Citrix Analytics for Security

ユーザーリスクタイムライン

ユーザーのプロファイルのユーザーリスクタイムラインでは、Citrix Analytics 管理者として、ユーザーの危険な行動についてより深い洞察を得ることができます。デフォルトでは、過去 1 か月分のユーザーリスクタイムラインが表示されます。また、選択した期間にアカウントで実行された対応するアクションも確認できます。ユーザーリスクタイムラインから、ユーザーのプロファイルを深く掘り下げて、次のことを理解できます。

  • データの使用状況

  • デバイスの使用状況

  • アプリケーションの使用状況

  • 場所の使用状況

さらに、ユーザーのリスクスコアとリスク指標の傾向を表示し、ユーザーが高リスクユーザーであるかどうかを判断できます。

ユーザーのリスクタイムラインに移動すると、アカウントに適用されているリスク指標またはアクションを選択できます。上記のいずれかを選択すると、右ペインにリスク指標セクションまたはアクションセクションが表示されます。

リスクタイムライン

リスクタイムラインには、次の情報が表示されます。

  • リスク指標。リスク指標は、疑わしいユーザーアクティビティや、組織にセキュリティ上の脅威を与える可能性のあるユーザーアクティビティです。リスク指標は、ユーザーの動作が通常の動作から逸脱したときにトリガーされます。リスク指標は、次のデータソースに対して使用できます。

    • Citrix Content Collaboration

    • Citrix Gateway

    • Citrix Endpoint Management

    • Citrix Virtual Apps and Desktops / Citrix Workspace

    • Citrix Access Control

    ユーザーのタイムラインからリスク指標を選択すると、リスク指標情報セクションが右ペインに表示されます。リスク指標の理由とイベントの詳細を表示できます。これらの項目は、次のセクションに大きく分類されます。

    リスクタイムライン情報セクション

    • WHAT HAPPENED。リスク指標の概要をここで確認できます。たとえば、[過剰なファイル共有] リスク指標を選択したとします。[実行内容] セクションでは、受信者に送信された共有リンクの数と、共有イベントが発生した日時を表示できます。

    • EVENT DETAILS。個々のイベントエントリは、イベントの詳細とともに、グラフ形式および表形式で表示できます。[イベント検索] をクリックして、セルフサービス検索ページにアクセスし、ユーザーのリスクインディケーターに対応するイベントを表示します。詳しくは、「セルフサービス検索」を参照してください。

    • 追加のコンテキスト情報。このセクションでは、イベントの発生時に共有されているデータ (存在する場合) を表示できます。

    詳細は次を参照してください:リスク指標

  • アクション。アクションは、疑わしいイベントに応答し、将来の異常なイベントが発生するのを防ぐのに役立ちます。ユーザーのプロファイルに適用されたアクションは、リスクタイムラインに表示されます。これらのアクションは、構成済みのポリシーを通じてユーザーのアカウントに自動的に適用されるか、手動で特定のアクションを適用できます。

    詳細は次を参照してください:ポリシーとアクション

    リスクタイムラインのアクション

  • 特権ユーザーイベント。特権ユーザーイベントは、ユーザーの管理者権限または管理者権限ステータスが変更されるたびにトリガーされます。ユーザに対してリスク指標がトリガーされると、指定した権限ステータス変更イベントと相互に関連付けることができます。必要に応じて、ユーザープロファイルに適切なアクションを適用できます。ユーザーリスクタイムラインに表示される管理者特権イベントまたは管理者特権イベントは次のとおりです。

    • エグゼクティブグループに追加

    • エグゼクティブグループから削除されました

    • 管理者に昇格された権限

    • 管理者権限が削除されました

    エグゼクティブ特権グループ CitrixAnalyticsに追加されたユーザー「Adam Maxwell」を考えてみましょう。エグゼクティブグループに追加されたイベントは、ユーザーのリスクタイムラインに追加されます 。さて、アダムはファイルやフォルダの過度の削除を開始し、異常な動作を検出した機械学習アルゴリズムをトリガーします。過度のファイルまたはフォルダーの削除 リスク指標は、ユーザーのリスクタイムラインに追加されます。リスクタイムライン上のイベントとリスク指標を比較できます。比較後、リスク指標がイベントの結果としてトリガーされたかどうかを判断できます。その場合は、Adam のプロフィールに適切なアクションを適用できます。特権ユーザーについて詳しくは、「特権ユーザー」を参照してください。

ユーザーのタイムラインからイベントを選択すると、イベント情報セクションが右側のペインに表示されます。

エグゼクティブの場合、右ウィンドウには、 ユーザーのステータス日付と時刻Active Directory グループなどの情報が表示されます。

特権ユーザー

管理者特権イベントの場合、右ペインには、 ユーザーステータス日時、製品内などの情報が表示されます。

ユーザーリスクタイムライン