ユーザーダッシュボード
概要
ユーザーダッシュボードは、ユーザー行動分析と脅威防止の出発点です。
このダッシュボードは、組織全体のユーザー行動パターンを可視化します。このデータを使用すると、フィッシングやランサムウェア攻撃など、異常な行動をプロアクティブに監視、検出、フラグ付けできます。
ユーザーダッシュボードを表示するには、セキュリティ > ユーザーに移動します。ユーザーダッシュボードには、次のセクションが含まれています。
-
ユーザーアクティビティステータス: 総ユーザー数、アクティブユーザー数、非アクティブユーザー数の分布
-
ユーザーリスク分布: アクティブユーザー、非アクティブユーザー、総ユーザーの分布、および選択した期間における最高計算リスクスコアに基づいて、高、中、低プロファイルの危険なユーザーの分布
-
上位ユーザー: 上位ユーザーはリスクスコアでソートされ、すべてのユーザー、特権ユーザー、ウォッチリストユーザーに分類されます
-
リスクカテゴリ: Citrix Analyticsがサポートするリスクカテゴリを表示します。類似の行動パターンを持つリスクインジケーターはカテゴリにグループ化されます
-
リスクインジケーターとアクション: 組織内のすべてのユーザーにわたって、選択した期間にわたってプロットされたリスクインジケーターとアクションの分布
-
アクセス概要: ユーザーが組織内のリソースにアクセスしようとした合計回数を要約します
-
ポリシーとアクション: ユーザープロファイルに適用された上位5つのポリシーとアクションを表示します
-
リスクインジケーター: 組織内の上位5つのリスクインジケーターを表示します
ユーザーアクティビティステータス
Analyticsを有効にしているデータソースを使用している組織内の総ユーザー数。これらのユーザーには、リスクスコアが関連付けられている場合と関連付けられていない場合があります。このタイルは、アクティブユーザーの数を示します。アクティブユーザーとは、選択した期間内にイベントが検出されたユーザーです。ユーザーアクティビティステータスのドロップダウンメニューをクリックすると、総ユーザーのアクティブユーザーと非アクティブユーザーへの分布を表示できます。
- 総ユーザー: 選択した期間内の総ユーザー数
- アクティブユーザー: 選択した期間内にイベントが検出されたユーザー
- 非アクティブユーザー: 選択した期間内にイベントが検出されなかったユーザー
ユーザーダッシュボードの総ユーザー数は、すべてのユーザーが危険であるとは限らないため、危険なユーザーの数よりも多くなる可能性があります。
注
ユーザーページでは、選択した期間に関係なく、過去30日間の総ユーザー数が表示されます。
ファセット
次のカテゴリに基づいてユーザーイベントをフィルタリングします。
-
リスクスコア: 高リスク、中リスク、低リスク、ゼロリスクスコアに基づくユーザーイベント
-
ユーザー: 管理者特権、エグゼクティブ特権、ウォッチリストユーザーに基づくユーザーイベント
-
検出されたデータソース: オンボーディングしたデータソースに基づくユーザーイベント
検索ボックス
検索ボックスを使用して、ユーザーのイベントを検索します。クエリで演算子を使用して、検索の焦点を絞り込むことができます。クエリで使用できる有効な演算子の詳細については、「セルフサービス検索」を参照してください。
最新スコア
リスクスコアは、特定の期間にユーザーが組織にもたらすリスクのレベルを決定します。リスクスコアの値は動的であり、ユーザー行動分析に基づいて変化します。最新のリスクスコアに基づいて、ユーザーは高リスクユーザー、中リスクユーザー、低リスクユーザー、ゼロリスクスコアのユーザーのいずれかのカテゴリに分類されます。
ユーザー
Analyticsによって検出されたすべてのユーザーのリスト。ユーザー名を選択して、ユーザー情報とユーザーのリスクタイムラインを表示します。ユーザーはリスクインジケーターをトリガーしている場合とトリガーしていない場合があります。このユーザーに関連付けられた危険なイベントがない場合は、次のメッセージが表示されます。
ユーザーに関連付けられた危険なイベントがある場合は、リスクタイムラインにリスクインジケーターが表示されます。ユーザーを選択して、リスクタイムラインを表示します。
ユーザーはprivilegedとしてマークされ、ウォッチリストに追加できます。
検出されたデータソース
ユーザーに関連付けられたデータソース。ユーザーがデータソースをアクティブに使用している場合、Analyticsはそのデータソースからユーザーイベントを受信します。ユーザーイベントを受信するには、データソースページで利用可能なデータソースサイトカードでデータ処理をオンにする必要があります。
トリガーされたインジケーター
選択した期間にわたってユーザー全体でトリガーされたリスクインジケーターの数を示します。トリガーされたインジケータータイルをクリックして、リスクインジケーターの詳細を表示します。リスクインジケーターテーブルには、次の詳細が表示されます。
- 名前: リスクインジケーター名
- 重大度: イベントに関連付けられたリスクの重大度。リスクは高、中、低のいずれか
- データソース: リスクインジケーターテンプレートが適用されるデータソース
- タイプ: リスクインジケーターのタイプ。リスクインジケーターはデフォルトまたはカスタムのいずれか
- 発生回数: ユーザーに対してリスクインジケーターがトリガーされた回数。期間を選択すると、リスクインジケーターの発生回数は時間の選択に基づいて変化します
- 最終発生: 最終発生日時を表示します
適用されたアクション
選択した期間にわたってユーザー全体に適用されたアクションの数を示します。これには、管理者によって手動で適用されたアクションと、ポリシー駆動型のアクションが含まれます。適用されたアクションタイルをクリックして、アクションの詳細を表示します。このセクションには、ユーザープロファイルに手動で適用したアクションは表示されません。
アクションテーブルには、次の情報が表示されます。
- アクション: ポリシーに従って適用されたアクションの名前
- ユーザー: アクションが適用されたユーザーの数
- 発生回数: アクションの発生回数
- 日時: 適用されたアクションの日時
処理されたイベント
接続されたデータソースから受信し、Analyticsによって処理されたユーザーイベントの総数。
ユーザーリスク分布
選択した期間における最高計算リスクスコアに基づいて、高、中、低プロファイルのユーザー数を表示できます。全体的なカウントの下には、低、中、高リスクユーザーの分布の時間経過による変化を示す棒グラフが表示されます。
リスクレベルは3つの色コードに分類されます。
- 赤 - 高リスクユーザーを表します
- オレンジ – 中リスクユーザーを表します
- グレー – 低リスクユーザーを表します
特定の期間に基づいてカラーバーにマウスを合わせると、危険なユーザー(高、中、低)の数を表示できます。データ間隔情報とともに、最終更新の詳細(日時)を表示できます。任意のカラーバーをクリックすると、その期間の危険なユーザーが表示されます。更新オプションをクリックすると、更新されたデータが取得されます。
危険なユーザー
危険なユーザーとは、危険なイベントが関連付けられており、少なくとも1つのリスクインジケーターをトリガーしたユーザーです。ユーザーが特定の期間にネットワークにもたらすリスクのレベルは、ユーザーに関連付けられたリスクスコアによって決定されます。リスクスコアの値は動的であり、ユーザー行動分析に基づいています。
各ユーザーのリスクは、ユーザーアクティビティに基づいて時間の経過とともに定期的に更新されます。したがって、ユーザーは一時的に中リスクまたは高リスクになることがありますが、後でより低いリスクレベルに低下する可能性があります。リスクスコアに基づいて、危険なユーザーは次のいずれかのカテゴリに分類されます。
危険なユーザーページでは、ファセットを使用して、選択した期間に関連付けられたリスクレベルに基づいてフィルタリングしたり、検索バーを使用して特定のユーザーをクエリしたりできます。
ユーザーのメールIDをクリックすると、その特定の選択されたユーザーのリスクタイムラインページが表示されます。このページには、選択した期間に基づいて、リスクインジケーターと最新および最高リスクスコアの詳細が表示されます。
高リスク
リスクスコアが90から100のユーザー。これらのユーザーは、中程度から重度のリスク要因と一致する複数の行動を示しており、組織に対する差し迫った脅威を表す可能性があります。
ユーザーダッシュボードでは、選択した期間における最高計算リスクスコアに基づいて、高リスクユーザーの数を表示できます。
高リスクオプションをクリックすると、危険なユーザーページが表示されます。このページには、高リスクユーザーに関する詳細が表示されます。
中リスク
リスクスコアが70から89のユーザー。これらのユーザーは通常、潜在的に疑わしい、または異常に見える1つ以上のアクティビティを持っており、綿密な監視に値する可能性があります。
中リスクオプションをクリックすると、危険なユーザーページが表示されます。このページには、中リスクユーザーに関する詳細が表示されます。
低リスク
リスクスコアが1から69のユーザー。これらのユーザーは、異常または予期しない行動を反映する少なくとも1つのリスクインジケーターを持っていますが、より深刻なリスク分類を正当化するほどではありません。
低リスクオプションをクリックすると、危険なユーザーページが表示されます。このページには、低リスクユーザーに関する詳細が表示されます。
上位ユーザー
選択した期間の最高リスクスコアでソートされた、さまざまなユーザーカテゴリの上位ユーザーを表示できます。次の上位ユーザーテーブルは、最新のリスクスコアではなく、選択した期間にわたって計算されたリスクスコアに基づいて、上位5つの最高リスクユーザー(すべてのユーザー、特権ユーザー、ウォッチリストユーザー)を示します。
注
以前のバージョンでは、上位ユーザーテーブルは、選択した期間に関係なく、常に最新のリスクスコアを表示していました。
ウォッチリストユーザー
潜在的な脅威を綿密に監視するユーザーのリスト。たとえば、組織内のフルタイム従業員ではないユーザーをウォッチリストに追加して監視できます。特定の危険なインジケーターを頻繁にトリガーするユーザーを監視することもできます。ユーザーをウォッチリストに手動で追加するか、ポリシーを定義してユーザーをウォッチリストに追加します。
ウォッチリストにユーザーを追加した場合、最高スコアに基づいてウォッチリスト内の上位5人のユーザーを表示できます。
すべてのユーザーペインの詳細を表示リンクをクリックすると、ユーザーページが表示されます。このページには、ウォッチリスト内のすべてのユーザーのリストが表示されます。
注
ユーザーダッシュボードとユーザーページでは、選択した期間に関係なく、過去13か月間のウォッチリスト内のユーザー数が表示されます。期間を選択すると、リスクインジケーターの発生回数は時間の選択に基づいて変化します。
詳細情報: ウォッチリスト
リスクカテゴリ
リスクカテゴリドーナツチャートは、選択した期間におけるリスクカテゴリごとのインジケーター発生回数を要約します。各チャートセグメントにマウスを合わせると、一意のユーザー数が表示され、対応するリスクインジケーターカテゴリ概要ページにリンクします。リスク分類は、デフォルトおよびカスタムのリスクインジケーターによってサポートされています。
リスクカテゴリダッシュボードの目的は、Citrix Virtual Apps and DesktopsおよびCitrix DaaS管理者がユーザーリスクを管理し、専門家レベルのセキュリティ知識を必要とせずにセキュリティ担当者と簡素化された議論を行うことを可能にすることです。これにより、セキュリティの実施が組織レベルで有効になり、セキュリティ管理者のみに限定されません。
ユースケース
Citrix Virtual Apps and Desktops管理者であり、組織内の従業員のアプリケーションアクセス権を管理しているとします。リスクカテゴリ > 侵害されたユーザー > 過剰な認証失敗 - Citrix Gatewayリスクインジケーターセクションに移動すると、アクセスを許可した従業員が侵害されたかどうかを評価できます。さらに詳しく調べると、失敗の理由、サインイン場所、タイムラインの詳細、ユーザー概要など、このリスクインジケーターに関するより正確な洞察を得ることができます。アクセスを許可されたユーザーと侵害されたユーザーとの間に矛盾があることに気付いた場合は、セキュリティ管理者に通知できます。セキュリティ管理者へのこのタイムリーな通知は、組織レベルでのセキュリティの実施に貢献します。
リスクカテゴリダッシュボードの分析方法
リスクカテゴリダッシュボードで詳細を表示を選択すると、リスクカテゴリに関する詳細を要約したページにリダイレクトされます。このページには、次の詳細が含まれています。
-
リスクカテゴリレポート: 選択した期間における各カテゴリの総リスクインジケーター発生回数を表します。
-
タイムラインの詳細: 選択した期間におけるすべてのリスクカテゴリの総リスクインジケーター発生回数をグラフで表示します。このセクションの下部に移動すると、リスクインジケーターに関するより正確な洞察を得るためにリスクカテゴリに基づいてソートできます。
-
リスクカテゴリ概要: このセクションでは、各カテゴリに関連付けられたリスクインジケーターの影響、発生回数、重大度などの詳細が表示されます。任意のリスクカテゴリを選択して、そのカテゴリに関連付けられたリスクインジケーターの詳細を表示します。たとえば、侵害されたユーザーカテゴリを選択すると、侵害されたユーザーページにリダイレクトされます。
侵害されたユーザーページには、次の詳細が表示されます。
-
リスクインジケーターレポート: 選択した期間の侵害されたユーザーカテゴリに属するリスクインジケーターを表示します。また、選択した期間中にトリガーされたリスクインジケーターの総発生回数も表示されます。
-
タイムラインの詳細: 選択した期間のリスクインジケーター発生回数をグラフで表示します。
-
リスクインジケーター概要: 侵害されたユーザーカテゴリの下で生成されたリスクインジケーターの概要を表示します。このセクションには、重大度、データソース、リスクインジケータータイプ、発生回数、最終発生も表示されます。
リスクインジケーターを選択すると、そのインジケーターの詳細を要約したページにリダイレクトされます。たとえば、新しいデバイスからの初回アクセスリスクインジケーターを選択すると、このインジケーターの詳細を要約したページにリダイレクトされます。概要には、このイベントの発生に関するタイムラインの詳細と、このリスクインジケーターをトリガーしたユーザー、リスクインジケーターの発生回数、イベントの時刻をリストするユーザー概要が含まれます。ユーザーを選択すると、ユーザーのリスクタイムラインにリダイレクトされます。
注
Citrix Analyticsは、デフォルトのリスクインジケーターを適切なリスクカテゴリにグループ化します。カスタムリスクインジケーターの場合、インジケーターの作成ページでリスクカテゴリを選択する必要があります。詳細については、「カスタムリスクインジケーター」を参照してください。
リスクカテゴリの種類
データ漏洩
このカテゴリは、マルウェアによって、または組織内のデバイスとの間で不正なデータ転送やデータ盗難を実行する従業員によってトリガーされるリスクインジケーターをグループ化します。指定された期間に発生したすべてのデータ漏洩アクティビティに関する洞察を得て、ユーザープロファイルにプロアクティブにアクションを適用することで、このカテゴリに関連するリスクを軽減できます。
データ漏洩リスクカテゴリは、次のリスクインジケーターをグループ化します。
| データソース | ユーザーリスクインジケーター |
|---|---|
| Citrix Virtual Apps and DesktopsおよびCitrix DaaS | 潜在的なデータ漏洩 |
内部脅威
このカテゴリは、組織内の従業員によってトリガーされるリスクインジケーターをグループ化します。従業員は企業固有のアプリケーションへのアクセスレベルが高いため、組織はセキュリティリスクにさらされる可能性が高くなります。危険なアクティビティは、悪意のある内部関係者によって意図的に引き起こされる場合もあれば、人為的なエラーの結果である場合もあります。いずれのシナリオでも、組織へのセキュリティへの影響は壊滅的です。このカテゴリは、指定された期間に発生したすべての内部脅威アクティビティに関する洞察を提供します。これらの洞察の助けを借りて、ユーザープロファイルにプロアクティブにアクションを適用することで、このカテゴリに関連するリスクを軽減できます。
内部脅威リスクカテゴリは、次のリスクインジケーターをグループ化します。
| データソース | ユーザーリスクインジケーター |
|---|---|
| Citrix Secure Private Access™ | ブラックリストに登録されたURLへのアクセス試行 |
| Citrix Secure Private Access | 過剰なデータダウンロード |
| Citrix Secure Private Access | 危険なWebサイトアクセス |
| Citrix Secure Private Access | 異常なアップロード量 |
侵害されたユーザー
このカテゴリは、ユーザーが疑わしいサインインやサインイン失敗などの異常な行動パターンを示すリスクインジケーターをグループ化します。あるいは、異常なパターンはユーザーアカウントが侵害された結果である可能性もあります。指定された期間に発生したすべての侵害されたユーザーイベントに関する洞察を得て、ユーザープロファイルにプロアクティブにアクションを適用することで、このカテゴリに関連するリスクを軽減できます。
侵害されたユーザーのリスクカテゴリは、次のリスクインジケーターをグループ化します。
| データソース | ユーザーリスクインジケーター |
|---|---|
| Citrix Gateway | エンドポイント分析スキャン失敗 |
| Citrix Gateway | 過剰な認証失敗 |
| Citrix Gateway | 不可能な移動 |
| Citrix Gateway | 疑わしいIPからのログオン |
| Citrix Gateway | 異常な認証失敗 |
| Citrix Virtual Apps and DesktopsおよびCitrix DaaS | 疑わしいログオン |
| Citrix Virtual Apps and DesktopsおよびCitrix DaaS | 不可能な移動 |
| Microsoft Graph Security | Azure AD Identity Protectionリスクインジケーター |
| Microsoft Graph Security | Microsoft Defender for Endpointリスクインジケーター |
侵害されたエンドポイント
このカテゴリは、デバイスが侵害を示す可能性のある安全でない動作を示すときにトリガーされるリスクインジケーターをグループ化します。
侵害されたエンドポイントリスクカテゴリは、次のリスクインジケーターをグループ化します。
| データソース | ユーザーリスクインジケーター |
|---|---|
| Citrix Endpoint Management™ | 管理対象外デバイスの検出 |
| Citrix Endpoint Management | ジェイルブレイクまたはルート化されたデバイスの検出 |
| Citrix Endpoint Management | ブラックリストに登録されたアプリを持つデバイスの検出 |
リスクインジケーターとアクション
選択した期間のユーザーに対してトリガーされたリスクインジケーターと適用されたアクションを表示できます。新しいリスクインジケーターとアクション棒グラフは、選択した期間から導き出された全体的な時間範囲とバー間隔で、インジケーター、アクション、およびイベントの詳細のカウントを時間の経過とともに提供します。
インジケーターまたはアクションのいずれかのバーセグメントをクリックすると、それぞれインジケーターまたはアクションごとのカウントのドリルダウン視覚化が表示されます。
インジケーターのドリルダウンで、個々のインジケーターバーをクリックすると、選択した期間の対応するリスクインジケーターページに移動します。
アクセス概要
このダッシュボードは、選択した期間のすべてのGatewayアクセスイベントを要約します。Citrix Gatewayを介した総アクセス数、成功したアクセス数、失敗したアクセス数を示します。
グラフ上のポインターをクリックすると、Gatewayのセルフサービス検索ページが表示されます。サインインが成功したシナリオの場合、Gatewayアクセスイベントはページ上のステータスコードによってソートされます。
ポリシーとアクション
選択した期間にユーザープロファイルに適用された上位5つのポリシーとアクションを表示します。ポリシーとアクションペインの詳細を表示リンクをクリックすると、ポリシーとアクションに関する詳細情報が表示されます。
上位ポリシー
上位5つの構成済みポリシーは、発生回数に基づいて決定されます。ダッシュボードの上位ポリシーセクションにいて詳細を表示を選択すると、すべてのポリシーページにリダイレクトされます。
すべてのポリシー
このページには、構成されているすべてのポリシーに関する詳細情報が表示されます。ポリシーを選択すると、ポリシーのセルフサービス検索ページにリダイレクトされます。左側のペインでは、適用されたアクションに基づいてフィルタリングできます。
ユーザー名を選択すると、リスクタイムラインにリダイレクトされます。ポリシーベースのアクションは、ユーザーのリスクタイムラインに追加されます。アクションを選択すると、その詳細がリスクタイムラインの右側のペインに表示されます。
上位アクション
ユーザープロファイルに適用されたポリシーに関連付けられた上位5つのアクション。このセクションには、ユーザープロファイルに手動で適用したアクションは表示されません。上位アクションは、発生回数によって決定されます。
詳細を表示をクリックすると、アクションページですべてのポリシーベースのアクションが表示されます。
アクション
このページには、選択した期間にユーザーに適用されたすべてのポリシーベースのアクションのリストが表示されます。次の情報が表示されます。
-
ポリシーに従って適用されたアクションの名前
-
アクションが適用されたユーザーの数
-
アクションの発生回数
-
アクションに関連付けられたポリシーの数
-
適用されたアクションの日時
アクションをクリックすると、関連付けられたすべてのポリシーが表示されます。これらのポリシーは、発生回数に基づいてソートされます。たとえば、アクションページでエンドユーザー応答を要求をクリックします。すべてのポリシーページには、エンドユーザー応答を要求アクションに関連付けられたすべてのポリシーが表示されます。
すべてのポリシーページでポリシーをクリックすると、アクションが適用されたユーザーイベントが表示されます。
リスクインジケーター
選択した期間の上位5つのリスクインジケーターを要約します。リスクインジケーターは、デフォルトまたはカスタムのいずれかです。デフォルトのリスクインジケーターの場合、Citrix Analyticsは、検出されたデータソースからデータを収集し、データ処理が有効になっています。
カスタムリスクインジケーターの場合、Citrix Analyticsは、生成された危険なイベントに基づいて、次のデータソースからデータを収集します。
- Citrix Gateway
- Citrix Secure Private Access
- Citrix Virtual Apps and Desktops™
- Citrix DaaS (旧称 Citrix Virtual Apps™ and Desktops service)
リスクインジケーターペインでは、上位5つのリスクインジケーターを表示し、総発生回数または重大度に基づいてソートできます。
リスクインジケーターペインの詳細を表示をクリックすると、リスクインジケーター概要ページが表示されます。
