Citrix Analytics for Security

ユーザーダッシュボード

概要

ユーザーダッシュボードは 、ユーザーの行動分析と脅威防止の出発点です。

このダッシュボードは、組織全体のユーザー行動パターンを可視化します。このデータを使用すると、フィッシングやランサムウェア攻撃など、通常とは異なる行動をプロアクティブに監視、検出、フラグを立てることができます。

ユーザーダッシュボードを表示するには、[ セキュリティ] > [ユーザー]に移動します。[ユーザー] ダッシュボードには、次のセクションがあります。

ユーザーダッシュボード

  • ユーザーアクティブステータス:全ユーザー、アクティブユーザー、非アクティブユーザーの分布。

  • ユーザーリスク分布:アクティブユーザー、非アクティブユーザー、合計ユーザー数の分布、および選択した期間に計算された最高リスクスコアに基づく、高、中、低のプロファイルにおけるリスクユーザーの分布。

  • トップユーザー:トップユーザーはリスクスコアでソートされ、全ユーザー、特権ユーザー、ウォッチリストユーザーごとに分類されます。

  • リスクカテゴリ:Citrix Analytics がサポートするリスクカテゴリを表示します。同様の行動パターンを持つリスク指標はカテゴリに分類されます。

  • リスク指標とアクション:選択した期間にわたってプロットされたリスク指標とアクションを組織内のすべてのユーザーに分散させます。

  • アクセス概要:ユーザーが組織内のリソースにアクセスしようとした合計回数を要約します。

  • ポリシーとアクション:ユーザープロファイルに適用されたポリシーとアクションの上位 5 つが表示されます。

  • リスク指標:組織の上位 5 つのリスク指標を表示します。

ユーザーアクティビティステータス

Analytics を有効にしたデータソースを使用している組織内のユーザーの総数。アカウントに関連付けられたリスクスコアがある場合とない場合があります。このタイルには、アクティブなユーザーの数が表示されます。アクティブユーザーとは、選択した期間内にイベントが検出されたユーザーです。ユーザーアクティビティステータスドロップダウンメニューをクリックすると、アクティブユーザーと非アクティブユーザーの合計ユーザー数の分布を確認できます。

  • 合計ユーザー数:選択した期間内のユーザーの総数。
  • アクティブユーザー:選択した期間にイベントが検出されたユーザー。
  • 非アクティブなユーザー:選択した期間にイベントが検出されなかったユーザー。

すべてのユーザーがリスクを伴うとは想定されていないため、 ユーザーダッシュボードのユーザーの総数はリスクのあるユーザーの数よりも多い場合があります 。

:ユーザーページには 、選択した期間に関係なく、過去 30 日間のユーザーの総数が表示されます。

ファセット

次のカテゴリに基づいてユーザーイベントをフィルタリングします。

  • リスクスコア:高リスク、中リスク、低リスク、およびゼロリスクのスコアに基づくユーザーイベント。

  • ユーザー:管理者権限、エグゼクティブ権限、およびウォッチリストユーザーに基づくユーザーイベント。

  • 検出されたデータソース:オンボーディングしたデータソースに基づくユーザーイベント。

検索ボックス

検索ボックスを使用して、ユーザーのイベントを検索します。クエリで演算子を使用して、検索の焦点を絞り込むことができます。クエリで使用できる有効な演算子については、「 セルフサービス検索」を参照してください。

最新スコア

リスクスコアは、特定の期間にユーザーが組織に提起するリスクのレベルを決定します。リスクスコアの値は動的で、ユーザー行動分析に基づいて変化します。最新のリスクスコアに基づいて、ユーザーは高リスクユーザー、中リスクユーザー、低リスクユーザー、およびリスクスコアがゼロのユーザーのいずれかに分類されます。

ユーザー

Analyticsによって検出されたすべてのユーザーのリスト。ユーザー名を選択して、ユーザーのユーザー情報とリスクタイムラインを表示します。ユーザーがリスク指標をトリガーしたかどうか、またはトリガーしていない可能性があります。このユーザーに関連する危険なイベントがない場合は、次のメッセージが表示されます。

危険なイベントなし

ユーザーに関連するリスクのあるイベントがある場合は、リスクタイムラインにリスク指標が表示されます。 リスクタイムラインを表示するユーザーを選択します

ユーザーをウォッチリストprivilegedとしてマークして追加できます。

検出されたデータソース

ユーザーに関連付けられているデータソース。ユーザーがデータソースをアクティブに使用している場合、Analytics はそのデータソースからユーザーイベントを受信します。ユーザーイベントを受信するには、データソースサイトカードのデータ処理を有効にする必要があります。このカードは、[ データソース ] ページで使用できます。

トリガーされたインジケーター

選択した期間にユーザー全体でトリガーされたリスク指標の数を示します。指標トリガータイルをクリックすると 、リスク指標の詳細が表示されます。リスク指標表には次の詳細が表示されます:

  • 名前:リスク指標の名前。
  • 重要度:イベントに関連するリスクの重大度。リスクは、高、中、低のいずれかです。
  • データソース:リスク指標テンプレートが適用されるデータソース。
  • タイプ:リスク指標のタイプ。リスク指標は、 デフォルトまたはカスタムにすることができます。
  • 発生回数:ユーザーのリスク指標がトリガーされた回数。期間を選択すると、リスク指標の発生は、選択した時間に基づいて変化します。
  • 最終出現日:最後に出現した日付と時刻が表示されます。

リスクの高いユーザー - リンク

適用されたアクション

選択した期間にユーザー全体に適用されたアクションの数を示します。これには、管理者が手動で適用したアクションとポリシー主導のアクションが含まれます。アクション適用タイルをクリックすると 、アクションの詳細が表示されます。このセクションには、ユーザープロファイルに手動で適用したアクションは表示されません。

適用されたアクション

アクションテーブルには次の情報が表示されます

  • アクション:ポリシーに従って適用されたアクションの名前。
  • ユーザー:アクションが適用されたユーザーの数。
  • 出現回数:アクションの発生回数。
  • 日付と時刻:適用されたアクションの日付と時刻。

処理されたイベント

接続されたデータソースから受信し、Analytics によって処理されたユーザーイベントの総数。

イベントが処理されました

ユーザーリスク分布

選択した期間に計算された最高リスクスコアに基づいて、高プロファイル、中プロファイル、低プロファイルのユーザー数を表示できます。全体数の下には、低リスク、中リスク、高リスクユーザーの分布の経時変化が棒グラフに表示されます。

ユーザーリスク分布

リスクレベルは3つのカラーコードに分類されます。

  • -リスクの高いユーザーを表します。
  • オレンジ— 中リスクのユーザーを表します。
  • グレー— リスクの低いユーザーを表します。

特定の期間に基づいてカラーバーにカーソルを合わせると、危険なユーザーの数(高、中、低)を表示できます。データ間隔情報とともに、最終更新情報 (日付と時刻) を表示できます。任意のカラーバーをクリックすると、その期間のリスクユーザーが表示されます。更新オプションをクリックして、更新されたデータを取得します。

リスクの高いユーザー

リスクの高いユーザーとは、リスクのあるイベントが関連付けられ、少なくとも1つのリスク指標をトリガーしたユーザーです。特定の期間にユーザがネットワークに提起するリスクのレベルは、ユーザに関連付けられたリスクスコアによって決定されます。リスクスコアの値は動的で、ユーザー行動分析に基づいています。

各ユーザーのリスクは、ユーザーのアクティビティに基づいて定期的に更新されます。そのため、ある時点ではリスクが中程度または高でも、後で低いリスクレベルに低下するユーザーもいます。リスクスコアに基づいて、リスクの高いユーザーは次のカテゴリのいずれかに分類されます。

危険なユーザー 」ページでは、選択した期間に関連するリスクレベルに基づいてファセットをフィルタリングしたり、検索バーを使用して特定のユーザーを検索したりできます。

リスクの高いユーザーファセット

ユーザーの電子メール ID をクリックすると、 選択した特定のユーザーのリスクタイムラインページが表示されます 。このページには、選択した期間に基づいて、リスク指標と「 最新」および「最高」のリスクスコアの詳細が表示されます

最新かつ最高のリスクスコア

ハイリスク

リスクスコアが90~100のユーザー。これらのユーザーは、中程度から重度のリスク要因と一致する複数の行動を示しており、組織にとって差し迫った脅威となる可能性があります。

ユーザーダッシュボードでは 、選択した期間に計算された最高リスクスコアに基づいて、リスクの高いユーザーの数を表示できます。

リスクの高いユーザー

高リスク 」オプションをクリックすると、「 危険なユーザー 」ページが表示されます。このページには、リスクの高いユーザーに関する詳細が表示されます。

中程度のリスク

リスクスコアが70~89のユーザー。これらのユーザーは通常、疑わしい、または異常と思われるアクティビティを1つ以上行っているため、注意深く監視する価値があります。

中リスクのユーザー

リスクが中程度 」オプションをクリックすると、「 リスクの高いユーザー 」ページが表示されます。このページには、中リスクのユーザーに関する詳細が表示されます。

低リスク

リスクスコアが 1 ~ 69 のユーザー。これらのユーザーには、異常または予期しない行動を反映するリスク指標が少なくとも1つありますが、より深刻なリスク分類を行うには十分ではありません。

リスクの低いユーザー

低リスク」オプションをクリックすると、「リスクの高いユーザー** 」ページが表示されます。このページには、リスクの低いユーザーに関する詳細が表示されます。

リスクスコアが低い

上位ユーザー

選択した期間のさまざまなユーザーカテゴリの上位ユーザーを、最も高いリスクスコアでソートして表示できます。 次のトップユーザー表には 、最新のリスクスコアではなく、選択した期間に計算されたリスクスコアに基づいて、リスクの高い上位5人のユーザー(全ユーザー、特権ユーザー、ウォッチリストユーザー)が示されています。

上位ユーザー

注:

以前のバージョンでは、選択した期間に関係なく、Top Users テーブルには常に最新のリスクスコアが表示されていました。

ウォッチリストユーザー

潜在的な脅威について綿密に監視されているユーザーのリスト。たとえば、組織内の正社員ではないユーザーをウォッチリストに追加することで、それらのユーザーを監視できます。また、特定のリスク指標を頻繁にトリガーするユーザーを監視することもできます。ウォッチリストにユーザーを手動で追加するか、 ウォッチリストにユーザーを追加するためのポリシーを定義します

ウォッチリストにユーザーを追加した場合、最高スコアに基づいてウォッチリストの上位5人のユーザーを表示できます。

ウォッチリスト内のユーザー数ゼロ

すべてのユーザー 」ペインの 「もっと見る 」リンクをクリックすると、「 ユーザー」ページが表示されます。このページには、ウォッチリスト内のすべてのユーザーのリストが表示されます。

注:

[ ユーザー ] ダッシュボードと [ ユーザー ] ページには、選択した期間に関係なく、過去 13 か月間のウォッチリスト内のユーザー数が表示されます。期間を選択すると、選択した時間に基づいてリスク指標の発生が変化します。

詳細: ウォッチリスト

リスクカテゴリー

リスクカテゴリのドーナツチャートには 、選択した期間における指標の出現回数がリスクカテゴリ別にまとめられています。各チャートセグメントにカーソルを合わせると、ユニークユーザー数が表示され、 対応するリスク指標カテゴリの概要ページにリンクされます 。リスク分類はデフォルトとカスタムリスク指標でサポートされています。

リスクカテゴリダッシュボード

リスクカテゴリダッシュボードの目的は、Citrix Virtual Apps and Desktops およびCitrix DaaS管理者がユーザーリスクを管理し、専門家レベルのセキュリティ知識がなくてもセキュリティ担当者と簡単に話し合えるようにすることです。これにより、セキュリティ強制を組織レベルで有効にすることができ、セキュリティ管理者だけに限定されません。

使用例

Citrix Virtual Apps and Desktopsの管理者であり、組織内の従業員のアプリケーションアクセス権を管理しているとします。[ リスクカテゴリ ] > [ 侵害されたユーザー ] > [ 過度の認証失敗-NetScaler Gateway リスク指標] セクションに移動すると、アクセスを許可した従業員が侵害されたかどうかを評価できます。さらに移動すると、失敗の理由、サインイン場所、タイムラインの詳細、ユーザーの概要など、このリスク指標のより正確な洞察を得ることができます。アクセスを許可されたユーザーと侵害されたユーザーとの間に不一致があることに気付いた場合は、セキュリティ管理者にその旨を通知できます。セキュリティ管理者へのこのタイムリーな通知は、組織レベルでのセキュリティの実施に貢献します。

リスクカテゴリのユースケース

リスクカテゴリダッシュボードを分析するには

[ リスクカテゴリ ] ダッシュボードで [ 詳細を表示 ] を選択すると、リスクカテゴリの詳細をまとめたページにリダイレクトされます。このページには、次の詳細が含まれています。

  • リスクカテゴリレポート:選択した期間における各カテゴリのリスク指標の発生総数を表します。

    リスクカテゴリページ

  • タイムラインの詳細:選択した期間におけるすべてのリスクカテゴリの合計リスク指標の発生回数をグラフィカルに表示します。このセクションの下部に移動すると、リスクカテゴリに基づいて並べ替えて、リスク指標に関するより正確な洞察を得ることができます。

    リスクカテゴリページ

  • リスクカテゴリの概要:このセクションには、各カテゴリに関連付けられたリスク指標の影響、発生および重大度などの詳細が表示されます。任意のリスクカテゴリを選択して、そのカテゴリに関連付けられたリスク指標の詳細を表示します。たとえば、[ 侵害されたユーザー ] カテゴリを選択すると、[ 侵害されたユーザー ] ページにリダイレクトされます。

    リスクカテゴリページ

[ 侵害されたユーザー ] ページには、次の詳細が表示されます。

  • リスク指標レポート:選択した期間の [侵害されたユーザー] カテゴリに属するリスク指標を表示します。また、選択した期間中にトリガーされたリスク指標の合計発生回数も表示されます。

    [侵害されたユーザー] ページ

  • タイムラインの詳細:選択した期間におけるリスク指標の発生をグラフィカルに表示します。

    [侵害されたユーザー] ページ

  • リスク指標の概要:侵害されたユーザーのカテゴリで生成されたリスク指標の概要を表示します。このセクションには、重大度、データソース、リスクインジケータの種類、発生回数、および最後の発生も表示されます。

    [侵害されたユーザー] ページ

リスク指標を選択すると、その指標の詳細をまとめたページにリダイレクトされます。たとえば、[ 新しいデバイスからの初回アクセス ] リスク指標を選択すると、この指標の詳細をまとめたページにリダイレクトされます。概要には、このイベントの発生に関するタイムラインの詳細と、このリスク指標をトリガーしたユーザー、リスク指標の発生、およびイベントの時刻を一覧表示するユーザー概要が含まれます。ユーザーを選択すると、ユーザーのリスクタイムラインにリダイレクトされます。

[侵害されたユーザー] ページ

Citrix Analytics は、適切なリスクカテゴリの下にデフォルトのリスク指標をグループ化します。カスタムリスク指標の場合は、[ 指標の作成 ] ページでリスクカテゴリを選択する必要があります。詳細については、「 カスタムリスク指標」を参照してください。

リスクカテゴリのタイプ

データ流出

このカテゴリでは、マルウェア、または組織内のデバイスとの間で不正なデータ転送やデータ盗難を行う従業員によってトリガーされるリスク指標をグループ化します。指定した期間に発生したすべてのデータ漏洩アクティビティに関するインサイトを取得し、ユーザープロファイルにアクションをプロアクティブに適用することで、このカテゴリに関連するリスクを軽減できます。

データ漏えいリスクカテゴリには、次のリスク指標が分類されています:

データソース ユーザーリスク指標
Citrix Virtual Apps and Desktopsおよび Citrix DaaS データ流出の可能性

インサイダーの脅威

このカテゴリは、組織内の従業員によってトリガーされるリスク指標をグループ化します。従業員は企業固有のアプリケーションへのアクセスレベルが高いため、組織はセキュリティリスクにさらされる可能性が高くなります。危険な活動は、悪意のある内部関係者によって意図的に引き起こされたり、ヒューマンエラーの結果である可能性があります。いずれのシナリオでも、組織に対するセキュリティ上の影響は甚大です。このカテゴリは、指定した期間中に発生したすべての内部脅威活動に関する洞察を提供します。これらのインサイトを利用して、ユーザープロファイルにアクションを積極的に適用することで、このカテゴリに関連するリスクを軽減できます。

インサイダー脅威リスクカテゴリは、次のリスク指標をまとめてグループ化します。

データソース ユーザーリスク指標
Citrix Secure Private Access 禁止リストに登録された URL にアクセスしようとしています
Citrix Secure Private Access 過剰なデータのダウンロード
Citrix Secure Private Access 危険なウェブサイトへのアクセス
Citrix Secure Private Access 異常なアップロードボリューム

侵害されたユーザー

このカテゴリでは、ユーザーが不審なサインインやサインイン失敗などの異常な行動パターンを示すリスク指標をグループ化します。または、異常なパターンは、ユーザーアカウントが侵害された結果である可能性があります。特定の期間に発生したすべての侵害されたユーザーイベントに関するインサイトを取得し、ユーザープロファイルにアクションを積極的に適用することで、このカテゴリに関連するリスクを軽減できます。

侵害を受けたユーザーのリスクカテゴリでは、次のリスク指標がまとめられています。

データソース ユーザーリスク指標
Citrix Gateway エンドポイント分析スキャンの失敗
Citrix Gateway 過剰な認証失敗
Citrix Gateway あり得ない移動
Citrix Gateway 疑わしいIPからのログオン
Citrix Gateway 異常な認証の失敗
Citrix Virtual Apps and Desktopsおよび Citrix DaaS 疑わしいログオン
Citrix Virtual Apps and Desktopsおよび Citrix DaaS あり得ない移動
Microsoft Graph Security Azure AD アイデンティティ保護リスクインジケーター
Microsoft Graph Security エンドポイント向けMicrosoft Defender リスクインジケータ

侵害されたエンドポイント

このカテゴリは、デバイスがセキュリティ保護されていない動作を示す場合にトリガーされるリスク指標をグループ化します。

侵害されたエンドポイントのリスクカテゴリは、次のリスク指標をまとめてグループ化します。

データソース ユーザーリスク指標
Citrix Endpoint Management 管理対象外のデバイスが検出されました
Citrix Endpoint Management ジェイルブレイクまたはRoot化されたデバイスが検出されました
Citrix Endpoint Management 禁止リストに登録されたアプリが検出されたデバイス

リスク指標とアクション

選択した期間にトリガーされたリスク指標とユーザーに適用されたアクションを表示できます。新しいリスク指標とアクションの棒グラフには 、選択した期間から導き出された全体的な時間範囲とバー間隔とともに、時間の経過に伴う指標、アクション、およびイベントの数の詳細が表示されます。

リスク指標とアクション

インジケーターまたはアクションのいずれかのバーセグメントをクリックすると、インジケーターまたはアクションごとのカウントがそれぞれドリルダウンで視覚化されます。

リスク指標とアクションバー 1

リスク指標とアクションバー 2

指標のドリルダウンで、個々の指標バーをクリックすると、選択した期間の対応するリスク指標ページに移動します。

アクセスサマリー

このダッシュボードには、選択した期間のすべての Gateway アクセスイベントの概要が表示されます。NetScaler Gateway を介したアクセスの総数、成功したアクセス、および失敗したアクセスの数が表示されます。

グラフ上のポインタをクリックして、 ゲートウェイのセルフサービス検索ページを表示します 。サインインシナリオが成功すると、ゲートウェイアクセスイベントはページのステータスコードでソートされます。

概要ダッシュボードにアクセスする

ポリシーとアクション

選択した期間にユーザプロファイルに適用されたポリシーとアクションの上位 5 つが表示されます。 ポリシーとアクションに関する詳細情報を表示するには、[ポリシーと操作 ] ペインの [詳細を表示] リンクをクリックします。

ポリシーとアクションダッシュボード

トップポリシー

設定されている上位 5 つのポリシーは、発生数に基づいて決定されます。ダッシュボードの [ 上位ポリシー ] セクションで [ 詳細を表示] を選択すると、[ すべてのポリシー ] ページにリダイレクトされます。

ポリシーとアクションダッシュボード

すべてのポリシー

このページには、設定されているすべてのポリシーに関する詳細情報が表示されます。いずれかのポリシーを選択すると、[ ポリシーのセルフサービス検索 ]ページにリダイレクトされます。左側のペインで、適用されたアクションに基づいてフィルタリングできます。

ユーザー名を選択すると、リスクタイムラインにリダイレクトされます。ポリシーベースのアクションがユーザーのリスクタイムラインに追加されます。アクションを選択すると、その詳細がリスクタイムラインの右ペインに表示されます。

上位のアクション

ユーザープロファイルに適用されたポリシーに関連する上位 5 つのアクション。このセクションには、ユーザープロファイルに手動で適用したアクションは表示されません。上位のアクションは、出現回数によって決まります。

[ 詳細を表示 ] をクリックして、[アクション] ページでポリシーベースのアクションをすべて表示します

操作

このページには、選択した期間にユーザーに適用されたすべてのポリシーベースのアクションのリストが表示されます。次の情報が表示されます。

  • ポリシーに従って適用されるアクションの名前

  • アクションが適用されたユーザー数

  • アクションの出現回数

  • アクションに関連付けられているポリシーの数

  • 適用されたアクションの日時

ポリシーとアクションダッシュボード

アクションをクリックすると、関連付けられているすべてのポリシーが表示されます。これらのポリシーは、出現回数に基づいてソートされます。たとえば、[ アクション ] ページで [ エンドユーザー応答を要求 ] をクリックします。[ すべてのポリシー ] ページには、[ エンドユーザーレスポンスの要求 ] アクションに関連付けられているすべてのポリシーが表示されます。

ポリシーとアクションダッシュボード

[ すべてのポリシー (All Policies)] ページで、ポリシーをクリックして、アクションが適用されたユーザーイベントを表示します。

リスクインジケータ

選択した期間の上位 5 つのリスク指標を要約します。リスク指標は、 デフォルトまたはカスタムにすることができます。デフォルトのリスク指標の場合、Citrix Analytics は検出されたデータソースからデータを収集し、データ処理が有効になっています。

カスタムリスク指標の場合、Citrix Analytics は、生成された危険なイベントに基づいて、次のデータソースからデータを収集します。

  • Citrix Gateway
  • Citrix Secure Private Access
  • Citrix Virtual Apps and Desktops
  • Citrix DaaS(旧称:Citrix Virtual Apps and Desktopsサービス)

[ リスク指標 ] ペインでは、上位 5 つのリスク指標を表示し、発生総数または重大度に基づいて並べ替えることができます。

リスク指標ペイン

[ リスク指標] ペインの [ **詳細を表示 ] をクリックして、[ リスク指標の概要** ] ページを表示します。

リスク指標の概要

ユーザーダッシュボード