Citrix Analytics for Security

新機能

Citrixの目標は、Citrix Analyticsのお客様に新機能や製品アップデートを提供することです。新しいリリースでは、より便利な機能をご利用いただけます。今すぐ更新してください。

このプロセスは、お客様向けのわかりやすいものになっています。最初の更新は、Citrix内部サイトのみに適用され、その後徐々にお客様の環境に適用されます。アップデートを段階的に配信することで、製品の品質を確保し、可用性を最大限に高めることができます。

2020年6月2日

解決された問題

  • ユーザーリスクタイムラインでは、ユーザーアカウントにアクションが正常に適用されていても、Virtual Apps および Desktops のアクション (ポリシーベースまたは手動で適用) のステータスは「失敗」として表示されます。たとえば、 セッション録画の開始 アクションはユーザーアカウントに正常に適用されますが、結果は「失敗」と表示されます。 [CAS-32773]

    CVAD アクションの失敗ステータス

2020年5月11日

解決された問題

  • 一部のユーザーでは、ポリシーベースのアクションはトリガーされず、ポリシー強制モードを適用できません。この問題は、顧客 ID が小文字でない場合に発生します。

    [CAS-34209], [CAS-34141]

  • 一部のユーザーに対してカスタムリスク指標を作成できません。この問題は、顧客 ID が小文字でない場合に発生します。

    [CAS-34139]

2020年4月29日

解決された問題

  • Citrix Virtual Apps and Desktops sのリスク指標に適用されたアクションは有効になりませんが、アクションが正常に適用されたことを示すメッセージが表示されます。この問題は、Citrix Virtual Apps and Desktops 7 1912バージョンで発生します。

    [CAS-31544]

2020年4月2日

新機能

StoreFront が追加されていないときにデータ処理を無効にする

StoreFrontをオンボードしていない場合、[設定] > [データソース] > [セキュリティ] >Virtual Apps and Desktopsデータソースのサイトカードで [データ処理を有効にする] ボタンが有効になりません。サイトカードに「 StoreFront が接続されていません 」という警告メッセージが表示されます。Analyticsにデータを受信するアクティブなオンプレミスサイトがある場合は、StoreFront をCitrix Analytics にオンボードしたことを確認する必要があります。これにより、ユーザーアカウントが保護されます。

Virtual Apps and Desktops サイトカードで、縦の省略記号 (「⋮」) をクリックし、「 StoreFront 展開の接続 」を選択します。表示される画面で、指示に従ってStoreFront 構成を完了します。

詳しくは、「StoreFrontを使用したVirtual Apps and Desktopsサイトへのオンボード」を参照してください。

StoreFront の警告

解決された問題

  • Citrix Content Collaboration ユーザーの場合、ポリシーベースのアクションは次の条件で有効になりません。

    • カスタムリスク指標条件が定義されているとき。

    • ユーザーに対してリスク指標が生成されるまで。

    [CAS-29226]

2020年3月04日

解決された問題

  • Gatewayユーザーが初めてAnalyticsにオンボードすると、 Citrix ADC が応答しないか、資格情報が正しくないというエラーが表示されます。再試行すると、「 このIPアドレスのデバイスがすでに存在します」というエラーが表示されます。

[CAS-31180]

02 Jun 2020

新機能

セキュリティ向けCitrix Analytics ソリューション

セキュリティ向けCitrix Analytics を個別のサブスクリプションで利用できるようになりました。 セキュリティ向けCitrix Analytics を購読すると、このサービス固有のインサイトを取得できます。詳しくは、「導入」を参照してください。

「リスクカテゴリ」ダッシュボード

Citrix Analytics では、組織のセキュリティ面にも同様の影響を及ぼすリスクに基づいて、リスク指標の分類が導入されています。このダッシュボードでは、リスクエクスポージャーと重大なリスクを包括的に把握できます。デフォルトのリスク指標の場合、Analytics はリスクエクスポージャーに基づいてリスクカテゴリを自動的に割り当てます。カスタムリスク指標の場合は、リスクエクスポージャーに基づいて適切なリスクカテゴリを選択する必要があります。

Analyticsでは、次のリスクカテゴリがサポートされています。

  • データ漏洩
  • 内部者の脅威
  • 侵害されたユーザー
  • 侵害されたエンドポイント

詳しくは、「リスクカテゴリ」を参照してください。

リスクカテゴリダッシュボード

[カスタム指標] ページの [リスクカテゴリ] 列

[カスタムリスク指標] ページにリスクカテゴリの列が導入されます。リスクエクスポージャーのタイプに基づいて、カスタムリスク指標のリスクカテゴリを選択できます。以前に作成したカスタムリスク指標は、リスクカテゴリを選択して変更すると、[リスクカテゴリ] ダッシュボードに表示されます。

詳しくは、「カスタムリスク指標」を参照してください。

[リスクカテゴリ] ドロップダウンリスト

リスク指標名の変更

次のリスク指標名が変更されました。

| データソース | 古い名前 | 新名称 | ——————- | ——————- | ——————- | | Citrix Virtual Apps and Desktops | 異常なアプリケーションの使用(仮想) | アプリケーションアクセスの異常な時間(仮想) | | Citrix Virtual Apps and Desktops | 異常なアプリケーションの使用(SaaS) | アプリケーションアクセスの異常な時間(SaaS) | | Citrix Content Collaboration | 過剰なログオンの失敗 | 過剰な認証の失敗 | | Citrix Content Collaboration | 異常なログオンアクセス | 新しい場所からの初めてのアクセス | | Citrixアクセス制御 | 異常なダウンロードボリューム| 過度のデータのダウンロード| | | Citrix Gateway | ログオンの失敗| 過度の認証の失敗 | | Citrix Gateway | 承認の失敗 |過剰な認証失敗 | | Citrix Gateway | 異常なログオンアクセス | 新しい場所からの初めてのアクセス |

詳しくは、「リスク指標」を参照してください。

解決された問題

  • 一部のユーザーでは、データソースが正常にオンボードされ、StoreFrontが有効になっていても、Citrix AnalyticsがVirtual Apps and Desktopsからデータを受信できません。 [CAS-24134]

  • Citrix Analytics では、Citrix Content Collaboration からダウンロードイベントを受信できません。したがって、以下のリスク指標はトリガーされません。

    • 匿名で機密性の高いダウンロード

    • 過剰なダウンロード

    • 機密ファイルへの過剰なアクセス

    • 過剰なファイルのダウンロード

    [CAS-29207]

  • 新しくオンボーディングされたユーザーの場合、Citrix Gateway のリスク指標に適用された手動操作やポリシーベースの操作は効果を持ちません。 [CAS-29029]

  • 一部のユーザーは、[データソース] ページでサイトカードを表示できません。この問題は、キャッシュを再設定することで解決されます。 [CAS-28781]

January 09, 2020

新機能

継続的なリスクアセスメント

Citrix Workspace ユーザーが直面するいくつかの課題は、リモートアクセスにより、データの漏洩、盗難、破壊行為、サービスの中断などのサイバー犯罪行為によって、機密データがセキュリティリスクにさらされることです。組織内の従業員もこの損害に寄与する可能性が高い。

これらのリスクに対処するいくつかの方法は、多要素認証を実装し、短いサインインタイムアウトを適用することです。これらのリスク評価方法は、より高いレベルのセキュリティを保証しますが、最初の検証後に完全なセキュリティを提供することはできません。

セキュリティ面を強化し、ユーザーエクスペリエンスを向上させるために、Citrix Analytics では継続的なリスク評価のソリューションを導入しています。このソリューションは、継続的にユーザープロファイルを監視し、危険なイベントが検出されたときにさまざまなアクションを実行するのに役立ちます。

詳しくは、「継続的なリスクアセスメント」を参照してください。

継続的なリスクアセスメント

ポリシー設定

Citrix Analytics を使用すると、ポリシー構成をより効率的に管理できます。次の機能を使用して、悪意のある攻撃からユーザーアカウントを保護できます。

  • デフォルトポリシー:Citrix Analytics では、次のデフォルトポリシーがサポートされています。

    • 認証情報の不正利用の成功
    • データ流出の可能性
    • 不審な IP からの異常なアクセス
    • 異常な場所からの異常なアプリアクセス
    • 低リスクのユーザー-新しいIPからの初回アクセス
    • デバイスからの初回アクセス

    要件に基づいてデフォルトのポリシーを変更できます。

    デフォルトポリシー

  • 複数の条件: ポリシーには、最大 4 つの条件を含めることができます。条件は、リスクスコアとリスク指標の組み合わせ、またはその両方で設定できます。

    条件の追加と削除

  • デフォルトおよびカスタムリスク指標: [ ポリシーの作成] ページの [条件] メニューが、デフォルトリスク指標とカスタムリスク指標に基づいて分離されるようになりました。ポリシーを作成するときに、既定のリスク指標タブとカスタムリスク指標タブを切り替えたり、リスク指標の条件を設定できます。

    条件の追加と削除

  • ユーザー応答の要求:Citrix Analytics では、 ユーザー応答の要求アクションが導入されます。このアクションを使用すると、検出された危険なアクティビティに関する電子メール通知をユーザーに送信できます。ユーザーがアクティビティについて応答したら、アカウントで実行する次のアクションを決定できます。また、ユーザーの応答時間を設定することもできます。応答がない場合、Citrix Analytics では 「応答なし 」がステータスと見なされます。

    ユーザーからの応答の要求

  • 中断処理を適用する: [ユーザーを ログオフ] や [ユーザーを ロック] などの中断処理が適用されたときに、ユーザーに通知できます。アクティビティの詳細と適用されたアクションを含む通知がユーザーに送信されます。この操作により、ユーザーのアカウントへのサービスが一時的に中断され、それ以上の誤用を防ぐことができます。アカウントへのアクセスを続行するには、管理者に問い合わせる必要があります。

    中断を伴うアクションを適用

  • 強制モードと監視モード: ポリシーに強制モードまたは監視モードを設定できます。

    ポリシーモード

ポリシー拡張について詳しくは、「ポリシーとアクション」を参照してください。

「ユーザーのロック」および「ユーザーのロック解除」アクション

Citrix Analytics では、次のゲートウェイアクションが導入されています。

  • ユーザーのロック
  • ユーザーのロック解除

これらのアクションは、手動で、またはポリシーを設定するときに適用できます。

詳しくは、「アクションとは」を参照してください。

次に、次の操作を行います。

概要ダッシュボードへのアクセス

Citrix Analytics では、 ユーザー ダッシュボードに 「アクセス概要」 パネルが表示されます。ユーザーが組織内のリソースにアクセスしようとした合計回数を要約します。

詳しくは、「アクセス概要」を参照してください。

概要ダッシュボードへのアクセス

ポリシーとアクションダッシュボード

Citrix Analytics では、 ユーザー ダッシュボードに ポリシーとアクション パネルが表示されます。ユーザープロファイルに適用された上位 5 つのポリシーとアクションが表示されます。選択した期間の上位ポリシーと上位アクションに基づいてデータをソートできます。

詳しくは、「ポリシーとアクション」を参照してください。

ポリシーとアクションダッシュボード

ポリシーのセルフサービス検索

セルフサービス検索を使用して、定義したポリシーに適合したユーザーイベントを表示します。Analyticsがこれらの異常なイベントに適用したアクションを表示することもできます。ファセットと検索ボックスを使用して、必要なイベントを検索します。

イベントを表示するには、検索ボックスで、リストから [ ポリシー ] を選択し、期間を選択して [ 検索 ] をクリックします。

詳しくは、「ポリシーのセルフサービス検索」を参照してください。

ポリシーの検索ページ

廃止された機能

リスクスコア変更ポリシーベースの条件の削除

ポリシーを構成すると、 リスクスコア変更 ポリシーベースの条件を使用できなくなります。Citrix Analytics はこの条件をサポートしていません。

詳しくは、「ポリシーとアクション」を参照してください。

複数のポリシーベースのアクションが削除されました

ポリシーを設定すると、複数のアクションを適用できなくなります。Citrix Analytics では、ポリシーごとに1つのアクションしかサポートされません。

詳しくは、「ポリシーとアクション」を参照してください。

解決された問題

  • 委任された読み取り専用管理者が、ユーザーアクセスダッシュボードとアプリアクセスダッシュボードにアクセスするときにエラーが発生します。 [CAS-16297]

December 12, 2019

新機能

Splunk バージョンのサポート

Citrix Analytics では、以下のバージョンのSplunk がサポートされています。

  • Splunk 8.0 64 ビット
  • Splunk 7.3 64 ビット

Splunk 統合のセキュリティ上の利点を最大限に活用するには、ダウンロードこのページから Splunk アドオンアプリの最新バージョンにアップグレードしてください。

サポートされる Splunk バージョンについて詳しくは、「サポートされるバージョン」を参照してください。

Citrix Analytics 構成

December 04, 2019

新機能

Citrix Gateway のカスタムリスク指標

カスタムリスク指標を使用して、Citrix Gateway イベントのリスク指標をトリガーする条件と頻度を定義できるようになりました。ユーザーイベントが条件を満たすと、Analytics はリスク指標をトリガーします。カスタムリスク指標の作成方法について詳しくは、「カスタムリスク指標」を参照してください。

Gatewayカスタム指標

2019年11月22日

新機能

新しいデバイスからの初回アクセス — Citrix Virtual Apps and Desktops のリスク指標

Citrix Analytics は新しいデバイスからのアクセスに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

ユーザーが90日後にデバイスからサインインすると、新しいデバイスリスク指標からの初回アクセスがトリガーされます。このイベントは、Citrix Receiverに過去90日間この新しいデバイスまたはなじみのないデバイスからのサインインレコードがないために発生します。詳しくは、「Citrix Virtual Apps and Desktops のリスク指標」を参照してください。

新しいデバイスからの初回アクセス

新しいIPからの初回アクセス-Citrix Gateway のリスク指標

Citrix Analytics は新しいIPアドレスからのアクセスに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

ユーザーが 90 日後に IP アドレスからサインインすると、[新しい IP リスクからの初回アクセス] がトリガーされます。このイベントは、Citrix Receiverにこの新しいIPアドレスまたは未知のIPアドレスから過去90日間のサインインレコードがないために発生します。

詳しくは、「Citrix Gateway のリスク指標」を参照してください。

新しいIPからの初回アクセス

疑わしいIPからのログオン-Citrix Gateway のリスク指標

Citrix Analytics、疑わしいIPサインインアクティビティに基づいてユーザーアクセスの脅威を検出し、 不審なIPリスク指標からのログオン をトリガーします。

このリスク指標は、ユーザが疑わしい IP アドレスからネットワークにアクセスしようとしたときにトリガーされます。Analyticsでは、次のいずれかの条件に基づいて IP アドレスが疑わしいと見なされます。

  • 外部 IP 脅威インテリジェンスフィードにリストされている

  • 異常な場所から複数のユーザーサインインレコードがある

  • 過剰なログイン試行が失敗し、ブルートフォース攻撃を示す可能性があります。

詳しくは、「Citrix Gateway のリスク指標」を参照してください。

疑わしいIPからのログオン

Citrix Gateway イベントのセルフサービス検索

セルフサービス検索機能を使用すると、Citrix Gateway データソースから受信したユーザーイベントに関する洞察を得ることができます。Citrix Analytics は、認証ステージ、認証タイプ、VPNセッションコード、Citrix Gateway ユーザーのVPNセッション状態などのイベントを受信します。ファセットと検索ボックスを使用して、必要なイベントを検索し、基礎となるデータを探索します。

イベントを表示するには、検索ボックスで、リストから [ Gateway ] を選択し、期間を選択して [ 検索 ] をクリックします。

詳しくは、「Gatewayセルフサービス検索」を参照してください。

Gateway検索ページ

Citrix Secure Browserイベントのセルフサービス検索

セルフサービス検索機能を使用して、Citrix Secure Browser erサービスから受信したブラウジングイベントに関する情報を取得します。Citrix Analytics では、セッション接続、セッションの起動、公開アプリケーション、ユーザー接続ごとに削除されたアプリケーションなどのイベントを受信します。検索ボックスを使用して、必要なイベントを検索し、基になるデータを探索します。

イベントを表示するには、検索ボックスで、リストから [Secure Browser] を選択し、期間を選択して [検索] をクリックします。

詳しくは、「Secure Browserのセルフサービス検索」を参照してください。

Secure Browserの検索ページ

ウォッチリストから削除アクション

手動方式を適用するか、ポリシーベースの方式を適用することで、ウォッチリストからユーザを削除できます。詳しくは、「ウォッチリスト」を参照してください。

StoreFront 展開構成時のオンボーディングメッセージの改善

Citrix Analytics では、StoreFront 展開の構成に役立つ次のメッセージが表示されるようになりました。

  • 設定ファイルをダウンロードすると、ダウンロードの日時とユーザー名を示すメッセージが表示されます。このページを更新すると、[ ファイルのダウンロード] ボタンが [ファイルのダウンロード] に再び 変わります。

    StoreFront のダウンロードファイル

  • StoreFront 構成が不完全な場合は、構成手順に従ってStoreFront展開環境とAnalyticsを接続するように指示する警告メッセージが表示されます。

    StoreFront の構成が不完全である警告

StoreFront 展開環境を構成する方法について詳しくは、「StoreFront を使用したVirtual Apps and Desktopsサイトのオンボード」を参照してください。

廃止された機能

リスク指標-新しいデバイスの削除からのアクセス

Citrix Analytics では、 新しいデバイスからのアクセス リスク指標がトリガーされなくなりました。ただし、ユーザーダッシュボード、ユーザータイムライン、およびポリシーダッシュボードでは、このリスク指標に関連する履歴データを表示できます。

新しいデバイスからのアクセスに基づいて以前に作成されたポリシーの場合は、ポリシーを変更するか、新しいリスク指標を使用してポリシーを作成する必要があります。 新しいデバイスからの初回アクセス

詳しくは、「新しいデバイスからの初回アクセス」のリスク指標を参照してください。

解決された問題

  • 認証のセルフサービス検索でイベントが表示されない。 [CAS-24959]

2019年11月8日

解決された問題

  • Citrix Content Collaboration のリスク指標の場合、ユーザーはリスクタイムラインでアクションを適用できません。 [CAS-24844]

  • Chrome向けCitrix Workspace アプリの1911より前のバージョンでは、イベントの詳細をCitrix Analytics に送信できません。 [CAS-24938]

2019年10月21日

新機能

分析エージェントの名前が変更されました

エージェント名は、ユーザーインターフェイスで Analytics ポリシーエージェント として明示され、そのロールを示します。オンプレミスのCitrix Virtual Apps and Desktops データソースをオンボーディングする場合、Citrix Analyticsはポリシーエージェントがサイトのポリシーとアクションを構成するためにのみ必要であることを明確に通知します。このエージェントは、データソースからデータを送信する役割を持っていません。詳しくは、「Citrix Virtual Apps and Desktopsデータソース」を参照してください。

ポリシーエージェント

カスタムレポートの時間ディメンションのサポート

X 軸の Time ディメンションを選択することで、時間に基づいてイベントをグループ化できるようになりました。このレポートには、選択した期間の時間間隔に基づいて、受信したイベントの合計が表示されます。レポートの作成方法について詳しくは、「カスタム レポート」を参照してください。

カスタムレポート時間ディメンション

監査ログの拡張

[ 監査ログ ] ページのユーザーエクスペリエンスが強化されました。

  • 監査ログ 」ページが最後に更新された日時の詳細を表示し、ページを更新して最新の監査ログを表示できます。

  • 監査ログに適用されたすべてのフィルタをクリアできます。

監査データについて詳しくは、「監査ログ」を参照してください。

監査ログの更新

解決された問題

  • Microsoft Graph Securityが正常にオンボーディングされた場合でも、Citrix Analytics が 匿名IPアドレス リスク指標を生成できません。 [CAS-21329]

  • HTML5用のCitrix Workspace アプリの1910より前のバージョンでは、イベントの詳細をCitrix Analytics sに送信できません。 [CAS-24938]

2019年9月23日

解決された問題

  • データソースサイトカードの [最新イベント] フィールドに、誤った日付と時刻情報が表示されます。 [CAS-24087]

2019年8月30日

新機能

ダッシュボード間のデフォルト期間の変更

次のダッシュボードのデフォルトの期間は、[ 過去 1 時間] から [過去 1 ] に変更されます。

  • ユーザー

  • リスクタイムライン

  • ユーザーアクセス

  • アプリアクセス

  • リンクを共有する

  • アラート履歴

ダッシュボードには、デフォルトで過去 1 か月のイベントが表示されます。これらのダッシュボードを使用すると、より魅力的なエクスペリエンスを得ることができます。たとえば、 App Access ダッシュボードを開くと、ダッシュボードにはデフォルトで、過去 1 か月のアプリアクセスイベントが表示されます。

デフォルトの期間選択

解決された問題

  • Content Collaboration のリスク指標では、[ ユーザーのポリシーベースの無効化] アクションを正常に適用できません。 [CAS-17304]

  • Citrix Analytics では、Citrix Gateway 13.0からのイベントを処理できません。この問題は、Citrix Gateway 13.0 は、Citrix Analytics に送信されるログオンイベントでユーザー名を提供できないために発生します。 [CAS-21339]

2019年8月20日

新機能

セルフサービス検索の強化

  • セルフサービスページのユーザーエクスペリエンスが強化されました。ユーザーリスクタイムラインとセルフサービス検索ページをシームレスに切り替えることができるようになりました。

  • 予定を時間順に並べ替えることができるようになりました。デフォルトでは、最新のイベントがイベントテーブルの最初に表示されます。[ TIME ] 列の並べ替えアイコンをクリックすると、最新時刻または最も早い時刻に基づいてイベントが並べ替えられます。

セルフサービス検索の使用方法について詳しくは、「セルフサービス検索」を参照してください。

カスタムレポートの機能強化

  • アクセス制御、Content Collaboration、Virtual Apps and Desktopsデータソースに新しいディメンションが追加されます。これらのディメンションを選択してレポートを作成できます。データソースには、次のディメンションが追加されます。

    • Access Control: ユーザーエージェント、ユーザー名

    • Content Collaboration: ユーザーの電子メール、ユーザー名、作成者、アカウント ID、OAuth クライアント ID、イベント ID、フォルダ ID、フォルダ名、リソース ID、フォーム ID、クライアント Ip

    • Virtual Apps and Desktops: ユーザー名、IPアドレス、デバイスID、ジェイルブレイク、セッション起動タイプ、セッションサーバー名、セッションユーザー名、ダウンロードファイル名、ダウンロードファイルパス、プリンタ名の印刷、印刷ジョブ詳細ファイル名、SaaSアプリケーションの起動URL、クリップボード操作、クリップボードの詳細結果

  • カスタムレポートのユーザーインタフェースは、ページネーションおよびフィルタの [すべて消去] オプションをサポートして拡張されました。

これらのディメンションを使用してカスタムレポートを作成する方法について詳しくは、「カスタム レポート」を参照してください。

リスク指標ダッシュボード

リスク指標 ダッシュボードは、[ ユーザー ] ページに導入されています。これは、ユーザーのデフォルトおよびカスタムリスク指標の上位 5 つをまとめたものです。[もっと見る] リンクをクリックすると、[ リスク指標の概要 ] ページにリダイレクトされます。このページには、選択した期間に生成されたリスク指標に関する詳細情報が表示されます。

詳しくは、「ユーザーダッシュボード」を参照してください。

リスク指標ダッシュボード

リスクの高いユーザーのダッシュボードの機能強化

Citrix Analytics では、[ **リスク指標 ] タブと [ リスク指標の変更 ] タブが導入されています。これらのタブに基づいて、リスクの高い上位5人のユーザーを表示できます。ダッシュボードには、[ **リスク指標 ] 列も導入されています。これは、ユーザーのリスク指標の数を示します。

[ リスクのあるユーザー ] ページには、[ オカレンス ] 列と [ オカレンスの変更] 列が表示されます。これらの列には、カスタムリスク指標とデフォルトリスク指標の出現回数、および出現回数の変化が要約されます。

詳しくは、「ユーザーダッシュボード」を参照してください。

リスクの高いユーザー

共有リンクリスク指標-過度のダウンロード

Citrix Analytics は共有リンク上の過剰なダウンロードに基づいてアクセスの脅威を検出し、 過度のダウンロード リスク指標をトリガーします。以前の動作に基づいて、過剰なダウンロードを伴う共有リンクを特定することで、潜在的な攻撃の可能性がある共有リンクを監視できます。このリスク指標は、過剰なファイルダウンロードアクティビティを識別するのに役立ちます。

詳しくは、「過剰なダウンロード」を参照してください。

認証データのセルフサービス検索

セルフサービス検索を使用して、認証イベントに関する洞察を得ます。Citrix Analytics では、Citrix CloudのIDとアクセス管理サービスから、ユーザーログイン、ユーザーのログオフ、クライアント更新などの認証イベントを受け取ります。検索では、認証イベントに関する詳細なレポートが提供され、認証の問題を特定し、トラブルシューティングするのに役立ちます。検索クエリを定義して、定義した条件に一致するイベントを取得することもできます。

イベントを表示するには、リストから [ 認証 ] を選択し、期間を選択して [ 検索 ] をクリックします。

詳しくは、「認証のセルフサービス検索」を参照してください。

認証ページ

2019年7月11日

新機能

カスタムリスク指標

Citrix Analytics が生成するデフォルトリスク指標は、機械学習アルゴリズムに基づいています。Citrix Analytics では、カスタムリスク指標を作成できるようになりました。ユーザーイベントに基づいて、条件を定義し、カスタムリスク指標を作成できます。

定義された条件が満たされると、Citrix Analytics はデフォルトのリスク指標と同様のカスタムリスク指標を生成し、ユーザーのリスクタイムラインに表示します。カスタムリスク指標は、ユーザーのリスクタイムラインにラベルで示されます。

詳しくは、「カスタムリスク指標」を参照してください。

リスクタイムラインの特権ステータス

ユーザーリスクタイムラインには、ユーザーの管理者権限または管理者権限ステータスが変更されると、次のイベントが表示されます。

  • エグゼクティブグループに追加

  • エグゼクティブグループから削除されました

  • 管理者に昇格された権限

  • 管理者権限が削除されました

ユーザに対してリスク指標がトリガーされると、指定した権限ステータス変更イベントと相互に関連付けることができます。必要に応じて、ユーザープロファイルに適切なアクションを適用できます。

詳しくは、「ユーザーリスクタイムライン」を参照してください。

共有リンクの期限切れアクション

Citrix Analytics を使用すると、共有リンクのリスク指標にアクションを適用できます。現在、サポートされているアクションは [ 共有リンクを期限切れにする]です。

詳しくは、「Citrix 共有リンクのリスク指標」を参照してください。

セルフサービス検索の強化

  • 検索クエリでのワイルドカード文字*のサポート:検索クエリでアスタリスク(*)文字を使用して、任意の文字を 0 回以上一致させます。たとえば、検索クエリ User-Name =「John*」では、John で始まるすべてのユーザー名のイベントが表示されます。

  • ファセットに「すべてクリア」(Clear All) オプションが追加されました。選択したファセットを一度にすべて削除するには、「すべて クリア」(Clear All) をクリックします。

  • イベントリストで非表示の列データを表示: イベントテーブルから列を削除すると、対応するデータをユーザーイベントリストに表示できます。ユーザーのイベント行を展開し、データを表示します。

詳しくは、「セルフサービス検索」を参照してください。

サイトカードのデータエラーの状態

Citrix Analytics がデータソースから過去1時間のイベントを受信しない場合、サイトカードには「データ受信なし」ラベルが赤で表示されます。また、受信したイベントの数が表示され、対応するセルフサービス検索ページにリンクされます。この機能を使用すると、セルフサービス検索ページで対応するイベントを表示し、データ転送の問題をチェックできます。

現在、セルフサービス検索は、アクセス制御、Content Collaboration、Virtual Apps and Desktopsデータソースに対してのみ使用できます。

詳しくは、「Citrix データソースでのAnalyticsの有効化」を参照してください。

解決された問題

  • アクセス制御データソースの場合、サイトカードのイベント数がセルフサービスの検索結果と一致しません。 [CAS-18286]

2019年6月19日

解決された問題

  • [監査ログ] ページには、Active Directory データソースが検出されるたびに、データの転送のオンまたはオフの状態が表示されます。 [CAS-17575]

  • ユーザー ダッシュボードの期間メニューが正しく読み込まれません。タイムアウトエラーメッセージが表示されます。 [CAS-19467]

  • Splunk からテナントに接続しているときに、Citrix Analytics でエラーメッセージが表示される。場合によっては、新しいデータソースのオンボーディングが失敗することがあります。 [CAS-19429]

2019年6月17日

新機能

StoreFrontの構成

組織でオンプレミスのStoreFront を使用している場合は、Citrix Analytics に接続するようにStoreFrontを構成できるようになりました。構成は、Citrix Analytics からインポートされた構成ファイルを使用して実行されます。構成が正常に完了すると、Citrix Workspace アプリはユーザーイベントをCitrix Analytics に送信し、ユーザーの動作に関する実用的な洞察を生成します。洞察は、異常なユーザー行動を検出し、組織内のセキュリティ脅威をプロアクティブに処理するのに役立ちます。詳しくは、「StoreFrontを使用したVirtual Apps and Desktopsサイトへのオンボード」を参照してください。

2019年5月30日

新機能

過剰なログオンの失敗

Citrix Analytics、過剰なログオンアクティビティに基づいてアクセスの脅威を検出し、過度のログオン失敗リスク指標をトリガーします。このリスク指標は、ユーザーがContent Collaboration にアクセスしようとして複数のログオンに失敗したときにトリガーされます。以前の動作に基づいて、過剰なログオン障害を持つユーザーを特定することで、管理者はユーザーのアカウントを監視してブルートフォース攻撃を監視できます。

詳しくは、「過剰な認証の失敗」を参照してください。

過剰なログオン失敗 は、「 過剰な認証失敗」という名前に変更されるようになりました。

解決された問題

  • Citrix Workspace アプリによって送信される一部のユーザーイベントでは、データソースが誤ってCitrix Virtual Apps and Desktops ではなくEndpoint Management として識別されます。

    [CAS-17323]

  • ユーザー ダッシュボードは、 過去 1 か月 間の読み込みに時間がかかります。この問題は、ユーザーの数が多い場合に発生します。場合によっては、601 エラーが発生することさえあります。

    [CAS-16300]

  • Citrix Cloud上のサービスをサブスクライブしているユーザーもいますが、Citrix Content Collaborationはデータソースとして検出されません。

    [CAS-16299]

2019年5月9日

新機能

カスタムレポートの作成

運用要件に基づいてカスタムレポートを作成できるようになりました。Citrix Analytics では、選択したデータソースに応じたディメンションと指標のリストが表示されます。レポートを作成するには、必要なパラメータと、棒グラフ、イベントチャート、折れ線グラフ、表などの視覚化タイプを選択します。レポートを作成すると、データをグラフィカルに整理および分析するのに役立ちます。

カスタムレポートを作成するには、[ セキュリティ ] タブで、[ レポート]、[レポートの作成 ] の順にクリックします。以前に作成したレポートを表示するには、[ セキュリティ ] タブで [ レポート ] をクリックします。詳しくは、「カスタム レポート」を参照してください。

特権ユーザーの監視

Citrix Analytics を使用すると、組織内の特権ユーザーの動作異常を詳細に監視できます。特権ユーザーはセキュリティの脅威に対して非常に脆弱であるため、日常的な活動と悪意のある活動を区別することが困難になります。したがって、特権ユーザーの悪意のある活動は、長い間検出されないままです。この機能を使用すると、このようなアクティビティをプロアクティブに監視し、適切なユーザーアカウントに対して適切なアクションを実行できます。特権ユーザーは、[ ユーザー ] ダッシュボードにアイコンで表示されます。

Citrix Analytics では、次の種類の特権ユーザーの監視がサポートされています。

  • 管理者 -それぞれのCitrix サービスによって管理者権限が割り当てられているユーザー。現在、Citrix Analytics では、Content Collaboration サービスで管理者権限を持つユーザーの監視機能がサポートされています。

  • エグゼクティブ -Citrix Analytics では、ADグループをエグゼクティブグループとしてマークできます。AD グループを Executive グループとしてマークすると、グループ内のすべてのユーザーが特権ユーザーになります。AD グループ内のユーザーの動作異常をさらにサポートする必要がない場合は、そのグループを Executive グループとして削除できます。

詳しくは、「特権ユーザー」を参照してください。

週次Eメール要約

Citrix Analytics、組織のIT環境におけるセキュリティリスクの概要を管理者に毎週メールを送信します。メール通知は毎週火曜日に管理者に送信され、前週に発生したセキュリティイベントが強調表示されます。この電子メールにより、Citrix Analytics にサインインすることなく、セキュリティリスクの危険性について管理者に通知されます。詳しくは、「週次Eメール要約」を参照してください。

2019年4月26日

新機能

委任された管理者

Citrix Analytics では、委任された管理者の役割がサポートされるようになりました。この機能を使用すると、他の管理者をCitrix Cloudアカウントに招待して、組織のCitrix Analytics を管理できます。Citrix Analytics 管理者がフルアクセス権限を持つ場合は、Citrix Cloudアカウントに他の管理者を追加できます。これらの追加の管理者は、委任された管理者と呼ばれます。現在、委任された管理者に読み取り専用アクセス権を割り当てることができます。詳しくは、「委任された管理者」を参照してください。

解決された問題

データストリーミングを使用するデータソースのリスク指標は、アラートを生成しません。次のリスク指標のいずれかがトリガーされると、アラート通知は取得されず、ポリシーベースのアクションは自動的には適用されません。

  • Citrix Endpoint Management のリスク指標 -管理対象外のデバイス、ジェイルブレイクまたはRoot化されたデバイス、およびブラックリストに登録されたアプリを含むデバイス。

  • Citrix Virtual Apps and Desktops のリスク指標 -サポートされていないオペレーティングシステム(OS)を搭載したデバイスからのアクセス。

  • Citrix Content Collaboration のリスク指標 -機密ファイルへの過剰なアクセス。

[CAS-14590]

2019年2月19日

新機能

Splunk 統合

Citrix Analytics はSplunk と統合され、セキュリティインシデントの監視とトラブルシューティングのエクスペリエンスを強化します。この統合により、Citrix Analyticsのリスク分析機能(リスク指標、リスクスコア、ユーザープロファイルなど)を使用して、既存のデータソースを強化できます。Citrix Analytics はリスク分析情報をチャンネルにエクスポートします。Splunk はこのチャンネルから同じものを引き出します。

Splunk の統合には、Citrix Analytics での構成、Splunk アプリケーション用のCitrix Analyticsアドオンのインストール、およびアプリケーションの構成が含まれます。 少なくとも 1 つのデータソースのデータ処理を有効にしてください。これは、Splunk の統合プロセスを開始するためにCitrix Analytics に役立ちます。

詳しくは、「Splunk 統合」を参照してください。

Splunk 構成

動的なセッションの録画

Citrix Analytics では、ユーザーの現在のVirtual Apps and Desktopsセッションでセッションの録画を動的にトリガーする機能が導入されています。リスク分析に必要な証拠を把握し、セッションの切断やユーザーのブロックなど、適切なインシデント対応アクションを実行するのに役立ちます。

詳しくは、「ポリシーとアクション」を参照してください。

共有リンクのダッシュボードとリスク指標

Citrix Analytics では、Citrix Content Collaboration から収集されたデータに基づいて、共有リンクに対するリスクの可視性が導入されます。これは、共有リンクがトリガするリスク指標を通じて、共有リンクのリスクエクスポージャーを理解するのに役立ちます。

詳しくは、「リンクの共有ダッシュボード」を参照してください。

リンクの共有ダッシュボード

現在、共有リンクに対して、匿名機密共有ダウンロードのリスク指標がトリガーされます。Content Collaboration によってこの危険な動作が検出されると、Citrix Analytics がイベントを受け取ります。アラート パネルで通知され、匿名機密ダウンロードのリスク指標が共有リンクのリスクタイムラインに追加されます。

詳しくは、「リンクのリスクタイムラインの共有」および「Citrix 共有リンクのリスク指標」を参照してください。

リスクタイムライン

Microsoft Active Directory 統合

これで、Microsoft Active Directory をCitrix Analytics に統合できるようになりました。この統合により、役職、組織、オフィスの場所、電子メール、連絡先の詳細などの追加情報によって、リスクの高いユーザーのコンテキストが強化されます。Citrix Analytics ユーザープロファイルページでユーザーをよりよく見ることができます。

詳しくは、「AnalyticsとMicrosoftのActive Directory の統合」を参照してください。

アクティブディレクトリユーザー

2019年1月4日

新機能

既存のリスク指標のSOURCE列の追加

SOURCE 列は、次のリスク指標の EVENT DETAILS セクションに導入されました。

  • 過剰なファイルのアップロード

  • 過剰なファイルのダウンロード

  • 過剰なファイル共有

  • ファイルまたはフォルダの過剰な削除

詳しくは、「Citrix Content Collaboration のリスク指標」を参照してください。

高度なユーザープロファイル

ユーザープロファイルの [ユーザー情報] ビューが拡張されました。[トレンドビュー] リンクが、[アプリケーション][デバイス]、および [データ使用量] セクションの右上隅に導入されました。[マップビュー] リンクが [場所] セクションの右上隅に導入されました。これらのリンクは、特定の期間におけるユーザーの過去の行動に関するグラフィック表現を提供します。ユーザーのリスクタイムラインまたは [データソース] ページから [ユーザー情報] に移動できます。

注:

認証ドメインのデータは、現在、ユーザー情報プロファイルでは使用できません。

詳しくは、「ユーザーダッシュボード」を参照してください。

高度なユーザープロファイル

Microsoft Graph Securityのリスク指標

オンボーディングされたMicrosoft Graph Securityは、次のいずれかのセキュリティプロバイダからリスク指標の詳細を受け取り、Citrix Analytics に転送できます。

  • Azure AD のアイデンティティ保護

  • Windows Defenderの高度な脅威対策

詳しくは、「Microsoft Graph Securityのリスク指標」を参照してください。

セルフサービス検索ページへの入力方法

次のオプションを使用して、セルフサービス検索ページにアクセスできるようになりました。

  • トップバー: トップバーの [ 検索] をクリックすると、検索ページに直接アクセスできます。

    ローカライズされた画像

  • ユーザープロファイルページのリスクタイムライン: [イベント検索] をクリックして、検索ページにアクセスし、特定のユーザーのリスク指標およびデータソースに対応するイベントを表示します。詳しくは、「セルフサービス検索」を参照してください。

    ローカライズされた画像

Content Collaboration のセルフサービス検索

セルフサービス検索を使用して、Content Collaborationデータソースに関連付けられたイベントに関する洞察を得ます。イベントを表示するには、リストから [ Content Collaboration ] を選択し、期間を選択して [ 検索 ] をクリックします。 詳しくは、「Content Collaboration」のセルフサービス検索を参照してください。

ローカライズされた画像

Virtual Apps and Desktopsのセルフサービス検索

セルフサービス検索を使用して、Virtual Apps and Desktopsデータソースに関連付けられたイベントに関する洞察を得ます。イベントを表示するには、リストから [ アプリとデスクトップ ] を選択し、期間を選択して [ 検索 ] をクリックします。 詳しくは、「Virtual Apps and Desktopsのセルフサービス検索」を参照してください。

ローカライズされた画像

セルフサービス検索イベントを CSV ファイルにエクスポートする

セルフサービス検索イベントを CSV ファイルにエクスポートし、後で使用するためにファイルをダウンロードできるようになりました。詳しくは、「セルフサービス検索」を参照してください。

Virtual Apps and Desktopsのオンボーディングの改善

Virtual Apps and Desktopsデータソースのオンボーディングプロセスが改善され、ユーザーエクスペリエンスが向上しました。サイトカードとオンボーディング手順が変更されました。詳しくは、「Citrix Virtual Apps and Desktopsデータソース」を参照してください。

2019年11月29日

新機能

Microsoft Security Graphデータソース

Microsoft Graph Securityは、複数のセキュリティプロバイダからのデータを集約する外部データソースです。また、ユーザインベントリデータへのアクセスも提供します。

Citrix Analytics は、現在、このデータソースに関連付けられた Azure ADアイデンティティ保護 および Windows DefenderのATP セキュリティプロバイダーをサポートしています。

このデータソースをオンボードするには、Microsoft ID プラットフォームからアクセス許可を取得する必要があります。詳しくは、「Microsoft Graph Security」を参照してください。

MSGオンボーディング

データソースのサイトカードでイベントの詳細と検出されたユーザーの表示

データソースのサイトカードに、イベントの詳細とユーザー数が表示されるようになりました。たとえば、イベントの詳細とAccess Controlのユーザーをサイトカードに表示できます。詳しくは、「データソースでのAnalyticsの有効化」を参照してください。

アクセス制御イメージ

2018年11月16日

新機能

アクセスデータのセルフサービス検索

セルフサービス検索を使用すると、企業内のユーザーのアクセス詳細を把握できます。Citrix Analytics、Citrix Access Controlサービスからユーザーのアクセス詳細を収集します。ファセットと検索クエリを使用して、検索結果を絞り込みます。

セルフサービス検索ページを使用するには、「 セキュリティ 」タブで「 イベント検索 」をクリックします。

詳しくは、「アクセスのセルフサービス検索」を参照してください。

画像検索

リスク指標のフィードバック

Citrix Analytics のリスク指標のフィードバック機能を使用すると、リスク指標に関するフィードバックを提供できます。フィードバックは、報告されたセキュリティインシデントが正確であるかどうかを確認するのに役立ちます。

現在、この機能は、Content Collaboration データソースによってトリガーされる 異常なログオンアクセス リスク指標でサポートされています。トリガーされたこのリスク指標が正しくない場合は、誤検知として報告し、フィードバックを提供できます。以前に送信したフィードバックを編集することもできます。Citrix Analytics はフィードバックをキャプチャし、予測された情報を検証して、異常な動作検出を最適化します。

詳しくは、「リスク指標のフィードバック」を参照してください。

偽陽性画像

解決された問題

  • Internet Explorer 11.0を使用してCitrix Analytics にアクセスしている場合は、ポリシーを編集して保存することはできません。