Citrix Gateway のリスクインジケータ

EPA スキャンの失敗

Citrix Analytics、EPAスキャン失敗アクティビティに基づいてユーザーアクセスベースの脅威を検出し、対応するリスクインジケーターをトリガーします。

EPAスキャン失敗リスクインジケータはいつトリガーされますか?

EPAスキャン失敗リスクインジケータは、Citrix Gatewayのエンドポイント分析(EPA)スキャンポリシーで事前認証または認証後に失敗したデバイスを使用してユーザーがネットワークにアクセスしようとしたときに報告されます。

Citrix Gateway はこれらのイベントを検出し、Citrix Analytics に報告します。Citrix Analytics はこれらのイベントをすべて監視して、ユーザーがEPAスキャンに失敗したかどうかを検出します。Citrix Analytics がユーザーの過剰なEPAスキャンの失敗を判断すると、ユーザーのリスクスコアが更新され、アラートパネルに通知が作成されます。また、EPA スキャンの失敗リスクインジケータエントリをユーザーのリスクタイムラインに追加します。

EPAスキャン失敗リスクインジケータを分析するには?

Citrix GatewayのEPAスキャンに失敗したデバイスを使用してネットワークに最近複数回アクセスしようとしたLemuel Kildowユーザーを考えてみましょう。Citrix Gateway は、この障害をCitrix Analytics に報告し、リミュエル・キルドーに更新されたリスクスコアを割り当てます。アラート パネルで通知され、EPA スキャン失敗リスクインジケータが Lemuel Kildow のリスクタイムラインに追加されます。

ユーザーのEPAスキャン失敗エントリを表示するには、 「セキュリティ」>「ユーザー」に移動し、ユーザーを選択します。

Lemuel Kildowのリスクタイムラインから、ユーザーに対して報告された最新の EPAスキャン失敗 リスクインジケータを選択できます。タイムラインから EPA スキャン失敗リスクインジケータのエントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。

EPA スキャンの失敗

  • WHAT HAPPENEDセクションには、EPA スキャンの失敗リスクインジケータの概要が記載されています。また、選択した期間中に報告されたログオン後EPAスキャン失敗の数も含まれます。

EPA スキャンの失敗事例

  • EVENT DETAILS — スキャン 障害」セクションには、選択した期間中に発生した個々の EPA スキャンの失敗イベントのタイムライン表示が含まれます。また、各イベントに関する次の重要な情報を提供する表も含まれています。

    • 時間:EPA スキャンが失敗した時刻。

    • クライアント IP。EPA スキャンの失敗の原因となったクライアントの IP アドレス。

    • Gateway IP。EPAスキャンの失敗を報告したCitrix Gateway のIPアドレス。

    • 完全修飾ドメイン名。Citrix Gateway の完全修飾ドメイン名。

    • イベントの説明。EPA スキャンが失敗した理由の簡単な説明。

    • ポリシー名。Citrix Gateway で構成されたEPAスキャンポリシー名。

    • セキュリティ式。Citrix Gateway で構成されたセキュリティ式。

    EPA スキャン失敗イベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、監視リストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。アクション メニューからアクションを選択し、適用 をクリックします。

ログオンの失敗

Citrix Analytics はログオンの失敗に基づいてユーザーアクセスベースの脅威を検出し、対応するリスクインジケーターをトリガーします。

ログオン失敗のリスクインジケータはいつトリガーされますか?

ログオン失敗リスクインジケータは、ユーザーが特定の期間内に複数のCitrix Gateway ログオンに失敗した場合に報告されます。Citrix Gateway のログオンの失敗は、ユーザーに対して多要素認証が構成されているかどうかに応じて、プライマリ、セカンダリ、またはターシャリ認証の失敗のいずれかになります。

Citrix Gateway は、すべてのユーザーのログオンエラーを検出し、これらのイベントをCitrix Analytics に報告します。Citrix Analytics はこれらのイベントをすべて監視して、ユーザーのログオン失敗が多すぎるかどうかを検出します。Citrix Analytics が過剰なログオンの失敗を判断すると、ユーザーのリスクスコアが更新されます。アラート パネルで通知され、ログオン失敗リスクインジケータがユーザーのリスクタイムラインに追加されます。

ログオン失敗のリスクインジケータを分析する方法

最近、ネットワークの認証を複数回試行できなかったユーザー Lemuel Kildow を考えてみましょう。Citrix Gateway は、これらの障害をCitrix Analytics に報告し、更新されたリスクスコアがレミュエル・キルドーに割り当てられます。アラートパネルで通知され、 ログオン失敗 のリスクインジケータが Lemuel Kildow のリスクタイムラインに追加されます。

ユーザーの ログオン失敗 リスクインジケータエントリを表示するには、 [セキュリティ] > [ユーザー に移動して、ユーザーを選択します。

Lemuel Kildow のリスクタイムラインから、ユーザーに対して報告された最新の ログオン失敗 リスクインジケータを選択できます。リスクタイムラインから [ログオン失敗] リスクインジケータエントリを選択すると、対応する詳細情報パネルが右側のウィンドウに表示されます。

ログオンの失敗

  • WHAT HAPPENEDセクションには、選択した期間中に発生したログオン失敗の数など、リスク指標の簡単な概要が表示されます。

ログオンの失敗事態について

  • イベントの詳細-ログオンの失敗 セクションには、選択した期間中に発生した個々のログオン失敗イベントのタイムラインの視覚化が含まれています。また、各イベントに関する次の重要な情報も表示できます。

    • 時間:ログオンエラーが発生した時刻。

    • エラー数。イベント発生時および過去 48 時間に対してユーザーによって検出されたログオン失敗の数。

    • イベントの説明。ログオン失敗の理由の簡単な説明。

    ログオン失敗イベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、監視リストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。アクション メニューからアクションを選択し、適用 をクリックします。

認証の失敗

Citrix Analytics は認証の失敗に基づいてユーザーアクセスベースの脅威を検出し、対応するリスクインジケーターをトリガーします。

認証失敗リスクインジケータはいつトリガーされますか?

認証失敗 リスクインジケータは、企業内のユーザーが十分な権限を持たないリソースにアクセスしようとすると、Citrix Analytics で報告されます。

ユーザーが認証されると、Citrix Gateway は、そのユーザーに対して構成された承認ポリシーと式に基づいてグループ承認チェックを実行します。Citrix Gateway は、LDAP、RADIUS、またはTACACS+サーバーのいずれかからユーザーのグループ情報を収集します。

Citrix Gateway は、認証の失敗を検出し、これらのイベントをCitrix Analytics に報告します。Citrix Analytics では、これらのイベントをすべて監視して、ユーザーの承認の失敗が多すぎるかどうかを検出します。Citrix Analytics がユーザーの過剰な認証エラーを検出すると、ユーザーのリスクスコアが更新されます。アラートパネルで通知され、承認リスクインジケータがユーザーのリスクタイムラインに追加されます。

認証失敗リスクインジケータを分析するには?

最近、ネットワーク上の不正なリソースにアクセスするために複数回試みたGeorgina Kalouユーザーを考えてみましょう。Citrix Gateway は、これらのイベントをCitrix Analytics に報告し、更新されたリスクスコアがジョージナ・カロに割り当てられます。アラート パネルで通知され、Georgina Kalou のリスクタイムラインに 承認失敗 リスクインジケータが追加されます。

ユーザーの「承認失敗」エントリを表示するには、 「セキュリティ」>「ユーザー」に移動して、ユーザーを選択します。 Georgina Kalouのリスクタイムラインから、ユーザーに対して報告された最新の 認証失敗 リスク指標を選択できます。タイムラインから [承認失敗リスクインジケータ] エントリを選択すると、対応する詳細情報パネルが右側のウィンドウに表示されます。

認証の失敗

  • WHAT HAPPENEDセクションには、選択した期間中に発生した認証失敗の数など、リスク指標の簡単な概要が表示されます。

EPA スキャンが失敗した事例

  • EVENT DETAILS — AUTHORIZATION FAILURESセクションには、選択した期間中に発生した個々の認証失敗イベントのタイムライン表示が含まれます。また、各イベントに関する次の重要な情報も表示できます。

    • 時間:認可エラーが発生した時刻。

    • クライアント IP。認可エラーの原因となったクライアントの IP アドレス。

    • Gateway IP。認証の失敗を報告したCitrix Gateway のIPアドレス。

    • 完全修飾ドメイン名。Citrix Gateway の完全修飾ドメイン名。

    • アプリケーション名。ユーザーがリソースにアクセスするために使用したアプリケーション。

    • VPN セッション。確立された VPN セッションのタイプ。

    • イベントの説明。認可失敗の理由の簡単な説明。

    • N 番目の係数。認可失敗の理由の簡単な説明。

    認可失敗イベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、監視リストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。アクション メニューからアクションを選択し、適用 をクリックします。

異常なログオンアクセス

Citrix Analytics、ユーザーがネットワークにログオンしたログオンアクセスに基づいてユーザーアクセスベースの脅威を検出し、対応するリスクインジケーターをトリガーします。

異常なログオンアクセスリスクインジケータはいつトリガーされますか?

組織内のユーザーが、通常の動作に反する異常な場所からログオンしたときに通知を受け取ることができます。

Citrix Gateway はこれらのイベントを検出し、Citrix Analytics に報告します。Citrix Analytics がイベントを受け取り、ユーザーのリスクスコアが増加します。[アラート] パネルで通知され、[異常なログオンアクセスリスクインジケータ] がユーザーのリスクタイムラインに追加されます。

異常なログオンアクセスリスク指標を分析する方法

ノースカロライナ州ローリーからしかログオンしていないときにロシアのモスクワからログオンしたユーザーGeorgina Kalouを考えてみましょう。Citrix Gateway は、これらのイベントをCitrix Analytics に報告し、ジョージナ・カロウに更新されたリスクスコアを割り当てます。警告 パネルで通知され、Georgina Kalouのリスクタイムラインに異常なログオンアクセスリスクインジケータが追加されます。

Georgina Kalouのリスクタイムラインから、報告された 異常なログオンアクセス リスク指標を選択できます。イベントの理由は、イベントの時刻、ログオン場所などの詳細とともに表示されます。

異常なログオンアクセス Gateway

  • WHAT HAPPENEDセクションには、特定の期間中に発生した不審なログオン試行回数など、リスク指標の簡単な概要が表示されます。

異常なログオンアクセス Gateway が発生したこと

  • EVENT DETAILS セクションには、選択した期間中に発生した異常な地理的位置からの個々のログオンイベントのタイムラインの視覚化が含まれています。また、各イベントに関する次の重要な情報を提供する表も含まれています。

    • 時間:各ログオン試行の時刻。

    • [ 場所。ログオンの試行元の場所。

    • クライアントの IP アドレス。使用されるクライアント IP アドレス。

    • OS からインストールできます。クライアントが使用するオペレーティング・システム。

    • ブラウザ。ユーザが使用するブラウザ。

    異常なログオンアクセス Gateway のイベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、監視リストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。アクション メニューからアクションを選択し、適用 をクリックします。

新しいIPからの初回アクセス

Citrix Analytics は新しいIPアドレスからの初回アクセスに基づいてユーザーアクセスの脅威を検出し、対応するリスクインジケーターをトリガーします。

Citrix Receiverユーザーが不慣れな IPアドレスからサインインすると、新しいIPリスクインジケータからの初回アクセス が実行されます。これは、Citrix Receiverにこの新しいIPアドレスからのユーザーのサインインレコードがないためです。

新しいIPリスク指標からの初回アクセスはいつトリガーされますか?

ユーザーが新しい IP アドレスからサインインすると、[新しい IP リスク指標からの初回アクセス] が報告されます。Citrix Receiverがこの動作を検出すると、Citrix Analytics はこのイベントを受け取り、各ユーザーにリスクスコアを割り当てます。新しい IP リスクインジケータからの初回アクセスが、ユーザーのリスクタイムラインに追加され、アラートが [アラート] パネルに表示されます。

新しいIPリスク指標からのアクセスを分析するには?

Adam Maxwellユーザーが以前に使用していない新しいIPアドレスからCitrix Receiver経由でセッションにサインインしているとします。Adam Maxwellのタイムラインから、報告された初回アクセス新しいIPリスク指標を選択できます。新しい IP アラートに初めてアクセスした理由は、イベント時刻、IP アドレスなどの詳細とともに表示されます。

新しいIPからの初回アクセス

ユーザーについて報告された新しい IP リスクインジケータからの初回アクセスを表示するには、セキュリティ > ユーザー に移動して、ユーザーを選択します。

  • WHAT HAPPENED セクションでは、新しい IP イベントからの初回アクセスの概要を表示できます。新しい IP アドレスから発生したサインインインスタンスの数と、イベントが発生した時刻を表示できます。

新しいIPからの初回アクセス

  • EVENT DETAILS セクションでは、新しい IP アドレスからのアクセスイベントがグラフ形式で表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルにはイベントに関する次の重要な情報が表示されます。

    • 時間:サインインインスタンスが発生した時刻。

    • クライアント IP。サインインに使用されるデバイスの IP アドレス。

新しいIPからの初回アクセス

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、監視リストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。アクション メニューからアクションを選択し、適用 をクリックします。

疑わしいIPからのログオン

Citrix Analytics は疑わしいサインインアクティビティに基づいてユーザーアクセスの脅威を検出し、対応するリスクインジケーターをトリガーします。

不審な IP リスクからのログオンインジケータはいつトリガーされますか?

[疑わしいIPからのログオン]リスクインジケータは、Citrix Gateway が疑わしいと識別したIPアドレスからユーザーがネットワークにアクセスしようとしたときに報告されます。IP アドレスは、次のいずれかの条件に基づいて疑わしい と見なされます。

  • 外部 IP 脅威インテリジェンスフィードにリストされている

  • 異常な場所から複数のユーザーサインインレコードがある

  • 過剰なログイン試行が失敗し、ブルートフォース攻撃を示す可能性があります。

このイベントが検出され、Citrix Analytics にレポートされます。Citrix Analytics はこのイベントを監視して、ユーザーが疑わしいIPサインインを試行した回数が多すぎるかどうかを検出します。Citrix Analytics がユーザーのIPサインインの試行を判断すると、ユーザーのリスクスコアが更新され、 アラート パネルに通知が作成されます。また、不審な IP リスクインジケータからのログオンエントリをユーザーのリスクタイムラインに追加します。

不審なIPリスクインジケータからのログオンを分析するには?

Citrix Gateway が疑わしいと識別するIPアドレスからネットワークにアクセスしようとしたユーザーのLemuel Kildowを考えてみましょう。Citrix Gateway は、このイベントをCitrix Analytics に報告し、リミュエル・キルドーに更新されたリスクスコアを割り当てます。アラート パネルで通知され、疑わしいIPリスクからのログオンインジケータがLemuel Kildowのリスクタイムラインに追加されます。

疑わしいIPからのログオン

ユーザーについて報告された不審な IP リスクからのログオンインジケータを表示するには、セキュリティ > ユーザー に移動して、ユーザーを選択します。Lemuel Kildowのリスクタイムラインから、ユーザーに対して報告された疑わしいIPリスクインジケータから最新のログオンを選択できます。タイムラインから [不審な IP リスク指標からのログオン] エントリを選択すると、対応する詳細情報パネルが右側のウィンドウに表示されます。

  • 何が起こったのかセクションには、不審な IP リスクインジケータからのログオンの概要が記載されています。また、選択した期間中に報告された疑わしい IP アドレスからのサインイン数も含まれます。

疑わしいIPからのログオン

  • EVENT DETAILS セクションには、選択した期間中に発生した個々のサインイン試行のタイムラインの視覚化が含まれます。また、各イベントに関する次の重要な情報を提供する表も含まれています。

    • 時間:サインインインスタンスが発生した時刻。

    • クライアント IP。サインインに使用されたデバイスの IP アドレス。

    • [ 場所。疑わしいサインインの試行が行われた場所。

    • ブルートフォース。ブルートフォース動作が検出されたことを示します。

    • 外部スレート。IP アドレスが外部 IP 脅威インテリジェンスフィードにあることを示します。

    • 一般のジオアクセス。異常な地理的位置からのアクセスが検出されたことを示します。

疑わしいIPからのログオン

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、監視リストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。アクション メニューからアクションを選択し、適用 をクリックします。