Citrix Analytics for Security

毎週のメール通知

Citrix Analyticsは、組織のITインフラストラクチャにおけるセキュリティリスクの概要を記載した電子メール通知を毎週送信します。毎週の通知により、前週に発生したリスクの高いイベントとその発生を常に把握し、通知することができます。Citrix Analytics にサインインしなくても、注意やアクションが必要なイベントがあるかどうかを確認できます。この情報により、IT セキュリティドメインで何が起きているかを常に把握できます。

メール通知を有効にする

  • フルアクセス権限またはカスタムアクセス権を持つCitrix Cloud管理者の場合、メール通知はCitrix Cloudアカウントでデフォルトで無効になっています。Citrix AnalyticsなどのCitrix Cloud サービスから電子メール通知を受信するには、Citrix Cloud で通知オプションを有効にします。詳細については、「 メール通知を受信する」を参照してください。Active Directory/Azure AD グループを通じて追加された管理者は、通知設定を使用できません。
  • デフォルトでは、メール通知はCitrixセキュリティ管理者(デフォルトリスト)に送信されます。これを変更するには、毎週のアラートのカスタム配布リスト受信者を設定します。詳細については、「 管理者メール設定」を参照してください。

Citrix Analytics からメールが届くのはいつですか

毎週火曜日に、Citrix Cloud から電子メール通知が送信されます < donotreplynotifications@citrix.com >。

電子メール通知では、次の情報が提供されます。

  • 処理されたイベントの総数、検出されたリスク指標、および適用されたアクションの概要
  • アクティブなデータソースの総数とデータエクスポートの消費状況の概要
  • 上位 3 つのリスク指標
  • リスク指標に対して取られた措置の上位3つ
  • アクティブユーザーの総数とリスクの高いユーザーの総数
  • 注意が必要なイベントや行動

毎週のメール通知

アカウントサマリー

毎週のメールには、処理されたイベントの総数、検出されたリスク指標、および適用されたアクションの概要が記載されています。

アカウントサマリー

データサマリー

毎週のメールには、データエクスポートの消費状況とともに、有効になっているデータソースに関するインサイトも記載されています。

データソース

メールの「 データソースの管理 」をクリックすると、Citrix Analytics の「 データソース 」ページが表示されます。データソースをオンボードしてデータ処理を有効にすると、Citrix Analytics でデータを処理できるようになります。分析の有効化の詳細については、「 データソースで分析を有効にする 」を参照してください。

SIEMエクスポートの管理またはトラブルシューティング ]をクリックすると、Citrix Analyticsの[データエクスポート]ページが表示され、環境のトラブルシューティングやデータエクスポート設定の管理を行うことができます。

ユーザー情報

毎週のメールには、ユーザーの総数と危険な行動をとったユーザーの総数に関する洞察が記載されています。

  • 高リスクユーザーの数 — 赤色で表示されます。それらは組織にとって差し迫った脅威となります。

  • 中リスクの数 — オレンジ色で表示されます。選択した週に、アカウントに複数の重大な違反があったため、注意深く監視する必要があります。

  • 低リスクユーザーの数 — 黄色で示されます。アカウントには重大な違反がいくつかありますが、脅威とは見なされない可能性があります。

発見されたユーザー情報

詳細については、「 危険なユーザー」を参照してください。

Citrix Analyticsの「 **リスクの高いユーザー」ページを表示するには、「ユーザーについて詳しく知る** 」をクリックします。アクティブユーザーとリスク分類についてより深い洞察を得ることができます。

トップリスク指標

毎週のメールには、 選択した週の上位3つのリスク指標と発生回数に関する洞察が記載されています。発生回数に応じて、選択した週のデフォルトリスク指標とカスタムリスク指標の両方が表示されます。

トップリスク指標

詳細については、「 リスク指標」を参照してください。

メールに記載されている「 リスク指標の詳細 」をクリックすると、Citrix Analytics の「 リスク指標の概要 」ページが表示されます。

上位のアクション

毎週のメールには、先週発生した疑わしい脅威や異常な脅威への対応として取られた上位3つのアクションに関する洞察が記載されています。発生回数に応じて、選択した週のグローバルアクションとNetScaler Gatewayアクションの両方が表示されます。

上位のアクション

アクションの詳細とアクションの設定については、「 ポリシーとアクション」を参照してください。

メールに記載されたアクションの詳細を確認をクリックすると 、Citrix Analytics の「 トップアクション 」ページが表示されます。

メールを受信した後、どのようなアクションを取る必要がありますか

毎週メールを送信すると、注意が必要なイベントやアクションがあるかどうかを確認できます。

  • その週のリスク指標が検出されない場合、カスタムリスク指標をさらに作成するように求める次のメッセージが表示されます。

    リスク指標なし

Citrix Analytics にログインして、より多くのカスタムリスク指標を作成できます。

  • Security Analytics でどのデータソースもオンになっていない場合は、データソースのデータ処理を有効にするように求める次のメッセージが表示されます。

    データソースがオンになっていません

  • どのポリシーも監視モードになっていない場合は、ポリシーを強制モードに移行するように求める次のメッセージが表示されます。

    監視モードのポリシー

  • その週の上位 3 つのリスク指標のいずれにもポリシーが設定されていない場合は、ポリシーを作成するように求める次のメッセージが表示されます。

    ポリシー設定なし

  • Citrix Analytics テナントでデータエクスポートを有効にしていない場合 、以下の推奨事項に従うと、Citrix データをSIEM環境にエクスポートできるデータエクスポートオプションの詳細がわかります

    データエクスポートを有効にする

  • データエクスポートの消費ステータスが非アクティブの場合、サービスをアクティブ化するように求める次のメッセージが表示されます。

    データエクスポートの消費状況

注:

データ送信は、少なくとも 1 つのデータソースでデータ処理がオンになっている場合にのみ有効になります。すべてのデータソースでデータ処理がオフになっている場合は、データソースを有効にするよう求める次の警告メッセージが表示されます。

データ送信は有効になっています

毎週のメール通知