Citrix Analytics for Security

Microsoft Sentinel向けCitrix Analytics ワークブック

この機能はプレビュー段階です。

この記事では、Microsoft Sentinelワークスペースで使用できるCitrix Analytics ワークブックについて説明します。

前提条件

Citrix Analytics ワークブックを使用するには、Microsoft Sentinel と Citrix Analytics for Security が既に統合されていることを確認してください。詳細については、「 Microsoft Sentinel の統合」を参照してください。

Citrix Analytics イベントを表示する

Citrix Analytics for SecurityをMicrosoft Sentinelと統合すると、LogstashコネクタはCitrix Analytics for SecurityからMicrosoft Sentinelワークスペースへのイベントのプッシュを開始します。 Azure ポータルで、統合に使用した Microsoft Sentinel ワークスペースを開きます。

Microsoft SentinelがCitrix Analytics for Securityからイベントを受信していることを確認するには、[ ログ]>[カスタムログ]を選択します。

 Sentinelログ

カスタムログ ]セクションでは、Citrix Analytics for Securityから受信したイベントを保存するために自動的に作成されるログテーブルを表示できます。これらのログテーブルは、Citrix Analytics ワークブックのダッシュボードのソースとして機能します。

Citrix Analytics for Securityから送信されたイベントが、Microsoft Sentinelワークスペースに表示されるまでに数時間かかる場合があります。そのため、イベントのログテーブルの作成に遅延が生じることがあります。

Sentinel のアナリティクスログ

Citrix Analytics ワークブックを表示する

ログテーブルが正常に作成されたら、次の操作を実行します。

  1. ワークブック ]を選択して[ Citrix Analytics]を検索します。[ Citrix Analytics]

    アナリティクスワークブック

  2. テンプレートの表示 ]を選択して、Citrix Analytics ワークブックを開きます。

    Citrix Analytics ワークブックを表示

Citrix Analytics ワークブックでは、次のダッシュボードでユーザーイベントを表示できます。

  • ユーザーリスクスコアの概要:組織内のリスクの高いユーザーを統合して表示します。

  • ユーザーの詳細:ユーザーとその危険な行動の詳細が表示されます。

  • ユーザープロファイル:ユーザーに関連付けられたイベントメトリクスを提供します。

  • 受信したイベント:Citrix Analytics for Securityから受信したイベントを提供します。

  • リスク指標の詳細:ユーザーによってトリガーされた組み込みリスク指標とカスタムリスク指標に関する詳細を提供します。

  • リスク指標の概要:ユーザーによってトリガーされたリスク指標をまとめて表示します。

    Sentinel のアナリティクスダッシュボード

ユーザーリスクスコアの概要

このダッシュボードには、組織内のリスクの高いユーザーの統合ビューが表示されます。ユーザーは、リスクレベル(高、中、低)によって分類されます。リスクレベルはユーザーアクティビティの異常に基づいており、したがってリスクスコアが割り当てられます。リスクの高いユーザーのタイプの詳細については、「ユーザー」 ダッシュボードを参照してください

期間を選択して、組織内のリスクの高いユーザーを表示します。

ユーザーリスクスコアの概要

ユーザーの詳細

このダッシュボードには、ユーザーに関連付けられたリスクスコアとリスク指標が表示されます。

ユーザーを検索し、組織に脅威を与える可能性のある危険なアクティビティを表示します。脅威を軽減するために、リスクの重大度に基づいてユーザーアカウントに対して適切なアクションを実行できます。

ユーザーの詳細

ユーザープロフィール

このダッシュボードには、選択した期間におけるユーザーに関連付けられたイベントメトリックの詳細が表示されます。メトリクスは、次のようなユーザーアクティビティに関するインサイトを提供します。

  • ユーザーが使用するアプリケーションの上位 10

  • ユーザーが使用しているデバイスの上位 10

  • ユーザーがログオンした場所の上位 10 か所

このレポートを使用すると、次のことができます。

  • ユーザーの使用傾向を特定する

  • リソースへのアクセスに使用されている非準拠デバイスを検出します。

  • ユーザーからの潜在的に危険なアクセスがないか確認する

    ユーザープロファイルワークブック

受信したイベント

選択した期間について、Citrix Analytics for Securityから受信したイベントの総数を表示できます。受信したイベントの総数には次のものが含まれます。

  • リスク指標サマリー:ユーザーリスク指標のサマリーに関連付けられているイベントを示します。さまざまなリスク指標サマリーイベントの詳細については、「 リスク指標スキーマ」を参照してください。

  • リスク指標イベントの詳細:ユーザーリスク指標の詳細に関連付けられたイベントを示します。さまざまなリスク指標詳細イベントについては、「 リスク指標スキーマ」を参照してください。

  • ユーザープロファイルリスクスコア:ユーザーのリスクスコアに関連付けられたイベントを示します。詳細については、「 ユーザーダッシュボード」を参照してください。

  • リスクスコアの変更:ユーザーのリスクスコアの変更に関連するイベントを示します。詳細については、「 ユーザーダッシュボード」を参照してください。

  • ユーザープロファイルの場所:ユーザーがログオンした場所に関連付けられているイベントを示します。

  • ユーザープロファイルアプリ:ユーザーが使用するアプリケーションに関連付けられているイベントを示します。

  • ユーザープロファイルの使用状況:ユーザーのデータ使用量に関連するイベントを示します。

  • ユーザープロファイルデバイス:ユーザーが使用するデバイスに関連付けられているイベントを示します。

ダッシュボードを定期的に確認することで、Microsoft Sentinel ワークスペースにイベントが適切に流れているかどうかを確認できます。受信したイベントの合計に不一致がある場合は、Citrix Analytics for Securityとの統合の問題を示している可能性があります。問題のデバッグに必要な手順を実行できます。

受信したイベントワークブック

リスク指標の詳細

このダッシュボードには、ユーザーによってトリガーされたリスク指標の詳細が表示されます。

リスク指標の詳細は、1 つ以上のカテゴリを選択して表示できます。

リスク指標の概要

このダッシュボードには、ユーザーによってトリガーされたすべてのリスク指標が統合されたビューが表示されます。

リスク指標を表示するには、1 つ以上のカテゴリを選択します。

Microsoft Sentinel向けCitrix Analytics ワークブック