Citrix Analytics for Security

アシュアランスロケーションダッシュボードにアクセスする

リモートワークの増加に伴い、Citrix IT管理者は、ユーザーが通常の安全な場所から、 Citrix Virtual Apps and Desktops または Citrix DaaS (以前のCitrix Virtual Apps and Desktopsサービス)にアクセスしていることを保証したい場合があります。不明な場所や新しい場所からログオンしているユーザーがいる場合は、ログオンの詳細を検証し、Citrix IT環境に対する脅威を軽減するために必要なアクションを実行できます。

Access Assurance Location ダッシュボードには、ユーザーが仮想アプリケーションまたは仮想デスクトップにアクセスしている場所の概要が表示されます。Citrix Analytics for Securityは、ユーザーのデバイスにインストールされたCitrix Workspace アプリからこれらのユーザーログオンイベントを受信します。位置情報は都市レベルおよび国レベルで提供され、正確な地理的位置情報を表すものではありません。

ダッシュボードを表示する

ダッシュボードを表示するには、[ セキュリティ] > [アクセス保証] の順にクリックします。ロケーションの詳細を表示する期間を選択します。

保証ダッシュボードのナビゲーション

ユーザーログオンの概要を分析する

ユーザーログオンの概要 ]ページには、選択した期間の次の情報が表示されます。

  • 全世界各地でのユーザーログオンの総数。

  • 世界各地でのユニークユーザーログオンの総数。

  • ユーザーがログオンした国の総数。

  • ジオフェンシングエリア内の国と一意のユーザーログオンの総数。ジオフェンシングエリアのログオン詳細を表示するには、 ジオフェンシングを有効にします

  • 一意のユーザーログオンがある上位 10 の場所。場合によっては、上位のユニークユーザーログオンが不明な都市や国のものでもあり、これらは [ 不明な場所 ] タブに表示されます。不明な場所のリストも、上位10の場所のサブセットです。一部のロケーションが識別できない理由については、「 利用できないと識別されたロケーション」を参照してください。

また、全世界のユーザーログオン数の合計と、全世界のユニークユーザーログオン数の合計の上昇または下降傾向も確認できます。上位 10 つの場所について、[ 偏差 ] 列には、各場所のユーザーログオンの変化 (正 (+) または負 (-)) が表示されます。この比較は、選択した期間と、同じ長さの前の期間に基づきます。たとえば、[ 過去 1 か月] の期間を選択した場合、ユーザーログオンの傾向と偏差が、過去 1 か月と前から 1 か月間の間で比較されます。

ユーザーログオンの詳細

[ 一意のログオン場所の上位 10 個] テーブルで、ユーザー、 ユーザーのアクセスプロファイルおよびログオンの詳細を表示する場所を選択します

ユーザーログオンの概要ページ

マップには、選択した期間のさまざまな場所からのユニークユーザー数が表示されます。青いバブルにカーソルを合わせるか、場所を拡大して、その場所からの一意のユーザーログオンの総数を表示します。青い吹き出しをクリックすると、 ロケーションのアクセス詳細が表示されます

マップズームインビュー

マップの右下隅には、一意のユーザーログオンの範囲を表示できます。選択した期間について、小さなバブルは、ロケーション全体の一意のユーザーログオンの最小数を示します。大きなバブルは、ロケーション全体の一意のユーザーログオンの最大数を示します。

ユーザーカウント範囲

ユーザーのアクセスプロファイルを表示する

[ アクセスプロファイル ] ページには、選択した場所からの仮想アプリケーションまたは仮想デスクトップへのユーザーのアクセスの概要が表示されます。選択した期間のユーザーログオン数とユニークユーザーログオン数の傾向分析を提供します。選択したロケーションの上位アクセスイベントを表示できます。この情報は、脅威の調査と分析のために、アクセスパターンと詳細を確認するのに役立ちます。

ユーザーログオン数の合計と一意のユーザーログオン数の増加傾向または下降傾向は、選択した期間と前回の同じ期間に基づいて比較されます。たとえば、期間を [ 過去 1 か月] として選択すると、過去 1 か月と過去 1 か月間の傾向が比較されます。

プロフィールページビューにアクセスする

ファセット

アクセスイベントには以下のファセットを使用できます。

  • 場所-アクセスイベントを国と都市で絞り込みます。

  • OS-オペレーティングシステムとそのバージョンによってアクセスイベントをフィルタリングします。

    プロファイルフィルターにアクセスする

また、データが利用できないか識別されていない場合も、[利用不可] ラベルが表示されることがあります。

適用されたフィルターに基づいて、合計ユーザーログオン数と個別ユーザーログオン数に関する次の情報を表示します。

  • タイムラインの詳細-選択した期間における、合計ユーザーログオンイベントと一意のユーザーログオンイベントの時系列です。過去と進行中のイベントパターンを比較し、理解するのに役立ちます。

  • ロケーションの詳細-ユーザーが仮想アプリケーションまたは仮想デスクトップにログオンした上位の国と都市。

  • ネットワーク IP-ユーザーが仮想アプリケーションまたは仮想デスクトップにログオンした上位のサブネットと IP アドレス。

    上位アクセス詳細

ユーザーのログオン詳細の表示

[ ユーザーログオン ] ページには、選択した場所から仮想アプリケーションまたは仮想デスクトップへのユーザーログオンの詳細が表示されます。この情報は、脅威の調査と分析を行う際に役立ちます。

ユーザーログオンページ

DATA テーブルには、選択した場所と期間について、次のログオン詳細が表示されます。

  • 時間。ユーザーがログオンした日時。

  • ユーザー名。ユーザーの ID。

  • クライアント IP。ユーザーデバイスの IP アドレス。

  • クライアント IP タイプ。パブリックまたはプライベートなど、ユーザの IP アドレスのタイプ。

  • 都市と国。ユーザーが仮想アプリケーションまたは仮想デスクトップにログオンした場所。

  • デバイス ID。ユーザーデバイスの ID コード。

  • OS 名。ユーザーデバイス上のオペレーティングシステム。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

  • OS バージョン。ユーザーデバイス上のオペレーティングシステムのバージョン。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

  • OS 追加情報-ビルド番号、サービスパック、パッチなど、オペレーティングシステムの追加情報。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

  • Workspace アプリのバージョン。Citrix WorkspaceアプリまたはCitrix Receiverのビルドバージョンです。

ユーザーログオンデータテーブル

DATA テーブルでは、次の操作を実行できます。

  • [ 列の追加] または [削除 ] をクリックして、データの表示方法に基づいてテーブルの列を更新します。

  • ソート基準 」をクリックし、複数列のソートを実行するデータ要素を選択します。詳細については、「 複数列の並べ替え」を参照してください。

  • [ CSV 形式にエクスポート ] をクリックして、DATA テーブルに表示されているデータを CSV ファイルにダウンロードし、分析に使用します。

検索バー

また、検索バーを使用して、ログオンイベントに関連付けられたディメンションを使用してクエリを定義することもできます。

例:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

検索ボックス

ファセット

ログオンイベントには、次のファセットを使用できます。

  • Locations-ログオンイベントを国と都市で絞り込みます。

  • OS-オペレーティングシステムとそのバージョンでログオンイベントをフィルタリングします。

  • Client IP type-パブリック IP タイプとプライベート IP タイプでアクセスイベントをフィルタリングします。

    フィルター

また、データが利用できないか識別されていない場合も、[利用不可] ラベルが表示されることがあります。

利用できないと識別された場所

[ 一意のログオン場所の上位 10 個 ] テーブルに、不明な場所または使用できない場所がある場合があります。不明な場所をクリックすると、[User Logons] ページに対応するユーザーログオンの詳細が表示されます

国や都市の情報がない場合は、[ ユーザーログオン ] ページの [ DATA] テーブルに NA ラベルが表示されます。

NA ラベルにカーソルを合わせると、位置情報が使用できない理由が表示されます。

ロケーションは利用できません

ロケーションを使用できない場合に、次のいずれかのシナリオが表示される場合があります。

シナリオ 理由
都市名と国名は利用できません。 以下のいずれかのサーバーオペレーティングシステム
  1. ユーザーがサポートされていないバージョンのCitrix Workspace アプリを使用しています。ロケーション情報を表示するには、 クライアントをサポートされているバージョンに更新します
  2. ユーザーのネットワークパブリックIPアドレスが使用できないため、Citrix Analytics はその場所を見つけることができません。
  3. 外部の地理的位置情報サービスは、Citrix Analytics に位置情報を送信できません。
プライベート IP を持つロケーション ユーザーのデバイスがプライベートネットワーク内にある。この場合、Citrix Analytics では位置情報を使用できません。
国名は利用可能ですが、都市名は利用できません。 ユーザーのデバイスが企業 IP を使用している可能性があります。企業 IP 範囲は、外部ジオロケーションサービスで難読化されます。したがって、Citrix Analytics では位置情報を使用できません。

ユーザーの位置情報を取得するためにサポートされているクライアントバージョン

Citrix Workspaceアプリのバージョンがサポートされていないために位置情報が使用できない場合は、クライアントを次のバージョンのいずれかに更新します。

クライアント名 バージョン ビルドバージョン
Windows向けCitrix Workspaceアプリ 2008以降 20.8.0.46以降
Mac向けCitrix Workspaceアプリ 2006以降 20.06.0.7以降
HTML5向けCitrix Workspaceアプリ 2007以降 20.7.0.4127以降
iOS向けCitrix Workspaceアプリ Apple App Storeで最新バージョンが入手可能 Apple App Storeで最新バージョンが入手可能
Android向けCitrix Workspaceアプリ Google Play で利用できる最新バージョン Google Play で利用できる最新バージョン
Chrome向けCitrix Workspaceアプリ Chrome Web Store で利用可能な最新バージョン Chrome Web Store で利用可能な最新バージョン
Linux向けCitrix Workspaceアプリ 2104 またはそれ以上 使用できません

Citrix Workspaceアプリのリリースごとのライフサイクルマイルストーンの日付については、「Citrix Workspace アプリとCitrix Receiverのライフサイクルマイルストーン」を参照してください。Citrix Workspace アプリの最新バージョンをダウンロードするには、[ シトリックスのダウンロード] ページにアクセスします。

ジオフェンシングを有効にする

ジオフェンシングは、定義済みのエリア (ジオフェンス) の外部から仮想アプリケーションまたは仮想デスクトップにアクセスするユーザーを特定するのに役立ちます。

ジオフェンスを構成するには、[ ジオフェンスの追加/編集] をクリックします。[ジオフェンスの設定] を有効にして、国を選択します。

ジオフェンスの有効化

この機能は、事前設定されたカスタムリスクインジケータ( ジオフェンスの外部で開始された CVAD セッション )を使用して、ジオフェンス外のユーザログオンを監視します。ジオフェンスの外部でユーザーのログオンが検出されると、リスク指標がトリガーされ、[ジオフェンス外でセッションが開始されました] ポリシーがそれらのユーザーに適用されます。このポリシーは、 エンドユーザー応答のリクエストアクションをトリガーし 、ユーザーの応答に基づいて、疑わしいログオンによる脅威を防ぐための適切なアクションを実行できます。詳細については、 事前構成されたカスタムリスク指標を参照してください

メモ

  • ジオフェンスの設定で、国を変更すると、 ジオフェンスのリスク指標の外で開始された CVAD セッションも更新されます

  • たとえば、オーストラリアとインドを新しいジオフェンス対象国として選択して保存すると、リスク指標の事前構成された条件は、米国(デフォルトのジオフェンス)に加えて、新しい国で更新されます。デフォルトのジオフェンスされた国 [米国] を削除することもできます。

    リスク指標の事前設定された条件: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    ジオフェンス設定を更新した後、リスク指標の状態は次のようになります。

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • ジオフェンスのリスク指標の外で開始された CVAD セッションが以前にアカウントから削除されている場合Geofence Settings を有効にすると、リスク指標が再度作成されます。リスク指標のジオフェンスされた国は、 ジオフェンスの設定から制御されます

[ ジオフェンス設定] を有効にすると、ジオフェンスされたエリアと、これらのエリアからの一意のユーザーログオンがマップに表示されます。

アシュアランスロケーションダッシュボードにアクセスする