Citrix Analytics for Security

Citrix Gateway のリスク指標

EPA スキャンの失敗

Citrix Analytics、EPAスキャン失敗アクティビティに基づいてユーザーアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

EPAスキャン失敗リスク指標はいつトリガーされますか?

EPAスキャン失敗リスク指標は、Citrix Gatewayのエンドポイント分析(EPA)スキャンポリシーで事前認証または認証後に失敗したデバイスを使用してユーザーがネットワークにアクセスしようとしたときに報告されます。

Citrix Gateway はこれらのイベントを検出し、Citrix Analytics に報告します。Citrix Analytics はこれらのイベントをすべて監視して、ユーザーがEPAスキャンに失敗したかどうかを検出します。Citrix Analytics がユーザーの過剰なEPAスキャンの失敗を判断すると、ユーザーのリスクスコアが更新され、アラートパネルに通知が作成されます。また、EPA スキャンの失敗リスク指標エントリをユーザーのリスクタイムラインに追加します。

EPAスキャン失敗リスク指標を分析するには?

Citrix GatewayのEPAスキャンに失敗したデバイスを使用してネットワークに最近複数回アクセスしようとしたLemuel Kildowユーザーを考えてみましょう。Citrix Gateway は、この障害をCitrix Analytics に報告し、Lemuel Kildowに更新されたリスクスコアを割り当てます。アラート パネルで通知され、EPA スキャン失敗リスク指標が Lemuel Kildow のリスクタイムラインに追加されます。

ユーザーのEPAスキャン失敗エントリを表示するには、 「セキュリティ」>「ユーザー」に移動し、ユーザーを選択します。

Lemuel Kildowのリスクタイムラインから、ユーザーに対して報告された最新の EPAスキャン失敗 リスク指標を選択できます。タイムラインから EPA スキャン失敗リスク指標のエントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。

EPA スキャンの失敗

  • WHAT HAPPENED 」セクションには、EPA スキャンの失敗リスク指標の概要が記載されています。また、選択した期間中に報告されたログオン後EPAスキャン失敗の数も含まれます。

EPA スキャンの失敗事例

  • EVENT DETAILS — スキャン障害」セクションには、選択した期間中に発生した個々の EPA スキャンの失敗イベントのタイムライン表示が含まれます。また、各イベントに関する次の重要な情報を提供する表も含まれています。

    • 時間:EPA スキャンが失敗した時刻。

    • クライアント IP。EPA スキャンの失敗の原因となったクライアントの IP アドレス。

    • Gateway IP。EPAスキャンの失敗を報告したCitrix Gateway のIPアドレス。

    • 完全修飾ドメイン名。Citrix Gateway の完全修飾ドメイン名。

    • イベントの説明。EPA スキャンが失敗した理由の簡単な説明。

    • ポリシー名。Citrix Gateway で構成されたEPAスキャンポリシー名。

    • セキュリティ式。Citrix Gateway で構成されたセキュリティ式。

    EPA スキャン失敗イベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

過剰な認証の失敗

Citrix Analytics、過剰な認証失敗に基づいてユーザーアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

過剰な認証失敗のリスク指標はいつトリガーされますか?

ログオン失敗リスク指標は、ユーザーが特定の期間内に複数のCitrix Gatewayの認証に失敗した場合に報告されます。Citrix Gateway の認証失敗は、ユーザーに多要素認証が構成されているかどうかに応じて、第1、第2、または第3の認証失敗です。

Citrix Gateway は、すべてのユーザー認証の失敗を検出し、これらのイベントをCitrix Analytics に報告します。Citrix Analytics では、これらのイベントをすべて監視して、認証の失敗が多すぎるかどうかを検出します。Citrix Analytics によって過剰な認証失敗が判定されると、ユーザーのリスクスコアが更新されます。[ アラート ] パネルに通知され、ユーザーのリスクタイムラインに [過剰な認証失敗] リスク指標が追加されます。

過剰認証失敗のリスク指標を分析するには?

最近、ネットワークの認証を複数回試行できなかったユーザー「Lemuel Kildow」を考えてみましょう。Citrix Gateway は、これらの障害をCitrix Analytics に報告し、更新されたリスクスコアがLemuel Kildowに割り当てられます。[ アラート ] パネルに通知され、Lemuel Kildowのリスクタイムラインに [過剰な認証失敗] リスク指標が追加されます。

ユーザーの過剰な認証失敗のリスク指標エントリを表示するには、[セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。

Lemuel Kildow のリスクタイムラインから、ユーザーに対して報告された最新の 過剰な認証失敗 リスク指標を選択できます。リスクタイムラインから[過剰な認証失敗]リスク指標のエントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。

過剰な認証の失敗

  • WHAT HAPPENEDセクションには、選択した期間中に発生した認証失敗の数など、リスク指標の簡単な概要が表示されます。

過剰な認証の失敗 - WHAT HAPPENED

  • EVENT DETAILSセクションには、選択した期間中に発生した個々のイベントのタイムラインの視覚化が含まれます。また、各イベントに関する次の重要な情報も表示できます。

    • 時間:ログオンエラーが発生した時刻。

    • エラー数。イベント発生時および過去 48 時間のユーザーに対して検出された認証失敗の数。

    • イベントの説明。ログオンの失敗の理由の簡単な説明。

    過剰な認証失敗 - EVENT DETAILS

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知する。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

過剰な認可の失敗

Citrix Analytics、過剰な認証失敗に基づいてユーザーアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

過剰承認失敗のリスク指標はいつトリガーされますか?

Citrix Analytics では、企業内のユーザーが十分な権限を持たないリソースにアクセスしようとすると、過剰な認証失敗 リスク指標が報告されます。

ユーザーが認証されると、Citrix Gateway は、そのユーザーに対して構成された承認ポリシーと式に基づいてグループ承認チェックを実行します。Citrix Gateway は、LDAP、RADIUS、またはTACACS+サーバーのいずれかからユーザーのグループ情報を収集します。

Citrix Gateway は、認証の失敗を検出し、これらのイベントをCitrix Analytics に報告します。Citrix Analytics では、これらのイベントをすべて監視して、ユーザーの承認の失敗が多すぎるかどうかを検出します。Citrix Analytics がユーザーの過剰な認証エラーを検出すると、ユーザーのリスクスコアが更新されます。[アラート] パネルに通知され、ユーザーのリスクタイムラインに [過剰承認失敗] リスク指標が追加されます。

過剰承認失敗リスク指標を分析するには?

最近、ネットワーク上の不正なリソースにアクセスするために複数回試みたGeorgina Kalouユーザーを考えてみましょう。Citrix Gateway は、これらのイベントをCitrix Analytics に報告し、更新されたリスクスコアがGeorgina Kalouに割り当てられます。[ アラート ] パネルに通知され、[ 過剰承認失敗 ] リスク指標が Georgina Kalouのリスクタイムラインに追加されます。

ユーザーの [過剰な認証失敗] エントリを表示するには、[ セキュリティ] >[ユーザー] に移動し、ユーザーを選択します。 Georgina Kalouのリスクタイムラインから、ユーザーに対して報告された最新の 過剰承認失敗 リスク指標を選択できます。タイムラインから[過剰承認失敗]リスク指標のエントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。

認証の失敗

  • WHAT HAPPENED 」セクションには、選択した期間中に発生した認証失敗の数など、リスク指標の簡単な概要が表示されます。

承認の失敗WHAT HAPPENED

  • EVENT DETAILS — AUTHORIZATION FAILURES 」セクションには、選択した期間中に発生した個々の認証失敗イベントのタイムライン表示が含まれます。また、各イベントに関する次の重要な情報も表示できます。

    • 時間:認可エラーが発生した時刻。

    • クライアント IP。認可エラーの原因となったクライアントの IP アドレス。

    • Gateway IP。認証の失敗を報告したCitrix Gateway のIPアドレス。

    • 完全修飾ドメイン名。Citrix Gateway の完全修飾ドメイン名。

    • アプリケーション名。ユーザーがリソースにアクセスするために使用したアプリケーション。

    • VPN セッション。確立された VPN セッションのタイプ。

    • イベントの説明。認可失敗の理由の簡単な説明。

    • N 番目の係数。認可失敗の理由の簡単な説明。

    認可失敗イベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

新しい場所からの初めてのアクセス

Citrix Analytics、ネットワークへの 初回ログオンアクセスに基づいてユーザーアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

新しい位置リスク指標からの初回アクセスはいつトリガーされますか?

組織内のユーザーが、通常の動作に反する異常な場所からログオンしたときに通知を受け取ることができます。

Citrix Gateway はこれらのイベントを検出し、Citrix Analytics に報告します。Citrix Analytics がイベントを受け取り、ユーザーのリスクスコアが増加します。[アラート] パネルに通知され、[新しい場所からの初回アクセス] リスク指標がユーザーのリスクタイムラインに追加されます。

新しい位置リスク指標からの初回アクセスの分析方法

ノースカロライナ州ローリーからしかログオンしていないときにロシアのモスクワからログオンしたユーザーGeorgina Kalouを考えてみましょう。Citrix Gateway は、これらのイベントをCitrix Analytics に報告し、Georgina Kalouに更新されたリスクスコアを割り当てます。警告 パネルに通知され、新しい位置リスク指標からの初回アクセスが Georgina Kalouのリスクタイムラインに追加されます。

Georgina Kalouのリスクタイムラインから、 新しい位置リスク指標から報告された初回アクセスを 選択できます。イベントの理由は、イベントの時刻、ログオン場所などの詳細とともに表示されます。

新しいロケーション Gateway からの初めてのアクセス

  • WHAT HAPPENED 」セクションには、特定の期間中に発生した不審なログオン試行回数など、リスク指標の簡単な概要が表示されます。

新しいロケーション Gateway からの初めてのアクセス

  • EVENT DETAILS セクションには、選択した期間中に発生した異常な地理的位置からの個々のログオンイベントのタイムラインの視覚化が含まれています。また、各イベントに関する次の重要な情報を提供する表も含まれています。

    • 時間:各ログオン試行の時刻。

    • [ 場所]。ログオンの試行元の場所。

    • クライアントの IP アドレス。使用されるクライアント IP アドレス。

    • OS からインストールできます。クライアントが使用するオペレーティングシステム。

    • ブラウザ。ユーザが使用するブラウザ。

    新しいロケーション Gateway イベントの詳細からの初回アクセス

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

新しいIPからの初回アクセス

Citrix Analytics は新しいIPアドレスからの初回アクセスに基づいてユーザーアクセスの脅威を検出し、対応するリスク指標をトリガーします。

Citrix Receiverユーザーが最低90日後に IPアドレスからサインインすると、[新しいIPからの初回アクセス ]リスク指標がトリガーされます。これは、Citrix Receiverが過去90日間このIPアドレスからのユーザーのサインインレコードを持っていないためです。

新しいIPリスク指標からの初回アクセスはいつトリガーされますか?

ユーザーが 90 日後に IP アドレスからサインインすると、[新しい IP からの初回アクセス] リスク指標が報告されます。Citrix Receiverがこの動作を検出すると、Citrix Analytics はこのイベントを受け取り、各ユーザーにリスクスコアを割り当てます。新しい IP リスク指標からの初回アクセスが、ユーザーのリスクタイムラインに追加され、アラートが [アラート] パネルに表示されます。

新しいIPリスク指標からのアクセスを分析するには?

ユーザーが90日間以上使用していないIPアドレスからCitrix Receiverを介してセッションにサインインしているAdam Maxwellユーザーについて考えてみましょう。Adam Maxwellのタイムラインから、報告された初回アクセス新しいIPリスク指標を選択できます。新しい IP アラートに初めてアクセスした理由は、イベント時刻、IP アドレスなどの詳細とともに表示されます。

新しいIPからの初回アクセス

ユーザーについて報告された新しい IP リスク指標からの初回アクセスを表示するには、[ セキュリティ ] > [ ユーザー ] に移動して、ユーザーを選択します。

  • [ WHAT HAPPENED ] セクションでは、新しい IP イベントからの初回アクセスの概要を表示できます。新しい IP アドレスから発生したサインインインスタンスの数と、イベントが発生した時刻を表示できます。

新しいIPからの初回アクセス

  • EVENT DETAILS セクションでは、新しい IP アドレスからのアクセスイベントがグラフ形式で表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルにはイベントに関する次の重要な情報が表示されます。

    • 時間:サインインインスタンスが発生した時刻。

    • クライアント IP。サインインに使用されるデバイスの IP アドレス。

新しいIPからの初回アクセス

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

疑わしいIPからのログオン

Citrix Analytics は疑わしいサインインアクティビティに基づいてユーザーアクセスの脅威を検出し、対応するリスク指標をトリガーします。

[疑わしいIPからのログオン]リスク指標はいつトリガーされますか?

[疑わしいIPからのログオン]リスク指標は、Citrix Gateway が疑わしいと識別したIPアドレスからユーザーがネットワークにアクセスしようとしたときに報告されます。IP アドレスは、次のいずれかの条件に基づいて疑わしい と見なされます。

  • 外部 IP 脅威インテリジェンスフィードにリストされている

  • 異常な場所から複数のユーザーサインインレコードがある

  • 過剰なログイン試行が失敗し、ブルートフォース攻撃を示す可能性があります。

このイベントが検出され、Citrix Analytics にレポートされます。Citrix Analytics はこのイベントを監視して、ユーザーが疑わしいIPサインインを試行した回数が多すぎるかどうかを検出します。Citrix Analytics がユーザーのIPサインインの試行を判断すると、ユーザーのリスクスコアが更新され、 アラート パネルに通知が作成されます。また、不審な IP リスク指標からのログオンエントリをユーザーのリスクタイムラインに追加します。

不審なIPリスク指標からのログオンを分析するには?

Citrix Gateway が疑わしいと識別するIPアドレスからネットワークにアクセスしようとしたユーザーのLemuel Kildowを考えてみましょう。Citrix Gateway は、このイベントをCitrix Analytics に報告し、Lemuel Kildowに更新されたリスクスコアを割り当てます。アラート パネルで通知され、[疑わしいIPからのログオン]リスク指標がLemuel Kildowのリスクタイムラインに追加されます。

疑わしいIPからのログオン

ユーザーについて報告された疑わしいIPからのログオンリスク指標を表示するには、[セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。Lemuel Kildowのリスクタイムラインから、ユーザーに対して報告された最新の疑わしいIPからのログオンリスク指標を選択できます。タイムラインから [疑わしいIPからのログオン] リスク指標エントリを選択すると、対応する詳細情報パネルが右ペインに表示されます。

  • WHAT HAPPENED 」セクションには、疑わしいIPからのログオンリスク指標の概要が記載されます。また、選択した期間中に報告された疑わしい IP アドレスからのサインイン数も含まれます。

疑わしいIPからのログオン

  • [ EVENT DETAILS ] セクションには、選択した期間中に発生した個々のサインイン試行のタイムラインの視覚化が含まれます。また、各イベントに関する次の重要な情報を提供する表も含まれています。

    • 時間:サインインインスタンスが発生した時刻。

    • クライアント IP。サインインに使用されたデバイスの IP アドレス。

    • [ 場所]。疑わしいサインインの試行が行われた場所。

    • ブルートフォース。ブルートフォース動作が検出されたことを示します。

    • 外部スレート。IP アドレスが外部 IP 脅威インテリジェンスフィードにあることを示します。

    • 一般のジオアクセス。異常な地理的位置からのアクセスが検出されたことを示します。

疑わしいIPからのログオン

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

Citrix Gateway のリスク指標