Citrix Analytics for Security

Citrix Virtual Apps and Desktops のリスク指標

新しいデバイスからの初回アクセス

Citrix Analytics は新しいデバイスからの初回アクセスに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

新しいデバイスからの初回アクセス ]リスク指標は、Citrix Workspace ユーザーが90日後にデバイスからサインインしたときにトリガーされます。これは、Citrix Receiverに、この新しいデバイスまたは馴染みのないデバイスからのユーザーのログイン記録が過去90日間保持されないためです。

新しいデバイスリスク指標からの初回アクセスはいつトリガーされますか?

ユーザーが 90 日後に デバイスからサインインすると、[新しいデバイスからの初回アクセス ] リスク指標が報告されます。

Citrix Receiverがこの動作を検出すると、Citrix Analytics はこのイベントを受け取り、各ユーザーにリスクスコアを割り当てます。[ 新しいデバイスからの初回アクセス ] がユーザーのリスクタイムラインに追加され、[ アラート ] パネルにアラートが表示されます。

新しいデバイスリスク指標からのアクセスを分析するには?

ユーザーが過去90日間使用していないデバイスからCitrix Receiverを介してセッションにサインインしているAdam Maxwellユーザーについて考えてみましょう。

Adam Maxwellのタイムラインから、報告された 初回アクセス新しいデバイス リスク指標を選択できます。新しいデバイスアラートからのアクセスの理由は、イベント時刻、デバイス ID などの詳細とともに表示されます。

ユーザーについて報告された 新しいデバイスからの初回アクセス リスク指標を表示するには、 [セキュリティ] > [ユーザー ] に移動して、ユーザーを選択します。

新しいデバイスからの初回アクセス

  • WHAT HAPPENED 」セクションでは、新しいデバイスイベントからの初回アクセスの概要を表示できます。新しいデバイスから発生したサインインインスタンスの数と、イベントが発生した時刻を表示できます。

新しいデバイスからの初回アクセス

  • [ EVENT DETAILS ] セクションでは、新しいデバイスからのアクセスイベントが表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルにはイベントに関する次の重要な情報が表示されます。

    • 時間:サインインインスタンスが発生した時刻。

    • 受信機のタイプ。使用するCitrix Receiverのタイプ。Windows、Macなど。

    • デバイス ID。サインインに使用されるデバイスの IP アドレス。

    新しいデバイスイベントの詳細からのアクセス

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Virtual Desktops からリソースにアクセスできません。

  • セッションの記録を開始します。ユーザーのVirtual Desktops アカウントに異常なイベントが発生した場合、管理者は今後のログオンセッションのユーザーのアクティビティの記録を開始できます。ただし、ユーザーがVirtual Apps およびデスクトップ 7.18 以降のバージョンを使用している場合、管理者は動的にユーザーの現在のログオンセッションの記録を開始および停止できます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

データ流出の可能性

Citrix Analytics はデータの侵入を過度の試みに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

Citrix Receiverユーザーがファイルをドライブまたはプリンターにダウンロードまたは転送しようとすると、 データ漏洩 のリスク指標が表示されます。このデータは、ローカルドライブへのファイルのダウンロード、マップされたドライブ、外部ストレージデバイスへのファイルのダウンロードなどのファイルダウンロードイベントである可能性があります。また、クリップボードまたはコピー&ペースト操作によって取り出されるデータでもあります。

潜在的なデータ漏洩リスク指標はいつトリガーされますか?

ユーザーが一定期間内に過剰な数のファイルをドライブまたはプリンタに転送した場合に、通知を受け取ることができます。このリスク指標は、ユーザーがローカルコンピューターでコピーと貼り付け操作を使用するときにもトリガーされます。

Citrix Receiverがこの動作を検出すると、Citrix Analytics はこのイベントを受け取り、各ユーザーにリスクスコアを割り当てます。潜在データ漏洩 リスク指標がユーザーのリスクタイムラインに追加され、アラートが [ アラート ] パネルに表示されます。

潜在的なデータ漏洩リスク指標を分析するには?

セッションにログオンし、定義済みの制限を超えるファイルを印刷しようとするユーザー Adam Maxwell を考えてみましょう。このアクションにより、Adam Maxwell は、機械学習アルゴリズムに基づく通常のファイル転送動作を超えていました。

Adam Maxwellのタイムラインから、 潜在的なデータ漏洩 リスク指標を選択できます。イベントの理由は、転送されたファイル、ファイルの転送に使用されたデバイスなどの詳細とともに表示されます。

ユーザーについて報告された 潜在的なデータ漏洩 リスク指標を表示するには、 [セキュリティ] > [ユーザー ] に移動して、ユーザーを選択します。

データ流出の可能性

  • WHAT HAPPENED 」セクションでは、潜在的なデータ流出イベントの概要を表示できます。特定の期間におけるデータ流出イベントの数を表示できます。

データ流出の可能性

  • EVENT DETAILS セクションでは、データの侵入試行がグラフと表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルには次の重要な情報が表示されます。

    • 時間:データ流出イベントが発生した時刻。

    • ファイル。ダウンロード、印刷、またはコピーされたファイル。

    • ファイルの種類。ダウンロード、印刷、またはコピーされたファイルの種類。

    • アクション。実行されたデータ流出イベントの種類 (印刷、ダウンロード、コピー)。

    • デバイス。使用されるデバイス。

    • サイズ。流出されるファイルのサイズ。

    潜在的なデータ流出イベントの詳細

  • 追加のコンテキスト情報 」セクションでは、イベントの発生時に、次の情報を表示できます。

    • エクスフィルされたファイルの数。

    • 実行されたアクション。

    • 使用されるアプリケーション。

    • ユーザーが使用するデバイス。

    データが流出する可能性のある追加コンテキスト情報

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Virtual Desktops からリソースにアクセスできません。

  • セッションの記録を開始します。ユーザーのVirtual Desktops アカウントに異常なイベントが発生した場合、管理者は今後のログオンセッションのユーザーのアクティビティの記録を開始できます。ただし、ユーザーがVirtual Apps およびデスクトップ 7.18 以降のバージョンを使用している場合、管理者は動的にユーザーの現在のログオンセッションの記録を開始および停止できます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

サポートされていないオペレーティングシステム(OS)を搭載したデバイスからのアクセス

Citrix Analytics、サポートされていないオペレーティングシステムを実行しているデバイスからのユーザーのアクセスに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

サポートされていないOSリスク指標を持つデバイスからのアクセス は、Citrix Receiverユーザーがサポートされていないオペレーティングシステム(OS)またはブラウザーからログオンしたときにトリガーされます。アラートは、Citrix Receiverでサポートされている一連のOSとブラウザのバージョンに基づいて生成されます。

サポートされていないOSリスク指標を持つデバイスからのアクセスはいつトリガーされますか?

サポートされていない OS またはブラウザを実行しているデバイスから ユーザーがログオンすると、サポートされていない OS のリスク指標が報告されます。Citrix Receiverがこの動作を検出すると、Citrix Analytics はこのイベントを受け取り、各ユーザーにリスクスコアを割り当てます。サポートされていない OS リスク指標を持つデバイスからのアクセス が、ユーザーのリスクタイムラインに追加され、アラートパネルに アラート が表示されます。

メモ

ユーザーが別のオペレーティングシステムに切り替えて同じセッションに接続すると、セッションログオンイベントは保持されます。

サポートされていないOSリスク指標を使用してデバイスからのアクセスを分析する方法は?

Citrix ReceiverでサポートされていないOSまたはブラウザーで実行されているセッションにログオンしているGeorgina Kalouユーザーを考えてみましょう。Citrix Analytics はこのイベントを検出し、Georgina Kalouにリスクスコアを割り当てます。その後、 アラート パネルで通知され、 サポートされていない OS リスク指標を持つデバイスからのアクセスが ユーザーのリスクタイムラインに追加されます。

Georgina Kalouのタイムラインから、サポートされていないOSリスク指標を持つデバイスからのアクセスを報告することができます。イベントの理由は、OSバージョン、ブラウザのバージョンなど、イベントの詳細とともに画面に表示されます。

サポートされていない OS リスク指標があるデバイスからのアクセスを 表示するには、 [セキュリティ] > [ユーザー ] に移動して、ユーザーを選択します。

サポートされていない OS のデバイスからのアクセス

  • WHAT HAPPENED 」セクションでは、サポートされていないOSリスク指標を持つデバイスからのアクセスの概要を表示できます。Citrix Receiverの起動に使用された、サポートされていないOSまたはブラウザーのバージョンのデバイスの数と、イベントの発生時刻を表示できます。

サポートされていない OS を搭載したデバイスからのアクセス

  • EVENT DETAILS-DEVICE ACCESS セクションでは、サポートされていないデバイスアクセスイベントがグラフ形式で表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルにはイベントに関する次の重要な情報が表示されます。

    • 起動時間。イベントが発生した時刻。

    • Receiver。Receiverプラットフォームの詳細。

    • ブラウザ。ログオンに使用するブラウザのバージョン。

    • OS からインストールできます。ログオンに使用するオペレーティングシステムのバージョン。

    • デバイス ID。セッションへのログオンに使用されるデバイスの ID に関する情報。

    • IP アドレス。ログオンに使用されるデバイスの IP アドレス。

    注:

    デバイスでサポートされていないブラウザを使用してアクセスする場合、[IP アドレス] 列にはデータが表示されません。

    サポートされていない OS イベントの詳細を含むデバイスからのアクセス

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Virtual Desktops からリソースにアクセスできません。

  • セッションの記録を開始します。ユーザーのVirtual Desktops アカウントに異常なイベントが発生した場合、管理者は今後のログオンセッションのユーザーのアクティビティの記録を開始できます。ただし、ユーザーがVirtual Apps およびデスクトップ 7.18 以降のバージョンを使用している場合、管理者は動的にユーザーの現在のログオンセッションの記録を開始および停止できます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

アプリケーションアクセスの異常な時間(仮想)

Citrix Analytics は新しいアプリケーションからのユーザーのアクセスに基づいてデータの脅威を検出し、対応するリスク指標をトリガーします。

Citrix Receiverユーザーが 異常なアプリの使用状況を示すと、[アプリケーションアクセスの異常時間 ]リスク指標がトリガーされます。異常な動作は、特定の時間帯に初めてHDXアプリケーションを起動することです。

異常なアプリケーションアクセス時間のリスク指標はいつトリガーされますか?

異常な時間(Application Access )」リスク指標は、ユーザーが以前使用していないアプリケーションにアクセスしようとしたときに、時刻を分化して報告されます。

Citrix Receiverがこの動作を検出すると、Citrix Analytics はこのイベントを受け取り、各ユーザーにリスクスコアを割り当てます。ユーザーのリスクタイムラインに [ アプリケーションアクセスの異常時間 ] リスク指標が追加され、[アラート] パネルに アラート が表示されます。

アプリケーションアクセスリスク指標の異常な時間を分析する方法は?

セッションにログオンし、非稼働時間中に初めてアプリケーションにアクセスしようとするユーザー Georgina Kalou を考えてみましょう。

Georgina Kalouのタイムラインから、報告された「アプリケーションアクセスリスクの異常な時間」指標を選択できます。イベントの理由は、アプリケーションの名前、アクセス元のタイムゾーンなどの詳細とともに表示されます。

ユーザーについて報告された、異常なアプリケーションアクセスリスク指標を表示するには、[セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。

アプリケーションアクセスの異常な時間

  • WHAT HAPPENED 」セクションでは、イベントの概要を表示できます。アクセスされた新規アプリケーションの数、およびアクセスされた日時を表示できます。

アプリケーションアクセスの異常な時間

  • EVENT Details 」セクションでは、イベントがグラフィカルおよび表形式で表示されます。イベントはグラフに個別のエントリとして表示され、テーブルにはイベントに関する次の重要な情報が表示されます。

    • 時間:アプリケーションにアクセスした時刻。

    • アプリケーション名。アクセスされたアプリケーションの名前。

    • タイムゾーン。アプリケーションへのアクセス元のタイムゾーン。

    アプリケーションアクセスイベントの詳細の異常な時間

ユーザーに適用できるアクション

ユーザーのアカウントでは、次のアクションを実行できます。

  • ウォッチリストに追加します。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。

  • 管理者に通知します。ユーザーのアカウントに異常なアクティビティや疑わしいアクティビティがある場合は、すべてのCitrix Cloud管理者に電子メール通知が送信されます。

  • ユーザーをログオフします。ユーザーが自分のアカウントからログオフすると、Virtual Desktops からリソースにアクセスできません。

  • セッションの記録を開始します。ユーザーのVirtual Desktops アカウントに異常なイベントが発生した場合、管理者は今後のログオンセッションのユーザーのアクティビティの記録を開始できます。ただし、ユーザーがVirtual Apps およびデスクトップ 7.18 以降のバージョンを使用している場合、管理者は動的にユーザーの現在のログオンセッションの記録を開始および停止できます。

アクションの詳細とアクションを手動で設定する方法については、「ポリシーとアクション」を参照してください。

ユーザーにアクションを手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューからアクションを選択し、[ 適用 ] をクリックします。

Citrix Virtual Apps and Desktops のリスク指標