Citrix Analytics for Security

カスタムリスク指標

セキュリティ向けCitrix Analytics には、次の 2 種類のリスク指標が表示されます。

  • デフォルトのリスク指標:これらのリスク指標は、機械学習アルゴリズムに基づいています。詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

  • カスタムリスク指標:これらのリスク指標は管理者が手動で作成します。

カスタムリスク指標を作成すると、ユースケースに基づいてトリガー条件とパラメーターを定義できます。ユーザーイベントが定義した条件に一致すると、Citrix Analytics はカスタムリスク指標をトリガーし、ユーザーのリスクタイムラインに表示します。

次のデータソースに対してカスタムリスク指標を作成します。

  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Secure Private Access
  • Citrix Virtual Apps and Desktops オンプレミス
  • Citrix DaaS (旧Citrix Virtual Apps and Desktops サービス)

事前設定されたカスタムリスク指標

また、Citrix インフラストラクチャのセキュリティを監視するために、条件が事前に構成されたカスタムリスク指標もいくつか用意されています。事前設定された条件は、ユースケースに基づいて変更できます。詳細については、「 事前構成されたカスタムリスク指標」を参照してください。

カスタムリスク指標ページ

[ カスタムリスク指標 ] ページには、ユーザー、重大度、データソース、ポリシーの数、リスクカテゴリ、ステータス、および指標の最終更新日時に生成されたすべてのカスタムリスク指標に関する洞察が表示されます。カスタムリスク指標を作成するには、「 カスタムリスク指標の作成」を参照してください。

カスタム指標

リスク指標を選択すると、[ リスク指標の変更 ] ページにリダイレクトされます。詳細については、「 カスタムリスク指標の変更」を参照してください。

カスタムリスク指標の分析

定義したカスタムリスク指標をトリガーしたアクションを持つユーザーを考えてみましょう。Citrix Analytics では、ユーザーのリスクタイムラインにカスタムリスク指標が表示されます。

ユーザーのリスクタイムラインでカスタムリスク指標を選択すると、右側のペインに次の情報が表示されます。

  • 定義された条件:カスタムリスク指標の作成時に定義した条件の概要を表示します。

  • 説明:カスタムリスク指標の作成時に提供する説明の概要を提供します。カスタムリスク指標の作成中に説明が指定されていない場合、このセクションには [ なし] が反映されます。

  • トリガー頻度: カスタムリスク指標の作成時に [詳細オプション] セクションで選択したオプションが表示されます。

  • イベントの詳細:カスタムリスク指標をトリガーしたユーザーイベントのタイムラインと詳細を表示します。[ イベント検索 ] をクリックすると、セルフサービス検索ページでユーザーイベントを表示できます。セルフサービス検索ページには、ユーザーに関連付けられたイベントとカスタムリスクインジケータが表示されます。検索クエリには、カスタムリスク指標に定義された条件が表示されます。

カスタム指標

カスタムリスク指標は、ユーザーリスクタイムライン上のラベルで表されます。

ユーザーに適用できるアクション

ユーザーに対してカスタムリスク指標がトリガーされると、アクションを手動で適用することも、アクションを自動的に適用するポリシーを作成することもできます。詳細については、「 ポリシーとアクション」を参照してください。

カスタムリスク指標テンプレート

事前定義されたテンプレートのいずれかを使用してカスタムリスク指標を作成することも、テンプレートを使用せずに続行することもできます。

テンプレートは、カスタムリスク指標を作成するための開始点として機能します。ユースケースに基づいて選択できる定義済みのクエリとパラメーターを提供することで、カスタムリスク指標の作成をガイドします。

テンプレートはそのまま使用することも、要件に合わせて変更することもできます。管理者はテンプレートを使用して、追加のトレーニングをしなくても、関心のあるリスク指標を作成できます。

テンプレートは次の情報で構成されます。

  • 説明:テンプレートに定義されているクエリの目的を示します。

  • リスクカテゴリ:クエリで検索されたイベントに関連付けられているリスクカテゴリを示します。危険なイベントには、データ漏洩、内部脅威、侵害されたユーザー、および侵害エンドポイントの 4 つのカテゴリがあります。詳細については、「 リスクカテゴリ」を参照してください。

  • 重大度:イベントに関連するリスクの重大度を示します。リスクは、高、中、低のいずれかです。

  • 作成者:テンプレートの作成者を示します。テンプレートは常にシステム定義です。

  • クエリー:テンプレートに定義されている条件を示します。クエリは、条件を満たすユーザーイベントを取得します。

次の図は、SaaS アプリでのユースケースクリップボード使用のテンプレートを示しています。

クリップボード使用テンプレート

ユースケースに適したテンプレートが見つからない場合、または独自のクエリを定義する場合は、テンプレートなしで続行できます。

カスタムリスク指標の作成

カスタムリスク指標を作成するには:

  1. [ セキュリティ] > [カスタムリスク指標] > [指標の作成]に移動します。

    カスタムリスク指標を作成する

  2. テンプレートを選択してユースケースを表示します。要件を満たしている場合は、[ 指標にテンプレートを適用] を選択します。

    また、定義済みの条件とテンプレートのパラメータを変更することもできます。

    テンプレートを選ぶ

  3. 目的のテンプレートが見つからない場合、または独自の条件を作成する場合は、[ テンプレートなしで続行] を選択します。

    テンプレートなしで選択

  4. 画面の指示に従ってインジケーターを作成します。

メモ

  • カスタムリスク指標は、最大 50 個まで作成できます。この上限に達した場合は、既存のカスタムリスク指標を削除または編集して、カスタムリスク指標を作成する必要があります。

  • カスタムリスク指標がトリガーされると、 すぐにユーザータイムラインに表示されます 。ただし、ユーザーのリスクサマリーとリスクスコアは数分(約 15 ~ 20 分)後に更新されます。

カスタムリスク指標の条件の定義

クエリボックスを使用して、カスタムリスク指標の条件を定義します。選択したデータソースに応じて、 対応するディメンションと条件を定義するための有効な演算子が取得されます

ディメンションと有効な演算子を選択すると、ディメンションの値が自動的に表示されます。ディメンションに推奨される値のリストは、データベースで事前定義されている (既知の値) か、履歴イベントに基づいています。

たとえば、ディメンション IP-AddressCountry およびの値は City、ユーザーの履歴イベントに基づいて提案されます。一方、寸法に推奨される値は Clipboard-Operations 、コピー、切り取り、貼り付けなどの定義済みです。

推奨値から値を選択することも、要件に応じて新しい値を入力することもできます。

次の図は、ディメンションの推奨値を示しています Event-Type

クエリの例

テンプレートを使用する場合、条件は事前に定義されています。ただし、ユースケースに基づいて、定義済みの条件を追加または変更できます。

クエリボックスの下に、[ 推定トリガー ] リンクが表示されます。リンクをクリックして、定義された条件に対してトリガーされるカスタムリスク指標のおおよそのインスタンスを予測します。これらのインスタンスは、Citrix Analytics が保持し、定義された条件を満たす履歴データに基づいて計算されます。

[ Estimated Triggers ] をクリックして、最後に定義された条件に対するカスタムリスク指標の発生数を予測します。

詳細オプションを使う

[ 詳細オプション ] セクションで、カスタムリスク指標をトリガーするイベントの頻度を選択します。オプションを選択しない場合、Citrix Analytics では「 毎回:イベントが発生するたびにリスク指標を生成する 」がデフォルトのオプションとして考慮され、カスタムリスク指標が生成されます。次のいずれかのオプションを選択できます。

  • 毎回:リスク指標は、イベントが定義された条件を満たすたびにトリガーされます。

  • 初回:リスク指標は、イベントが定義された条件を初めて満たしたときにトリガーされます。

    • First time for a new: 新しいエンティティから初めて受信したイベントを検出するには、このオプションを有効にします。エンティティの例としては、クライアント IP、国、都市、デバイス ID などがあります。データソースに基づいて選択できるエンティティは 1 つだけです。このオプションを使用すると、エンティティの明示的な値を指定せずにリスク指標を作成できます。たとえば、エンティティを「City」として選択した場合、都市名を指定する必要はありません。リスク指標は、新しい都市から初めてイベントを受信したときにトリガーされます。

      次の表に、各データソースに対応するエンティティとそのトリガー条件を示します。

      データソース エンティティ トリガー条件
      Content Collaboration、セキュアなプライベートアクセス 市区町村 ユーザーが新しい都市から初めてログオンしたとき。
        クライアントIP ユーザーが新しい IP アドレスから初めてログオンしたとき。
        ユーザーが新しい国から初めてログオンしたとき。
      アプリケーションとデスクトップ アプリ名 ユーザーが新しい仮想アプリケーションまたは SaaS アプリケーションを初めて開いたとき。
        アプリURL ユーザーが仮想デスクトップのブラウザで新しいアプリ URL を初めて入力したとき。
        市区町村 ユーザーが新しい都市からアプリまたはデスクトップを初めて起動したとき。
        クライアントIP ユーザーが新しい IP アドレスから初めてログオンしたとき。
        ユーザーが新しい国のアプリまたはデスクトップを初めて起動したとき。
        デバイスID ユーザーがモバイル、ラップトップ、デスクトップマシンなどの新しいデバイスから仮想アプリケーションまたは仮想デスクトップを初めて起動したとき。
        ダウンロードデバイスタイプ ユーザーが USB ドライブなどの新しいストレージメディアを初めて使用したとき。
      Gateway クライアントIP ユーザーが新しい IP アドレスから初めてログオンしたとき。

      次の例は、Apps and Desktops データソース用に作成されたカスタムリスク指標を示しています。リスク指標は、ユーザーが新しいデバイスから仮想デスクトップまたは仮想アプリケーションを初めて起動したときにトリガーされます。

      初めてデバイス ID

      また、 新しいオプションの [初回 ] とともに条件を追加することもできます。この場合、リスク指標は、新しいエンティティからのイベントを初めて検出し、イベントが定義された条件を満たすときにトリガーされます。

      次の例は、カスタムリスク指標に対して定義された条件と、 新しいデバイス ID オプションの [初回 ] オプションを有効にした状態を示しています。リスクインジケータは、インドにいるユーザーが新しいデバイスから仮想デスクトップセッションを初めて起動したときにトリガーされます。

      初めて条件付き

  • 過剰:リスク指標は、次の条件が満たされた後にトリガーされます。

    • イベントは定義された条件を満たしています。

    • イベントは、指定された期間中、指定された回数だけ発生します。

  • 頻繁:リスク指標は、次の条件が満たされた後にトリガーされます。

    • イベントは、定義された条件を満たしています。

    • イベントは、指定された期間中、指定された回数だけ発生します。

    • イベントパターンは、指定された回数だけ繰り返されます。

リスクカテゴリの選択

カスタムリスク指標のリスクカテゴリを選択します。

リスク指標は、カスタムリスク指標のタイプリスクエクスポージャーに基づいてグループ化されます。リスクカテゴリの選択については、 リスクカテゴリを参照してください

重大度の選択

重大度は、リスク指標によって検出される危険なイベントの重大度を示します。カスタムリスク指標を作成するときは、重大度-高、中、低のいずれかを選択します。

テンプレートを適用すると、重大度オプションがあらかじめ選択されています。この事前選択は、ユースケースに応じて変更できます。

条件の定義でサポートされる演算子

条件を定義する際には、次の演算子を使用できます。

演算子 説明 出力
検索クエリに値を割り当てます。 User-Name : John ユーザー John のイベントを表示します。
= 検索クエリに値を割り当てます。 User-Name = John ユーザー John のイベントを表示します。
~ 類似の値を検索します。 User-Name ~ test 類似のユーザー名を持つイベントを表示します。
”” 値をスペースで区切って囲みます。 User-Name = “John Smith” ユーザー John Smith のイベントを表示します。
<, > リレーショナル値を検索します。 Data Volume > 100 データボリュームが 100 GB を超えるイベントを表示します。
および 両方の条件が真である値を検索します。 User-Name : John AND Data Volume > 100 データボリュームが 100 GB を超えるユーザー John のイベントを表示します。
* 文字に一致する値を 0 回以上検索します。 User-Name = John* John で始まるすべてのユーザー名のイベントを表示します。
    User-Name = *John* John を含むすべてのユーザー名のイベントを表示します。
    User-Name = *Smith Smith で終わるすべてのユーザー名のイベントを表示します。
!~ ユーザーイベントで、指定したマッチングパターンがあるかどうかをチェックします。この NOT LIKE 演算子は、イベント文字列のどこにも一致するパターンを含まないイベントを返します。 ユーザー名!~ ジョン John、John Smith、または一致する名前「John」を含むユーザー以外のユーザーのイベントを表示します。
!= ユーザーイベントで、指定した文字列が正確にチェックされます。この NOT EQUAL演算子は、イベント文字列のどこにも正確な文字列を含まないイベントを返します。 国 != 米国 米国以外の国のイベントを表示します。
IN ディメンションに複数の値を割り当てて、1 つ以上の値に関連するイベントを取得します。 ユーザーネーム IN (ジョン、ケビン) ジョンまたはケビンに関連するすべてのイベントを見つける。
NOT IN ディメンションに複数の値を割り当てて、指定した値を含まないイベントを検索します。 User-Name NOT IN (John, Kevin) John と Kevin 以外のすべてのユーザーのイベントを検索します。
IS EMPTY ディメンションの NULL 値または空の値をチェックします。この演算子は、App-NameBrowserCountryなどの文字列タイプのディメンションでのみ機能します。Upload-File-SizeDownload-File-SizeClient-IP などの非文字列 (数値) タイプのディメンションには使用できません 。 Country IS EMPTY 国名が利用できない、または空である (指定されていない) イベントを検索します。
IS NOT EMPTY ディメンションの NULL 値でない値または特定の値がないかどうかをチェックします。この演算子は、App-NameBrowserCountryなどの文字列タイプのディメンションでのみ機能します。Upload-File-SizeDownload-File-SizeClient-IP などの非文字列 (数値) タイプのディメンションには使用できません 。 Country IS NOT EMPTY 国名が利用可能または指定されているイベントを検索します。

NOT EQUAL演算子では 、条件のディメンションの値を入力するときに、 データソースのセルフ・サービス検索ページで使用可能な正確な値を使用します 。寸法値では、大文字と小文字が区別されます。

カスタムリスク指標の変更

  1. [ セキュリティ] > [カスタムリスク指標] に移動します。

  2. 変更するカスタムリスク指標を選択します。

  3. [インジケータの変更 ] ページで、必要に応じて情報を変更します。

  4. [変更の保存] をクリックします。

既存のカスタムリスク指標の条件、リスクカテゴリ、重大度、名前などの属性をユーザータイムラインで変更しても、そのユーザーに対してトリガーされたカスタムリスク指標(古い属性を含む)の以前の発生を表示できます。

たとえば、 Country! という条件でカスタムリスク指標を作成したとします。= インド。したがって、このカスタムリスク指標は、ユーザーがインド国外からログオンしたときにトリガーされます。ここで、カスタムリスク指標の条件を Country に変更します。=「米国」。この場合でも、[ 国] という条件で、カスタムリスク指標の以前の発生を表示できます。= リスク指標をトリガーしたユーザータイムラインのインド

カスタムリスク指標を削除する

  1. [ セキュリティ] > [カスタムリスク指標] に移動します。

  2. 削除するカスタムリスク指標を選択します。

  3. [削除] をクリックします。

  4. ダイアログで、カスタムリスク指標を削除するリクエストを確認します。

カスタムリスク指標を削除しても、ユーザータイムラインで、そのユーザーに対してトリガーされたカスタムリスク指標の以前の発生を表示できます。

たとえば、条件 Country! の既存のカスタムリスク指標を削除するとします。= インド。この場合でも、[ 国] という条件で、カスタムリスク指標の以前の発生を表示できます。= リスク指標をトリガーしたユーザータイムラインのインド