ポリシーとアクション

Citrix Analytics でポリシーを作成すると、異常なアクティビティや疑わしいアクティビティが発生した場合に、ユーザーアカウントに対するアクションを実行するのに役立ちます。ポリシーを使用すると、ユーザーの無効化、ウォッチリストへのユーザーの追加などのアクションの適用プロセスを自動化できます。ポリシーを有効にすると、異常イベントが発生し、ポリシー条件が満たされた直後に、対応するアクションが適用されます。また、異常なアクティビティを持つユーザーアカウントにアクションを手動で適用することもできます。

ポリシーとは

ポリシーは、アクションを実行するために満たさなければならない条件のセットです。ポリシーには、1 つ以上の条件と 1 つのアクションが含まれます。ユーザーのアカウントに適用できる複数の条件と 1 つのアクションを持つポリシーを作成できます。

リスクスコア はグローバル条件です。グローバル条件は、特定のデータソースの特定のユーザーに適用できます。異常な活動を示すユーザーアカウントにウォッチを保持することができます。その他の条件は、データソースとそのリスクインジケータに固有のものです。条件には、リスクスコア、既定のリスクインジケータ、およびカスタムリスクインジケータの組み合わせが含まれます。ポリシーの作成時に、最大 4 つの条件を追加できます。

ポリシーの作成

たとえば、組織で機密データを使用している場合、ユーザーが内部で共有またはアクセスするデータの量を制限できます。しかし、大規模な組織の場合、1 人の管理者が多数のユーザーを管理および監視することは実現できません。機密データを過度に共有しているすべてのユーザーをウォッチリストに追加したり、アカウントをすぐに無効にしたりするポリシーを作成できます。

デフォルトポリシー

デフォルトポリシーは、 ポリシー ダッシュボードで事前に定義され、有効になっています。定義済みの条件に基づいて作成され、対応するアクションがすべてのデフォルトポリシーに割り当てられます。デフォルトのポリシーを使用するか、要件に基づいて変更することができます。

Citrix Analytics では、以下のデフォルトポリシーがサポートされています。

  • 認証情報の不正利用の成功
  • データ流出の可能性
  • 不審な IP からの異常なアクセス
  • 異常な場所からの異常なアプリアクセス
  • 低リスクのユーザー-新しいIPからの初回アクセス
  • デバイスからの初回アクセス

ポリシーの条件とアクションの詳細については、「継続的なリスクアセスメント」を参照してください。

デフォルトポリシー

条件を追加または削除するには?

さらに条件を追加するには、ポリシーの作成 ページの 次の条件を満たしている場合 セクションで [条件の 追加 を選択します。条件を削除するには、条件の横に表示される-アイコンを選択します。

条件の追加と削除

デフォルトおよびカスタムリスク指標

条件メニューは、ポリシーの作成 ページの 既定のリスクインジケータ タブと [カスタムリスクインジケータ タブに基づいて分類されます。これらのタブを使用すると、ポリシー構成の条件を選択するときに選択するリスクインジケータのタイプを簡単に特定できます。

条件の追加と削除

アクションとは

アクションは、将来の異常なイベントが発生するのを防ぐ疑わしいイベントに対する応答です。異常な動作や疑わしい動作を表示するユーザーアカウントに対してアクションを適用できます。ユーザーのアカウントに対して自動的にアクションを実行するようにポリシーを設定することも、ユーザーのリスクタイムラインから特定のアクションを手動で適用することもできます。

Citrix データソースごとにグローバルアクションまたはアクションを表示できます。また、ユーザーに対して以前に適用したアクションをいつでも無効にすることもできます。

注:リスクインジケーターをトリガーするデータソース

に関係なく、他のデータソースに関連するアクションを適用できます。

次の表に、実行できるアクションを示します。

アクション名 説明 適用可能なデータソース
グローバルアクション    
ウォッチリストに追加 将来の潜在的な脅威についてユーザーを監視する場合は、監視リストに追加できます。 すべてのデータソース
  監視リストのユーザー] ペインには、アカウントでの 異常なアクティビティに基づいて潜在的な脅威を監視するすべてのユーザーが表示されます。組織のポリシーに基づいて、「監視リストに追加」アクションを使用して、監視リストにユーザーを追加できます。  
  ウォッチリストにユーザーを追加するには、ユーザーのプロファイルに移動し、 「アクション」メニューから「ウォッチリストに追加を選択します。適用 をクリックして、アクションを適用します。  
管理者に通知 ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。  
ユーザーからの応答の要求 ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、そのアクティビティを識別するかどうかを確認するようにユーザーに通知できます。アクティビティに基づいて、ユーザーのアカウントで実行する次のアクションを決定できます。 すべてのデータソース
Citrix Gateway のアクション    
ユーザーのログオフ ユーザーが自分のアカウントからログオフすると、Gateway管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。 Citrix Gateway のオンプレミスおよびCitrix Application Delivery Management
ユーザーのロック 異常な動作によりユーザーのアカウントがロックされると、ゲートウェイ管理者がアカウントのロックを解除するまで、Citrix Gateway ateway経由でリソースにアクセスできなくなります。 Citrix Gateway
ユーザーのロック解除 異常な動作が検出されなかったにもかかわらず、ユーザーのアカウントが誤ってロックされた場合、このアクションを適用してロックを解除し、アカウントへのアクセスを復元できます。 Citrix Gateway
Citrix Content Collaboration アクション    
ユーザーの無効化 Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。 Citrix Content Collaboration
  アカウントが無効になると、ユーザーに通知が表示されます。アカウントのログオンページに表示される通知により、Content Collaboration 管理者に詳細情報を問い合わせるよう求められます。  
すべての共有リンクを期限切れにする ユーザーが過剰なファイル共有インジケーターをトリガーすると、Citrix Analytics では、そのインジケータに関連付けられているすべてのリンクを期限切れにできます。 Citrix Content Collaboration
  ユーザーがファイルを過度に共有すると、過度のファイル共有リスクインジケータがトリガーされ、共有リンクの有効期限が切れます。共有リンクの有効期限が切れると、リンクが無効になり、リンクを共有したユーザーがアクセスできなくなります。  
Citrix Virtual Apps and Desktops のアクション    
ユーザーのログオフ ユーザーが自分のアカウントからログオフすると、Virtual Desktops 管理者が [ユーザーのログオフ] アクションをクリアするまで、Virtual Desktops を介してリソースにアクセスできません。 オンプレミスのVirtual Apps and Desktops、およびCitrix Virtual Apps and Desktops サービス
セッション録画の開始 ユーザーのVirtual Desktops アカウントに異常なイベントが発生した場合、管理者は今後のログオンセッションのユーザーのアクティビティの記録を開始できます。ユーザーがVirtual Apps およびデスクトップ 7.18 以降のバージョンを使用している場合、管理者はユーザーの現在のログオンセッションの記録を動的に開始および停止できます。 オンプレミスのVirtual Apps and Desktops
Citrix Endpoint Management アクション    
デバイスのロック デバイス上で異常なアクティビティが発生し、ユーザーのリスクスコアが指定された値を超える場合は、[デバイスのロック] アクションを使用できます。 Citrix Endpoint Managementサービス
  アクションが適用されると、ユーザーのすべてのデバイスがロックされます。ただし、ユーザーはデバイスの画面をスワイプしてパスコードを入力し、作業を続行できます。  

  • Content Collaboration ユーザに対して [ユーザを無効にする アクションを適用した場合、コンテンツコラボレーションの管理者に通知が表示されるまで、そのユーザのアカウントは無効になりません。中間期間中、ユーザーはContent Collaboration アカウントを使用でき、データはCitrix Analytics によって引き続き処理されます。Content Collaboration 管理者がユーザーのアカウントを無効にした後、ユーザーはContent Collaboration 管理者に連絡して、アカウントを再アクティブ化する必要があります。Citrix Analytics 管理者は、無効にしたContent Collaboration アカウントを有効に できません

  • オンプレミスのVirtual Apps およびデスクトップでは、Citrix Analytics sからエージェントをダウンロードし、Delivery Controller にインストールして、ユーザーのログオフおよびSession Recordingの起動アクションを実行する必要があります。エージェントの詳細については、Virtual Apps and Desktopsサイトでの分析の有効化を参照してください。

ポリシーとアクションの構成

たとえば、次の手順に従って、過剰なファイル共有ポリシーを作成できます。このポリシーを使用すると、組織内のユーザーが異常に大量のデータを共有すると、共有リンクは自動的に期限切れになります。ユーザーがそのユーザーの通常の動作を超えるデータを共有すると、通知されます。過剰なファイル共有ポリシーを適用し、すぐにアクションを実行することで、任意のユーザーのアカウントからのデータの漏洩を防ぐことができます。

ポリシーを作成するには、次の手順を実行します。

  1. Citrix Analytics にサインインした後、ツールバーで設定>カスタムリスク指標とポリシーの順に選択します。

    設定ポリシー

  2. [ポリシー] ダッシュボードで、ポリシーの作成 をクリックします。

    「ポリシーの作成」ボタン

  3. 「次の条件を満たしている場合」リスト・ ボックスから、アクションを適用するデフォルトまたはカスタム・リスク・インジケータ条件を選択します。

    条件の追加と削除

  4. 次に実行する リストから、アクションを選択します。

    次に、次の操作を行います。

  5. Policy Name テキストボックスに名前を入力し、表示されたトグルボタンを使用してポリシーを有効にします。

    ポリシーの作成

  6. [ポリシーの作成] をクリックします。

ユーザーからの応答の要求

リクエストユーザー応答 は、異常なアクティビティを検出した直後にユーザーに警告できるグローバルアクションです。ユーザーの応答に基づいて、実行する次のアクションを決定できます。ユーザーが報告されたアクティビティを実行したという応答を受け取った場合、そのアクティビティは疑わしいものではなく、ユーザーのアカウントに対してアクションを実行する必要はありません。ユーザーにセキュリティ警告を送信する1日の制限は、3メールです。

Citrix Content Collaboration ユーザーで、80分間のリスクスコアが80を超えたとします。[ユーザーの 応答を要求] アクションを適用すると、この異常な動作についてユーザーに 警告できます。電子メール ID からセキュリティ警告がユーザーに送信security-analytics@citrix.comされます。電子メールには、アクティビティ、デバイス、日時、IPアドレスなどの情報が含まれています。また、ユーザーの応答を要求 アクションがユーザーのリスクタイムラインに追加されます。

ユーザーからの応答の要求

ユーザーの応答時間を設定するには?

次の手順を使用して、セキュリティ警告メールに対するユーザーの応答時間を構成できます。

  1. 設定 > カスタムリスクインジケータとポリシー に移動します。

  2. ポリシー ページで、設定 メニューを選択し、テキストボックスの分数を更新します。

  3. 設定を保存をクリックします。

    ユーザーの応答時間

中断を伴うアクションを適用した後にユーザーに通知する

このアクションの種類では、異常なアクティビティが検出されたときに、ユーザーをログオフや [ユーザーのアカウントでのユーザーのロック などの中断アクションを適用できます。ユーザーのアカウントにアクションが適用されると、そのアカウントへのサービスが中断されることがあります。そのような場合、ユーザーは以前のように自分のアカウントにアクセスできるように管理者に連絡する必要があります。

Citrix Content Collaboration ユーザーで、80分間のリスクスコアが80を超えたとします。ユーザーをログオフできます。このタスクが実行されると、ユーザーは自分のアカウントにアクセスできず、電子メール ID からユーザーに電子メール通知が送信されますsecurity-analytics@citrix.com。電子メールには、アクティビティ、デバイス、日時、IPアドレスなどのイベントの詳細が含まれています。ユーザーは、以前のように管理者に連絡して自分のアカウントにアクセスする必要があります。

中断を伴うアクションを適用

アクションを手動で適用する

新しいデバイスを使用してネットワークに初めてサインインするユーザー Lemuel Kildow を考えてみましょう。動作が異常であるためアカウントを監視するには、管理者に通知 アクションを使用します。

ユーザーに手動でアクションを適用するには、次の操作を行う必要があります。

ユーザーのプロファイルに移動し、適切なリスク指標を選択します。「アクション」メニューから管理者に通知アクションを選択し、適用をクリックします。

操作一覧

Lemuelのアカウントで異常で不審なアクティビティが発生したため、すべてのCitrix Cloud管理者に電子メール通知が送信され、アカウントが監視されます。適用されたアクションがリスクタイムラインに追加され、アクションの詳細がリスクタイムラインページの右ペインに表示されます。

適用されたアクション

ポリシーの管理

ポリシーダッシュボードを表示して、Citrix Analytics で作成されたすべてのポリシーを管理し、ネットワーク上の不整合を監視および識別できます。[ポリシー] ダッシュボードでは、次の操作を実行できます。

  1. ポリシーの一覧を表示する

  2. ポリシーの詳細

    • ポリシーの名前

    • [ステータス]:有効または無効です。

    • ポリシーの期間:ポリシーがアクティブまたは非アクティブであった日数。

    • [Hits]:ポリシーがトリガーされた回数。

    • Modified:タイムスタンプ。ポリシーが変更されている場合のみ。

  3. ポリシーの削除

    • ポリシーを削除するには、削除するポリシーを選択して Delete をクリックします。

    • または、ポリシーの名前をクリックして、[ポリシーの変更] ページに移動することもできます。ポリシーの削除をクリックします。ダイアログで、ポリシーの削除要求を確認します。

  4. ポリシーの作成

  5. ポリシーの名前をクリックすると、詳細が表示されます。名前をクリックしたときにポリシーを変更することもできます。実行できるその他の変更は次のとおりです。

    • ポリシーの名前を変更します。

    • ポリシーの条件。

    • 適用するアクション。

    • ポリシーを有効または無効にします。

    • ポリシーを削除します。

  • ポリシーを削除しない場合は、ポリシーを無効にすることができます。

  • [ポリシー] ダッシュボードでポリシーを再度有効にするには、次の手順を実行します。

    • [ポリシー] ダッシュボードで、ステータス スライダーボタンを緑色にします。

    • [ポリシーの変更] ページで、ページの下部にある 有効 スライダーボタンをクリックします。

サポートされるモード

Citrix Analytics では、ポリシーで次のモードがサポートされています。

  • 強制モード -このモードでは、構成されたポリシーがユーザーアカウントに影響します。

  • モニタモード -このモードでは、構成されたポリシーはユーザーアカウントに影響を与えません。ポリシー設定をテストする場合は、ポリシーをこのモードに設定できます。

ポリシーのモードを設定するには、次の手順に従います。

  1. [ 設定] > カスタムリスクインジケータとポリシー に移動します。

  2. ポリシー ページで、 検索 バーの横に表示される右上隅のアイコンを選択します。選択モードウィンドウが表示されます。

  3. 目的のモードを選択し、設定の保存 をクリックします。

Analytics によって作成されるデフォルトのポリシーは、監視モードに設定されます。その結果、既存のポリシーもこのモードを継承します。すべてのポリシーの影響をまとめて評価し、強制モードに変更できます。

ポリシーモード

ポリシーのセルフサービス検索

セルフサービス検索ページでは、定義したポリシーを満たしたユーザーイベントを表示し、これらの異常イベントに適用されたアクションを表示できます。詳しくは、「ポリシーのセルフサービス検索」を参照してください。