ユーザーリスクのタイムラインとプロファイル
Note
Attention: Citrix Content Collaboration™ および ShareFile は、サポート終了 (EOL) に達し、ユーザーは利用できなくなりました。
ユーザープロファイル上のユーザーリスクタイムラインにより、Citrix Analytics 管理者はユーザーの危険な行動についてより深い洞察を得ることができます。デフォルトでは、ユーザーリスクタイムラインは過去 1 か月間表示されます。選択した期間にアカウントに対して実行された対応するアクションも確認できます。ユーザーリスクタイムラインから、ユーザープロファイルをさらに深く掘り下げて、以下を理解できます。
- アプリケーションの使用状況
- データの使用状況
- デバイスの使用状況
- 場所の使用状況
また、ユーザーのリスクスコアとリスクインジケーターの傾向を表示し、そのユーザーがハイリスクユーザーであるかどうかを判断できます。
ユーザーの最新のリスクスコアは、ユーザーリスクタイムラインページの左上隅に表示されます。リスク概要ビューレポートには、最新のスコアと過去の最大スコアの両方が表示されます。
ユーザーのリスクタイムラインに移動すると、リスクインジケーターまたはアカウントに適用されたアクションのいずれかを選択できます。上記のいずれかを選択すると、右側のペインにリスクインジケーターセクションまたはアクションセクションが表示されます。
リスクタイムライン
リスクタイムラインには、次の情報が表示されます。
-
リスクインジケーター。リスクインジケーターは、疑わしい、または組織にセキュリティ上の脅威をもたらす可能性のあるユーザーアクティビティです。インジケーターは、ユーザーの行動が通常の行動から逸脱した場合にトリガーされます。リスクインジケーターは、次のデータソースに対して設定できます。
-
Citrix Content Collaboration
-
Citrix Gateway
-
Citrix Endpoint Management™
-
Citrix Virtual Apps and Desktops または Citrix DaaS (旧称 Citrix Virtual Apps and Desktops サービス)
-
Citrix Secure Private Access
ユーザーのタイムラインからリスクインジケーターを選択すると、右側のペインにリスクインジケーター情報セクションが表示されます。リスクインジケーターの理由とイベントの詳細を確認できます。これらは、次のセクションに大別されます。
-
何が起こったか。ここでは、リスクインジケーターの概要を確認できます。たとえば、過剰なファイル共有リスクインジケーターを選択した場合、「何が起こったか」セクションで、受信者に送信された共有リンクの数と共有イベントが発生した日時を確認できます。
-
イベントの詳細。個々のイベントエントリをグラフィカル形式と表形式で、イベントの詳細とともに表示できます。イベント検索をクリックして、セルフサービス検索ページにアクセスし、ユーザーのリスクインジケーターに対応するイベントを表示します。詳細については、「セルフサービス検索」を参照してください。
-
追加のコンテキスト情報。このセクションでは、イベントの発生中に共有されたデータがある場合、それを表示できます。
リスクインジケーターは、手動で役立つか役立たないかをマークできます。詳細については、「ユーザーリスクインジケーターのフィードバックを提供する」を参照してください。
詳細情報: リスクインジケーター
-
-
アクション。アクションは、疑わしいイベントに対応し、将来の異常なイベントの発生を防ぐのに役立ちます。ユーザープロファイルに適用されたアクションは、リスクタイムラインに表示されます。これらのアクションは、構成されたポリシーを通じてユーザーアカウントに自動的に適用されるか、特定のアクションを手動で適用できます。
詳細情報: ポリシーとアクション。
-
特権ユーザーイベント。特権ユーザーイベントは、ユーザーの管理者またはエグゼクティブの特権ステータスに変更があるたびにトリガーされます。ユーザーに対してリスクインジケーターがトリガーされた場合、指定された特権ステータス変更イベントと関連付けることができます。必要に応じて、ユーザープロファイルに適切なアクションを適用できます。ユーザーリスクタイムラインに表示される管理者またはエグゼクティブの特権イベントは次のとおりです。
-
エグゼクティブグループに追加済み
-
エグゼクティブグループから削除済み
-
特権が管理者に昇格済み
-
管理者特権が削除済み
エグゼクティブ特権グループ CitrixAnalytics に追加されたユーザー Adam Maxwell を考えてみましょう。エグゼクティブグループに追加済みイベントがユーザーのリスクタイムラインに追加されます。次に、Adam がファイルとフォルダーを過剰に削除し始め、異常な行動を検出する機械学習アルゴリズムをトリガーします。過剰なファイルまたはフォルダーの削除リスクインジケーターがユーザーのリスクタイムラインに追加されます。リスクタイムラインでイベントとリスクインジケーターを比較できます。比較後、リスクインジケーターがイベントの結果としてトリガーされたかどうかを判断できます。その場合、Adam のプロファイルに適切なアクションを適用できます。特権ユーザーの詳細については、「特権ユーザー」を参照してください。
-
ユーザーのタイムラインからイベントを選択すると、右側のペインにイベント情報セクションが表示されます。
エグゼクティブの場合、右側のペインには、ユーザーの状態、日付と時刻、Active Directory グループなどの情報が表示されます。
管理者特権イベントの場合、右側のペインには、ユーザーの状態、日付と時刻、製品内などの情報が表示されます。
リスク概要
ユーザーのリスクスコアに寄与した、ユーザーに関連付けられたリスク要因を表示します。選択した期間の最大値として取得されたリスクスコアの詳細と、最新のスコアおよび対応するリスクインジケーターの数を確認できます。メインランディングページまたは危険なユーザーページからユーザータイムラインに移動すると、時間の選択はソースページから保持されます。リスク要因の詳細については、「Citrix ユーザーリスクインジケーター」を参照してください。
リスク概要をクリックして、次の情報を表示します。
-
最新のリスクスコア。最新のリスクスコアは、最近の行動に基づいたユーザーの現在のリスクを示します。リスクスコアは、過去 2 週間の期間にユーザーが組織にもたらすリスクのレベルを決定します。リスクスコアの値は動的であり、ユーザー行動分析に基づいて変化します。スコアに基づいて、ユーザーは次のいずれかのカテゴリに分類されます。ハイリスクユーザー、中リスクユーザー、低リスクユーザー、およびリスクスコアがゼロのユーザー。ユーザーカテゴリの詳細については、「ユーザーダッシュボード」を参照してください。
- インジケーターの合計発生回数。過去 2 週間にユーザーによってトリガーされたリスクインジケーターの合計数を示します。これらのトリガーされたリスクインジケーターは、ユーザーのリスクスコアを決定します。
-
最高リスクスコア。最高リスクスコアは、選択した期間内にこのユーザーに対して計算されたリスクスコアの最大値を示します。これはユーザーの集計リスクを表すものであり、必ずしも最新のリスクスコアと等しいとは限りません。
-
リスク要因。リスクスコアに寄与したユーザーアクティビティに関連付けられたリスク要因の 1 つ以上の組み合わせを示します。
-
リスクの内訳。各リスク要因に対してユーザーによってトリガーされたリスクインジケーターの数を示します。行を展開して詳細を表示します。
ユーザータイムラインで、フィルターをクリックし、ユーザーに関連付けられたリスク要因、適用されたアクション、または特権ユーザーの状態を選択して、対応するイベントを表示します。
ユーザープロファイル
ユーザープロファイルページには、ユーザーの Active Directory から取得される次のユーザー情報が表示されます。
- 役職
- 住所
- メール
- 電話
- 場所
- 組織
