の追加のユーザー詳細を表示できるようになりました。
-
ユーザーがログオンしたIPアドレスに関連付けられている組織。これらの組織には、企業、政府、教育機関、インターネットサービスプロバイダーなどのエンティティが含まれます。
-
ユーザーがログオンしたユニークなパブリックサブネットとプライベートサブネットの総数。
-
ユーザーがプロキシおよびプライベートVPNサービスを使用してログオンした詳細。
これらの追加の詳細を使用することで、管理者としてユーザーログオンの詳細を検証し、ユーザーログオンが組織のセキュリティ要件内にあることを確認できます。
ユーザーネットワーク詳細の表示
[セキュリティ] > [アクセス保証] に移動し、下にスクロールして [ログオンネットワーク] の詳細を表示します。
-
[IPアドレス総数]: 仮想セッションへのログオンに使用されたユニークIPアドレスの総数を示します。
-
[サブネット総数]: 仮想セッションへのログオンに使用されたサブネットの総数を示します。
-
[プロキシタイプ総数]: サーバーがユーザー接続をプロキシするために利用したネットワークまたはプロトコルの総タイプを示します。
-
[IP登録組織のトップ分布] では、各組織(ISP)からのユーザーログオン総数とユニークログオン詳細の概要を視覚化できます。グラフをクリックすると、選択した組織に関連付けられているユーザー、そのアクセスプロファイル、およびログオン詳細のドリルダウン表示ができます。
-
[ユニークなパブリックサブネット総数] では、サブネットの概要、各サブネットからのユーザーログオン総数、および各サブネットの偏差トレンドを視覚化できます。各サブネットをクリックすると、選択したサブネットに関連付けられているユーザー、そのアクセスプロファイル、およびログオン詳細のドリルダウン表示ができます。
ユーザーのアクセスプロファイルの表示
任意のメトリック(ロケーション、組織、またはサブネット)をドリルダウンすると、[アクセスプロファイル] ページには、選択したロケーションからの仮想アプリまたは仮想デスクトップへのユーザーアクセス概要が表示されます。ユニークログオンまたは合計ログオンオプションを選択して、選択した期間のトレンド分析を表示できます。
選択したメトリック(ロケーション、組織、またはサブネット)の上位アクセスイベントを表示できます。この情報は、アクセスパターンと脅威調査および分析の詳細を確認するのに役立ちます。
合計ユーザーログオンとユニークユーザーログオンの上昇または下降トレンドは、選択した期間と、同じ長さの前の期間に基づいて比較されます。たとえば、期間として [過去1か月] を選択した場合、トレンドは過去1か月と、その前の1か月間で比較されます。
ファセット
アクセスイベントには、以下のファセットを使用できます。
-
[ロケーション] - 国と都市でアクセスイベントをフィルタリングします。
-
[OS] - オペレーティングシステムとそのバージョンでアクセスイベントをフィルタリングします。
-
[サブネット] - サブネットでアクセスイベントをフィルタリングします。
-
[クライアントIPタイプ] - パブリックまたはプライベートでアクセスイベントをフィルタリングします。
-
[IP登録組織] - パブリックIPアドレスに関連付けられている組織をフィルタリングします。
-
[プライベートVPNサービス] - プライベートVPNネットワーク名でアクセスイベントをフィルタリングします。
-
[プロキシタイプ] - HTTP、Web、Tor、SOCKSなどのプロキシタイプ分類でアクセスイベントをフィルタリングします。
注
データが利用できないか、または特定できない場合、[利用不可] ラベルが表示されることもあります。
適用されたフィルターに基づいて、合計ユーザーログオンとユニークユーザーログオンについて以下の情報を表示します。
-
[ネットワーク] - ユーザーが仮想アプリまたは仮想デスクトップにログオンした上位のサブネットとIPアドレス。
-
[ロケーション] - ユーザーが仮想アプリまたは仮想デスクトップにログオンした上位の国と都市。
-
[エンドポイント] - アプリおよびデスクトップのユーザーログオンに基づいた上位のデバイス名とOS名。
ユーザーのログオン詳細の表示
[ユーザーログオン] ページには、選択したロケーションからの仮想アプリまたは仮想デスクトップへのユーザーログオンの詳細が表示されます。この情報は、脅威調査および分析中に役立ちます。
[データ] テーブルには、選択したロケーションと期間について以下のログオン詳細が表示されます。
-
[時刻]。ユーザーがログオンした日時。
-
[ユーザー名]。ユーザーのID。
-
[クライアントIP]。ユーザーデバイスのIPアドレス。
-
[クライアントIPタイプ]。パブリックまたはプライベートなど、ユーザーのIPアドレスのタイプ。
-
[都市と国]。ユーザーが仮想アプリまたは仮想デスクトップにログオンしたロケーション。
-
[デバイスID]。ユーザーデバイスの識別コード。
-
[OS名]。ユーザーデバイス上のオペレーティングシステム。詳細については、アプリとデスクトップのセルフサービス検索を参照してください。
各イベントを展開すると、以下の詳細が表示されます。
-
[OSバージョン]。ユーザーデバイス上のオペレーティングシステムのバージョン。詳細については、アプリとデスクトップのセルフサービス検索を参照してください。
-
[OS追加情報] - ビルド番号、サービスパック、パッチなど、オペレーティングシステムの追加情報。詳細については、アプリとデスクトップのセルフサービス検索を参照してください。
-
[Workspaceアプリバージョン]。Citrix Workspace™アプリまたはCitrix Receiverのビルドバージョン。
[データ] テーブルでは、以下の操作を実行できます。
-
[列の追加または削除] をクリックして、データの表示方法に基づいてテーブルの列を更新します。
-
[並べ替え] をクリックし、データ要素を選択して複数列の並べ替えを実行します。詳細については、複数列の並べ替えを参照してください。
-
[CSV形式でエクスポート] をクリックして、[データ] テーブルに表示されているデータをCSVファイルにダウンロードし、分析に使用します。
検索バー
検索バーを使用して、ログオンイベントに関連付けられたディメンションを使用してクエリを定義することもできます。
例:
User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”
User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6
ファセット
ログオンイベントには、以下のファセットを使用できます。
-
[ロケーション] - 国と都市でログオンイベントをフィルタリングします。
-
[OS] - オペレーティングシステムとそのバージョンでログオンイベントをフィルタリングします。
-
[サブネット] - サブネットでアクセスイベントをフィルタリングします。
-
[クライアントIPタイプ] - パブリックおよびプライベートIPタイプでアクセスイベントをフィルタリングします。
-
[IP登録組織] - ユーザーが利用したISPでアクセスイベントをフィルタリングします。
-
[プライベートVPNサービス] - プライベートVPNネットワーク名でアクセスイベントをフィルタリングします。
-
[プロキシタイプ] - HTTP、Web、Tor、SOCKSなどのプロキシタイプ分類でアクセスイベントをフィルタリングします。
注
データが利用できないか、または特定できない場合、[利用不可] ラベルが表示されることもあります。