カスタムリスクインジケーター
Citrix Analytics for Security™ には、次の 2 種類のリスクインジケーターがあります。
-
デフォルトのリスクインジケーター: これらのリスクインジケーターは、機械学習アルゴリズムに基づいています。詳細については、「Citrixユーザーリスクインジケーター」を参照してください。
-
カスタムリスクインジケーター: これらのリスクインジケーターは、管理者が手動で作成します。
カスタムリスクインジケーターを作成する際、ユースケースに基づいてトリガー条件とパラメーターを定義できます。ユーザーイベントが定義した基準に一致すると、Citrix Analytics はカスタムリスクインジケーターをトリガーし、ユーザーのリスクタイムラインに表示します。
次のデータソースに対してカスタムリスクインジケーターを作成します。
- Citrix Gateway
- Citrix Secure Private Access™
- Citrix Virtual Apps and Desktops™ オンプレミス
- Citrix DaaS (旧称 Citrix Virtual Apps and Desktops サービス)
- Citrix Secure Browser
事前構成済みカスタムリスクインジケーター
Citrix は、Citrix インフラストラクチャのセキュリティを監視するのに役立つ、事前構成済みの条件を持つカスタムリスクインジケーターもいくつか提供しています。ユースケースに基づいて、事前構成済みの条件を変更できます。詳細については、「事前構成済みカスタムリスクインジケーター」を参照してください。
カスタムリスクインジケーターページ
カスタムリスクインジケーターページには、ユーザー、重大度、データソース、ポリシー数、リスクカテゴリ、ステータス、およびインジケーターの最終変更日時ごとに生成されたすべてのカスタムリスクインジケーターに関する情報が表示されます。カスタムリスクインジケーターを作成するには、「カスタムリスクインジケーターの作成」を参照してください。
リスクインジケーターを選択すると、リスクインジケーターの変更ページにリダイレクトされます。詳細については、「カスタムリスクインジケーターの変更」を参照してください。
カスタムリスクインジケーターの分析
定義したカスタムリスクインジケーターをトリガーしたユーザーを考えます。Citrix Analytics は、ユーザーのリスクタイムラインにカスタムリスクインジケーターを表示します。
ユーザーのリスクタイムラインでカスタムリスクインジケーターを選択すると、右側のペインに次の情報が表示されます。
-
定義された条件: カスタムリスクインジケーターの作成時に定義する条件の概要が表示されます。
-
説明: カスタムリスクインジケーターの作成時に指定する説明の概要が表示されます。カスタムリスクインジケーターの作成時に説明が指定されていない場合、このセクションには「なし」と表示されます。
-
トリガー頻度: カスタムリスクインジケーターの作成時に詳細オプションセクションで選択したオプションが表示されます。
-
イベントの詳細: カスタムリスクインジケーターをトリガーしたユーザーイベントのタイムラインと詳細が表示されます。イベント検索をクリックすると、セルフサービス検索ページでユーザーイベントを表示できます。セルフサービス検索ページには、ユーザーとカスタムリスクインジケーターに関連付けられたイベントが表示されます。検索クエリには、カスタムリスクインジケーターに定義された条件が表示されます。
注
カスタムリスクインジケーターは、ユーザーリスクタイムラインにラベルで表示されます。
ユーザーに適用できるアクション
ユーザーに対してカスタムリスクインジケーターがトリガーされた場合、手動でアクションを適用するか、ポリシーを作成してアクションを自動的に適用できます。詳細については、「ポリシーとアクション」を参照してください。
カスタムリスクインジケーターテンプレート
事前定義されたテンプレートのいずれかを使用してカスタムリスクインジケーターを作成するか、テンプレートを使用せずに続行できます。
テンプレートは、カスタムリスクインジケーターを作成するための出発点として機能します。ユースケースに基づいて選択できる事前定義されたクエリとパラメーターを提供することで、カスタムリスクインジケーターの作成をガイドします。
テンプレートはそのまま使用することも、要件に合わせて変更することもできます。テンプレートを使用すると、管理者は追加のトレーニングなしで関心のあるリスクインジケーターを作成できます。
テンプレートは次の情報で構成されます。
-
説明: テンプレートで定義されているクエリの目的を示します。
-
データソース: テンプレートが適用されるデータソースを示します。
-
リスクカテゴリ: クエリによって検索されたイベントに関連付けられているリスクカテゴリを示します。危険なイベントには、データ漏洩、内部脅威、侵害されたユーザー、侵害されたエンドポイントの4つのカテゴリがあります。詳細については、「リスクカテゴリ」を参照してください。
-
頻度: クエリがトリガーされる頻度を示します。
-
重大度: イベントに関連付けられているリスクの重大度を示します。リスクは、高、中、低のいずれかです。
-
作成者: テンプレートの作成者を示します。テンプレートは常にシステム定義です。
-
クエリ: テンプレートで定義されている条件を示します。クエリは、条件を満たすユーザーイベントを取得します。
次の画像は、SaaS アプリでのクリップボード使用のユースケースのテンプレートを示しています。
ユースケースに適したテンプレートが見つからない場合や、独自のクエリを定義したい場合は、テンプレートを使用せずに続行できます。
カスタムリスクインジケーターの作成
カスタムリスクインジケーターを作成するには:
-
セキュリティ > カスタムリスクインジケーター > インジケーターの作成に移動します。
-
ユースケースを表示するテンプレートを選択します。要件を満たしている場合は、テンプレートをインジケーターに適用を選択します。
注
テンプレートの事前定義された条件とパラメーターを変更することもできます。
-
目的のテンプレートが見つからない場合や、独自の条件を作成したい場合は、テンプレートなしで続行を選択します。
-
画面の指示に従ってインジケーターを作成します。
注
カスタムリスクインジケーターは最大50個まで作成できます。この最大制限に達した場合は、既存のカスタムリスクインジケーターを削除または編集して、カスタムリスクインジケーターを作成する必要があります。
カスタムリスクインジケーターがトリガーされると、ユーザータイムラインにすぐに表示されます。ただし、ユーザーのリスク概要とリスクスコアは数分後(約15~20分)に更新されます。
カスタムリスクインジケーターの条件定義
クエリボックスを使用して、カスタムリスクインジケーターの条件を定義します。選択したデータソースに応じて、条件を定義するための対応するディメンションと有効な演算子が表示されます。
Event-Type や Clipboard-Operation などの特定のディメンションを有効な演算子とともに選択すると、ディメンションの値が自動的に表示されます。推奨されるオプションから値を選択するか、要件に応じて新しい値を入力できます。
次の画像は、ディメンション Event-Type の推奨値を示しています。
テンプレートを使用する場合、条件は事前定義されています。ただし、ユースケースに基づいて事前定義された条件を追加または変更できます。
クエリボックスの下に、推定トリガーリンクが表示されます。このリンクをクリックすると、定義された条件でトリガーされるカスタムリスクインジケーターのおおよそのインスタンスを予測できます。これらのインスタンスは、Citrix Analytics が保持し、定義された条件を満たす履歴データに基づいて計算されます。
最後に定義された条件に対するカスタムリスクインジケーターの発生数を予測するには、必ず推定トリガーをクリックしてください。
詳細オプションの使用
詳細オプションセクションで、カスタムリスクインジケーターをトリガーするイベントの頻度を選択します。いずれのオプションも選択しない場合、Citrix Analytics は毎回: イベントが発生するたびにリスクインジケーターを生成するをデフォルトオプションとみなし、カスタムリスクインジケーターを生成します。次のいずれかのオプションを選択できます。
-
毎回: イベントが定義された条件を満たすたびに、リスクインジケーターがトリガーされます。
-
初回: イベントが定義された条件を初めて満たしたときに、リスクインジケーターがトリガーされます。
-
新規の初回: このオプションを有効にすると、新しいエンティティから初めて受信したイベントを検出できます。エンティティの例としては、クライアントIP、国、都市、デバイスIDなどがあります。データソースに基づいて1つのエンティティのみを選択できます。このオプションを使用すると、エンティティの明示的な値を指定せずにリスクインジケーターを作成できます。たとえば、エンティティとして「都市」を選択した場合、都市名を指定する必要はありません。新しい都市からイベントが初めて受信されたときに、リスクインジケーターがトリガーされます。
次の表に、各データソースに対応するエンティティとトリガー条件を示します。
データソース エンティティ トリガー条件 Secure Private Access 都市 ユーザーが新しい都市から初めてログオンしたとき。 クライアントIP ユーザーが新しいIPアドレスから初めてログオンしたとき。 国 ユーザーが新しい国から初めてログオンしたとき。 Apps and Desktops アプリ名 ユーザーが新しい仮想アプリケーションまたはSaaSアプリケーションを初めて開いたとき。 アプリURL ユーザーが仮想デスクトップのブラウザで新しいアプリURLを初めて入力したとき。 都市 ユーザーが新しい都市からアプリまたはデスクトップを初めて起動したとき。 クライアントIP ユーザーが新しいIPアドレスから初めてログオンしたとき。 国 ユーザーが新しい国からアプリまたはデスクトップを初めて起動したとき。 デバイスID ユーザーがモバイル、ラップトップ、デスクトップマシンなどの新しいデバイスから仮想アプリまたは仮想デスクトップを初めて起動したとき。 ダウンロードデバイスタイプ ユーザーがUSBドライブなどの新しいストレージメディアを初めて使用したとき。 印刷ファイル形式 印刷されたファイルの形式。 印刷ファイルサイズ 印刷されたファイルのサイズ(バイト単位)。 印刷ファイル名 印刷されたファイルの名前。 プリンター名 使用されたプリンターの名前。 印刷された合計部数 ユーザーが印刷した合計部数。 印刷された合計ページ数 ユーザーが印刷したドキュメントの合計ページ数。 Gateway クライアントIP ユーザーが新しいIPアドレスから初めてログオンしたとき。 Secure Browser ユーザー名 イベントを開始したユーザーの名前。 アクセス許可 ユーザーがホストサービスへのアクセスを許可されているか拒否されているか。 クライアントIP ユーザーデバイスのIPアドレス。 アクセスされたホスト名 ユーザーがネットワーク経由でアクセスしたホストサービス。 セッションID ユーザーセッションに割り当てられた一意の番号。 次の例は、Apps and Desktops データソース用に作成されたカスタムリスクインジケーターを示しています。このリスクインジケーターは、ユーザーが新しいデバイスから仮想デスクトップまたは仮想アプリを初めて起動したときにトリガーされます。
新規の初回オプションとともに条件を追加することもできます。この場合、リスクインジケーターは、新しいエンティティからのイベントを初めて検出し、かつイベントが定義された条件を満たしたときにトリガーされます。
次の例は、カスタムリスクインジケーターに定義された条件と、新規の初回デバイスIDオプションが有効になっていることを示しています。このリスクインジケーターは、インドにいるユーザーが新しいデバイスから仮想デスクトップセッションを初めて起動したときにトリガーされます。
-
-
過剰: 次の条件が満たされた後にリスクインジケーターがトリガーされます。
-
イベントが定義された条件を満たしている。
-
指定された期間中にイベントが指定された回数発生する。
-
-
頻繁: 次の条件が満たされた後にリスクインジケーターがトリガーされます。
-
イベントが定義された条件を満たしている。
-
指定された期間中にイベントが指定された回数発生する。
-
イベントパターンが指定された回数繰り返される。
-
リスクカテゴリの選択
カスタムリスクインジケーターのリスクカテゴリを選択します。
リスクインジケーターは、カスタムリスクインジケーターのリスクエクスポージャーの種類に基づいてグループ化されます。リスクカテゴリの選択については、「リスクカテゴリ」を参照してください。
重大度の選択
重大度は、リスクインジケーターによって検出される危険なイベントの深刻度を示します。カスタムリスクインジケーターを作成する際、重大度(高、中、低)を選択します。
テンプレートを適用する場合、重大度オプションは事前に選択されています。ユースケースに応じて、この事前選択を変更できます。
条件定義でサポートされる演算子
条件を定義する際に、次の演算子を使用できます。
| 演算子 | 説明 | 例 | 出力 |
|---|---|---|---|
| 検索クエリに値を割り当てます。 | User-Name : John | ユーザーJohnのイベントを表示します。 | |
| = | 検索クエリに値を割り当てます。 | User-Name = John | ユーザーJohnのイベントを表示します。 |
| ~ | 類似値を検索します。 | User-Name ~ test | 類似のユーザー名を持つイベントを表示します。 |
| ”” | スペースで区切られた値を囲みます。 | User-Name = “John Smith” | ユーザーJohn Smithのイベントを表示します。 |
| <, > | 関係値を検索します。 | Data Volume > 100 | データボリュームが100 GBを超えるイベントを表示します。 |
| AND | 両方の条件が真である値を検索します。 | User-Name : John AND Data Volume > 100 | データボリュームが100 GBを超えるユーザーJohnのイベントを表示します。 |
| * | 文字に0回以上一致する値を検索します。 | User-Name = John* | Johnで始まるすべてのユーザー名のイベントを表示します。 |
| User-Name = John | Johnを含むすべてのユーザー名のイベントを表示します。 | ||
| User-Name = *Smith | Smithで終わるすべてのユーザー名のイベントを表示します。 | ||
| !~ | 指定した一致パターンについてユーザーイベントをチェックします。このNOT LIKE演算子は、イベント文字列内のどこにも一致パターンを含まないイベントを返します。 | User-Name !~ John | John、John Smith、または一致する名前「John」を含むそのようなユーザーを除くユーザーのイベントを表示します。 |
| != | 指定した正確な文字列についてユーザーイベントをチェックします。このNOT EQUAL演算子は、イベント文字列内のどこにも正確な文字列を含まないイベントを返します。 | Country != USA | USAを除く国のイベントを表示します。 |
| IN | ディメンションに複数の値を割り当てて、1つ以上の値に関連するイベントを取得します。 | User-Name IN (John, Kevin) | JohnまたはKevinに関連するすべてのイベントを検索します。 |
| NOT IN | ディメンションに複数の値を割り当てて、指定された値を含まないイベントを検索します。 | User-Name NOT IN (John, Kevin) | JohnとKevinを除くすべてのユーザーのイベントを検索します。 |
| IS EMPTY | ディメンションのNULL値または空の値をチェックします。この演算子は、App-Name、Browser、Countryなどの文字列型ディメンションでのみ機能します。Upload-File-Size、Download-File-Size、Client-IPなどの非文字列(数値)型ディメンションでは機能しません。 |
Country IS EMPTY | 国名が利用できないか空(未指定)のイベントを検索します。 |
| IS NOT EMPTY | ディメンションのNULLではない値または特定の値をチェックします。この演算子は、App-Name、Browser、Countryなどの文字列型ディメンションでのみ機能します。Upload-File-Size、Download-File-Size、Client-IPなどの非文字列(数値)型ディメンションでは機能しません。 |
Country IS NOT EMPTY | 国名が利用可能または指定されているイベントを検索します。 |
| OR | いずれかまたは両方の条件が真である値を検索します。 | (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” |
Johnで始まるかSmithで終わるすべてのユーザー名のSession.Logonイベントを表示します。 |
注
NOT EQUAL演算子の場合、条件のディメンションに値を入力する際は、データソースのセルフサービス検索ページで利用可能な正確な値を使用してください。ディメンション値は大文字と小文字を区別します。
カスタムリスクインジケーターの変更
-
セキュリティ > カスタムリスクインジケーターに移動します。
-
変更するカスタムリスクインジケーターを選択します。
-
インジケーターの変更ページで、必要に応じて情報を変更します。
-
変更を保存をクリックします。
注
既存のカスタムリスクインジケーターの条件、リスクカテゴリ、重大度、名前などの属性を変更した場合でも、ユーザータイムラインでは、ユーザーに対してトリガーされたカスタムリスクインジケーターの以前の発生(古い属性を持つもの)を引き続き表示できます。
たとえば、Country != India という条件でカスタムリスクインジケーターを作成したとします。このカスタムリスクインジケーターは、ユーザーがインド国外からログオンしたときにトリガーされます。ここで、カスタムリスクインジケーターの条件を Country != “United States” に変更します。この場合でも、リスクインジケーターをトリガーしたユーザーのタイムラインには、Country != India という条件のカスタムリスクインジケーターの以前の発生を引き続き表示できます。
カスタムリスクインジケーターの削除
-
セキュリティ > カスタムリスクインジケーターに移動します。
-
削除するカスタムリスクインジケーターを選択します。
-
削除をクリックします。
-
ダイアログで、カスタムリスクインジケーターの削除リクエストを確認します。
注
カスタムリスクインジケーターを削除した場合でも、ユーザータイムラインでは、ユーザーに対してトリガーされたカスタムリスクインジケーターの以前の発生を引き続き表示できます。
たとえば、Country != India という条件の既存のカスタムリスクインジケーターを削除したとします。この場合でも、リスクインジケーターをトリガーしたユーザーのタイムラインには、Country != India という条件のカスタムリスクインジケーターの以前の発生を引き続き表示できます。