Citrix Analytics for Security

ユーザーダッシュボード

ユーザーダッシュボードは 、ユーザーの行動分析と脅威防止の開始点です。

このダッシュボードは、組織全体のユーザーの行動パターンを可視化します。このデータを使用して、フィッシング攻撃やランサムウェア攻撃など、標準外の動作をプロアクティブに監視、検出、およびフラグを立てることができます。

[ユーザー] ダッシュボードには、次のセクションがあります。

  • 検出されたユーザー。Analytics を有効にしたデータソースを使用している組織内のユーザーの総数。

  • 危険なユーザー。危険な方法で行動した、または危険な行動を示したユーザー。アカウントに関連付けられているリスクスコアとリスク指標の発生が最も高いリスクのあるユーザーのリスト。

  • リスクの高いユーザー。組織に対する差し迫った脅威を表すユーザー。

  • 中リスクのユーザー。アカウントに複数の重大な違反があり、注意深く監視する必要があるユーザー。

  • リスクの低いユーザー。アカウントで何らかの違反が検出されたが、脅威ではない可能性があるユーザー。

  • リスクのないユーザー。アカウントでアクティブな違反が検出されていないユーザー。これらのユーザーは、選択した期間中、脅威とは見なされません。

  • ウォッチリストのユーザー。ユーザーは管理者によって緊密に監視されています。

  • 特権ユーザー。組織内の機密データを表示し、重要なシステム設定を変更できるユーザー。

  • リスクインジケータ。組織内の上位 5 つのリスク指標を表示します。

  • アクセスサマリー。組織内のリソースへのアクセスをユーザーが試行した合計回数を要約します。

  • ポリシーとアクション。ユーザプロファイルに適用されているポリシーとアクションの上位 5 つが表示されます。

  • リスクカテゴリ。Citrix Analytics がサポートするリスクカテゴリが表示されます。同様の行動パターンを持つリスク指標は、カテゴリに分類されます。

検出されたユーザー

Analytics を有効にしたデータソースを使用している組織内のユーザーの総数。アカウントに関連付けられたリスクスコアがある場合とない場合があります。 ユーザーダッシュボードで検出されたユーザーの数が、危険なユーザーの数よりも多い可能性があります。

ダッシュボードの[ 検出されたユーザー ]リンクをクリックすると、[ ユーザー ]ページが表示され、Citrix Analytics によって検出されたユーザーの完全なリストが表示されます。[ ユーザー ] ページには、データソース、リスクスコア、および検出されたユーザーに関連付けられたリスク指標の発生数も表示されます。

検出されたユーザー

(注

)[ ユーザUsers )] ダッシュボードおよび [ユーザ(Users)] ページには、選択した期間に関係なく、過去 13 か月間に検出されたユーザの数が表示されます。期間を選択すると、選択した時間に基づいてリスク指標の発生が変化します。

[検出されたユーザー] セクション

次の情報を表示します。

ファセット

次のカテゴリに基づいてユーザーイベントをフィルタリングします。

  • リスクスコア:高リスク、中リスク、低リスク、ゼロリスクスコアに基づくユーザーイベント。

  • ユーザー:管理者権限、エグゼクティブ権限、およびウォッチリストユーザーに基づくユーザーイベント。

  • 検出されたデータソース:オンボーディングしたデータソースに基づくユーザーイベント。

  • Workspaceアプリのステータス:ユーザーデバイスで使用されているCitrix Workspace アプリのバージョンのサポート可能ステータス。

    Workspaceアプリのステータスは、Citrix Directorから受信したユーザーイベントから判断されます。ステータスを表示するには、 Citrix AnalyticsをCitrix Directorに接続する必要があります。それ以外の場合、 Citrix Virtual Apps and Desktopsおよび Citrix DaaS すべてのユーザーのステータスは [ 非アクティブ] と表示されます

    次のラベルを使用して、ステータスを識別します。

    • サポート:Citrix Workspace アプリのバージョンはCitrix Analytics でサポートされており、ユーザーイベントはアプリから受信されます。

    • 一部サポート:Citrix Workspace アプリのバージョンはサポートされていますが、アプリからユーザーイベントを受信しません。問題を特定してトラブルシューティングするには、 トラブルシューティングガイドを参照してください

    • サポート対象外:Citrix Workspace アプリのバージョンはサポートされておらず、アプリからユーザーイベントを受信しません。ユーザーは、Citrix Workspace アプリをサポートされているバージョンに更新する必要があります。サポートされているバージョンのリストについては、 サポートされているクライアントを参照してください

    • 使用不可 (NA): Citrix Virtual Apps and Desktopsおよび Citrix DaaS ユーザーはデータソースを使用していません。Content Collaboration、セキュアプライベートアクセス、ゲートウェイなど、異なるデータソースを使用している可能性があります。

    • 非アクティブ:過去 1 Citrix Virtual Apps and Desktopsおよび Citrix DaaS 週間で、ユーザはアクティブなセッションを持っていません。したがって、ユーザーからイベントは受信されません。

    過去1週間で、ユーザーがCitrix Workspace アプリを4つの異なるバージョン(xx、xy、yx、yyなど)に更新すると、ツールチップに4つの異なるバージョンが表示されます。ステータスは、次のシナリオに従って変化します。

    シナリオ ワークスペースアプリのステータス
    4 つのバージョン (xx、xy、yx、および yy) がすべてサポートされる場合。 サポート
    4 つのバージョンのうち、少なくとも 1 つのバージョン (xx) はサポートされておらず、残りのバージョン (xy、yx、および yy) がサポートされています。 サポートされません
    4 つのバージョンのうち、少なくとも 1 つのバージョン (xx) が部分的にサポートされ、残りのバージョン (xy、yx、および yy) がサポートされます。 部分的にサポートされている
    4つのバージョンのうち、(xx) バージョンはサポートされておらず、(yx) バージョンは部分的にサポートされ、残りの2つのバージョン (yx, yy) はサポートされています。 サポートされません

    (注

    )[サポートされていません] ステータスは、[サポート済み] ステータスおよび [部分的にサポート] ステータスよりも優先されます。

検索ボックス

検索ボックスを使用して、ユーザーのイベントを検索します。クエリで演算子を使用して、検索の焦点を絞り込むことができます。クエリで使用できる有効な演算子については、「 セルフサービス検索」を参照してください。

スコア

リスクスコアは、特定の期間にユーザーが組織に提起するリスクのレベルを決定します。リスクスコアの値は動的で、ユーザー行動分析に基づいて変化します。リスクスコアに基づいて、ユーザーは、高リスクユーザー、中リスクユーザー、低リスクユーザー、およびリスクスコアがゼロのユーザーのいずれかのカテゴリに分類できます。

ユーザー

Analyticsによって検出されたすべてのユーザーのリスト。ユーザー名を選択して、ユーザーのユーザー情報とリスクタイムラインを表示します。ユーザーがリスク指標をトリガーしたかどうか、またはトリガーしていない可能性があります。このユーザーに関連する危険なイベントがない場合は、次のメッセージが表示されます。

危険なイベントなし

ユーザーに関連するリスクのあるイベントがある場合は、リスクタイムラインにリスク指標が表示されます。 リスクタイムラインを表示するユーザーを選択します

ユーザーは特権としてマークされウォッチリストに追加できます

リスク指標の発生

ユーザーのリスク指標がトリガーされた回数。リスク指標は、 [デフォルトまたはカスタムにすることができます](/ja-jp/security-analytics/custom-risk-indicators.html)。期間を選択すると、リスク指標の発生は、選択した時間に基づいて変化します。

検出されたデータソース

ユーザーに関連付けられているデータソース。ユーザーがデータソースをアクティブに使用している場合、Analytics はそのデータソースからユーザーイベントを受信します。ユーザーイベントを受信するには、データソースサイトカードのデータ処理を有効にする必要があります。このカードは、[ データソース ] ページで使用できます。

リスクの高いユーザー

リスクのあるユーザーとは、リスクの高いイベントが関連付けられ、少なくとも 1 つのリスク指標をトリガーした検出されたユーザーです。特定の期間にユーザがネットワークに提起するリスクのレベルは、ユーザに関連付けられたリスクスコアによって決定されます。リスクスコアの値は動的で、ユーザー行動分析に基づいています。リスクスコアに基づいて、リスクの高いユーザーは、高リスクユーザー、中リスクユーザー、または低リスクユーザーの 3 つのカテゴリのいずれかに分類できます。

[ リスクのあるユーザー] ペインで、最高のスコアまたは最高のリスク指標の発生に基づいて上位5つのリスクのあるユーザーを並べ替えることができます。

  • 最も高いリスクスコアに基づいて上位 5 人のリスクのあるユーザーを表示するには、[最高スコア] を選択します。

  • [ リスク指標 ] を選択して、最大発生回数を持つ上位 5 つのリスク指標を表示します。

リスクの高いユーザー - リンク

上部の [ 危険なユーザー ] リンクまたは [ 危険なユーザー ] ペインの [ 詳細を表示 ] リンクをクリックして、[ ユーザー ] ページを表示します。このページには、すべてのリスクのあるユーザーとそのリスク指標が表示されます。ファセットと検索バーを使用して、要件に基づいてイベントをフィルタリングできます。

注:

[ ユーザー ] ダッシュボードと [ ユーザー ] ページには、選択した期間に関係なく、過去 13 か月間の危険なユーザーの数が表示されます。期間を選択すると、選択した時間に基づいてリスク指標の発生が変化します。

危険なユーザーダッシュボード

リスクの高いユーザー

リスクスコアが 90 ~ 100 のユーザー。これらのユーザーは、組織に対する差し迫った脅威を表します。

[ ユーザー ] ダッシュボードでは、過去 13 か月間のリスクの高いユーザーの数を表示できます。たとえば、次の画像は、過去 13 か月間の 5 人のリスクの高いユーザーを示しています。

リスクの高いユーザー

[ 高リスクユーザー ] タイルをクリックして、[ ユーザー ] ページを表示します。このページには、リスクスコア、リスク指標の発生回数、データソースなど、リスクの高いユーザーに関する詳細が表示されます。期間を選択すると、リスク指標の発生は、選択した時間に基づいて変化します。

詳細: リスクの高いユーザー

中リスクのユーザー

リスクスコアが 70 ~ 89 のユーザー。これらのユーザーは、アカウントに複数の重大な違反がある可能性があり、注意深く監視する必要があります。

[ ユーザー ] ダッシュボードでは、過去 13 か月間の中リスクのユーザー数を表示できます。たとえば、次の画像は、過去 13 か月間に中リスクの 8 人のユーザーを示しています。

中リスクのユーザー

[ 中リスクのユーザー ] タイルをクリックして、[ ユーザー ] ページを表示します。このページには、リスクスコア、リスク指標の発生回数、データソースなど、中リスクのユーザーに関する詳細が表示されます。期間を選択すると、リスク指標の発生は、選択した時間に基づいて変化します。

詳細: リスクの高いユーザー

低リスクユーザー

リスクスコアが 1 ~ 69 のユーザー。これらのユーザーは、アカウントでいくつかの違反が検出される可能性があります。また、以前は高リスクまたは中リスクのユーザーだったユーザーも含めることができます。これらのユーザーは、あらかじめ決められた期間にわたって再評価されています。

[ ユーザー ] ダッシュボードでは、過去 13 か月間の低リスクユーザーの数を表示できます。たとえば、次の画像は、過去 13 か月で 147 人の低リスクユーザーを示しています。

リスクの低いユーザー

[ 低リスクユーザー ] タイルをクリックして、[ ユーザー ] ページを表示します。このページには、リスクスコア、リスク指標の発生回数、データソースなど、低リスクのユーザーに関する詳細が表示されます。期間を選択すると、リスク指標の発生は、選択した時間に基づいて変化します。

詳細: リスクの高いユーザー

リスクのないユーザー

リスクスコアがゼロのユーザー。これらのユーザーは、選択した期間中、アカウントでアクティブな違反が検出されませんでした。

リスクのないユーザー

[ 危険でないユーザー ] タイルをクリックして、[ ユーザー ] ページを表示します。このページには、選択したリスクスコアがゼロのユーザーとそのデータソースが表示されます。選択した期間において、これらのリスクのないユーザーは、リスクスコアがゼロであっても、リスク指標の発生を関連付けることができます。

ウォッチリストのユーザー

潜在的な脅威について綿密に監視されているユーザーのリスト。たとえば、組織内の正社員ではないユーザーをウォッチリストに追加することで、それらのユーザーを監視できます。また、特定のリスク指標を頻繁にトリガーするユーザーを監視することもできます。ウォッチリストにユーザーを手動で追加するか、 ウォッチリストにユーザーを追加するためのポリシーを定義します

ウォッチリストに追加されたユーザーがいない場合、 ユーザーダッシュボードに次の画面が表示されます

ウォッチリスト内のユーザー数ゼロ

ウォッチリストにユーザーを追加した場合、 ユーザーダッシュボードで 、最高のスコアに基づいてウォッチリストの上位 5 人のユーザーを表示できます。

ウォッチリスト内のユーザー、ダッシュボード、ユーザー

[ ウォッチリストのユーザー ] タイルまたは [ ウォッチリストのユーザー ] ウィンドウの [ 詳細を表示 ] リンクをクリックして、[ ユーザー ] ページを表示します。このページには、ウォッチリスト内のすべてのユーザーのリストが表示されます。

注:

[ ユーザー ] ダッシュボードと [ ユーザー ] ページには、選択した期間に関係なく、過去 13 か月間のウォッチリスト内のユーザー数が表示されます。期間を選択すると、選択した時間に基づいてリスク指標の発生が変化します。

詳細: ウォッチリスト

特権ユーザー

特権ユーザーは、組織内の機密データおよびシステム設定への正当なアクセス権を持つ従業員です。特権的な権利のために、特権ユーザーの悪意のある行動は、日常の活動と区別がつかないことがよくあります。したがって、特権ユーザーのアクションは長い間検出されないままです。このような行動は、組織を多種多様なリスクにさらします。この課題を克服するために、Citrix Analytics は特権ユーザー監視機能を提供します。この機能を使用すると、組織内の特権ユーザーの動作の異常を詳細に監視できます。

[ ユーザー ] ダッシュボードでは、最高リスクスコアに基づいて上位 5 人の特権ユーザーを表示できます。特権ユーザーは、管理者とエグゼクティブに分類されます。

  • 管理者。製品またはサービスに対する管理者権限を持つユーザー。たとえば、Content Collaboration サービスでユーザーの権限を管理者に昇格すると、この情報が [ ユーザー ] ページに表示されます。その後、管理者ユーザーのアクティビティを監視できます。

    Content Collaboration サービスで管理者権限を割り当てられたユーザー Maria Brown を考えてみましょう。Maria はファイルとフォルダーの過剰な削除を開始し、異常な動作を検出した機械学習アルゴリズムをトリガーします。ファイルやフォルダの過剰な削除リスクインジケータがユーザーのリスクタイムラインに追加されます 。Citrix Analytics は、このリスク指標を[ ユーザー ]ページで利用可能な情報と比較するのに役立ちます。Content Collaboration でユーザーに管理者権限が割り当てられた後にリスク指標がトリガーされたかどうかを決定できます。「はい」の場合、特権ユーザーのプロファイルで適切なアクションを実行できます。

  • 役員。ユーザー、できれば組織のトップマネジメントからのユーザー。[ ユーザー ] ページでは、エグゼクティブユーザーとしてユーザーを追加または削除できます。手順については、「 管理者ユーザーとして追加」および「管理者ユーザーとして削除** 」セクションを参照してください。

    ユーザーを特権ユーザーとして追加したシナリオを考えてみましょう。ユーザーがファイルやフォルダの削除を過度に開始し、異常な動作を検出した機械学習アルゴリズムをトリガーします。ファイルやフォルダの過剰な削除リスクインジケータがユーザーのリスクタイムラインに追加されます 。Citrix Analytics は、リスク指標を[ ユーザー ]ページの情報と比較するのに役立ちます。情報を比較すると、ユーザーがエグゼクティブユーザーとしてマークされた後にリスク指標がトリガーされたかどうかを判断できます。「はい」の場合、ユーザーのプロファイルで適切なアクションを実行できます。

ユーザーダッシュボード特権ユーザー

上部の [ **特権ユーザー ] リンクまたは [ 特権ユーザー ] ペインの [ 詳細を表示 ] リンクをクリックして、 **管理者およびエグゼクティブを含む特権ユーザーと** 、最新のリスク指標の詳細を表示する [ユーザー] ページを表示します。** 特権ユーザーは、[ USER ] 列にアイコンで表示されます。

(注

)[ ユーザUsers )] ダッシュボードおよび [ユーザ(Users)] ページには、選択した期間に関係なく、過去 13 か月間の特権ユーザの数が表示されます。期間を選択すると、選択した時間に基づいてリスク指標の発生が変化します。

特権ユーザーとして追加

  1. [ ユーザ (Users)] ページで、[ すべてのユーザ (All Users)] テーブルに移動し、エグゼクティブユーザとして追加するユーザを選択します。

  2. [ 特権としてマーク] をクリックします。

特権ユーザー

管理者ユーザーとして削除

  1. [ ユーザー ] ページで、[ すべてのユーザー ] テーブルに移動し、エグゼクティブユーザーとして削除するユーザーを選択します。

  2. [ 特権から削除] をクリックします。

特権ユーザー

リスクインジケータ

選択した期間の上位 5 つのリスク指標を要約します。リスク指標は、 [デフォルトまたはカスタムにすることができます](/ja-jp/security-analytics/custom-risk-indicators.html)。デフォルトのリスク指標の場合、Citrix Analytics は検出されたデータソースからデータを収集し、データ処理が有効になっています。

カスタムリスク指標の場合、Citrix Analytics は、生成された危険なイベントに基づいて、次のデータソースからデータを収集します。

  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Secure Private Access
  • Citrix Virtual Apps and Desktops
  • Citrix DaaS (旧Citrix Virtual Apps and Desktops サービス)

[ リスク指標 ] ペインでは、上位 5 つのリスク指標を表示し、発生総数または重大度に基づいて並べ替えることができます。

リスク指標ダッシュボード

[ リスク指標] ペインの [ **詳細を表示 ] をクリックして、[ リスク指標の概要** ] ページを表示します。

[ リスク指標の概要 ] ページでは、既定のリスク指標とカスタムリスク指標に関する洞察が提供されます。リスク指標とその発生を表示する期間を選択します。

リスク指標の概要

[ 名前 ] 列のリスク指標をクリックすると、タイムラインビュー、ユーザー、発生、トリガー時間などのリスク指標の詳細が表示されます。または、[リスク指標] ダッシュボードのリスク指標をクリックして 、その詳細を表示することもできます。次の図は、機密ファイルへの過剰アクセス (DLP アラート) の詳細を示しています。

DLP アラートの詳細

アクセスサマリー

このダッシュボードには、選択した期間のすべての Gateway アクセスイベントの概要が表示されます。Citrix Gateway を介したアクセスの総数、成功したアクセス、および失敗したアクセスの数が表示されます。

グラフ上のポインタをクリックして、 ゲートウェイのセルフサービス検索ページを表示します 。サインインシナリオが成功すると、ゲートウェイアクセスイベントはページのステータスコードでソートされます。

概要ダッシュボードにアクセスする

ポリシーとアクション

選択した期間にユーザプロファイルに適用されたポリシーとアクションの上位 5 つが表示されます。 ポリシーとアクションに関する詳細情報を表示するには、[ポリシーと操作 ] ペインの [詳細を表示] リンクをクリックします。

ポリシーとアクションダッシュボード

トップポリシー

設定されている上位 5 つのポリシーは、発生数に基づいて決定されます。ダッシュボードの [ 上位ポリシー ] セクションで [ 詳細を表示] を選択すると、[ すべてのポリシー ] ページにリダイレクトされます。

ポリシーとアクションダッシュボード

すべてのポリシー

このページには、設定されているすべてのポリシーに関する詳細情報が表示されます。いずれかのポリシーを選択すると、[ ポリシーのセルフサービス検索 ]ページにリダイレクトされます。左側のペインで、適用されたアクションに基づいてフィルタリングできます。

ユーザー名を選択すると、リスクタイムラインにリダイレクトされます。ポリシーベースのアクションがユーザーのリスクタイムラインに追加されます。アクションを選択すると、その詳細がリスクタイムラインの右ペインに表示されます。

上位のアクション

ユーザープロファイルに適用されたポリシーに関連付けられた上位 5 つのアクション。このセクションには、ユーザープロファイルに手動で適用したアクションは表示されません。上位のアクションは、出現回数によって決まります。

[ 詳細を表示 ] をクリックして、[アクション] ページでポリシーベースのアクションをすべて表示します

アクション

このページには、選択した期間にユーザーに適用されたすべてのポリシーベースのアクションのリストが表示されます。次の情報が表示されます。

  • ポリシーに従って適用されるアクションの名前

  • アクションが適用されたユーザー数

  • アクションの出現回数

  • アクションに関連付けられているポリシーの数

  • 適用されたアクションの日時

ポリシーとアクションダッシュボード

アクションをクリックすると、関連付けられているすべてのポリシーが表示されます。これらのポリシーは、出現回数に基づいてソートされます。たとえば、[ アクション ] ページで [ エンドユーザー応答を要求 ] をクリックします。[ すべてのポリシー ] ページには、[ エンドユーザーレスポンスの要求 ] アクションに関連付けられているすべてのポリシーが表示されます。

ポリシーとアクションダッシュボード

[ すべてのポリシー (All Policies)] ページで、ポリシーをクリックして、アクションが適用されたユーザーイベントを表示します。

リスクカテゴリー

このダッシュボードには、選択した期間における組織のリスクエクスポージャーのレベルの集計ビューが表示されます。リスク指標は、類似するリスクに基づいて既知のカテゴリに分類されます。リスク分類は、デフォルトリスク指標とカスタムリスク指標でサポートされています。

リスクカテゴリダッシュボード

リスクカテゴリダッシュボードの目的は 、 Citrix Virtual Apps and Desktopsおよび Citrix DaaS 管理者がユーザーのリスクを管理し、専門家レベルのセキュリティ知識がなくてもセキュリティ担当者との話し合いを簡素化できるようにすることです。これにより、セキュリティ強制を組織レベルで有効にすることができ、セキュリティ管理者だけに限定されません。

使用例

Citrix Virtual Apps and Desktops 自分が管理者であり、組織内の従業員のアプリケーションアクセス権を管理しているとします。[ リスクカテゴリ ] > [ 侵害されたユーザー ] > [ 過度の認証失敗-Citrix Gateway リスク指標] セクションに移動すると、アクセスを許可した従業員が侵害されたかどうかを評価できます。さらに移動すると、失敗の理由、サインイン場所、タイムラインの詳細、ユーザーの概要など、このリスク指標のより正確な洞察を得ることができます。アクセス権を付与されたユーザーと侵害されたユーザーの間に不一致がある場合は、セキュリティ管理者に通知できます。セキュリティ管理者へのこのタイムリーな通知は、組織レベルでのセキュリティの実施に貢献します。

リスクカテゴリのユースケース

リスクカテゴリダッシュボードを分析するには

[ リスクカテゴリ ] ダッシュボードで [ 詳細を表示 ] を選択すると、リスクカテゴリの詳細をまとめたページにリダイレクトされます。このページには、次の詳細が含まれています。

  • リスクカテゴリレポート:選択した期間における各カテゴリのリスク指標の発生総数を表します。

    リスクカテゴリページ

  • タイムラインの詳細:選択した期間におけるすべてのリスクカテゴリの合計リスク指標の発生回数をグラフィカルに表示します。このセクションの下部に移動すると、リスクカテゴリに基づいて並べ替えて、リスク指標に関するより正確な洞察を得ることができます。

    リスクカテゴリページ

  • リスクカテゴリの概要:このセクションには、各カテゴリに関連付けられたリスク指標の影響、発生および重大度などの詳細が表示されます。任意のリスクカテゴリを選択して、そのカテゴリに関連付けられたリスク指標の詳細を表示します。たとえば、[ 侵害されたユーザー ] カテゴリを選択すると、[ 侵害されたユーザー ] ページにリダイレクトされます。

    リスクカテゴリページ

[ 侵害されたユーザー ] ページには、次の詳細が表示されます。

  • リスク指標レポート:選択した期間の [侵害されたユーザー] カテゴリに属するリスク指標を表示します。また、選択した期間中にトリガーされたリスク指標の合計発生回数も表示されます。

    [侵害されたユーザー] ページ

  • タイムラインの詳細:選択した期間におけるリスク指標の発生をグラフィカルに表示します。

    [侵害されたユーザー] ページ

  • リスク指標の概要:侵害されたユーザーのカテゴリで生成されたリスク指標の概要を表示します。このセクションには、重大度、データソース、リスクインジケータの種類、発生回数、および最後の発生も表示されます。

    [侵害されたユーザー] ページ

リスク指標を選択すると、その指標の詳細をまとめたページにリダイレクトされます。たとえば、[ 新しいデバイスからの初回アクセス ] リスク指標を選択すると、この指標の詳細をまとめたページにリダイレクトされます。概要には、このイベントの発生に関するタイムラインの詳細と、このリスク指標をトリガーしたユーザー、リスク指標の発生、およびイベントの時刻を一覧表示するユーザー概要が含まれます。ユーザーを選択すると、ユーザーのリスクタイムラインにリダイレクトされます。

[侵害されたユーザー] ページ

Citrix Analytics は、適切なリスクカテゴリの下にデフォルトのリスク指標をグループ化します。カスタムリスク指標の場合は、[ 指標の作成 ] ページでリスクカテゴリを選択する必要があります。詳細については、「 カスタムリスク指標」を参照してください。

リスクカテゴリのタイプ

データ流出

このカテゴリは、マルウェアまたは組織内のデバイスとの間で不正なデータ転送やデータの盗難を実行した従業員によってトリガーされるリスク指標をグループ化します。指定した期間に発生したすべてのデータ漏洩アクティビティに関するインサイトを取得し、ユーザープロファイルにアクションをプロアクティブに適用することで、このカテゴリに関連するリスクを軽減できます。

データ漏洩リスクカテゴリは、次のリスク指標をまとめてグループ化します。

データソース ユーザーリスク指標
Citrix Content Collaboration 機密ファイルへの過剰なアクセス
Citrix Content Collaboration 過剰なファイルのダウンロード
Citrix Content Collaboration 過剰なファイル共有
Citrix Virtual Apps and Desktopsおよび Citrix DaaS データ流出の可能性

インサイダーの脅威

このカテゴリは、組織内の従業員によってトリガーされるリスク指標をグループ化します。従業員は企業固有のアプリケーションへのアクセスレベルが高いため、組織はセキュリティリスクの可能性が高くなります。危険な活動は、悪意のある内部関係者によって意図的に引き起こされたり、ヒューマンエラーの結果である可能性があります。いずれのシナリオでも、組織に対するセキュリティ上の影響は甚大です。このカテゴリは、指定した期間中に発生したすべての内部脅威活動に関する洞察を提供します。これらのインサイトを利用して、ユーザープロファイルにアクションを積極的に適用することで、このカテゴリに関連するリスクを軽減できます。

インサイダー脅威リスクカテゴリは、次のリスク指標をまとめてグループ化します。

データソース ユーザーリスク指標
Citrix Content Collaboration ファイルまたはフォルダの過剰な削除
Citrix Content Collaboration 過剰なファイルのアップロード
Citrix Content Collaboration マルウェアファイルが検出されました
Citrix Secure Private Access ブラックリストに載っているURLにアクセスしようとしました
Citrix Secure Private Access 過剰なデータのダウンロード
Citrix Secure Private Access 危険なウェブサイトへのアクセス
Citrix Secure Private Access 異常なアップロードボリューム

侵害されたユーザー

このカテゴリは、疑わしいサインイン、サインインの失敗などの異常な行動パターンをユーザーが表示するリスク指標をグループ化します。または、異常なパターンは、ユーザーアカウントが侵害された結果である可能性があります。特定の期間に発生したすべての侵害されたユーザーイベントに関するインサイトを取得し、ユーザープロファイルにアクションを積極的に適用することで、このカテゴリに関連するリスクを軽減できます。

侵害されたユーザーのリスクカテゴリは、次のリスク指標をまとめてグループ化します。

データソース ユーザーリスク指標
Citrix Content Collaboration あり得ない移動
Citrix Content Collaboration ランサムウェアのアクティビティの疑い
Citrix Content Collaboration 異常な認証失敗
Citrix Gateway エンドポイント分析スキャンの失敗
Citrix Gateway 過剰な認証失敗
Citrix Gateway あり得ない移動
Citrix Gateway 疑わしいIPからのログオン
Citrix Gateway 異常な認証の失敗
Citrix Virtual Apps and Desktopsおよび Citrix DaaS 疑わしいログオン
{page.cvadとdaas-product-name} あり得ない移動
Microsoft Graph Security Azure AD アイデンティティ保護リスクインジケーター
Microsoft Graph Security エンドポイント向けMicrosoft Defender リスクインジケータ

侵害されたエンドポイント

このカテゴリは、デバイスがセキュリティ保護されていない動作を示す場合にトリガーされるリスク指標をグループ化します。

侵害されたエンドポイントのリスクカテゴリは、次のリスク指標をまとめてグループ化します。

データソース ユーザーリスク指標
Citrix Endpoint Management 管理対象外のデバイスが検出されました
Citrix Endpoint Management ジェイルブレイクまたはRoot化されたデバイスが検出されました
Citrix Endpoint Management ブラックリストに登録されたアプリが検出されたデバイス
ユーザーダッシュボード