Citrix® ユーザーリスクインジケーター
注
重要: Citrix Content Collaboration™ および ShareFile はサービス終了となり、ユーザーは利用できなくなりました。
ユーザーリスクインジケーターは、疑わしい、または組織にセキュリティ上の脅威をもたらす可能性のあるユーザーアクティビティです。これらのリスクインジケーターは、展開環境で使用されているすべてのCitrix製品にわたって適用されます。リスクインジケーターは、ユーザーの行動が通常から逸脱した場合にトリガーされます。各リスクインジケーターには、1つ以上のリスク要因が関連付けられています。これらのリスク要因は、ユーザーイベントにおける異常の種類を特定するのに役立ちます。リスクインジケーターとそれに関連付けられたリスク要因によって、ユーザーのリスクスコアが決定されます。
以下は、リスクインジケーターに関連付けられているリスク要因です。
-
デバイスベースのリスクインジケーター: ユーザーのデバイス履歴に基づいて異常と見なされるデバイスからユーザーがサインインした場合にトリガーされます。
-
ロケーションベースのリスクインジケーター: ユーザーのロケーション履歴に基づいて異常と見なされるロケーションに関連付けられたIPアドレスからユーザーがサインインした場合にトリガーされます。
-
IPベースのリスクインジケーター: ユーザーにとってそのIPアドレスが異常であるかどうかにかかわらず、疑わしいと識別されたIPアドレスからユーザーがリソースにアクセスしようとした場合にトリガーされます。
-
ログオン失敗ベースのリスクインジケーター: ユーザーが過剰または異常なログオン失敗のパターンを示した場合にトリガーされます。
-
データベースのリスクインジケーター: ユーザーがWorkspaceセッションからデータを持ち出そうとした場合にトリガーされます。監視対象のユーザー行動には、コピーまたは貼り付けイベント、ダウンロードパターンなどが含まれます。
-
ファイルベースのリスクインジケーター: Content Collaborationでのファイルアクセスに関するユーザーの行動が、その履歴アクセスパターンに基づいて異常と見なされた場合にトリガーされます。監視対象のユーザー行動には、ダウンロードパターン、機密コンテンツへのアクセス、ランサムウェアを示唆するアクティビティなどが含まれます。
-
カスタムリスクインジケーター: 事前設定された条件またはユーザー定義の条件が満たされた場合にトリガーされます。詳細については、以下の記事を参照してください。
-
その他のリスクインジケーター - デバイスベース、ロケーションベース、ログオン失敗ベースなどの事前定義されたリスク要因のいずれにも属さないリスクインジケーター。
リスクインジケーターは、類似するリスクに基づいてリスクカテゴリにグループ化されます。詳細については、「リスクカテゴリ」を参照してください。
以下の表は、リスクインジケーター、リスク要因、およびリスクカテゴリ間の相関関係を示しています。
| 製品 | ユーザーリスクインジケーター | リスク要因 | リスクカテゴリ |
|---|---|---|---|
| Citrix Endpoint Management | ブラックリストに登録されたアプリが検出されたデバイス | その他のリスクインジケーター | 侵害されたエンドポイント |
| ジェイルブレイクまたはルート化されたデバイスが検出された | その他のリスクインジケーター | 侵害されたエンドポイント | |
| 管理対象外のデバイスが検出された | その他のリスクインジケーター | 侵害されたエンドポイント | |
| Citrix Gateway | エンドポイント分析 (EPA) スキャン失敗 | その他のリスクインジケーター | 侵害されたユーザー |
| 過剰な認証失敗 | ログオン失敗ベースのリスクインジケーター | 侵害されたユーザー | |
| 不可能移動 | ロケーションベースのリスクインジケーター | 侵害されたユーザー | |
| 疑わしいIPからのログオン | IPベースのリスクインジケーター | 侵害されたユーザー | |
| 疑わしいログオン | デバイスベースのリスクインジケーター、IPベースのリスクインジケーター、ロケーションベースのリスクインジケーター、およびその他のリスクインジケーター | 侵害されたユーザー | |
| 異常な認証失敗 | ログオン失敗ベースのリスクインジケーター | 侵害されたユーザー | |
| Citrix Secure Private Access | ブラックリストに登録されたURLへのアクセス試行 | その他のリスクインジケーター | インサイダー脅威 |
| 過剰なデータダウンロード | その他のリスクインジケーター | インサイダー脅威 | |
| 危険なWebサイトアクセス | その他のリスクインジケーター | インサイダー脅威 | |
| 異常なアップロード量 | その他のリスクインジケーター | インサイダー脅威 | |
| Citrix DaaS (旧称 Citrix Virtual Apps and Desktopsサービス) およびオンプレミス版 Citrix Virtual Apps and Desktops | 不可能移動 | ロケーションベースのリスクインジケーター | 侵害されたユーザー |
| 潜在的なデータ持ち出し | データベースのリスクインジケーター | データ持ち出し | |
| 疑わしいログオン | デバイスベースのリスクインジケーター、IPベースのリスクインジケーター、ロケーションベースのリスクインジケーター、およびその他のリスクインジケーター | 侵害されたユーザー |
リスクインジケーターは、手動で役立つか否かをマークできます。詳細については、「ユーザーリスクインジケーターのフィードバックを提供する」を参照してください。