Citrix Analytics for Security

ポリシーとアクション

Citrix Analytics でポリシーを作成して、異常なアクティビティや疑わしいアクティビティが発生した場合にユーザーアカウントでアクションを実行するのに役立ちます。ポリシーを使用すると、ユーザーの無効化、ウォッチリストへのユーザーの追加などのアクションの適用プロセスを自動化できます。ポリシーを有効にすると、異常イベントが発生してポリシー条件が満たされた直後に、対応するアクションが適用されます。また、異常なアクティビティがあるユーザーアカウントにアクションを手動で適用することもできます。

どのようなポリシーがありますか

ポリシーは、アクションを適用するために満たす必要がある一連の条件です。ポリシーには、1 つ以上の条件と 1 つのアクションが含まれます。複数の条件と、ユーザーのアカウントに適用できる 1 つのアクションを含むポリシーを作成できます。

リスクスコア はグローバル条件です。グローバル条件は、特定のデータソースの特定のユーザーに適用できます。異常なアクティビティを示すユーザーアカウントを監視し続けることができます。その他の条件は、データソースとそのリスク指標に固有のものです。条件には、リスクスコア、デフォルトのリスク指標、およびカスタムリスク指標の組み合わせが含まれます。ポリシーを作成するときは、最大 4 つの条件を追加できます。

ポリシーの作成

たとえば、組織で機密データを使用している場合、ユーザーが内部で共有またはアクセスするデータの量を制限できます。しかし、大規模な組織がある場合、1人の管理者が多くのユーザーを管理および監視することは実現できません。機密データを過度に共有しているすべてのユーザーをウォッチリストに追加したり、アカウントをすぐに無効にしたりするポリシーを作成できます。

既定のポリシー

デフォルトのポリシーは、[ ポリシー ] ダッシュボードで事前定義され、有効になっています。定義済みの条件に基づいて作成され、対応するアクションがすべてのデフォルトポリシーに割り当てられます。デフォルトポリシーを使用することも、要件に基づいて変更することもできます。

Citrix Analytics では、次のデフォルトポリシーがサポートされています。

  • 認証情報の悪用が成功しました
  • データ流出の可能性
  • 疑わしいIPからの異常なアクセス
  • 通常の場所以外からの異常なアプリアクセス
  • 低リスクユーザー-新しい IP からの初回アクセス
  • デバイスからの初回アクセス

前述のデフォルトポリシーに関する事前設定された条件とアクションの詳細については、「 継続的なリスク評価」を参照してください。

既定のポリシー

ジオフェンシングのユースケースの定義済みポリシーの詳細については、「 構成済みポリシー」を参照してください。

条件を追加または削除するには

さらに条件を追加するには、[ ポリシーの作成 ]ページの[ 次の条件が満たされる場合 ]セクションで[ 条件の追加 ]を選択します。条件を削除するには、条件の横に表示される [ - ] アイコンを選択します。

条件の追加と削除

デフォルトリスク指標とカスタムリスク指標

条件メニューは、[ ポリシーの作成 ] ページの [ 既定のリスク指標 ] タブと [ カスタムリスク指標 ] タブに基づいて分離されています。これらのタブを使用すると、ポリシー設定の条件を選択するときに選択するリスク指標のタイプを簡単に識別できます。

条件の追加と削除

アクションは何ですか

アクションは、将来の異常イベントの発生を妨げる疑わしいイベントへの応答です。異常な動作や疑わしい動作を表示するユーザーアカウントに対してアクションを適用できます。ユーザーのアカウントにアクションを自動的に適用するようにポリシーを構成するか、ユーザーのリスクタイムラインから特定のアクションを手動で適用できます。

Citrix データソースごとにグローバルアクションまたはアクションを表示できます。また、ユーザーに対して以前に適用したアクションをいつでも無効にできます。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

次の表に、実行できるアクションを示します。

| アクション名 | 説明 | 適用可能なデータソース | | ———– | ———– | ————————– | | グローバルアクション | | ウォッチリストに追加 | 将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。 | すべてのデータソース | | | [ ウォッチリストのユーザー] ペインには、アカウントでの 異常なアクティビティに基づいて潜在的な脅威を監視するすべてのユーザーが表示されます。組織のポリシーに基づいて、[ウォッチリストに追加] アクションを使用して、ユーザーをウォッチリストに追加できます。 | | | ユーザーをウォッチリストに追加するには、ユーザーのプロフィールに移動し、[ アクション ] メニューから [ ウォッチリストに追加] を選択します。[ 適用 ] をクリックして、アクションを適用します。 | | 管理者に通知 | ユーザーに対してリスク指標がトリガーされると、管理者に手動で通知したり、自動通知のポリシーを作成したりできます。Citrix Cloud ドメインおよび組織内の他のCitrix Cloud以外のドメインから管理者を選択できます。フルアクセス権を持つCitrix Cloud 管理者の場合、デフォルトでは、Citrix Cloud アカウントの電子メール通知は無効になっています。電子メール通知を受信するには、Citrix Cloud アカウントで有効にします。詳細については、「 メール通知を受信する」を参照してください。Security Analyticsを管理するためのカスタムアクセス許可(読み取り専用およびフルアクセス)を持つCitrix Cloud 管理者である場合、Citrix Cloud アカウントで電子メール通知が有効になります。Citrix Analytics からの電子メール通知の受信を停止するには、Citrix Cloud のフルアクセス管理者に、通知管理者の配布リストから自分の名前を削除するよう依頼します。の詳細については、「 電子メール配布リスト」を参照してください。 | | エンドユーザーへの応答をリクエストする | ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがあった場合、そのユーザーがそのアクティビティを特定しているかどうかを確認するようユーザーに通知できます。アクティビティに基づいて、ユーザーのアカウントで実行する次のアクションを決定できます。詳細については、「 エンドユーザーへの応答をリクエストする」を参照してください。| | Citrix Gateway の操作| | | | ユーザーのログオフ | アクションが適用されると、現在アクティブなユーザーセッションがログオフされます。それ以降のユーザーセッションはブロックされません。 | Citrix Gateway オンプレミスおよびCitrix Application Delivery Management | | ユーザーのロック | 異常な動作によりユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、Citrix Gateway 経由でリソースにアクセスできなくなります。| Citrix Gateway on-premises | | ユーザーのロック解除 | 異常な動作が検出されなかったのにユーザーのアカウントが誤ってロックされた場合、このアクションを適用してロックを解除し、アカウントへのアクセスを復元できます。| Citrix Gateway オンプレミス | | Citrix Content Collaboration アクション ** | | | **ユーザーの無効化 | Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。| Citrix Content Collaboration| | | アカウントが無効になると、ユーザーに通知が表示されます。アカウントのログオンページの通知で、Content Collaboration管理者に詳細情報を求めるメッセージが表示されます。| | | すべてのリンクを期限切れにする | Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。:この操作は、ユーザーのアカウントにアクティブな共有リンクが関連付けられている場合にのみ機能します。| Citrix Content Collaboration | |リンクを表示専用共有に変更 | Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。:このアクションは、ユーザーのアカウントにアクティブな共有リンクが関連付けられている場合にのみ機能します。| | | フォルダーのアクセス権限を削除 | ユーザーが感染ファイルをアップロードすると、そのユーザーのアクセス許可をブロックできます。ユーザーのアクセスは、感染ファイルがアップロードされたフォルダーに制限されます。| | | フォルダーへのアップロード権限の解除 | 感染ファイルをアップロードする際、そのユーザーのアップロード権限をブロックできます。ユーザーのアップロード権限は、感染ファイルがアップロードされたフォルダーに制限されています。| | | Citrix Virtual Apps and DesktopsとCitrix DaaSの操作| | | | ユーザーのログオフ | アクションを適用すると、現在アクティブなユーザーセッションがログオフされます。。今後のユーザーセッションはブロックされません。| Citrix Virtual Apps and Desktops オンプレミスおよび Citrix DaaS (以前のCitrix Virtual Apps and Desktopsサービス) | | Session Recordingの開始 | ユーザーのVirtual Desktopsアカウントに異常なイベントが発生した場合、管理者はユーザーの今後のログオンセッションのアクティビティです。ユーザーが Citrix Virtual Apps and Desktops 7.18 以降のバージョンを使用している場合、管理者はユーザーの現在のログオンセッションの記録を動的に開始および停止できます。| Citrix Virtual Apps and Desktops オンプレミス |

メモ

  • データソースに関係なく、リスク指標には任意のアクションを適用できます。

  • コンテンツコラボレーションユーザーに「 ユーザーを無効にする 」操作を適用すると、Content Collaboration 管理者に通知が表示されるまで、ユーザーのアカウントは無効になりません。中間期間中、ユーザーはContent Collaboration アカウントを使用でき、データはCitrix Analytics によって引き続き処理されます。Content Collaboration 管理者がユーザーのアカウントを無効にした後は、ユーザーはContent Collaboration 管理者に連絡してアカウントを再度アクティブ化する必要があります。Citrix Analytics 管理者は、無効になっているContent Collaboration アカウントを有効にできません

  • オンプレミスの場合は Citrix Virtual Apps and Desktops、Citrix Analytics からエージェントをダウンロードしてDDelivery Controller にインストールし、[ユーザーのログオフ]および[Session Recordingの開始]アクションを実行する必要があります。エージェントの詳細については、 Virtual Apps and Desktops サイトでの分析の有効化を参照してください

表示専用共有

ユーザーのアカウントで「 リンクを表示専用共有に変更 」アクションを適用する前に、次の条件が満たされていることを確認します。

前提条件

  • 管理者は、Content Collaboration で [ リンクを変更して表示のみの共有 ] アクションを使用するには、Enterprise アカウントが必要です。

  • 表示のみの共有は、Citrix Content Collaborationのエンタープライズアカウントでリクエストに応じて利用できる機能です。Citrix Analytics で[ 表示専用共有へのリンクの変更 ]アクションを適用する前に、ユーザーと管理者のContent Collaboration エンタープライズアカウントで[表示のみの共有]機能が既に有効になっていることを確認してください。詳しくは、Citrix サポート記事「 CTX208601」を参照してください。

サポートされているファイルタイプ

表示のみの共有アクションは、次のファイルタイプにのみ適用されます。

  • Microsoft Officeファイル

  • PDF

  • イメージファイル (SZC v3.4.1 以降が必要):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • Citrixが管理するストレージゾーンに保存されているオーディオおよびビデオファイル。

ポリシーとアクションの構成

たとえば、以下の手順に従って、過剰なファイル共有ポリシーを作成できます。このポリシーを使用すると、組織内のユーザーが異常に大量のデータを共有すると、共有リンクは自動的に期限切れになります。ユーザーがそのユーザーの通常の動作を超えるデータを共有すると、通知されます。過剰なファイル共有ポリシーを適用し、即座に対処することで、ユーザーのアカウントからのデータの漏洩を防ぐことができます。

ポリシーを作成するには、次の手順を実行します。

  1. Citrix Analytics にサインインしたら、[ セキュリティ]>[ポリシー]>[ポリシーの作成]の順に選択します

    ポリシーの作成

  2. [ 次の条件が満たされている場合 ] リストボックスから、アクションを適用する既定のリスク指標条件またはカスタムリスク指標条件を選択します。

    条件の追加と削除

  3. 次に実行する 」リストから、アクションを選択します。

    次に、次の操作を行います。

  4. [ Policy Name ] テキストボックスに名前を入力し、表示されるトグルボタンを使用してポリシーを有効にします。

    ポリシーの作成

  5. [ポリシーの作成] をクリックします。

ポリシーを作成すると、ポリシーが [ポリシー( Policies )] ダッシュボードに表示されます。

ポリシー ]ダッシュボードには、正常に検出され、Citrix Analytics に接続されたデータソースに関連付けられたポリシーが表示されます。ダッシュボードには、未検出のデータソースに対して条件が定義されているポリシーは表示されません。

たとえば、ポリシーの条件としてContent Collaborationからリスク指標を選択したとします。ただし、Citrix Content Collaborationを使用するためのサブスクリプションがないため、Citrix Analytics はこのデータソースを検出しません。そのため、ポリシーは ポリシー ダッシュボードに表示されません。

ただし、すでに接続されているデータソースのデータ処理をオフにしても、[ポリシー] ダッシュボードの既存のポリシーには影響しません。

エンドユーザーへの応答をリクエストする

エンドユーザー応答のリクエストは 、Citrix アカウントで異常なアクティビティを検出した直後にユーザーに警告できるグローバルアクションです。アクションを適用すると、ユーザーに電子メール通知が送信されます。ユーザーは、自分のアクティビティの正当性について電子メールで応答する必要があります。

前提条件:

ユーザーに「 エンドユーザーレスポンスを要求 」アクションを適用する前に、次のいずれかを確認します。

  • ユーザーの電子メールアドレスは Active Directory で利用できます。また、 Active Directory をCitrix Cloud に接続する必要があります

  • ユーザー (従業員とクライアント) の電子メールアドレスは、Content Collaboration アカウントで利用できます。Content Collaboration でユーザを作成および管理する方法については、「 ユーザ設定」を参照してください。

このアクションを匿名ユーザーには適用できません。これらのユーザーは、Active Directory にもContent Collaboration にも電子メールアドレスを持っていません。

ユーザーに適用するアクションを決定します。

ユーザーの応答に基づいて、次のアクションコースを決定できます。「ウォッチリストに追加」、「管理者に通知」などのグローバルアクションを適用できます。または、Citrix Gateway-ユーザーのロック、Citrix Content Collaboration-ユーザーの無効化など、データソース固有のアクションを適用することもできます。

ユーザーが報告されたアクティビティを実行したという応答を受け取った場合、そのアクティビティは疑わしくなく、ユーザーのアカウントに対してアクションを実行する必要はありません。ユーザーにセキュリティアラートを送信できる1日あたりの上限は、3通です。

Citrix Content Collaboration ユーザーで、80分間のリスクスコアが80を超えたとします。この異常な動作についてユーザーに警告するには、「 エンドユーザーレスポンスを要求 」アクションを適用します。セキュリティアラートは、電子メール ID security-analytics@citrix.comからユーザーに送信されます。

電子メールには次の情報が含まれています。

  • リスク指標をトリガーしたユーザーのアクティビティ

  • ユーザーのデバイス

  • ユーザーアクティビティの日時

  • 製品またはサービスに正常にアクセスできる場所(都市および国)。都市または国が使用できない場合、対応する値は「不明」と表示されます。

エンドユーザー応答 の要求アクションがユーザーのリスクタイムラインに追加されます。

Citrix アカウントで検出されたアクティビティをユーザーが認識しない場合、Citrix Analytics は定義したアクションを適用します。

電子メールを受信してから1時間以内にユーザーが応答を送信しなかった場合、Citrix Analytics はそのユーザーをウォッチリストに追加します。疑わしいアクティビティがないかユーザーとそのアカウントを監視し、それに応じてアクションを実行できます。

エンドユーザーへの応答をリクエストする

ユーザーの応答時間を設定する方法は

セキュリティ警告メールに対するユーザーの応答時間を設定できます。指定した時間内に報告されたアクティビティについてユーザーが応答しなかった場合、そのユーザーは監視のためにウォッチリストに追加されます。

ユーザーの応答時間を設定する手順は、次のとおりです。

  1. 設定 > アラート設定 > エンドユーザーメール設定をクリックします

    時間設定ナビゲーション

  2. [ エンドユーザの電子メール設定] ページで、テキストボックスに分数を入力します。

    時間設定

  3. [変更の保存] をクリックします。

また、セキュリティ警告メールにバナー、ヘッダーテキスト、フッターテキストを追加して、正当に見えるようにしたり、ユーザーの注意を引いたり、応答時間を長くしたりすることもできます。詳細については、「 エンドユーザーのメール設定」を参照してください。

中断を伴うアクションを適用した後にユーザーに通知する

このアクションタイプでは、異常なアクティビティが検出されたときに、ユーザーのログオフユーザーのロックなどの中断を伴うアクションをユーザーのアカウントに適用できます 。ユーザーのアカウントにアクションが適用されると、そのアカウントへのサービスが中断されることがあります。そのような場合、ユーザーは以前のように自分のアカウントにアクセスできるように管理者に連絡する必要があります。

Citrix Content Collaboration ユーザーで、80分間のリスクスコアが80を超えたとします。ユーザーをログオフできます。このタスクを実行すると、ユーザーは自分のアカウントにアクセスできなくなり、電子メール ID security-analytics@citrix.comから電子メール通知がユーザーに送信されます。電子メールには、アクティビティ、デバイス、日付と時刻、IP アドレスなどのイベントの詳細が含まれています。ユーザーは、以前のように管理者に連絡してアカウントにアクセスする必要があります。

破壊的アクションを適用する

アクションを手動で適用する

新しいデバイスを使用して初めてネットワークにサインインするユーザー Lemuel を考えてみましょう。彼女の行動が異常であるために彼女のアカウントを監視するには、[ 管理者に通知] アクションを使用できます。

アクションをユーザーに手動で適用するには、次の操作を行う必要があります。

ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューから、[ 管理者に通知] アクションを選択し、[ 適用] をクリックします。

操作一覧

アカウントを監視するために、すべての管理者または選択した管理者に電子メール通知が送信されます。適用されたアクションがリスクタイムラインに追加され、アクションの詳細がリスクタイムラインページの右ペインに表示されます。

適用されたアクション

メモ

  • フルアクセス権を持つCitrix Cloud 管理者の場合、デフォルトでは、Citrix Cloud アカウントの電子メール通知は無効になっています。電子メール通知を受信するには、Citrix Cloud アカウントで有効にします。詳細については、「 メール通知を受信する」を参照してください。

  • Security Analyticsを管理するためのカスタムアクセス許可(読み取り専用およびフルアクセス)を持つCitrix Cloud 管理者である場合、Citrix Cloud アカウントで電子メール通知が有効になります。Citrix Analytics からの電子メール通知の受信を停止するには、Citrix Cloud のフルアクセス管理者に、通知管理者の配布リストから自分の名前を削除するよう依頼します。の詳細については、「 電子メール配布リスト」を参照してください。

ポリシーの管理

ポリシーダッシュボードを表示して、Citrix Analytics で作成されたすべてのポリシーを管理して、ネットワーク上の不整合を監視および識別できます。[ポリシー] ダッシュボードでは、次の操作を実行できます。

  1. ポリシーのリストを表示する

  2. ポリシーの詳細

    • ポリシーの名前

    • ステータス — 有効または無効。

    • ポリシーの期間:ポリシーがアクティブまたは非アクティブであった日数。

    • 発生回数 — ポリシーがトリガーされた回数。

    • Modified — ポリシーが変更された場合のみタイムスタンプ。

  3. ポリシーを削除する

    • ポリシーを削除するには、削除するポリシーを選択し、[ Delete] をクリックします。

    • または、ポリシーの名前をクリックして、[ポリシーの変更] ページにリダイレクトできます。[ ポリシーの削除] をクリックします。ダイアログで、ポリシーを削除するリクエストを確認します。

  4. ポリシーを作成する

  5. ポリシーの名前をクリックすると、詳細が表示されます。ポリシーの名前をクリックしたときに、ポリシーを変更することもできます。他に実行できる変更は次のとおりです。

    • ポリシーの名前を変更します。

    • ポリシーの条件。

    • 適用されるアクション。

    • ポリシーを有効または無効にします。

    • ポリシーを削除します。

  • ポリシーを削除したくない場合は、ポリシーを無効にすることができます。

  • [ポリシー] ダッシュボードでポリシーを再度有効にするには、次の手順を実行します。

    • On the Policies dashboard, click the Status slider button and refresh the page. The Status slider button turns green.

    • On the Modify Policy page, click the Enabled slider button on the bottom of the page.

サポートされるモード

Citrix Analytics は、ポリシーで次のモードをサポートしています。

  • 強制モード -このモードでは、構成されたポリシーがユーザーアカウントに影響します。

  • モニタモード -このモードでは、設定されたポリシーはユーザアカウントに影響を与えません。ポリシー設定をテストする場合は、ポリシーをこのモードに設定できます。

次の手順に従って、ポリシーのモードを設定します。

  1. [ セキュリティ ] > [ ポリシー] に移動します。

  2. [ ポリシー (Policies)] ページで、右上隅にある [ 検索 (Search)] バーの横に表示されるアイコンを選択します。 [モードを選択] ウィンドウが表示されます。

  3. 目的のモードを選択し、[ 設定の保存] をクリックします。

Analytics によって作成されたデフォルトのポリシーは、監視モードに設定されます。その結果、既存のポリシーもこのモードを継承します。すべてのポリシーの影響をまとめて評価し、強制モードに変更できます。

ポリシーモード

ポリシーのセルフサービス検索

[ セルフサービス検索 (Self-Service Search)] ページでは、ポリシーで定義されている条件を満たしたユーザーイベントを表示できます。このページには、これらのユーザーイベントに適用されたアクションも表示されます。適用されたアクションに基づいてユーザーイベントをフィルタリングします。

ポリシーとアクション