Citrix の目標は、Citrix Analytics のお客様が利用可能になった時点で、新機能と製品アップデートを提供することです。新しいリリースはより多くの価値を提供するため、アップデートを遅らせる理由はありません。

お客様にとって、このプロセスは透過的です。最初のアップデートは Citrix の内部サイトにのみ適用され、その後、お客様の環境に段階的に適用されます。アップデートを段階的に提供することで、製品の品質を確保し、可用性を最大化できます。

2024年4月15日

新しいエグゼクティブサマリーレポート

複数のレポートを1つのエグゼクティブレポートに統合し、必要な期間でスケジュールできるようになりました。この新機能により、必要なグラフィック情報のみを対象者に提供できます。詳しくは、「エグゼクティブサマリーレポート」を参照してください。

2024年1月29日

Workspace アプリステータスフィールドの更新

• セルフサービス検索: Citrix Apps and Desktops データソースに新しく導入された Workspace アプリステータスフィールドを利用して、Workspace アプリバージョンのサポートステータスを検索するクエリを実行できるようになりました。
• ユーザー: Workspace アプリステータス列は削除されました。

詳しくは、「Apps and Desktops のセルフサービス検索」を参照してください。

2024年1月25日

CAS UI の不整合の解消

Apps and Desktops データソースの セルフサービス検索機能で、以下の問題が解決されました。

• 以前はセッション内で順不同に表示されていたイベントが、正しく表示されるようになりました。
• デフォルトの列が更新されました。

2024年1月24日

SIEM 環境でのユーザープロファイルイベントの強化

SIEM 環境にエクスポートされるユーザープロファイルイベントには、以下が含まれるようになりました。

• IP アドレスのインサイト
• Citrix Virtual Apps and Desktops™ および Citrix DaaS (旧 Citrix Virtual Apps and Desktops サービス) のロケーションインサイト

これらの新しい機能強化により、組織のデータにアクセスするために使用されたクライアントの IP アドレスを特定し、Citrix Virtual Apps and Desktops および Citrix DaaS の両方からユーザーのロケーション情報を収集できます。

詳しくは、「SIEM のリスクインサイトデータ」を参照してください。

2023年12月1日

週次メールと SIEM アラートの管理者メール設定ページ

新しい 管理者メール設定機能を使用すると、システムアラートのカスタム配信リスト受信者を構成できます。この機能強化により、管理者は自分に関連するシステムアラートのみを受信できます。

詳しくは、「管理者メール設定」を参照してください。

ユーザーダッシュボード - 新しいアクティブユーザー数時間フィルターと概要セクションの更新

ユーザーダッシュボードの新しい時間フィルターを使用すると、Citrix Analytics を有効にしているデータソースを考慮して、特定の期間における組織のアクティブユーザーの総数を表示および変更できます。

ユーザーダッシュボードの強化された 概要セクションには、組織のユーザー総数と、現在ログオンしているアクティブユーザーおよび非アクティブユーザーの数が表示されます。

詳しくは、「ユーザーダッシュボード」を参照してください。

強化されたカスタムレポート

• Citrix Analytics for Security で利用可能なイベントとインサイトを使用して、カスタムレポートを作成およびスケジュールできるようになりました。カスタムレポートは、特定の関心のある情報を抽出し、データをグラフィカルに整理するのに役立ちます。
• セルフサービス検索クエリベースのレポート、テンプレート、より優れた視覚化、すべてのデータソースとメトリックのカバー、レポートのスケジュール設定、PDF のエクスポートなど、強化されたカスタムレポートプラットフォーム機能を使用できるようになりました。

詳しくは、「カスタムレポート」を参照してください。

2023年11月30日

Citrix Analytics からのすべての ShareFile 機能の削除

以下の ShareFile 検出機能が削除されました。

• 共有リンク
• 関連するリスクインジケーター
• 発生を伴うポリシー
• コンテンツコラボレーションデータエクスポート構成
• コンテンツコラボレーションレポート
• 検索でのコンテンツコラボレーションデータソース
• コンテンツコラボレーション保存済み検索
• コンテンツコラボレーションデータソース

これらの機能の削除により、リスクスコアとユーザータイムラインに一時的な不整合が生じる可能性があります。その他のすべての Citrix Analytics 機能は変更されません。

ShareFile.com から直接、ShareFile がセキュリティコントロールへのアクセスを簡素化する方法について説明します。

2023年9月22日

カスタムインジケーターの Citrix Secure Browser データソース

Citrix Secure Browser データソースのカスタムリスクインジケーターを作成して、Secure Browser でのユーザーのアクティビティを追跡できるようになりました。詳しくは、「カスタムインジケーター」を参照してください。

SIEM データエクスポートによる週次メールの強化

週次メールは、SIEM データエクスポートを有効にすることで、組織のセキュリティ体制に関するより深いインサイトを提供するように強化されました。より多くのデータソースをオンボーディングしてアクティブ化し、ユーザーに関する幅広いイベントを発見できるようになりました。週次メールには、以下の新しい追加機能が含まれています。

• データサマリーセクションには、SIEM 環境でのデータ消費のステータスが表示されます。
• データエクスポート消費ステータスに基づいたデータエクスポートの推奨事項。

詳しくは、「週次メール通知」を参照してください。

メールでのカスタム管理者の通知設定の消費

Citrix Analytics for Security は、Citrix Cloud でカスタム管理者が設定した通知設定を尊重するようになりました。この機能強化により、カスタム管理者は通知設定を管理する際の柔軟性が向上します。この設定は、週次メール、管理者への通知アクションメール、データエクスポートのアラートなどの通知メールを送信する際にも利用されます。

詳しくは、「Security Analytics の管理者ロールの管理」を参照してください。

2023年7月4日

セルフサービス検索とカスタムインジケーターでの OR 演算子サポート

OR 演算子が セルフサービス検索と カスタムリスクインジケーター機能で利用可能になりました。セルフサービス検索やカスタムインジケータークエリなどの検索ビューで OR 演算子を使用できます。

詳しくは、「検索クエリでサポートされる演算子」を参照してください。

2023年6月15日

VDA クリップボードテレメトリの有効化

Citrix Apps and Desktops でクリップボード操作を開始すると、VDA.Clipboard というイベントがトリガーされます。これらのクリップボードログは、VDA 名、クリップボードサイズ、クリップボード形式タイプ、クライアント IP、クリップボード操作、クリップボード操作方向、クリップボード操作が許可されたかどうかなどの重要な情報を提供します。VDA クリップボードイベント属性は、セルフサービス検索およびカスタムリスクインジケーターワークフローでも利用できます。

• セルフサービス検索: VDA.Clipboard イベントとそのすべての属性の詳細をレポートとして生成し、クエリを保存して確認できます。
• カスタムリスクインジケーター: VDA クリップボードイベントの属性は、カスタムインジケーターワークフローで利用できます。これらのイベントキー/値のペアを使用して、カスタムインジケータートリガーを構成し、アクションを含む自動ポリシーを設定できます。

セキュリティ監視のためのクリップボードメタデータ収集ポリシーを使用して、クリップボードテレメトリとクリップボードログの Citrix Analytics for Security への送信を有効にできます。デフォルトでは、このポリシーは有効になっています。無効にするには、ポリシーページに移動して無効にし、VDA からのデータ収集を停止します。

詳しくは、「Citrix DaaS のクリップボードテレメトリの有効化」を参照してください。

2023年6月14日

Citrix Analytics for Security での Session Recording アプリライフサイクルおよびレジストリイベントの利用

Session Recording からの以下の アプリライフサイクルおよび レジストリイベントが、Citrix Analytics for Security で利用可能になりました。

• Citrix.EventMonitor.RegistryChange
• Citrix.EventMonitor.SessionLaunch
• Citrix.EventMonitor.SessionEnd
• Citrix.EventMonitor.Clipboard
• Citrix.EventMonitor.FileTransfer

これらのイベントを表示し、カスタムインジケーターを作成し、これらのイベントを SIEM 環境にエクスポートできます。

詳しくは、「イベントタイプとサポートされるフィールド」を参照してください。

2023年6月8日

修正された問題

• Citrix Analytics for Security に送信される一部のセッションログオンイベントには、ユーザー名がありません。これにより、セルフサービス検索およびアクセス保証ユーザーログオンページの一部のイベントで、ユーザー名列が NA と表示されます。場合によっては、過去1時間または 過去1日のような短い時間範囲のデータを表示すると、アクセス保証 IP 登録組織チャートで合計ログオン数がゼロ以外であっても、一意のユーザー数がゼロになることがあります。この問題は修正されました。[CAS-70954]

• Apps and Desktops のセルフサービス検索で、Session.Logon および Session.end ユーザーイベントの場合、検索クエリの App-Name ディメンションには、起動されたアプリケーションまたはデスクトップの名前ではなく、デリバリーグループ名が入力され、管理者を誤解させる可能性があります。App-Name ディメンションは、App.Start/App.End イベントのクエリに役立ち、起動されているアプリケーションを指します。詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。この問題は修正されました。[CAS-67968]

• 組織が アジア太平洋南部ホームリージョンで Citrix Cloud にオンボーディングされている場合、Citrix Analytics テナントでコンテンツコラボレーションイベントが表示されません。この問題は修正されました。[CAS-62317]

• Citrix Workspace アプリおよび Citrix Receiver クライアントの一部のバージョンは、特定のイベントを Citrix Analytics に送信しません。そのため、Citrix Analytics はこれらのイベントに関するインサイトを提供したり、リスクインジケーターを生成したりできません。この問題は修正されました。詳しくは、「チェック6: 仮想アプリおよびデスクトップイベントは Analytics に送信されますか?」を参照してください。[CAS-16151]

2023年5月29日

Splunk Cloud Platform で Citrix Analytics Add-On for Splunk が利用可能に

Citrix Analytics の Splunk 統合は、Citrix Analytics Add-On for Splunk を利用して Analytics 環境に接続し、ビジネスに不可欠なデータを Splunk 環境に取り込みます。

以前は、アドオンは Splunk によって Splunk Enterprise レイヤーへのインストールのみが検証されており、お客様はオンプレミスの Splunk 環境内でアドオンを構成する責任がありました。バージョン 2.1.2 の最新バージョンでは、アドオンは Splunk Cloud との Splunk プラットフォーム互換性が追加されました。IDM を使用する Classic インスタンスまたは Victoria インスタンスを使用するお客様は、このプラットフォーム互換性の強化を利用できます。現在、お客様は、Splunk 統合を容易にするためにアドオンの展開を検討する際に、Splunk Enterprise または Splunk Cloud のいずれかを選択する柔軟性があります。

詳しくは、「Splunk 統合」を参照してください。

SIEM での Session Recording イベント

Session Recording イベントは、リスクインサイトイベントおよび Apps and Desktops の データソースイベントの形式で SIEM にエクスポートできるようになりました。新しく追加されたイベントタイプは、データエクスポートページの エクスポート用データイベントステージで見つけることができます。

詳しくは、「ポリシーとアクション」を参照してください。

2023年5月24日

エンドユーザーへの通知グローバルアクション

Citrix Analytics の ポリシーとアクション機能は、組み込みまたはカスタムのリスクインジケータートリガーと組み合わせることができる エンドユーザーへの通知グローバルアクションをサポートするようになりました。管理者は、エンドユーザーにのみメール通知を生成する エンドユーザーへの通知アクションを含むポリシーを作成できます。このアクションは、承認されていないアプリケーションの使用についてユーザーに通知したり、破壊的なアクションを実行せずに Citrix アカウントでの疑わしい動作について警告したりするなど、さまざまなコンプライアンスユースケースに使用できます。管理者は、特定のシナリオに応じてメールメッセージ本文と件名をカスタマイズできます。

詳しくは、「エンドユーザーへの通知」を参照してください。

2023年5月4日

テストイベント生成

テストイベント生成機能は、Citrix Analytics - SIEM パイプラインを迅速にテストするためにお客様を支援するために作成されました。以前は、管理者がこの統合をテストする必要がある場合、データソースのオンボーディングとユーザーアクティビティを待って、Citrix Analytics によってイベントが生成され、SIEM 環境によって受信されているかどうかを確認する必要がありました。これはもはや必要ありません。テストデータを送信ボタンをクリックするだけで、ダミーイベントを SIEM 環境に送信し、提供されたクエリを使用して Citrix Analytics SIEM 統合が期待どおりに設定されているかどうかを確認できます。これは、障害点を特定するのに役立つため、中断されたデータフローをデバッグしようとしている管理者にも機能します。

詳しくは、「テストイベント生成」を参照してください。

SIEM メールアラート生成

SIEM メールアラート生成機能は、データエクスポートのトラブルシューティングを新たなレベルの容易さに引き上げます。Citrix Analytics は、SIEM データフローの中断につながる、または中断を示す可能性のあるアクティビティについてシステムアラートを送信します。メールは、Citrix Cloud 管理者、セキュリティフル管理者、セキュリティ読み取り専用管理者、およびセキュリティとパフォーマンスの読み取り専用管理者に配布されます。送信されるアラートには、次の種類があります。

1. SIEM データエクスポートアラート - パスワードがリセットされました

   このメールは、データエクスポートページからアカウントパスワードがリセットされるたびにトリガーされます。Citrix Analytics for Security GUI でのみ行われた場合、データフローの中断につながる可能性があります。このアラートには、パスワードリセットが実行された時刻が含まれており、成功したデータフローに戻るのがはるかに容易になります。

2. SIEM データエクスポートアラート - データフローが停止しました

このメールは、お客様がデータフローの中断に直面するたびにトリガーされます。

• 24時間以上 - アラート内の役立つトラブルシューティングのヒントを使用するか、クイックガイド付きの データエクスポートサマリータブを利用して、成功したデータフローに迅速に戻るための重要な時間です。

• 7日以上 - 各顧客のトピックの Kakfa 保持ポリシーは7日間であり、一部のセキュリティ体制データが期限切れになっている可能性があります。SIEM へのデータフローを再開するためにトラブルシューティングツールを使用することが不可欠です。

• 30日以上 - これは、お客様がセキュリティ関連のデータに苦しんでおり、Citrix Analytics から SIEM 環境へのデータフローを復元するために直ちに注意を払う必要があることを意味します。

詳しくは、「SIEM メールアラート生成」を参照してください。

2023年4月13日

修正された問題

Windows Citrix Workspace™ アプリは、Citrix Workspace アプリバージョン 2203 以降のバージョンから空のファイル名、パス、および形式プロパティを送信します。その結果、Citrix Analytics for Security GUI は、ダウンロードファイル名、ダウンロードファイルパス、およびダウンロードファイル形式の列に NA 値を表示します。この問題は修正されました。[CAS-73498]

2023年3月31日

Citrix Analytics for Security での Session Recording イベント

Citrix Apps and Desktops では、セッション記録ベースのイベントを特定および評価するのに役立つ2つの新しいイベントタイプが追加されました。

• Citrix.EventMonitor.RDPConnection
• Citrix.EventMonitor.UserAccountModification

管理者は、潜在的なセキュリティリスクを簡単に特定および評価できるようになりました。これらのイベントを使用して、プロセス ID、宛先 IP アドレス、ユーザーアカウント操作の説明などの重要なデータに関する情報を収集できます。さらに、これらのイベントは カスタムリスクインジケーターページと セルフサービス検索ページでも見つけることができます。

• セルフサービス検索: これらのイベントとその属性の詳細を表示できます。
• カスタムリスクインジケーター: これらのイベントタイプを使用してカスタムインジケーターを構成できます。 詳しくは、「イベントタイプとサポートされるフィールド」を参照してください。

セルフサービス検索でのアプリ保護イベント

Citrix Apps and Desktops データソースの保護されたセッション中にスクリーンショットをキャプチャしようとすると、AppProtection.ScreenCapture という新しいイベントがトリガーされます。AppProtection.ScreenCapture イベントは、セルフサービス検索および データエクスポートページでも利用できます。

• セルフサービス検索: AppProtection.ScreenCapture の結果とそのすべての属性の詳細を表示できます。
• データエクスポート: データエクスポートセクションで AppProtection.ScreenCapture イベントタイプを表示できます。設定 > データエクスポート > 構成 > エクスポート用データイベント > に移動し、データソースイベント (オプション) カテゴリから Apps and Desktops を選択します。

Session.Logon イベントの新しい属性である アプリ保護ポリシーも表示できます。

詳しくは、「イベントタイプとサポートされるフィールド」を参照してください。

2023年3月30日

カスタムロールのサポート

Active Directory または Azure Active Directory のグループを使用するか、Citrix Analytics for Security の Okta 統合を設定することで、カスタムロールの管理者を追加できます。この統合により、すべてのグループ管理者のサービスアクセス許可を管理するための合理化されたアプローチが可能になります。

管理者を Active Directory または Azure Active Directory に正常に追加した後、管理者はグループを作成し、特定のグループにカスタムロールを割り当てることができます。管理者が両方のメンバーである場合、個々の許可がグループの許可よりも優先されます。

詳しくは、「カスタムロールのサポート」を参照してください。

SIEM UI のトラブルシューティングパネル

データエクスポート UI は、以下の変更で強化されました。

• 概要タブ: 概要タブには、SIEM イベントメトリック、データソースのオンボーディングステータス、および以下のシナリオでのデータ消費ステータスが記述されています。

  • Citrix Analytics で利用可能なデータ: さまざまなデータソースのオンボーディングステータスを提供します。
  • SIEM 消費に利用可能なイベント: SIEM 環境に送信されているインサイトの数を提供します。
  • SIEM によるデータ消費: データ消費ステータスを提供します。

• 構成タブ: 構成タブには、アカウント設定、SIEM 環境設定、およびデータイベント選択に関する情報が含まれています。

• データエクスポートクイックガイド: 管理者は、SIEM 統合の設定と維持を簡素化する クイックガイドを利用できるようになりました。データエクスポートクイックガイドリンクは、概要タブと 構成タブの両方からアクセスできます。

詳しくは、「データエクスポートのトラブルシューティング」を参照してください。

2023年3月24日

ユーザープロファイルビューの変更

ユーザー情報ページのユーザータイムラインでは、アプリケーション、ロケーション、デバイス、ShareFile データ使用量に関連する ユーザープロファイルデータは利用できません。Active Directory から取得される以下のユーザー情報は引き続き利用できます。

• 役職
• 住所
• メール
• 電話
• ロケーション
• 組織

SIEM にエクスポートされるユーザープロファイルデータに変更はありません。詳しくは、「ユーザープロファイル」を参照してください。

すべての検索ビューからの動的自動提案の削除

テナントの履歴データに基づくディメンションの自動提案機能は、以下のページでは非推奨になりました。

• セルフサービス検索
• カスタムリスクインジケーター

ただし、イベントタイプや クリップボード操作などのディメンションの静的提案は、検索ボックスで引き続き利用できます。

詳しくは、「セルフサービス検索の使用方法」を参照してください。

2023年3月21日

オンプレミス StoreFront™ データソースをオンボーディングするための推奨パネル

データソースページに新しい 推奨事項パネルが導入されました。データソースページの 推奨事項パネルは、オンプレミス StoreFront データソースをオンボーディングすることの重要性についてユーザーに説明します。これにより、ユーザーはオンプレミス StoreFront データソースを簡単にオンボーディングでき、利用可能なすべてのデータソースのオンボーディングを確認および保証するオプションも提供されます。

詳細については、「StoreFront 展開への接続」を参照してください。

2023年2月23日

修正された問題

Citrix Apps and Desktop のオンプレミス展開で、Citrix Apps and Desktop のバージョンが 1912 より大きい場合、アクションが失敗します。この問題は、手動アクションとポリシーベースのアクションの両方で発生しています。この問題は修正されました。[CAS-69098]

仮想アプリが1回だけ起動されたときに、Apps and Desktops のセルフサービス検索ページに複数のアプリ起動イベントとアプリ終了イベントが表示されます。この問題は、Linux クライアントバージョンの Citrix Workspace アプリで発生します。この問題は修正されました。[CAS-36236]

2022年4月4日以降から2022年5月末までの Secure Private Access サービスからのユーザーイベントは、Citrix Analytics テナントで利用できない場合があります。この問題は修正されました。[CAS-66897]

2023年2月22日

週次メール通知の強化

Citrix Analytics は、組織のセキュリティリスクエクスポージャーを要約するのに役立つ週次メール通知を送信します。週次メール通知は、以下の更新で改善されました。

• ユーザーのリスク分布のビューを提供 - 1週間の合計検出ユーザー、危険なユーザー、危険ではないユーザーの数
• 1週間に処理されたイベントの合計
• 1週間にトリガーされたインジケーターの合計
• 1週間に実行されたアクションの合計
• データ処理のために有効になっているデータソースの合計

詳細については、「週次メール通知」を参照してください。

App.SaaS.File.Download イベントタイプにダウンロードファイル形式フィールドを追加

Apps and Desktops データソースのセルフサービス検索ページに、App.SaaS.File.Download イベントタイプの新しい ダウンロードファイル形式フィールドが追加されました。この変更により、ダウンロードファイル形式フィールドのカスタムリスクインジケーターを構成し、CSV 形式へのエクスポートの一部としてフィールドをエクスポートできるようになりました。

詳しくは、「Apps and Desktops のセルフサービス検索」を参照してください。

ブラウザ派生フィールドの変更

以前は、セルフサービス検索ページには、ブラウザ名とバージョンを表す ブラウザ、ブラウザメジャーバージョン、ブラウザマイナーバージョンのフィールドがありました。しかし、明確さと正確性を確保するため、これらの3つのフィールドは非推奨となり、セルフサービス検索、カスタムインジケーターテンプレート、および Apps and Desktops データソースの CSV ダウンロードで ブラウザ名と ブラウザバージョンに置き換えられました。

詳しくは、「Apps and Desktops のセルフサービス検索」を参照してください。

2023年2月16日

修正された問題

一部の EU および APS のお客様で、テナントのユーザー名マスキングステータスを取得する際に週次メールが影響を受けます。その結果、例外のために管理者は10通の同一の週次メールを受信しています。例外が発生すると、後続のテナントは週次メールを受信しませんでした。この問題は修正されました。[CAS-76138]

2023年2月3日

欧州連合およびアジア太平洋南部地域で利用可能な Citrix Secure Private Access™ サービスの Analytics サポート

Citrix Analytics for Security は、欧州連合地域およびアジア太平洋南部地域で利用可能な Citrix Secure Private Access からのユーザーイベントを処理するようになりました。組織が欧州連合地域またはアジア太平洋南部地域から Citrix Cloud にオンボーディングされている場合、Secure Private Access サービスを使用しているユーザーのリスクインサイトを表示できます。

詳しくは、「データソース」を参照してください。

2023年1月11日

Secure Private Access からの Web フィルタリング機能の削除

Web フィルタリング機能は Secure Private Access カテゴリから削除されました。Secure Private Access によるカテゴリベースの Web フィルタリングの非推奨化により、Citrix Analytics for Security の以下の機能が影響を受けます。

1. URL のカテゴリグループ、カテゴリ、評判などのデータフィールドは、Citrix Analytics for Security ダッシュボードでは利用できなくなりました。

2. 同じデータに依存する危険な Web サイトアクセスインジケーターも非推奨となり、お客様に対してトリガーされなくなりました。

3. データフィールド (カテゴリグループ、カテゴリ、URL の評判) を使用する既存のカスタムリスクインジケーターとその関連ポリシーは、もはやトリガーされません。

4. ユーザーアクセスタブと アプリアクセスタブ。

5. SIEM エクスポートには、urlcategory、urlcategorygroup、urlcategoryreputation 属性がしばらくの間、以下のダミー値で引き続き含まれます。

   • カテゴリとカテゴリグループは 99999
   • 評判は 0

詳しくは、「Secure Private Access のセルフサービス検索」を参照してください。

2022年12月27日

セルフサービス検索のデータソースドロップダウンの変更

セルフサービス検索ページで、データソースリストが Apps and Desktops の代わりにデフォルトで Sessions を反映するように変更されました。また、パフォーマンスデータソースが表示されていなかったため、パフォーマンスセクションが上部に移動し、その後にセキュリティセクションが続きます。

詳しくは、「セルフサービス検索」を参照してください。

2022年12月13日

ユーザーダッシュボードの強化

ユーザーダッシュボードは、管理者が組織のセキュリティ体制を監視するのに役立つサマリーとチャートで刷新されました。このビューは、検出されたユーザー、トリガーされたリスクインジケーター、適用されたアクションの詳細を提供するだけでなく、リスクをより適切に評価するための重要なメトリックの時系列トレンドラインも提供します。管理者は、関心のあるデータをドリルダウンし、より迅速なリスク分析のために適切なコンテキストで関連するダッシュボードに移動できます。

詳しくは、「ユーザーダッシュボード」を参照してください。

2022年12月5日

アクセス保証ダッシュボード - ログオンネットワーク

ログオンネットワークセクションが新しく追加され、以下のユーザー詳細が提供されます。

• ユーザーがログオンした IP アドレスに関連付けられた組織。

• ユーザーがログオンした一意のパブリックサブネットとプライベートサブネットの合計。

• ユーザーがプロキシとプライベート VPN サービスを使用してログオンした詳細。

これらの追加の詳細を使用することで、管理者はユーザーログオンの詳細を検証し、ユーザーログオンが組織のセキュリティ要件内にあることを確認できます。

詳細については、「アクセス保証ダッシュボード」を参照してください。

2022年11月18日

修正された問題

• ソースイベントなしで誤ってトリガーされたジオフェンスインジケーターが修正されました。[CAS-73222]

2022年11月8日

アクション名の変更

Citrix Analytics for Security で使用される一部のアクションは、より明確にするために名前が変更されました。それらのアクションは次のとおりです。

• 管理者への通知 - 管理者への通知
• ユーザーのロック - ユーザーアカウントのロック
• ユーザーのログオフ - アクティブセッションのログオフ
• ユーザーのロック解除 - ユーザーアカウントのロック解除
• ユーザーの無効化 - ユーザーアカウントの無効化

詳しくは、「アクションとは」を参照してください。

修正された問題

• タイムラインアクションのドロップダウンからオプションを選択すると、クリアボタンと適用ボタンが表示されないため、手動アクションをトリガーできません。この状態は、最新の Firefox バージョンで発生します。この問題は修正されました。[CAS-72051]

• Apps and Desktops データソースのセルフサービス検索で、HardDrive、harddrive、および HDD カテゴリが、ダウンロードデバイスタイプフィールドの Hard Disk Drive という単一のカテゴリに結合されました。[CAS-67188]

• Microsoft Graph から同じアラート ID で重複した通知が受信され、重複したリスクイベントが作成されることがあります。この問題を防止するために、アプリケーション内で重複排除メカニズムが実装されています。[CAS-66731]

2022年10月19日

データソースイベントの選択とエクスポート

機械学習によって生成されたリスクインサイトイベントと関連データに加えて、データソースイベントをエクスポートするための新しいデータイベントエクスポートワークフローを活用できるようになりました。

これにより、セキュリティおよびセキュリティ運用 (SOC) 管理者は、次のことができます。

• Citrix Analytics のデータを、セキュリティ情報およびイベント管理 (SIEM) に集約された他のデータソースイベントと関連付ける
• ストレージコスト最適化のために SIEM に流れるデータイベントを制御する

データイベントは、既存の SIEM 統合およびデータコネクタに配信され、セルフサービスイベント検索ビューで利用可能なものと同等です。

詳しくは、「Citrix Analytics for Security から SIEM サービスにエクスポートされるデータイベント」を参照してください。

2022年10月18日

管理者が Citrix DaaS™ サイトで動的セッション記録アクションを実行できるようにする

管理者は、Citrix DaaS サイトで動的セッション記録アクションを実行し、ユーザーの仮想セッションを動的に記録できるようになりました。Citrix Analytics for Security によって特定のユーザーによる危険なアクティビティが検出された場合、ポリシーを使用してユーザーセッションの記録を自動的に開始するようにアクションを構成できます。

詳しくは、「アクションとは」を参照してください。

2022年10月14日

ユーザーリスクインジケーターのフィードバック提供

Citrix Analytics for Security 管理者は、インジケーター詳細パネルでフィードバックを提供することで、ユーザーリスクインジケーターが役立つか役立たないかを報告できるようになりました。この機能により、管理者は誤検知を報告し、頻繁にトリガーされるインジケーターのノイズを減らし、他の管理者と追加のコンテキストを共有できます。追加の結果として、役立たないリスクインジケーターはユーザーのタイムラインから非表示になり、ユーザーリスクスコアが再調整されます。

詳しくは、「ユーザーリスクインジケーターのフィードバック提供」を参照してください。

2022年9月26日

ジオフェンスブロックリストをサポートするアクセス保証

ジオフェンス設定の下に 安全なロケーションタブと 危険なロケーションタブが追加されました。

• 安全なロケーションジオフェンシングは、定義されたジオフェンスエリア外からのアクセスを特定し、制限するのに役立ちます。
• 危険なロケーションジオフェンシングは、組織の既知の動作に従って危険なユーザーアクセスを検出および絞り込むのに役立ちます。

安全なジオフェンシングと危険なジオフェンシングの両方は、独自の事前構成されたカスタムリスクインジケーターによってサポートされています。

詳しくは、「ジオフェンシングの有効化」を参照してください。

修正された問題

• Citrix Cloud API は、メール本文に 顧客名を表示します。現在、メールはニックネームを使用して、管理者に送信されるメール本文に 顧客名を表示します。[CAS-65350]

• Citrix Gateway データソースカードは、Citrix Analytics for Security と Citrix Analytics for Performance™ で共通です。データ処理は常に Citrix Analytics for Security エンドポイントを呼び出しており、Citrix Analytics for Performance のエンタイトルメントのみを持つお客様にとっては機能していませんでした。[CAS-70817]

• Citrix Cloud から複数のエンタイトルメントメッセージが同時に受信されると、Redis キャッシュの更新中に競合状態が発生します。このようなシナリオでは、1つのエンタイトルメントメッセージがキャッシュに更新され、残りは失われます。この問題は、キャッシュ内のすべてのエンタイトルメントメッセージを更新するように修正されました。[CAS-70823]

2022年9月13日

Sharelink ダッシュボードの強化

Sharelink ダッシュボードは、サマリーと詳細ビューで刷新されました。サマリービューは、上位のアクティブな共有と上位の危険な共有で構成されています。詳細ビューは、作成者、アクティビティ数、認証タイプ、許可、共有タイプ、コンテンツによって作成された属性の導入により、管理者により多くの情報を提供します。管理者は、必要に応じてデータをさらにドリルダウンしてフィルタリングし、関心のあるデータを表示するために時間枠を変更/提供できます。

詳しくは、「Share Links ダッシュボード」を参照してください。

2022年9月9日

Impossible Travel RI の強化

Impossible Travel リスクインジケーターは、クライアント IP アドレスの登録組織とルーティングタイプを報告するように強化されました。これらの新しいフィールドは、ユーザータイムラインインジケーターの詳細ビューと SIEM に送信されるインジケーター詳細の両方で利用できます。

デフォルトポリシーの詳細については、以下の記事を参照してください。

• 継続的なリスク評価
• ポリシーとアクション

2022年8月19日

VDA 印刷テレメトリの有効化

Citrix Apps and Desktops で印刷ジョブが開始されると、VDA.Print というイベントがトリガーされます。VDA 印刷イベントは、セルフサービス検索および カスタムリスクインジケーターページでも利用できます。

• セルフサービス検索: VDA.Print の結果とそのすべての属性の詳細を表示できます。
• カスタムリスクインジケーター: EventHub を介して VDA 印刷テレメトリの新しいイベントが提供され、カスタムインジケーター内でも利用できます。これらのイベントキー/値のペアを使用して、カスタムインジケータートリガーを構成できます。

印刷テレメトリと印刷ログの Citrix Analytics for Security への送信を有効にするには、レジストリキーを作成し、VDA を構成する必要があります。これらの印刷ログは、プリンター名、印刷ファイル名、合計印刷部数などの印刷アクティビティに関する重要な情報を提供します。セキュリティ管理者として、これらのログを使用してリスクを分析し、ユーザーを調査できます。

詳しくは、「Citrix DaaS の印刷テレメトリの有効化」を参照してください。

2022年8月18日

修正された問題

• Apps and Desktops のセルフサービス検索およびアクセス保証ロケーションダッシュボードのユーザーログオンページで、Workspace アプリのバージョン値がダウンロードされた CSV ファイルで NA (利用不可) と表示されていましたが、ページビューでは利用可能でした。この問題は修正されました。[CAS-70361]

2022年8月17日

ポリシーごとのエンドユーザーメールのカスタマイズ

ポリシーごとにエンドユーザーに送信されるメールのコンテンツをカスタマイズできるようになりました。具体的には、ユーザー応答要求アクションまたはユーザーアカウントに対する破壊的なアクション (ユーザーのログオフやユーザーのロックなど) を含むポリシーを作成する場合、ポリシーが適用されたときにエンドユーザーに送信されるメールコンテンツをカスタマイズできます。

ポリシーごとのエンドユーザーメールのカスタマイズの詳細については、「ポリシーとアクション」を参照してください。

2022年8月11日

FAQ記事に アクセス保証 – 地理位置情報に関する新しい質問が追加されました。詳細については、「FAQ」を参照してください。

修正された問題

• すべての通知を表示ボタンは、管理者から https://citrix.cloud.com/notifications の週次メールリンクにリダイレクトされ、タイプミスがありました。[CAS-69236]

2022年6月17日

新しい有料エンタイトルメントのデータ処理がデフォルトで有効に

以前は、Citrix Analytics for Security の新しい有料エンタイトルメントを持つお客様は、特定のデータソースのサイトカードでデータ処理を有効にして、それらのデータソースのデータ処理を開始する必要がありました。

このリリースでは、Citrix Analytics for Security の新しい有料エンタイトルメントがプロビジョニングされると、以下の Citrix Cloud サービスでデータ処理がデフォルトで有効になります。

• Citrix Secure Private Access
• Citrix Content Collaboration™
• Citrix DaaS

詳しくは、「はじめに」を参照してください。

2022年6月9日

修正された問題

• Azure AD ID 保護と Microsoft Defender for Endpoint によって生成された Microsoft Graph リスクインジケーターが、Security Analytics で複数回表示される場合があります。この問題は修正されました。[CAS-66593,CAS-66731]

2022年6月2日

修正された問題

• ポリシーのセルフサービス検索で、検索クエリで ポリシー名ディメンションを選択してイベントをフィルタリングすると、Security Analytics の有効なポリシーとともに無効なポリシーのリストが提案されました。[CAS-66838]

• Windows Citrix Receiver からの File.Download イベントのダウンロードファイルサイズが、セルフサービス検索で誤って表示されていました。この問題は、実際の値が KB であり、UI がその値をバイトとして扱ったため、ユーザーに誤った値が表示されたために発生しました。[CAS-67105]

2022年5月24日

コンテンツコラボレーション、Citrix DaaS、Citrix Virtual Apps and Desktops、および Gateway データソースの Impossible Travel リスクインジケーターの導入

ユーザーが経過時間内に移動するには遠すぎる2つの場所からログオンした場合、Citrix Analytics はこのアクティビティを不可能移動シナリオとして検出し、Impossible travel リスクインジケーターをトリガーします。Impossible travel リスクインジケーターの詳細については、以下の記事を参照してください。

• Citrix Content Collaboration リスクインジケーター

• Citrix Gateway リスクインジケーター

• Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター

2022年5月17日

Virtual Apps and Desktops が Apps and Desktops に名称変更

Security Analytics ダッシュボードとレポート、および Security Analytics から SIEM サービスに送信されるデータでは、すべての Virtual Apps and Desktops ラベルが、ブランド変更された製品名に合わせて Apps and Desktops に更新されました。

たとえば、データソースページでは、Virtual Apps and Desktops ラベルが Apps and Desktops に名称変更されました。

Apps and Desktops ラベルは、組織内の Citrix オンプレミス Citrix Virtual Apps and Desktops と Citrix DaaS (旧 Citrix Virtual Apps and Desktops サービス) の両方を表します。

修正された問題

Citrix Analytics は、Citrix Cloud アカウントに関連付けられている Citrix DaaS Cloud Monitor または Director サイトを自動的に検出しません。[CAS-66801]

2022年4月5日

新機能

Secure Workspace Access が Secure Private Access に名称変更

Analytics ダッシュボードとレポートでは、すべての Secure Workspace Access ラベルが、ブランド変更された製品名に合わせて Secure Private Access に更新されました。

たとえば、データソースページと セルフサービス検索ページでは、Secure Workspace Access ラベルが Secure Private Access に名称変更されました。

2022年3月21日

修正された問題

• リスクインジケーターの作成ページで、検索クエリの前の条件にスペースで区切られたディメンション値が含まれている場合、ディメンションと演算子の自動提案が機能しません。

  たとえば、次のクエリで、都市を San Jose として選択した後、自動提案が機能しなくなります。この問題は修正されました。[CAS-64126]

  

2022年3月10日

新機能

管理者への通知メールの強化

• 管理者への通知アクションのメール通知は、トリガーされたポリシーに関連付けられた複数のリスクインジケーターの詳細を提供するようになりました。

• ポリシーに関連付けられた各リスクインジケーターの名前、重大度レベル、トリガー日を表示できます。

• リスク詳細の表示をクリックすると、Citrix Analytics のユーザータイムラインページが開き、ポリシーをトリガーした最新のリスクインジケーターが表示されます。ユーザータイムラインページでは、ユーザーに対してトリガーされたすべてのリスクインジケーターも表示できます。

管理者への通知アクションの詳細については、「ポリシーとアクション」を参照してください。

修正された問題

Citrix Analytics は Secure Workspace Access データソースからユーザーイベントを受信できません。そのため、対応するセルフサービス検索ページにユーザーイベントが表示されません。また、Secure Workspace Access データソースのカスタムリスクインジケーターを作成できません。[CAS-64619]

2022年3月3日

新機能

ユーザー応答要求を手動で適用

以前は、ポリシーを作成することによってのみ、ユーザーアカウントに ユーザー応答要求アクションを適用できました。 このリリースでは、ユーザータイムラインの アクションリストからアクションを選択し、このアクションをリスクインジケーターに手動で適用できます。

アクションと手動でのアクションの適用方法の詳細については、「ポリシーとアクション」を参照してください。

ポリシーのユーザー応答要求の強化

ユーザー応答要求アクションを含むポリシーを作成すると、以下の強化が表示されます。

• 次のアクションとして 管理者への通知を選択した後、選択できるデフォルトおよび作成済みのメール配信リストを表示できます。

  

• Citrix Content Collaboration または Citrix Virtual Apps and Desktops および Citrix DaaS からのアクションの1つを次のアクションとして選択できるようになりました。以前は、グローバルアクションまたは Citrix Gateway アクションのいずれかしか選択できませんでした。

  

アクションの詳細については、「ポリシーとアクション」を参照してください。

2022年2月23日

新機能

リスクインジケーターの推奨アクション

Citrix Analytics は、ユーザーに対して以下のリスクインジケーターがトリガーされたときに、管理者への通知、ウォッチリストへの追加、ポリシーの作成などのアクションを適用することを推奨します。

• 異常な認証失敗 (コンテンツコラボレーションデータソース)

• 異常な認証失敗 (Gateway データソース)

• 疑わしいログオン (Citrix Virtual Apps and Desktops および Citrix DaaS データソース)

ユーザータイムラインに移動してリスクインジケーターを選択すると、推奨アクションセクションにすべての推奨アクションが表示されます。

たとえば、異常な認証失敗リスクインジケーターでは、以下の推奨アクションを表示できます。

この機能は、ユーザーがもたらすリスクの重大度に応じて実行できるアクションを選択するためのガイダンスを提供します。ただし、推奨リスト外の適切なアクションを、リスク分析に応じて実行することもできます。

修正された問題

• 組織が アジア太平洋南部ホームリージョンで Citrix Cloud にオンボーディングされている場合、Citrix Analytics は認証データソースからユーザーイベントを受信できない場合があります。そのため、対応するセルフサービス検索ページにユーザーイベントが表示されない場合があります。この問題は修正されました。[CAS-62300]

2022年2月17日

新機能

Citrix Virtual Apps and Desktops および Citrix DaaS データソースのデータ収集とレポートの改善

このリリースでは、以下の変更が表示されます。

• Citrix Workspace アプリクライアントと Citrix Monitor サービスからのイベントのデータ収集、相関、レポートの改善。

• セルフサービス検索、カスタムリスクインジケーター、および全体的なリスク検出に使用できる、ユーザーとクライアントバージョンから受信されるイベントの品質の改善。

コンテンツコラボレーションのセッションイベントとアプリイベントのコンテキストテンプレートのサポート

セルフサービス検索ページでは、ファイル、フォルダー、セッション、共有、ユーザーイベントに関連する関連フィールドの詳細のみを表示できるようになりました。イベントに適用できないフィールドは削除されます。

たとえば、File.Copy イベントの以下の詳細を表示できます。

• ファイル ID

• ファイルコピー ID

• ファイルパス

• 宛先ファイルパス

• ストリーム ID

• ゾーン ID

これらの詳細は、危険な動作に関連するユーザーアカウントのリスク調査と分析中に役立ちます。危険と思われるイベントの特定の属性にドリルダウンできます。

フィールドの詳細については、「コンテンツコラボレーションのセルフサービス検索」を参照してください。

2022年2月10日

新機能

カスタムリスクインジケーターのディメンションの自動提案値

カスタムリスクインジケーターページで、条件バーでディメンションと有効な演算子を選択すると、ディメンションの値が自動的に表示されます。自動提案リストから値を選択するか、ユースケースに応じて値を手動で入力します。値を入力すると、レコードで利用可能な一致する値が自動提案されます。

ディメンションに提案される値のリストは、データベースで事前定義されている (既知の値) か、履歴イベントに基づいています。

たとえば、ディメンション Event-Type と割り当て演算子を選択すると、既知の値が自動提案されます。要件に応じて値を選択できます。

詳しくは、「カスタムリスクインジケーター」を参照してください。

2022年2月9日

新機能

管理者向けの新しいカスタムロール

フルアクセス許可を持つ Citrix Cloud 管理者として、組織内の Security Analytics を管理するために他の管理者を招待できます。招待された管理者に以下のカスタムロールを割り当てることができるようになりました。

• Security Analytics - フル管理者

• Security Analytics - 読み取り専用管理者

カスタムロールを使用すると、管理者に読み取り専用またはフルアクセス許可を提供し、Security Analytics のさまざまな機能を管理させることができます。

これらのカスタムロールのアクセス許可の詳細については、「Security Analytics の管理者ロールの管理」を参照してください。

カスタムアクセス管理者へのメール通知のサポート

カスタムアクセス (読み取り専用またはフルアクセス) 許可を持つ Citrix Cloud 管理者として Security Analytics を管理している場合、以下の通知を受け取ることができます。

• 組織で検出されたセキュリティリスクに関する週次通知。詳しくは、「週次メール通知」を参照してください。

• 管理者への通知アクションが手動で適用されたか、ポリシーによってトリガーされた場合のリスクインジケーターに関する通知。詳しくは、「ポリシーとアクション」を参照してください。

2022年1月28日

新機能

コンテンツコラボレーションおよび Gateway データソースの疑わしいログオンリスクインジケーターの導入

Citrix Analytics for Security は、以下のような複数のコンテキスト要因に基づいて、疑わしい性質のユーザーログオンを検出するようになりました。

• ロケーションがユーザーおよび組織の履歴に関して異常であると見なされる

• デバイスがユーザーおよび組織の履歴に関して異常であると見なされる

• ネットワークがユーザーおよび組織の履歴に関して異常であると見なされる

• IP アドレスが IP 脅威インテリジェンスフィードに基づいて疑わしいと見なされる

これらの要因の組み合わせに基づいて、ユーザーが疑わしいコンテキストからログオンすると、リスクインジケーターがトリガーされます。

このリスクインジケーターは、Citrix Content Collaboration および Citrix Gateway データソースに関連付けられた「異常なロケーションからのアクセス」リスクインジケーターを置き換えます。「異常なロケーションからのアクセス」リスクインジケーターに基づいていた既存のポリシーは、新しいリスクインジケーター「疑わしいログオン」に自動的にリンクされます。

リスクインジケーターの詳細については、「疑わしいログオン - コンテンツコラボレーション」および「疑わしいログオン - Gateway」を参照してください。

リスクインジケーターのスキーマの詳細については、「SIEM の Citrix Analytics データ形式」を参照してください。

2022年1月20日

新機能

Microsoft Azure Active Directory 統合

Azure Active Directory を Citrix Analytics for Security と接続して、次のことを行えるようになりました。

• 組織のドメインから Citrix Analytics for Security にユーザーの詳細とユーザーグループをインポートする。

• 役職、組織、オフィスロケーション、メール、連絡先の詳細などの追加情報でユーザープロファイルを強化し、リスク調査と分析中に役立てる。

詳しくは、「Azure Active Directory 統合」を参照してください。

2022年1月18日

新機能

すべてのコンテンツコラボレーションリスクインジケーターでの共有リンクアクションのサポート

以前は、以下の共有リンクベースのリスクインジケーターに共有リンクアクション (すべてのリンクを期限切れにするおよび リンクを読み取り専用共有に変更する) を適用できました。

• 匿名機密共有リンクダウンロード

• 過剰な共有リンクダウンロード

• 過剰なファイル共有

このリリースでは、以下のユーザーベースのリスクインジケーターに共有リンクアクションを適用できるようになりました。

• 異常なロケーションからのアクセス

• 機密ファイルへの過剰なアクセス

• 過剰なファイルアップロード

• 過剰なファイルダウンロード

• 過剰なファイルまたはフォルダーの削除

• マルウェアファイルが検出されました

• ランサムウェアアクティビティが疑われる

• 異常な認証失敗

コンテンツコラボレーションサービスに関連付けられたカスタムリスクインジケーターにも共有リンクアクションを適用できます。

アクションとリスクインジケーターの詳細については、以下の記事を参照してください。

• ポリシーとアクション

• コンテンツコラボレーションリスクインジケーター

• カスタムリスクインジケーター

SIEM との統合が一般提供開始

Citrix Analytics for Security をセキュリティ情報およびイベント管理 (SIEM) サービスと統合し、Citrix IT 環境からユーザーデータを SIEM にエクスポートできます。この統合は、さまざまなソースから収集されたデータを関連付け、組織のセキュリティの全体像を把握するのに役立ちます。

現在、Citrix Analytics for Security は以下のサービスと統合できます。

• Splunk

• Microsoft Sentinel

• Elasticsearch

• Kafka または Logstash ベースのデータコネクタを使用するその他の SIEM サービス

詳しくは、「セキュリティ情報およびイベント管理 (SIEM) 統合」を参照してください。

2021年12月23日

新機能

共有リンクリスクインジケーターの強化

以下の強化が行われました。

• 匿名機密共有リンクダウンロードリスクインジケーターを含むポリシーを作成できるようになりました。

• 匿名機密共有ダウンロードリスクインジケーターは、共有リンクリスクインジケーターとして区別するために 匿名機密共有リンクダウンロードに名称変更されました。

• 過剰なダウンロードリスクインジケーターは、共有リンクリスクインジケーターとして区別し、ユーザーベースの 過剰なファイルダウンロードリスクインジケーターと区別するために 過剰な共有リンクダウンロードに名称変更されました。

詳しくは、「Citrix 共有リンクリスクインジケーター」を参照してください。

2021年12月21日

新機能

Citrix Cloud 以外の管理者へのリスクインジケーターに関する通知の送信

管理者への通知アクションを使用して、組織内の Citrix Cloud 以外の管理者に通知できるようになりました。

これらの管理者に通知するには、メール配信リストを作成します。Citrix Cloud に接続されている外部ドメインから、またはメールアドレスを直接使用して、メール配信リストの管理者を選択します。管理者への通知アクションを適用するときに、Citrix Cloud 以外の管理者を含むメール配信リストを選択します。

詳しくは、「メール配信リスト」を参照してください。

2021年12月20日

新機能

コンテンツコラボレーションユーザーへのユーザー応答通知の送信

Active Directory ユーザーに加えて、ユーザー応答要求アクションをコンテンツコラボレーションユーザーに適用できるようになりました。

このアクションは、Citrix Analytics が Citrix アカウントで異常なアクティビティを検出した場合に、ユーザーにメール通知を送信します。ユーザー応答要求アクションの詳細については、「ポリシーとアクション」を参照してください。

アクセスコントロールが Secure Workspace Access に名称変更

Security Analytics ダッシュボードとレポートでは、すべての Access Control ラベルが、ブランド変更された製品名に合わせて Secure Workspace Access に更新されました。

たとえば、データソースページ、セルフサービス検索ページ、および ポリシーページでは、Access Control ラベルが Secure Workspace Access に名称変更されました。

修正された問題

• Apps and Desktops データソースの場合、検索レポートを CSV ファイルとしてダウンロードすると、CSV ファイルの一部のフィールド値が利用不可 (N/A) と表示されますが、その値は利用可能です。たとえば、Download File Name、Session Launch Type、Workspace App Version などのフィールドの値は セルフサービス検索ページに表示されますが、ダウンロードされた CSV ファイルではこれらの値が利用不可 (N/A) と表示されます。この問題は修正されました。[CAS-62299]

2021年12月9日

新機能

テンプレートを使用してカスタムリスクインジケーターを簡単に作成

ユースケースに基づいてテンプレートを選択し、カスタムリスクインジケーターを作成できるようになりました。テンプレートは、事前定義されたクエリとパラメーターを提供することで、ガイドします。これにより、カスタムリスクインジケーターを作成する際の労力が軽減されます。

詳しくは、「カスタムリスクインジケーター」を参照してください。

2021年12月7日

修正された問題

• Citrix Analytics for Security では、2021年9月にリリースされた Citrix Secure Browser を使用しているユーザーのイベントを受信しません。この問題は、2021年9月のリリース後、Citrix Secure Browser で ホスト名追跡ポリシーが表示されず、Citrix Analytics for Security と統合するために有効にできないために発生します。この問題は修正されました。[CAS-62254]

2021年12月2日

新機能

マルウェアファイルが検出されたリスクインジケーター

ユーザーがコンテンツコラボレーションで感染ファイルをアップロードしたときにアラートを受け取れるようになりました。

このリスクインジケーターは、トロイの木馬、ウイルス、その他の悪意のある脅威などのマルウェアに感染したファイルを検出します。ファイル所有者、ウイルス名、ファイルロケーションなどの悪意のあるファイルの詳細を可視化します。

マルウェアファイルが検出されたリスクインジケーターに関連付けられたリスク要因は、ファイルベースのリスクインジケーターです。

リスクインジケーターと適用できるアクションの詳細については、「マルウェアファイルが検出されたリスクインジケーター」を参照してください。

コンテンツコラボレーションデータソースの新しいアクション

マルウェアファイルが検出されたリスクインジケーターがユーザーに対してトリガーされたときに、以下の操作を適用できます。

• フォルダーアクセス許可の削除。感染ファイルをアップロードしたユーザーのアクセス許可をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにアクセスできません。

• フォルダーへのアップロード許可の削除。感染ファイルをアップロードしたユーザーのアップロード許可をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにファイルをアップロードできません。

コンテンツコラボレーションのアクションの詳細については、「ポリシーとアクション」を参照してください。

2021年11月29日

新機能

ユーザー通知のメール設定の強化

管理者として、ユーザー応答メールテンプレートにバナー画像、ヘッダー、フッターテキストを追加できるようになりました。これらのフィールドは、メールの正当性を高め、ユーザーのメールへの注意と応答を増やします。

詳しくは、「エンドユーザーメール設定」を参照してください。

2021年11月26日

新機能

カスタムリスクインジケーターとポリシーメニューの変更

以下の機能のナビゲーションリンクが更新されました。

• カスタムリスクインジケーター: セキュリティ > カスタムリスクインジケーターをクリックしてこの機能を使用します。

• ポリシー: セキュリティ > ポリシーをクリックしてこの機能を使用します。

  

2021年11月25日

新機能

セキュリティ情報およびイベント管理 (SIEM) 統合の強化

注

この統合はプレビュー版です。

Citrix Analytics for Security を以下の SIEM サービスと統合できるようになりました。

• Microsoft Sentinel

• Kibana などの視覚化サービスと LogRythm などの SIEM サービスを備えた Elasticsearch

• Logstash データ収集エンジンを使用するその他の SIEM サービス

ビジネスニーズに応じて、Citrix Analytics for Security から SIEM サービスにユーザーデータをインポートします。この統合により、セキュリティ運用チームは、組織内の SIEM サービス内の異なるログから収集されたデータを関連付け、分析、検索し、セキュリティリスクを特定して迅速に修復できます。

詳しくは、「セキュリティ情報およびイベント管理 (SIEM) 統合」を参照してください。

2021年11月9日

修正された問題

• 一部のテナントでは、ユーザーポリシーが機能しません。この問題は、仮想アプリのアラートにドメインの空の文字列値がある場合に発生しました。この問題は修正されました。[CAS-60920]

2021年11月2日

新機能

Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーのアクセスプロファイルとログオン詳細の表示

アクセス保証ロケーションダッシュボードでは、仮想アプリと仮想デスクトップにログオンした Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーのアクセスプロファイルとログオン詳細を表示できます。この情報は、脅威調査と分析中に役立ちます。

• アクセスプロファイルページには、選択したロケーションからのユーザーアクセスの概要が表示されます。合計ユーザーと一意のユーザーログオンのトレンド分析と上位アクセスイベントを表示できます。

  

• ユーザーログオンページには、選択したロケーションから仮想アプリと仮想デスクトップへのユーザーログオンの詳細が表示されます。

  

詳しくは、「アクセス保証ロケーションダッシュボード」を参照してください。

コンテンツコラボレーションのセルフサービス検索ページでのマルウェアログの表示

コンテンツコラボレーションのセルフサービスページで、マルウェアイベント File.VirusInfected とその関連ログを表示できるようになりました。このイベントは、コンテンツコラボレーションユーザーがマルウェアに感染したファイルをアップロードしたときにトリガーされます。

詳しくは、「コンテンツコラボレーションのセルフサービス検索」を参照してください。

修正された問題

• Citrix Analytics でイベントを処理する際に、一部のコンテンツコラボレーションユーザーが誤って非従業員として設定されます。そのため、ユーザーは検出されたユーザーとして識別されません。この問題は修正されました。[CAS-59608]

2021年10月20日

新機能

Session Recording サーバー統合

Citrix Virtual Apps and Desktops および Citrix DaaS 展開の場合、Session Recording サーバーを構成して、ユーザーイベントを Citrix Analytics for Security に送信できるようになりました。これらのユーザーイベントは、ユーザーの行動に関する実用的なインサイトを提供するために処理されます。

データソース > セキュリティページで、Virtual Apps and Desktops サイトカードに移動します。Session Recording サイトカードで、縦の省略記号 (⋮) をクリックし、Session Recording サーバーの接続を選択します。

詳しくは、「Session Recording 展開への接続」を参照してください。

2021年10月19日

新機能

管理者への通知メールテンプレートの強化

管理者への通知アクションを適用した後に管理者が受信するメール通知は、ユーザーの危険なイベントに関するより良いインサイトを提供するために強化されました。

• 通知は、トリガーされたリスクインジケーターまたは適用されたポリシーに関する詳細情報を提供するようになりました。たとえば、デフォルトおよびカスタムリスクインジケーターの重大度とトリガー時刻を表示できます。コンテンツ構造は、読みやすさを向上させるために改善されました。

• 管理者は、メール通知から直接ユーザータイムラインにアクセスし、危険なイベントに関する詳細を表示できるようになりました。

• 通知にフィードバックオプションが追加されました。このオプションは、管理者からの応答を収集し、応答に基づいて通知のコンテンツを継続的に改善するのに役立ちます。

管理者への通知アクションの詳細については、「ポリシーとアクション」を参照してください。

ユーザーログオンサマリーの強化

• 世界中の合計ユーザーログオンと世界中の一意のユーザーログオンのユーザーログオンの増加または減少傾向を表示できるようになりました。

  

• 一意のログオンロケーションテーブルの 偏差列は、特定のロケーションの一意のユーザーログオンの増加または減少を示します。

  

これらのメトリックは、ユーザーログオンが以前の期間からどのように変化したか (プラスまたはマイナス) を理解するのに役立ちます。Citrix Virtual Apps and Desktops および Citrix DaaS 展開でのユーザーインタラクションを可視化します。

詳しくは、「アクセス保証ロケーションダッシュボード」を参照してください。

修正された問題

• アクセス保証ロケーションダッシュボードで、ジオフェンスエリア外からユーザーがログオンしない場合、ユーザーログオンサマリーカードはユーザーログオンメトリック (世界中の合計ユーザーログオン、世界中の一意のユーザーログオン、ユーザーログオンのある国) を表示できません。この問題は修正されました。[CAS-59595]

2021年10月1日

新機能

コンテンツコラボレーションのセルフサービス検索での監査ログの表示

コンテンツコラボレーションのセルフサービス検索で、監査ログを表示できるようになりました。これらのログは、コンテンツコラボレーション管理者がユーザーアカウントに適用した許可とアクションに関するインサイトを提供します。これらのデータを使用して、コンテンツコラボレーション管理者がユーザーアカウントに対して有効なアクションを実行したかどうかを確認できます。セキュリティ管理者として、リスク調査と分析中に役立ちます。

監査ログの詳細については、「コンテンツコラボレーションのセルフサービス検索」を参照してください。

修正された問題

Azure AD を使用して Citrix Cloud にログオンする管理者は、以前の期限切れセッション ID が新しいセッション ID とともに送信されると、Citrix Analytics サービスにアクセスできません。この問題は修正されました。[CAS-59385]

2021年9月29日

新機能

アクセス保証ロケーションダッシュボードが一般提供開始

このダッシュボードは、Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーがログオンしたロケーションを可視化します。ジオフェンシングを有効にすることで、ロケーションが異常なユーザーを特定し、脅威を防止するために適切なアクションを適用できます。

ダッシュボードを表示するには、セキュリティ > アクセス保証をクリックします。ロケーションの詳細を表示する期間を選択します。

詳しくは、「アクセス保証ロケーションダッシュボード」を参照してください。

2021年9月15日

新機能

カスタムリスクインジケーターの強化

• カスタムリスクインジケーターがトリガーされると、ユーザータイムラインにすぐに表示されます。ただし、ユーザーのリスクサマリーとリスクスコアは数分後 (約15〜20分) に更新されます。

• 既存のカスタムリスクインジケーターの条件、リスクカテゴリ、重大度、名前などの属性を変更した場合でも、ユーザータイムラインには、ユーザーに対してトリガーされたカスタムリスクインジケーターの以前の発生 (古い属性を持つもの) を表示できます。

• カスタムリスクインジケーターを削除した場合でも、ユーザータイムラインには、ユーザーに対してトリガーされたカスタムリスクインジケーターの以前の発生を表示できます。

詳しくは、「カスタムリスクインジケーター」を参照してください。

2021年9月14日

新機能

疑わしいログオンリスクインジケーターの導入

Citrix Analytics for Security は、以下のような複数のコンテキスト要因に基づいて、疑わしい性質のユーザーログオンを検出するようになりました。

• ロケーションがユーザーおよび組織の履歴に関して異常であると見なされる

• デバイスがユーザーおよび組織の履歴に関して異常であると見なされる

• ネットワークがユーザーおよび組織の履歴に関して異常であると見なされる

• IP アドレスが IP 脅威インテリジェンスフィードに基づいて疑わしいと見なされる

Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーがこれらの要因の組み合わせに基づいて疑わしいコンテキストからログオンすると、リスクインジケーターがトリガーされます。

このリスクインジケーターは、Citrix Virtual Apps and Desktops データソースに関連付けられた 異常なロケーションからのアクセスリスクインジケーターを置き換えます。異常なロケーションからのアクセスリスクインジケーターに基づいていた既存のポリシーは、新しいリスクインジケーター 疑わしいログオンに自動的にリンクされます。

リスクインジケーターの詳細については、「Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター」を参照してください。

SIEM メッセージの強化

Citrix Analytics for Security は、疑わしいログオンリスクインジケーターのスキーマ詳細を SIEM サービスに送信するようになりました。疑わしいログオンリスクインジケーターのインジケーターサマリーとイベント詳細のスキーマを表示できます。詳しくは、「SIEM の Citrix Analytics データ形式」を参照してください。

修正された問題

• Apps and Desktops のセルフサービス検索で、ダウンロードされた CSV ファイルにクライアント IP 値がありません。この問題は修正されました。[CAS-58426]

2021年8月19日

新機能

Splunk 用 Citrix Analytics アプリの導入

注

このアプリはプレビュー版です。

Splunk 用 Citrix Analytics アプリを使用すると、Citrix Analytics for Security から収集されたデータを Splunk のダッシュボードでインサイトのある形式で表示できます。ダッシュボードは、ユーザーの危険なイベントに関するインサイトを提供します。また、Citrix Analytics データを、さまざまな他のデータソースから収集されたログと関連付けることもできます。相関は、イベント間の関係を見つけ、IT 環境を保護するためにタイムリーなアクションを実行するのに役立ちます。

アプリをダウンロードするには、Splunkbase にアクセスします。Splunk 検索ヘッドにアプリをインストールします。

詳しくは、「Splunk 用 Citrix Analytics アプリ」を参照してください。

SIEM のカスタムリスクインジケーターのスキーマ

SIEM サービスで、Citrix Virtual Apps and Desktops および Citrix DaaS 用に作成されたカスタムリスクインジケーターのスキーマを表示できるようになりました。このデータは、組織のセキュリティリスク体制に関するインサイトを得るのに役立ちます。

カスタムリスクインジケーターのスキーマの詳細については、「SIEM の Citrix Analytics データ形式」を参照してください。

Citrix Director のデータソースとしてのサポート

Citrix Director でオンプレミスサイトを構成して、イベントを Security Analytics に送信できるようになりました。これらのイベントは、Security Analytics に接続されたユーザーを検出し、ユーザーのデバイスにインストールされている Workspace アプリのバージョンを特定するために使用されます。

デフォルトでは、サイトの検出後にデータ処理が有効になります。監視カードには、接続されているすべてのサイトが表示されます。

Director でサイトを構成する方法の詳細については、「Citrix Virtual Apps and Desktops および Citrix DaaS データソース」を参照してください。

アクセス保証ロケーションダッシュボードでのジオフェンスのサポート

ダッシュボードの ジオフェンス設定を使用して、ジオフェンスエリアを選択して有効にできるようになりました。ジオフェンスを有効にすると、マップにはジオフェンスエリア (国) と、ジオフェンス外およびジオフェンス内からのユーザーログオンが表示されます。この機能は、CVAD-Session started outside of geofence リスクインジケーターを使用してユーザーログオンを監視します。

詳しくは、「アクセス保証ロケーションダッシュボード」を参照してください。

ユーザーページの Workspace アプリステータス

ユーザーページで、Citrix Analytics でサポートされている Citrix Workspace アプリクライアントのステータスを表示できるようになりました。ページには以下のステータスが表示されます。

• サポート対象
• 部分的にサポート対象
• サポート対象外
• 利用不可
• 非アクティブ

このステータスは、ユーザーが使用しているサポート対象外のクライアントバージョンを特定し、ユーザーにクライアントをサポート対象バージョンにアップグレードすることを推奨するのに役立ちます。サポート対象のクライアントバージョンは、ユーザーイベントを Citrix Analytics に送信します。

注

Citrix Workspace アプリのステータスを表示するには、Citrix Director データソースをオンボーディングする必要があります。そうしないと、すべての Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーのステータスが 非アクティブと表示されます。

詳しくは、「ユーザーダッシュボード」を参照してください。

IS EMPTY 演算子のサポート

カスタムリスクインジケーターを作成する際に、条件で IS EMPTY 演算子を使用して、null または空のディメンションをチェックできるようになりました。

注

この演算子は、App-Name、Browser、Country などの文字列型ディメンションでのみ機能します。

詳しくは、「カスタムリスクインジケーター」を参照してください。

改善されたリスクスコアリング

ユーザーのタイムラインで、ユーザーのリスクサマリーを表示できるようになりました。リスクサマリーは、ユーザーイベントに関連付けられたリスク要因に関する情報を提供します。リスク要因は、ユーザーイベントの異常の種類を特定し、リスクスコアを決定するのに役立ちます。リスク要因は次のとおりです。

• デバイスベースのリスクインジケーター

• ロケーションベースのリスクインジケーター

• IP ベースのリスクインジケーター

• ログオン失敗ベースのリスクインジケーター

• データベースのリスクインジケーター

• ファイルベースのリスクインジケーター

• カスタムリスクインジケーター

• その他のリスクインジケーター

ユーザーのタイムラインで、リスク要因に基づいてユーザーイベントを表示するようにフィルターを適用できるようになりました。

詳しくは、以下のトピックを参照してください。

• Citrix ユーザーリスクインジケーター

• ユーザーリスクタイムラインとプロファイル

2021年7月29日

非推奨機能

Citrix Endpoint Management™ に関連付けられた非推奨アクション

以下の操作は、Citrix Endpoint Management データソースから削除されました。これらの操作をリスクインジケーターに適用したり、これらの操作を使用してポリシーを作成したりすることはできなくなりました。

• デバイスのロック

• Endpoint Management 管理者への通知

• ユーザーへの通知

• デバイスの取り消し

• デバイスのワイプ

既存のポリシーでこれらの操作がすでに使用されている場合、それらは自動的に ウォッチリストへの追加操作に置き換えられます。そして、ウォッチリストからそのようなユーザーを監視できます。

2021年7月14日

新機能

IS NOT EMPTY 演算子のサポート

カスタムリスクインジケーターを作成する際に、条件で IS NOT EMPTY 演算子を使用して、ディメンションが空ではない (空白ではない) ことをチェックできるようになりました。

注

この演算子は、App-Name、Browser、Country などの文字列型ディメンションでのみ機能します。

たとえば、次の条件は、国値が null ではない国からのユーザーログオンイベントを検出します。つまり、国名が指定されています。

Event-Type = “Session.logon” AND Country IS NOT EMPTY

詳しくは、「カスタムリスクインジケーター」を参照してください。

2021年7月6日

新機能

ユーザーダッシュボードでの危険ではないユーザーの表示

ユーザーダッシュボードで、選択した期間の危険ではないユーザーの数を表示できるようになりました。これらの検出されたユーザーは、選択した期間のゼロリスクスコアに基づいて危険ではないと識別されます。危険ではないユーザーカードをクリックすると、ゼロリスクスコアを持つすべてのユーザーが表示されます。

詳しくは、「ユーザーダッシュボード」を参照してください。

2021年7月1日

新機能

アクセス保証ロケーションダッシュボードの強化

• 上位10の一意のログオンロケーションテーブルで、不明なロケーションからの一意のユーザーログオンの数を表示できます。このリストは、上位10の一意のログオンロケーションのサブセットです。ロケーションが不明な理由と、ユーザーのロケーションを取得する可能な方法も確認できます。

  

• アクセスロケーションページで複数のロケーションを選択した場合、すべてのロケーション、上位5つのロケーション、下位5つのロケーションからのユーザーログオンのタイムライン詳細を表示および比較できます。

  

• アクセスロケーションページで、国とその都市、オペレーティングシステム - メジャーバージョンとマイナーバージョンなどのネストされたファセットを使用できます。これらのファセットにより、イベントをきめ細かくフィルタリングできます。

  

詳しくは、「アクセス保証ロケーション」を参照してください。

Virtual Apps and Desktops のセルフサービス検索で OS ファセットを更新

ネストされた OS ファセットを使用して Apps and Desktops イベントをフィルタリングできるようになりました。オペレーティングシステムに関連付けられたメジャーバージョンとマイナーバージョンを選択し、イベントをきめ細かくフィルタリングします。詳しくは、「Apps and Desktops のセルフサービス検索」を参照してください。

2021年6月30日

新機能

Apps and Desktops のカスタムリスクインジケーター条件に Workspace アプリバージョンを追加

Apps and Desktops データソースの場合、カスタムリスクインジケーターを作成する際に、Workspace-App-Version ディメンションを使用して条件を定義できるようになりました。ディメンションの詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。

2021年6月23日

新機能

SIEM メッセージの強化

以下のフィールドがリスクインジケーターのスキーマに追加されました。

• indicator_vector_name - リスクインジケーターに関連付けられたリスクベクトルを示します。リスクベクトルは、デバイスベースのリスクインジケーター、ロケーションベースのリスクインジケーター、ログオン失敗ベースのリスクインジケーター、IP ベースのリスクインジケーター、データベースのリスクインジケーター、ファイルベースのリスクインジケーター、およびその他のリスクインジケーターです。

• indicator_vector_id - リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスクインジケーター、ID 2 = ロケーションベースのリスクインジケーター、ID 3 = ログオン失敗ベースのリスクインジケーター、ID 4 = IP ベースのリスクインジケーター、ID 5 = IP ベースのリスクインジケーター、ID 6 = データベースのリスクインジケーター、ID 7 = その他のリスクインジケーター、ID 999 = 利用不可。

詳しくは、「SIEM の Citrix Analytics データ形式」を参照してください。

2021年6月7日

新機能

管理者への通知アクションの強化

管理者への通知アクションをリスクインジケーターに適用するか、そのアクションを含むポリシーを作成すると、ユーザーの危険な行動に関する通知を受け取る管理者を選択できるようになりました。アクションの詳細については、「ポリシーとアクション」を参照してください。

読み取り専用共有アクションのサポートを追加

ユーザーがファイルを過剰に共有した場合、Citrix Analytics は 過剰なファイル共有リスクインジケーターをトリガーします。ユーザーのリスクタイムラインから、リンクを読み取り専用共有に変更するアクションを 過剰なファイル共有リスクインジケーターに適用できるようになりました。また、共有リンクリスクタイムラインの特定の共有リンクにアクションを適用することもできます。このアクションは、他のユーザーが共有リンクに関連付けられたファイルをダウンロード、コピー、または印刷するのを防ぎます。アクションの詳細については、「ポリシーとアクション」を参照してください。

2021年5月18日

新機能

デフォルトリスクインジケーターからカスタムリスクインジケーターへの移行

以下のデフォルトリスクインジケーターは、事前構成されたカスタムリスクインジケーターに移行されました。

デフォルトリスクインジケーター	データソース	事前構成されたカスタムリスクインジケーター
新しいデバイスからの初回アクセス	Citrix Virtual Apps and Desktops および Citrix DaaS	CVAD - 新しいデバイスからの初回アクセス
新しい IP からの初回アクセス	Citrix Gateway	GW - 新しい IP からの初回アクセス

このカスタムリスクインジケーターへの移行により、デフォルトリスクインジケーターと関連する機械学習アルゴリズムは非推奨になりました。

対応するカスタムリスクインジケーターは、以下の事前構成された条件に基づいてトリガーされます。

• ユーザーが新しいデバイスから初めてアクセスした場合、または最低90日間使用されていない既存のデバイスからアクセスした場合。

• ユーザーが新しい IP アドレスから初めてサインインした場合、または最低90日間使用されていない既存の IP アドレスからサインインした場合。

事前構成された条件に加えて、これらのカスタムリスクインジケーターに独自の条件を追加して、Citrix 環境の脅威を特定できるようになりました。このオプションにより、セキュリティニーズに基づいてカスタムリスクインジケーターを柔軟に構成できます。また、これらのカスタムリスクインジケーターによって検出された危険なイベントに対してアクションを適用するポリシーを作成することもできます。

ただし、ユーザーのタイムラインでは、以前にトリガーされたデフォルトリスクインジケーターとそのイベントを引き続き表示できます。

これらのデフォルトリスクインジケーターに関連付けられたポリシーは、対応する事前構成されたカスタムリスクインジケーターに自動的にリンクされます。

詳しくは、「事前構成されたカスタムリスクインジケーターとポリシー」を参照してください。

Gateway のセルフサービス検索の強化

• イベントタイプフィルターは レコードタイプに名称変更されました。イベントをフィルタリングするには、VPN_AI、VPN_IF、VPN_ST のいずれかのレコードタイプを選択します。

• データテーブルで、ユーザーイベントの行を展開して、対応するイベントタイプを表示します。イベントタイプは、認証、ICA® ファイル、またはセッションログアウトのいずれかです。

以下の表は、レコードタイプとイベントタイプの相関関係を示しています。

レコードタイプ	イベントタイプ
VPN_AI	認証
VPN_IF	ICA ファイル
VPN_ST	セッションログアウト

詳しくは、「Gateway のセルフサービス検索」を参照してください。

修正された問題

• カスタムリスクインジケーターは、条件値の大文字と小文字の区別に基づいてトリガーされます。たとえば、許可リストにデバイス ID を含むユーザーイベントでは、以下の動作が表示されます。

  • Device-ID ディメンションの値を小文字で入力すると、カスタムインジケーターがトリガーされます。

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

  • 同じデバイスの Device-ID ディメンションの値を大文字で入力すると、カスタムインジケーターはトリガーされません。

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

  この問題は修正され、カスタムリスクインジケーターは条件値の大文字と小文字の区別に関係なくトリガーされます。

  [CAS-50153]

2021年4月29日

新機能

カスタムリスクインジケーターのイベント詳細

ユーザーのリスクタイムラインページで、カスタムリスクインジケーターをトリガーしたイベントを表示できるようになりました。以前は、カスタムリスクインジケーターの定義された条件、説明、トリガー頻度のみを表示できました。イベント検索をクリックすると、ユーザーとリスクインジケーターに関連付けられたイベントの詳細が表示されます。 詳しくは、「カスタムリスクインジケーター」を参照してください。

修正された問題

• 管理者は、アクセス許可が読み取り専用管理者からフル管理者に変更された後でも、カスタムリスクインジケーターを作成できません。[CAS-49628]

2021年4月16日

新機能

SIEM メッセージの強化

リスクインジケーターのスキーマ形式で以下の強化を表示できます。

• クライアント IP アドレスが、すべてのバッチリスクインジケーターのスキーマで利用可能になりました。以前は、クライアント IP アドレスは一部のバッチリスクインジケーターでのみ利用可能でした。

  • EPA スキャン失敗
  • 過剰な認証失敗
  • 疑わしい IP からのログオン
  • 異常なロケーションからのアクセス
  • 異常な認証失敗
  • 匿名機密共有ダウンロード
  • 潜在的なデータ漏洩

• 整数データ型フィールドの値が利用できない場合、割り当てられる値は -999 です。たとえば、"latitide" = -999。

• 文字列データ型フィールドの値が利用できない場合、割り当てられる値は NA です。たとえば、"city"= "NA"。

詳しくは、「SIEM の Citrix Analytics データ形式」を参照してください。

2021年3月26日

新機能

SIEM メッセージの制限

Citrix Analytics は、各リスクインジケーターの発生に対して最大1000件のイベント詳細を SIEM サービスに送信します。これらのイベントは、発生の時系列順に送信されます。詳しくは、「SIEM の Citrix Analytics データ形式」を参照してください。

SIEM メッセージにデータソース ID とインジケーターカテゴリ ID フィールドを追加

以下のフィールドがインジケーターサマリースキーマとインジケーターイベント詳細スキーマに追加されました。

フィールド	説明
data_source_id	データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Virtual Apps and Desktops、ID 4 = Citrix Access Control™
indicator_category_id	リスクインジケーターカテゴリに関連付けられた ID。ID 1 = データ漏洩、ID 2 = 内部脅威、ID 3 = 侵害されたユーザー

詳しくは、「SIEM の Citrix Analytics データ形式」を参照してください。

2021年3月18日

新機能

アクセス保証ロケーションダッシュボード

注

この機能はプレビュー版です。

アクセス保証ロケーションダッシュボードは、Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーが選択した期間にログオンしたロケーションの概要を提供します。Citrix Analytics は、ユーザーのデバイスにインストールされた Citrix Workspace アプリからこれらのユーザーログオンイベントを受信します。

ダッシュボードを表示するには、セキュリティ > アクセス保証をクリックします。

選択した期間について、以下の情報を表示できます。

• 特定のロケーションおよびロケーション全体からのユーザーログオンの合計数。

• ロケーション全体の一意のユーザーログオンの合計数。

• ユーザーがログオンした国の合計数。

• 一意のユーザーログオンがある上位10のロケーション。

詳しくは、「アクセス保証ロケーション」を参照してください。

NOT LIKE (!~) 演算子のサポート

セルフサービス検索クエリとカスタムリスクインジケーター条件で、NOT LIKE (!~) 演算子を使用できるようになりました。この演算子は、指定したパターンに一致するユーザーイベントをチェックします。イベント文字列のどこにも指定したパターンが含まれていないイベントを返します。

たとえば、クエリ User-Name !~ “John” は、John、John Smith、または一致する名前 “John” を含むその他のユーザーを除くユーザーのイベントを表示します。

詳しくは、「セルフサービス検索」を参照してください。

翻訳されたオペレーティングシステムバージョン

Citrix Virtual Apps and Desktops および Citrix DaaS データソースの場合、プラットフォームディメンションは OS-Major-Version、OS-Minor-Version、および OS-Extra-Details ディメンションとして翻訳されました。ユーザーのオペレーティングシステム詳細に基づいて、Citrix Analytics はこれらのディメンションをセルフサービス検索ページに表示します。

これらのディメンションを使用して、カスタムリスクインジケーターの条件を定義できます。

以前に作成されたカスタムリスクインジケーターで プラットフォームディメンションを条件として使用した場合、Citrix Analytics は プラットフォームディメンションを OS-Major-Version、OS-Minor-Version、および OS-Extra-Details に自動的に置き換えます。この更新は、定義された条件の整合性には影響しません。

新しいディメンションの詳細については、「Virtual Apps and Desktops のセルフサービス検索」を参照してください。

Apps and Desktops のデータフィールドを更新

Apps and Desktops のセルフサービス検索で、コンテキストテンプレートに基づいて更新されたデータフィールドを表示します。

詳しくは、「Apps and Desktops のセルフサービス検索」を参照してください。

非推奨機能

セルフサービス検索ページから VPN_AF および VPN_SU イベントを削除

Citrix Gateway データソースのセルフサービス検索ページから、以下のレコードタイプが削除されました。

レコードタイプ	レコード名
VPN_SU	セッション更新レコード
VPN_AF	アプリケーション起動失敗レコード

そのため、これらのレコードタイプに基づいてイベントをフィルタリングして表示することはできません。これらのレコードタイプに基づいたカスタムリスクインジケーターは機能しなくなります。

詳しくは、「Gateway のセルフサービス検索」を参照してください。

2021年3月11日

新機能

ユーザーリスクスコアスキーマの現在のタイムスタンプ

ユーザーリスクスコアスキーマ形式に新しいフィールド last_update_timestamp が追加されました。このフィールドは、リスクスコアが最後に更新された時刻を示します。スキーマ形式の詳細については、「ユーザーリスクスコアスキーマ」を参照してください。

2021年3月3日

新機能

疑わしい IP からのログオンリスクインジケーターの強化

ユーザーのリスクタイムラインページで、疑わしい IP からのログオンリスクインジケーターに新しいセクション 疑わしい IP が表示されます。このセクションには、以下の情報が表示されます。

• 疑わしいサインインアクティビティが検出された IP アドレス。
• ユーザーのロケーション。
• Citrix Analytics が組織で最近検出した疑わしい IP アクティビティのパターン。
• IP アドレスに関するコミュニティレベルのインテリジェンスフィード。

詳しくは、「疑わしい IP からのログオン」リスクインジケーターを参照してください。

異常なロケーションからのアクセスリスクインジケーターの強化

• Citrix Content Collaboration の異常なロケーションからのアクセスリスクインジケーターで、イベントテーブルに ツール名列を追加しました。イベントテーブルから デバイスブラウザ列を削除しました。詳しくは、「Citrix Content Collaboration リスクインジケーター」を参照してください。

• Citrix Virtual Apps and Desktops および Citrix DaaS の異常なロケーションからのアクセスリスクインジケーターで、イベントテーブルに デバイス ID と レシーバータイプ列を追加しました。詳しくは、「Citrix Virtual Apps and Desktops リスクインジケーター」を参照してください。

SIEM の Citrix Analytics データ形式

記事では、Citrix Analytics が SIEM サービス用に生成する処理済みデータのスキーマについて説明しています。

修正された問題

• コンテンツコラボレーションユーザーの場合、Is Employee 値が null の場合、ユーザーは検出されたユーザーリストに表示されません。[CAS-47815]

2021年2月18日

新機能

カスタムリスクインジケーターでの新しいエンティティからの初回アクセスのサポート

Citrix Analytics が新しいエンティティから初めてイベントを受信したときにトリガーされるリスクインジケーターを作成できるようになりました。エンティティの例としては、クライアント IP、都市、国などがあります。

インジケーターの作成ページで、初回オプションをクリックします。新しいエンティティの初回ボタンを有効にし、データソースに基づいてリストから有効なエンティティを選択します。エンティティに特定の値を割り当てる必要はありません。たとえば、リストから 都市を選択した場合、ユーザーが新しい都市から初めてサインインするたびに、Citrix Analytics はリスクインジケーターをトリガーします。

詳しくは、「カスタムリスクインジケーターの作成」を参照してください。

カスタムリスクインジケーターの作成の最大制限

カスタムリスクインジケーターを最大50個まで作成できるようになりました。この最大制限に達した場合、カスタムリスクインジケーターを作成するには、既存のカスタムリスクインジケーターを削除または編集する必要があります。

詳しくは、「カスタムリスクインジケーター」を参照してください。

Citrix Virtual Apps and Desktops および Citrix DaaS からのユーザーロケーションデータ

ユーザー情報ページで、Citrix Analytics は Citrix Virtual Apps and Desktops および Citrix DaaS データソースからのユーザーのロケーションを表示するようになりました。

ユーザーロケーションの詳細については、「ユーザープロファイル」を参照してください。

複数列ソート

セルフサービス検索ページで、複数の列でユーザーイベントをソートできるようになりました。ソート順をクリックし、列とソート順を追加します。適用をクリックしてユーザーイベントをソートします。複数列ソートを実行するために、最大6つの列を追加できます。

詳しくは、「セルフサービス検索」を参照してください。

非推奨機能

過剰な認証失敗リスクインジケーターが非推奨に

Citrix Gateway リスクインジケーター - 過剰な認証失敗は非推奨になりました。このインジケーターに関連する履歴データのみを表示できます。

この非推奨化の一環として、以下の変更が適用されます。

• Citrix Analytics はこれらのリスクインジケーターを生成しなくなります。

• Citrix Analytics はこれらのリスクインジケーターを条件とするポリシーを生成しなくなります。

• これらのリスクインジケーターを条件とするデフォルトポリシーは有効にならなくなります。

詳しくは、「Citrix Gateway リスクインジケーター」を参照してください。

2021年1月27日

新機能

異常なロケーションからのアクセスリスクインジケーターの強化

Citrix Content Collaboration、Citrix Gateway、および Citrix Virtual Apps and Desktops の場合、異常なロケーションからのアクセスリスクインジケーターは、ユーザーが新しい国または新しい都市に関連付けられた IP アドレスからサインインした場合にトリガーされます。これは、以前のサインインロケーションから異常に遠いロケーションです。その他の要因には、ユーザーの全体的な移動レベルと、組織内のすべてのユーザーの都市からのサインインの相対的な頻度が含まれます。すべての場合において、ユーザーロケーション履歴は過去30日間のサインインアクティビティに基づいています。

リスクインジケーターの詳細については、以下のトピックを参照してください。

• Citrix Content Collaboration リスクインジケーター

• Citrix Gateway リスクインジケーター

• Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター

2021年1月20日

修正された問題

• オンプレミス StoreFront を使用する Apps and Desktops データソースの場合、StoreFront 展開が正常に接続されていてもデータ処理が失敗します。

  [CAS-46656]

2021年1月19日

修正された問題

• カスタムリスクインジケーターページで、検索フィールドの無効な条件を修正した後、トリガーの推定リンクが応答しません。

  たとえば、無効な条件 Client-IP = 10.10.10.10 を入力します。この条件を修正して Client-IP = "10.10.10.10" と入力した後、トリガーの推定リンクが応答しません。

  回避策: カスタムインジケーターページを更新し、有効な条件でカスタムインジケーターを作成します。

  [CAS-46316]

2021年1月13日

新機能

Splunk 用 Citrix Analytics アドオンの新しいバージョンが利用可能

Splunk 用 Citrix Analytics アドオンバージョン 2.1.0 が利用可能になりました。ダウンロードページにアクセスしてファイルをダウンロードします。

Splunk Cloud Inputs Data Manager (IDM) および Splunk 8.1 64ビットのサポートを追加

Citrix Analytics for Security を Splunk Cloud IDM および Splunk 8.1 64ビットと統合できるようになりました。詳しくは、「Splunk 統合」を参照してください。

非推奨のサポート

Splunk 7.1 64ビットのサポートを削除

Citrix Analytics for Security を Splunk 7.1 64ビットと統合することはできなくなりました。サポートされている Splunk バージョンの詳細については、「Splunk 統合」を参照してください。

2021年1月11日

修正された問題

• Virtual Apps and Desktops サイトカードで、サポート対象クライアントユーザーラベルが ユーザーから受信したイベントに名称変更されました。サポート対象外クライアントユーザーラベルは ユーザーからイベントを受信できませんに名称変更されました。

  [CAS-44773]

2020年12月17日

新機能

事前構成されたカスタムリスクインジケーターとポリシーを使用して、異常なロケーションからのアクセスをブロック (ジオフェンシング)

Citrix は、Citrix インフラストラクチャのセキュリティを監視するのに役立つ事前構成されたカスタムリスクインジケーターとポリシーのリストを提供します。これらのインジケーターとポリシーを使用すると、通常の運用国以外の国からのユーザーアクセスをブロックできます。デフォルトでは、国は「米国」に設定されています。ジオフェンシングに必要な国を設定できます。

以下は、事前構成されたカスタムリスクインジケーターとポリシーです。

• CVAD - ジオフェンス外で開始されたセッション

• GW - ジオフェンス横断

• CCC - ジオフェンス横断

• ジオフェンス外でセッション開始

詳しくは、「事前構成されたカスタムリスクインジケーターとポリシー」を参照してください。

ユーザー応答メールでアクセスされたロケーションを表示

ユーザーデバイスの IP アドレスの代わりに、ユーザー応答メールには、過去15分間にユーザーがアクセスしたすべてのロケーションが表示されるようになりました。ロケーションは <都市>,<国> 形式で表示されます。都市または国が利用できない場合、対応する値は「不明」と表示されます。

詳しくは、「ユーザー応答要求」を参照してください。

コンテンツコラボレーションリスクインジケーターの名称変更 - 新しいロケーションからの初回アクセス

Citrix Content Collaboration リスクインジケーター 新しいロケーションからの初回アクセスは 異常なロケーションからのアクセスに名称変更されました。

詳しくは、「異常なロケーションからのアクセス」を参照してください。

非推奨機能

リスクインジケーターのフィードバック

リスクインジケーターのフィードバックメカニズムは削除されました。コンテンツコラボレーションリスクインジケーター - 異常なロケーションからのアクセスが誤ってトリガーされた場合、誤検知として報告してフィードバックを提供することはできなくなりました。

2020年12月7日

新機能

潜在的なデータ漏洩リスクインジケーターの改善

リスクインジケーターに以下の強化が行われました。

• 何が起こったかセクションの情報が更新されました。一貫性を保つために時間形式が更新されました。

• デバイスロケーション情報がイベントリストに表示されます。

リスクインジケーターの詳細については、「潜在的なデータ漏洩」を参照してください。

コンテンツコラボレーションリスクインジケーターの改善 - 新しいロケーションからの初回アクセス

ユーザーリスクタイムラインで、新しいロケーションからの初回アクセスを選択すると、以下の情報が表示されます。

• サインインロケーション: ユーザーがサインインした通常のロケーションと異常なロケーションの地理マップビューを表示します。

• 通常のロケーションからのサインイン数 - 過去30日間: 過去30日間にユーザーがサインインした上位6つの通常のロケーションの円グラフビューを表示します。これらのロケーションからのサインインイベントの数も表示されます。

• 異常なロケーションのイベント詳細: ユーザーの異常なロケーションからのサインインイベントのリストを提供します。

リスクインジケーターの詳細については、「新しいロケーションからの初回アクセス」を参照してください。

2020年11月30日

新機能

セルフサービス検索ページの改善

セルフサービス検索ページの使いやすさを向上させるために、以下の改善が行われました。

• 検索ボックスに、独自のクエリを入力する方法を示すクエリの例が表示されます。

  

• macOS では、ディメンションリストのスクロールバーがデフォルトで表示されるようになりました。

  

• 適用されたフィルターがチップとして表示されるようになりました。

  

• 列の追加または削除ラベルが + アイコンに置き換わりました。

  

詳しくは、「セルフサービス検索」を参照してください。

ポリシーの改善

ポリシーページには、Citrix Analytics に正常に検出および接続されたデータソースに関連付けられたポリシーが表示されるようになりました。このページには、検出されていないデータソースに対して条件が定義されているポリシーは表示されません。すでに接続されているデータソースのデータ処理をオフにしても、ポリシーページの既存のポリシーには影響しません。

詳しくは、「ポリシーとアクションの構成」を参照してください。

2020年11月4日

新機能

異常な認証失敗 - Citrix Gateway リスクインジケーター

Citrix Analytics は、ユーザーが異常な IP アドレスからログオン失敗した場合にアクセスベースの脅威を検出し、異常な認証失敗リスクインジケーターをトリガーします。

このリスクインジケーターは、組織内のユーザーが通常の行動に反して異常な IP アドレスからログオン失敗した場合にトリガーされます。

詳しくは、「Citrix Gateway リスクインジケーター」を参照してください。

2020年10月20日

修正された問題

• ユーザーのログオフアクションが適用されたリスクインジケーター 新しいデバイスからの初回アクセスが期待どおりに機能しません。

  [CAS-40743]

2020年10月15日

新機能

異常なロケーションからのアクセス – Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター

Citrix Analytics は、Citrix Workspace からの異常なサインインに基づいてアクセスベースの脅威を検出し、対応するリスクインジケーターをトリガーします。

詳しくは、「Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター」を参照してください。

共有リンクダッシュボードの強化

• 共有 URL 列が共有 ID 列に置き換わりました。各共有 URL は共有 ID で識別されるようになりました。

• ダッシュボードの時間選択が削除されました。現在、このダッシュボードは、選択された期間ではなく、アクティブ状態から期限切れ状態までのすべての共有リンクを表示します。

• すべての共有リンクは、まずアクティブなリンク、次に期限切れのリンクの順にソートされます。デフォルトでは、リスクインジケーター数が最も多い共有リンクがリストの先頭に表示されます。

• 危険なリンクは、危険な動作を持つアクティブなリンクを表示します。期限切れのリンクは表示しません。デフォルトでは、リスクインジケーター数が最も多い危険なリンクがリストの先頭に表示されます。

• 危険な共有リンクカードとすべての共有リンクカードのトレンドビューが削除されました。

詳しくは、「Share Links ダッシュボード」を参照してください。

共有リンクリスクタイムラインの強化

リスクタイムラインは、共有 URL の代わりに共有 ID を表示するようになりました。詳しくは、「Share Link リスクタイムライン」を参照してください。

非推奨機能

サポート対象外のオペレーティングシステム (OS) を搭載したデバイスからのアクセスリスクインジケーターが非推奨に

Citrix Virtual Apps and Desktops リスクインジケーター - サポート対象外のオペレーティングシステム (OS) を搭載したデバイスからのアクセスは非推奨になりました。このインジケーターに関連する履歴データのみを表示できます。

この非推奨化の一環として、以下の変更が適用されます。

• Analytics はこれらのリスクインジケーターを生成しなくなります。

• Analytics はこれらのリスクインジケーターを条件とするポリシーを生成しなくなります。

• これらのリスクインジケーターを条件とするデフォルトポリシーは有効にならなくなります。

詳しくは、「Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター」を参照してください。

2020年9月10日

新機能

StoreFront のチェックリスト

Citrix Analytics は、StoreFront 構成ファイルをダウンロードする前に満たす必要がある前提条件のリストを表示するようになりました。チェックリストを確認し、すべての最小要件が選択されていることを確認します。最小要件が選択されていない場合、構成ファイルをダウンロードできません。詳しくは、「Citrix Virtual Apps and Desktops データソース」を参照してください。

セルフサービス検索 - NOT EQUAL (!=) 演算子のサポート

以下の機能で、クエリで NOT EQUAL (!=) 演算子を使用できるようになりました。

• カスタムリスクインジケーター

• セルフサービス検索

この演算子は、以下の条件で使用できます。

データソース	ディメンション
コンテンツコラボレーション	国、都市、クライアント OS
アクセスコントロール	国、都市、アクション、URL、URL カテゴリ、評判、ブラウザ、OS、デバイス
Apps and Desktops	国、都市、アプリ名、クリップボード操作、ブラウザ、OS
Gateway	認証ステージ、クライアント IP

演算子を使用して、「Country != XYZ」などの単一値のカスタムインジケーター式を作成し、ユーザーのリストを表示します。次に、ウォッチリストへの追加、管理者への通知、ユーザーの無効化などのアクションを適用するポリシーを作成します。 指定されたデータソースのセルフサービス検索で演算子を使用して、ユーザーイベントをフィルタリングすることもできます。

クエリでディメンションの値を入力する際は、データソースのセルフサービス検索ページに表示されている正確な値を使用してください。ディメンション値は大文字と小文字を区別します。

2020年9月8日

新機能

ユーザー相関

Analytics は、さまざまなデータソースから検出されたユーザーを相関させるようになりました。このメカニズムにより、検出されたユーザーリストからほとんどの重複ユーザーが排除されます。Analytics で検出されたユーザーは、一意のユーザーのリストと、そのデータソースおよびリスクインジケーターを表示するようになりました。

たとえば、ユーザー「Joe Smith」は、データソースに基づいて複数のユーザー識別子 (JosephSm、joe.smith@citrix.com、joe.smith) を持つことができます。Analytics は、このユーザーを一意の識別子名で識別するようになりました。他のすべてのユーザー識別子は相関され、さまざまなデータソースから Joe Smith に対して受信されたイベントは、この一意の名前にリンクされます。 詳しくは、「検出されたユーザー」を参照してください。

修正された問題

アクションリストからアクションオプションを選択し、適用をクリックした後、エラーメッセージが表示されます。

[CAS-39914]

2020年8月11日

修正された問題

• Microsoft Graph Security を Citrix Analytics と統合できません。この問題は、Microsoft ポータルが Citrix Analytics にリダイレクトできなかったために発生しました。

[CAS-38021]

2020年7月31日

修正された問題

• カスタムリスクインジケーターの 推定トリガーオプションは、過去1日間のカスタムリスクインジケーターインスタンスを予測しません。

[CAS-38129]

2020年7月9日

新機能

Virtual Apps and Desktops サイトカードにサポート対象およびサポート対象外のクライアントを持つユーザーを表示

サイトカードで、エンドポイントでサポート対象およびサポート対象外バージョンの Citrix Workspace アプリまたは Citrix Receiver™ クライアントを使用しているユーザーの数を表示できるようになりました。

• サポート対象クライアントのユーザー数をクリックすると、すべての検出されたユーザーを表示する ユーザーページが表示されます。

• サポート対象外クライアントのユーザー数をクリックすると、CSV ファイルがダウンロードされます。このファイルには、ユーザーとそのサポート対象外のクライアントバージョンがリストされています。Analytics はサポート対象外のクライアントからユーザーイベントを受信しないため、ユーザーを検出されたユーザーとして追加しません。CSV ファイルを使用して、Analytics がユーザーの行動に関するセキュリティインサイトを提供できるように、クライアントをサポート対象バージョンにアップグレードする必要があるユーザーを特定します。

サポート対象クライアントのリストを表示するには、「Citrix Virtual Apps and Desktops および Citrix DaaS データソース」を参照してください。

異常なロケーションからのアクセスリスクインジケーター

• Citrix Gateway リスクインジケーター 新しいロケーションからの初回アクセスは 異常なロケーションからのアクセスに名称変更されました。

• ユーザーリスクタイムラインに、地理マップと円グラフがイベント詳細セクションに導入されました。

  • サインインロケーション: このセクションには、ユーザーの通常のロケーションと異常なロケーションの地理マップビューが表示されます。通常のロケーションと異常なロケーションは、地理マップの右上セクションに色分けされて表示されます。地理マップをズームして、ロケーションを詳しく見ることができます。

    

  • 通常のロケーション - 過去30日間: このセクションには、ユーザーがサインインした上位6つの通常のロケーションの円グラフが表示されます。各ロケーションは異なる色分けでマークされています。選択したロケーションの詳細ビューを取得するために、セクションをロケーションでソートできます。

    

詳しくは、「異常なロケーションからのアクセス」を参照してください。

ユーザーダッシュボードデータ

危険なユーザー、検出されたユーザー、特権ユーザー、およびウォッチリスト内のユーザーの数は、ユーザーダッシュボードと ユーザーページで選択された期間に関係なく、過去13か月間表示されます。期間を選択すると、リスクインジケーターの発生が変化します。

詳しくは、「ユーザーダッシュボード」を参照してください。

再設計されたユーザーページ

ユーザーページは、より良いユーザーエクスペリエンスのために強化されました。ユーザーリスクスコア、データソース、ユーザータイプに基づいて、ユーザーイベントの統合された概要を提供します。

より焦点を絞った検索をサポートするために、ユーザーページには左ペインに フィルターセクションがあり、上部に検索バーがあります。事前設定された時間またはカスタマイズされた時間範囲でユーザーイベントを検索できます。

ユーザーページを表示するには:

• セキュリティ > ユーザーに移動して ユーザーダッシュボードを表示し、次の操作を行います。

  • 以下のリンクまたはカードのいずれかをクリックします。

    

  • 危険なユーザーペインで、詳細を表示をクリックします。

  • ウォッチリスト内のユーザーペインで、詳細を表示をクリックします。

  • 特権ユーザーペインで、詳細を表示をクリックします。

• 設定 > データソース > セキュリティに移動します。任意のデータソースサイトカードのユーザー数をクリックします。

詳しくは、「ユーザーダッシュボード」を参照してください。

危険なユーザーペインの強化

変更列が リスクインジケーター列に置き換わりました。リスクインジケーター列は、特定の期間のユーザーのリスクインジケーターの合計発生数を表示します。

詳しくは、「危険なユーザー」を参照してください。

ウォッチリスト内のユーザーペインの強化

変更列が リスクインジケーター列に置き換わりました。リスクインジケーター列は、特定の期間のユーザーのリスクインジケーターの合計発生数を表示します。

詳しくは、「ウォッチリスト内のユーザー」を参照してください。

特権ユーザーペインの強化

• 変更列が リスクインジケーター列に置き換わりました。リスクインジケーター列は、特定の期間のユーザーのリスクインジケーターの合計発生数を表示します。

• 詳細を表示をクリックすると、管理者およびエグゼクティブ特権ユーザーのリストを表示する ユーザーページが表示されます。このページで、ユーザーを特権ユーザーとして追加または削除できます。

詳しくは、「特権ユーザー」を参照してください。

非推奨機能

アラート

アラート機能は非推奨となり、Analytics ユーザーインターフェースでは利用できなくなりました。

危険なユーザーとウォッチリストページ

危険なユーザーと ウォッチリストページは非推奨になりました。これらは、すべての危険なユーザーイベントとウォッチリスト内のユーザーを要約する ユーザーページに置き換わりました。

危険なユーザーペイン

最高スコア変更タブと リスクインジケーター変更タブは、危険なユーザーペインから削除されました。

リスクインジケーターペイン

• 発生変更タブと 変更列は削除されました。

  

• リスクインジケーター詳細ページは非推奨になりました。以前は、リスクインジケーターペインまたは リスクインジケーター概要ページでリスクインジケーターが選択されたときにこのページが表示されていました。

  

トレンドビュー

ユーザーダッシュボードで、高リスクユーザー、中リスクユーザー、低リスクユーザー、および ウォッチリスト内のユーザーカードからユーザー数のトレンドビューが削除されました。

ユーザーグループページ

設定オプションの下の ユーザーグループページは非推奨になりました。ユーザーグループを特権グループとして追加または削除することはできなくなりました。ただし、個々のユーザーを特権ユーザーとして追加または削除することはできます。詳細については、「特権ユーザー」を参照してください。

2020年6月26日

非推奨機能

アプリケーションアクセス異常時間 (仮想/SaaS) リスクインジケーターが非推奨に

Citrix Virtual Apps and Desktops リスクインジケーター - アプリケーションアクセス異常時間 (仮想)および アプリケーションアクセス異常時間 (SaaS)は非推奨になりました。これらのインジケーターに関連する履歴データのみを表示できます。

この非推奨化の一環として、以下の変更が適用されます。

• Analytics はこれらのリスクインジケーターを生成しなくなります。
• Analytics はこれらのリスクインジケーターを条件とするポリシーを生成しなくなります。
• これらのリスクインジケーターを条件とするデフォルトポリシーは有効にならなくなります。

詳しくは、「Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター」を参照してください。

2020年6月2日

修正された問題

• ユーザーリスクタイムラインで、Virtual Apps and Desktops アクション (ポリシーベースまたは手動で適用) のステータスが「失敗」と表示されますが、アクションはユーザーアカウントに正常に適用されています。たとえば、セッション記録の開始アクションはユーザーアカウントに正常に適用されていますが、結果は「失敗」と表示されます。[CAS-32773]

  

2020年5月11日

修正された問題

• 一部のユーザーの場合、ポリシーベースのアクションがトリガーされず、ポリシー適用モードを適用できません。この問題は、顧客 ID が小文字ではない場合に発生します。

  [CAS-34209], [CAS-34141]

• 一部のユーザーのカスタムリスクインジケーターを作成できません。この問題は、顧客 ID が小文字ではない場合に発生します。

  [CAS-34139]

2020年4月29日

修正された問題

• Citrix Virtual Apps and Desktops リスクインジケーターに適用されたアクションは、Analytics がアクションが正常に適用されたというメッセージを表示しても、有効になりません。この問題は、Citrix Virtual Apps and Desktops 7 1912 バージョンで観察されます。

  [CAS-31544]

2020年4月2日

新機能

StoreFront が追加されていない場合のデータ処理の無効化

設定 > データソース > セキュリティ > Virtual Apps and Desktops データソースサイトカードで、StoreFront をオンボーディングしていない場合、データ処理を有効にするボタンは有効になりません。サイトカードに StoreFront が接続されていませんという警告メッセージが表示されます。Analytics がデータを受信することを希望するアクティブなオンプレミスサイトがある場合、StoreFront を Citrix Analytics にオンボーディングしていることを確認する必要があります。これにより、ユーザーアカウントが保護されます。

Virtual Apps and Desktops サイトカードで、縦の省略記号 (⋮) を選択し、StoreFront 展開の接続をクリックします。表示される画面で、指示に従って StoreFront 構成を完了します。

詳しくは、「StoreFront を使用して Citrix Virtual Apps and Desktops オンプレミスサイトをオンボーディング」を参照してください。

修正された問題

• Citrix Content Collaboration ユーザーの場合、ポリシーベースのアクションは以下の条件下で有効になりません。

  • カスタムリスクインジケーターの条件が定義されている場合

  • ユーザーに対してリスクインジケーターが生成されるまで

  [CAS-29226]

2020年3月4日

修正された問題

• Gateway ユーザーが初めて Analytics にオンボーディングすると、「Citrix ADC が応答しないか、資格情報が正しくありません」というエラーが表示されます。再試行すると、「この IP アドレスを持つデバイスはすでに存在します」というエラーが表示されます。

[CAS-31180]

2020年2月20日

新機能

Citrix Analytics for Security オファリング

Citrix Analytics for Security が個別のサブスクリプションで利用可能になりました。 Citrix Analytics for Security をサブスクライブして、このオファリングに特化したインサイトを得ることができます。詳しくは、「はじめに」を参照してください。

リスクカテゴリダッシュボード

Citrix Analytics は、組織のセキュリティ側面に同様の影響を与えるリスクに基づいてリスクインジケーターを分類する機能を提供します。このダッシュボードは、リスクエクスポージャーと即座に注意が必要な重要なリスクの包括的なビューを提供します。デフォルトリスクインジケーターの場合、Analytics はリスクエクスポージャーに基づいてリスクカテゴリを自動的に割り当てます。カスタムリスクインジケーターの場合、リスクエクスポージャーに基づいて適切なリスクカテゴリを選択する必要があります。

Analytics は以下のリスクカテゴリをサポートしています。

• データ漏洩
• 内部脅威
• 侵害されたユーザー
• 侵害されたエンドポイント

詳しくは、「リスクカテゴリ」を参照してください。

カスタムインジケーターページのリスクカテゴリ列

カスタムリスクインジケーターページに リスクカテゴリ列が導入されました。リスクエクスポージャーの種類に基づいて、カスタムリスクインジケーターのリスクカテゴリを選択できます。以前に作成されたカスタムリスクインジケーターは、リスクカテゴリを選択して変更した場合にリスクカテゴリダッシュボードに表示されます。

詳しくは、「カスタムリスクインジケーター」を参照してください。

リスクインジケーター名の変更

以下のリスクインジケーター名が変更されました。

データソース	旧名	新名
Citrix Virtual Apps and Desktops および Citrix DaaS	アプリケーション使用異常時間 (仮想)	アプリケーションアクセス異常時間 (仮想)
Citrix Virtual Apps and Desktops および Citrix DaaS	アプリケーション使用異常時間 (SaaS)	アプリケーションアクセス異常時間 (SaaS)
Citrix Content Collaboration	過剰なログオン失敗	過剰な認証失敗
Citrix Content Collaboration	ログオンアクセス異常時間	新しいロケーションからの初回アクセス
Citrix Access Control	ダウンロード量異常時間	過剰なデータダウンロード
Citrix Gateway	ログオン失敗	過剰な認証失敗
Citrix Gateway	認証失敗	過剰な認証失敗
Citrix Gateway	ログオンアクセス異常時間	新しいロケーションからの初回アクセス

詳しくは、「リスクインジケーター」を参照してください。

修正された問題

• 一部のユーザーの場合、データソースが正常にオンボーディングされ、StoreFront が有効になっているにもかかわらず、Citrix Analytics は Virtual Apps and Desktops からデータを受信できません。[CAS-24134]

• Citrix Analytics は Citrix Content Collaboration からダウンロードイベントを受信できません。そのため、以下のリスクインジケーターはトリガーされません。

  • 匿名機密共有ダウンロード

  • 過剰な共有リンクダウンロード

  • 機密ファイルへの過剰なアクセス

  • 過剰なファイルダウンロード

  [CAS-29207]

• 新しくオンボーディングされたユーザーの場合、Citrix Gateway リスクインジケーターに適用された手動およびポリシーベースのアクションは有効になりません。[CAS-29029]

• 一部のユーザーは、データソースページでサイトカードを表示できません。この問題は、キャッシュを再入力することで解決されました。[CAS-28781]

2020年1月9日

新機能

継続的なリスク評価

Citrix Workspace ユーザーが直面する課題の1つは、リモートアクセスがデータ漏洩、盗難、破壊行為、サービス中断などのサイバー犯罪活動を通じて機密データをセキュリティリスクにさらすことです。組織内の従業員もこの損害に貢献する可能性があります。

これらのリスクに対処する方法としては、多要素認証の実装、短いサインインタイムアウトの強制などがあります。これらのリスク評価方法は、より高いレベルのセキュリティを確保しますが、初期検証後の完全なセキュリティは提供しません。

セキュリティ側面を強化し、より良いユーザーエクスペリエンスを確保するために、Citrix Analytics は継続的なリスク評価のソリューションを導入します。このソリューションは、ユーザープロファイルを継続的に監視し、危険なイベントが検出されたときにさまざまなアクションを実行するのに役立ちます。

詳細については、「継続的なリスク評価」を参照してください。

ポリシー構成

Citrix Analytics は、ポリシー構成をより効率的に管理するのに役立ちます。以下の機能を使用して、ユーザーアカウントを悪意のある攻撃から保護できます。

• デフォルトポリシー: Citrix Analytics は以下のデフォルトポリシーをサポートしています。

  • 資格情報悪用成功
  • 潜在的なデータ漏洩
  • 疑わしい IP からの異常なアクセス
  • 異常なロケーションからの異常なアプリアクセス
  • 低リスクユーザー - 新しい IP からの初回アクセス
  • デバイスからの初回アクセス

  要件に基づいてデフォルトポリシーを変更できます。

  

• 複数の条件: ポリシーには最大4つの条件を含めることができます。条件は、リスクスコアとリスクインジケーター、またはその両方の組み合わせで設定できます。

  

• デフォルトおよびカスタムリスクインジケーター: ポリシーの作成ページの条件メニューは、デフォルトおよびカスタムリスクインジケーターに基づいて分離されました。ポリシーを作成する際に、デフォルトおよびカスタムリスクインジケータータブを切り替えて、リスクインジケーター条件を設定できます。

  

• ユーザー応答要求: Citrix Analytics は ユーザー応答要求アクションを導入します。このアクションを使用して、検出された危険なアクティビティに関するメール通知をユーザーに送信できます。ユーザーがアクティビティについて応答すると、アカウントに対して実行する次のアクションを決定できます。ユーザー応答時間を設定することもできます。応答がない場合、Citrix Analytics は 応答なしをステータスと見なします。

  

• 破壊的なアクションの適用: ユーザーのログオフや ユーザーのロックなどの破壊的なアクションが適用されたときに、ユーザーに通知できます。アクティビティと適用されたアクションの詳細を含む通知がユーザーに送信されます。このアクションは、さらなる悪用を防ぐために、ユーザーアカウントへのサービスを一時的に中断します。アカウントへのアクセスを継続するには、ユーザーは管理者への支援を求める必要があります。

  

• 適用および監視モード: ポリシーに適用または監視モードを設定できます。

  

ポリシーの強化の詳細については、「ポリシーとアクション」を参照してください。

ユーザーのロックとユーザーのロック解除アクション

Citrix Analytics は以下の Gateway アクションを導入します。

• ユーザーのロック
• ユーザーのロック解除

これらのアクションは、手動で、またはポリシーを構成するときに適用できます。

詳しくは、「アクションとは」を参照してください。

アクセスサマリーダッシュボード

Citrix Analytics は、ユーザーダッシュボードに アクセスサマリーパネルを導入します。これは、ユーザーが組織内のリソースにアクセスしようとした合計回数を要約します。

詳しくは、「アクセスサマリー」を参照してください。

ポリシーとアクションダッシュボード

Citrix Analytics は、ユーザーダッシュボードに ポリシーとアクションパネルを導入します。これは、ユーザープロファイルに適用された上位5つのポリシーとアクションを表示します。選択した期間の上位ポリシーと上位アクションに基づいてデータをソートできます。

詳しくは、「ポリシーとアクション」を参照してください。

ポリシーのセルフサービス検索

セルフサービス検索を使用して、定義されたポリシーに一致するユーザーイベントを表示します。また、Analytics がこれらの異常なイベントに適用したアクションも表示できます。ファセットと検索ボックスを使用して、必要なイベントを検索します。

イベントを表示するには、検索ボックスでリストから ポリシーを選択し、期間を選択して、検索をクリックします。

詳しくは、「ポリシーのセルフサービス検索」を参照してください。

非推奨機能

リスクスコア変更ポリシーベース条件を削除

ポリシーを構成する際に、リスクスコア変更ポリシーベース条件を使用することはできなくなりました。Citrix Analytics はこの条件をサポートしていません。

詳しくは、「ポリシーとアクション」を参照してください。

複数のポリシーベースアクションを削除

ポリシーを構成する際に、複数のアクションを適用することはできなくなりました。Citrix Analytics は、各ポリシーに対して1つのアクションのみをサポートしています。

詳しくは、「ポリシーとアクション」を参照してください。

修正された問題

• 委任された読み取り専用管理者は、ユーザーアクセスおよび アプリアクセスダッシュボードにアクセスする際にエラーが発生します。[CAS-16297]

2019年12月12日

新機能

Splunk バージョンサポート

Citrix Analytics は以下の Splunk バージョンをサポートしています。

• Splunk 8.0 64ビット
• Splunk 7.3 64ビット

Splunk 統合のセキュリティ上の利点を最大限に活用するには、ダウンロードページから Splunk アドオンアプリの最新バージョンにアップグレードしてください。

サポートされている Splunk バージョンの詳細については、「サポートされているバージョン」を参照してください。

2019年12月4日

新機能

Citrix Gateway のカスタムリスクインジケーター

カスタムリスクインジケーターを使用して、Citrix Gateway イベントのリスクインジケーターをトリガーするための条件と頻度を定義できるようになりました。ユーザーイベントが条件を満たすと、Analytics はリスクインジケーターをトリガーします。カスタムリスクインジケーターの作成方法の詳細については、「カスタムリスクインジケーター」を参照してください。

2019年11月22日

新機能

新しいデバイスからの初回アクセス – Citrix Virtual Apps and Desktops リスクインジケーター

Citrix Analytics は、新しいデバイスからのアクセスに基づいてアクセス脅威を検出し、対応するリスクインジケーターをトリガーします。

新しいデバイスからの初回アクセスリスクインジケーターは、ユーザーが90日後にデバイスからサインインした場合にトリガーされます。このイベントは、Citrix Receiver が過去90日間、この新しいまたはなじみのないデバイスからのサインイン記録がないためにトリガーされます。詳しくは、「Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター」を参照してください。

新しい IP からの初回アクセス - Citrix Gateway リスクインジケーター

Citrix Analytics は、新しい IP アドレスからのアクセスに基づいてアクセス脅威を検出し、対応するリスクインジケーターをトリガーします。

新しい IP からの初回アクセスリスクインジケーターは、ユーザーが90日後に IP アドレスからサインインした場合にトリガーされます。このイベントは、Citrix Receiver が過去90日間、新しいまたはなじみのない IP アドレスからのサインイン記録がないためにトリガーされます。

詳しくは、「Citrix Gateway リスクインジケーター」を参照してください。

疑わしい IP からのログオン - Citrix Gateway リスクインジケーター

Citrix Analytics は、疑わしい IP サインインアクティビティに基づいてユーザーアクセス脅威を検出し、疑わしい IP からのログオンリスクインジケーターをトリガーします。

このリスクインジケーターは、ユーザーが疑わしい IP アドレスからネットワークにアクセスしようとしたときにトリガーされます。Analytics は、以下のいずれかの条件に基づいて IP アドレスを疑わしいと見なします。

• 外部 IP 脅威インテリジェンスフィードにリストされている

• 異常なロケーションからの複数のユーザーサインイン記録がある

• ブルートフォース攻撃を示す可能性のある過剰なサインイン失敗試行がある

詳しくは、「Citrix Gateway リスクインジケーター」を参照してください。

Citrix Gateway イベントのセルフサービス検索

セルフサービス検索機能を使用して、Citrix Gateway データソースから受信したユーザーイベントに関するインサイトを得ます。Citrix Analytics は、Citrix Gateway ユーザーの認証ステージ、認証タイプ、VPN セッションコード、VPN セッション状態などのイベントを受信します。ファセットと検索ボックスを使用して、必要なイベントを検索し、基になるデータを探索します。

イベントを表示するには、検索ボックスでリストから Gateway を選択し、期間を選択して、検索をクリックします。

詳しくは、「Gateway のセルフサービス検索」を参照してください。

Citrix Remote Browser Isolation™ イベントのセルフサービス検索

セルフサービス検索機能を使用して、Citrix Remote Browser Isolation サービスから受信したブラウジングイベントに関するインサイトを得ます。Citrix Analytics は、各ユーザー接続のセッション接続、セッション起動、公開されたアプリケーション、削除されたアプリケーションなどのイベントを受信します。検索ボックスを使用して、必要なイベントを検索し、基になるデータを探索します。

イベントを表示するには、検索ボックスでリストから Remote Browser Isolation を選択し、期間を選択して、検索をクリックします。

詳しくは、「Remote Browser Isolation のセルフサービス検索」を参照してください。

ウォッチリストからの削除アクション

手動で、またはポリシーベースの方法を適用して、ウォッチリストからユーザーを削除できます。詳しくは、「ウォッチリスト」を参照してください。

StoreFront 展開の構成時のオンボーディングメッセージの改善

Citrix Analytics は、StoreFront 展開を構成するのに役立つ以下のメッセージを提供するようになりました。

• 構成ファイルをダウンロードした後、ダウンロードの日付と時刻、およびユーザー名を示すメッセージが表示されます。このページを更新すると、ファイルのダウンロードボタンが ファイルを再度ダウンロードに変わります。

  

• StoreFront 構成が不完全な場合、構成手順に従って StoreFront 展開を Analytics に接続するように指示する警告メッセージが表示されます。

  

StoreFront 展開の構成方法の詳細については、「StoreFront を使用して Citrix Virtual Apps and Desktops オンプレミスサイトをオンボーディング」を参照してください。

非推奨機能

リスクインジケーター - 新しいデバイスからのアクセスを削除

Citrix Analytics は、新しいデバイスからのアクセスリスクインジケーターをトリガーしなくなりました。ただし、ユーザーダッシュボード、ユーザータイムライン、およびポリシーダッシュボードでは、このリスクインジケーターに関連する履歴データを表示できます。

新しいデバイスからのアクセスに基づいていた以前に作成されたポリシーの場合、ポリシーを変更するか、新しいリスクインジケーター 新しいデバイスからの初回アクセスを含むポリシーを作成する必要があります。

修正された問題

• 認証のセルフサービス検索はイベントを表示できません。[CAS-24959]

2019年11月8日

修正された問題

• Citrix Content Collaboration リスクインジケーターの場合、ユーザーはリスクタイムラインでアクションを適用できません。[CAS-24844]

• Chrome 用 Citrix Workspace アプリバージョン 1911 以前は、イベント詳細を Citrix Analytics に送信できません。[CAS-24938]

2019年10月21日

新機能

Analytics エージェントの名称変更

エージェント名は、その役割を示すためにユーザーインターフェースで Analytics ポリシーエージェントとして言及されるようになりました。オンプレミス Citrix Virtual Apps and Desktops データソースをオンボーディングする際、Citrix Analytics は、ポリシーエージェントがサイトのポリシーとアクションを構成するためにのみ必要であることを明確に通知します。このエージェントは、データソースからのデータ送信には関与しません。詳しくは、「Citrix Virtual Apps and Desktops および Citrix DaaS データソース」を参照してください。

カスタムレポートの時間ディメンションのサポート

x軸に 時間ディメンションを選択することで、時間に基づいてイベントをグループ化できるようになりました。レポートは、選択した期間の時間間隔に基づいて受信された合計イベントを表示します。レポートの作成方法の詳細については、「カスタムレポート」を参照してください。

監査ログの強化

監査ログページのユーザーエクスペリエンスが強化されました。

• 監査ログページが最後に更新された日時詳細を表示し、ページを更新して最新の監査ログを表示できます。

• 監査ログに適用されたすべてのフィルターをクリアできます。

監査データの詳細については、「監査ログ」を参照してください。

修正された問題

• Microsoft Graph Security が正常にオンボーディングされているにもかかわらず、Citrix Analytics は 匿名 IP アドレスリスクインジケーターを生成できません。[CAS-21329]

• HTML5 用 Citrix Workspace アプリバージョン 1910 以前は、イベント詳細を Citrix Analytics に送信できません。[CAS-24938]

2019年9月23日

修正された問題

• データソースサイトカードで、最新イベントフィールドに誤った日付と時刻情報が表示されます。[CAS-24087]

2019年8月30日

新機能

ダッシュボード全体のデフォルト期間の変更

以下のダッシュボードのデフォルト期間が 過去1時間から 過去1か月に変更されました。

• ユーザー

• リスクタイムライン

• ユーザーアクセス

• アプリアクセス

• 共有リンク

• アラート履歴

現在、ダッシュボードはデフォルトで過去1か月間のイベントを表示します。これらのダッシュボードを使用する際に、より魅力的なエクスペリエンスが得られます。たとえば、アプリアクセスダッシュボードを開くと、ダッシュボードはデフォルトで過去1か月間のアプリアクセスイベントを表示します。

修正された問題

• コンテンツコラボレーションリスクインジケーターの場合、ユーザーの無効化ポリシーベースアクションを正常に適用できません。[CAS-17304]

• Citrix Gateway 13.0 からのイベントを Citrix Analytics は処理できません。この問題は、Citrix Gateway 13.0 が Citrix Analytics に送信されるログオンイベントにユーザー名を提供できないために発生します。[CAS-21339]

2019年8月20日

新機能

セルフサービス検索の強化

• セルフサービスページのユーザーエクスペリエンスが強化されました。ユーザーリスクタイムラインとセルフサービス検索ページをシームレスに行き来できるようになりました。

• イベントを時間でソートできるようになりました。デフォルトでは、最新のイベントがイベントテーブルの最初に表示されます。時間列のソートアイコンをクリックすると、最新の時間または最も早い時間に基づいてイベントをソートできます。

セルフサービス検索の使用方法の詳細については、「セルフサービス検索」を参照してください。

カスタムレポートの強化

• Access Control、Content Collaboration、Apps and Desktops データソースに新しいディメンションが追加されました。これらのディメンションを選択してレポートを作成できます。以下のディメンションがデータソースに追加されました。

  • Access Control: ユーザーエージェント、ユーザー名

  • Content Collaboration: ユーザーメール、ユーザー名、作成者、アカウント ID、OAuth クライアント ID、イベント ID、フォルダー ID、フォルダー名、リソース ID、フォーム ID、クライアント IP

  • Apps and Desktops: ユーザー名、IP アドレス、デバイス ID、ジェイルブレイク済み、セッション起動タイプ、セッションサーバー名、セッションユーザー名、ダウンロードファイル名、ダウンロードファイルパス、印刷プリンター名、印刷ジョブ詳細ファイル名、SaaS アプリ起動 URL、クリップボード操作、クリップボード詳細結果

• カスタムレポートユーザーインターフェースは、ページネーションとフィルターの すべてクリアオプションのサポートで強化されました。

これらのディメンションを使用してカスタムレポートを作成する方法の詳細については、「カスタムレポート」を参照してください。

リスクインジケーターダッシュボード

リスクインジケーターダッシュボードが ユーザーページに導入されました。これは、ユーザーの上位5つのデフォルトおよびカスタムリスクインジケーターを要約します。詳細を表示リンクは、選択した期間に生成されたリスクインジケーターに関する詳細情報を提供する リスクインジケーター概要ページにリダイレクトします。

詳しくは、「ユーザーダッシュボード」を参照してください。

危険なユーザーダッシュボードの強化

Citrix Analytics は、危険なユーザーダッシュボードに リスクインジケータータブと リスクインジケーター変更タブを導入します。これらのタブに基づいて、上位5つの危険なユーザーを表示できます。ダッシュボードには リスクインジケーター列も導入されています。これは、ユーザーのリスクインジケーターの数を表示します。

危険なユーザーページには、発生数列と 発生数変更列が導入されています。これらの列は、カスタムおよびデフォルトのリスクインジケーターの合計発生数と発生数の変更を要約します。

詳しくは、「ユーザーダッシュボード」を参照してください。

共有リンクリスクインジケーター - 過剰なダウンロード

Citrix Analytics は、共有リンクでの過剰なダウンロードに基づいてアクセス脅威を検出し、過剰なダウンロードリスクインジケーターをトリガーします。以前の行動に基づいて過剰なダウンロードがある共有リンクを特定することで、潜在的な攻撃に対して共有リンクを監視できます。このリスクインジケーターは、過剰なファイルダウンロードアクティビティを特定するのに役立ちます。

詳しくは、「過剰なダウンロード」を参照してください。

認証データのセルフサービス検索

セルフサービス検索を使用して、認証イベントに関するインサイトを得ます。Citrix Analytics は、Citrix Cloud の Identity and Access Management サービスからユーザーログイン、ユーザーログオフ、クライアント更新などの認証イベントを受信します。検索は、認証イベントに関する詳細なレポートを提供し、認証の問題を特定してトラブルシューティングするのに役立ちます。また、定義された基準に一致するイベントを取得するための検索クエリを定義することもできます。

イベントを表示するには、リストから 認証を選択し、期間を選択して、検索をクリックします。

詳しくは、「認証のセルフサービス検索」を参照してください。

2019年7月11日

新機能

カスタムリスクインジケーター

Citrix Analytics が生成するデフォルトのリスクインジケーターは、機械学習アルゴリズムに基づいています。Citrix Analytics は、カスタムリスクインジケーターを作成できるようになりました。ユーザーイベントに基づいて、条件を定義し、カスタムリスクインジケーターを作成できます。

定義された条件が満たされると、Citrix Analytics はデフォルトのリスクインジケーターと同様にカスタムリスクインジケーターを生成し、ユーザーのリスクタイムラインに表示します。カスタムリスクインジケーターは、ユーザーのリスクタイムラインにラベルで示されます。

詳しくは、「カスタムリスクインジケーター」を参照してください。

リスクタイムラインの特権ステータス

ユーザーリスクタイムラインには、ユーザーの管理者またはエグゼクティブ特権ステータスに変更があった場合に、以下のイベントが表示されます。

• エグゼクティブグループに追加されました

• エグゼクティブグループから削除されました

• 特権が管理者に昇格しました

• 管理者特権が削除されました

ユーザーに対してリスクインジケーターがトリガーされた場合、指定された特権ステータス変更イベントと関連付けることができます。必要に応じて、ユーザープロファイルに適切なアクションを適用できます。

詳しくは、「ユーザーリスクタイムライン」を参照してください。

共有リンクの期限切れアクション

Citrix Analytics は、共有リンクリスクインジケーターにアクションを適用できるようにします。現在サポートされているアクションは 共有リンクの期限切れです。

詳しくは、「Citrix 共有リンクリスクインジケーター」を参照してください。

セルフサービス検索の強化

• 検索クエリでのワイルドカード文字 * のサポート: 検索クエリでアスタリスク (*) 文字を使用して、任意の文字を0回以上一致させます。たとえば、検索クエリ User-Name = "John*" は、John で始まるすべてのユーザー名のイベントを表示します。

• ファセットのすべてクリアオプションを追加: すべてクリアをクリックすると、選択したすべてのファセットを一度に削除できます。

• イベントリストで非表示の列データを表示: イベントテーブルから列を削除した後、対応するデータをユーザーイベントリストで表示できます。ユーザーのイベント行を展開してデータを表示します。

詳しくは、「セルフサービス検索」を参照してください。

サイトカードのデータエラー状態

サイトカードは、Citrix Analytics がデータソースから過去1時間イベントを受信しない場合、データが受信されていませんというラベルを赤色で表示します。また、受信されたイベントの数も表示され、対応するセルフサービス検索ページにリンクされています。この機能は、セルフサービス検索ページで対応するイベントを表示し、データ送信の問題をチェックするのに役立ちます。

注

現在、セルフサービス検索は Access、Content Collaboration、Apps and Desktop データソースでのみ利用可能です。

詳しくは、「Citrix データソースで Analytics を有効にする」を参照してください。

修正された問題

• Access Control データソースの場合、サイトカードのイベント数がセルフサービス検索結果と一致しません。[CAS-18286]

2019年6月19日

修正された問題

• 監査ログページには、Active Directory データソースが検出されるたびにデータ送信のオン/オフステータスが表示されます。[CAS-17575]

• ユーザーダッシュボードの期間メニューが正確に読み込まれません。タイムアウトエラーメッセージが表示されます。[CAS-19467]

• ユーザーは、Splunk からテナントに接続する際に Citrix Analytics でエラーメッセージを受け取ります。時折、新しいデータソースのオンボーディングが失敗します。[CAS-19429]

2019年6月17日

新機能

StoreFront 構成

組織がオンプレミス StoreFront を使用している場合、StoreFront を構成して Citrix Analytics に接続できるようになりました。構成は、Citrix Analytics からインポートされた構成ファイルを使用して実行されます。構成が成功すると、Citrix Workspace アプリはユーザーイベントを Citrix Analytics に送信し、ユーザーの行動に関する実用的なインサイトを生成します。このインサイトは、異常なユーザーの行動を検出し、組織のセキュリティ脅威にプロアクティブに対処するのに役立ちます。詳しくは、「StoreFront を使用して Citrix Virtual Apps and Desktops オンプレミスサイトをオンボーディング」を参照してください。

2019年5月30日

新機能

過剰なログオン失敗

Citrix Analytics は、過剰なログオンアクティビティに基づいてアクセス脅威を検出し、過剰なログオン失敗リスクインジケーターをトリガーします。このリスクインジケーターは、ユーザーがコンテンツコラボレーションへのアクセスに複数回失敗した場合にトリガーされます。過剰なログオン失敗があるユーザーを特定することで、以前の行動に基づいて、管理者はブルートフォース攻撃の可能性についてユーザーアカウントを監視できます。

注

過剰なログオン失敗は、過剰な認証失敗に名称変更されました。

修正された問題

• Citrix Workspace アプリによって送信された一部のユーザーイベントの場合、データソースが Citrix Virtual Apps and Desktops の代わりに Endpoint Management として誤って識別されます。

  [CAS-17323]

• ユーザーダッシュボードは、過去1か月の期間で読み込みに時間がかかります。この問題は、ユーザー数が多い場合に発生します。場合によっては、601エラーが発生することもあります。

  [CAS-16300]

• 一部のユーザーが Citrix Cloud でサービスをサブスクライブしているにもかかわらず、Citrix Content Collaboration がデータソースとして検出されません。

  [CAS-16299]

2019年5月9日

新機能

カスタムレポートの作成

運用要件に基づいてカスタムレポートを作成できるようになりました。Citrix Analytics は、選択したデータソースに応じてディメンションとメトリックのリストを提供します。必要なパラメーターと、棒グラフ、イベントチャート、折れ線グラフ、テーブルなどの視覚化タイプを選択してレポートを作成します。レポートを作成すると、データをグラフィカルに整理および分析するのに役立ちます。

カスタムレポートを作成するには、セキュリティタブから レポート > レポートの作成をクリックします。以前に作成したレポートを表示するには、セキュリティタブから レポートをクリックします。詳しくは、「カスタムレポート」を参照してください。

特権ユーザーの監視

Citrix Analytics は、組織内の特権ユーザーの行動異常を綿密に監視できるようにします。特権ユーザーはセキュリティ脅威に対して非常に脆弱であるため、日常的なアクティビティと悪意のあるアクティビティを区別することは困難です。そのため、特権ユーザーの悪意のあるアクティビティは長期間検出されないままになります。この機能により、そのようなアクティビティをプロアクティブに監視し、適切なユーザーアカウントに適切なアクションを適用できます。特権ユーザーは、ユーザーダッシュボードにアイコンで表示されます。

Citrix Analytics は、以下の種類の特権ユーザーの監視をサポートしています。

• 管理者 - 各 Citrix サービスによって管理者特権が割り当てられたユーザー。現在、Citrix Analytics は、コンテンツコラボレーションサービスで管理者特権を持つユーザーの特権ユーザー監視をサポートしています。

• エグゼクティブ - Citrix Analytics で、AD グループをエグゼクティブグループとしてマークできます。AD グループをエグゼクティブグループとしてマークすると、グループ内のすべてのユーザーが特権ユーザーになります。AD グループ内のユーザーの行動異常をさらにサポートする必要がない場合、グループをエグゼクティブグループから削除できます。

詳しくは、「特権ユーザー」を参照してください。

週次メールサマリー

Citrix Analytics は、組織の IT 環境におけるセキュリティリスクエクスポージャーを要約した週次メールを管理者に送信します。メール通知は毎週火曜日に管理者に送信され、前週に発生したセキュリティイベントを強調表示します。このメールにより、管理者は Citrix Analytics にサインインすることなく、セキュリティリスクエクスポージャーについて通知されます。詳しくは、「週次メールサマリー」を参照してください。

2019年4月26日

新機能

委任された管理者

Citrix Analytics は、委任された管理者ロールをサポートするようになりました。この機能により、他の管理者を Citrix Cloud アカウントに招待して、組織の Citrix Analytics を管理できます。フルアクセス許可を持つ Citrix Analytics 管理者である場合、他の管理者を Citrix Cloud アカウントに追加できます。これらの追加の管理者は、委任された管理者と呼ばれます。現在、委任された管理者に読み取り専用アクセスを割り当てることができます。詳しくは、「委任された管理者」を参照してください。

修正された問題

データストリーミングを使用するデータソースのいくつかのリスクインジケーターはアラートを生成しません。以下のいずれかのリスクインジケーターがトリガーされた場合、アラート通知は表示されず、ポリシーベースのアクションは自動的に適用されません。

• Citrix Endpoint Management リスクインジケーター - 管理対象外デバイス、ジェイルブレイクまたはルート化されたデバイス、およびブラックリストに登録されたアプリを持つデバイス。

• Citrix Virtual Apps and Desktops リスクインジケーター - サポート対象外のオペレーティングシステム (OS) を搭載したデバイスからのアクセス。

• Citrix Content Collaboration リスクインジケーター - 機密ファイルへの過剰なアクセス。

[CAS-14590]

2019年2月19日

新機能

Splunk 統合

Citrix Analytics は Splunk と統合して、セキュリティインシデントの監視とトラブルシューティングのエクスペリエンスを強化します。この統合は、既存のデータソースを、リスクインジケーター、リスクスコア、ユーザープロファイルなどの Citrix Analytics for Security のリスク分析機能とインテリジェンスで強化します。Citrix Analytics はリスク分析情報をチャネルにエクスポートします。Splunk はこのチャネルから同じ情報をプルします。

Splunk 統合には、Citrix Analytics での構成、Splunk 用 Citrix Analytics アドオンアプリのインストール、およびアプリの構成が含まれます。少なくとも1つのデータソースのデータ処理を有効にしてください。これにより、Citrix Analytics は Splunk 統合プロセスを開始できます。

詳しくは、「Splunk 統合」を参照してください。

動的セッション記録

Citrix Analytics は、ユーザーの現在の Virtual Apps and Desktops セッションでセッション記録を動的にトリガーする機能を提供します。これにより、リスク分析に必要な証拠をキャプチャし、セッションの切断やユーザーのブロックなどの適切なインシデント対応アクションを実行できます。

詳しくは、「ポリシーとアクション」を参照してください。

共有リンクダッシュボードとリスクインジケーター

Citrix Analytics は、Citrix Content Collaboration から収集されたデータに基づいて、共有リンクへのリスク可視性を導入します。これにより、共有リンクがトリガーするリスクインジケーターを通じて、共有リンクのリスクエクスポージャーを理解できます。

詳しくは、「Share Links ダッシュボード」を参照してください。

現在、匿名機密共有ダウンロードリスクインジケーターが共有リンクに対してトリガーされます。コンテンツコラボレーションがこの危険な動作を検出すると、Citrix Analytics はイベントを受信します。アラートパネルで通知され、匿名機密共有ダウンロードリスクインジケーターが共有リンクのリスクタイムラインに追加されます。

詳しくは、「Share Link リスクタイムライン」および「Citrix Share Link リスクインジケーター」を参照してください。

Microsoft Active Directory 統合

Microsoft Active Directory を Citrix Analytics と統合できるようになりました。この統合により、役職、組織、オフィスロケーション、メール、連絡先の詳細などの追加情報で危険なユーザーのコンテキストが強化されます。Citrix Analytics のユーザープロファイルページで、ユーザーの可視性が向上します。

詳しくは、「Microsoft Active Directory と Analytics を統合する」を参照してください。

2019年1月4日

新機能

既存のリスクインジケーターの SOURCE 列の追加

以下のリスクインジケーターの イベント詳細セクションに SOURCE 列が導入されました。

• 過剰なファイルアップロード

• 過剰なファイルダウンロード

• 過剰なファイル共有

• 過剰なファイルまたはフォルダーの削除

詳しくは、「Citrix Content Collaboration リスクインジケーター」を参照してください。

高度なユーザープロファイル

ユーザープロファイルの ユーザー情報ビューが強化されました。アプリケーション、デバイス、データ使用量セクションの右上に トレンドビューリンクが導入されました。ロケーションセクションの右上に マップビューリンクが導入されました。これらのリンクは、特定の期間におけるユーザーの履歴行動に関するグラフィック表示を提供します。ユーザーのリスクタイムラインまたは データソースページから ユーザー情報に移動できます。

注

認証と ドメインデータは現在、ユーザー情報プロファイルでは利用できません。

詳しくは、「ユーザーリスクタイムラインとプロファイル」を参照してください。

Microsoft Graph Security リスクインジケーター

オンボーディングされた Microsoft Graph Security は、以下のセキュリティプロバイダーのいずれかからリスクインジケーターの詳細を受信し、Citrix Analytics に転送できます。

• Azure AD ID 保護

• Microsoft Defender for Endpoint

詳しくは、「Microsoft Graph Security リスクインジケーター」を参照してください。

セルフサービス検索ページへのアクセス方法

以下のオプションを使用して、セルフサービス検索ページにアクセスできるようになりました。

• トップバー: トップバーの 検索をクリックすると、検索ページに直接アクセスできます。

  

• ユーザープロファイルページのリスクタイムライン: イベント検索をクリックすると、検索ページにアクセスし、特定のユーザーのリスクインジケーターとデータソースに対応するイベントを表示できます。詳しくは、「セルフサービス検索」を参照してください。

  

コンテンツコラボレーションのセルフサービス検索

セルフサービス検索を使用して、コンテンツコラボレーションデータソースに関連付けられたイベントに関するインサイトを得ます。イベントを表示するには、リストから コンテンツコラボレーションを選択し、期間を選択して、検索をクリックします。 詳しくは、「コンテンツコラボレーションのセルフサービス検索」を参照してください。

Apps and Desktops のセルフサービス検索

セルフサービス検索を使用して、Apps and Desktops データソースに関連付けられたイベントに関するインサイトを得ます。イベントを表示するには、リストから Apps and Desktops を選択し、期間を選択して、検索をクリックします。詳しくは、「Apps and Desktops のセルフサービス検索」を参照してください。

セルフサービス検索イベントを CSV ファイルにエクスポート

セルフサービス検索イベントを CSV ファイルにエクスポートし、将来の使用のためにファイルをダウンロードできるようになりました。詳しくは、「セルフサービス検索」を参照してください。

Citrix Virtual Apps and Desktops のオンボーディングの改善

Citrix Virtual Apps and Desktops データソースのオンボーディングプロセスは、より良いユーザーエクスペリエンスを提供するために改善されました。サイトカードとオンボーディング手順が変更されました。詳しくは、「Citrix Virtual Apps and Desktops および Citrix DaaS データソース」を参照してください。

2018年11月29日

新機能

Microsoft Security Graph データソース

Microsoft Graph Security は、複数のセキュリティプロバイダーからデータを集約する外部データソースです。また、ユーザーインベントリデータへのアクセスも提供します。

Citrix Analytics は現在、このデータソースに関連付けられた Azure AD ID 保護と Microsoft Defender for Endpoint セキュリティプロバイダーをサポートしています。

このデータソースをオンボーディングするには、Microsoft ID プラットフォームから許可を取得する必要があります。詳しくは、「Microsoft Graph Security」を参照してください。

データソースのサイトカードでイベント詳細と検出されたユーザーを表示

データソースのサイトカードに、イベント詳細とユーザー数が表示されるようになりました。たとえば、サイトカードで Access Control のイベント詳細とユーザーを表示できます。詳しくは、「データソースで Analytics を有効にする」を参照してください。

2018年11月16日

新機能

アクセスデータのセルフサービス検索

セルフサービス検索を使用して、企業内のユーザーのアクセス詳細に関するインサイトを得ることができます。Citrix Analytics は、Citrix Access Control サービスからユーザーのアクセス詳細を収集します。ファセットと検索クエリを使用して、検索結果を絞り込みます。

セルフサービス検索ページを使用するには、セキュリティタブから イベント検索をクリックします。

詳しくは、「Access のセルフサービス検索」を参照してください。

リスクインジケーターのフィードバック

Citrix Analytics のリスクインジケーターフィードバック機能を使用して、リスクインジケーターに関するフィードバックを提供できます。フィードバックは、報告されたセキュリティインシデントが正確であるかどうかを確認するのに役立ちます。

現在、この機能は、コンテンツコラボレーションデータソースによってトリガーされる 異常なログオンアクセスリスクインジケーターでサポートされています。このリスクインジケーターが誤ってトリガーされた場合、誤検知として報告してフィードバックを提供できます。以前に送信したフィードバックを編集することもできます。Citrix Analytics はフィードバックをキャプチャし、予測された情報を検証して、異常な動作検出を最適化します。