Citrix Analytics for Security

SSplunk k向けCitrix Analytics ダッシュボード

この機能はプレビュー段階です。

前提要件

次のCitrix Analytics ダッシュボードを使用するには、 SSplunk 用のCitrix Analytics アプリが構成およびセットアップ済みであることを確認します

ユーザーリスクスコアの概要

このダッシュボードには、組織内のリスクの高いユーザーの統合ビューが表示されます。ユーザーは、リスクレベル(高、中、低)によって分類されます。リスクレベルはユーザーアクティビティの異常に基づいており、したがってリスクスコアが割り当てられます。リスクの高いユーザーのタイプの詳細については、「ユーザー」 ダッシュボードを参照してください

このダッシュボードを表示するには、[ Citrix Analytics-ダッシュボード]>[Citrix Analytics-ユーザーリスクスコアの概要]をクリックします。

[リスクスコアの概要] ドロップダウンリスト

プリセットされた時間範囲またはカスタムの時間範囲を選択して、危険なユーザーのタイムラインとその詳細を表示します。

リスクスコアの概要ダッシュボード 1

Risky Users テーブルには、次の情報が表示されます。

  • ユーザー:ユーザー名を示します。ユーザー名をクリックすると、[Citrix Analytics-エンティティの詳細]ダッシュボードでユーザーの危険な動作に関する詳細が表示されます。

  • 侵害されたエンドポイントのリスクが見つかりました:侵害されたエンドポイントのリスクカテゴリに属するユーザーによってトリガーされたリスク指標の数を示します。

  • 侵害されたユーザーのリスクが見つかりました:侵害されたユーザーのリスクカテゴリに属するユーザーによってトリガーされたリスク指標の数を示します。

  • データ漏洩リスクが見つかりました:データ漏洩リスクカテゴリに属するユーザーによってトリガーされたリスク指標の数を示します。

  • 内部脅威リスクが見つかりました:内部脅威リスクカテゴリに属するユーザーによってトリガーされるリスク指標の数を示します。

  • リスクスコア:ユーザーのリスクスコアを示します。

また、ユーザー名でユーザーを検索し、必要な詳細を取得することもできます。

詳細については、「 リスクカテゴリ」を参照してください。

危険なユーザーリスト

リスク指標の概要

ダッシュボードには、組織内のユーザーによってトリガーされたリスク指標の統合ビューが表示されます。

ダッシュボードを表示するには、[ Citrix Analytics-ダッシュボード]>[Citrix Analytics-リスク指標の概要]をクリックします。

リスク指標の概要メニュー

レポートを表示するカテゴリを選択

1 つ以上のカテゴリを選択して、リスク指標を検索します。

  • 時間範囲:事前設定された時間範囲またはカスタム時間範囲を選択して、その期間のトリガーされたリスク指標を表示します。

  • リスク指標の種類:リスク指標の種類として、組み込みまたはカスタムを選択します。

  • エンティティタイプ:ユーザーまたは共有 ID を選択して、関連するリスク指標を表示します。共有 ID は、Citrix Content Collaboration のリスク指標にのみ関連付けられます。

  • グループ:データソース、指標カテゴリ、指標名、指標タイプ、またはエンティティタイプ別にユーザーイベントをグループ化し、関連するリスク指標を表示するための条件を選択します。

    リスク指標の概要カテゴリ

レポートを表示

次のレポートを使用して、1 つ以上のカテゴリを選択してリスク指標の詳細を表示します。

  • トリガーされたリスク指標の数:選択した期間にトリガーされたリスク指標の数が表示されます。このレポートを使用して、危険な活動のパターンと領域を特定します。また、組織内でリスクの高いアクティビティを特定します。

  • リスク指標イベントの合計および個別エンティティ数:リスク指標に対応するイベントの合計と一意のイベントを表示します。このレポートを使用して、組織内の各リスク指標と上位リスク指標の発生を特定します。また、特定のリスク指標をトリガーしたユニークユーザーの数を特定し、リスク指標が大きなユーザーグループまたは小規模のユーザーグループによってトリガーされたかどうかを確認できます。

  • 場所別のリスク指標:場所間でユーザーによってトリガーされたリスク指標の数を表示します。このレポートを使用して、よりリスクの高い活動を示す事業所を特定し、事業所が組織の業務領域外にあるかどうかを確認します。

  • リスク指標の詳細:関連するデータソース、指標カテゴリ、指標の種類、発生回数など、リスク指標の詳細を表示します。

リスク指標の概要レポート 1

リスク指標の概要レポート 2

リスク指標の詳細

ダッシュボードには、ユーザーによってトリガーされた組み込みおよびカスタムリスク指標に関する詳細情報が表示されます。詳しくは、「 Citrix ユーザーリスク指標 」および「 カスタムリスク指標」を参照してください。

ダッシュボードを表示するには、[ Citrix Analytics-ダッシュボード]>[Citrix Analytics]-[リスク指標の詳細]をクリックします。

リスク指標の詳細の選択

カテゴリを選択してレポートを表示します

1 つ以上のカテゴリを選択して、リスク指標の詳細を表示します。

  • 時間範囲:事前設定された時間範囲またはカスタム時間範囲を選択して、その期間のトリガーされたリスク指標の詳細を表示します。

  • エンティティタイプ:ユーザーまたは共有 ID を選択して、関連するリスク指標の詳細を表示します。

  • リスク指標タイプ-詳細を表示するには、組み込みまたはカスタムのリスク指標の種類を選択します。

  • データソース-データソースを選択して、関連するリスク指標の詳細を表示します。

  • リスク指標カテゴリ-関連するリスク指標の詳細を表示するには、リスクカテゴリを選択します。

  • リスクインジケータ-詳細を表示するリスクインジケータを選択します。

レポートの表示

たとえば、[リスク指標の選択]リストから、[ 異常な認証失敗(Citrix Content Collaboration)]を選択し、[ 送信]をクリックして、次の情報を表示します。

  • リスク指標に関連付けられた上位 10 ユーザーまたは共有 ID

  • 次のようなリスク指標の詳細

    • トリガーの日時

    • 関連付けられたデータソース

    • 関連リスクカテゴリ

    • 関連付けられたエンティティ ID とエンティティタイプ (ユーザーまたは共有)

    • リスクの重大度-高、中、低

    • ユーザーイベントのリスク確率

    • リスク指標の一意のアイデンティティ (UUID)

      上位 10 エンティティ

リスク指標別上位10エンティティ」で、エンティティをクリックして、 Citrix Analytics-エンティティの詳細ダッシュボードで詳細を表示します

リスク指標の詳細

[ リスク指標の詳細 ] 表の各行をクリックして、選択したリスク指標のイベントの概要、イベントの詳細、および生のイベントを表示します。

リスク指標イベントの概要 ]セクションで、[ Citrix Analytics UI]リンクをクリックして 、SSplunk からセキュリティのためのCitrix Analytics のユーザータイムラインに直接移動します。ユーザータイムラインで、リスク指標、関連するイベント、およびユーザーに適用されたアクションを表示します。

イベントの概要とイベントの詳細について詳しくは、「 SIEMのCitrix Analytics データ形式」を参照してください。

イベントサマリーの詳細

エンティティの詳細

ダッシュボードを使用して、エンティティ (ユーザーまたは共有 ID) とその危険な動作に関する詳細を表示します。

ダッシュボードを表示するには、[ Citrix Analytics]-[ダッシュボード]>[Citrix Analytics-エンティティの詳細]をクリックします。

イベント詳細の選択

レポートを表示する

時間範囲とエンティティ(ユーザー名または共有 ID)を入力し、[送信( Submit )] をクリックして詳細情報を表示します。

または、次のダッシュボードからエンティティに関する詳細情報を表示することもできます。

  • Citrix Analytics-リスク指標の詳細」で、「 リスク指標別上位10エンティティ」に移動し、エンティティをクリックします。

    エンティティビュー

  • Citrix Analytics-リスクスコアの概要で、「 危険なユーザー」に移動し、ユーザー名をクリックします。

    ユーザー名の選択

次の詳細情報が表示されます。

  • 選択した期間における現在のリスクスコアとリスクスコアのタイムライン。

  • リスク指標の割合分布。エンティティの危険なアクティビティのパターンを分析するのに役立ちます。

  • リスク指標の地理的分布。異常な場所と高リスクの場所を特定するのに役立ちます。

  • リスクの高いアクティビティに関連するクライアント IP の詳細。

  • 危険なアクティビティに関連付けられているユーザーデバイスの詳細。

  • 関連するデータソース、リスクカテゴリ、リスクの重大度などのリスク指標の詳細。

  • アプリケーションの使用状況、デバイスの使用状況、アクセスされた場所、共有ファイルなどの使用状況メトリック。

    エンティティ詳細ビュー 1

    エンティティ詳細ビュー 2

リスクの高いアクティビティに関連するクライアント IP およびユーザデバイスを、Splunk で接続されている他のセキュリティソースから収集されたイベントと関連付けます。たとえば、[ クライアント IP の詳細 ] テーブルの行をクリックします。

クライアント IP の詳細

Citrix Analytics イベント相関ダッシュボードでは 、(インデックスとソースタイプに基づいて)他のセキュリティデータソースと相関する、選択したクライアントIPに関連付けられたイベントを表示できます。これらのイベントは、クライアント IP に関連する悪意のあるアクティビティに関するより深い洞察を提供します。

イベント相関ダッシュボード

ユーザープロファイルの概要

ダッシュボードを使用して、組織内のユーザーに関連付けられているイベントメトリックを表示します。

ダッシュボードを表示するには、[ Citrix Analytics]-[ダッシュボード]>[Citrix Analytics]-[ユーザープロファイルの概要]をクリックします。

ユーザープロファイルの概要の選択

イベントを表示する

時間範囲を選択し、次のメトリックを表示します。

  • ユーザーが使用するアプリケーションの上位 10

  • ユーザーが使用しているデバイスの上位 10

  • ユーザーが使用する上位 10 の場所

  • 使用されている Web アプリケーションと SaaS アプリケーションの数

  • 使用されたデバイスの数

  • 複数のロケーションでアクセスしたユーザーの数

  • アップロード、ダウンロード、共有ファイルなどのデータ使用量メトリクス

これらの指標は、組織内のユーザーアクティビティに関するインサイトを提供します。最上位のアプリケーションとデバイス、使用パターン、非準拠のデバイスとアプリケーション、異常な場所、危険なアクセス、および異常なファイルアクティビティを特定できます。

ユーザープロファイルの概要

受信したイベント

ダッシュボードを使用して、Citrix Analytics for Securityから受信したイベントを表示します。イベントは、ユーザアクティビティのタイプを示します。

ダッシュボードを表示するには、[ Citrix Analytics]-[ダッシュボード]>[Citrix Analytics-受信イベント]をクリックします。

受信イベントの選択

レポートの表示

時間範囲を選択して、受信したさまざまなタイプのイベントを表示および比較します。ダッシュボードには、次の情報が表示されます。

  • 受信したイベントの総数:Citrix Analytics for Securityから受信したすべてのイベントの集計で、以下が含まれます。

    • リスク指標イベントの合計:ユーザーによってトリガーされたリスク指標に関連付けられたイベントを示します。

    • リスク指標の詳細イベントの合計:トリガーされたリスク指標の詳細に関連付けられたイベントを示します。

    • リスクスコア変更イベントの合計:ユーザーのリスクスコアの変更に関連するイベントを示します。

    • ユーザープロファイルのリスクスコアイベントの合計:ユーザーのリスクスコアに関連付けられたイベントを示します。

    • ユーザープロファイルアプリケーションイベントの合計:ユーザーが使用するアプリケーションに関連付けられているイベントを示します。

    • ユーザープロファイルデバイスイベントの合計:ユーザーが使用するデバイスに関連付けられているイベントを示します。

    • ユーザープロファイルデータ使用イベント合計:ユーザーのデータ使用量に関連するイベントを示します。

    • ユーザプロファイルロケーションイベントの合計:ユーザがアクセスしたロケーションに関連付けられたイベントを示します。

      受信イベントダッシュボード

イベント相関の例

ダッシュボードを使用して、Citrix Analytics for Securityから受信したイベントを、SSplunk で構成された他のセキュリティデータソースから収集されたイベントと関連付けます。複数のデータソースから収集されたユーザーの危険なアクティビティに関するより深い洞察を得て、イベント間の関係を見つけ、脅威を特定します。

ダッシュボードを表示するには、[ SIEM相関-サンプルダッシュボード] > [Citrix Analytics イベントの相関] をクリックします。

イベント相関の選択

前提条件

相関関係を実行するには、次のことを確認します。

  • 関連付けを行うには、他のセキュリティデータソースからのイベントが必要です。たとえば、Splunk で設定されている他のデータソースから受信したユーザ、デバイス、クライアント IP アドレスに関連付けられたイベントなどです。

  • 構成時に相関インデックスがすでに定義されている必要があります。

イベントの関連付け

Citrix Analytics for Securityによって検出されたリスクの高いエンティティとリスクの高いIPアドレスを表示できます。これらのイベントを他のデータソース (インデックスとソースタイプで定義) に関連付けるには、テーブルからエンティティまたは IP アドレスをクリックします。

上位の危険なイベント

クエリフィールドに表示されるインデックス値は、アプリの設定時に定義されます。要件に基づいて、インデックス値を別のセキュリティデータソースに変更できます。

他のデータソースからのイベント

イベントがない場合のトラブルシューティング

すべてのダッシュボードでイベントが見つからない場合は、Splunk向けCitrix AnalyticsアプリおよびSSplunk 用のCitrix AnCitrix Analytics アドオンの構成の問題が原因である可能性があります。このようなシナリオでは、インデックス値とソースタイプの値を確認します。インデックスとソースタイプの値がアプリとアドオンの両方で同じであることを確認します。

Splunk 用 Citrix Analytics アプリケーションの構成設定を表示するには:

  1. [ アプリ] > [アプリの管理] をクリックします。

    設定アプリ

  2. リストから Splunk 向け Citrix Analytics アプリを探します。[ セットアップ] をクリックします。

    セットアップ

  3. ソースタイプとインデックスを確認します。

    ソースタイプ

Splunk 向け Citrix Analytics アドオンの構成設定を表示するには:

  1. [ 設定] > [データ入力] をクリックします。

    データ入力

  2. Citrix Analytics アドオン]をクリックします。

    [追加] を選択します

  3. イベントを取得するテナントをクリックします。

  4. [ その他の設定]を選択します。

    構成

  5. ソースタイプとインデックスを確認します。

    ソースタイプ

構成について詳しくは、「 Splunk 用の Citrix Analytics アドオンを構成する」を参照してください。

SSplunk k向けCitrix Analytics ダッシュボード