Citrix Analytics for Security

ユーザーリスクのタイムラインとプロファイル

ユーザーのプロファイルのユーザーリスクタイムラインを使用すると、Citrix Analytics 管理者は、ユーザーのリスクの高い行動に関するより深い洞察を得ることができます。デフォルトでは、過去 1 か月間のユーザーリスクタイムラインが表示されます。また、選択した期間にアカウントで実行された対応するアクションを確認することもできます。ユーザーリスクタイムラインから、ユーザーのプロファイルを深く掘り下げて、次のことを理解できます。

また、ユーザーのリスクスコアとリスク指標の傾向を表示し、ユーザーがリスクの高いユーザーであるかどうかを判断できます。

ユーザーのリスクタイムラインに移動すると、リスク指標またはアカウントに適用されているアクションのいずれかを選択できます。上記のいずれかを選択すると、右側のペインにリスク指標セクションまたはアクションセクションが表示されます。

リスクタイムライン

リスクタイムライン

リスクタイムラインには、次の情報が表示されます。

  • リスク指標。リスク指標は、疑わしい、または組織にセキュリティ上の脅威をもたらす可能性のあるユーザーアクティビティです。インジケーターは、ユーザーの行動が通常の動作から逸脱したときにトリガーされます。リスク指標は、次のデータソースの場合があります。

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops または Citrix DaaS (旧Citrix Virtual Apps and Desktops サービス)

    • Citrix Secure Private Access

    ユーザーのタイムラインからリスク指標を選択すると、右側のペインにリスク指標情報セクションが表示されます。リスク指標の理由をイベントの詳細とともに表示できます。これらは、次のセクションに大きく分類されます。

    リスクタイムライン情報セクション

    • 何が起こったのですか。リスク指標の概要は、こちらで確認できます。たとえば、[ 過剰なファイル共有 ] リスク指標を選択した場合などです。[何が起こったか] セクションでは、受信者に送信された共有リンクの数と、共有イベントがいつ発生したかを確認できます。

    • イベントの詳細。個々のイベントエントリは、イベントの詳細とともにグラフ形式および表形式で表示できます。[ イベント検索 ] をクリックして、セルフサービス検索ページにアクセスし、ユーザーのリスク指標に対応するイベントを表示します。詳細については、「 セルフサービス検索」を参照してください。

    • 追加のコンテキスト情報。このセクションでは、イベントの発生中に共有されたデータがある場合は、そのデータを表示できます。

    詳細: リスク指標

  • アクション。アクションは、疑わしいイベントに対応し、将来の異常イベントの発生を防ぐのに役立ちます。ユーザーのプロファイルに適用されたアクションは、リスクタイムラインに表示されます。これらのアクションは、構成されたポリシーを通じてユーザーのアカウントに自動的に適用されるか、または手動で特定のアクションを適用できます。

    詳細: ポリシーとアクション

    リスクタイムラインアクション

  • 特権ユーザーイベント。特権ユーザイベントは、ユーザの Admin または Executive 権限ステータスが変更されるたびにトリガされます。ユーザーに対してリスク指標がトリガーされると、その指標を指定された特権ステータス変更イベントに関連付けることができます。必要に応じて、ユーザープロファイルに適切なアクションを適用できます。ユーザーリスクタイムラインに表示される管理者またはエグゼクティブ権限イベントは次のとおりです。

    • エグゼクティブグループに追加されました

    • エグゼクティブグループから削除されました

    • 特権が管理者に昇格されました

    • 管理者権限が削除されました

    エグゼクティブ特権グループ CitrixAnalyticsに追加されたユーザー Adam Maxwell を考えてみましょう。 Executive グループに追加イベントがユーザーのリスクタイムラインに追加されます 。現在、Adamはファイルとフォルダの過剰な削除を開始し、異常な動作を検出した機械学習アルゴリズムをトリガーします。ファイルやフォルダの過剰な削除リスクインジケータがユーザーのリスクタイムラインに追加されます 。リスクタイムラインでイベントとリスク指標を比較できます。比較後、リスク指標がイベントの結果としてトリガーされたかどうかを判断できます。その場合は、Adam のプロファイルに適切なアクションを適用できます。特権ユーザーの詳細については、「 特権ユーザー」を参照してください。

ユーザのタイムラインからイベントを選択すると、右側のペインにイベント情報セクションが表示されます。

エグゼクティブの場合、右側のペインには、 ユーザーステータス日付と時刻Active Directory グループなどの情報が表示されます

特権ユーザー

管理者権限イベントの場合、右側のペインには、 ユーザーステータス日付と時刻、および製品内の情報が表示されます**

リスクサマリー

リスクスコアに貢献したユーザーに関連付けられているリスク要因を表示します。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。

リスクサマリー

[ リスクの概要 ] をクリックして、次の情報を表示します。

  • 指標発生回数の合計:過去 2 週間にユーザーによってトリガーされたリスク指標の総数を示します。これらのトリガーされたリスク指標は、ユーザーのリスクスコアを決定します。

  • リスクスコア:リスクのある行動に基づくユーザーのリスクスコアを示します。リスクスコアは、特定の期間にユーザーが組織に提起するリスクのレベルを決定します。リスクスコアの値は動的で、ユーザー行動分析に基づいて変化します。リスクスコアに基づいて、ユーザーは、高リスクユーザー、中リスクユーザー、低リスクユーザー、およびリスクスコアがゼロのユーザーのいずれかのカテゴリに分類できます。ユーザーカテゴリの詳細については、「 ユーザーダッシュボード」を参照してください。

  • リスク要因:リスクスコアの原因となったユーザーアクティビティに関連するリスク要因の 1 つ以上の組み合わせを示します。

  • リスクの内訳:リスク要因ごとにユーザーがトリガーしたリスク指標の数を示します。行を展開して詳細を表示します。

    リスク要因

ユーザータイムラインで、[ フィルタ ] をクリックし、リスク要因、適用されたアクション、またはユーザーに関連付けられている特権ユーザーのステータスを選択し、対応するイベントを表示します。

タイムラインフィルタ

ユーザープロフィール

ユーザプロファイルには、次の情報が表示されます。

高度なユーザープロファイル

注:

現在、 認証データとドメインデータは 、ユーザー情報プロファイルでは使用できません。

Application

この期間中にユーザーがアクセスしたアプリケーションの数。Citrix Analytics は、 Citrix Virtual Apps and Desktops または Citrix DaaS (以前のCitrix Virtual Apps and Desktops サービス)からこのデータを収集します。ユーザー名をクリックし、[ ユーザー情報 ] に移動して、ユーザーが使用するアプリケーションの名前と数を表示します。右上隅の [ Trend View] リンクには、特定の期間のユーザーのアプリケーション履歴がグラフィカルに表示されます。

ユーザー情報データ使用量

データ使用量

ユーザーが消費するデータの量には、アップロードまたはダウンロードされたデータ、アップロードまたはダウンロードされたファイル、共有または削除されたファイルが含まれます。Citrix Analytics は、このデータをCitrix Content Collaboration から収集します。ユーザー名をクリックし、[ユーザー情報] に移動して、そのユーザーのデータ使用状況の詳細を表示します。[ Trend View] リンクは、特定の期間におけるユーザーのデータ使用履歴をグラフィカルに表示します。

ユーザー情報データ使用量

デバイス

ユーザーがデータソースにアクセスするために使用するデバイスの数。Citrix AnalyticsはこのデータをCitrix Endpoint ManagementおよびCitrix Virtual Apps and DesktopsまたはCitrix DaaSから収集されます。ユーザー名をクリックし、[ ユーザー情報 ] に移動して、ユーザーが使用しているデバイスの名前と数を表示します。右上隅にある [ Trend View] リンクには、特定の期間のユーザーのデバイス履歴がグラフィカルに表示されます。

ユーザー情報デバイス

所在地

ユーザーがデータソースにログオンした場所。Citrix Analytics は、Citrix Content Collaboration、Citrix Gateway、 Citrix Virtual Apps and DesktopsCitrix DaaSまたはからデータを収集します。ユーザー名をクリックし、[ ユーザー情報 ] に移動して、ユーザーがデータにアクセスした場所と、それらの場所からのログオン数を表示します。右上隅の [マップビュー] リンクには、特定の期間のユーザーのログオン場所の履歴が表示されます。

ユーザー情報 - 場所

ユーザーリスクのタイムラインとプロファイル