Citrix Analytics for Security

Citrix Gateway リスク指標

エンドポイント分析 (EPA) スキャンの失敗

Citrix Analytics は、EPAスキャン失敗アクティビティに基づいてユーザーアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

エンドポイント分析スキャン失敗リスク指標に関連付けられたリスク要因は、その他のリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

EPAスキャン失敗リスク指標はいつトリガーされますか?

EPAスキャン失敗リスクインジケータは、Citrix Gateway のエンドポイント分析(EPA)スキャンポリシーで事前認証または認証後のスキャンポリシーに失敗したデバイスを使用してユーザーがネットワークにアクセスしようとしたときに報告されます。

Citrix Gateway はこれらのイベントを検出し、Citrix Analytics に報告します。Citrix Analytics はこれらのイベントをすべて監視して、ユーザーがEPAスキャンに失敗したかどうかを検出します。Citrix Analytics がユーザーの過度のEPAスキャン失敗を判断すると、ユーザーのリスクスコアが更新され、ユーザーのリスクタイムラインにEPAスキャン失敗リスクインジケータエントリが追加されます。

EPAスキャン失敗リスク指標を分析するには?

最近、Citrix Gateway のEPAスキャンに失敗したデバイスを使用してネットワークに複数回アクセスしようとしたユーザーLemuelを考えてみましょう。Citrix Gatewayは、この失敗をCitrix Analyticsに報告し、Citrix Analyticsは更新されたリスクスコアをLemuelに割り当てます。EPA スキャン失敗リスク指標は Lemuel Kildow のリスクタイムラインに追加されます。

ユーザーの EPA スキャン失敗エントリを表示するには 、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。

Lemuel Kildow のリスクタイムラインから、 ユーザーに対して報告された最新のEPAスキャン失敗リスク指標を選択できます 。タイムラインから EPA スキャン失敗リスク指標のエントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。

EPA スキャンの失敗

  • WHAT HAPPENEDセクションには 、EPA スキャン失敗リスク指標の簡単な概要が記載されています。また、選択した期間中に報告されたログオン後 EPA スキャン失敗の数も含まれます。

    EPA スキャンの失敗何が起こったのですか

  • [ イベントの詳細 — スキャン失敗 ] セクションには、選択した期間中に発生した個々の EPA スキャン失敗イベントのタイムラインが表示されます。また、各イベントに関する次の重要な情報を提供するテーブルも含まれています。

    • 時間。EPA スキャンが失敗した時刻。

    • クライアント IP。EPA スキャン失敗の原因となるクライアントの IP アドレス。

    • ゲートウェイ IP。EPAスキャンの失敗を報告したCitrix Gateway のIPアドレス。

    • FQDN。Citrix Gateway の完全修飾ドメイン名。

    • イベントの説明。EPA スキャンが失敗した理由の簡単な説明。

    • ポリシー名。Citrix Gateway で構成されたEPAスキャンポリシー名。

    • セキュリティ表現。Citrix Gateway で構成されたセキュリティ式。

      EPA スキャン失敗イベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

  • ユーザーのロック:異常な動作によってユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、Citrix Gateway を介してリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

過剰な認証失敗

Citrix Analytics は、過剰な認証失敗に基づいてユーザーアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

過剰な認証失敗のリスク指標に関連するリスク要因は、ログオン失敗ベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

過剰な認証失敗のリスク指標はいつトリガーされますか?

ログオン失敗リスクインジケータは、ユーザーが一定期間内に複数のCitrix Gateway 認証失敗に遭遇したときに報告されます。Citrix Gateway の認証失敗は、ユーザーに多要素認証が構成されているかどうかに応じて、プライマリ、セカンダリ、またはターシャリの認証失敗になります。

Citrix Gateway は、すべてのユーザー認証エラーを検出し、これらのイベントをCitrix Analytics に報告します。Citrix Analyticsは、これらすべてのイベントを監視して、ユーザーの認証エラーが多すぎるかどうかを検出します。Citrix Analytics が過剰な認証失敗を判断すると、ユーザーのリスクスコアが更新されます。過剰な認証失敗のリスクインジケータがユーザーのリスクタイムラインに追加されます。

過剰な認証失敗のリスク指標を分析するには

最近、ネットワーク認証の試行を複数回失敗したユーザー Lemuel を考えてみましょう。Citrix Gatewayはこれらの障害をCitrix Analyticsに報告し、更新されたリスクスコアがLemuelに割り当てられます。過剰な認証失敗のリスク指標が Lemuel Kildow のリスクタイムラインに追加されます。

ユーザーの過剰な認証失敗のリスク指標エントリを表示するには、[セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。

Lemuel Kildow のリスクタイムラインから、 ユーザーに対して報告された最新の過剰な認証失敗リスク指標を選択できます 。リスクタイムラインから [ 過剰な認証失敗リスクインジケータ ] エントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。

過剰な認証失敗

  • WHAT HAPPENEDセクションには、選択した期間中に発生した認証失敗の数など、リスク指標の簡単な概要が表示されます。

    過剰な認証失敗は何が起こったのですか

  • [ EVENT DETAILS ] セクションには、選択した期間中に発生した個々の過剰認証失敗イベントのタイムラインが表示されます。また、各イベントに関する次の重要な情報も表示できます。

    • 時間。ログオン失敗が発生した時刻。

    • エラー数。イベント発生時および過去 48 時間の間にユーザに対して検出された認証失敗の数。

    • イベントの説明。ログオン失敗の理由の簡単な説明。

      過剰な認証失敗イベントの詳細

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

  • ユーザーのロック:異常な動作によってユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、Citrix Gateway を介してリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

あり得ない移動

Citrix Analytics は、2つの異なる国からの連続したログオンが、国間の予想される移動時間よりも短い期間内に行われた場合、ユーザーのログオンが危険であると検出します。

あり得ない移動時間のシナリオは、次のリスクを示しています。

  • 侵害された認証情報:リモートの攻撃者が正当なユーザーの資格情報を盗みます。
  • 共有認証情報:異なるユーザーが同じユーザー資格情報を使用しています。

あり得ない移動リスク指標はいつトリガーされますか

あり得ない移動リスク指標は 、連続するユーザーログオンの各ペア間の時間と推定距離を評価し、その距離が個々の人がその時間内に移動できるよりも長い場合にトリガーされます。

注:

このリスク指標には、ユーザーの実際の場所を反映していない次のシナリオの誤検知アラートを減らすためのロジックも含まれています。

  • ユーザーがプロキシ接続からCitrix Gateway 経由でログオンするとき。
  • ユーザーがホストされているクライアントからCitrix Gateway 経由でログオンするとき。

インポッシブルリスク指標の分析方法

ユーザー Adam Maxwell が、インドのバンガロールとノルウェーのオスロの 2 つの場所から 1 分以内にログオンするとします。Citrix Analytics は、このログオンイベントをあり得ない移動シナリオとして検出し、 あり得ない移動リスク指標をトリガーします 。リスク指標がAdam Maxwellのリスクタイムラインに追加され、リスクスコアがAdam Maxwellに割り当てられます。

Adam Maxwell のリスクタイムラインを表示するには、[ セキュリティ] > [ユーザー] を選択します。[ 危険なユーザー ] ペインから、ユーザー Adam Maxwell を選択します。

Adam Maxwell のリスクタイムラインから、 あり得ない移動リスク指標を選択します 。次の情報を表示できます。

  • WHAT HAPPENEDセクションには 、あり得ない移動イベントの概要が記載されています。

    GW 何が起きたの

  • [INDICATOR DETAILS ] セクションには、ユーザーがログオンした場所、連続してログオンするまでの時間、および 2 つの場所の間の距離が表示されます。

    GW インジケーター詳細

  • [ LOGON LOCATION-LAST 30 DAYS ] セクションには、あり得ない移動場所とユーザーの既知の場所の地理的マップビューが表示されます。過去 30 日間の位置データが表示されます。マップ上のポインターにカーソルを合わせると、各場所からの合計ログオン数が表示されます。

    GW ログオンの詳細-過去 30 日間

  • あり得ない移動-イベントの詳細 」セクションには、あり得ない移動イベントに関する次の情報が表示されます。

    • 時刻:ログオンの日付と時刻を示します。
    • Device OS:ユーザーデバイスのオペレーティングシステムを示します。
    • クライアント IP: ユーザーデバイスの IP アドレスを示します。
    • 場所:ユーザーがログオンした場所を示します。

    GW 不可能旅行イベント詳細

ユーザーに適用できるアクション

ユーザーのアカウントに対して次のアクションを実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。
  • 管理者に通知します。ユーザーのアカウントに異常または疑わしいアクティビティがある場合、すべての管理者または選択した管理者に電子メール通知が送信されます。
  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。
  • ユーザーのロック:異常な動作のためにユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、Citrix Gateway を介してリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

疑わしいIPからのログオン

Citrix Analytics は、疑わしいIPからのサインインアクティビティに基づいてユーザーアクセスの脅威を検出し、このリスクインジケータをトリガーします。

疑わしいIPからのログオンリスク指標に関連するリスク要因は、IPベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

[疑わしいIPからのログオン]リスク指標はいつトリガーされますか?

疑わしいIPからのログオンのリスクインジケータは 、Citrix Analytics が疑わしいと識別するIPアドレスからユーザーがネットワークにアクセスしようとしたときにトリガーされます。IP アドレスは、次のいずれかの条件に基づいて疑わしいと見なされます。

  • 外部 IP 脅威インテリジェンスフィードにリストされている

  • 異常な場所から複数のユーザーサインインレコードがある

  • 過剰なログイン試行が失敗し、ブルートフォース攻撃を示す可能性があります。

Citrix Analytics は、Citrix Gateway から受信したサインインイベントを監視し、ユーザーが疑わしいIPからサインインしているかどうかを検出します。Citrix Analyticsが疑わしいIPからのサインイン試行を検出すると、ユーザーのリスクスコアが更新され、ユーザーのリスクタイムラインに「 疑わしいIPからのログオン 」リスク指標エントリが追加されます。

不審なIPリスク指標からのログオンを分析するには?

Citrix Analyticsが疑わしいと識別するIPアドレスからネットワークにアクセスしようとしたユーザーLemuelを考えてみましょう。Citrix Gateway はサインインイベントをCitrix Analytics に報告し、更新されたリスクスコアをLemuelに割り当てます。疑わしい IP からのログオンのリスク指標が Lemuel Kildow のリスクタイムラインに追加されます。

疑わしいIPからのログオン

ユーザーについて報告された疑わしいIPからのログオンリスク指標を表示するには、[セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。Lemuel Kildow のリスクタイムラインから、 ユーザーに報告された疑わしいIPリスク指標から最新のログオンを選択できます 。タイムライン から疑わしいIP リスク指標エントリからログオンを選択すると、対応する詳細情報パネルが右側のペインに表示されます。

  • WHAT HAPPENEDセクションには 、疑わしいIPからのログオンリスクインジケータの簡単な概要が表示されます。また、選択した期間中に報告された疑わしい IP アドレスからのサインイン数も含まれます。

    疑わしいIPからのログオン

  • [ 疑わしい IP ] セクションには、次の情報が表示されます。

    疑わしいIPセクション

    • 疑わしいIPだな疑わしいサインインアクティビティに関連付けられた IP アドレス。

    • 場所。ユーザーの市、地域、国。これらの場所は、データの可用性に基づいて表示されます。

    • 組織レベルのリスクの可能性がある。Citrix Analytics が組織で最近検出した疑わしいIPアクティビティのパターンを示します。危険なパターンには、潜在的な総当たり試行と一貫した過剰なログイン失敗や、複数のユーザーによる異常なアクセスなどがあります。

      組織内の IP アドレスに対して危険なパターンが検出されない場合は、次のメッセージが表示されます。

      危険なパターンはない

    • コミュニティインテリジェンス。外部 IP 脅威インテリジェンスフィードでハイリスクとして識別される IP アドレスの脅威スコアと脅威カテゴリを提供します。Citrix Analytics では、リスクスコアが高リスクのIPアドレスに割り当てられます。リスクスコアは80から始まります。

      外部 IP 脅威インテリジェンスフィードで利用可能な脅威インテリジェンスが IP アドレスにない場合は、次のメッセージが表示されます。

      インテリジェンスフィードなし

  • [ EVENT DETAILS ] セクションには、疑わしいサインインアクティビティに関する次の情報が表示されます。

    疑わしいIPからのログオン

    • 時間。疑わしいサインインアクティビティの時刻。

    • クライアント IP。疑わしいサインインアクティビティに使用されたユーザーのデバイスの IP アドレス。

    • デバイスOS。ブラウザのオペレーティングシステム。

    • デバイスブラウザ。疑わしいサインインアクティビティに使用する Web ブラウザ。

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

  • ユーザーのロック:異常な動作によってユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、Citrix Gateway を介してリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

疑わしいログオン

メモ

  • このリスク指標は、[異常な場所からのアクセス] リスク指標に代わるものです。

  • 通常とは異なる場所からのアクセス」リスク指標に基づくポリシーは、疑わしいログオンリスク指標に自動的にリンクされます。

Citrix Analytics は、ユーザーが使用するデバイス、場所、ネットワークによって共同で定義される複数のコンテキスト要因に基づいて、異常または危険に見えるユーザーのログオンを検出します。

疑わしいログオンリスクインジケータはいつトリガーされますか?

リスク指標は、次の要因の組み合わせによってトリガーされます。各要因は、1つまたは複数の条件に基づいて潜在的に疑わしいと見なされます。

要素 条件
異常なデバイス ユーザーは、過去 30 日間に使用されたデバイスとは異なる署名を持つデバイスからログオンします。デバイスのシグネチャは、デバイスのオペレーティングシステムと使用するブラウザに基づきます。
通常以外の場所 過去 30 日間にユーザーがログオンしていない都市または国からログオンします。
  都市または国が、最近の (過去 30 日間) のログオン場所から地理的に離れている。
  過去 30 日間に都市または国からログオンしたユーザー数が 0 人または最小です。
異常なネットワーク ユーザーが過去 30 日間に使用していない IP アドレスからログオンします。
  ユーザーが過去 30 日間に使用していない IP サブネットからログオンします。
  過去 30 日間にゼロ人または最小のユーザーが IP サブネットからログオンしました。
IP 脅威 IP アドレスは、コミュニティ脅威インテリジェンスフィード(Webroot)によって高リスクとして識別されます。
  Citrix Analytics は最近、他のユーザーのIPアドレスから非常に疑わしいログオンアクティビティを検出しました。

疑わしいログオンリスク指標を分析する方法

インドのアーンドラ・プラデーシュ州から初めてサインインしたユーザー Adam Maxwell について考えてみましょう。既知の署名を持つデバイスを使用して、組織のリソースにアクセスします。しかし、彼は過去30日間使用していないネットワークから接続します。

Citrix Analytics では、場所やネットワークなどの要因が通常の動作から逸脱しているため、このログオンイベントを疑わしいものとして検出し、疑わしいログオンリスク指標をトリガーします。リスク指標はAdam Maxwellのリスクタイムラインに追加され、リスクスコアが彼に割り当てられます。

Adam Maxwell のリスク時間を表示するには、[ セキュリティ] > [ユーザー] を選択します。[ 危険なユーザー ] ペインから、ユーザー Adam Maxwell を選択します。

Adam Maxwell のリスクタイムラインから、 疑わしいログオンリスク指標を選択します 。次の情報が表示されます。

  • WHAT HAPPENED」セクションには、リスク要因やイベントの発生時間など、疑わしいアクティビティの概要が表示されます。

    不審なログオン何が起きたのですか

  • [LOGON DETAILS ] セクションには、各リスク要因に対応する疑わしいアクティビティの詳細な概要が表示されます。各リスクファクターには、疑わしいレベルを示すスコアが割り当てられます。単一のリスク要因は、ユーザーからのリスクが高いことを示すものではありません。全体的なリスクは、複数のリスク因子の相関に基づいています。

    疑惑レベル 指示
    0–69 この要因は正常に見え、疑わしいとは見なされません。
    70–89 この要因はわずかに通常とは違うように見え、他の要因では適度に疑わしいと考えられます。
    90–100 この要因はまったく新しいものまたは通常とは違うものであり、他の要因と非常に疑わしいと考えられています。

    疑わしいログオンの詳細

  • [ ログオン場所-過去 30 日間 ] には、最後に認識された場所とユーザーの現在の場所の地理的なマップビューが表示されます。過去 30 日間の位置データが表示されます。マップ上のポインターにカーソルを合わせると、各場所からの合計ログオン数が表示されます。

    不審なログオン場所の詳細

  • [ 疑わしいログオン-イベントの詳細 ] セクションには、疑わしいログオンイベントに関する次の情報が表示されます。

    • 時刻:疑わしいログオンの日付と時刻を示します。

    • Device OS:ユーザーデバイスのオペレーティングシステムを示します。

    • デバイスブラウザ:Citrix Gateway へのサインインに使用するWebブラウザを示します。

    疑わしいログオンイベント

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

  • ユーザーのロック:異常な動作によってユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、Citrix Gateway を介してリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

異常な認証の失敗

Citrix Analytics は、ユーザーが異常なIPアドレスからのログオンに失敗したときにアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

異常な認証リスク指標に関連するリスク要因は、ログオン失敗ベースのリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

異常な認証失敗インジケータはいつトリガーされますか

組織内のユーザーが通常の動作に反する異常な IP アドレスからのログオンに失敗した場合、通知を受け取ることができます。

Citrix Gateway はこれらのイベントを検出し、Citrix Analytics に報告します。Citrix Analytics はイベントを受信し、ユーザーのリスクスコアを上げます。異常な認証失敗リスクインジケータがユーザーのリスクタイムラインに追加されます

異常な認証失敗インジケーターを分析する方法は

通常のホームネットワークやオフィスネットワークからCitrix Gateway に定期的にサインインしているユーザーGeorgina Kalouを考えてみましょう。リモートの攻撃者が異なるパスワードを推測して Georgina のアカウントを認証しようとすると、不慣れなネットワークからの認証に失敗します。

このシナリオでは、Citrix GatewayはこれらのイベントをCitrix Analyticsに報告し、Citrix Analyticsは更新されたリスクスコアをGeorgina Kalouに割り当てます。異常な認証失敗リスク指標は Georgina Kalou のリスクタイムラインに追加されます。

Georgina Kalou のリスクタイムラインから、報告された異常な認証失敗リスク指標を選択できます。イベントの理由が、イベントの時間や場所などの詳細とともに表示されます。

認証失敗

  • [ WHAT HAPPENED] セクションでは、認証失敗の総数とイベントの時刻を含む簡単なサマリーを表示できます。

  • [ 推奨アクション ] セクションには、リスク指標に適用できる推奨アクションが表示されます。Citrix Analytics for Securityでは、ユーザーがもたらすリスクの重大度に応じてアクションを推奨します。推奨されるアクションは、次のアクションの 1 つまたは組み合わせです。

    • 管理者に通知

    • ウォッチリストに追加

    • ポリシーを作成する

    レコメンデーションに基づいてアクションを選択できます。または、「アクション」(Actions) メニューの選択内容に応じて、 適用するアクションを選択することもできます 。詳細については、「 アクションを手動で適用する」を参照してください。

    推奨される操作

  • [ EVENT DETAILS — LOGON SUCCESS and Failures] セクションでは、異常な認証失敗と、同じ期間中に検出されたその他のログオンアクティビティを示すグラフを表示できます。

  • [ 異常な認証の詳細 ] セクションのテーブルには、異常な認証失敗に関する次の情報が表示されます。

    • ログオン時刻 — イベントの日時

    • クライアント IP — ユーザーデバイスの IP アドレス

    • ロケーション — イベントが発生したロケーションです。

    • 失敗理由 — 認証失敗の理由

      認証失敗の詳細

  • [ ユーザー認証アクティビティ-前の 30 日間 ] セクションでは、この表には、ユーザーの過去 30 日間の認証アクティビティに関する次の情報が表示されます。

    • サブネット — ユーザーネットワークの IP アドレス。

    • [Success]:ユーザの成功した認証イベントの合計数と、最後に成功したイベントの時刻。

    • [Failure]:失敗した認証イベントの総数と、ユーザの直近の失敗イベントの時刻。

    • Location — 認証イベントが発生した場所。

      認証アクティビティ

ユーザーに適用できるアクション

ユーザーのアカウントでは、次の操作を実行できます。

  • ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Citrix Gateway 管理者がユーザーのログオフアクションをクリアするまで、Citrix Gateway経由でリソースにアクセスできません。

  • ユーザーのロック:異常な動作によってユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、Citrix Gateway を介してリソースにアクセスできません。

アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。

アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

Citrix Gateway リスク指標