Citrix Analytics for Security

ポリシーのセルフサービス検索

Citrix Analytics を使用すると、ユーザーアカウントで異常なイベントや疑わしいイベントのポリシーを適用しますを作成してアクションを実行できます。ユーザーイベントが定義したポリシーに一致すると、アクションがユーザーアカウントに自動的に適用され、脅威を切り離し、将来の異常なイベントが発生しないようにします。セルフサービス検索を使用すると、定義したポリシーを満たしたユーザーイベントを表示し、これらの異常イベントに適用されたアクションを表示できます。

検索機能について詳しくは、「セルフサービス検索」を参照してください。

ポリシーデータセットの選択

定義されたポリシーに関連するイベントを表示するには、検索ボックスで、一覧から [ポリシー] を選択します。イベントを表示する期間を選択し、[検索] をクリックします。

ポリシーの選択

デフォルトでは、セルフサービスページには過去 1 か月のイベントが表示されます。このページには、いくつかのファセットと検索ボックスがあり、必要なイベントにフィルタを適用して焦点を当てることができます。

[ポリシー] ページ

[セキュリティ] > [ ユーザー] > [ポリシー とアクション] ダッシュボードから、[ポリシーの セルフサービス検索]ページにアクセスすることもできます。ダッシュボードでポリシーを選択し、ポリシーに関連するユーザーイベントを表示します。詳しくは、「ポリシーとアクション」のダッシュボードを参照してください。

イベントをフィルタリングするファセットを選択

ファセットリストには、ユーザーイベントに適用されたアクションが表示されます。ファセットリストから適用されたアクションを選択し、適用されたアクションに基づいてイベントを表示します。ポリシーの構成時に適用できるアクションについて詳しくは、「[アクションとは]」を参照してください(/ja-jp/security-analytics/policies-and-actions.html#what-are-actions)

ポリシーフィルタ

たとえば、Analytics が「 セッション記録の停止 」アクションを適用したイベントを表示するとします。「 セッション記録の停止 」ファセットと、イベントを表示する期間を選択します。[ 検索 ] をクリックして、イベントを表示します。

ポリシーの例

イベントをフィルタリングする検索クエリを指定する

検索ボックスにカーソルを置くと、ポリシーに関連するイベントのディメンションのリストが表示されます。ディメンションを使用してクエリを指定し、必要なイベントを検索します。

ポリシーディメンション

また、検索クエリで演算子を使用して、検索条件を展開し、必要な結果を取得することもできます。有効な演算子について詳しくは、「検索ボックスで検索クエリを使用してイベントをフィルタリングする」を参照してください。

たとえば、ユーザー「user8」の異常なイベントを表示し、それらのイベントに適用されたアクションが「Disable user」であるとします。

  1. 検索ボックスに「user」と入力して、関連するディメンションを取得します。

    ポリシークエリ 1

  2. ユーザー名 」を選択し、等号演算子を使用して値”user8”を入力します。

    ポリシークエリ 2

  3. AND 演算子を選択し、「 アクション適用済 」ディメンションを選択します。等号演算子を使用して、 アクション適用 の文字列「ユーザーを無効にする」を入力します。

    メモ文字列値に 2 つ以上の単語が含まれている場合は、演算子“”で囲む必要があります。たとえば、「ユーザーを無効にする」、「セッション録画を停止する」などです。

    ポリシークエリ 3

    Action-Appliedで使用できる文字列値を識別するには、ファセットリストを展開し、検索クエリの文字列としてフィルタ名を使用します。

    ポリシーファセット値

  4. 期間を選択し、[検索] をクリックして、 DATA テーブルのイベントを表示します。

ポリシーのセルフサービス検索