カスタムリスクインジケーター
Citrix Analytics for Security™ には、次の 2 種類のリスクインジケーターがあります。
-
デフォルトのリスクインジケーター: これらのリスクインジケーターは、機械学習アルゴリズムに基づいています。詳細については、「Citrixユーザーリスクインジケーター」を参照してください。
-
カスタムリスクインジケーター: これらのリスクインジケーターは、管理者が手動で作成します。
カスタムリスクインジケーターを作成する際、ユースケースに基づいてトリガー条件とパラメーターを定義できます。ユーザーイベントが定義した基準に一致すると、Citrix Analytics はカスタムリスクインジケーターをトリガーし、ユーザーのリスクタイムラインに表示します。
次のデータソースに対してカスタムリスクインジケーターを作成します。
- Citrix Gateway
- Citrix Secure Private Access™
- オンプレミスの Citrix Virtual Apps and Desktops™
- Citrix DaaS (旧 Citrix Virtual Apps™ and Desktops サービス)
- Citrix Secure Browser
事前構成済みカスタムリスクインジケーター
Citrix は、Citrix インフラストラクチャのセキュリティを監視するのに役立つ、事前構成済みの条件を持つカスタムリスクインジケーターもいくつか提供しています。ユースケースに基づいて、事前構成済みの条件を変更できます。詳細については、「事前構成済みカスタムリスクインジケーター」を参照してください。
カスタムリスクインジケーターページ
カスタムリスクインジケーターページには、ユーザー、重大度、データソース、ポリシー数、リスクカテゴリ、ステータス、およびインジケーターの最終変更日時について生成されたすべてのカスタムリスクインジケーターに関する洞察が表示されます。カスタムリスクインジケーターを作成するには、「カスタムリスクインジケーターの作成」を参照してください。
リスクインジケーターを選択すると、リスクインジケーターの変更ページにリダイレクトされます。詳細については、「カスタムリスクインジケーターの変更」を参照してください。
カスタムリスクインジケーターの分析
定義したカスタムリスクインジケーターをトリガーしたユーザーを想定します。Citrix Analytics は、ユーザーのリスクタイムラインにカスタムリスクインジケーターを表示します。
ユーザーのリスクタイムラインでカスタムリスクインジケーターを選択すると、右側のペインに次の情報が表示されます。
-
定義済み条件: カスタムリスクインジケーターの作成時に定義する条件の概要が表示されます。
-
説明: カスタムリスクインジケーターの作成時に指定する説明の概要が表示されます。カスタムリスクインジケーターの作成時に説明が指定されていない場合、このセクションにはなしと表示されます。
-
トリガー頻度: カスタムリスクインジケーターの作成時に詳細オプションセクションで選択したオプションが表示されます。
-
イベントの詳細: カスタムリスクインジケーターをトリガーしたユーザーイベントのタイムラインと詳細が表示されます。イベント検索をクリックすると、セルフサービス検索ページでユーザーイベントを表示できます。セルフサービス検索ページには、ユーザーとカスタムリスクインジケーターに関連付けられたイベントが表示されます。検索クエリには、カスタムリスクインジケーターに定義された条件が表示されます。
注
カスタムリスクインジケーターは、ユーザーリスクタイムラインにラベルで表示されます。
ユーザーに適用できるアクション
ユーザーに対してカスタムリスクインジケーターがトリガーされた場合、手動でアクションを適用するか、ポリシーを作成してアクションを自動的に適用できます。詳細については、「ポリシーとアクション」を参照してください。
カスタムリスクインジケーターテンプレート
事前定義されたテンプレートのいずれかを使用してカスタムリスクインジケーターを作成するか、テンプレートを使用せずに続行できます。
テンプレートは、カスタムリスクインジケーターを作成するための出発点として機能します。ユースケースに基づいて選択できる事前定義されたクエリとパラメーターを提供することで、カスタムリスクインジケーターの作成をガイドします。
テンプレートはそのまま使用することも、要件に合わせて変更することもできます。テンプレートを使用することで、管理者は追加のトレーニングなしで関心のあるリスクインジケーターを作成できます。
テンプレートは次の情報で構成されます。
-
説明: テンプレートで定義されたクエリの目的を示します。
-
データソース: テンプレートが適用されるデータソースを示します。
-
リスクカテゴリ: クエリによって検索されたイベントに関連付けられているリスクカテゴリを示します。危険なイベントには、データ漏洩、内部脅威、侵害されたユーザー、侵害されたエンドポイントの 4 つのカテゴリがあります。詳細については、「リスクカテゴリ」を参照してください。
-
頻度: クエリがトリガーされる頻度を示します。
-
重大度: イベントに関連付けられているリスクの重大度を示します。リスクは、高、中、低のいずれかです。
-
作成者: テンプレートの作成者を示します。テンプレートは常にシステム定義です。
-
クエリ: テンプレートで定義された条件を示します。クエリは、条件を満たすユーザーイベントを取得します。
次の画像は、SaaS アプリでのクリップボード使用のユースケースのテンプレートを示しています。
ユースケースに適したテンプレートが見つからない場合や、独自のクエリを定義したい場合は、テンプレートを使用せずに続行できます。
カスタムリスクインジケーターの作成
カスタムリスクインジケーターを作成するには:
-
セキュリティ > カスタムリスクインジケーター > インジケーターの作成に移動します。
-
テンプレートを選択してユースケースを表示します。要件を満たしている場合は、インジケーターにテンプレートを適用を選択します。
注
テンプレートの事前定義された条件とパラメーターを変更することもできます。
-
目的のテンプレートが見つからない場合や、独自の条件を作成したい場合は、テンプレートを使用せずに続行を選択します。
-
画面の指示に従ってインジケーターを作成します。
注
カスタムリスクインジケーターは最大 50 個まで作成できます。この最大制限に達した場合は、カスタムリスクインジケーターを作成するために、既存のカスタムリスクインジケーターを削除または編集する必要があります。
カスタムリスクインジケーターがトリガーされると、ユーザータイムラインにすぐに表示されます。ただし、ユーザーのリスク概要とリスクスコアは数分後 (約 15 ~ 20 分) に更新されます。
カスタムリスクインジケーターの条件定義
クエリボックスを使用して、カスタムリスクインジケーターの条件を定義します。選択したデータソースに応じて、条件を定義するための対応するディメンションと有効な演算子が取得されます。
Event-Type や Clipboard-Operation などの特定のディメンションを有効な演算子とともに選択すると、ディメンションの値が自動的に表示されます。推奨されるオプションから値を選択するか、要件に応じて新しい値を入力できます。
次の画像は、ディメンション Event-Type の推奨値を示しています。
テンプレートを使用する場合、条件は事前定義されています。ただし、ユースケースに基づいて事前定義された条件を追加または変更できます。
クエリボックスの下に、推定トリガーリンクが表示されます。このリンクをクリックすると、定義された条件に対してトリガーされるカスタムリスクインジケーターのおおよそのインスタンスを予測できます。これらのインスタンスは、Citrix Analytics が保持し、定義された条件を満たす履歴データに基づいて計算されます。
最後に定義された条件に対するカスタムリスクインジケーターの発生数を予測するには、必ず推定トリガーをクリックしてください。
詳細オプションの使用
詳細オプションセクションで、カスタムリスクインジケーターをトリガーするイベントの頻度を選択します。いずれのオプションも選択しない場合、Citrix Analytics は毎回: イベントが発生するたびにリスクインジケーターを生成をデフォルトオプションと見なし、カスタムリスクインジケーターを生成します。次のいずれかのオプションを選択できます。
-
毎回: イベントが定義された条件を満たすたびにリスクインジケーターがトリガーされます。
-
初回: イベントが定義された条件を初めて満たしたときにリスクインジケーターがトリガーされます。
-
新規エンティティの初回: このオプションを有効にすると、新しいエンティティから初めて受信したイベントを検出できます。エンティティの例としては、クライアント IP、国、都市、デバイス ID などがあります。データソースに基づいて、1 つのエンティティのみを選択できます。このオプションを使用すると、エンティティの明示的な値を指定せずにリスクインジケーターを作成できます。たとえば、「都市」をエンティティとして選択した場合、都市名を指定する必要はありません。新しい都市から初めてイベントが受信されたときに、リスクインジケーターがトリガーされます。
次の表に、各データソースに対応するエンティティとトリガー条件を示します。
データソース エンティティ トリガー条件 Secure Private Access 都市 ユーザーが新しい都市から初めてログオンした場合。 クライアント IP ユーザーが新しい IP アドレスから初めてログオンした場合。 国 ユーザーが新しい国から初めてログオンした場合。 Apps and Desktops アプリ名 ユーザーが新しい仮想アプリケーションまたは SaaS アプリケーションを初めて開いた場合。 アプリ URL ユーザーが仮想デスクトップのブラウザーに新しいアプリ URL を初めて入力した場合。 都市 ユーザーが新しい都市から初めてアプリまたはデスクトップを起動した場合。 クライアント IP ユーザーが新しい IP アドレスから初めてログオンした場合。 国 ユーザーが新しい国から初めてアプリまたはデスクトップを起動した場合。 デバイス ID ユーザーがモバイル、ラップトップ、デスクトップマシンなどの新しいデバイスから仮想アプリまたは仮想デスクトップを初めて起動した場合。 ダウンロードデバイスタイプ ユーザーが USB ドライブなどの新しいストレージメディアを初めて使用した場合。 印刷ファイル形式 印刷されたファイルの形式。 印刷ファイルサイズ 印刷されたファイルのサイズ (バイト単位)。 印刷ファイル名 印刷されたファイルの名前。 プリンター名 使用されたプリンターの名前。 印刷された合計部数 ユーザーが印刷した合計部数。 印刷された合計ページ数 ユーザーが印刷したドキュメントの合計ページ数。 Gateway クライアント IP ユーザーが新しい IP アドレスから初めてログオンした場合。 Secure Browser ユーザー名 イベントを開始したユーザーの名前。 アクセス許可 ユーザーがホストサービスへのアクセスを許可されているか、拒否されているか。 クライアント IP ユーザーデバイスの IP アドレス。 アクセスされたホスト名 ユーザーがネットワーク経由でアクセスしたホストサービス。 セッション ID ユーザーセッションに割り当てられた一意の番号。 次の例は、Apps and Desktops データソース用に作成されたカスタムリスクインジケーターを示しています。このリスクインジケーターは、ユーザーが新しいデバイスから仮想デスクトップまたは仮想アプリを初めて起動したときにトリガーされます。
新規エンティティの初回オプションとともに条件を追加することもできます。この場合、リスクインジケーターは、新しいエンティティからのイベントを初めて検出し、かつイベントが定義された条件を満たしたときにトリガーされます。
次の例は、カスタムリスクインジケーターに定義された条件と、新規デバイス ID の初回オプションが有効になっている状態を示しています。このリスクインジケーターは、インドにいるユーザーが新しいデバイスから仮想デスクトップセッションを初めて起動したときにトリガーされます。
-
-
過剰: 次の条件が満たされた後にリスクインジケーターがトリガーされます。
-
イベントが定義された条件を満たしている。
-
イベントが指定された期間中に指定された回数発生する。
-
-
頻繁: 次の条件が満たされた後にリスクインジケーターがトリガーされます。
-
イベントが定義された条件を満たしている。
-
イベントが指定された期間中に指定された回数発生する。
-
イベントパターンが指定された回数繰り返される。
-
リスクカテゴリの選択
カスタムリスクインジケーターのリスクカテゴリを選択します。
リスクインジケーターは、カスタムリスクインジケーターのリスクエクスポージャーの種類に基づいてグループ化されます。リスクカテゴリの選択については、「リスクカテゴリ」を参照してください。
重大度の選択
重大度は、リスクインジケーターによって検出される危険なイベントの深刻度を示します。カスタムリスクインジケーターを作成する際、重大度 (高、中、低) を選択します。
テンプレートを適用する場合、重大度オプションは事前選択されています。ユースケースに応じて、この事前選択を変更できます。
条件定義でサポートされる演算子
条件を定義する際に、次の演算子を使用できます。
| 演算子 | 説明 | 例 | 出力 |
|---|---|---|---|
| 検索クエリに値を割り当てます。 | User-Name : John | ユーザー John のイベントを表示します。 | |
| = | 検索クエリに値を割り当てます。 | User-Name = John | ユーザー John のイベントを表示します。 |
| ~ | 類似値を検索します。 | User-Name ~ test | 類似のユーザー名を持つイベントを表示します。 |
| ”” | スペースで区切られた値を囲みます。 | User-Name = “John Smith” | ユーザー John Smith のイベントを表示します。 |
| <, > | 関係値を検索します。 | Data Volume > 100 | データボリュームが 100 GB を超えるイベントを表示します。 |
| AND | 両方の条件が真である値を検索します。 | User-Name : John AND Data Volume > 100 | データボリュームが 100 GB を超えるユーザー John のイベントを表示します。 |
| * | 文字に 0 回以上一致する値を検索します。 | User-Name = John* | John で始まるすべてのユーザー名のイベントを表示します。 |
| User-Name = John | John を含むすべてのユーザー名のイベントを表示します。 | ||
| User-Name = *Smith | Smith で終わるすべてのユーザー名のイベントを表示します。 | ||
| !~ | 指定したパターンに一致するユーザーイベントをチェックします。この NOT LIKE 演算子は、イベント文字列内のどこにも一致するパターンを含まないイベントを返します。 | User-Name !~ John | John、John Smith、または「John」という一致する名前を含むその他のユーザーを除くユーザーのイベントを表示します。 |
| != | 指定した正確な文字列に一致するユーザーイベントをチェックします。この NOT EQUAL 演算子は、イベント文字列内のどこにも正確な文字列を含まないイベントを返します。 | Country != USA | USA を除く国のイベントを表示します。 |
| IN | 1 つ以上の値に関連するイベントを取得するために、ディメンションに複数の値を割り当てます。 | User-Name IN (John, Kevin) | John または Kevin に関連するすべてのイベントを検索します。 |
| NOT IN | ディメンションに複数の値を割り当て、指定された値を含まないイベントを検索します。 | User-Name NOT IN (John, Kevin) | John と Kevin を除くすべてのユーザーのイベントを検索します。 |
| IS EMPTY | ディメンションの null 値または空の値をチェックします。この演算子は、App-Name、Browser、Country などの文字列型ディメンションでのみ機能します。Upload-File-Size、Download-File-Size、Client-IP などの非文字列 (数値) 型ディメンションでは機能しません。 |
Country IS EMPTY | 国名が利用できないか、空 (指定されていない) のイベントを検索します。 |
| IS NOT EMPTY | ディメンションの null 以外の値または特定の値をチェックします。この演算子は、App-Name、Browser、Country などの文字列型ディメンションでのみ機能します。Upload-File-Size、Download-File-Size、Client-IP などの非文字列 (数値) 型ディメンションでは機能しません。 |
Country IS NOT EMPTY | 国名が利用可能または指定されているイベントを検索します。 |
| OR | いずれかまたは両方の条件が真である値を検索します。 | (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” |
John で始まるか Smith で終わるすべてのユーザー名の Session.Logon イベントを表示します。 |
注
NOT EQUAL演算子の場合、条件でディメンションの値を入力する際は、データソースのセルフサービス検索ページで利用可能な正確な値を使用してください。ディメンションの値は大文字と小文字を区別します。
カスタムリスクインジケーターの変更
-
セキュリティ > カスタムリスクインジケーターに移動します。
-
変更するカスタムリスクインジケーターを選択します。
-
インジケーターの変更ページで、必要に応じて情報を変更します。
-
変更を保存をクリックします。
注
既存のカスタムリスクインジケーターの条件、リスクカテゴリ、重大度、名前などの属性を変更した場合でも、ユーザータイムラインでは、ユーザーに対してトリガーされたカスタムリスクインジケーターの以前の発生 (古い属性を持つもの) を引き続き表示できます。
たとえば、Country != India という条件でカスタムリスクインジケーターを作成したとします。このカスタムリスクインジケーターは、ユーザーがインド国外からログオンしたときにトリガーされます。ここで、カスタムリスクインジケーターの条件を Country != “United States” に変更します。この場合でも、リスクインジケーターをトリガーしたユーザーのタイムラインには、Country != India という条件のカスタムリスクインジケーターの以前の発生が表示されます。
カスタムリスクインジケーターの削除
-
セキュリティ > カスタムリスクインジケーターに移動します。
-
削除するカスタムリスクインジケーターを選択します。
-
削除をクリックします。
-
ダイアログで、カスタムリスクインジケーターの削除要求を確認します。
注
カスタムリスクインジケーターを削除した場合でも、ユーザータイムラインでは、ユーザーに対してトリガーされたカスタムリスクインジケーターの以前の発生を引き続き表示できます。
たとえば、Country != India という条件の既存のカスタムリスクインジケーターを削除したとします。この場合でも、リスクインジケーターをトリガーしたユーザーのタイムラインには、Country != India という条件のカスタムリスクインジケーターの以前の発生が表示されます。