Citrix Content Collaboration のリスク指標

機密ファイルへの過剰なアクセス

Citrix Analytics、過剰なファイルアクセスアクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

機密ファイルへの過剰アクセスリスクインジケータは 、機密ファイルへのアクセスに関するユーザーの行動が過度に発生した場合にトリガーされます。この異常なアクティビティは、ユーザーのアカウントへの攻撃など、ユーザーのアカウントに問題があることを示している可能性があります。

機密ファイルへの過剰なアクセスリスク指標に関連するリスク要因は、ファイルベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

機密ファイルのリスク指標への過剰なアクセスはいつトリガーされますか?

特定の期間に機密と見なされた異常な量のデータにユーザーがアクセスすると、通知されます。このアラートは、データ損失防止 (DLP) またはクラウドアクセスセキュリティブローカー (CASB) ソリューションによって識別される機密データにユーザーがアクセスしたときにトリガーされます。Content Collaboration によってこの過度の動作が検出されると、Citrix Analytics がイベントを受け取り、各ユーザーのリスクスコアが増加します。機密ファイルへの過剰なアクセスリスク指標がユーザーのリスクタイムラインに追加されます 。

機密ファイルに対する過剰なアクセスリスク指標を分析するには?

ユーザー Adam Maxwell が 10 個の機密ファイルにアクセスし、15 分以内にローカルシステムにダウンロードしたとします。 機密ファイルへの過剰なアクセスリスクインジケータは 、しきい値を超えたためにトリガーされます。しきい値は、ダウンロードメカニズムなどのコンテキスト情報を考慮して、所定の時間内にダウンロードされる機密ファイルの数に基づいて計算されます。

Adam Maxwell のタイムラインから、レポートされた「 機密ファイルへの過剰なアクセス 」リスク指標を選択できます。イベントの理由は、ファイル名、ファイルサイズ、ダウンロード時間などのイベントの詳細とともに画面に表示されます。

機密ファイルへの過剰なアクセスのリスクインジケータを表示するには 、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。

• WHAT HAPPELEDセクションでは 、機密ファイルへの過剰アクセスのリスク指標の概要を表示できます。Citrix Analytics で過剰と見なされた機密ファイルの数と、イベントが発生した時刻を表示できます。

  

• [ イベントの詳細-機密データのダウンロード ] セクションでは、イベントがグラフ形式および表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

  • ダウンロード時間。ファイルがダウンロードされた時刻。

  • ファイル名。ダウンロードしたファイルの名前と拡張子。

  • ファイルサイズ。ダウンロードされたファイルのサイズ。

  

• [ 追加のコンテキスト情報 ] セクションで、イベントの発生中に、次の情報を表示できます。

  • ダウンロードされた機密ファイルの総数。

  • ユーザーがダウンロードしたファイルの合計サイズ。

  

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

過剰なファイル共有

Citrix Analytics、過剰なファイル共有アクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

過剰なファイル共有インジケータは 、ユーザーの一般的なファイル共有動作から逸脱した場合にトリガーされます。通常のファイル共有動作からの逸脱は異常とみなされ、この疑わしいアクティビティについてユーザーのアカウントが調査されます。

過剰なファイル共有リスク指標に関連するリスク要因は、その他のリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

過剰なファイル共有リスク指標はいつトリガーされますか?

組織内のユーザーが通常の動作で予想よりも頻繁にファイルを共有している場合に通知を受け取ることができます。過度にファイルを共有しているユーザーに関する通知に応答することで、データの漏洩を防ぐことができます。

Citrix Analytics はContent Collaboration から共有イベントを受け取り、それらを分析し、過剰な共有動作を示すユーザーのリスクスコアを上げます。過剰なファイル共有リスク指標がユーザーのリスクタイムラインに追加されます 。

過剰なファイル共有リスク指標を分析するには?

1日で6回ファイルを共有したユーザー Adam Maxwell を考えてみましょう。このアクションによって、Adam Maxwellは機械学習アルゴリズムに基づいて通常よりもファイルを共有しています。

Adam Maxwell のタイムラインから、 報告された過剰なファイル共有リスク指標を選択できます 。イベントの理由は、共有Content Collaboration リンク、ファイルが共有された時間などの詳細とともに表示されます。

過剰なファイル共有のリスク指標を表示するには 、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。

• WHAT HAPPENEDセクションでは 、過剰なファイル共有イベントの概要を表示できます。受信者に送信された共有リンクの数と、共有がいつ発生したかを確認できます。

  

• [ イベントの詳細-過剰なファイルの共有 ] セクションでは、イベントがグラフ形式および表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

  • 時間を共有しました。ファイルが共有された時刻。

  • ID を共有します。ファイルの共有に使用されるContent Collaboration リンク。

  • オペレーション。Content Collaboration を使用してユーザーが実行した操作。

  • ツール名。ファイルを共有するために使用されるツールまたはアプリケーション。

  • ソース。ファイルが共有されたリポジトリ（Citrix Files、OneDrive など）。

    

• 「 追加のコンテキスト情報 」セクションでは、イベントの発生中にユーザーが共有したファイルの総数を表示できます。

  

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注

• ユーザーが無効になっていると、Content Collaboration にログオンできません。ログインページに、Content Collaboration アカウント管理者に連絡して詳細を尋ねる通知が表示されます。

• 共有リンクを無効にすると、ユーザーまたは受信者は共有リンクにアクセスできなくなります。ユーザーが共有リンクに再度アクセスしようとすると、リンクが使用できなくなったことを示すメッセージが受信者に表示されます。

• リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

過剰なファイルのアップロード

Citrix Analytics は、過剰なファイルアップロードアクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

過剰なファイルアップロードのリスク指標は 、異常なファイルアップロードアクティビティを識別するのに役立ちます。各ユーザーは、次のような属性を含むファイルアップロードパターンに従います。

• ファイルがアップロードされた時刻

• アップロードされたファイルの種類

• ファイルアップロードボリューム

• ファイルアップロードソース

ユーザーの通常のパターンから逸脱すると、 過剰なファイルアップロードのリスク指標がトリガーされます 。

過剰なファイルアップロードのリスク指標に関連するリスク要因は、その他のリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

過剰なファイルアップロードのリスク指標がトリガーされるのはいつですか?

過剰なファイルのアップロードは、侵害されたユーザー、または悪意のあるコンテンツや暗号化されたコンテンツをアップロードしようとしているインサイダーの脅威を示すため、危険に分類される可能性があります。大量のデータのアップロードがユーザーの通常の動作と一致しない場合、より一般的な意味では疑わしいと見なすことができます。このアラートは、アップロードされたデータの量が機械学習アルゴリズムに基づくユーザーの通常のアップロード動作を超えた場合にトリガーされます。

Citrix Analytics で過剰なアップロード動作が検出されると、各ユーザーのリスクスコアが上がります。過剰なファイルアップロードのリスク指標がユーザーのリスクタイムラインに追加されます 。

過剰なファイルアップロードのリスク指標を分析するには?

1時間以内に大量のデータをアップロードしたユーザーLemuelについて考えてみます。このアクションにより、Lemuel は機械学習アルゴリズムに基づいて通常のアップロード動作を超えました。

ユーザーのタイムラインから、報告された過剰なファイルアップロードのリスク指標を選択できます。アラートの理由は、ファイル名、アップロード時間、ツール名、ソースなどのイベントの詳細とともに表示されます。

過剰なファイルアップロードのリスク指標を表示するには、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。

• WHAT HAPPENEDES セクションでは、過剰なファイルアップロードイベントの概要を表示できます。ユーザーがアップロードしたデータの量と、イベントが発生した時刻を表示できます。

• [ イベントの詳細 — 過剰なファイルのアップロード ] セクションでは、イベントはグラフ形式および表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

  • アップロード時刻。ファイルがアップロードされた時刻。

  • ファイル名。アップロードされたファイルの名前と拡張子。

  • ツール名。ファイルがアップロードされたツールまたはアプリケーション。

  • ソース。ファイルがアップロードされたリポジトリ（Citrix Files、OneDrive など）。

  

• [ 追加のコンテキスト情報 ] セクションでは、イベントの発生中にユーザーがアップロードしたファイルの合計サイズを表示できます。

  

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

過剰なファイルのダウンロード

Citrix Analytics は、過剰なファイルダウンロードアクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

過剰なファイルダウンロードのリスクインジケータは 、異常なファイルダウンロードアクティビティを識別するのに役立ちます。各ユーザーは、次のような属性を含むファイルダウンロードパターンに従います。

• ファイルがダウンロードされた時刻。

• ダウンロードされたファイルのタイプ。

• ファイルのダウンロードボリュームなど。

ユーザーの通常のパターンから逸脱すると、 過剰なファイルのダウンロードのリスクインジケータがトリガーされます 。

過剰なファイルのダウンロードのリスク指標に関連するリスク要因は、ファイルベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

過剰なファイルダウンロードのリスク指標がトリガーされるのはいつですか?

過度のファイルのダウンロードは、侵害されたユーザーまたは内部者がデータを漏洩しようとしていることを示すため、危険として分類される可能性があります。大量のデータのダウンロードがユーザーの通常の動作と一致しない場合、より一般的な意味では疑わしいと見なされる可能性があります。このアラートは、ダウンロードされたデータの量が機械学習アルゴリズムに基づくユーザーの通常のダウンロード動作を超えた場合にトリガーされます。

Citrix Analytics が過剰なダウンロード動作を検出すると、各ユーザーのリスクスコアが上がります。過剰なファイルのダウンロードリスク指標がユーザーのリスクタイムラインに追加されます 。

過剰なファイルのダウンロードリスク指標を分析するには?

1時間以内にローカルシステムに大量のデータをダウンロードしたユーザーLemuelについて考えてみます。このアクションにより、Lemuel は機械学習アルゴリズムに基づいて通常のダウンロード動作を超えました。

ユーザーのタイムラインから、 報告された過剰なファイルのダウンロードのリスク指標を選択できます 。過剰なファイルダウンロードの警告の理由は、ファイル名、ファイルサイズ、ダウンロード時間などのイベントの詳細とともに表示されます。

過剰なファイルダウンロードのリスク指標を表示するには、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。

• WHAT HAPPENEDES セクションでは、過剰なファイルダウンロードイベントの概要を表示できます。ユーザーがダウンロードしたデータの量と、イベントが発生した時刻を表示できます。

• [ イベントの詳細-過剰なファイルのダウンロード ] セクションでは、イベントはグラフ形式および表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

  • ダウンロード時間。ファイルがダウンロードされた時刻。

  • ファイル名。ダウンロードしたファイルの名前と拡張子。

  • ソース。ファイルのダウンロード元のリポジトリ（Citrix Files、OneDrive など）。

  • ファイルサイズ。ダウンロードされたファイルのサイズ。

    

• [ 追加のコンテキスト情報 ] セクションでは、イベントの発生中にユーザーがダウンロードしたファイルの合計ダウンロードサイズを表示できます。

  

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

ファイルまたはフォルダの過剰な削除

Citrix Analytics、ファイルやフォルダーの過剰な削除アクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

ファイルやフォルダの過剰な削除のリスクインジケータは 、フォルダのファイルの削除に関するユーザーの動作が過剰になった場合にトリガーされます。この異常は、ユーザーのアカウントへの攻撃など、ユーザーのアカウントに問題があることを示している可能性があります。

過剰なファイルまたはフォルダの削除リスク指標に関連するリスク要因は、ファイルベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

ファイルやフォルダの過剰な削除リスク指標がトリガーされるのはいつですか?

組織内のユーザーが一定期間内に過剰な数のファイルまたはフォルダを削除した場合に通知を受け取ることができます。このアラートは、機械学習アルゴリズムに基づいて、ユーザーが通常の削除動作以外に過剰な数のファイルまたはフォルダを削除した場合にトリガーされます。

この動作が検出されると、Citrix Analytics によって各ユーザーのリスクスコアが増加します。ファイルやフォルダの過剰な削除リスクインジケータがユーザーのリスクタイムラインに追加されます 。

過剰なファイルやフォルダの削除リスク指標を分析するには?

1日の間に多くのファイルまたはフォルダーを削除したユーザーLemuelについて考えてみます。このアクションにより、Lemuel は機械学習アルゴリズムに基づいて通常の削除動作を超えました。

Lemuel Kildow のタイムラインから、報告されたファイルやフォルダの過剰な削除リスクインジケータを選択できます。イベントの原因は、削除の種類（ファイルまたはフォルダ）、削除日時など、イベントの詳細とともに画面に表示されます。

過剰なファイルまたはフォルダの削除リスクインジケータを表示するには、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。

• WHAT HAPPENEDセクションでは 、過剰なファイルまたはフォルダの削除イベントの概要を表示できます。削除されたファイルとフォルダの数、およびイベントが発生した時刻を表示できます。

  

• [ イベントの詳細 — 過剰な削除済みアイテム ] セクションでは、イベントがグラフ形式および表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

  • 時間が削除されました。ファイルまたはフォルダが削除された時刻。

  • タイプ。削除されたアイテムの種類 (ファイルまたはフォルダ)。

  • Name：削除されたファイルまたはフォルダの名前。

  • ソース。ファイルが削除されたリポジトリ（Citrix Files、OneDrive など）。

    

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

あり得ない移動

Citrix Analytics は、2つの異なる国からの連続したログオンが、国間の予想される移動時間よりも短い期間内に行われた場合、ユーザーのログオンが危険であると検出します。

あり得ない移動時間のシナリオは、次のリスクを示しています。

• 侵害された認証情報:リモートの攻撃者が正当なユーザーの資格情報を盗みます。
• 共有認証情報:異なるユーザーが同じユーザー資格情報を使用しています。

あり得ない移動リスク指標はいつトリガーされますか

あり得ない移動リスク指標は 、連続するユーザーログオンの各ペア間の時間と推定距離を評価し、その距離が個々の人がその時間内に移動できるよりも長い場合にトリガーされます。

注:

このリスク指標には、ユーザーの実際の場所を反映していない次のシナリオの誤検知アラートを減らすためのロジックも含まれています。

• ユーザがプロキシ接続から Content Collaboration にログオンしたとき。
• ユーザがホストされているクライアントから Content Collaboration にログオンしたとき。

インポッシブルリスク指標の分析方法

ユーザー Adam Maxwell が、インドのバンガロールとノルウェーのオスロの 2 つの場所から 1 分以内にログオンするとします。Citrix Analytics は、このログオンイベントをあり得ない移動シナリオとして検出し、 あり得ない移動リスク指標をトリガーします 。リスク指標がAdam Maxwellのリスクタイムラインに追加され、リスクスコアがAdam Maxwellに割り当てられます。

Adam Maxwell のリスクタイムラインを表示するには、[ セキュリティ] > [ユーザー] を選択します。[ 危険なユーザー ] ペインから、ユーザー Adam Maxwell を選択します。

Adam Maxwell のリスクタイムラインから、不可能な旅行リスク指標を選択します。次の情報を表示できます。

• WHAT HAPPENEDセクションには 、あり得ない移動イベントの概要が記載されています。

  

• [INDICATOR DETAILS ] セクションには、ユーザーがログオンした場所、連続してログオンするまでの時間、および 2 つの場所の間の距離が表示されます。

  

• [ LOGON LOCATION-LAST 30 DAYS ] セクションには、あり得ない移動場所とユーザーの既知の場所の地理的マップビューが表示されます。過去 30 日間の位置データが表示されます。マップ上のポインターにカーソルを合わせると、各場所からの合計ログオン数が表示されます。

  

• 「 あり得ない移動-イベントの詳細 」セクションには、あり得ない移動イベントに関する次の情報が表示されます。

  • 時刻:ログオンの日付と時刻を示します。
  • クライアント IP: ユーザーデバイスの IP アドレスを示します。
  • 場所:ユーザーがログオンした場所を示します。
  • Device OS：ユーザーデバイスのオペレーティングシステムを示します。

  

ユーザーに適用できるアクションは何ですか

ユーザーのアカウントに対して次のアクションを実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。
• 管理者に通知します。ユーザーのアカウントに異常または疑わしいアクティビティがある場合、すべての管理者または選択した管理者に電子メール通知が送信されます。
• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。
• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。
• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション] メニューからアクションを選択し 、[ 適用] をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

マルウェアファイルが検出されました

Citrix Analytics は、Content Collaboration にアップロードされた感染ファイルに基づいてデータの脅威を検出し、リスク指標をトリガーします。

このインジケータは、ファイルの所有者、ウイルス名、ファイルの場所など、悪意のあるファイルの詳細を可視化します。脅威の性質とユーザーの行動を分析し、組織内でのデータ漏洩やランサムウェア攻撃を防止するための対策をタイムリーに実行できます。

マルウェアファイルが検出されたリスク指標に関連するリスク要因は、ファイルベースのリスク指標です 。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

マルウェアファイルが検出されたリスク指標はいつトリガーされますか

マルウェアファイルが検出されたリスク指標は 、Content Collaboration ユーザーが、トロイの木馬、ウイルス、その他の悪意のある脅威などのマルウェアに感染したファイルをアップロードしたときにトリガーされます。

Content Collaboration は、悪意のあるファイルを検出すると、そのイベントをCitrix Analytics for Securityに送信します。このイベントはリスク指標をトリガーし、Citrix Analytics for Securityでユーザーのリスクスコアを上げます。 マルウェアファイルが検出されたリスク指標がユーザーのリスクタイムラインに追加されます 。

マルウェアファイルが検出されたリスク指標を分析するにはどうすればよいですか

ユーザー Kevin Smith が感染ファイルを自分のContent Collaboration アカウントにアップロードしたとします。Citrix Analytics は、 マルウェアファイルが検出されたリスク指標をトリガーし 、Kevin のタイムラインに表示します。

Kevin のタイムラインから、リスク指標と期間を選択して、次の詳細を表示します。

• WHAT HAPPENED セクション:ユーザーイベントの概要と検出時刻。

  

• [ INDICATOR DETAILS] セクション:ユーザーの Content Collaboration アカウント内のウイルス名、ファイルハッシュ値、感染ファイルのパスなど、感染ファイルの詳細。

  

• 「 関連するリスク 」セクション：マルウェアファイルに関する追加情報：

  • 同じファイルハッシュ値を持つ感染ファイルを持つ一意のユーザー数。ユーザー数をクリックすると、そのユーザーの詳細が表示されます。

  • ユーザーに関連付けられているリスク指標の総発生回数。オカレンス数をクリックすると、詳細が表示されます。

  

• [ マルウェアのコンテンツのアップロード-イベントの詳細 ] セクション：リスク指標をトリガーしたイベントの詳細。

  • 日時:イベントの日時を示します。

  • ファイル名:感染したファイルの名前を示します。

  • ウイルス名:ファイルに感染したウイルスの名前を示します。

  • [フォルダ]: ユーザのContent Collaboration アカウントでファイルが保存されているフォルダの名前を示します。

  • ファイルハッシュ:感染ファイルのハッシュ値を示します。

  [ Event Search ] リンクをクリックして、ユーザー Kevin Smith のこのリスク指標に関連するすべてのイベントを表示します。

  

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• フォルダのアクセス権限を削除する。感染ファイルをアップロードしたユーザーのアクセス権をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにアクセスできません。

• フォルダへのアップロード権限を削除する。感染ファイルをアップロードしたユーザーのアップロード権限をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにファイルをアップロードできません。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

ランサムウェアのアクティビティの疑い

Citrix Analytics はランサムウェアのアクティビティに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

ランサムウェアは、暗号化されたバージョンでファイルを置き換えるか更新することで、ユーザーがファイルへのアクセスを制限するマルウェアです。組織内のユーザーが共有するファイル間でランサムウェア攻撃を特定することで、生産性に影響を与えないようにすることができます。

ランサムウェアアクティビティの疑わしいリスク指標に関連するリスク要因は、ファイルベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

ランサムウェアのリスク指標はいつトリガーされますか?

アカウントのユーザーが、類似の名前と異なる拡張子を持つ過剰な数のファイルを削除して置き換えたときに通知されます。また、ユーザーが類似の名前と異なる拡張子を持つ過剰な数のファイルを更新した場合にも通知されます。このアクティビティは、ユーザーのアカウントが侵害され、ランサムウェア攻撃が発生したことを示します。Citrix Analytics がこの動作を検出すると、各ユーザーのリスクスコアが増加します。ランサムウェアアクティビティの疑わしいリスク指標がユーザーのリスクタイムラインに追加されます 。

ランサムウェアアクティビティの疑い指標には、2 つのタイプがあります。これには、次の種類のアカウントがあります。

• ランサムウェアアクティビティの疑い（ファイル置換済み） は、既存のファイルを削除し、ランサムウェア攻撃に似た新しいバージョンのファイルに置き換える試みを示します。攻撃パターンにより、削除されたファイルの数よりも多くのアップロードが発生する可能性があります。たとえば、身代金メモを他のファイルと一緒にアップロードできます。

• ランサムウェアのアクティビティが疑われる（Files updated） は、ランサムウェア攻撃に似たファイルの修正バージョンで既存のファイルを更新しようとしたことを示します。

ランサムウェアのリスク指標を分析するには?

15分以内に変更されたバージョンで多くのファイルを更新しようとするユーザーAdam Maxwellを考えてみましょう。このアクションにより、Adam Maxwellは、機械学習アルゴリズムがその特定のユーザーにとって正常であると判断したことに基づいて、異常で疑わしい動作を引き起こしました。

Adam Maxwell のタイムラインから、 報告されたランサムウェアアクティビティの疑い（ファイルが更新された） リスク指標を選択できます。イベントの理由は、ファイル名やファイルの場所などの詳細とともに画面に表示されます。

ランサムウェアアクティビティの疑い（ファイルが更新された） リスクインジケータを表示するには、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。ユーザーのリスクタイムラインから、 ユーザーに対してトリガーされるランサムウェアアクティビティの疑い（ファイルが更新された） リスクインジケータを選択します。

• [ WHAT HAPPENED ] セクションでは、ランサムウェアのアクティビティの疑いのあるイベントの概要を表示できます。疑わしい方法で更新されたファイルの数と、イベントが発生した時刻を表示できます。

  

• [ EVENT DETAILS — FILE OPERATIONS ] セクションでは、イベントがグラフ形式および表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

  • 時間。ファイルが更新された時刻。

  • ファイル名。ファイルの名前。

  • パス。ファイルが配置されているパス。

    

同様に、 報告されたランサムウェアアクティビティの疑い (置換されたファイル) リスク指標を選択できます。次のようなイベントの詳細を表示できます。

• リスク指標がトリガーされる理由。

• 削除され、新しいバージョンに置き換えられたファイルの数。

  

• イベント (置換されるファイル) が発生した時刻。

• ファイルの名前。

• ファイルの場所。

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

疑わしいログオン

メモ

• このリスク指標は、[異常な場所からのアクセス] リスク指標に代わるものです。

• 通常とは異なる場所からのアクセス」リスク指標に基づくポリシーは、疑わしいログオンリスク指標に自動的にリンクされます。

Citrix Analytics は、ユーザーが使用するデバイス、場所、ネットワークによって共同で定義される複数のコンテキスト要因に基づいて、異常または危険に見えるユーザーのログオンを検出します。

疑わしいログオンリスクインジケータはいつトリガーされますか?

リスク指標は、次の要因の組み合わせによってトリガーされます。各要因は、1つまたは複数の条件に基づいて潜在的に疑わしいと見なされます。

要素	条件
異常なデバイス	ユーザーは、過去 30 日間に使用されたデバイスとは異なる署名を持つデバイスからログオンします。デバイスの署名は、デバイスのオペレーティングシステムと使用するクライアントツール (アプリケーション) に基づきます。
通常以外の場所	過去 30 日間にユーザーがログオンしていない都市または国からログオンします。
	都市または国が、最近の (過去 30 日間) のログオン場所から地理的に離れている。
	過去 30 日間に都市または国からログオンしたユーザー数が 0 人または最小です。
異常なネットワーク	ユーザーが過去 30 日間に使用していない IP アドレスからログオンします。
	ユーザーが過去 30 日間に使用していない IP サブネットからログオンします。
	過去 30 日間にゼロ人または最小のユーザーが IP サブネットからログオンしました。
IP 脅威	IP アドレスは、コミュニティ脅威インテリジェンスフィード（Webroot）によって高リスクとして識別されます。
	Citrix Analytics は最近、他のユーザーのIPアドレスから非常に疑わしいログオンアクティビティを検出しました。

疑わしいログオンリスク指標を分析する方法

米国のノースチャールストンから初めてサインインしたユーザー Adam Maxwell について考えてみましょう。彼は、なじみのない署名の付いたデバイスを使用して、Content Collaboration サービスにアクセスします。また、彼は過去30日間使用していないネットワークから接続します。

Citrix Analytics は、場所、デバイス、ネットワークなどの要因が通常の動作から逸脱し、疑わしいログオンリスク指標をトリガーするため、 このログオンイベントを疑わしいとして検出します 。リスク指標はAdam Maxwellのリスクタイムラインに追加され、リスクスコアが彼に割り当てられます。

Adam Maxwell のリスク時間を表示するには、[ セキュリティ] > [ユーザー] を選択します。[ 危険なユーザー ] ペインから、ユーザー Adam Maxwell を選択します。

Adam Maxwell のリスクタイムラインから、 疑わしいログオンリスク指標を選択します 。次の情報が表示されます。

• 「 WHAT HAPPENED」セクションには、リスク要因やイベントの発生時間など、疑わしいアクティビティの概要が表示されます。

  

• [LOGON DETAILS ] セクションには、各リスク要因に対応する疑わしいアクティビティの詳細な概要が表示されます。各リスクファクターには、疑わしいレベルを示すスコアが割り当てられます。単一のリスク要因は、ユーザーからのリスクが高いことを示すものではありません。全体的なリスクは、複数のリスク因子の相関に基づいています。

  疑惑レベル	指示
  0–69	この要因は正常に見え、疑わしいとは見なされません。
  70–89	この要因はわずかに通常とは違うように見え、他の要因では適度に疑わしいと考えられます。
  90–100	この要因はまったく新しいものまたは通常とは違うものであり、他の要因と非常に疑わしいと考えられています。

  

• [ ログオン場所-過去 30 日間 ] には、最後に認識された場所とユーザーの現在の場所の地理的なマップビューが表示されます。過去 30 日間の位置データが表示されます。マップ上のポインターにカーソルを合わせると、各場所からの合計ログオン数が表示されます。

  

• [ 疑わしいログオン-イベントの詳細 ] セクションには、疑わしいログオンイベントに関する次の情報が表示されます。

  • 時刻:疑わしいログオンの日付と時刻を示します。

  • Device OS：ユーザーデバイスのオペレーティングシステムを示します。

  • ツール名:Content Collaboration へのサインインに使用したアプリケーション。

  

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

異常な認証失敗

Citrix Analytics は、異常なIPアドレスからの認証アクティビティに基づいてアクセスの脅威を検出します。

異常な認証失敗リスクインジケータは、ユーザーの履歴アクセスパターンに基づいて異常と見なされる IP アドレスからユーザーがログオンに失敗した場合にトリガーされます。以前の動作に基づいて、異常な認証に失敗したユーザーを特定することで、管理者は総当たり攻撃についてユーザーのアカウントを監視できます。

異常な認証失敗リスク指標に関連するリスク要因は、ログオン失敗ベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

異常な認証失敗のリスクインジケータがトリガーされるのはいつですか

組織内のユーザーが通常の動作に反するログオン試行が複数回失敗すると、通知されます。

異常な認証失敗のリスクインジケータは 、ユーザーがContent Collaborationサービスに繰り返しログオンしようとしたときにトリガーされます。この動作が検出されると、Citrix Analytics によって各ユーザーのリスクスコアが増加します。異常な認証失敗のリスクインジケータがユーザーのリスクタイムラインに追加されます 。

異常な認証失敗のリスク指標を分析するには

Content Collaboration に複数回ログオンしようとしたユーザー Maria Brown を考えてみましょう。このアクションにより、Maria Brownは機械学習アルゴリズムを引き起こし、異常な動作を検出しました。 Maria のタイムラインから、報告された [異常な認証失敗] リスクインジケータを選択できます。イベントの理由とイベントの詳細が画面に表示されます。

異常な認証失敗のリスクインジケータを表示するには、[ セキュリティ ] > [ ユーザー] に移動し、ユーザーを選択します。

• [ WHAT HAPPENED ] セクションでは、異常な認証失敗イベントの概要を表示できます。特定の期間中に発生した失敗したログオンの数を表示できます。

  

• [ 推奨アクション ] セクションには、リスク指標に適用できる推奨アクションが表示されます。Citrix Analytics for Securityでは、ユーザーがもたらすリスクの重大度に応じてアクションを推奨します。推奨されるアクションは、次のアクションの 1 つまたは組み合わせです。

  • 管理者に通知

  • ウォッチリストに追加

  • ポリシーを作成する

  レコメンデーションに基づいてアクションを選択できます。または、「アクション」(Actions) メニューの選択内容に応じて、 適用するアクションを選択することもできます 。詳細については、「 アクションを手動で適用する」を参照してください。

  

• [ 異常な認証失敗-イベントの詳細 ] セクションでは、イベントのタイムラインとその詳細を表示できます。次の表は、次の重要な情報を示しています。

  • イベント時間。各ログオン試行の時刻。

  • クライアント IP。ユーザーのネットワークの IP アドレス。

  • 場所。ユーザーデバイスの場所。

  • ツール名。ファイルを共有するために使用されるツールまたはアプリケーション。

  • OS からインストールできます。ユーザーデバイスのオペレーティングシステム。

    

  <!—![異常な認証失敗] (/en-us/citrix-analytics/media/content-collaboration-excessive-logon-failures-event-details.png) —>

• [ 認証アクティビティ-前の 30 日間 ] セクションの表には、ユーザの過去 30 日間の認証アクティビティに関する次の情報が表示されます。

  • サブネット — ユーザーネットワークの IP アドレス。

  • [Success]：ユーザの成功した認証イベントの合計数と、最後に成功したイベントの時刻。

  • [Failure]：失敗した認証イベントの総数と、ユーザの直近の失敗イベントの時刻。

  • Location — 認証イベントが発生した場所。

    

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

• ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

• 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

• ユーザーを無効する。Citrix Analytics では、Content Collaboration アカウントを無効にすることで、ユーザーのアクセスを制限または取り消すことができます。このアクションは、従業員ユーザーとクライアントユーザーに適用できます。

• すべてのリンクを期限切れにする。Citrix Analytics では、ユーザーのアクティブな共有リンクをすべて期限切れにすることができます。共有リンクの有効期限が切れると、リンクは無効になり、リンクを共有している他のユーザーはアクセスできなくなります。

• リンクを「閲覧専用共有」に変更します。Citrix Analytics では、ユーザーのアクティブな共有リンクを表示専用モードに変更できます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。詳細については、「 表示専用共有」を参照してください。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。