Citrix Analytics for Security

Citrix ユーザーリスク指標

ユーザーリスク指標は、疑わしいと思われるユーザーアクティビティや、組織にセキュリティ上の脅威をもたらす可能性のあるユーザーアクティビティです。これらのリスク指標は、展開で使用されるすべてのCitrix 製品にまたがります。リスク指標は、ユーザーの行動が正常から逸脱したときにトリガーされます。各リスク指標には、1 つ以上のリスク要因を関連付けることができます。これらのリスク要因は、ユーザーイベントの異常の種類を判断するのに役立ちます。リスク指標とそれに関連するリスク要因は、ユーザーのリスクスコアを決定します。

リスク指標に関連するリスク要因は次のとおりです。

  • デバイスベースのリスク指標:ユーザーのデバイス履歴に基づいて異常と見なされるデバイスからユーザーがサインインしたときにトリガーされます。

  • ロケーションベースのリスク指標:ユーザーのロケーション履歴に基づいて異常と見なされるロケーションに関連付けられたIPアドレスからユーザーがサインインするとトリガーされます。

  • IPベースのリスク指標:ユーザーが疑わしいと識別されたIPアドレスからリソースにアクセスしようとしたときにトリガーされます。IPアドレスがユーザーにとって異常かどうかは関係ありません。

  • ログオン失敗ベースのリスク指標:ユーザーが過度または異常なログオン失敗のパターンを持つ場合にトリガーされます。

  • データベースのリスク指標:ユーザーが Workspace セッションからデータを取り出そうとしたときにトリガーされます。観察中のユーザーの行動には、コピーまたは貼り付けイベント、ダウンロードパターンなどが含まれます。

  • ファイルベースのリスク指標:Content Collaboration でのファイルアクセスに関するユーザーの行動が、過去のアクセスパターンに基づいて異常であると見なされたときにトリガーされます。監視対象のユーザーの行動には、ダウンロードパターン、機密コンテンツへのアクセス、ランサムウェアを示すアクティビティなどが含まれます。

  • カスタムリスク指標:事前設定された条件またはユーザー定義の条件が満たされたときにトリガーされます。詳しくは、次の記事を参照してください:

  • その他のリスク指標-デバイスベース、ロケーションベース、ログオン失敗ベースなど、事前定義されたリスク要因のいずれにも属さないリスク指標。

また、リスク指標は、類似した性質のリスクに基づいてリスクカテゴリに分類されます。詳細については、「 リスクカテゴリ」を参照してください。

次の表は、リスク指標、リスク因子、およびリスクカテゴリの相関関係を示しています。

| 製品 | ユーザーリスクインジケータ | リスクファクター | リスクカテゴリ | | ——————- | ——————- |——-|————| | Citrix Content Collaboration | 機密ファイルへの過剰なアクセス | ファイルベースのリスク指標 | データ流出 | | | 過剰なファイル共有 | その他のリスク指標 | データ流出 | | | ファイルまたはフォルダの過剰な削除 | ファイルベースのリスク指標 | インサイダーの脅威 | | | 過剰なファイルのアップロード | その他のリスク指標 | インサイダーの脅威 | | | 過剰なファイルのダウンロード | ファイルベースのリスク指標 | データ流出 | | | あり得ない移動 | ロケーションベースのリスク指標 | 侵害されたユーザー | | | マルウェアファイルが検出されました | ファイルベースのリスク指標 | インサイダーの脅威 | | | ランサムウェアのアクティビティの疑い | ファイルベースのリスク指標 | 侵害されたユーザー | | | 疑わしいログオン |デバイスベースのリスク指標、IP ベースのリスク指標、ロケーションベースのリスク指標、およびその他のリスク指標 |侵害されたユーザー| | | 異常な認証失敗 | ログオン失敗ベースのリスク指標 | 侵害されたユーザー | |Citrix Endpoint Management | ブラックリストに登録されたアプリが検出されたデバイス |その他のリスク指標|侵害されたエンドポイント| | | ジェイルブレイクまたはRoot化されたデバイスが検出されました |その他のリスク指標 |侵害されたエンドポイント| | | 管理対象外のデバイスが検出されました |その他のリスク指標|侵害されたエンドポイント| |Citrix Gateway | エンドポイント分析 (EPA) スキャンの失敗 | その他のリスク指標|侵害されたユーザー| | | 過剰な認証失敗 |ログオン失敗ベースのリスク指標|侵害されたユーザー| | | あり得ない移動 | ロケーションベースのリスク指標 | 侵害されたユーザー | | | 疑わしいIPからのログオン |IP ベースのリスク指標|侵害されたユーザー| | | 疑わしいログオン |デバイスベースのリスク指標、IP ベースのリスク指標、ロケーションベースのリスク指標、およびその他のリスク指標 |侵害されたユーザー| | | 異常な認証の失敗 | ログオン失敗ベースのリスク指標|侵害されたユーザー| | Citrix Secure Private Access| ブラックリストに載っているURLにアクセスしようとしました | その他のリスク指標| インサイダーの脅威| | | 過剰なデータのダウンロード |その他のリスク指標|インサイダーの脅威| | | 危険なウェブサイトへのアクセス |その他のリスク指標|インサイダーの脅威| | | 異常なアップロードボリューム |その他のリスク指標|インサイダーの脅威| | Citrix DaaS(以前のCitrix Virtual Apps and Desktopsサービス)とオンプレミスのCitrix Virtual Apps and Desktops| 不可能な移動 |ロケーションベースのリスク指標 |侵害されたユーザー|)|潜在的なデータ漏えい |データベースのリスク指標 |データ漏洩| | | 疑わしいログオン | デバイスベースのリスク指標、IP ベースのリスク指標、場所ベースのリスク指標、その他のリスク指標 | 侵害されたユーザー |

Citrix ユーザーリスク指標

この記事の概要