カスタムリスク指標

Citrix Analytics がデフォルトで検出するユーザーリスク指標は、機械学習アルゴリズムに基づいています。Citrix Analytics では、カスタムリスク指標を作成できるようになりました。ユーザーイベントに基づいて条件を定義し、カスタムリスク指標を作成できます。イベントが定義された条件と一致すると、Citrix Analytics によってカスタムリスク指標がトリガーされ、ユーザーのリスクタイムラインに表示されます。

カスタムリスク指標は、次のデータソースで作成できます。

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

カスタムリスク指標ページ

[カスタムリスク指標] ページでは、ユーザー、重大度、データソース、ポリシーの数、リスクカテゴリ、ステータス、および指標の最終更新日時について生成されたすべてのカスタムリスク指標に関する洞察が提供されます。カスタムリスク指標を作成するには、「カスタムリスク指標の作成」を参照してください。

カスタム指標

リスク指標を選択すると、「 リスク指標の変更 」ページにリダイレクトされます。詳しくは、「カスタムリスク指標の変更」を参照してください。

カスタムリスク指標の分析

ユーザーが定義したカスタムリスク指標をトリガーしたアクションを持つユーザーを考えてみましょう。Citrix Analytics では、ユーザーのリスクタイムラインにカスタムリスク指標が表示されます。

ユーザーのリスクタイムラインでカスタムリスク指標を選択すると、右側のペインに次の情報が表示されます。

  • 定義済み条件: カスタムリスク指標の作成時に定義する条件のサマリーを表示します。

  • 説明: カスタムリスク指標の作成時に指定した説明の概要が表示されます。カスタムリスク指標の作成中に説明を指定しない場合、このセクションには [なし]が反映されます。

  • トリガー頻度: カスタムリスク指標の作成時に [詳細オプション] セクションで選択したオプションが表示されます。

カスタム指標

カスタムリスク指標は、ユーザーリスクタイムラインにラベルで表示されます。

ユーザーに適用できるアクション

現在、カスタムリスク指標をトリガーするユーザーアカウントに対して適切なアクションを実行する機能はありません。

カスタムリスク指標の作成

  1. [ 設定] > [ **カスタムリスク指標とポリシー ]** に移動します。

  2. [指標] タブで、[指標の作成] を選択します。

    カスタム指標

  3. カスタムリスク指標を作成するデータソースを選択します。

  4. 検索ボックスの分析コードと演算子を使用して、カスタムリスク指標の条件を定義します。ディメンション (ファセット) と有効な演算子について詳しくは、「セルフサービス検索」を参照してください 。

    [ 詳細オプション] セクションで、[ 推定トリガー ] リンクが有効になります。リンクをクリックして、定義された条件に対してトリガーされるカスタムリスク指標のおおよそのインスタンスを予測します。これらのインスタンスは、Citrix Analytics が保持し、定義した条件を満たす履歴データに基づいて計算されます。

    注:

    [ Estimated Triggers] をクリックして、最後に定義された条件のカスタムリスク指標の発生数を予測してください。

  5. [ 詳細オプション ] セクションで、カスタムリスク指標をトリガーするイベントの頻度を選択します。オプションを選択しない場合、Citrix Analytics では「 毎回:イベントが発生するたびにリスク指標を生成する」 がデフォルトオプションとして考慮され、カスタムリスク指標が生成されます。次のいずれかのオプションを選択できます。

    • [毎回]: リスク指標は、イベントが定義された条件を満たすたびにトリガーされます。

    • 初回: リスク指標は、イベントが定義された条件を初めて満たしたときにトリガーされます。

    • 過剰: リスク指標は、次の条件が満たされた後にトリガーされます。

      • イベントは定義された条件を満たします。

      • イベントは、指定した期間内に指定した回数だけ発生します。

    • 頻度: リスク指標は、次の条件が満たされた後にトリガーされます。

      • イベントは定義された条件を満たします。

      • イベントは、指定した期間中に指定した回数だけ発生します。

      • イベントパターンは、指定した回数だけ繰り返されます。

  6. カスタムリスク指標のリスクカテゴリを選択します。リスク指標は、カスタムリスク指標のタイプリスクエクスポージャーに基づいてグループ化されます。リスクカテゴリの選択については、を参照してください リスクカテゴリ

  7. カスタムリスク指標の重大度を選択します。

  8. [指標名] テキストボックスでカスタムリスク 指標名 を定義します。

  9. [ 説明 ] テキストボックスに、カスタムリスク指標の有効な説明を入力します。

  10. [指標の作成] ページの下部で、必要に応じてカスタムリスク指標を有効または無効にできます。

  11. [指標の作成] をクリックします。

    カスタム指標

カスタムリスク指標の変更

  1. [設定] > [カスタムリスク指標とポリシー] に移動します。

  2. [指標] タブで、変更するカスタムリスク指標を選択します。

  3. [指標の変更] ページで、必要に応じて情報を変更します。

  4. [変更の保存] をクリックします。

カスタムリスク指標の削除

  1. [設定] > [カスタムリスク指標とポリシー] に移動します。

  2. [指標] タブで、操作対象のカスタムリスク指標のチェックボックスをオンにします。

  3. [削除] をクリックします。

  4. ダイアログで、カスタムリスク指標の削除要求を確認します。

カスタムリスク指標の例

次の例は、Citrix Gatewayデータソースで使用するカスタムリスク指標を作成する方法を示しています。Gateway データソースで使用できるディメンション (ファセット) と演算子については、「Gatewayセルフサービス検索」を参照してください。

ゲートウェイのカスタムリスク指標

  • 無効な資格情報のカスタムリスク指標: 次の条件を定義して、カスタムリスク指標を作成できます。

    • イベント:ユーザーが無効な認証情報または間違った認証情報を入力しました。

    • イベント頻度:イベントは1日3回発生します。

    無効な資格情報が定義されました

    指定した条件が満たされると、Analytics によってカスタムリスク指標がトリガーされ、ユーザーのリスクタイムラインでリスク指標を表示できます。

    無効な資格情報のカスタムリスク指標

    カスタムリスク指標の「 イベント検索 」をクリックして、セルフサービス検索ページでイベントの詳細を表示します。

    資格情報の検索が無効です

  • ゲートウェイユーザーがカスタムリスク指標が見つかりません: カスタムリスク指標を作成するには、次の条件を定義します。

    • イベント:ユーザーが未登録のユーザー名を使用してCitrix Gateway にサインインしようとしました。

    • イベント頻度:イベントは1日3回発生し、このパターンは少なくとも2回繰り返されます。

    未登録の資格情報が定義された条件

    指定した条件が満たされると、Analytics によってカスタムリスク指標がトリガーされ、ユーザーのリスクタイムラインでリスク指標を表示できます。

    登録されていない認証情報のカスタムリスク指標

    カスタムリスク指標の「 イベント検索 」をクリックして、セルフサービス検索ページでイベントの詳細を表示します。

    未登録の資格情報の検索