Citrix Analytics for Security

Citrix ユーザーリスク指標

ユーザーリスク指標は、疑わしいと思われるユーザーアクティビティや、組織にセキュリティ上の脅威をもたらす可能性のあるユーザーアクティビティです。これらのリスク指標は、展開で使用されるすべてのCitrix 製品にまたがります。リスク指標は、ユーザーの行動が正常から逸脱したときにトリガーされます。各リスク指標には、1 つ以上のリスク要因を関連付けることができます。これらのリスク要因は、ユーザーイベントの異常の種類を判断するのに役立ちます。リスク指標とそれに関連するリスク要因は、ユーザーのリスクスコアを決定します。

リスク指標に関連するリスク要因は次のとおりです。

  • デバイスベースのリスク指標:ユーザーのデバイス履歴に基づいて異常と見なされるデバイスからユーザーがサインインしたときにトリガーされます。

  • ロケーションベースのリスク指標:ユーザーのロケーション履歴に基づいて異常と見なされるロケーションに関連付けられたIPアドレスからユーザーがサインインするとトリガーされます。

  • IPベースのリスク指標:ユーザーが疑わしいと識別されたIPアドレスからリソースにアクセスしようとしたときにトリガーされます。IPアドレスがユーザーにとって異常かどうかは関係ありません。

  • ログオン失敗ベースのリスク指標:ユーザーが過度または異常なログオン失敗のパターンを持つ場合にトリガーされます。

  • データベースのリスク指標:ユーザーが Workspace セッションからデータを取り出そうとしたときにトリガーされます。観察中のユーザーの行動には、コピーまたは貼り付けイベント、ダウンロードパターンなどが含まれます。

  • ファイルベースのリスク指標:Content Collaboration でのファイルアクセスに関するユーザーの行動が、過去のアクセスパターンに基づいて異常であると見なされたときにトリガーされます。監視対象のユーザーの行動には、ダウンロードパターン、機密コンテンツへのアクセス、ランサムウェアを示すアクティビティなどが含まれます。

  • カスタムリスク指標:事前設定された条件またはユーザー定義の条件が満たされたときにトリガーされます。詳しくは、次の記事を参照してください:

  • その他のリスク指標-デバイスベース、ロケーションベース、ログオン失敗ベースなど、事前定義されたリスク要因のいずれにも属さないリスク指標。

また、リスク指標は、類似した性質のリスクに基づいてリスクカテゴリに分類されます。詳細については、「 リスクカテゴリ」を参照してください。

次の表は、リスク指標、リスク因子、およびリスクカテゴリの相関関係を示しています。

製品 ユーザーリスクインジケータ リスクファクター リスクカテゴリ
Citrix Content Collaboration 機密ファイルへの過剰なアクセス ファイルベースのリスク指標 データ流出
  過剰なファイル共有 その他のリスク指標 データ流出
  ファイルまたはフォルダの過剰な削除 ファイルベースのリスク指標 インサイダーの脅威
  過剰なファイルのアップロード その他のリスク指標 インサイダーの脅威
  過剰なファイルのダウンロード ファイルベースのリスク指標 データ流出
  マルウェアファイルが検出されました ファイルベースのリスク指標 インサイダーの脅威
  ランサムウェアのアクティビティの疑い ファイルベースのリスク指標 侵害されたユーザー
  疑わしいログオン デバイスベースのリスク指標、IP ベースのリスク指標、ロケーションベースのリスク指標、およびその他のリスク指標 侵害されたユーザー
  異常な認証失敗 ログオン失敗ベースのリスク指標 侵害されたユーザー
Citrix Endpoint Management ブラックリストに登録されたアプリが検出されたデバイス その他のリスク指標 侵害されたエンドポイント
  ジェイルブレイクまたはRoot化されたデバイスが検出されました その他のリスク指標 侵害されたエンドポイント
  管理対象外のデバイスが検出されました その他のリスク指標 侵害されたエンドポイント
Citrix Gateway エンドポイント分析 (EPA) スキャンの失敗 その他のリスク指標 侵害されたユーザー
  過剰な認証失敗 ログオン失敗ベースのリスク指標 侵害されたユーザー
  疑わしいIPからのログオン IP ベースのリスク指標 侵害されたユーザー
  疑わしいログオン デバイスベースのリスク指標、IP ベースのリスク指標、ロケーションベースのリスク指標、およびその他のリスク指標 侵害されたユーザー
  異常な認証の失敗 ログオン失敗ベースのリスク指標 侵害されたユーザー
Citrix Secure Private Access ブラックリストに載っているURLにアクセスしようとしました その他のリスク指標 インサイダーの脅威
  過剰なデータのダウンロード その他のリスク指標 インサイダーの脅威
  危険なウェブサイトへのアクセス その他のリスク指標 インサイダーの脅威
  異常なアップロードボリューム その他のリスク指標 インサイダーの脅威
Citrix DaaS(旧Citrix Virtual Apps and Desktops サービス)およびオンプレミスのCitrix Virtual Apps and Desktops データ流出の可能性 データベースのリスク指標 データ流出
  疑わしいログオン デバイスベースのリスク指標、IP ベースのリスク指標、ロケーションベースのリスク指標、およびその他のリスク指標 侵害されたユーザー
Citrix ユーザーリスク指標