In Citrix Analytics for Security
In All products
製品ドキュメント
In Citrix Analytics for Security
In All products

ユーザーダッシュボード

February 19, 2020
寄稿者:  C

ユーザー ダッシュボードは、ユーザーの動作分析と脅威防止の起動ポイントです。

このダッシュボードは、組織全体のユーザー行動パターンを可視化します。このデータを使用して、フィッシング攻撃やランサムウェア攻撃など、標準外の動作をプロアクティブに監視、検出、フラグ設定することができます。デフォルトでは、このダッシュボードには、過去 1 か月間のユーザーのリスクプロファイルが表示されます。

ユーザーダッシュボードには、次のセクションがあります。

  • 検出されたユーザー。Analytics を有効にしたデータソースを使用している組織内のユーザーの合計数。ダッシュボードのリンクをクリックすると、Citrix Analytics によって検出されたユーザーの完全なリストが表示されます。

  • リスクの高いユーザー。危険な方法で行動したユーザー、または危険な行動を起こしたユーザー。アカウントに関連付けられているリスクスコア、最も高いリスクスコアの変更、リスクインジケータ、リスクインジケータオカレンス、およびリスクインジケータの発生の変化を持つリスクユーザーのリスト。上部の 危険なユーザー リンクをクリックするか、[危険なユーザー] ウィンドウの もっと見る リンクをクリックします。すべてのリスクのあるユーザーのリストとリスク指標を表示できます。

  • リスクの高いユーザー。組織に対する即時の脅威を表すユーザー。リンクをクリックすると、すべての高リスクユーザーのリストと、そのユーザーがトリガーしたリスク指標が表示されます。

  • 中リスクのユーザー。アカウントに重大な違反が複数ある可能性があるため、注意深く監視する必要があるユーザー。リンクをクリックすると、すべての中リスクユーザーのリストと、ユーザーがトリガーしたリスク指標が表示されます。

  • 低リスクユーザー。アカウントで何らかの違反が検出されたが、脅威ではない可能性があるユーザー。リンクをクリックすると、すべての低リスクユーザーのリストと、そのユーザーがトリガーしたリスク指標が表示されます。

  • ウォッチリスト内のユーザー。管理者は、密接に監視しているユーザー。ウォッチリストに追加されたユーザーのリスト を表示するには、[ウォッチリストの ユーザー] ボックスまたは [ウォッチリストの ユーザー] ウィンドウの 詳細を表示 リンクをクリックします。

  • 特権ユーザー。組織内の機密データを表示したり、重要なシステム設定を変更したりできるユーザー。[特権ユーザー] ペインの [特権ユーザー] リンクまたは [詳細を表示] リンクをクリックして、すべての特権ユーザーのリストを表示します。

  • リスク指標。上位 5 つのデフォルトおよびカスタムリスクインジケータを表示します。リスク指標の概要 ページを表示するには、ウィンドウの下部にある 詳細を表示 をクリックします。

  • アクセス概要。ユーザーが組織内のリソースにアクセスしようとした合計回数を要約します。

  • ポリシーとアクション。ユーザプロファイルに適用されたポリシーとアクションの上位 5 つが表示されます。ポリシーと操作 ウィンドウの 詳細を表示 リンクをクリックして、適用されたポリシーとアクションの一覧を表示します。

検出されたユーザー

Analytics を有効にしたデータソースを使用している組織内のユーザーの合計数。アカウントに関連付けられたリスクスコアがある場合とそうでない場合があります。ユーザー ダッシュボードで検出されたユーザーの数が、危険なユーザーの数よりも多い可能性があります。

ダッシュボードのリンクをクリックすると、Citrix Analytics によって検出されたユーザーの完全なリストが表示されます。

検出されたユーザー

[検出されたユーザー ]ページには、一定期間にわたって検出されたすべてのユーザーのリストが表示されます。過去 1 時間、12 時間、1 日、1 週間、または 1 ヶ月のデータを表示できます。

次のインターフェイスマップを使用して、検出されたユーザー ページの操作方法を学習します。

[検出されたユーザー] セクション

次の情報を表示します。

ユーザー

Analyticsによって検出されたすべてのユーザーのリスト。ユーザー名をクリックすると、そのユーザーのユーザー情報とリスクタイムラインが表示されます。ユーザーがリスク指標をトリガーしたかどうか、またはトリガーしていない可能性があります。このユーザーに関連付けられている危険なイベントがない場合は、次のメッセージが表示されます。

危険なイベントなし

ユーザーに関連付けられた危険なイベントがある場合、リスク指標の詳細を含むリスクタイムラインが表示されます。

詳しくは、「リスクのスケジュール」を参照してください。

デバイス

ユーザーがデータソースにアクセスするために使用するデバイスの数。Citrix Analytics は、Citrix Endpoint Management およびCitrix Virtual Apps and Desktops からこのデータを収集します。ユーザー名をクリックし、ユーザー情報 に移動して、ユーザーが使用するデバイスの名前と数を表示します。右上隅にある Trend View リンクは、特定の期間のユーザーのデバイス履歴をグラフィカルに表示します。

ユーザー情報デバイス

場所

ユーザーがデータソースにログオンした場所。Citrix Analytics は、Citrix Content Collaboration とCitrix Gateway からデータを収集します。ユーザー名をクリックし、ユーザー情報 に移動して、ユーザーがデータにアクセスした場所の名前と場所の数を表示します。右上にある Map View リンクをクリックすると、特定の期間のユーザーのログオン位置履歴が表示されます。

ユーザー情報の場所

データの使用状況

ユーザーが消費するデータの量には、アップロードまたはダウンロードしたデータ、アップロードまたはダウンロードしたファイル、共有または削除されたファイルなどがあります。Citrix Analytics は、Citrix Content Collaboration からこのデータを収集します。ユーザー名をクリックし、[ユーザー情報] に移動して、ユーザーのデータ使用状況の詳細を表示します。Trend View リンクは、特定の期間におけるユーザーのデータ使用履歴をグラフィカルに表示します。

ユーザー情報データの使用状況

使用済みアプリ

この期間中にユーザーがアクセスしたアプリケーションの数。Citrix Analytics は、Citrix Virtual Apps and Desktops からこのデータを収集します。ユーザー名をクリックし、ユーザー情報 に移動して、ユーザーが使用するアプリケーションの名前と数を表示します。右上隅にある Trend View リンクをクリックすると、特定の期間のユーザーのアプリケーション履歴がグラフィカルに表示されます。

ユーザー情報データの使用状況

アクセス

ユーザーが異なる場所からデータにアクセスした合計回数。ユーザー名をクリックし、ユーザー情報 に移動して、ユーザーがデータにアクセスした回数を表示します。

たとえば、次の画像では、ユーザー「ShareFileUser」が「24」のアクセスを持っていることがわかります。

クロスプロダクトヘビーユーザー

ここで、ユーザー名をクリックし、リスクタイムライン ページの ユーザー情報 ペインに移動します。このユーザーは、2 つの異なる場所から 24 のアクセスを持っていることがわかります。

ユーザー情報アクセス

リスクの高いユーザー

リスクのあるユーザーは、リスクのあるイベントが関連付けられ、少なくとも 1 つのリスク指標をトリガーしたユーザーを検出します。特定の期間にユーザがネットワークに提起するリスクのレベルは、ユーザに関連付けられたリスクスコアによって決まります。リスクスコア値は動的であり、ユーザーの行動分析に基づいています。リスクスコアに基づいて、リスクの高いユーザーは、高リスクユーザー、中リスクユーザー、低リスクユーザーの 3 つのカテゴリに分類できます。

ユーザー ダッシュボードでは、リスクの高い上位 5 人のユーザーを最高スコアまたは最高リスクインジケータの出現に基づいて並べ替えて表示できます。

  • 最高スコアの変更」 をクリックして、一定期間における最高スコアの変化に基づいて、リスクの高い上位5人のユーザーを表示します。

危険なユーザーリンク

  • リスクインジケータ をクリックして、出現回数が最大である上位 5 つのリスクインジケータを表示します。

  • リスク指標の変更 をクリックして、発生数の最大変化を伴う上位 5 つのリスク指標を表示します。

リスクの高いユーザーダッシュボード

上部の リスクのあるユーザー リンクをクリックするか、リスクのあるユーザー ウィンドウの 詳細を表示 リンクをクリックして、すべてのリスクのあるユーザーのリストとリスク指標を表示します。

リスクのあるユーザー ページには、一定期間にわたってすべてのリスクのあるユーザーのリストが表示されます。過去 1 時間、12 時間、1 日、1 週間、または 1 ヶ月のデータを表示できます。

次のインターフェイスマップを使用して、危険なユーザー ページの操作方法を学習します。

リスクの高いユーザー

次の情報を表示します。

スコア

スコアまたはリスクスコアは、ユーザが特定の期間にネットワークに提起するリスクのレベルを決定します。リスクスコア値は動的であり、ユーザーの行動分析に基づいています。リスクスコアに基づいて、リスクの高いユーザーは、高リスクユーザー、中リスクユーザー、低リスクユーザーの 3 つのカテゴリに分類できます。

変更

「増減」は、一定期間におけるリスクスコアの変化です。リスクスコアの変化は、正または負にすることができます。肯定的なリスクスコアの変化は、マイナス(-)記号で表されます。これは、ある期間にわたってユーザーのリスクスコアが減少したことを意味します。プラス(+)記号で表される負のリスクスコアの変化。これは、ユーザーのリスクスコアが一定期間にわたって増加したことを意味します。たとえば、ユーザーのリスクスコアが前日の 72 で、現在のリスクスコアが 92 の場合、リスクスコアの変化は負で、+20 として計算されます。

リスクスコアの変更

アクセス、データ、アプリケーション

ユーザーに対してトリガーされるリスク指標の種類。列には、特定の期間にユーザーに対して発生したさまざまな種類のリスク指標の数が表示されます。

ユーザー

Citrix Analytics 機械学習アルゴリズムによって識別されたすべての危険なユーザーのリスト。ユーザー名をクリックすると、そのユーザーのユーザー情報とリスクタイムラインが表示されます。

ユーザーに関連付けられたリスク指標と、リスク指標がトリガーされた時刻がリスクタイムラインに表示されます。各リスク指標をクリックして、詳細を表示します。[User Info] をクリックすると、デバイス、場所、データ使用状況、アプリケーションなどの詳細なユーザー情報が表示されます。

詳細の表示: リスクのスケジュール

検出されたユーザーのリスクのタイムライン

検出されたユーザーのリスクのタイムライン

注: 現在、認証とドメインのデータは、ユーザー情報プロファイルでは使用できません。

グループ

Active Directory からインポートされたグループが表示されます。Citrix Analytics とActive Directory を統合している場合は、ユーザーグループ名が表示されます。グループ名N/Aは、Citrix Analytics がActive Directory に統合されていないことを示します。

オカレンスとオカレンスの変更

  • 発生回数:選択した期間におけるデフォルトおよびカスタムリスク指標の出現回数の合計。

  • 出現回数の変更: 選択した期間におけるデフォルトおよびカスタムリスク指標の出現回数の変更。

    正の出現の変化は、マイナス記号(-)で表されます。これは、リスク指標の出現総数が一定期間にわたって減少したことを意味します。 負のオカレンススコアの変化は、プラス(+)記号で表されます。これは、リスク指標の出現総数が一定期間にわたって増加したことを意味します。 たとえば、現在の時間または日にリスクインジケータが4回発生し、前の時間または日に同じリスクインジケータが6回発生した場合、 これらの2つのリスクインジケータの発生の変化は4-6として計算され、発生の変化は-2と表示されます。

リスクの高いユーザーの出現と出現の変化

[データソース] ページから [ユーザー情報] に移動する方法

  1. [ 設定] > **データソース** に移動します。
  2. 任意のデータソースのサイトカードで、ユーザー数を選択します。
  3. ユーザー ページでユーザーを選択し、ユーザー情報 をクリックします。アプリケーション、デバイス、場所、およびデータ使用状況に基づくユーザー情報プロファイルが表示されます。

リスクの高いユーザー

リスクスコアが91~100のユーザー。これらのユーザーは、組織に対する即時の脅威を表します。

ユーザー ダッシュボードでは、特定の時間における高リスクユーザー数の概要を確認できます。これは、高リスクユーザーの合計数と高リスクユーザーの数の増加を示しています。

たとえば、以下の画像は、過去 12 時間のデータを示しています。現在、5 人の高リスクユーザーがあり、そのうちの 2 人は過去 12 時間以内に高リスクユーザーとして識別されました。

リスクの高いユーザー

リスクスコア、スコアの変更、スコア変更の傾向、トリガーされた最新のリスク指標およびリスク指標の種類など、リスクの高いユーザーに関する詳細を表示するには、ボックスをクリックします。

詳細の表示: リスクの高いユーザー

リスクの高いユーザーの詳細

中リスクのユーザー

71から90までのリスクスコアを持つユーザー。これらのユーザーは、アカウントに複数の重大な違反が発生する可能性があり、注意深く監視する必要があります。

ユーザー ダッシュボードでは、特定の期間における中リスクのユーザー数の概要を確認できます。あなたは、中リスクのユーザーの合計数と中リスクのユーザーの数の増加を見ることができます。

たとえば、以下の画像は、過去 12 時間のデータを示しています。現在、中程度のリスクのユーザーが 8 人存在し、そのうちの 7 人は過去 12 時間以内に中程度のリスクのユーザーとして識別されました。

中リスクのユーザー

リスクスコア、スコア変更、スコア変更の傾向、トリガーされた最新のリスク指標およびリスク指標の種類など、中リスクユーザーに関する詳細を表示するには、ボックスをクリックします。

詳細の表示: リスクの高いユーザー

中リスクのユーザーの詳細

リスクの低いユーザー

リスクスコアが 0 ~ 70 のユーザー。これらのユーザーは、自分のアカウントでいくつかの違反が検出されている可能性があります。また、事前に決められた期間にわたって再評価された高リスクまたは中リスクのユーザーであったユーザーも含まれます。

ユーザー ダッシュボードでは、特定の期間における低リスクのユーザー数の概要を確認できます。あなたは、低リスクユーザーの合計数と低リスクユーザーの数の増加を見ることができます。

たとえば、以下の画像は、過去 12 時間のデータを示しています。現在、147人の低リスクユーザーがあり、そのうち61人が過去12時間以内に低リスクユーザーとして識別されました。

低リスクユーザー

リスクスコア、スコアの変更、スコア変更の傾向、トリガーされた最新のリスク指標およびリスク指標の種類など、リスクの低いユーザーに関する詳細を表示するには、ボックスをクリックします。

詳細の表示: リスクの高いユーザー

低リスクのユーザー詳細

ウォッチリスト内のユーザー

潜在的な脅威を密接に監視しているユーザーのリスト。たとえば、組織内のフルタイム従業員ではないユーザーを監視リストに追加して監視したり、特定のリスク指標を頻繁にトリガーするユーザーを監視したりできます。

監視リストにユーザーを手動で追加することも、トリガされたときにユーザーを監視リストに追加するポリシーを定義することもできます。ウォッチリストに追加されたユーザーがいない場合は、 ユーザー ダッシュボードに次の画面が表示されます。

ウォッチリスト内のユーザーをゼロに表示

ユーザーをウォッチリストに追加した場合は、 「ユーザー」 ダッシュボードで、ウォッチリストの上位 5 人のユーザーを最高スコアに基づいて並べ替えて表示できます。また、スコアの変更データとスコアの変化傾向を表示することもできます。

ウォッチリスト内のユーザー ボックスまたは [ウォッチリスト内のユーザー] ウィンドウの 詳細を表示 リンクをクリックして、ウォッチリストに追加されたすべてのユーザーのリストを表示します。

詳細を表示: ウォッチリスト

ウォッチリスト内のユーザーダッシュボードユーザー

特権ユーザー

機密データやシステム設定への正当なアクセスを考慮すると、特権ユーザーの悪意のあるアクションは、多くの場合、日常的な活動と区別できません。したがって、特権ユーザーのアクションは、長い間検出されないままです。このような行動は、組織に多種多様なリスクをさらします。この課題を克服するために、Citrix Analytics では特権ユーザー監視機能が導入されています。この機能を使用すると、特権ユーザーの動作異常を詳細に監視できます。

ユーザー ダッシュボードでは、最高スコアに基づいて並べ替えられた上位 5 人の特権ユーザーを表示できます。

ユーザーダッシュボードの管理者ユーザー

上部の 特権ユーザー リンクをクリックするか、特権ユーザー ペインの 詳細を表示 リンクをクリックします。ユーザー ページには、フィルター ペインで 管理者エグゼクティブ が選択された特権ユーザーと、最新のリスクインジケータの詳細が表示されます。特権ユーザーは、USER 列にアイコンで表示されます。過去 1 時間、12 時間、1 日、1 週間、または 1 ヶ月のデータを表示できます。

ユーザーダッシュボードの管理者ユーザー

Citrix Analytics では、次の種類の特権ユーザーをサポートしています。

  • 管理者。製品またはサービスの管理者権限を持つユーザー。Content Collaboration サービスでユーザの特権が Admin に昇格されると、この情報は ユーザ ページで使用できるようになります。Citrix Analyticsを使用すると、管理者としてのユーザーの活動を監視するのに役立ちます。

    Content Collaboration サービスで管理者権限が割り当てられたユーザー Maria Brown を考えてみましょう。Maria はファイルとフォルダの過度の削除を開始し、異常な動作を検出した機械学習アルゴリズムをトリガーします。過度のファイルまたはフォルダーの削除 リスクインジケーターは、ユーザーのリスクタイムラインに追加されます。Citrix Analytics を使用すると、このリスク指標を[ ユーザー ]ページに表示される情報と比較できます。Content Collaboration でユーザーに管理者権限が割り当てられた後に、リスクインジケータがトリガーされたかどうかを判断できます。その場合は、特権ユーザーのプロファイルに対して適切なアクションを実行できます。

  • エグゼクティブ。好ましくは、組織のトップマネジメントからのユーザー。Active Directory(AD)ユーザーグループをエグゼクティブグループとしてマークすると、Citrix Analytics はこのグループ内のすべてのユーザーを管理者ユーザーとして設定します。また、エグゼクティブとしてこれらのユーザーの活動を監視します。詳しくは、「AD グループをエグゼクティブグループとしてマークする」および「エグゼクティブグループとしてのADグループの削除」を参照してください。

    エグゼクティブグループとしてマークされた AD ユーザーグループ Domain Adminsを考えてみましょう。ユーザーがファイルやフォルダの削除を過度に開始し、異常な動作を検出した機械学習アルゴリズムをトリガーします。過度のファイルまたはフォルダーの削除 リスクインジケーターは、ユーザーのリスクタイムラインに追加されます。Citrix Analytics を使用すると、リスクインジケータと、[ ユーザー ]ページまたは[ ユーザーグループ] ページに表示される情報を比較できます。情報を比較すると、AD グループがエグゼクティブグループとしてマークされた後にリスクインジケータがトリガーされたかどうかを判断できます。その場合は、特権ユーザーのプロファイルに対して適切なアクションを実行できます。

    ウォッチリスト内のユーザーダッシュボードユーザー

特権ユーザグループページには、特権メンバ、職場、および組織のリストが含まれています。

ウォッチリスト内のユーザーダッシュボードユーザー

AD グループをエグゼクティブグループとしてマークする

  1. [ 設定] > **ユーザグループ** に移動します。

  2. エグゼクティブグループとしてマークするユーザーグループの名前を選択します。

  3. アクション で、エグゼクティブグループとしてマーク を選択します。

エグゼクティブグループとしてのADグループの削除

  1. [ 設定] > **ユーザグループ** に移動します。

  2. エグゼクティブグループとして削除するユーザーグループの名前を選択します。

  3. アクション で、エグゼクティブグループとして削除 を選択します。

リスク指標

ユーザーのデフォルトおよびカスタムリスク指標の上位 5 つを要約します。デフォルトのリスクインジケーターの場合、Citrix Analytics は有効になっているデータソースからデータを収集します。

カスタムリスク指標の場合、Citrix Analytics は生成された危険なイベントに基づいて、以下のデータソースからデータを収集します。

  • Citrix Access Control
  • Citrix Content Collaboration
  • Citrix Virtual Apps and Desktops

上位 5 つのリスク指標を表示し、総発生数、発生数の変化、重大度に基づいて分類することもできます。

リスク指標ダッシュボード

リスクインジケータ ダッシュボードの 詳細を表示 をクリックすると、リスクインジケータの概要 ページにリダイレクトされます。

リスクインジケータの概要 ページには、対応するデータソースの既定およびカスタムリスクインジケータに関する洞察が表示されます。上部ペインには、重大度に基づいてリスク指標の発生が要約されています。この表には、選択した期間のすべてのデフォルトおよびカスタムリスク指標の詳細が表示されます。リスク指標を選択すると、リスク指標の詳細」 ページにリダイレクトされます。または、[リスクインジケータ] ダッシュボードで リスク インジケータを選択して、リスクインジケータの詳細 ページを表示することもできます。

リスク指標の概要

リスク指標の詳細 ページには、リスク指標の出現回数の合計が表示されます。また、イベントの時刻、ユーザー名、およびイベントの詳細の詳細についても説明します。

リスクインジケータの詳細を表示するには、EVENT DETAILS 列の 表示 をクリックします。ユーザーのリスクタイムラインのそのリスクインジケータにリダイレクトされます。ユーザーリスクタイムラインには、選択した期間に生成されたリスク指標が表示されます。

リスク指標の概要

デフォルトのユーザリスクインジケータについては、Citrix ユーザーリスク指標を参照してください。カスタムリスクインジケータの詳細については、「カスタムリスク指標」を参照してください。

アクセス概要

このダッシュボードには、すべての Gateway アクセスイベントがまとめられています。グラフは、選択した期間のアクセスイベントの数を示します。

グラフ上のポインタを選択すると、Gatewayセルフサービス検索ページにリダイレクトされます。サインインシナリオが成功すると、データは [ゲートウェイのセルフサービス検索] ページのステータスコードでソートされます。

概要ダッシュボードへのアクセス

ポリシーとアクション

ユーザプロファイルに適用されたポリシーとアクションの上位 5 つが表示されます。ポリシーと操作 ウィンドウの 詳細を表示 リンクをクリックすると、ポリシーとアクションに関する詳細情報が表示されます。

ポリシーとアクションダッシュボード

上位ポリシー

オカレンス数に基づいて決定される、設定済みの上位 5 つのポリシー。ダッシュボードの 上位ポリシー セクションで 詳細を表示 を選択すると、すべてのポリシー ページにリダイレクトされます。

ポリシーとアクションダッシュボード

すべてのポリシー

このページには、構成されたすべてのポリシーに関する詳細情報が表示されます。ポリシーを選択すると、ポリシーのセルフサービス検索ページにリダイレクトされます。左側のペインで、適用されたアクションに基づいてフィルタリングできます。

ユーザー名を選択すると、リスクタイムラインにリダイレクトされます。ポリシーベースのアクションがユーザーのリスクタイムラインに追加されます。アクションを選択すると、その詳細がリスクタイムラインの右ペインに表示されます。

上位のアクション

ユーザープロファイルに対して実行された上位 5 つのアクション。上位のアクションは、出現回数に基づいて決定されます。ダッシュボードの 上位のアクション セクションで 詳細を表示 を選択すると、アクション ページにリダイレクトされます。

ポリシーとアクションダッシュボード

アクション

このページには、適用されたすべてのアクション、影響を受けたユーザー、発生、ポリシー、およびアクション・イベントに関する詳細情報が表示されます。アクションを選択すると、すべてのポリシー ページにリダイレクトされ、左ペインで指定したアクションに基づいてデータがソートされます。たとえば、アクション ページで ユーザーの応答を要求 を選択すると、すべてのポリシー ページにリダイレクトされます。このページには、ユーザーの応答を要求 アクションに関連付けられているすべての構成済みポリシーが表示されます。

ポリシーとアクションダッシュボード

ユーザーダッシュボード

February 19, 2020
寄稿者:  C

この記事の概要

Edit this article