Citrix Analytics for Security

ポリシーとアクション

Citrix Analytics でポリシーを作成すると、異常なアクティビティや疑わしいアクティビティが発生した場合に、ユーザーアカウントに対するアクションを実行するのに役立ちます。ポリシーを使用すると、ユーザーの無効化、ウォッチリストへのユーザーの追加などのアクションの適用プロセスを自動化できます。ポリシーを有効にすると、異常イベントが発生し、ポリシー条件が満たされた直後に、対応するアクションが適用されます。また、異常なアクティビティを持つユーザーアカウントにアクションを手動で適用することもできます。

ポリシーとは

ポリシーは、アクションを適用するために満たす必要のある一連の条件です。ポリシーには、1 つ以上の条件と 1 つのアクションが含まれます。複数の条件と、ユーザーのアカウントに適用できる 1 つのアクションを含むポリシーを作成できます。

リスクスコア はグローバル条件です。グローバル条件は、特定のデータソースの特定のユーザーに適用できます。異常な活動を示すユーザーアカウントにウォッチを保持することができます。その他の条件は、データソースとそのリスク指標に固有のものです。条件には、リスクスコア、既定のリスク指標、およびカスタムリスク指標の組み合わせが含まれます。ポリシーの作成時に、最大 4 つの条件を追加できます。

ポリシーの作成

たとえば、組織で機密データを使用している場合、ユーザーが内部で共有またはアクセスするデータの量を制限できます。しかし、大規模な組織がある場合、1人の管理者が多くのユーザーを管理および監視することは実現できません。機密データを過度に共有しているすべてのユーザーをウォッチリストに追加したり、アカウントをすぐに無効にしたりするポリシーを作成できます。

デフォルトポリシー

デフォルトポリシーは、 ポリシー ダッシュボードで事前に定義され、有効になっています。定義済みの条件に基づいて作成され、対応するアクションがすべてのデフォルトポリシーに割り当てられます。デフォルトのポリシーを使用するか、要件に基づいて変更することができます。

Citrix Analytics では、以下のデフォルトポリシーがサポートされています。

  • 認証情報の不正利用の成功
  • データ流出の可能性
  • 疑わしいIPからの異常なアクセス
  • 通常の場所以外からの異常なアプリアクセス
  • 低リスクのユーザー-新しいIPからの初回アクセス
  • デバイスからの初回アクセス

上記のデフォルトポリシーに関する事前設定された条件とアクションについては、 継続的なリスクアセスメントを参照してください。

デフォルトポリシー

ジオフェンシングのユースケースの事前定義されたポリシーについては、 事前設定されたポリシーを参照してください。

条件を追加または削除するには?

さらに条件を追加するには、[ ポリシーの作成 ] ページの [ 次の条件を満たしている場合 ] セクションで [条件の 追加 ] を選択します。条件を削除するには、条件の横に表示される「 - 」アイコンを選択します。

条件の追加と削除

デフォルトおよびカスタムリスク指標

条件メニューは、[ ポリシーの作成 ] ページの [ 既定のリスク指標 ] タブと [カスタムリスク指標 ] タブに基づいて分類されます。これらのタブを使用すると、ポリシー構成の条件を選択するときに選択するリスク指標のタイプを簡単に特定できます。

条件の追加と削除

アクションとは

アクションは、将来の異常なイベントが発生するのを防ぐ疑わしいイベントに対する応答です。異常な動作や疑わしい動作を表示するユーザーアカウントに対してアクションを適用できます。ユーザーのアカウントにアクションを自動的に適用するようにポリシーを構成するか、ユーザーのリスクタイムラインから特定のアクションを手動で適用できます。

Citrix データソースごとにグローバルアクションまたはアクションを表示できます。また、ユーザーに対して以前に適用したアクションをいつでも無効にすることもできます。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

次の表に、実行できるアクションを示します。

アクション名 説明 適用可能なデータソース
グローバルアクション    
ウォッチリストに追加 将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。 すべてのデータソース
  [ ウォッチリストのユーザー] ペインには、アカウントでの 異常なアクティビティに基づいて潜在的な脅威を監視するすべてのユーザーが表示されます。組織のポリシーに基づいて、[ウォッチリストに追加] アクションを使用して、ユーザーをウォッチリストに追加できます。  
  ユーザーをウォッチリストに追加するには、ユーザーのプロフィールに移動し、[ アクション ] メニューから [ ウォッチリストに追加] を選択します。[ 適用 ] をクリックして、アクションを適用します。  
管理者に通知 ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合、Citrix Analytics はすべてのCitrix Cloud管理者に電子メール通知を送信します。通知する管理者を選択することもできます。:デフォルトでは、Citrix Cloudアカウントの電子メール通知は無効になっています。メール通知を受信するには、Cloud アカウントで通知を有効にする必要があります。詳しくは、「メールで通知を受信する」を参照してください。  
ユーザーからの応答の要求 ユーザーのアカウントに異常なアクティビティや不審なアクティビティがある場合は、ユーザーがアクティビティを識別するかどうかを確認するようにユーザーに通知できます。アクティビティに基づいて、ユーザーのアカウントで実行する次のアクションを決定できます。このアクションは、ポリシーを構成する場合にのみ適用できます。このアクションを手動で適用することはできません。:この操作を使用するには、Active Directory をCitrix Cloudに接続し、ユーザーの電子メールがActive Directory で使用可能であることを確認する必要があります。 すべてのデータソース
Citrix Gateway のアクション    
ユーザーのログオフ ユーザーが自分のアカウントからログオフすると、Gateway管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。このアクションは、アクションが適用されたときにアクティブなユーザーセッションをログオフします。将来のユーザーセッションはブロックされません。 Citrix Gateway のオンプレミスおよびCitrix Application Delivery Management
ユーザーのロック 異常な動作によりユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、Citrix Gateway ateway経由でリソースにアクセスできなくなります。 Citrix Gatewayオンプレミス
ユーザーのロック解除 異常な動作が検出されなかったにもかかわらず、ユーザーのアカウントが誤ってロックされた場合、このアクションを適用してロックを解除し、アカウントへのアクセスを復元できます。 Citrix Gatewayオンプレミス
Citrix Content Collaboration アクション    
ユーザーの無効化 Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。 Citrix Content Collaboration
  アカウントが無効になると、ユーザーに通知が表示されます。アカウントのログオンページに表示される通知により、Content Collaboration 管理者に詳細情報を問い合わせるよう求められます。  
すべてのリンクを期限切れにする ユーザーが過剰なファイル共有の指標をトリガーすると、Citrix Analytics では、その指標に関連付けられているすべてのリンクを期限切れにできます。 Citrix Content Collaboration
  ユーザーがファイルを過度に共有すると、過剰なファイル共有リスク指標がトリガーされ、共有リンクの有効期限が切れます。共有リンクの有効期限が切れると、リンクが無効になり、リンクを共有したユーザーがアクセスできなくなります。  
表示専用共有へのリンクを変更する ユーザーがファイルを過度に共有する場合は、このアクションを適用できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳しくは、「表示専用共有」を参照してください。  
Citrix Virtual Apps and Desktops のアクション    
ユーザーのログオフ ユーザーが自分のアカウントからログオフすると、Virtual Desktops 管理者が [ユーザーのログオフ] アクションをクリアするまで、Virtual Desktops を介してリソースにアクセスできません。このアクションは、アクションが適用されたときにアクティブなユーザーセッションをログオフします。将来のユーザーセッションはブロックされません。 オンプレミスのVirtual Apps and Desktops、およびCitrix Virtual Apps and Desktops サービス
セッションの録画を開始 ユーザーの仮想デスクトップアカウントに異常なイベントがある場合、管理者は将来のログオンセッションでのユーザーのアクティビティの記録を開始できます。ユーザーがVirtual Apps and Desktops 7.18以降のバージョンを使用している場合、管理者はユーザーの現在のログオンセッションの記録を動的に開始および停止できます。 オンプレミスのVirtual Apps and Desktops
Citrix Endpoint Management アクション    
デバイスのロック デバイスに異常なアクティビティがあり、ユーザーのリスクスコアが指定された値を超える場合は、[デバイスをロック] アクションを使用できます。 Citrix Endpoint Managementサービス
  アクションが適用されると、ユーザーのすべてのデバイスがロックされます。ただし、ユーザーはデバイスの画面をスワイプしてパスコードを入力し、作業を続けることができます。  

  • コンテンツコラボレーションユーザーに「 ユーザーを無効にする 」操作を適用すると、Content Collaboration 管理者に通知が表示されるまで、ユーザーのアカウントは無効になりません。中間期間中、ユーザーはContent Collaboration アカウントを使用でき、データはCitrix Analytics によって引き続き処理されます。Content Collaboration 管理者がユーザーのアカウントを無効にした後は、ユーザーはContent Collaboration 管理者に連絡してアカウントを再度アクティブ化する必要があります。Citrix Analytics 管理者は、無効にしたContent Collaboration アカウントを有効に できません

  • オンプレミスの仮想アプリとデスクトップの場合、ユーザーのログオフとセッション記録の開始アクションを実行するには、Citrix AnalyticsからエージェントをダウンロードしてDelivery Controllerにインストールする必要があります。エージェントについて詳しくは、「Virtual Apps and Desktopsサイトでの分析の有効化」を参照してください。

表示専用共有

共有リンクを閲覧専用共有モードに変更するには、次の方法があります。

  • ユーザーのリスクタイムラインで、過剰なファイル共有のリスクインジケータを選択します。[ アクション] > [リンクの変更] をクリックして、表示のみの共有アクションを実行します 。アクションは、リスク指標をトリガーしたユーザーアカウントに適用されます。

    [閲覧専用共有にリンクを変更 ] アクションは、[ 過剰なファイル共有リスク ] インジケータでのみ機能します。その他のリスク指標については、このアクションを適用しても有効になりません。

    アクションビューのみ共有を適用

  • リンクの共有ダッシュボードで、共有 URL をクリックします。リンクリスクのタイムラインを共有するにリダイレクトされます。アクション > リンクの変更をクリックして、表示専用共有をクリックします。アクションは、特定の共有リンクに適用されます。

    アクションビューを適用する共有リンクでのみ共有する

前提条件

  • 管理者は、Content Collaboration で [ リンクを変更して表示のみの共有 ] アクションを使用するには、Enterprise アカウントが必要です。

  • 表示のみの共有は、Citrix Content Collaborationのエンタープライズアカウントでリクエストに応じて利用できる機能です。Citrix Analytics で[ 表示専用共有へのリンクの変更 ]アクションを適用する前に、ユーザーと管理者のContent Collaboration エンタープライズアカウントで[表示のみの共有]機能が既に有効になっていることを確認してください。詳細については、Citrix サポート記事CTX208601を参照してください 。

このアクションを適用するとどうなりますか

この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。

表示のみの共有アクションは、次のファイルタイプにのみ適用されます。

  • Microsoft Officeファイル

  • PDF

  • イメージファイル (SZC v3.4.1 以降が必要):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • Citrixが管理するストレージゾーンに保存されているオーディオおよびビデオファイル。

ポリシーとアクションの構成

たとえば、次の手順に従って、過剰なファイル共有ポリシーを作成できます。このポリシーを使用すると、組織内のユーザーが異常に大量のデータを共有すると、共有リンクは自動的に期限切れになります。ユーザーがそのユーザーの通常の動作を超えるデータを共有すると、通知されます。過剰なファイル共有ポリシーを適用し、即座に対処することで、ユーザーのアカウントからのデータの漏洩を防ぐことができます。

ポリシーを作成するには、次の手順を実行します。

  1. Citrix Analytics にサインインした後、ツールバーで「 設定 」>「 カスタムリスク指標とポリシー 」の順に選択します。

    設定ポリシー

  2. [ポリシー] ダッシュボードで、[ ポリシーの作成] をクリックします。

    「ポリシーの作成」ボタン

  3. 「次の条件を満たしている場合」 リストボックスから、アクションを適用するデフォルトまたはカスタムリスク指標条件を選択します。

    条件の追加と削除

  4. [ 次に実行する] リストから、アクションを選択します。

    次に、次の操作を行います。

  5. [ Policy Name ] テキストボックスに名前を入力し、表示されたトグルボタンを使用してポリシーを有効にします。

    ポリシーの作成

  6. [ポリシーの作成] をクリックします。

ポリシーを作成すると、 ポリシーがポリシー ダッシュボードに表示されます。

ポリシー ダッシュボードには、Citrix Analyticsに正常に検出され、接続されたデータソースに関連付けられたポリシーが表示されます。ダッシュボードには、検出されていないデータソースに対して条件が定義されているポリシーは表示されません。

たとえば、ポリシーの条件としてContent Collaborationからリスク指標を選択したとします。ただし、Citrix Content Collaborationを使用するためのサブスクリプションがないため、Citrix Analytics はこのデータソースを検出しません。そのため、ポリシーは ポリシー ダッシュボードに表示されません。

ただし、すでに接続されているデータソースのデータ処理をオフにしても、 ポリシー ダッシュボードの既存のポリシーには影響しません。

ユーザーからの応答の要求

エンドユーザー応答の要求 は、異常なアクティビティを検出した直後にユーザーに警告できるグローバルアクションです。

前提条件:この操作を使用するには、Active Directory をCitrix Cloudに接続し、ユーザーの電子メールがActive Directory で使用できることを確認する必要があります。Active Directory の接続方法については、Active DirectoryをCitrix Cloudに接続するを参照してください。

ユーザーの応答に基づいて、次のアクションコースを決定できます。ユーザーが報告されたアクティビティを実行したという応答を受け取った場合、そのアクティビティは疑わしくなく、ユーザーのアカウントに対してアクションを実行する必要はありません。ユーザーにセキュリティアラートを送信する1日の制限は、3 つのメールです。

Citrix Content Collaboration ユーザーで、80分間のリスクスコアが80を超えたとします。エンドユーザー応答の要求 アクションを適用することにより、この異常な動作についてユーザーに警告できます。電子メール IDsecurity-analytics@citrix.com からセキュリティ警告がユーザーに送信されます。

電子メールには次の情報が含まれています。

  • リスク指標をトリガーしたユーザーのアクティビティ

  • ユーザーのデバイス

  • ユーザーアクティビティの日時

  • 製品またはサービスに正常にアクセスできる場所(都市および国)。都市または国が使用できない場合、対応する値は「不明」と表示されます。

エンドユーザー応答 の要求アクションがユーザーのリスクタイムラインに追加されます。

ユーザーからの応答の要求

[ エンドユーザーレスポンスの要求 ] アクションは、組織が米国リージョンにオンボーディングされている場合にのみサポートされます。組織がCitrix Cloudの欧州連合リージョンにオンボーディングされている場合、このアクションを使用することはできません。

ユーザーの応答時間を設定するには?

次の手順を使用して、セキュリティ警告メールに対するユーザーの応答時間を構成できます。

  1. [設定] > [カスタムリスク指標とポリシー] に移動します。

  2. [ ポリシー ] ページで、[ 設定] メニューを選択し、テキストボックスの分数を更新します。

  3. [設定を保存]をクリックします。

    ユーザーの応答時間

中断を伴うアクションを適用した後にユーザーに通知する

このアクションタイプでは、異常なアクティビティが検出されたときに、ユーザーのログオフユーザーのロックなどの中断を伴うアクションをユーザーのアカウントに適用できます 。ユーザーのアカウントにアクションが適用されると、そのアカウントへのサービスが中断されることがあります。そのような場合、ユーザーは以前のように自分のアカウントにアクセスできるように管理者に連絡する必要があります。

Citrix Content Collaboration ユーザーで、80分間のリスクスコアが80を超えたとします。ユーザーをログオフできます。このタスクが実行されると、ユーザーは自分のアカウントにアクセスできず、電子メール IDsecurity-analytics@citrix.com からユーザーに電子メール通知が送信されます。電子メールには、アクティビティ、デバイス、日時、IPアドレスなどのイベントの詳細が含まれています。ユーザーは、以前のように管理者に連絡して自分のアカウントにアクセスする必要があります。

中断を伴うアクションを適用

アクションを手動で適用する

新しいデバイスを初めて使用してネットワークにサインインするユーザー、Lemuelについて考えてみます。動作が異常であるためアカウントを監視するには、[ 管理者に通知 ] アクションを使用します。

ユーザーに手動でアクションを適用するには、次の操作を行う必要があります。

ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューから、[ 管理者 に通知]アクションを選択し、[ 適用]をクリックします。

操作一覧

Lemuelのアカウントでの異常な不審なアクティビティにより、すべてのCitrix Cloud管理者に電子メール通知が送信され、アカウントを監視します。適用されたアクションがリスクタイムラインに追加され、アクションの詳細がリスクタイムラインページの右ペインに表示されます。

適用されたアクション

:

デフォルトでは、Citrix Cloudアカウントのメール通知は無効になっています。メール通知を受信するには、Cloud アカウントで通知を有効にする必要があります。詳しくは、「メールで通知を受信する」を参照してください。

ポリシーの管理

ポリシーダッシュボードを表示して、Citrix Analytics で作成されたすべてのポリシーを管理し、ネットワーク上の不整合を監視および識別できます。[ポリシー] ダッシュボードでは、次の操作を実行できます。

  1. ポリシーの一覧を表示する

  2. ポリシーの詳細

    • ポリシーの名前

    • [ステータス]:有効または無効です。

    • ポリシーの期間–ポリシーがアクティブまたは非アクティブであった日数。

    • オカレンス–ポリシーがトリガーされた回数。

    • Modified:タイムスタンプ。ポリシーが変更されている場合のみ。

  3. ポリシーの削除

    • ポリシーを削除するには、削除するポリシーを選択して [ Delete] をクリックします。

    • または、ポリシーの名前をクリックして、[ポリシーの変更] ページに移動することもできます。[ ポリシーの削除]をクリックします。ダイアログで、ポリシーの削除要求を確認します。

  4. ポリシーの作成

  5. ポリシーの名前をクリックすると、詳細が表示されます。名前をクリックしたときにポリシーを変更することもできます。実行できるその他の変更は次のとおりです。

    • ポリシーの名前を変更します。

    • ポリシーの条件。

    • 適用するアクション。

    • ポリシーを有効または無効にします。

    • ポリシーを削除します。

  • ポリシーを削除したくない場合は、ポリシーを無効にすることができます。

  • [ポリシー] ダッシュボードでポリシーを再度有効にするには、次の手順を実行します。

    • ポリシーダッシュボードで、 ステータス スライダーボタンをクリックして、ページを更新します。ステータス スライダーボタンが緑色に変わります。

    • [ポリシーの変更] ページで、ページの下部にある [ 有効] スライダーボタンをクリックします。

サポートされるモード

Citrix Analytics では、ポリシーで次のモードがサポートされています。

  • 強制モード -このモードでは、構成されたポリシーがユーザーアカウントに影響します。

  • モニタモード -このモードでは、構成されたポリシーはユーザーアカウントに影響を与えません。ポリシー設定をテストする場合は、ポリシーをこのモードに設定できます。

ポリシーのモードを設定するには、次の手順に従います。

  1. [設定] > [カスタムリスク指標とポリシー] に移動します。

  2. [ ポリシー ] ページで、 検索 バーの横に表示される右上隅のアイコンを選択します。「 選択モード 」ウィンドウが表示されます。

  3. 目的のモードを選択し、[ 設定の保存] をクリックします。

Analytics によって作成されるデフォルトのポリシーは、監視モードに設定されます。その結果、既存のポリシーもこのモードを継承します。すべてのポリシーの影響をまとめて評価し、強制モードに変更できます。

ポリシーモード

ポリシーのセルフサービス検索

セルフサービス検索 ページでは、ポリシーで定義された条件を満たすユーザーイベントを表示できます。このページには、これらのユーザーイベントに適用されたアクションも表示されます。適用されたアクションに基づいてユーザーイベントをフィルタリングします。

ポリシーとアクション