Citrix Analytics for Security

Citrix Content Collaboration のリスク指標

新しい場所からの初回アクセス

Citrix Analytics は異常なログオンアクティビティに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

新しい場所からの初回アクセスのリスク指標は、ユーザーが疑わしい場所からログオンしたときにトリガーされます。以前の動作に基づいて、異常なログオン場所を持つユーザーを特定することで、管理者はユーザーのアカウントを監視して攻撃の可能性を監視できます。

新しい場所からの初回アクセスのリスク指標はいつトリガーされますか?

組織内のユーザーが、通常の動作に反する異常な場所からログオンしたときに通知を受け取ることができます。

新しい場所からの初回アクセスのリスク指標は、ユーザーが通常ログオンしていない都市または国からContent Collaboration にアクセスしたときにトリガーされます。この動作が検出されると、Citrix Analytics によって各ユーザーのリスクスコアが増加します。その後、[アラート] パネルに通知され、新しい場所からの初回アクセスリスク指標がユーザーのリスクタイムラインに追加されます。

新しい場所からの初回アクセスリスク指標の分析方法

以前ノースカロライナ州Raleighからしかログオンしていなかったユーザー「Georgina Kalou」がManamaからログオンした場合を考えてみましょう。このアクションによって、Georgina Kalouは異常な動作を検出した機械学習アルゴリズムをトリガーしました。

Georgina Kalouのタイムラインから、報告された新しい場所から初回アクセス リスク指標を選択できます。イベントの理由は、ログオン時間、クライアントIPアドレスなどの詳細とともに画面に表示されます。

[新しい場所からの初回アクセス] リスク指標を表示するには、[セキュリティ] >[ユーザー] に移動し、ユーザーを選択します。

新しい場所からの初回アクセス - Content Collaboration

  • WHAT HAPPENED 」セクションでは、新しい場所からの初回アクセスの概要を表示できます。特定の期間に発生した疑わしいログオン数を表示できます。

異常なログオンアクセス - Content Collaboration

  • [ EVENT DETAILS – LOGON LOCATIONS ] セクションでは、イベントがグラフィカルおよび表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • ログオン時間。各ログオン試行の時刻。

    • クライアント IP。使用されるクライアント IP アドレス。

    • 場所。ログオンの試行元の場所。

    異常なログオンアクセス - Content Collaboration - EVENT DETAILS

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知する。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。

  • すべての共有リンクを期限切れにする。ユーザーが過剰なファイル共有の指標をトリガーすると、Citrix Analytics では、その指標に関連付けられているすべてのリンクを期限切れにできます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

[ 新しい場所からの初回アクセス ] リスク指標が正しくない場合、誤検知として報告し、フィードバックを提供できます。フィードバックの提供方法について詳しくは、「リスク指標のフィードバック」を参照してください。

機密ファイルへの過剰なアクセス

Citrix Analytics、過剰なファイルアクセスアクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

機密ファイルへの過剰アクセス リスク指標は、機密ファイルへのアクセスに関するユーザーの動作が過度になると、トリガーされます。この異常なアクティビティは、ユーザーのアカウントに対する攻撃など、ユーザーのアカウントに関する問題を示している可能性があります。

機密ファイルのリスク指標への過剰なアクセスはいつトリガーされますか?

ユーザーが特定の期間に機密と見なされた異常な量のデータにアクセスすると、通知されます。このアラートは、ユーザーがデータ損失防止(DLP)またはクラウドアクセスセキュリティブローカー(CASB)ソリューションによって識別される機密データにアクセスしたときにトリガーされます。Content Collaboration によってこの過度の動作が検出されると、Citrix Analytics がイベントを受け取り、各ユーザーのリスクスコアが増加します。その後、[アラート] パネルで通知され、 機密ファイルに対する過剰なアクセス リスク指標がユーザーのリスクタイムラインに追加されます。

機密ファイルに対する過剰なアクセスリスク指標を分析するには?

ユーザー「Adam Maxwell」を考えてみましょう。Adamは15分の間に10個の機密ファイルにアクセスし、ローカルシステムにダウンロードしました。機密ファイルに対する過剰なアクセス リスク指標は、しきい値を超えるためにトリガーされます。しきい値は、ダウンロードメカニズムなどのコンテキスト情報を考慮して、所定の時間内にダウンロードされる機密ファイルの数に基づいて計算されます。

Adam Maxwellのタイムラインから、報告された 機密ファイルへの過剰なアクセス リスク指標を選択できます。イベントの理由は、ファイル名、ファイルサイズ、ダウンロード時間などのイベントの詳細とともに画面に表示されます。

機密ファイルへの過剰アクセス リスク指標を表示するには、 [セキュリティ] > [ユーザー ] に移動して、ユーザーを選択します。

機密ファイルへの過剰なアクセス

  • WHAT HAPPENED 」セクションでは、機密ファイルへの過剰なアクセスリスク指標の概要を表示できます。Citrix Analytics で過剰と見なされた機密ファイルの数と、イベントが発生した時刻を表示できます。

発生した機密ファイルへの過剰なアクセス

  • イベントの詳細 — SENSITIVE DATA DOWNLOAD 」セクションでは、イベントはグラフ形式と表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • ダウンロード時間。ファイルがダウンロードされた時刻。

    • ファイル名。ダウンロードしたファイルの名前と拡張子。

    • ファイルサイズ。ダウンロードしたファイルのサイズ。

    機密ファイルへの過剰なアクセス - EVENT DETAILS

  • 追加のコンテキスト情報 」セクションでは、イベントの発生時に、次の内容を表示できます。

    • ダウンロードされた機密ファイルの総数。

    • ユーザーがダウンロードしたファイルの合計サイズ。

    機密ファイルへの過剰なアクセス - 追加コンテキスト情報

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知する。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。

  • すべての共有リンクを期限切れにする。ユーザーが過剰なファイル共有の指標をトリガーすると、Citrix Analytics では、その指標に関連付けられているすべてのリンクを期限切れにできます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

過剰なファイル共有

Citrix Analytics、過剰なファイル共有アクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

過剰なファイル共有 指標は、ユーザーの一般的なファイル共有動作から逸脱がある場合にトリガーされます。通常のファイル共有の動作からの逸脱は異常とみなされ、この疑わしいアクティビティについてユーザーのアカウントが調査されます。

過剰なファイル共有リスク指標はいつトリガーされますか?

通常の動作では、組織内のユーザーが予想よりも頻繁にファイルを共有している場合に通知を受け取ることができます。過度に共有されたファイルを持つユーザーに関する通知に応答することで、データの漏洩を防ぐことができます。

Citrix Analytics はContent Collaboration から共有イベントを受け取り、それらを分析し、過剰な共有動作を示すユーザーのリスクスコアを上げます。[アラート] パネルで通知され、過剰なファイル共有 リスク指標がユーザーのリスクタイムラインに追加されます。

過剰なファイル共有リスク指標を分析するには?

1 日に 6 回ファイルを共有したユーザー「Adam Maxwell」を考えてみましょう。このアクションによって、Adam Maxwellは機械学習アルゴリズムに基づいて通常よりもファイルを共有しています。

Adam Maxwell のタイムラインから、報告された 過度のファイル共有 リスク指標を選択できます。イベントの理由は、共有Content Collaboration リンク、ファイルが共有された時間などの詳細とともに表示されます。

過剰なファイル共有 のリスク指標を表示するには、 [セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。

過剰なファイル共有

  • WHAT HAPPENED セクションでは、過剰なファイル共有イベントの概要を表示できます。受信者に送信された共有リンクの数と、共有が発生した日時を表示できます。

発生したファイルの過度の共有

  • イベントの詳細 — EXCESSIVE FILES SHARED 」セクションでは、イベントはグラフ形式と表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • 時間共有。ファイルが共有された時刻。

    • 共有ID。ファイルの共有に使用される [Content Collaboration] リンク。

    • 操作。Content Collaboration を使用してユーザが実行する操作。

    • ツール名。ファイルを共有するために使用されるツールまたはアプリケーション。

    • [ ソース]。ファイルが共有されたリポジトリ (Citrix Files、OneDrive など)。

    過剰なファイル共有イベントの詳細

  • 追加のコンテキスト情報 」セクションでは、イベントの発生時にユーザーが共有するファイルの合計数を表示できます。

    過剰なファイル共有の追加コンテキスト情報

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーを無効にします。Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。

  • すべての共有リンクを期限切れにします。ユーザーが過剰なファイル共有指標をトリガーすると、Citrix Analytics では、その指標に関連付けられているすべてのリンクを期限切れにできます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

  • ユーザーが無効にすると、Content Collaboration にログオンできません。ログオンページに通知が表示され、Content Collaboration アカウントの管理者に詳細情報を問い合わせるよう求められます。

  • 共有リンクが無効になっていると、どのユーザーや受信者も共有リンクにアクセスできなくなります。ユーザーが共有リンクに再度アクセスしようとすると、そのリンクが使用できなくなったことを示すメッセージが受信者に表示されます。

過剰なファイルのアップロード

Citrix Analytics、過剰なファイルアップロードアクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

過剰なファイルアップロード のリスク指標は、異常なファイルアップロードアクティビティを特定するのに役立ちます。各ユーザーには、次のような属性を含むファイルアップロードパターンがあります。

  • ファイルがアップロードされた時刻

  • アップロードされたファイルの種類

  • ファイルアップロードボリューム

  • ファイルアップロードソース

ユーザーの通常のパターンから逸脱すると、 過剰なファイルアップロード のリスク指標がトリガーされます。

過剰なファイルアップロードのリスク指標がトリガーされるのはいつですか?

過剰なファイルのアップロードは、侵害されたユーザー、または悪意のあるコンテンツや暗号化されたコンテンツをアップロードしようとしているインサイダーの脅威を示すため、危険に分類される可能性があります。大量のデータのアップロードがユーザーの通常の動作と一致しない場合、より一般的な意味では疑わしいと考えることができます。このアラートは、アップロードされたデータ量が機械学習アルゴリズムに基づくユーザーの通常のアップロード動作を超えた場合にトリガーされます。

Citrix Analytics で過剰なアップロード動作が検出されると、各ユーザーのリスクスコアが上がります。その後、[ 警告 ] パネルで通知され、[ 過剰なファイルのアップロード ] リスク指標がユーザーのリスクタイムラインに追加されます。

過剰なファイルアップロードのリスク指標を分析するには?

ユーザー Lemuel Kildow を考えてみましょう。ユーザー Lemuel Kildow は、1 時間以内に大量のデータをアップロードしています。このアクションにより、Lemuel Kildow は機械学習アルゴリズムに基づく通常のアップロード動作を超えていました。

ユーザーのタイムラインから、報告された [過剰なファイルのアップロード] リスク指標を選択できます。アラートの理由は、ファイル名、アップロード時間、ツール名、ソースなどのイベントの詳細とともに表示されます。

[過剰なファイルのアップロード] リスク指標を表示するには、 [セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。

過剰なファイルのアップロード

  • WHAT HAPPENED 」セクションでは、過剰なファイルアップロードイベントの概要を表示できます。ユーザーがアップロードしたデータの量とイベントの発生時間を表示できます。

過度のファイルアップロードが発生しました

  • イベントの詳細 — EXCESSIVE FILES UPLOADS 」セクションでは、イベントはグラフ形式と表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • アップロードされた時間。ファイルがアップロードされた時刻。

    • ファイル名。アップロードされたファイルの名前と拡張子。

    • ツール名。ファイルのアップロードに使用されたデバイスのタイプ。

    • [ ソース]。ファイルのアップロード先のリポジトリ(Citrix Files、OneDrive など)。

    過剰なファイルアップロードのイベントの詳細

  • 追加のコンテキスト情報 」セクションでは、イベントの発生中にユーザーがアップロードしたファイルの合計サイズを表示できます。

    過剰なファイルアップロードの追加情報

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーを無効にします。Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

過剰なファイルのダウンロード

Citrix Analytics、過剰なファイルのダウンロードアクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

[ 過剰なファイルのダウンロード ] リスク指標は、異常なファイルダウンロードアクティビティを識別するのに役立ちます。各ユーザーには、次のような属性を含むファイルダウンロードパターンがあります。

  • ファイルがダウンロードされた時刻。

  • ダウンロードされたファイルのタイプ。

  • ファイルのダウンロードボリュームなど。

ユーザーの通常のパターンから逸脱すると、 過剰なファイルダウンロード のリスク指標がトリガーされます。

過剰なファイルダウンロードのリスク指標がトリガーされるのはいつですか?

過度のファイルのダウンロードは、侵害されたユーザーまたは内部者がデータを漏洩しようとしていることを示すため、危険として分類される可能性があります。大量のデータのダウンロードがユーザーの通常の動作と一致しない場合、一般的な意味では疑わしいと見なされる可能性があります。このアラートは、ダウンロードされたデータの量が機械学習アルゴリズムに基づくユーザーの通常のダウンロード動作を超えた場合にトリガーされます。

Citrix Analytics が過剰なダウンロード動作を検出すると、各ユーザーのリスクスコアが上がります。その後、警告パネルで通知され、 過剰なファイルのダウンロード のリスク指標がユーザーのリスクタイムラインに追加されます。

過剰なファイルのダウンロードリスク指標を分析するには?

ユーザーLemuel Kildowを考えてみましょう。Lemuel Kildowは、1時間以内にローカルシステムに大量のデータをダウンロードしました。このアクションにより、Lemuel Kildow は機械学習アルゴリズムに基づく通常のダウンロード動作を超えていました。

ユーザーのタイムラインから、報告された 過度のファイルダウンロード のリスク指標を選択できます。過剰なファイルダウンロードの警告の理由は、ファイル名、ファイルサイズ、ダウンロード時間などのイベントの詳細とともに表示されます。

過度のファイルダウンロードのリスク指標を表示するには、 [セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。

過剰なファイルのダウンロード

  • WHAT HAPPENED 」セクションでは、過剰なファイルのダウンロードイベントの概要を表示できます。ユーザーがダウンロードしたデータの量とイベントが発生した時間を表示できます。

ファイルのダウンロードが過剰に実行されたこと

  • イベントの詳細 — 過剰なファイルのダウンロード 」セクションでは、イベントがグラフ形式と表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • ダウンロード時間。ファイルがダウンロードされた時刻。

    • ファイル名。ダウンロードしたファイルの名前と拡張子。

    • [ ソース]。ファイルのダウンロード元のリポジトリ(Citrix Files、OneDrive など)。

    • ファイルサイズ。ダウンロードしたファイルのサイズ。

    過剰なファイルダウンロードのイベント詳細

  • 追加のコンテキスト情報 」セクションでは、イベントの発生時にユーザーがダウンロードしたファイルの合計ダウンロードサイズを表示できます。

    過剰なファイルが追加のコンテキスト情報をダウンロードする

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーを無効にします。Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。

  • すべての共有リンクを期限切れにします。ユーザーが過剰なファイル共有指標をトリガーすると、Citrix Analytics では、その指標に関連付けられているすべてのリンクを期限切れにできます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

ファイルまたはフォルダの過剰な削除

Citrix Analytics、ファイルやフォルダーの過剰な削除アクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

過度のファイルまたはフォルダの削除 リスク指標は、フォルダのファイルの削除に関するユーザーの動作が過剰になったときにトリガされます。この異常は、ユーザーのアカウントに対する攻撃など、ユーザーのアカウントに関する問題を示している可能性があります。

ファイルやフォルダの過剰な削除リスク指標がトリガーされるのはいつですか?

組織内のユーザーが一定期間内に過剰な数のファイルやフォルダを削除した場合に、通知を受け取ることができます。このアラートは、ユーザーが機械学習アルゴリズムに基づいて、通常の削除動作の外に過剰な数のファイルまたはフォルダを削除したときにトリガーされます。

この動作が検出されると、Citrix Analytics によって各ユーザーのリスクスコアが増加します。その後、警告パネルで通知され、 ファイルやフォルダの過剰削除 リスク指標がユーザーのリスクタイムラインに追加されます。

過剰なファイルやフォルダの削除リスク指標を分析するには?

1日の間に多くのファイルやフォルダを削除したユーザー「Lemuel Kildow」を考えてみましょう。このアクションにより、Lemuel Kildowは機械学習アルゴリズムに基づく通常の削除動作を超えていました。

Lemuel Kildow のタイムラインから、報告されたファイルやフォルダの過剰削除リスク指標を選択できます。イベントの原因は、削除の種類(ファイルまたはフォルダ)、削除日時など、イベントの詳細とともに画面に表示されます。

ファイルまたはフォルダの過剰削除のリスク指標を表示するには、 [セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。

ファイルまたはフォルダの過剰な削除

  • [ WHAT HAPPENED ] セクションでは、ファイルまたはフォルダの過剰な削除イベントの概要を表示できます。削除されたファイルとフォルダの数と、イベントが発生した時刻を表示できます。

発生したファイルやフォルダの過剰な削除

  • イベントの詳細 — 例外的な削除アイテム 」セクションでは、イベントはグラフと表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • 時間が削除されました。ファイルまたはフォルダが削除された時刻。

    • タイプ。削除されたアイテムタイプ (ファイルまたはフォルダ)。

    • 名前。削除されたファイルまたはフォルダの名前。

    • ソース。ファイルが削除されたリポジトリ(Citrix Files、OneDrive など)。

    ファイルまたはフォルダの過剰削除イベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知する。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。

  • すべての共有リンクを期限切れにする。ユーザーが過剰なファイル共有の指標をトリガーすると、Citrix Analytics では、その指標に関連付けられているすべてのリンクを期限切れにできます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

過剰な認証失敗

Citrix Analytics、過剰な認証アクティビティに基づいてアクセス脅威を検出し、対応するリスク指標をトリガーします。

過剰な認証失敗のリスク指標は、ユーザーがログオン試行に失敗したときにトリガーされます。以前の動作に基づいて、過剰に認証に失敗したユーザーを特定することで、管理者はユーザーのアカウントを監視してブルートフォース攻撃を監視できます。

過剰な認証失敗のリスク指標はいつトリガーされますか?

組織内のユーザーが通常の動作に反するログオン試行が複数回失敗すると、通知されます。

ユーザーが Content Collaboration サービスへのログオンを繰り返し試みると、 過剰な認証失敗 のリスク指標がトリガーされます。この動作が検出されると、Citrix Analytics によって各ユーザーのリスクスコアが増加します。その後、[アラート] パネルに通知され、ユーザーのリスクタイムラインに [過剰な認証失敗] リスク指標が追加されます。

過剰な認証失敗のリスク指標を分析するには?

ユーザー「 Maria Brown」がContent Collaboration に複数回ログオンしようとしたとします。このアクションにより、Maria Brownは機械学習アルゴリズムを引き起こし、異常な動作を検出しました。 Maria のタイムラインから、報告された過剰な認証失敗のリスク指標を選択できます。イベントの理由とイベントの詳細が画面に表示されます。

過度の認証失敗のリスク指標を表示するには、[セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。

過剰な認証失敗

  • [ WHAT HAPPENED ] セクションでは、過剰な認証失敗イベントの概要を表示できます。特定の期間中に発生した失敗したログオンの数を表示できます。

過剰な認証の失敗

  • [ EVENT DETAILS ] セクションでは、イベントがグラフィカルおよび表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • 時間:各ログオン試行の時刻。

    • クライアント IP。使用されるクライアント IP アドレス。

    • ツール名。ファイルを共有するために使用されるツールまたはアプリケーション。

    • OS からインストールできます。クライアントが使用するオペレーティングシステムのバージョン。

過剰な認証の失敗

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーを無効にします。Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

ランサムウェアのアクティビティの疑い

Citrix Analytics はランサムウェアのアクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

ランサムウェアは、ユーザーのファイルを暗号化し、復号化されたファイルで置き換えたり、更新したりする悪意のあるソフトウェアの一種です。組織内のユーザーが共有するファイル間でランサムウェア攻撃を特定することで、生産性に影響を与えないようにすることができます。

ランサムウェアのリスク指標はいつトリガーされますか?

アカウントのユーザーが同様の名前と異なる拡張子を持つ過剰な数のファイルを削除してアップロードし始めると、通知を受けることができます。また、ユーザーが類似の名前と異なる拡張子を持つ過剰な数のファイルを更新したときに通知を受けることもできます。このアクティビティは、ユーザーのアカウントが侵害され、ランサムウェア攻撃が発生した可能性があることを示します。Citrix Analytics がこの動作を検出すると、各ユーザーのリスクスコアが増加します。その後、アラートパネルで通知され、 ランサムウェアアクティビティの疑いリスク指標がユーザーのリスクタイムラインに追加されます。

ランサムウェアアクティビティの疑い指標には、2 つのタイプがあります。これには、次の種類のアカウントがあります。

  • ランサムウェアのアクティビティが疑われる(ファイルが置き換えられる) とは、ランサムウェア攻撃に似た方法で、削除されたファイルや新しいファイルがその場所にアップロードされたことを示します。攻撃パターンにより、削除されたファイルの数よりも多くのアップロードが発生する可能性があります。たとえば、身代金メモを他のファイルと一緒にアップロードできます。

  • ランサムウェアのアクティビティの疑い (ファイルが更新されました) とは、ランサムウェア攻撃に似た方法でファイルが更新されたことを示します。

ランサムウェアのリスク指標を分析するには?

多くのファイルを削除し、15分以内に異なるバージョンに置き換えたAdam Maxwellユーザーを考えてみましょう。このアクションにより、Adam Maxwellは、機械学習アルゴリズムがその特定のユーザーにとって正常であると判断したことに基づいて、異常で疑わしい動作を引き起こしました。

Adam Maxwell のタイムラインから、報告された ランサムウェアアクティビティの疑い (ファイルが置き換えられる) リスク指標を選択できます。イベントの理由は、ファイルの名前、ファイルの場所などの詳細とともに画面に表示されます。

ランサムウェアのアクティビティの疑い リスク指標を表示するには、 [セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。ユーザのリスクタイムラインから、ユーザに対して報告された ランサムウェアアクティビティの疑い (ファイルが置き換えられる) リスク指標を選択します。

ランサムウェアファイルの更新

  • [ WHAT HAPPENED ] セクションでは、ランサムウェアのアクティビティの疑いのあるイベントの概要を表示できます。削除および置換されたファイルの数を、疑わしい方法で表示できます。また、イベントが発生した時刻も表示できます。

ランサムウェアファイルの更新内容

  • イベントの詳細 — ファイル操作 」セクションでは、イベントはグラフ形式と表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • 時間:ファイルが置換または削除された時刻。

    • ファイル名。ファイルの名前。

    • パス。ファイルが置かれているパス。

    ランサムウェアファイルの更新イベント詳細

同様に、報告された ランサムウェアのアクティビティの疑い (ファイルが更新された) リスク指標を選択できます。次のようなイベントの詳細を表示できます。

  • リスク指標がトリガーされる理由。

  • 暗号化されたバージョンで更新されたファイルの数。

  • イベント(更新中のファイル)が発生した時刻。

  • ファイルの名前。

  • ファイルの場所。

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知する。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にして、アクセスを制限または取り消すことができます。

  • すべての共有リンクを期限切れにする。ユーザーが過剰なファイル共有の指標をトリガーすると、Citrix Analytics では、その指標に関連付けられているすべてのリンクを期限切れにできます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。