Citrix Analytics for Security

アシュアランスロケーションダッシュボードにアクセスする

リモートワークの増加に伴い、Citrix IT管理者は、ユーザーが通常の安全な場所から、 Citrix Virtual Apps and Desktops または Citrix DaaS (以前のCitrix Virtual Apps and Desktopsサービス)にアクセスしていることを保証したい場合があります。不明な場所や新しい場所からログオンしているユーザーがいる場合は、ログオンの詳細を検証し、Citrix IT環境に対する脅威を軽減するために必要なアクションを実行できます。

アクセス保証ロケーションダッシュボードには 、ユーザーが仮想アプリケーションまたは仮想デスクトップにアクセスしている場所の概要が表示されます。Citrix Analytics for Securityは、ユーザーのデバイスにインストールされたCitrix Workspace アプリからこれらのユーザーログオンイベントを受信します。位置情報は都市レベルおよび国レベルで提供され、正確な地理的位置情報を表すものではありません。

アクセス保証 — ジオロケーションの詳細については、 FAQを参照してください。

ダッシュボードを表示する

ダッシュボードを表示するには、[ セキュリティ] > [アクセス保証] の順にクリックします。ロケーションの詳細を表示する期間を選択します。

保証ダッシュボードのナビゲーション

ユーザーログオンの概要を分析する

ユーザーログオンの概要 ]ページには、選択した期間の次の情報が表示されます。

  • ロケーション全体でのユーザーログオンの総数(全世界)。

  • ロケーション全体でのユニークユーザーログオンの総数(全世界)。

  • ユーザーがログオンした国の総数。

  • ジオフェンシングエリア内の国と一意のユーザーログオンの総数。ジオフェンシングエリアのログオン詳細を表示するには、 ジオフェンシングを有効にします

  • 一意のユーザーログオンがある上位 10 の場所。場合によっては、上位のユニークユーザーログオンが不明な都市や国のものでもあり、これらは [ 不明な場所 ] タブに表示されます。不明な場所のリストも、上位10の場所のサブセットです。一部のロケーションが識別できない理由については、「 利用できないと識別されたロケーション」を参照してください。

また、全世界のユーザーログオン数の増加傾向または減少傾向と、全世界のユニークユーザーログオン数の増加傾向または減少傾向も確認できます。上位 10 つの場所について、[ 偏差 ] 列には、各場所のユーザーログオンの変化 (正 (+) または負 (-)) が表示されます。この比較は、選択した期間と、同じ長さの前の期間に基づきます。たとえば、[ 過去 1 か月] の期間を選択した場合、ユーザーログオンの傾向と偏差が、過去 1 か月と前から 1 か月間の間で比較されます。

ユーザーログオンの詳細

[ 一意のログオン場所の上位 10 個] テーブルで、ユーザー、 ユーザーのアクセスプロファイルおよびログオンの詳細を表示する場所を選択します

ユーザーログオンの概要ページ

マップには、選択した期間のさまざまな場所からのユニークユーザー数が表示されます。青いバブルにカーソルを合わせるか、場所を拡大して、その場所からの一意のユーザーログオンの総数を表示します。青い吹き出しをクリックすると、 ロケーションのアクセス詳細が表示されます

マップズームインビュー

マップの右下隅には、一意のユーザーログオンの範囲を表示できます。選択した期間について、小さなバブルは、ロケーション全体の一意のユーザーログオンの最小数を示します。大きなバブルは、ロケーション全体の一意のユーザーログオンの最大数を示します。

ユーザーカウント範囲

ユーザーのアクセスプロファイルを表示する

[ アクセスプロファイル ] ページには、選択した場所からの仮想アプリケーションまたは仮想デスクトップへのユーザーのアクセスの概要が表示されます。選択した期間のユーザーログオン数とユニークユーザーログオン数の傾向分析を提供します。選択したロケーションの上位アクセスイベントを表示できます。この情報は、脅威の調査と分析のために、アクセスパターンと詳細を確認するのに役立ちます。

ユーザーログオン数の合計と一意のユーザーログオン数の増加傾向または下降傾向は、選択した期間と前回の同じ期間に基づいて比較されます。たとえば、期間を [ 過去 1 か月] として選択すると、過去 1 か月と過去 1 か月間の傾向が比較されます。

プロフィールページビューにアクセスする

ファセット

アクセスイベントには以下のファセットを使用できます。

  • 場所-アクセスイベントを国と都市で絞り込みます。

  • OS-オペレーティングシステムとそのバージョンによってアクセスイベントをフィルタリングします。

    プロファイルフィルターにアクセスする

また、データが利用できないか識別されていない場合も、[利用不可] ラベルが表示されることがあります。

適用されたフィルターに基づいて、合計ユーザーログオン数と個別ユーザーログオン数に関する次の情報を表示します。

  • タイムラインの詳細-選択した期間における、合計ユーザーログオンイベントと一意のユーザーログオンイベントの時系列です。過去と進行中のイベントパターンを比較し、理解するのに役立ちます。

  • ロケーションの詳細-ユーザーが仮想アプリケーションまたは仮想デスクトップにログオンした上位の国と都市。

  • ネットワーク IP-ユーザーが仮想アプリケーションまたは仮想デスクトップにログオンした上位のサブネットと IP アドレス。

    上位アクセス詳細

ユーザーのログオン詳細の表示

[ ユーザーログオン ] ページには、選択した場所から仮想アプリケーションまたは仮想デスクトップへのユーザーログオンの詳細が表示されます。この情報は、脅威の調査と分析を行う際に役立ちます。

ユーザーログオンページ

DATA テーブルには、選択した場所と期間について、次のログオン詳細が表示されます。

  • 時間。ユーザーがログオンした日時。

  • ユーザー名。ユーザーの ID。

  • クライアント IP。ユーザーデバイスの IP アドレス。

  • クライアント IP タイプ。パブリックまたはプライベートなど、ユーザの IP アドレスのタイプ。

  • 都市と国。ユーザーが仮想アプリケーションまたは仮想デスクトップにログオンした場所。

  • デバイス ID。ユーザーデバイスの ID コード。

  • OS 名。ユーザーデバイス上のオペレーティングシステム。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

  • OS バージョン。ユーザーデバイス上のオペレーティングシステムのバージョン。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

  • OS 追加情報-ビルド番号、サービスパック、パッチなど、オペレーティングシステムの追加情報。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

  • Workspace アプリのバージョン。Citrix WorkspaceアプリまたはCitrix Receiverのビルドバージョンです。

ユーザーログオンデータテーブル

DATA テーブルでは、次の操作を実行できます。

  • [ 列の追加] または [削除 ] をクリックして、データの表示方法に基づいてテーブルの列を更新します。

  • ソート基準 」をクリックし、複数列のソートを実行するデータ要素を選択します。詳細については、「 複数列の並べ替え」を参照してください。

  • [ CSV 形式にエクスポート ] をクリックして、DATA テーブルに表示されているデータを CSV ファイルにダウンロードし、分析に使用します。

検索バー

また、検索バーを使用して、ログオンイベントに関連付けられたディメンションを使用してクエリを定義することもできます。

例:

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

検索ボックス

ファセット

ログオンイベントには、次のファセットを使用できます。

  • Locations-ログオンイベントを国と都市で絞り込みます。

  • OS-オペレーティングシステムとそのバージョンでログオンイベントをフィルタリングします。

  • Client IP type-パブリック IP タイプとプライベート IP タイプでアクセスイベントをフィルタリングします。

    フィルター

また、データが利用できないか識別されていない場合も、[利用不可] ラベルが表示されることがあります。

利用できないと識別された場所

[ 一意のログオン場所の上位 10 個 ] テーブルに、不明な場所または使用できない場所がある場合があります。不明な場所をクリックすると、[User Logons] ページに対応するユーザーログオンの詳細が表示されます

国や都市の情報がない場合は、[ ユーザーログオン ] ページの [ DATA] テーブルに NA ラベルが表示されます。

NA ラベルにカーソルを合わせると、位置情報が使用できない理由が表示されます。

ロケーションは利用できません

ロケーションを使用できない場合に、次のいずれかのシナリオが表示される場合があります。

シナリオ 理由
都市名と国名は利用できません。 以下のいずれかのサーバーオペレーティングシステム
  1. ユーザーがサポートされていないバージョンのCitrix Workspace アプリを使用しています。ロケーション情報を表示するには、 クライアントをサポートされているバージョンに更新します
  2. ユーザーのネットワークパブリックIPアドレスが使用できないため、Citrix Analytics はその場所を見つけることができません。
  3. 外部の地理的位置情報サービスは、Citrix Analytics に位置情報を送信できません。
プライベート IP を持つロケーション ユーザーのデバイスがプライベートネットワーク内にある。この場合、Citrix Analytics では位置情報を使用できません。
国名は利用可能ですが、都市名は利用できません。 ユーザーのデバイスが企業 IP を使用している可能性があります。企業 IP 範囲は、外部ジオロケーションサービスで難読化されます。したがって、Citrix Analytics では位置情報を使用できません。

ユーザーの位置情報を取得するためにサポートされているクライアントバージョン

Citrix Workspaceアプリのバージョンがサポートされていないために位置情報が使用できない場合は、クライアントを次のバージョンのいずれかに更新します。

クライアント名 バージョン ビルドバージョン
Windows向けCitrix Workspaceアプリ 2008以降 20.8.0.46以降
Mac向けCitrix Workspaceアプリ 2006以降 20.06.0.7以降
HTML5向けCitrix Workspaceアプリ 2007以降 20.7.0.4127以降
iOS向けCitrix Workspaceアプリ Apple App Storeで最新バージョンが入手可能 Apple App Storeで最新バージョンが入手可能
Android向けCitrix Workspaceアプリ Google Play で利用できる最新バージョン Google Play で利用できる最新バージョン
Chrome向けCitrix Workspaceアプリ Chrome Web Store で利用可能な最新バージョン Chrome Web Store で利用可能な最新バージョン
Linux向けCitrix Workspaceアプリ 2104 またはそれ以上 使用できません

Citrix Workspaceアプリのリリースごとのライフサイクルマイルストーンの日付については、「Citrix Workspace アプリとCitrix Receiverのライフサイクルマイルストーン」を参照してください。Citrix Workspace アプリの最新バージョンをダウンロードするには、[ シトリックスのダウンロード] ページにアクセスします。

ジオフェンシングを有効にする

ジオフェンシングは、安全なジオフェンスの外側や危険なジオフェンスエリア内から仮想アプリや仮想デスクトップにアクセスするユーザーを特定するのに役立ちます。 アクセス概要ページを表示するには 、「 セキュリティ」>「アクセス保証」に移動します。

デフォルトでは、 ジオフェンス設定は常にオンになっています 。ジオフェンスを構成するには、[ ジオフェンスの追加/編集] をクリックします。

ジオフェンスの有効化

[ ジオフェンス設定] ウィンドウに 2 つのタブが表示されます。

  • 安全な場所:安全な場所に該当する国を設定または削除できます。
  • 危険な場所:危険な場所に該当する国を設定または削除できます。 また、各タブに設定されている安全な場所と危険な場所の総数を表示することもできます。セーフロケーションジオフェンスまたはリスクロケーションジオフェンスから国を削除または削除するには、国の横にある閉じる (X) 記号をクリックします。[ 保存 ] をクリックして Geofence 設定を保存します。

ジオフェンス設定

危険な場所のジオフェンスに該当する国を設定できます。Risky Locations ジオフェンスにリスク指標が追加されていないか、リスク指標が削除されている場合は、[ ジオフェンスの追加/編集] の横に [ジオフェンスの更新] 警告メッセージが表示されます。

ジオフェンスを更新

インジケーターを再作成するには、[ 危険な場所 ] タブに移動し、[ 危険なジオフェンスのリスクインジケーター ] トグルをオンにします。

危険なジオフェンスのリスク指標

指標は危険な場所のデフォルトリストで作成されます。

アクセス概要ページには 、ジオフェンスされた安全で危険な国も表示されます。

  • ジオフェンスセーフ国は薄い灰色の円でマークされています。
  • ジオフェンスされた危険な国は、濃い灰色の円でマークされています。

ジオフェンス国

ジオフェンス:ユニークユーザーログオン

アクセス概要ページに移動すると、「ジオフェンス:ユニークユーザーログオン」が表示されます。カードには、内部の危険な場所と外部の安全な場所の数が表示されます。

  • 危険なロケーション内:危険なロケーションのジオフェンスエリア内からログインしたユーザーを特定します。
  • 安全な場所外の安全な場所ジオフェンスされた安全な場所の外からログオンしたユーザーを特定します

ジオフェンス固有のユーザーログオン

ログイン総数とユニークユーザーログオン数の詳細を確認するには、[危険な場所の内部] または [安全な場所以外] の横にある数字をクリックします。

アクセス保証の概要ページ

この機能は、次の事前設定されたカスタムリスク指標を使用します。

  • CVAD-Session がジオフェンスの外部で開始されました:安全なジオフェンスの外でのユーザーログオンを監視するため。
  • 危険なジオフェンス内で開始されたCVAD-Session:危険なジオフェンス内のユーザーログオンを監視するため。

ジオフェンスの外部でユーザーのログオンが検出されると、リスク指標がトリガーされ、[ジオフェンス外でセッションが開始されました] ポリシーがそれらのユーザーに適用されます。このポリシーは、 エンドユーザー応答のリクエストアクションをトリガーし 、ユーザーの応答に基づいて、疑わしいログオンによる脅威を防ぐための適切なアクションを実行できます。詳細については、 事前構成されたカスタムリスク指標を参照してください

  • ジオフェンスの設定で、国を変更すると、 ジオフェンスのリスク指標の外で開始された CVAD セッションも更新されます

  • たとえば、オーストラリアとインドを新しいジオフェンス対象国として選択して保存すると、リスク指標の事前構成された条件は、米国(デフォルトのジオフェンス)に加えて、新しい国で更新されます。デフォルトのジオフェンスされた国 [米国] を削除することもできます。

    リスク指標の事前設定された条件: Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    ジオフェンス設定を更新した後、リスク指標の状態は次のようになります。

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • ジオフェンスのリスク指標の外で開始された CVAD セッションが以前にアカウントから削除されている場合Geofence Settings を有効にすると、リスク指標が再度作成されます。リスク指標のジオフェンスされた国は、 ジオフェンスの設定から制御されます

[ ジオフェンス設定] を有効にすると、ジオフェンスされたエリアと、これらのエリアからの一意のユーザーログオンがマップに表示されます。

アシュアランスロケーションダッシュボードにアクセスする