Citrix Analytics for Security

アクセス保証ダッシュボード

リモートワークの増加に伴い、シトリックスのIT管理者は、ユーザーが通常の安全な場所からCitrix Virtual Apps and Desktops またはCitrix DaaS(旧Citrix Virtual Apps and Desktops サービス)にアクセスしていることを保証したいと思うかもしれません。不明な場所や新しい場所からログオンしているユーザーがいる場合は、ログオンの詳細を検証し、Citrix IT環境に対する脅威を軽減するために必要なアクションを実行できます。

Access Assurance ダッシュボードには、ユーザーが仮想アプリケーションまたは仮想デスクトップにアクセスしている場所とネットワークの概要が表示されます。Citrix Analytics for Securityは、ユーザーのデバイスにインストールされているCitrix Workspace アプリからこれらのユーザーログオンイベントを受信します。サポートされているバージョンの詳細については、 Citrix Workspaceアプリのバージョンマトリックスを参照してください

ダッシュボードを表示する

ダッシュボードを表示するには、[ セキュリティ] > [アクセス保証] の順にクリックします。ログオンの詳細を表示する期間を選択します。

保証ダッシュボードのナビゲーション

アクセス概要

ダッシュボードの概要セクションには、選択した期間に関する次の情報が表示されます。

  1. ロケーション全体でのユーザーログオンの総数(全世界)。

  2. ロケーション全体でのユニークユーザーログオンの総数(全世界)。

    アクセス概要

ログオン場所

ログオン場所 」セクションには、選択した期間に関する次の情報が表示されます。

  • ユーザーがログオンした国の総数。

  • ユーザーがログオンした都市の総数。

  • ジオフェンシングエリア内の国と一意のユーザーログオンの総数。ジオフェンシングエリアのログオン詳細を表示するには、 ジオフェンシングを有効にします

  • 一意のユーザーログオンがある上位 10 の場所。場合によっては、上位のユニークユーザーログオンが不明な都市や国のものでもあり、これらは [ 不明な場所 ] タブに表示されます。不明な場所のリストも、上位10の場所のサブセットです。一部のロケーションが識別できない理由については、「 利用できないと識別されたロケーション」を参照してください。

また、全世界のユーザーログオン数の増加傾向または減少傾向と、全世界のユニークユーザーログオン数の増加傾向または減少傾向も確認できます。上位 10 つの場所について、[ 偏差 ] 列には、各場所のユーザーログオンの変化 (正 (+) または負 (-)) が表示されます。この比較は、選択した期間と、同じ長さの前の期間に基づきます。たとえば、[ 過去 1 か月] の期間を選択した場合、ユーザーログオンの傾向と偏差が、過去 1 か月と前から 1 か月間の間で比較されます。

注:

位置情報は都市レベルおよび国レベルで提供され、正確な位置情報を表すものではありません。アクセス保証、ジオロケーションの詳細については、 よくある質問を参照してください

ユーザーログオンの詳細

[ 一意のログオン場所の上位 10 個] テーブルで、ユーザー、 ユーザーのアクセスプロファイルおよびログオンの詳細を表示する場所を選択します

ユーザーログオンの概要ページ

マップには、選択した期間のさまざまな場所からのユニークユーザー数が表示されます。青いバブルにカーソルを合わせるか、場所を拡大して、その場所からの一意のユーザーログオンの総数を表示します。青い吹き出しをクリックすると、 ロケーションのアクセス詳細が表示されます

マップズームインビュー

マップの右下隅には、一意のユーザーログオンの範囲を表示できます。選択した期間について、小さなバブルは、ロケーション全体の一意のユーザーログオンの最小数を示します。大きなバブルは、ロケーション全体の一意のユーザーログオンの最大数を示します。

ユーザーカウント範囲

利用できないと識別された場所

[ 一意のログオン場所の上位 10 個 ] テーブルに、不明な場所または使用できない場所がある場合があります。不明な場所をクリックすると、[User Logons] ページに対応するユーザーログオンの詳細が表示されます

国や都市の情報がない場合は、[ ユーザーログオン ] ページの [ DATA] テーブルに NA ラベルが表示されます。

NA ラベルにカーソルを合わせると、位置情報が使用できない理由が表示されます。

ロケーションは利用できません

ロケーションを使用できない場合に、次のいずれかのシナリオが表示される場合があります。

シナリオ 理由
都市名と国名は利用できません。 以下のいずれかのサーバーオペレーティングシステム
 
  1. ユーザーがサポートされていないバージョンのCitrix Workspace アプリを使用しています。ロケーション情報を表示するには、 クライアントをサポートされているバージョンに更新します
プライベート IP を持つロケーション ユーザーのデバイスがプライベートネットワーク内にある。この場合、Citrix Analytics では位置情報を使用できません。
国名は利用可能ですが、都市名は利用できません。 ユーザーのデバイスが企業 IP を使用している可能性があります。企業 IP 範囲は、外部ジオロケーションサービスで難読化されます。したがって、Citrix Analytics では位置情報を使用できません。

ジオフェンシングを有効にする

ジオフェンシングは、安全なジオフェンスの外側や危険なジオフェンスエリア内から仮想アプリや仮想デスクトップにアクセスするユーザーを特定するのに役立ちます。 アクセス概要ページを表示するには 、「 セキュリティ」>「アクセス保証」に移動します。

デフォルトでは、 ジオフェンス設定は常にオンになっています 。ジオフェンスを構成するには、[ ジオフェンスの追加/編集] をクリックします。

ジオフェンスの有効化

[ ジオフェンス設定] ウィンドウに 2 つのタブが表示されます。

  • 安全な場所:安全な場所に該当する国を設定または削除できます。
  • 危険な場所:危険な場所に該当する国を設定または削除できます。 また、各タブに設定されている安全な場所と危険な場所の総数を表示することもできます。セーフロケーションジオフェンスまたはリスクロケーションジオフェンスから国を削除または削除するには、国の横にある閉じる (X) 記号をクリックします。[ 保存 ] をクリックして Geofence 設定を保存します。

ジオフェンス設定

危険な場所のジオフェンスに該当する国を設定できます。Risky Locations ジオフェンスにリスク指標が追加されていないか、リスク指標が削除されている場合は、[ ジオフェンスの追加/編集] の横に [ジオフェンスの更新] 警告メッセージが表示されます。

ジオフェンスを更新

インジケーターを再作成するには、[ 危険な場所 ] タブに移動し、[ 危険なジオフェンスのリスクインジケーター ] トグルをオンにします。

危険なジオフェンスのリスク指標

指標は危険な場所のデフォルトリストで作成されます。

アクセス概要ページには 、ジオフェンスされた安全で危険な国も表示されます。

  • ジオフェンスセーフ国は薄い灰色の円でマークされています。
  • ジオフェンスされた危険な国は、濃い灰色の円でマークされています。

ジオフェンス国

ジオフェンス:ユニークユーザーログオン

アクセス概要ページに移動すると、「ジオフェンス:ユニークユーザーログオン」が表示されます。カードには、内部の危険な場所と外部の安全な場所の数が表示されます。

  • 危険なロケーション内:危険なロケーションのジオフェンスエリア内からログインしたユーザーを特定します。
  • 安全な場所外の安全な場所ジオフェンスされた安全な場所の外からログオンしたユーザーを特定します

ジオフェンス固有のユーザーログオン

ログイン総数とユニークユーザーログオン数の詳細を確認するには、[危険な場所の内部] または [安全な場所以外] の横にある数字をクリックします。

アクセス保証の概要ページ

この機能は、次の事前設定されたカスタムリスク指標を使用します。

  • CVAD-Session がジオフェンスの外部で開始されました:安全なジオフェンスの外でのユーザーログオンを監視するため。
  • 危険なジオフェンス内で開始されたCVAD-Session:危険なジオフェンス内のユーザーログオンを監視するため。

ジオフェンスの外部でユーザーのログオンが検出されると、リスク指標がトリガーされ、[ジオフェンス外でセッションが開始されました] ポリシーがそれらのユーザーに適用されます。このポリシーは、 エンドユーザー応答のリクエストアクションをトリガーし 、ユーザーの応答に基づいて、疑わしいログオンによる脅威を防ぐための適切なアクションを実行できます。詳細については、 事前構成されたカスタムリスク指標を参照してください

メモ

  • ジオフェンスの設定で、国を変更すると、 ジオフェンスのリスク指標の外で開始された CVAD セッションも更新されます

  • たとえば、オーストラリアとインドを新しいジオフェンス対象国として選択して保存すると、リスク指標の事前構成された条件は、米国(デフォルトのジオフェンス)に加えて、新しい国で更新されます。デフォルトのジオフェンスされた国 [米国] を削除することもできます。

    リスク指標の事前設定された条件: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    ジオフェンス設定を更新した後、リスク指標の状態は次のようになります。

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • ジオフェンスのリスク指標の外で開始された CVAD セッションが以前にアカウントから削除されている場合Geofence Settings を有効にすると、リスク指標が再度作成されます。リスク指標のジオフェンスされた国は、 ジオフェンスの設定から制御されます

[ ジオフェンス設定] を有効にすると、ジオフェンスされたエリアと、これらのエリアからの一意のユーザーログオンがマップに表示されます。

ログオンネットワーク

Access Assurance ダッシュボードでは、以下の追加ユーザー詳細を表示できるようになりました。

  • ユーザーがログオンした IP アドレスに関連する組織。これらの組織には、企業、政府、教育機関、インターネットサービスプロバイダーなどの団体が含まれます。

  • ユーザーがログオンしたユニークパブリックサブネットとプライベートサブネットの合計。

  • ユーザーがプロキシとプライベート VPN サービスを使用してログオンした詳細。

これらの追加情報を使用して、管理者はユーザーログオンの詳細を検証し、ユーザーログオンが組織のセキュリティ要件の範囲内であるかどうかを確認できます。

ユーザーネットワークの詳細を表示する

[ セキュリティ] > [アクセス保証 ] に移動し、下にスクロールして [ ログオンネットワーク] の下に詳細を表示します。

ログオンネットワーク

  • IPアドレスの合計:仮想セッションへのログオンに使用されるユニークIPアドレスの総数を示します。

  • サブネットの合計:仮想セッションへのログオンに使用されたサブネットの総数を示します。

  • プロキシタイプの合計:サーバーがユーザー接続をプロキシするために使用するネットワークまたはプロトコルの合計タイプを示します。

  • IP登録組織のトップディストリビューションでは、ユーザーログオン総数と各組織(ISP) からの固有のログオン詳細の概要を視覚化できます。グラフをクリックすると、ユーザーの詳細、選択した組織に関連するユーザーのアクセスプロファイル、ログオンの詳細が表示されます。

  • ユニークパブリックサブネットの合計では、サブネットの概要、各サブネットからのユーザーログオン総数、および各サブネットの偏差傾向を視覚化できます。各サブネットをクリックすると、ユーザーの詳細、選択したサブネットに関連するユーザーのアクセスプロファイルとログオンの詳細が表示されます。

ユーザーのアクセスプロファイルを表示する

指標(場所、組織、またはサブネット)をドリルダウンすると、 アクセスプロファイルページには 、選択した場所からの仮想アプリケーションまたは仮想デスクトップへのユーザーのアクセスの概要が表示されます。[個別ログオン] または [総ログオン] オプションを選択して、選択した期間の傾向分析を表示できます。

ユニークユーザーログオン数と総ユーザーログオン

選択した指標 (場所、組織、またはサブネット) の上位アクセスイベントを表示できます。この情報は、脅威の調査と分析のために、アクセスパターンと詳細を確認するのに役立ちます。

ユーザーログオン数の合計と一意のユーザーログオン数の増加傾向または下降傾向は、選択した期間と前回の同じ期間に基づいて比較されます。たとえば、期間を [ 過去 1 か月] として選択すると、過去 1 か月と過去 1 か月間の傾向が比較されます。

プロフィールページビューにアクセスする

ファセット

アクセスイベントには以下のファセットを使用できます。

  • 場所-アクセスイベントを国と都市で絞り込みます。

  • OS-オペレーティングシステムとそのバージョンによってアクセスイベントをフィルタリングします。

  • サブネット-アクセスイベントをサブネットでフィルタリングします。

  • クライアント IP タイプ-アクセスイベントをパブリックまたはプライベートでフィルタリングします。

  • IP 登録組織-パブリック IP アドレスに関連付けられている組織をフィルタリングします。

  • プライベート VPN サービス-プライベート VPN ネットワーク名でアクセスイベントをフィルタリングします。

  • プロキシタイプ-HTTP、Web、Tor、SOCKS などのプロキシタイプ分類でアクセスイベントをフィルタリングします。

また、データが利用できないか識別されていない場合も、[利用不可] ラベルが表示されることがあります。

適用されたフィルターに基づいて、合計ユーザーログオン数と個別ユーザーログオン数に関する次の情報を表示します。

  • ネットワーク-ユーザーが仮想アプリまたは仮想デスクトップにログオンした上位サブネットとIPアドレス。

    上位アクセス詳細

  • 場所-ユーザーが仮想アプリまたは仮想デスクトップにログオンした上位の国と都市。

    トップアクセス場所の詳細

  • エンドポイント-アプリとデスクトップのユーザーログオンに基づく上位のデバイス名とOS名。

    トップアクセスエンドポイントの詳細

ユーザーのログオン詳細の表示

[ ユーザーログオン ] ページには、選択した場所から仮想アプリケーションまたは仮想デスクトップへのユーザーログオンの詳細が表示されます。この情報は、脅威の調査と分析を行う際に役立ちます。

ユーザーログオンページ

DATA テーブルには、選択した場所と期間について、次のログオン詳細が表示されます。

  • 時間。ユーザーがログオンした日時。

  • ユーザー名。ユーザーの ID。

  • クライアント IP。ユーザーデバイスの IP アドレス。

  • クライアント IP タイプ。パブリックまたはプライベートなど、ユーザの IP アドレスのタイプ。

  • 都市と国。ユーザーが仮想アプリケーションまたは仮想デスクトップにログオンした場所。

  • デバイス ID。ユーザーデバイスの ID コード。

  • OS 名。ユーザーデバイス上のオペレーティングシステム。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

    ユーザーログオンデータテーブル

各イベントを展開すると、次の詳細が表示されます。

DATA テーブルでは、次の操作を実行できます。

  • [ 列の追加] または [削除 ] をクリックして、データの表示方法に基づいてテーブルの列を更新します。

  • ソート基準 」をクリックし、複数列のソートを実行するデータ要素を選択します。詳細については、「 複数列の並べ替え」を参照してください。

  • [ CSV 形式にエクスポート ] をクリックして、DATA テーブルに表示されているデータを CSV ファイルにダウンロードし、分析に使用します。

検索バー

また、検索バーを使用して、ログオンイベントに関連付けられたディメンションを使用してクエリを定義することもできます。

例:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

検索ボックス

ファセット

ログオンイベントには、次のファセットを使用できます。

  • Locations-ログオンイベントを国と都市で絞り込みます。

  • OS-オペレーティングシステムとそのバージョンでログオンイベントをフィルタリングします。

  • サブネット-アクセスイベントをサブネットでフィルタリングします。

  • Client IP type-パブリック IP タイプとプライベート IP タイプでアクセスイベントをフィルタリングします。

  • IP 登録組織-アクセスイベントをユーザーが利用できる ISP 別にフィルタリングします。

  • プライベート VPN サービス-プライベート VPN ネットワーク名でアクセスイベントをフィルタリングします。

  • プロキシタイプ-HTTP、Web、Tor、SOCKS などのプロキシタイプ分類でアクセスイベントをフィルタリングします。

また、データが利用できないか識別されていない場合も、[利用不可] ラベルが表示されることがあります。

アクセス保証ダッシュボード