ユーザーダッシュボード
概要
ユーザーダッシュボードは、ユーザー行動分析と脅威防止の出発点です。
このダッシュボードは、組織全体のユーザー行動パターンを可視化します。このデータを使用することで、フィッシングやランサムウェア攻撃など、異常な行動をプロアクティブに監視、検出、フラグ付けできます。
ユーザーダッシュボードを表示するには、セキュリティ > ユーザーに移動します。ユーザーダッシュボードには、次のセクションが含まれています。
-
ユーザーアクティビティステータス: 合計ユーザー、アクティブユーザー、非アクティブユーザーの分布。
-
ユーザーリスク分布: アクティブユーザー、非アクティブユーザー、合計ユーザーの分布、および選択した期間における最高計算リスクスコアに基づく高、中、低プロファイルの危険ユーザーの分布。
-
上位ユーザー: 上位ユーザーはリスクスコアでソートされ、すべてのユーザー、特権ユーザー、ウォッチリストユーザーに分類されます。
-
リスクカテゴリ: Citrix Analyticsがサポートするリスクカテゴリを表示します。類似の行動パターンを持つリスクインジケーターはカテゴリにグループ化されます。
-
リスクインジケーターとアクション: 組織内のすべてのユーザーに対して、選択した期間にわたってプロットされたリスクインジケーターとアクションの分布。
-
アクセス概要: ユーザーが組織内のリソースにアクセスしようとした合計回数を要約します。
-
ポリシーとアクション: ユーザープロファイルに適用された上位5つのポリシーとアクションを表示します。
-
リスクインジケーター: 組織内の上位5つのリスクインジケーターを表示します。
ユーザーアクティビティステータス
Analyticsを有効にしているデータソースを使用している組織内のユーザーの合計数です。これらのユーザーには、リスクスコアが関連付けられている場合とされていない場合があります。このタイルは、アクティブユーザーの数を示します。アクティブユーザーとは、選択した期間内にイベントが検出されたユーザーです。ユーザーアクティビティステータスのドロップダウンメニューをクリックすると、合計ユーザーがアクティブユーザーと非アクティブユーザーにどのように分布しているかを表示できます。
- 合計ユーザー: 選択した期間内のユーザーの合計数
- アクティブユーザー: 選択した期間内にイベントが検出されたユーザー
- 非アクティブユーザー: 選択した期間内にイベントが検出されなかったユーザー
すべてのユーザーが危険であるとは限らないため、ユーザーダッシュボードの合計ユーザー数は、危険なユーザーの数よりも多くなる場合があります。
注
ユーザーページでは、選択した期間に関係なく、過去30日間の合計ユーザー数が表示されます。
ファセット
次のカテゴリに基づいてユーザーイベントをフィルタリングします。
- リスクスコア: 高リスク、中リスク、低リスク、ゼロリスクスコアに基づくユーザーイベント
- ユーザー: 管理者特権、エグゼクティブ特権、ウォッチリストユーザーに基づくユーザーイベント
- 検出されたデータソース: オンボーディングしたデータソースに基づくユーザーイベント
検索ボックス
検索ボックスを使用して、ユーザーのイベントを検索します。クエリで演算子を使用して、検索の焦点を絞り込むことができます。クエリで使用できる有効な演算子の詳細については、「セルフサービス検索」を参照してください。
最新スコア
リスクスコアは、特定の期間にユーザーが組織にもたらすリスクのレベルを決定します。リスクスコアの値は動的であり、ユーザー行動分析に基づいて変化します。最新のリスクスコアに基づいて、ユーザーは高リスクユーザー、中リスクユーザー、低リスクユーザー、ゼロリスクスコアのユーザーのいずれかのカテゴリに分類されます。
ユーザー
Analyticsによって検出されたすべてのユーザーのリストです。ユーザー名を選択すると、そのユーザーのユーザー情報とリスクタイムラインを表示できます。ユーザーはリスクインジケーターをトリガーしている場合とそうでない場合があります。このユーザーに関連付けられた危険なイベントがない場合は、次のメッセージが表示されます。
ユーザーに関連付けられた危険なイベントがある場合は、そのリスクタイムラインにリスクインジケーターが表示されます。ユーザーを選択して、そのリスクタイムラインを表示します。
ユーザーはprivilegedとしてマークされ、ウォッチリストに追加できます。
検出されたデータソース
ユーザーに関連付けられたデータソースです。ユーザーがデータソースをアクティブに使用している場合、Analyticsはそのデータソースからユーザーイベントを受信します。ユーザーイベントを受信するには、データソースページで利用可能なデータソースサイトカードでデータ処理をオンにする必要があります。
トリガーされたインジケーター
選択した期間にわたってユーザー間でトリガーされたリスクインジケーターの数を示します。トリガーされたインジケータータイルをクリックして、リスクインジケーターの詳細を表示します。リスクインジケーターテーブルには、次の詳細が表示されます。
- 名前: リスクインジケーター名
- 重大度: イベントに関連付けられたリスクの重大度。リスクは高、中、低のいずれかです
- データソース: リスクインジケーターテンプレートが適用されるデータソース
- タイプ: リスクインジケーターのタイプ。リスクインジケーターはデフォルトまたはカスタムのいずれかです
- 発生回数: ユーザーに対してリスクインジケーターがトリガーされた回数。期間を選択すると、リスクインジケーターの発生回数は時間の選択に基づいて変化します
- 最終発生: 最終発生日時を表示します
適用されたアクション
選択した期間にわたってユーザーに適用されたアクションの数を示します。これには、管理者によって手動で適用されたアクションと、ポリシー駆動型のアクションが含まれます。適用されたアクションタイルをクリックして、アクションの詳細を表示します。このセクションには、ユーザープロファイルに手動で適用したアクションは表示されません。
アクションテーブルには、次の情報が表示されます。
- アクション: ポリシーに従って適用されたアクションの名前
- ユーザー: アクションが適用されたユーザーの数
- 発生回数: アクションの発生回数
- 日時: 適用されたアクションの日時
処理されたイベント
接続されたデータソースから受信し、Analyticsによって処理されたユーザーイベントの合計数。
ユーザーリスク分布
選択した期間における最高計算リスクスコアに基づいて、高、中、低プロファイルのユーザー数を表示できます。全体的なカウントの下には、低、中、高リスクユーザーの分布の時間経過による変化を示す棒グラフが表示されます。
リスクレベルは3つの色分けに分類されます。
- 赤 - 高リスクユーザーを表します
- オレンジ – 中リスクユーザーを表します
- グレー – 低リスクユーザーを表します
特定期間に基づいて色付きのバーにマウスを合わせると、危険なユーザー(高、中、低)の数を表示できます。データ間隔情報とともに、最終更新の詳細(日時)を表示できます。任意の色付きバーをクリックすると、その期間の危険なユーザーが表示されます。更新オプションをクリックすると、更新されたデータが取得されます。
危険なユーザー
危険なユーザーとは、危険なイベントが関連付けられており、少なくとも1つのリスクインジケーターをトリガーしたユーザーです。特定の期間にユーザーがネットワークにもたらすリスクのレベルは、ユーザーに関連付けられたリスクスコアによって決定されます。リスクスコアの値は動的であり、ユーザー行動分析に基づいています。
各ユーザーのリスクは、ユーザーアクティビティに基づいて時間とともに定期的に更新されます。そのため、ある時点では中リスクまたは高リスクのユーザーであっても、後でより低いリスクレベルに低下する可能性があります。リスクスコアに基づいて、危険なユーザーは次のいずれかのカテゴリに分類されます。
危険なユーザーページでは、ファセットを使用して選択した期間に関連付けられたリスクレベルに基づいてフィルタリングしたり、検索バーを使用して特定のユーザーをクエリしたりできます。
ユーザーのメールIDをクリックすると、その特定の選択されたユーザーのリスクタイムラインページが表示されます。このページには、選択した期間に基づいて、リスクインジケーターと最新および最高リスクスコアの詳細が表示されます。
高リスク
リスクスコアが90から100のユーザー。これらのユーザーは、中程度から重度のリスク要因と一致する複数の行動を示しており、組織に対する差し迫った脅威となる可能性があります。
ユーザーダッシュボードでは、選択した期間における最高計算リスクスコアに基づいて、高リスクユーザーの数を表示できます。
高リスクオプションをクリックすると、危険なユーザーページが表示されます。このページには、高リスクユーザーに関する詳細が表示されます。
中リスク
リスクスコアが70から89のユーザー。これらのユーザーは通常、潜在的に疑わしい、または異常に見える1つ以上のアクティビティを持っており、綿密な監視に値する可能性があります。
中リスクオプションをクリックすると、危険なユーザーページが表示されます。このページには、中リスクユーザーに関する詳細が表示されます。
低リスク
リスクスコアが1から69のユーザー。これらのユーザーは、異常または予期しない行動を反映する少なくとも1つのリスクインジケーターを持っていますが、より深刻なリスク分類に値するほどではありません。
低リスクオプションをクリックすると、危険なユーザーページが表示されます。このページには、低リスクユーザーに関する詳細が表示されます。
上位ユーザー
選択した期間の最高リスクスコアでソートされた、さまざまなユーザーカテゴリの上位ユーザーを表示できます。次の上位ユーザーテーブルは、最新のリスクスコアではなく、選択した期間に計算されたリスクスコアに基づいて、上位5つの最高リスクユーザー(すべてのユーザー、特権ユーザー、ウォッチリストユーザー)を示します。
注
以前のバージョンでは、上位ユーザーテーブルは、選択した期間に関係なく、常に最新のリスクスコアを表示していました。
ウォッチリストユーザー
潜在的な脅威に対して綿密に監視されるユーザーのリストです。たとえば、組織内の正社員ではないユーザーをウォッチリストに追加することで監視できます。また、特定の危険インジケーターを頻繁にトリガーするユーザーを監視することもできます。ユーザーをウォッチリストに手動で追加するか、ポリシーを定義してユーザーをウォッチリストに追加できます。
ユーザーをウォッチリストに追加している場合、最高スコアに基づいてウォッチリスト内の上位5人のユーザーを表示できます。
すべてのユーザーペインの詳細を表示リンクをクリックすると、ユーザーページが表示されます。このページには、ウォッチリスト内のすべてのユーザーのリストが表示されます。
注
ユーザーダッシュボードとユーザーページでは、選択した期間に関係なく、過去13か月間のウォッチリスト内のユーザー数が表示されます。期間を選択すると、リスクインジケーターの発生回数は時間の選択に基づいて変化します。
詳細情報: ウォッチリスト
リスクカテゴリ
リスクカテゴリドーナツチャートは、選択した期間中のリスクカテゴリごとのインジケーター発生回数を要約します。各チャートセグメントにマウスを合わせると、一意のユーザー数が表示され、対応するリスクインジケーターカテゴリ概要ページにリンクします。リスク分類は、デフォルトおよびカスタムのリスクインジケーターによってサポートされています。
リスクカテゴリダッシュボードの目的は、Citrix Virtual Apps and DesktopsおよびCitrix DaaS管理者がユーザーリスクを管理し、専門的なセキュリティ知識を必要とせずにセキュリティ担当者と簡素化された議論を行えるようにすることです。これにより、セキュリティの実施が組織レベルで有効になり、セキュリティ管理者のみに限定されません。
ユースケース
Citrix Virtual Apps and Desktops管理者であり、組織内の従業員のアプリケーションアクセス権を管理しているとします。リスクカテゴリ > 侵害されたユーザー > 過剰な認証失敗 - Citrix Gatewayリスクインジケーターセクションに移動すると、アクセスを許可した従業員が侵害されているかどうかを評価できます。さらに詳しく調べると、失敗理由、サインイン場所、タイムラインの詳細、ユーザー概要など、このリスクインジケーターに関するより正確な洞察を得ることができます。アクセスを許可されたユーザーと侵害されたユーザーとの間に矛盾があることに気づいた場合は、セキュリティ管理者に通知できます。セキュリティ管理者へのこのタイムリーな通知は、組織レベルでのセキュリティの実施に貢献します。
リスクカテゴリダッシュボードの分析方法
リスクカテゴリダッシュボードで詳細を表示を選択すると、リスクカテゴリに関する詳細を要約したページにリダイレクトされます。このページには、次の詳細が含まれています。
-
リスクカテゴリレポート: 選択した期間における各カテゴリの合計リスクインジケーター発生回数を表します
-
タイムラインの詳細: 選択した期間におけるすべてのリスクカテゴリの合計リスクインジケーター発生回数をグラフィカルに表示します。このセクションの下部に移動すると、リスクインジケーターに関するより正確な洞察を得るためにリスクカテゴリに基づいてソートできます
-
リスクカテゴリ概要: このセクションでは、各カテゴリに関連付けられたリスクインジケーターの影響、発生回数、重大度などの詳細を提供します。任意のリスクカテゴリを選択すると、そのカテゴリに関連付けられたリスクインジケーターの詳細を表示できます。たとえば、侵害されたユーザーカテゴリを選択すると、侵害されたユーザーページにリダイレクトされます
侵害されたユーザーページには、次の詳細が表示されます。
-
リスクインジケーターレポート: 選択した期間の侵害されたユーザーカテゴリに属するリスクインジケーターを表示します。また、選択した期間中にトリガーされたリスクインジケーターの合計発生回数も表示します
-
タイムラインの詳細: 選択した期間のリスクインジケーター発生回数をグラフィカルに表示します
-
リスクインジケーター概要: 侵害されたユーザーカテゴリの下で生成されたリスクインジケーターの概要を表示します。このセクションでは、重大度、データソース、リスクインジケータータイプ、発生回数、最終発生も表示します
リスクインジケーターを選択すると、そのインジケーターの詳細を要約したページにリダイレクトされます。たとえば、新しいデバイスからの初回アクセスリスクインジケーターを選択すると、このインジケーターに関する詳細を要約したページにリダイレクトされます。概要には、このイベントの発生に関するタイムラインの詳細と、このリスクインジケーターをトリガーしたユーザー、リスクインジケーターの発生回数、イベントの時刻をリストするユーザー概要が含まれます。ユーザーを選択すると、そのユーザーのリスクタイムラインにリダイレクトされます。
注
Citrix Analyticsは、デフォルトのリスクインジケーターを適切なリスクカテゴリにグループ化します。カスタムリスクインジケーターの場合、インジケーターの作成ページでリスクカテゴリを選択する必要があります。詳細については、「カスタムリスクインジケーター」を参照してください。
リスクカテゴリの種類
データ流出
このカテゴリは、マルウェアによって、または組織内のデバイスへの不正なデータ転送やデータ盗難を実行する従業員によってトリガーされるリスクインジケーターをグループ化します。指定された期間中に発生したすべてのデータ流出アクティビティに関する洞察を得て、ユーザープロファイルにプロアクティブにアクションを適用することで、このカテゴリに関連するリスクを軽減できます。
データ流出リスクカテゴリは、次のリスクインジケーターをグループ化します。
| データソース | ユーザーリスクインジケーター |
|---|---|
| Citrix Virtual Apps and Desktops and Citrix DaaS | 潜在的なデータ流出 |
内部脅威
このカテゴリは、組織内の従業員によってトリガーされるリスクインジケーターをグループ化します。従業員は企業固有のアプリケーションへのアクセスレベルが高いため、組織はセキュリティリスクにさらされる可能性が高くなります。危険な活動は、悪意のある内部関係者によって意図的に引き起こされる場合もあれば、人為的ミスによるものである場合もあります。いずれのシナリオでも、組織へのセキュリティ上の影響は損害をもたらします。このカテゴリは、指定された期間中に発生したすべての内部脅威活動に関する洞察を提供します。これらの洞察を活用することで、ユーザープロファイルにプロアクティブにアクションを適用することで、このカテゴリに関連するリスクを軽減できます。
内部脅威リスクカテゴリは、次のリスクインジケーターをグループ化します。
| データソース | ユーザーリスクインジケーター |
|---|---|
| Citrix Secure Private Access™ | ブラックリストに登録されたURLへのアクセス試行 |
| Citrix Secure Private Access | 過剰なデータダウンロード |
| Citrix Secure Private Access | 危険なWebサイトアクセス |
| Citrix Secure Private Access | 異常なアップロード量 |
侵害されたユーザー
このカテゴリは、ユーザーが疑わしいサインインやサインイン失敗などの異常な行動パターンを示すリスクインジケーターをグループ化します。あるいは、異常なパターンはユーザーアカウントが侵害された結果である可能性もあります。指定された期間中に発生したすべての侵害されたユーザーイベントに関する洞察を得て、ユーザープロファイルにプロアクティブにアクションを適用することで、このカテゴリに関連するリスクを軽減できます。
侵害されたユーザーリスクカテゴリは、次のリスクインジケーターをグループ化します。
| データソース | ユーザーリスクインジケーター |
|---|---|
| Citrix Gateway | エンドポイント分析スキャン失敗 |
| Citrix Gateway | 過剰な認証失敗 |
| Citrix Gateway | 不可能な移動 |
| Citrix Gateway | 疑わしいIPからのログオン |
| Citrix Gateway | 異常な認証失敗 |
| Citrix Virtual Apps and Desktops and Citrix DaaS | 疑わしいログオン |
| Citrix Virtual Apps and Desktops and Citrix DaaS | 不可能な移動 |
| Microsoft Graph Security | Azure AD Identity Protectionリスクインジケーター |
| Microsoft Graph Security | Microsoft Defender for Endpointリスクインジケーター |
侵害されたエンドポイント
このカテゴリは、デバイスが侵害を示す可能性のある安全でない動作を示すときにトリガーされるリスクインジケーターをグループ化します。
侵害されたエンドポイントリスクカテゴリは、次のリスクインジケーターをグループ化します。
| データソース | ユーザーリスクインジケーター |
|---|---|
| Citrix Endpoint Management™ | 管理対象外デバイスの検出 |
| Citrix Endpoint Management | ジェイルブレイクまたはルート化されたデバイスの検出 |
| Citrix Endpoint Management | ブラックリストに登録されたアプリを持つデバイスの検出 |
リスクインジケーターとアクション
選択した期間にわたって、ユーザーに対してトリガーされたリスクインジケーターと適用されたアクションを表示できます。新しいリスクインジケーターとアクション棒グラフは、選択した期間から導き出された全体的な時間範囲とバー間隔で、インジケーター、アクション、およびイベントの詳細のカウントを時間とともに提供します。
インジケーターまたはアクションのいずれかの棒セグメントをクリックすると、それぞれインジケーターまたはアクションごとのカウントのドリルダウン視覚化が表示されます。
インジケーターのドリルダウンで、個々のインジケーターバーをクリックすると、選択した期間の対応するリスクインジケーターページに移動します。
アクセス概要
このダッシュボードは、選択した期間のすべてのGatewayアクセスイベントを要約します。Citrix Gatewayを介した合計アクセス数、成功したアクセス数、失敗したアクセス数を表示します。
グラフ上のポインターをクリックすると、Gatewayのセルフサービス検索ページが表示されます。サインインが成功したシナリオの場合、Gatewayアクセスイベントはページ上のステータスコードによってソートされます。
ポリシーとアクション
選択した期間にユーザープロファイルに適用された上位5つのポリシーとアクションを表示します。ポリシーとアクションペインの詳細を表示リンクをクリックすると、ポリシーとアクションに関する詳細情報が表示されます。
上位ポリシー
上位5つの設定済みポリシーは、発生回数に基づいて決定されます。ダッシュボードの上位ポリシーセクションで詳細を表示を選択すると、すべてのポリシーページにリダイレクトされます。
すべてのポリシー
このページには、設定されているすべてのポリシーに関する詳細情報が表示されます。任意のポリシーを選択すると、ポリシーのセルフサービス検索ページにリダイレクトされます。左ペインでは、適用されたアクションに基づいてフィルタリングできます。
ユーザー名を選択すると、リスクタイムラインにリダイレクトされます。ポリシーベースのアクションは、ユーザーのリスクタイムラインに追加されます。アクションを選択すると、その詳細がリスクタイムラインの右ペインに表示されます。
上位アクション
ユーザープロファイルに適用されたポリシーに関連付けられた上位5つのアクション。このセクションには、ユーザープロファイルに手動で適用したアクションは表示されません。上位アクションは、発生回数によって決定されます。
詳細を表示をクリックすると、アクションページですべてのポリシーベースのアクションを表示できます。
アクション
このページには、選択した期間にユーザーに適用されたすべてのポリシーベースのアクションのリストが表示されます。次の情報を表示できます。
- ポリシーに従って適用されたアクションの名前
- アクションが適用されたユーザーの数
- アクションの発生回数
- アクションに関連付けられたポリシーの数
- 適用されたアクションの日時
アクションをクリックすると、関連付けられたすべてのポリシーが表示されます。これらのポリシーは、発生回数に基づいてソートされます。たとえば、アクションページでエンドユーザー応答の要求をクリックします。すべてのポリシーページには、エンドユーザー応答の要求アクションに関連付けられたすべてのポリシーが表示されます。
すべてのポリシーページでポリシーをクリックすると、アクションが適用されたユーザーイベントを表示できます。
リスクインジケーター
選択した期間の上位5つのリスクインジケーターを要約します。リスクインジケーターはデフォルトまたはカスタムのいずれかです。デフォルトのリスクインジケーターの場合、Citrix Analyticsは検出されたデータソースからデータを収集し、データ処理が有効になっています。
カスタムリスクインジケーターの場合、Citrix Analyticsは生成された危険なイベントに基づいて、次のデータソースからデータを収集します。
- Citrix Gateway
- Citrix Secure Private Access
- Citrix Virtual Apps and Desktops™
- Citrix DaaS (旧称 Citrix Virtual Apps and Desktops service)
リスクインジケーターペインでは、上位5つのリスクインジケーターを表示し、合計発生回数または重大度に基づいてソートできます。
リスクインジケーターペインの詳細を表示をクリックすると、リスクインジケーター概要ページが表示されます。
