ユーザーダッシュボード
[ユーザー] ダッシュボードは、ユーザーの動作分析と脅威防止の起動ポイントです。
このダッシュボードは、組織全体のユーザー行動パターンを可視化します。このデータを使用して、フィッシング攻撃やランサムウェア攻撃など、標準外の動作をプロアクティブに監視、検出、フラグ設定することができます。デフォルトでは、このダッシュボードには、過去 1 か月間のユーザーのリスクプロファイルが表示されます。
ユーザーダッシュボードには、次のセクションがあります。
-
「検出されたユーザー」を参照してください。Analytics を有効にしたデータソースを使用している組織内のユーザーの合計数。ダッシュボードのリンクをクリックすると、Citrix Analytics によって検出されたユーザーの完全なリストが表示されます。
-
「リスクの高いユーザー」を参照してください。危険な方法で行動したユーザー、または危険な行動を起こしたユーザー。アカウントに関連付けられているリスクスコア、最も高いリスクスコアの変更、リスク指標、リスク指標オカレンス、およびリスク指標の発生の変化を持つリスクユーザーのリスト。上部の [リスクの高いユーザー] リンクをクリックするか、[リスクの高いユーザー] ペインの [詳細を表示] リンクをクリックします。すべてのリスクの高いユーザーとリスク指標を表示できます。
-
「リスクの高いユーザー」を参照してください。組織に対する即時の脅威を表すユーザー。リンクをクリックすると、すべての高リスクユーザーのリストと、そのユーザーがトリガーしたリスク指標が表示されます。
-
「中リスクのユーザー」を参照してください。アカウントに重大な違反が複数ある可能性があるため、注意深く監視する必要があるユーザー。リンクをクリックすると、すべての中リスクユーザーのリストと、ユーザーがトリガーしたリスク指標が表示されます。
-
「低リスクユーザー」を参照してください。アカウントで何らかの違反が検出されたが、脅威ではない可能性があるユーザー。リンクをクリックすると、すべての低リスクユーザーのリストと、そのユーザーがトリガーしたリスク指標が表示されます。
-
「ウォッチリスト内のユーザー」を参照してください。管理者は、密接に監視しているユーザー。ウォッチリストに追加されたユーザーのリスト を表示するには、[ウォッチリストの ユーザー] ボックスまたは [ウォッチリストのユーザー] ペインの [詳細を表示] リンクをクリックします。
-
「特権ユーザー」を参照してください。組織内の機密データを表示したり、重要なシステム設定を変更したりできるユーザー。[特権ユーザー] ペインの [特権ユーザー] リンクまたは [詳細を表示] リンクをクリックして、すべての特権ユーザーのリストを表示します。
-
「リスク指標」を参照してください。上位 5 つのデフォルトおよびカスタムリスク指標を表示します。[リスク指標の概要] ページを表示するには、ペインの下部にある [詳細を表示] をクリックします。
-
「アクセス概要」を参照してください。ユーザーが組織内のリソースにアクセスしようとした合計回数を要約します。
-
「ポリシーとアクション」を参照してください。ユーザープロファイルに適用されたポリシーとアクションの上位 5 つが表示されます。[ポリシーとアクション] ペインの [詳細を表示] リンクをクリックして、適用されたポリシーとアクションの一覧を表示します。
-
「リスクカテゴリ」を参照してください。Citrix Analytics がサポートしているリスクカテゴリを表示します。同様の行動パターンを持つリスク指標は、カテゴリに分類されます。[リスクカテゴリ] ペインの [詳細を表示] をクリックして、各カテゴリの詳細を表示します。
検出されたユーザー
Analytics を有効にしたデータソースを使用している組織内のユーザーの合計数。アカウントに関連付けられたリスクスコアがある場合とそうでない場合があります。[ユーザー] ダッシュボードで検出されたユーザーの数が、リスクの高いユーザーの数よりも多い可能性があります。
ダッシュボードのリンクをクリックすると、Citrix Analytics によって検出されたユーザーの完全なリストが表示されます。
[検出されたユーザー] ページには、一定期間にわたって検出されたすべてのユーザーのリストが表示されます。過去 1 時間、12 時間、1 日、1 週間、または 1 ヶ月のデータを表示できます。
次のインターフェイスマップを使用して、[検出されたユーザー] ページの操作方法を学習します。
![[検出されたユーザー] セクション](/en-us/citrix-analytics/media/discovered-users.png)
次の情報を表示します。
ユーザー
Analyticsによって検出されたすべてのユーザーのリスト。ユーザー名をクリックすると、そのユーザーのユーザー情報とリスクタイムラインが表示されます。ユーザーがリスク指標をトリガーしたかどうか、またはトリガーしていない可能性があります。このユーザーに関連付けられている危険なイベントがない場合は、次のメッセージが表示されます。
ユーザーに関連付けられた危険なイベントがある場合、リスク指標の詳細を含むリスクタイムラインが表示されます。
詳しくは、「リスクタイムライン」を参照してください。
デバイス
ユーザーがデータソースにアクセスするために使用するデバイスの数。Citrix Analytics は、Citrix Endpoint Management およびCitrix Virtual Apps and Desktops からこのデータを収集します。ユーザー名をクリックし、[ユーザー情報] に移動して、ユーザーが使用するデバイスの名前と数を表示します。右上隅にある [トレンドビュー] リンクは、特定の期間のユーザーのデバイス履歴をグラフィカルに表示します。
場所
ユーザーがデータソースにログオンした場所。Citrix Analytics は、Citrix Content Collaboration とCitrix Gateway からデータを収集します。ユーザー名をクリックし、[ユーザー情報 ] に移動して、ユーザーがデータにアクセスした場所の名前と場所の数を表示します。右上にある [マップビュー] リンクをクリックすると、特定の期間のユーザーのログオン位置履歴が表示されます。
データの使用状況
ユーザーが消費するデータの量には、アップロードまたはダウンロードしたデータ、アップロードまたはダウンロードしたファイル、共有または削除されたファイルなどがあります。Citrix Analytics は、Citrix Content Collaboration からこのデータを収集します。ユーザー名をクリックし、[ユーザー情報] に移動して、ユーザーのデータ使用状況の詳細を表示します。[トレンドビュー] リンクは、特定の期間におけるユーザーのデータ使用履歴をグラフィカルに表示します。
使用済みアプリ
この期間中にユーザーがアクセスしたアプリケーションの数。Citrix Analytics は、Citrix Virtual Apps and Desktops からこのデータを収集します。ユーザー名をクリックし、[ユーザー情報] に移動して、ユーザーが使用するアプリケーションの名前と数を表示します。右上隅にある [トレンドビュー] リンクをクリックすると、特定の期間のユーザーのアプリケーション履歴がグラフィカルに表示されます。
アクセス
ユーザーが異なる場所からデータにアクセスした合計回数。ユーザー名をクリックし、[ユーザー情報] に移動して、ユーザーがデータにアクセスした回数を表示します。
たとえば、次の画像では、ユーザー「ShareFileUser」のアクセス回数が「24」であることがわかります。
ここで、ユーザー名をクリックし、[リスクタイムライン] ページの [ユーザー情報] ペインに移動します。このユーザーは、2 つの異なる場所から 24 回アクセスしていることがわかります。
リスクの高いユーザー
リスクのあるイベントが関連付けられ、少なくとも 1 つのリスク指標をトリガーしたユーザーがリスクの高いユーザーとして検出されます。特定の期間にユーザーがネットワークに与える可能性のあるリスクのレベルは、ユーザに関連付けられたリスクスコアによって決まります。リスクスコア値は動的であり、ユーザーの行動分析に基づいています。リスクスコアに基づいて、リスクの高いユーザーは、高リスクユーザー、中リスクユーザー、低リスクユーザーの 3 つのカテゴリに分類できます。
[ユーザー] ダッシュボードでは、リスクの高い上位 5 人のユーザーを最高スコアまたは最高リスク指標の出現に基づいて並べ替えて表示できます。
- [ 最高スコアの変更] をクリックして、一定期間における最高スコアの変化に基づいて、リスクの高い上位5人のユーザーを表示します。
-
[リスク指標] をクリックして、発生回数が最大である上位 5 つのリスク指標を表示します。
-
[リスク指標の変更] をクリックして、発生数の最大変化を伴う上位 5 つのリスク指標を表示します。
上部の [リスクの高いユーザー] リンクをクリックするか、[リスクの高いユーザー] ペインの [詳細を表示] リンクをクリックして、すべてのリスクのあるユーザーのリストとリスク指標を表示します。
[リスクの高いユーザー] ページには、一定期間におけるリスクの高いユーザーの一覧が表示されます。過去 1 時間、12 時間、1 日、1 週間、または 1 ヶ月のデータを表示できます。
次のインターフェイスマップを使用して、[リスクの高いユーザー] ページの操作方法を学習します。
次の情報を表示します。
スコア
スコアまたはリスクスコアは、ユーザーが特定の期間にネットワークに与える可能性のあるリスクのレベルを決定します。リスクスコア値は動的であり、ユーザーの行動分析に基づいています。リスクスコアに基づいて、リスクの高いユーザーは、高リスクユーザー、中リスクユーザー、低リスクユーザーの 3 つのカテゴリに分類できます。
増減
「増減」とは、ある期間におけるリスクスコアの変化です。リスクスコアの変化は、正または負にすることができます。ポジティブなリスクスコアの変化は、マイナス (-) 記号で表されます。これは、ある期間にわたってユーザーのリスクスコアが減少したことを意味します。プラス(+)記号で表される負のリスクスコアの変化。これは、ある期間にわたってユーザーのリスクスコアが増加したことを意味します。たとえば、ユーザーのリスクスコアが前日の 72 で、現在のリスクスコアが 92 の場合、リスクスコアの変化は負で、+20 として計算されます。
アクセス、データ、アプリケーション
ユーザーに対してトリガーされるリスク指標の種類。列には、特定の期間にユーザーに対して発生したさまざまな種類の危険指標の数が表示されます。
ユーザー
Citrix Analytics 機械学習アルゴリズムによって識別されたすべての危険なユーザーのリスト。ユーザー名をクリックすると、そのユーザーのユーザー情報とリスクタイムラインが表示されます。
ユーザーに関連付けられたリスク指標と、リスク指標がトリガーされた時刻がリスクタイムラインに表示されます。各リスク指標をクリックして、詳細を表示します。デバイス、場所、データ使用状況、アプリケーションなどの詳細なユーザー情報を表示するには、[ユーザー情報] をクリックします。
詳細は次を参照してください:リスクタイムライン
注: 現在、認証とドメインのデータは、ユーザー情報プロファイルでは使用できません。
グループ
Active Directory からインポートされたグループが表示されます。Citrix Analytics とActive Directory を統合している場合は、ユーザーグループ名が表示されます。グループ名「 N/A 」は、Citrix Analytics がActive Directory に統合されていないことを示します。
発生回数と発生回数の変化
-
発生回数:選択した期間におけるデフォルトおよびカスタムリスク指標の発生回数の合計。
-
発生回数の変化: 選択した期間におけるデフォルトおよびカスタムリスク指標の発生回数の変化。
正の発生回数の変化はマイナス(-)記号で表されます。これは、リスク指標の発生回数が一定期間で減少したことを意味します。 マイナス発生スコアの変化は、プラス(+)記号で表されます。これは、リスク指標の発生回数が一定期間で増加したことを意味します。 たとえば、現在の時刻または日付にリスク指標が4回発生し、前の時刻または日付に同じリスク指標が6回発生した場合、 これらの2つのリスク指標の発生回数の変化を求める計算式は4-6で、発生回数の変化の「-2」が表示されます。
[データソース] ページから [ユーザー情報] に移動する方法
- [設定] > [データソース] に移動します。
- 任意のデータソースのサイトカードで、ユーザー数を選択します。
- [ ユーザー ] ページでユーザーを選択し、[ ユーザー情報 ] をクリックします。アプリケーション、デバイス、場所、およびデータ使用状況に基づくユーザー情報プロファイルが表示されます。
リスクの高いユーザー
リスクスコアが91~100のユーザー。これらのユーザーは、組織に対する即時の脅威を表します。
[ ユーザー ] ダッシュボードでは、特定の時間における高リスクユーザー数の概要を確認できます。これは、高リスクユーザーの合計数と高リスクユーザーの数の増加を示しています。
たとえば、次の画像は、過去 12 時間のデータを示しています。現在、5 人の高リスクユーザーがあり、そのうちの 2 人は過去 12 時間以内に高リスクユーザーとして識別されました。
リスクスコア、スコアの変更、スコア変更の傾向、トリガーされた最新のリスク指標およびリスク指標の種類など、リスクの高いユーザーに関する詳細を表示するには、ボックスをクリックします。
詳細は次を参照してください:リスクの高いユーザー
中リスクのユーザー
71から90までのリスクスコアを持つユーザー。これらのユーザーは、自分のアカウントに重大な違反が複数発生している可能性があり、注意深く監視する必要があります。
[ ユーザー ] ダッシュボードでは、特定の期間における中リスクのユーザー数の概要を確認できます。あなたは、中リスクのユーザーの合計数と中リスクのユーザーの数の増加を見ることができます。
たとえば、次の画像は、過去 12 時間のデータを示しています。現在、中程度のリスクのユーザーが 8 人存在し、そのうちの 7 人は過去 12 時間以内に中程度のリスクのユーザーとして識別されました。
リスクスコア、スコア変更、スコア変更の傾向、トリガーされた最新のリスク指標およびリスク指標の種類など、中リスクユーザーに関する詳細を表示するには、ボックスをクリックします。
詳細は次を参照してください:リスクの高いユーザー
リスクの低いユーザー
リスクスコアが 0 ~ 70 のユーザー。これらのユーザーは、自分のアカウントでいくつかの違反が検出されている可能性があります。また、事前に決められた期間にわたって再評価された高リスクまたは中リスクのユーザーであったユーザーも含まれます。
[ ユーザー ] ダッシュボードでは、特定の期間における低リスクのユーザー数の概要を確認できます。あなたは、低リスクユーザーの合計数と低リスクユーザーの数の増加を見ることができます。
たとえば、次の画像は、過去 12 時間のデータを示しています。現在、147人の低リスクユーザーがあり、そのうち61人が過去12時間以内に低リスクユーザーとして識別されました。
リスクスコア、スコアの変更、スコア変更の傾向、トリガーされた最新のリスク指標およびリスク指標の種類など、リスクの低いユーザーに関する詳細を表示するには、ボックスをクリックします。
詳細は次を参照してください:リスクの高いユーザー
ウォッチリスト内のユーザー
潜在的な脅威を密接に監視しているユーザーのリスト。たとえば、組織内のフルタイム従業員ではないユーザーをウォッチリストに追加して監視したり、特定のリスク指標を頻繁にトリガーするユーザーを監視したりできます。
ウォッチリストにユーザーを手動で追加することも、トリガされたときにユーザーをウォッチリストに追加するポリシーを定義することもできます。ウォッチリストに追加されたユーザーがいない場合は、 ユーザー ダッシュボードに次の画面が表示されます。
ユーザーをウォッチリストに追加した場合は、 「ユーザー」 ダッシュボードで、ウォッチリストの上位 5 人のユーザーを最高スコアに基づいて並べ替えて表示できます。また、スコアの変更データとスコアの変化傾向を表示することもできます。
ウォッチリストに追加されたすべてのユーザのリストを表示するには、[ウォッチリストのユーザ] ボックスまたは [ **ウォッチリストの ユーザ] ペインの [詳細** を表示] リンクをクリックします。
詳細は次を参照してください ウォッチリスト
特権ユーザー
機密データやシステム設定への正当なアクセスを考慮すると、特権ユーザーの悪意のあるアクションは、多くの場合、日常的な活動と区別できません。したがって、特権ユーザーのアクションは、長い間検出されないままです。このような行動は、組織に多種多様なリスクをさらします。この課題を克服するために、Citrix Analytics では特権ユーザー監視機能が導入されています。この機能を使用すると、特権ユーザーの動作異常を詳細に監視できます。
[ ユーザー ] ダッシュボードでは、最高スコアに基づいて並べ替えられた上位 5 人の特権ユーザーを表示できます。
上部の [ 特権ユーザー ] リンクをクリックするか、[ 特権ユーザー ] ペインの [ 詳細を表示 ] リンクをクリックします。[ ユーザー ] ページには、[ フィルター ] ペインで 管理者 と エグゼクティブ が選択された特権ユーザーと、最新のリスク指標の詳細が表示されます。特権ユーザーは、[ USER ] 列にアイコンで表示されます。過去 1 時間、12 時間、1 日、1 週間、または 1 ヶ月のデータを表示できます。
Citrix Analytics では、次の種類の特権ユーザーをサポートしています。
-
管理者。製品またはサービスの管理者権限を持つユーザー。Content Collaboration サービスでユーザの特権が Admin に昇格されると、この情報は [ ユーザ ] ページで使用できるようになります。Citrix Analyticsを使用すると、管理者としてのユーザーの活動を監視するのに役立ちます。
Content Collaboration サービスで管理者権限が割り当てられたユーザー Maria Brown を考えてみましょう。Maria はファイルとフォルダの過度の削除を開始し、異常な動作を検出した機械学習アルゴリズムをトリガーします。過度のファイルまたはフォルダーの削除 リスク指標は、ユーザーのリスクタイムラインに追加されます。Citrix Analytics を使用すると、このリスク指標を[ ユーザー ]ページに表示される情報と比較できます。Content Collaboration でユーザーに管理者権限が割り当てられた後に、リスク指標がトリガーされたかどうかを判断できます。その場合は、特権ユーザーのプロファイルに対して適切なアクションを実行できます。
-
エグゼクティブ。好ましくは、組織のトップマネジメントからのユーザー。Active Directory(AD)ユーザーグループをエグゼクティブグループとしてマークすると、Citrix Analytics はこのグループ内のすべてのユーザーを管理者ユーザーとして設定します。また、エグゼクティブとしてこれらのユーザーの活動を監視します。詳しくは、「AD グループをエグゼクティブグループとしてマークする」および「エグゼクティブグループとしてのADグループの削除」を参照してください。
エグゼクティブグループとしてマークされた AD ユーザーグループ Domain Adminsを考えてみましょう。ユーザーがファイルやフォルダの削除を過度に開始し、異常な動作を検出した機械学習アルゴリズムをトリガーします。過度のファイルまたはフォルダーの削除 リスク指標は、ユーザーのリスクタイムラインに追加されます。Citrix Analytics を使用すると、リスク指標と、[ ユーザー ]ページまたは[ ユーザーグループ] ページに表示される情報を比較できます。情報を比較すると、AD グループがエグゼクティブグループとしてマークされた後にリスク指標がトリガーされたかどうかを判断できます。その場合は、特権ユーザーのプロファイルに対して適切なアクションを実行できます。
特権ユーザグループページには、特権メンバ、職場、および組織のリストが含まれています。
AD グループをエグゼクティブグループとしてマークする
-
[ 設定] > [ **ユーザグループ ]** に移動します。
-
エグゼクティブグループとしてマークするユーザーグループの名前を選択します。
-
[ アクション] で、[ エグゼクティブグループとしてマーク] を選択します。
エグゼクティブグループとしてのADグループの削除
-
[ 設定] > [ **ユーザグループ ]** に移動します。
-
エグゼクティブグループとして削除するユーザーグループの名前を選択します。
-
[ アクション] で、[ エグゼクティブグループとして削除] を選択します。
リスク指標
ユーザーのデフォルトおよびカスタムリスク指標の上位 5 つを要約します。デフォルトのリスク指標の場合、Citrix Analytics は有効になっているデータソースからデータを収集します。
カスタムリスク指標の場合、Citrix Analytics は生成された危険なイベントに基づいて、以下のデータソースからデータを収集します。
- Citrix Access Control
- Citrix Content Collaboration
- Citrix Virtual Apps and Desktops
上位 5 つのリスク指標を表示し、総発生数、発生数の変化、重大度に基づいて分類することもできます。
[ リスク指標 ] ダッシュボードの [ 詳細を表示 ] をクリックすると、[ リスク指標の概要 ] ページにリダイレクトされます。
[リスク指標の概要] ページには、対応するデータソースの既定およびカスタムリスク指標に関する洞察が表示されます。上部ペインには、重大度に基づいてリスク指標の発生が要約されています。この表には、選択した期間のすべてのデフォルトおよびカスタムリスク指標の詳細が表示されます。リスク指標を選択すると、[リスク指標の詳細] ページにリダイレクトされます。または、[リスク指標] ダッシュボードでリスク指標を選択して、[リスク指標の詳細] ページを表示することもできます。
[リスク指標の詳細] ページには、リスク指標の出現回数の合計が表示されます。また、イベントの時刻、ユーザー名、およびイベントの詳細の詳細についても説明します。
リスク指標の詳細を表示するには、「EVENT DETAILS」 列の [表示] をクリックします。ユーザーのリスクタイムラインのそのリスク指標にリダイレクトされます。ユーザーのリスクタイムラインに、選択した期間に生成されたリスク指標が表示されます。
デフォルトのユーザーリスク指標については、「Citrix ユーザーリスク指標」を参照してください。カスタムリスク指標について詳しくは、「カスタムリスク指標」を参照してください。
アクセス概要
このダッシュボードには、すべての Gateway アクセスイベントがまとめられています。グラフは、選択した期間のアクセスイベントの数を示します。
グラフ上のポインタを選択すると、Gatewayセルフサービス検索ページにリダイレクトされます。サインインシナリオが成功すると、データは [Gatewayのセルフサービス検索] ページのステータスコードでソートされます。
ポリシーとアクション
ユーザプロファイルに適用されたポリシーとアクションの上位 5 つが表示されます。[ ポリシーとアクション ] ウィンドウの [ 詳細を表示 ] リンクをクリックすると、ポリシーとアクションに関する詳細情報が表示されます。
上位ポリシー
オカレンス数に基づいて決定される、設定済みの上位 5 つのポリシー。ダッシュボードの [ 上位ポリシー ] セクションで [ 詳細を表示 ] を選択すると、[ すべてのポリシー ] ページにリダイレクトされます。
すべてのポリシー
このページには、構成されたすべてのポリシーに関する詳細情報が表示されます。ポリシーを選択すると、ポリシーのセルフサービス検索ページにリダイレクトされます。左側のペインで、適用されたアクションに基づいてフィルタリングできます。
ユーザー名を選択すると、リスクタイムラインにリダイレクトされます。ポリシーベースのアクションがユーザーのリスクタイムラインに追加されます。アクションを選択すると、その詳細がリスクタイムラインの右ペインに表示されます。
上位のアクション
ユーザープロファイルに対して実行された上位 5 つのアクション。上位のアクションは、出現回数に基づいて決定されます。ダッシュボードの [ 上位のアクション ] セクションで [ 詳細を表示 ] を選択すると、[ アクション ] ページにリダイレクトされます。
アクション
このページには、適用されたすべてのアクション、影響を受けたユーザー、発生、ポリシー、およびアクションイベントに関する詳細情報が表示されます。アクションを選択すると、[ すべてのポリシー ] ページにリダイレクトされ、左ペインで指定したアクションに基づいてデータがソートされます。たとえば、[ アクション ] ページで [ ユーザーの応答を要求 ] を選択すると、[ すべてのポリシー ] ページにリダイレクトされます。このページには、[ ユーザーの応答を要求 ] アクションに関連付けられているすべての構成済みポリシーが表示されます。
リスクカテゴリ
このダッシュボードは、組織のリスクエクスポージャーのレベルの集約ビューを提供します。リスク指標は、類似するリスクに基づいて、既知のカテゴリに分類されます。リスク分類は、デフォルトおよびカスタムリスク指標でサポートされています。
リスクカテゴリー ダッシュボードの目的は、Citrix Virtual Apps and Desktops s管理者がユーザーリスクを管理し、セキュリティ担当者と 簡単にディスカッションできるようにすることです。エキスパートレベルのセキュリティ知識は必要ありません。これにより、セキュリティ強制は組織レベルで有効になり、セキュリティ管理者のみに限定されません。
使用例
ユーザーがCitrix Virtual Apps and Desktops s管理者であり、組織内の従業員のアプリケーションアクセス権を管理することを検討してください。[ リスクカテゴリ ]>[ 侵害されたユーザー ]>[ 過剰な認証失敗-Citrix Gateway のリスク指標]セクションに移動すると、アクセスを許可した従業員が侵害されたかどうかを評価できます。さらにナビゲートすると、失敗の理由、サインインの場所、タイムラインの詳細、ユーザーの概要など、このリスク指標をより正確に把握できます。アクセス権を付与されたユーザーと侵害されたユーザーの間で不一致が見つかった場合は、セキュリティ管理者にその旨を通知できます。セキュリティ管理者へのこのタイムリーな通知は、組織レベルでのセキュリティの実施に貢献します。
リスクカテゴリーのダッシュボードを分析するには?
[ リスクカテゴリ] ダッシュボードで [ **詳細を表示 ] を選択すると、リスクカテゴリ** の詳細を要約するページにリダイレクトされます。このページには、次の詳細が含まれています。
-
リスクカテゴリレポート: 選択した期間における各カテゴリのリスク指標の発生件数の合計を表します。
-
タイムラインの詳細: 選択した期間におけるすべてのリスクカテゴリにおけるリスク指標の発生総数をグラフィカルに表示します。このセクションの下部に移動すると、リスクカテゴリに基づいて並べ替えを行い、リスク指標に関するより正確な洞察を得ることができます。
-
リスクカテゴリの要約: このセクションには、各カテゴリに関連するリスク指標の影響、発生および重大度などの詳細が表示されます。任意のリスクカテゴリを選択して、そのカテゴリに関連付けられているリスク指標の詳細を表示します。たとえば、[ 侵害されたユーザー ] カテゴリを選択すると、[ 侵害されたユーザー ] ページにリダイレクトされます。
[ 侵害されたユーザー ]ページには、次の詳細が表示されます。
-
リスク指標レポート: 選択した期間の「侵害されたユーザー」カテゴリに属するリスク指標を表示します。また、選択した期間中にトリガーされたリスク指標の発生総数も表示されます。
-
タイムラインの詳細: 選択した期間のリスク指標の発生をグラフィカルに表示します。
-
リスク指標サマリー: 侵害されたユーザーカテゴリの下に生成されたリスク指標サマリーを表示します。このセクションには、重大度、データソース、リスク指標タイプ、出現回数、および最後の出現回数も表示されます。
リスク指標を選択すると、その指標の詳細を要約するページにリダイレクトされます。たとえば、[ 新しいデバイスからの初回アクセス ] リスク指標を選択すると、この指標の詳細が要約されたページにリダイレクトされます。概要には、このイベントの発生に関するタイムラインの詳細と、このリスク指標をトリガーしたユーザー、リスク指標の発生、およびイベントの時刻を一覧表示するユーザーサマリーが含まれます。ユーザーを選択すると、ユーザーのリスクタイムラインにリダイレクトされます。
注
Citrix Analytics、デフォルトのリスク指標を適切なリスクカテゴリにグループ化します。カスタムリスク指標の場合は、[ 指標の作成 ] ページでリスクカテゴリを選択する必要があります。詳しくは、「カスタムリスク指標」を参照してください。
リスクカテゴリの種類
データ漏洩
このカテゴリは、マルウェアや、組織内のデバイスとの間で不正なデータ転送やデータの盗難を行った従業員によってトリガーされたリスク指標をグループ化します。指定した期間中に行われたすべてのデータ流出アクティビティに関するインサイトを取得し、ユーザープロファイルにアクションを積極的に適用することで、このカテゴリに関連するリスクを軽減できます。
データ漏出リスクカテゴリは、次のリスク指標をまとめてグループ化します。
| データソース | ユーザーリスク指標 |
|---|---|
| Citrix Virtual Apps and Desktops | データ流出の可能性 |
| Citrix Content Collaboration | 機密ファイルへの過剰なアクセス |
| Citrix Content Collaboration | 過剰なファイル共有 |
| Citrix Access Control | 異常なアップロードボリューム |
内部者の脅威
このカテゴリは、組織内の従業員によってトリガーされるリスク指標をグループ化します。従業員は、企業固有のアプリケーションへのアクセスレベルが高いため、セキュリティリスクの可能性が高くなります。危険な活動は、悪意のあるインサイダーによって意図的に引き起こされたり、人為的ミスの結果である可能性があります。どちらのシナリオでも、組織に対するセキュリティへの影響が損傷しています。このカテゴリは、指定された期間中に行われたすべての内部者脅威アクティビティに関するインサイトを提供します。これらの洞察を活用して、ユーザープロファイルにアクションを積極的に適用することで、このカテゴリに関連するリスクを軽減できます。
Insider 脅威のリスクカテゴリは、次のリスク指標をまとめてグループ化します。
| データソース | ユーザーリスク指標 |
|---|---|
| Citrix Virtual Apps and Desktops | アプリケーションアクセスの異常な時間(仮想) |
| Citrix Virtual Apps and Desktops | アプリケーションアクセスの異常な時間(SaaS) |
| Citrix Content Collaboration | ファイルまたはフォルダの過剰な削除 |
| Citrix Content Collaboration | 過剰なファイルのアップロード |
| Citrix Access Control | データのダウンロードが過多 |
| Citrix Access Control | ブラックリストに載っているURLにアクセスしようとしました |
| Citrix Access Control | 危険なウェブサイトへのアクセス |
侵害されたユーザー
このカテゴリは、ユーザーが疑わしいサインイン、サインインの失敗などの異常な動作パターンを表示するリスク指標をグループ化します。また、異常なパターンは、ユーザーアカウントが侵害された結果である可能性があります。指定した期間中に発生したすべての侵害されたユーザーイベントに関するインサイトを取得し、ユーザープロファイルにアクションを積極的に適用することで、このカテゴリに関連するリスクを軽減できます。
侵害されたユーザーのリスクカテゴリは、次のリスク指標をまとめてグループ化します。
| データソース | ユーザーリスク指標 |
|---|---|
| Citrix Virtual Apps and Desktops | 新しいデバイスからの初回アクセス |
| Citrix Content Collaboration | 新しい場所からの初回アクセス |
| Citrix Content Collaboration | 過剰な認証の失敗 |
| Citrix Content Collaboration | ランサムウェアのアクティビティの疑い |
| Citrix Content Collaboration | 過剰なファイルのダウンロード |
| Citrix Gateway | 疑わしいIPからのログオン |
| Citrix Gateway | 過剰な認証の失敗 |
| Citrix Gateway | 過剰な認可の失敗 |
| Citrix Gateway | 新しい場所からの初回アクセス |
| Microsoft Graph Security | Azure AD ID 保護のリスク指標 |
| Microsoft Graph Security | Windows Difender ATP リスク指標 |
侵害されたエンドポイント
このカテゴリは、デバイスがセキュリティで保護されていない動作を示したときにトリガーされるリスク指標をグループ化します。
侵害されたエンドポイントのリスクカテゴリは、次のリスク指標をまとめてグループ化します。
| データソース | ユーザーリスク指標 |
|---|---|
| Citrix Virtual Apps and Desktops | サポートされていない OS のデバイスからのアクセス |
| Citrix Gateway | エンドポイント分析 (EPA) スキャンの失敗 |
| Citrix Endpoint Management | 管理対象外のデバイスが検出されました |
| Citrix Endpoint Management | ジェイルブレイクまたはRoot化されたデバイスが検出されました |
| Citrix Endpoint Management | ブラックリストに登録されたアプリが検出されたデバイス |