Citrix Analytics for Security

新機能

Citrixの目標は、Citrix Analyticsのお客様に新機能や製品アップデートを提供することです。新しいリリースでは、より便利な機能をご利用いただけます。今すぐ更新してください。

このプロセスは、お客様向けのわかりやすいものになっています。最初の更新は、Citrix内部サイトのみに適用され、その後徐々にお客様の環境に適用されます。アップデートを段階的に配信することで、製品の品質を確保し、可用性を最大限に高めることができます。

2022年6月17日

データ処理は、新しい有料資格に対してデフォルトで有効になっています

以前は、Citrix Analytics for Securityの新しい有料資格を持つ顧客は、特定のデータソースのサイトカードで [データ処理] をオンにして、それらのデータソースのデータ処理を開始する必要がありました。

このリリースでは、Citrix Analytics for Securityの新しい有料資格がプロビジョニングされるとすぐに、次のCitrixクラウドサービスのデータ処理がデフォルトでオンになります。

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix DaaS

詳しくは、「はじめに」を参照してください。

2022年6月9日

修正された問題

  • Azure AD ID 保護および Microsoft Defender for Endpoint によって生成された Microsoft Graph リスク指標は、セキュリティ分析で複数回表示される場合があります。この問題は修正されました。[CAS-66593,CAS-66731]

2022年6月2日

解決された問題

  • ポリシーのセルフサービス検索で、イベントをフィルタリングするために検索クエリで Policy-Name ディメンションを選択すると、Security Analytics の有効なポリシーとともに無効なポリシーのリストが提案されました。[CAS-66838]

  • Windows Citrix ReceiverからのFile.Downloadイベントのダウンロードファイルサイズがセルフサービス検索で正しく表示されない 。この問題は、実際の値が KB 単位であり、UI が値をバイトとして扱い、誤った値がユーザーに表示されたために発生しました。[CAS-67105]

2022年5月24日

Content Collaboration、Citrix DaaS、Citrix Virtual Apps and Desktops、Gateway データソースに関する不可能な移動リスク指標の紹介

ユーザーが離れすぎて経過時間内に移動できない2つの場所からログオンした場合、Citrix Analytics はこのアクティビティを不可能な移動シナリオとして検出し、 不可能な移動リスク指標をトリガーします 。インポッシブル・トラベル・リスク指標の詳細については、次の記事を参照してください。

2022年5月17日

Virtual Apps and Desktops] の名前が [アプリとデスクトップ] に変更されました

Security Analytics のダッシュボードとレポート、および Security Analytics から SIEM サービスに送信されるデータで、すべての [Virtual Apps and Desktops] ラベルが [アプリとデスクトップ] として更新され、ブランド名が変更された製品名に合わせられるようになりました。

たとえば、[データソース] ページでは、[Virtual Apps and Desktops] ラベルの名前が [アプリとデスクトップ] に変更されます。

[アプリとデスクトップ]ラベルは、 組織内のCitrixオンプレミスのCitrix Virtual Apps and DesktopsおよびCitrix DaaS (以前のCitrix Virtual Apps and Desktops サービス)の両方を表します。

解決された問題

Citrix Analytics は、Citrix Cloudアカウントに関連付けられているCitrix DaaSクラウドモニターまたはDirectorサイトを自動的に検出しません。[CAS-66801]

2022年4月5日

新機能

「Secure Workspace Access」が「セキュアプライベートアクセス」に改名

Analytics ダッシュボードとレポートで、すべての Secure Workspace Access ラベルが、 ブランド変更された製品名に合わせてセキュアプライベートアクセスとして更新されるようになりました

たとえば、[ データソース ] ページと [ セルフサービス検索] ページでは、[Secure Workspace Access] ラベルの名前が [ セキュアプライベートアクセス] に変更されます。

2022年3月21日

修正された問題

  • [リスク指標の作成 ] ページで、検索クエリの前の条件にスペースで区切られたディメンション値が含まれている場合、ディメンションと演算子の自動候補は機能しません。

    たとえば、次のクエリでは、都市をとして選択すると、自動候補が機能しなくなります San Jose。この問題は修正されました。[CAS-64126]

    自動サジェストが失敗する

2022年3月10日

新機能

管理者への通知メールの機能拡張

  • [ 管理者に通知] アクションの電子メール通知で、トリガーされたポリシーに関連付けられた複数のリスク指標の詳細が提供されるようになりました。

  • ポリシーに関連付けられている各リスク指標の名前、重大度、およびトリガー日を表示できます。

  • リスクの詳細の表示 ]をクリックすると、Citrix Analytics でユーザータイムラインページが開き、ポリシーをトリガーした最新のリスク指標が表示されます。ユーザータイムラインページでは、ユーザーに対してトリガーされたすべてのリスク指標を表示することもできます。

管理者への通知メールの機能拡張

管理者に通知 」操作について詳しくは、「 ポリシーと操作」を参照してください。

修正された問題

Citrix Analytics が、Secure Workspace Access データソースからユーザーイベントを受信できません。そのため、対応するセルフサービス検索ページにはユーザーイベントは表示されません。また、Secure Workspace Access データソースのカスタムリスク指標を作成することもできません。[CAS-64619]

2022年3月3日

新機能

エンドユーザー応答のリクエストを手動で適用する

以前は、ポリシーを作成することによってのみ、 ユーザーアカウントに「エンドユーザーレスポンスを要求 」アクションを適用できました。 今回のリリースでは、ユーザータイムラインの [ アクション] リストからアクションを選択し 、このアクションをリスク指標に手動で適用できます。

アクションの詳細と、アクションを手動で適用する方法については、「 ポリシーとアクション」を参照してください。

エンドユーザーへの応答を手動で要求する

ポリシーに対するエンドユーザー応答の拡張をリクエストする

エンドユーザーレスポンスのリクエスト 」アクションを使用してポリシーを作成すると、次の拡張機能が表示されます。

  • 次のアクションとして [管理者に通知 ] を選択すると、既定の電子メール配布リストと、選択した電子メール配布リストが表示されます。

    管理者の同報リストに通知する

  • Citrix Content Collaboration から、 Citrix Virtual Apps and Desktopsおよび Citrix DaaS または次のアクションとしてアクションのいずれかを選択できます。以前は、グローバルアクションまたはCitrix Gateway アクションのうち1つしか選択できませんでした。

    フォローアップアクション

アクションの詳細については、「 ポリシーとアクション」を参照してください。

2022年2月23日

新機能

リスク指標に推奨されるアクション

Citrix Analytics では、ユーザーに対して次のリスク指標がトリガーされたときに、 [ **管理者に通知]、[ウォッチリストに追加]、[ **ポリシーの作成 ] などのアクションを適用することをお勧めします。

ユーザータイムラインに移動してリスク指標を選択すると、[推奨アクション] セクションで推奨されるアクションをすべて表示できます

たとえば、異常な認証失敗リスク指標では、次の推奨アクションを表示できます。

推奨される操作

この機能は、ユーザーがもたらすリスクの重大度に応じて実行できるアクションを選択するためのガイダンスを提供します。ただし、リスク分析によっては、推奨リストに含まれない適切なアクションを実行することもできます。

修正された問題

  • 組織がアジア太平洋地域のCitrix Cloud にオンボーディングされている場合、Citrix Analytics が認証データソースからユーザーイベントを受信しないことがあります。そのため、対応するセルフサービス検索ページにユーザーイベントが表示されないことがあります。この問題は修正されました。[CAS-62300]

2022年2月17日

新機能

Citrix Virtual Apps and Desktopsおよび Citrix DaaS データソースのデータ収集とレポート機能の向上

今回のリリースでは、次の変更点が見られます。

  • Citrix WorkspaceアプリクライアントとCitrix Monitorサービスからのイベントのデータ収集、相関、およびレポート作成が改善されました。

  • セルフサービス検索、カスタムリスク指標、および全体的なリスク検出に使用できる、ユーザーおよびクライアントバージョンから受信するイベントの品質が向上しました。

Content Collaboration のセッションイベントとアプリイベント用のコンテキストテンプレートのサポート

セルフサービス検索ページでは、ファイル、フォルダ、セッション、共有、およびユーザーイベントに関連付けられた関連フィールドのみの詳細を表示できるようになりました。イベントに該当しないフィールドは削除されます。

たとえば、 File.Copy 次のようなイベントの詳細を表示できます。

  • ファイル ID

  • ファイルコピー ID

  • [ファイルパス]

  • デスティネーションファイルパス

  • ストリーム ID

  • ゾーン ID

これらの詳細は、リスクのある行動に関連するユーザーアカウントのリスク調査と分析を行う際に役立ちます。リスクが高いと思われるイベントの特定の属性にドリルダウンできます。

フィールドの詳細については、「 Content Collaboration のセルフサービス検索」を参照してください。

2022年2月10日

新機能

カスタムリスク指標のディメンションの自動推奨値

カスタムリスク指標ページで、条件バーでディメンションと有効な演算子を選択すると、ディメンションの値が自動的に表示されます。自動推奨リストから値を選択するか、ユースケースに応じて手動で値を入力します。値を入力すると、レコード内の一致する値が自動的に候補として表示されます。

ディメンションに推奨される値のリストは、データベースで事前定義されている (既知の値) か、履歴イベントに基づいています。

たとえば、 Event-Type ディメンションと代入演算子を選択すると、既知の値が自動的に推奨されます。要件に応じて値を選択できます。

詳細については、「 カスタムリスク指標」を参照してください。

カスタムリスク指標の自動提案

2022年2月9日

新機能

管理者用の新しいカスタムロール

フルアクセス権を持つCitrix Cloud 管理者は、組織内のセキュリティ分析を管理するよう他の管理者を招待できます。招待された管理者に次のカスタムロールを割り当てることができるようになりました。

  • セキュリティ分析-すべての管理者

  • セキュリティ分析-読み取り専用管理者

カスタムロールを使用すると、管理者に読み取り専用またはフルアクセス権限を付与して、Security Analytics のさまざまな機能の管理を許可できます。

これらのカスタムロールのアクセス権限の詳細については、 Security Analytics の管理者ロールの管理を参照してください

カスタムロール

カスタムアクセス管理者向けの電子メール通知のサポート

Citrix Cloud 管理者で、Security Analyticsを管理するためのカスタムアクセス(読み取り専用またはフルアクセス)権限を持つ場合、次の通知が表示されるようになりました。

  • 組織で検出されたセキュリティリスクについて毎週通知します。詳細については、「 毎週の電子メール通知」を参照してください。

  • [ 管理者に通知] アクションが手動で適用された場合や、ポリシーによってトリガーされた場合のリスク指標に関する通知。詳細については、「 ポリシーとアクション」を参照してください。

2022年1月28日

新機能

Content Collaboration と Gateway データソースに対する不審なログオンのリスク指標の導入

Citrix Analytics for Securityは、次のような複数のコンテキスト要因に基づいて、本質的に疑わしいユーザーログオンを検出するようになりました。

  • 場所は、ユーザーおよび組織履歴に関して通常とは違うと見なされます

  • デバイスはユーザーおよび組織履歴に関して異常であるとみなされます

  • ユーザーおよび組織の履歴に関して、ネットワークが異常と見なされる

  • IP アドレスは、IP 脅威インテリジェンスフィードに基づいて疑わしいと見なされます。

これらの要因の組み合わせに基づいて疑わしいコンテキストからユーザーがログオンすると、リスク指標がトリガーされます。

このリスク指標は、Citrix Content Collaboration および Citrix Gateway データソースに関連付けられている[通常とは異なる場所からのアクセス]リスク指標を置き換えます。[ 異常な場所からのアクセス ] リスク指標に基づく既存のポリシーは、新しいリスク指標である [ 疑わしいログオン] に自動的にリンクされます。

リスク指標の詳細については、「 不審なログオン-Content Collaboration 」および「 疑わしいログオン-ゲートウェイ」を参照してください。

リスク指標のスキーマについて詳しくは、 SIEM用のCitrix Analytics データ形式を参照してください

2022年1月20日

新機能

Microsoft Azure Active Directory 統合

Azure Active Directory をセキュリティ向けCitrix Analytics クスと接続して、次のことが可能になりました。

  • 組織のドメインからCitrix Analytics for Securityにユーザーの詳細とユーザーグループをインポートします。

  • 役職、組織、オフィスの所在地、電子メール、連絡先情報などの追加情報でユーザープロファイルを強化し、リスク調査や分析の際に役立ちます。

詳細については、「 Azure Active Directory との統合」を参照してください。

2022年1月18日

新機能

すべてのContent Collaboration リスク指標に対する共有リンクアクションのサポート

以前は、Content Collaboration サービスに関連付けられた次の共有リンクベースのリスク指標で、共有リンクアクション ([すべてのリンクを期限切れにする] および [リンクを表示のみの共有に変更 ]) を適用できました。

  • 匿名の機密共有リンクのダウンロード

  • 共有リンクのダウンロードが多すぎる

  • 過剰なファイル共有

このリリースでは、Content Collaboration サービスに関連付けられた次のユーザーベースのリスク指標に共有リンクアクションを適用できるようになりました。

  • 通常の場所以外からのアクセス

  • 機密ファイルへの過剰なアクセス

  • 過剰なファイルのアップロード

  • 過剰なファイルのダウンロード

  • ファイルまたはフォルダの過剰な削除

  • マルウェアファイルが検出されました

  • ランサムウェアのアクティビティの疑い

  • 異常な認証失敗

Content Collaboration サービスに関連付けられたカスタムリスク指標に共有リンクアクションを適用することもできます。

アクションとリスク指標の詳細については、次の記事を参照してください。

SIEM との統合が一般提供される

Citrix Analytics for Securityをセキュリティ情報およびイベント管理(SIEM)サービスと統合し、ユーザーのデータをCitrix IT環境からSIEMにエクスポートできます。この統合により、さまざまなソースから収集されたデータを相互に関連付け、組織のセキュリティを全体的に把握できます。

現在、Citrix Analytics for Securityを次のサービスと統合できます。

  • Splunk

  • Microsoft Sentinel

  • Elasticsearch

  • Kakfa または Logstash ベースのデータコネクタを使用したその他の SIEM サービス

詳細については、「 セキュリティ情報とイベント管理 (SIEM) の統合」を参照してください。

2021年12月23日

新機能

共有リンクのリスク指標の拡張

次の機能強化が行われました。

  • 匿名の機密共有リンクダウンロードリスク指標を使用してポリシーを作成できるようになりました

  • 匿名の機密共有ダウンロードリスク指標は共有リンクのリスク指標と区別するために、匿名の機密共有リンクのダウンロードに名前が変更されました

  • 過剰ダウンロードリスク指標は共有リンクのリスク指標と区別し、ユーザーベースの過剰なファイルダウンロードリスク指標と区別するために、「過剰な共有リンクのダウンロード 」に名前が変更されました。

詳しくは、「 Citrix 共有リンクのリスク指標」を参照してください。

2021年12月21日

新機能

リスク指標に関する通知をCitrix Cloud管理者以外に送信する

組織内のCitrix Cloud管理者以外に、[ 管理者に通知]アクションを使用して通知できるようになりました

これらの管理者に通知するには、電子メール配布リストを作成します。Citrix Cloud に接続されている外部ドメインから、または電子メールアドレスを直接使用して、電子メール配布リストで管理者を選択します。[ 管理者に通知]アクションを適用する場合は、Citrix Cloud管理者以外の管理者が含まれるメール配布リストを選択します

詳細については、「 電子メール配布リスト」を参照してください。

2021年12月20日

新機能

Content Collaboration ユーザにユーザ応答通知を送信する

Active Directory ユーザーに加えて、Content Collaboration ユーザーに [ エンドユーザー応答の要求 ] アクションを適用できるようになりました。

この操作により、Citrix Analytics がユーザーのCitrixアカウントで異常なアクティビティを検出すると、ユーザーに電子メール通知が送信されます。「 エンドユーザーレスポンスをリクエスト 」アクションの詳細については、「 ポリシーとアクション」を参照してください。

アクセス制御の名前が「Secure Workspace Access」に変更されました

Security Analytics ダッシュボードとレポートでは、 すべてのアクセス制御ラベルがSecure Workspace Access として更新され、ブランド変更された製品名に合わせられるようになりました。

たとえば、[ データソース ] ページ、[ セルフサービス検索 ] ページ、および [ ポリシー ] ページでは、[アクセス制御] ラベルの名前が [Secure Workspace Access] に変更されます。

修正された問題

  • Apps and Desktops データソースの場合、検索レポートを CSV ファイルとしてダウンロードすると、CSV ファイル内の一部のフィールド値は、値は使用できますが、使用不可 (N/A) と表示されます。たとえば、 Download File NameSession Launch TypeWorkspace App Versionなどのフィールドの値は [ セルフサービス検索 ] ページに表示されますが、ダウンロードされた CSV ファイルでは、これらの値は利用できません (N/A) と表示されます。この問題は修正されました。[CAS-62299]

2021年12月9日

新機能

テンプレートを使用してカスタムリスク指標を簡単に作成

ユースケースに基づいてテンプレートを選択し、カスタムリスク指標を作成できるようになりました。テンプレートには、定義済みのクエリとパラメーターが用意されています。これにより、カスタムリスク指標を作成する際の作業が楽になります。

詳細については、「 カスタムリスク指標」を参照してください。

2021年12月7日

修正された問題

  • Citrix Analytics for Securityでは、2021年9月にリリースされたCitrix Secure Browser を使用しているユーザーのイベントは受信されません。この問題は、2021年9月以降のリリースであるCitrix Secure Browser でホスト名追跡ポリシーが表示されないため 、Citrix Analytics for Securityとの統合を有効にできないためです。この問題は修正されました。[CAS-62254]

2021年12月2日

新機能

マルウェアファイルが検出されたリスク指標

Content Collaboration でユーザが感染ファイルをアップロードしたときにアラートを受信できるようになりました。

リスク指標は、トロイの木馬、ウイルス、その他の悪意のある脅威などのマルウェアに感染しているファイルを検出します。これにより、ファイルの所有者、ウイルス名、ファイルの場所など、悪意のあるファイルの詳細を可視化できます。

マルウェアファイルが検出されたリスク指標に関連するリスク要因は、ファイルベースのリスク指標です

リスク指標と適用できるアクションの詳細については、「 マルウェアファイルが検出されたリスク指標」を参照してください。

Content Collaboration データソースの新しいアクション

マルウェアファイルが検出されたリスク指標がユーザーに対してトリガーされると 、次のアクションを適用できます。

  • フォルダのアクセス権限を削除する。感染ファイルをアップロードしたユーザーのアクセス権をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにアクセスできません。

  • フォルダへのアップロード権限を削除する。感染ファイルをアップロードしたユーザーのアップロード権限をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにファイルをアップロードできません。

Content Collaboration のアクションの詳細については、「 ポリシーとアクション」を参照してください。

アクション

2021年11月29日

新機能

ユーザー通知のメール設定の強化

管理者は、ユーザー返信メールテンプレートにバナー画像、ヘッダー、フッターのテキストを追加できるようになりました。これらのフィールドはメールの正当性を高め、ユーザーのメールに対する関心と反応を高めます。

詳細については、「 エンドユーザーのメール設定」を参照してください。

メール設定

2021年11月26日

新機能

カスタムリスク指標とポリシーメニューの変更

次の機能のナビゲーションリンクが更新されました。

  • カスタムリスク指標:この機能を使用するには、[ セキュリティ] > [カスタムリスク指標] をクリックします。

  • ポリシー:この機能を使用するには、[ セキュリティ] > [ポリシー] をクリックします。

    メニュー変更

2021年11月25日

新機能

セキュリティ情報およびイベント管理 (SIEM) 統合の強化

このインテグレーションはプレビュー版です。

Citrix Analytics for Security を次のSIEMサービスと統合できるようになりました。

  • Microsoft Sentinel

  • Kibana などの可視化サービスと logryThm などの SIEM サービスを備えたElasticsearch

  • Logstash データ収集エンジンを使用するその他の SIEM サービス

ビジネスニーズに応じて、Citrix Analytics for SecurityからSIEMサービスにユーザーのデータをインポートします。この統合により、セキュリティ運用チームは組織内の SIEM サービス内のさまざまなログからデータを関連付け、分析、検索できるようになり、セキュリティリスクを特定して迅速に修正できるようになります。

詳細については、「 セキュリティ情報とイベント管理 (SIEM) の統合」を参照してください。

2021年11月9日

修正された問題

  • 一部のテナントでは、ユーザーポリシーが機能していません。この問題は、仮想アプリケーションのアラートにドメインの文字列値が空である場合に発生しました。この問題は修正されました。[CAS-60920]

2021年11月2日

新機能

Citrix Virtual Apps and Desktops、およびCitrix DaaSユーザーのアクセスプロファイルとログオンの詳細を表示する

[ Access Assurance Location ] ダッシュボードでは、仮想アプリケーションおよび仮想デスクトップにログオンしたユーザーのアクセスプロファイルとログオン詳細を表示できます。この情報は、脅威の調査と分析を行う際に役立ちます。

  • [ Access Profile ] ページには、選択した場所からのユーザーアクセスの概要が表示されます。合計ユーザー数と個別ユーザーログオン数の傾向分析と上位アクセスイベントを表示できます。

    プロフィールページにアクセスする

  • [ ユーザーログオン ] ページには、選択した場所から仮想アプリケーションおよび仮想デスクトップへのユーザーログオンの詳細が表示されます。

    ユーザーログオンページ

詳細については、「 アクセス保証ロケーション」ダッシュボードを参照してください

Content Collaboration のセルフサービス検索ページでマルウェアログを表示する

Content Collaboration のセルフサービスページで、マルウェアイベントFile.VirusInfectedとそれに関連するログを表示できるようになりました。このイベントは、Content Collaboration ユーザーがマルウェアに感染したファイルをアップロードしたときにトリガーされます。

詳細については、「 Content Collaboration のセルフサービス検索」を参照してください。

マルウエベント

修正された問題

  • Citrix Analytics でイベントを処理しているときに、一部のContent Collaboration ユーザーが誤って非従業員として設定されます。そのため、ユーザーは [検出されたユーザー] として識別されません。この問題は修正されました。[CAS-59608]

2021年10月20日

新機能

Session Recordingサーバー統合

Citrix Virtual Apps and Desktopsおよび Citrix DaaS 展開環境では、ユーザーイベントをCitrix Analytics for Securityに送信するようにSession Recordingサーバーを構成できるようになりました。これらのユーザーイベントは、ユーザーの行動に関する実用的なインサイトを提供するために処理されます。

[ データソース] > [セキュリティ ] ページで、[ Virtual Apps and Desktops ] サイトカードに移動します。 Session Recordingサイトカードで 、縦の省略記号 (⋮) をクリックし、[ Session Recordingサーバーの接続] を選択します。

詳しくは、「 Session Recording展開に接続する」を参照してください。

Session Recordingの展開

2021年10月19日

新機能

管理者への通知メールテンプレートの機能拡張

「管理者に通知」 アクションを適用した後に管理者が受け取る電子メール通知が拡張され 、ユーザーのリスクの高いイベントをより的確に把握できるようになりました。

  • 通知には、トリガーされたリスク指標または適用されたポリシーに関する詳細情報が表示されるようになりました。たとえば、既定のリスク指標とカスタムリスク指標の重大度とトリガーされた時間を表示できます。コンテンツ構造が改善され、読みやすくなります。

  • 管理者は、電子メール通知からユーザーのタイムラインに直接アクセスして、危険なイベントに関する詳細を表示できるようになりました。

  • 通知にフィードバックオプションが追加されました。このオプションは、管理者からの応答を収集し、応答に基づいて通知の内容を継続的に改善するのに役立ちます。

管理者に通知 」操作について詳しくは、「 ポリシーと操作」を参照してください。

ユーザーログオンサマリーの機能強化

  • 世界規模の合計ユーザーログオン数と世界規模のユニークユーザーログオン数について、ユーザーログオン数の増加傾向または減少傾向を確認できるようになりました。

    ログオン総数の傾向

  • [ 一意のログオン場所] テーブルの [ **偏差 ] 列には、特定の場所に対する一意のユーザーログオンが上向きまたは下向きに変化したことがわかります** 。

    固有のログオン傾向

これらの指標は、ユーザーログオンが前期からどのように変化したか(正または負)を把握するのに役立ちます。これにより、 Citrix Virtual Apps and Desktopsおよび Citrix DaaS 展開環境とのユーザーインタラクションを可視化できます。

詳細については、「 アクセス保証ロケーションダッシュボード」を参照してください。

修正された問題

  • ジオフェンスエリア外からログオンするユーザーがいないと、[ **Access Assurance Location ] ダッシュボードの [User Logon Summary** ] カードにユーザーログオンメトリック (ワールドワイド合計ユーザーログオン数、ワールドワイドユニークユーザーログオン数、およびユーザーログオンがある国) が表示されません。この問題は修正されました。[CAS-59595]

2021年10月1日

新機能

Content Collaboration のセルフサービス検索に関する監査ログの表示

Content Collaboration のセルフサービス検索で、監査ログを表示できるようになりました。これらのログは、Content Collaboration 管理者がユーザーアカウントに適用した権限とアクションに関する洞察を提供します。これらのデータを使用して、Content Collaboration 管理者がユーザーアカウントに対して有効なアクションを実行したかどうかを確認できます。セキュリティ管理者は、リスクの調査と分析の際に役立ちます。

監査ログの詳細については、「 Content Collaboration のセルフサービス検索」を参照してください。

修正された問題

Azure AD を使用してCitrix Cloud にログオンする管理者は、以前の期限切れのセッションIDが新しいセッションIDと共に来ると、Citrix Analytics サービスにアクセスできません。この問題は修正されました。[CAS-59385]

2021年9月29日

新機能

アクセス保証ロケーションダッシュボードが一般公開されました

ダッシュボードでは、 Citrix Virtual Apps and Desktopsおよび Citrix DaaS ユーザーの所在地を可視化できます。ジオフェンシングを有効にすることで、場所が異常なユーザーを特定し、脅威を防ぐための適切なアクションを適用できます。

ダッシュボードを表示するには、[ セキュリティ] > [アクセス保証] の順にクリックします。ロケーションの詳細を表示する期間を選択します。

詳細については、「 アクセス保証ロケーションダッシュボード」を参照してください。

2021年9月15日

新機能

カスタムリスク指標の機能強化

  • カスタムリスク指標がトリガーされると、 すぐにユーザータイムラインに表示されます 。ただし、ユーザーのリスクサマリーとリスクスコアは数分(約 15 ~ 20 分)後に更新されます。

  • 既存のカスタムリスク指標の条件、リスクカテゴリ、重大度、名前などの属性をユーザータイムラインで変更しても、そのユーザーに対してトリガーされたカスタムリスク指標(古い属性を含む)の以前の発生を表示できます。

  • カスタムリスク指標を削除しても、ユーザータイムラインで、そのユーザーに対してトリガーされたカスタムリスク指標の以前の発生を表示できます。

詳細については、「 カスタムリスク指標」を参照してください。

2021年9月14日

新機能

疑わしいログオンリスクインジケータの導入

Citrix Analytics for Securityは、次のような複数のコンテキスト要因に基づいて、本質的に疑わしいユーザーログオンを検出するようになりました。

  • 場所は、ユーザーおよび組織履歴に関して通常とは違うと見なされます

  • デバイスはユーザーおよび組織履歴に関して異常であるとみなされます

  • ユーザーおよび組織の履歴に関して、ネットワークが異常と見なされる

  • IP アドレスは、IP 脅威インテリジェンスフィードに基づいて疑わしいと見なされます。

Citrix Virtual Apps and Desktopsおよび Citrix DaaS これらの要因の組み合わせに基づいて疑わしいコンテキストからユーザーがログオンすると、リスク指標がトリガーされます。

このリスク指標は、Citrix Virtual Apps and Desktopsデータソースに関連付けられた異常な場所からのアクセスのリスク指標を置き換えます 。[ 異常な場所からのアクセス ] リスク指標に基づく既存のポリシーは、新しいリスク指標である [ 疑わしいログオン] に自動的にリンクされます。

リスク指標について詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

SIEM メッセージの機能強化

Citrix Analytics for Securityは、 疑わしいログオンリスク指標のスキーマの詳細をSIEMサービスに送信するようになりました 。指標の概要のスキーマと、 疑わしいログオンリスク指標のイベントの詳細を表示できます 。詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

修正された問題

  • アプリとデスクトップのセルフサービス検索では、ダウンロードした CSV ファイルにクライアント IP 値がありません。この問題は修正されました。[CAS-58426]

2021年8月19日

新機能

Splunk 向けCitrix Analytics アプリの紹介

アプリはプレビューです。

Splunk 向け Citrix Analytics アプリを使用すると、セキュリティ向け Citrix Analytics から収集されたデータを、洞察に満ちたダッシュボードの形式で Splunk に表示できます。ダッシュボードは、ユーザーの危険なイベントに関するインサイトを提供します。また、Citrix Analytics データを、他のさまざまなデータソースから収集されたログと関連付けることもできます。相関関係は、イベント間の関係を見つけ、IT環境を保護するためのタイムリーなアクションを実行するのに役立ちます。

アプリをダウンロードするには、 Splunkbaseにアクセスしてください。Splunk 検索ヘッドにアプリをインストールします。

詳しくは、「 Splunk 用 Citrix Analytics アプリ」を参照してください。

SIEM のカスタムリスク指標スキーマ

SIEM サービスで、用に作成されたカスタムリスク指標のスキーマを表示できるようになりました Citrix Virtual Apps and Desktopsおよび Citrix DaaS。このデータは、組織のセキュリティリスク状況に関する洞察を得るのに役立ちます。

カスタムリスク指標スキーマについて詳しくは、「 SIEMのCitrix Analytics データ形式」を参照してください。

データソースとしてのCitrix Directorのサポート

Citrix Director でオンプレミスサイトを構成して、セキュリティ分析にイベントを送信できるようになりました。これらのイベントは、Security Analytics に接続しているユーザーを検出し、ユーザーのデバイスにインストールされている Workspace アプリのバージョンを判断するために使用されます。

デフォルトでは、サイトの検出後にデータ処理が有効になります。[ 監視 ] カードでは、接続されているすべてのサイトを表示できます。

Directorでサイトを構成する方法について詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。

アクセス保証ロケーションダッシュボードでのジオフェンスのサポート

ダッシュボードの [ ジオフェンス設定]を使用して、ジオフェンスエリアを選択して有効にできるようになりました。ジオフェンスを有効にすると、マップにジオフェンスエリア(国)が表示され、ジオフェンスの外側と内側からユーザーがログオンします。この機能は、ジオフェンスのリスク指標の外で開始された CVAD セッションを使用して 、ユーザーのログオンを監視します。

詳細については、「 アクセス保証ロケーションダッシュボード」を参照してください。

[ユーザー] ページの Workspace アプリのステータス

ユーザー ]ページで、Citrix Analytics でサポートされているCitrix Workspace アプリクライアントのステータスを表示できるようになりました。このページには、次のステータスが表示されます。

  • サポート
  • 部分的にサポートされている
  • サポートされません
  • 利用できない
  • 非アクティブ

このステータスは、ユーザが使用するサポートされていないクライアントバージョンを特定し、クライアントをサポート対象バージョンにアップグレードするようにユーザに推奨するのに役立ちます。サポートされているクライアントバージョンは、ユーザーイベントをCitrix Analytics に送信します。

Citrix Workspace アプリのステータスを表示するには、Citrix Directorデータソースを起動する必要があります。それ以外の場合、 Citrix Virtual Apps and Desktopsおよび Citrix DaaS すべてのユーザーのステータスは「 非アクティブ」と表示されます

詳細については、[ユーザー] ダッシュボードを参照してください

IS EMPTY 演算子のサポート

カスタムリスク指標の作成中に、条件で IS EMPTY 演算子を使用して NULL または空のディメンションをチェックできるようになりました。

注:

この演算子は、App-Name、Browser、Country などの文字列タイプのディメンションでのみ機能します。

詳細については、「 カスタムリスク指標」を参照してください。

リスクスコアリングの向上

ユーザーのタイムラインで、ユーザーのリスクサマリーを表示できるようになりました。リスクサマリーは、ユーザーイベントに関連するリスク要因に関する情報を提供します。リスクファクターは、ユーザーイベントの異常のタイプを識別するのに役立ち、リスクスコアも決定します。リスク要因は次のとおりです。

  • デバイスベースのリスク指標

  • ロケーションベースのリスク指標

  • IP ベースのリスク指標

  • ログオン失敗ベースのリスク指標

  • データベースのリスク指標

  • ファイルベースのリスク指標

  • カスタムリスク指標

  • その他のリスク指標

ユーザーのタイムラインで、フィルターを適用して、リスク要因に基づいてユーザーイベントを表示できるようになりました。

詳しくは、次のトピックを参照してください:

2021年7月29日

非推奨の機能

Citrix Endpoint Managementに関連付けられている非推奨のアクション

以下のアクションは、Citrix Endpoint Managementデータソースから削除されます。これらのアクションをリスク指標に適用したり、これらのアクションを使用してポリシーを作成したりすることはできなくなりました。

  • デバイスのロック

  • Endpoint Management 管理者に通知する

  • ユーザーに通知

  • デバイスの取り消し

  • デバイスのワイプ

既存のポリシーでは、これらのアクションがすでに使用されている場合は、自動的に [ ウォッチリストに追加 ] アクションに置き換えられます。そして、ウォッチリストからそのようなユーザーを監視することができます。

2021年7月14日

新機能

IS NOT EMPTY 演算子のサポート

カスタムリスク指標の作成時に、条件で IS NOT EMPTY 演算子を使用して、ディメンションが空ではない (空白ではない) かどうかを確認できるようになりました。

注:

この演算子は、App-Name、Browser、Country などの文字列タイプのディメンションでのみ機能します。

たとえば、次の条件は、country 値が NULL でないすべての国のユーザーログオンイベントを検出します。つまり、国名が指定されます。

Event-Type = “Session.logon” AND Country IS NOT EMPTY

詳細については、「 カスタムリスク指標」を参照してください。

2021年7月06日放送分

新機能

ユーザーダッシュボードでリスクのないユーザーを表示する

[ ユーザー ] ダッシュボードで、選択した期間のリスクのないユーザーの数を表示できるようになりました。検出されたこれらのユーザーは、選択した期間のゼロリスクスコアに基づいて、非リスクとして識別されます。[ Non Risky Users ] カードをクリックすると、リスクスコアがゼロのすべてのユーザーが表示されます。

詳細については、「 ユーザーダッシュボード」を参照してください。

リスクのないユーザー

2021年7月01日

新機能

アクセス保証ロケーションダッシュボードの機能強化

  • [ 一意のログオンの場所の上位 10 ] テーブルでは、不明な場所からの一意のユーザーログオンの数を表示できます。このリストは、一意のログオン場所の上位 10 のサブセットです。また、場所が不明である理由と、ユーザーの位置情報を取得する方法もわかります。

    不明な場所

  • [ アクセス場所 ] ページで、複数の場所を選択した場合、すべての場所、上位 5 つの場所、および下位 5 つの場所からのユーザーログオンのタイムラインの詳細を表示および比較できます。

    タイムラインの比較

  • [ アクセス場所 ] ページでは、国とその都市、オペレーティングシステム (メジャーバージョンとマイナーバージョンなど) のネストされたファセットを使用できます。これらのファセットを使用すると、イベントを細かくフィルタリングできます。

    ネストされたファセット

詳細については、 アクセス保証の場所を参照してください

Virtual Apps and Desktops のセルフサービス検索の OS ファセットを更新しました

ネストされた OS ファセットを使用して、Apps および Desktops イベントをフィルタリングできるようになりました。オペレーティングシステムに関連付けられているメジャーバージョンとマイナーバージョンを選択し、詳細な方法でイベントをフィルタリングします。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

OS ネストされたファセット

2021年6月30日

新機能

アプリとデスクトップのカスタムリスク指標条件に Workspace アプリのバージョンを追加

アプリとデスクトップデータソースではWorkspace-App-Version ディメンションを使用して、カスタムリスク指標の作成中に条件を定義できるようになりました。ディメンションの詳細については、「 アプリとデスクトップのセルフサービス検索」を参照してください。

CWA版

2021年6月23日

新機能

SIEM メッセージの機能強化

次のフィールドがリスク指標のスキーマに追加されました。

  • indicator_vector_name-リスク指標に関連付けられたリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。

  • indicator_vector_id-リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = IP ベースのリスク指標、ID 6 = データベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できません。

詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

2021年6月07日

新機能

管理者に通知アクションの機能強化

[ 管理者に通知 ] アクションをリスクインジケータに適用したり、アクションでポリシーを作成したりするときに、ユーザーの危険な動作に関する通知を受け取る管理者を選択できるようになりました。アクションの詳細については、「 ポリシーとアクション」を参照してください。

表示専用共有アクションのサポートが追加されました

ユーザーがファイルを過度に共有すると、Citrix Analytics は過剰なファイル共有のリスクインジケータをトリガーします 。ユーザーのリスクタイムラインから、[ 表示のみの共有にリンクを変更] アクションを [ **過剰なファイル共有リスク** ] インジケータに適用できるようになりました。共有リンクリスクタイムライン上の特定の共有リンクにアクションを適用することもできます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。アクションの詳細については、「 ポリシーとアクション」を参照してください。

2021年5月18日

新機能

デフォルトのリスク指標をカスタムリスク指標に移行する

次のデフォルトリスク指標は、事前設定されたカスタムリスク指標に移行されます。

デフォルトのリスクインジケータ データソース 事前構成されたカスタムリスクインジケータ
新しいデバイスからの初回アクセス Citrix Virtual Apps and Desktopsおよび Citrix DaaS CVAD-新しいデバイスからの初回アクセス
新しいIPからの初回アクセス Citrix Gateway 新しい IP からのゲートウェイファーストタイムアクセス

このカスタムリスク指標への移行により、デフォルトのリスク指標と関連する機械学習アルゴリズムは廃止されます。

対応するカスタムリスク指標は、次の事前設定された条件に基づいてトリガーされます。

  • ユーザーが新しいデバイスから初めてアクセスしたとき、または最低 90 日間使用されていない既存のデバイスからアクセスした場合。

  • ユーザーが新しい IP アドレス、または最低 90 日間使用されていない既存の IP アドレスからサインインしたとき。

事前構成された条件に加えて、これらのカスタムリスク指標に独自の条件を追加して、Citrix 環境内の脅威を特定できるようになりました。このオプションを使用すると、セキュリティのニーズに基づいてカスタムリスク指標を柔軟に設定できます。また、これらのカスタムリスク指標によって検出されたリスクのあるイベントにアクションを適用するポリシーを作成することもできます。

ただし、ユーザーのタイムラインでは、以前にトリガーされたデフォルトのリスク指標とそのイベントは引き続き表示できます。

これらのデフォルトリスク指標に関連付けられているポリシーは、対応する事前設定されたカスタムリスク指標に自動的にリンクされます。

詳細については、「 事前構成されたカスタムリスク指標とポリシー」を参照してください。

Gateway のセルフサービス検索の機能強化

  • イベントタイプフィルタの名前が [ レコードタイプ]に変更されました。次のいずれかのレコードタイプを選択して、イベントをフィルタリングします。VPN_AI、VPN_IF、および VPN_ST。

  • DATA テーブルで、ユーザーイベントの行を展開して、対応するイベントタイプを表示します。イベントタイプは、認証、ICAファイル、またはセッションログアウトのいずれかです。

次の表では、レコードタイプとイベントタイプの相関関係について説明します。

レコードタイプ イベントの種類
VPN_AI 認証
VPN_IF ICAファイル
VPN_ST セッションログアウト

詳細については、「 Gateway のセルフサービス検索」を参照してください。

修正された問題

  • カスタムリスク指標は、条件値の大文字と小文字の区別に基づいてトリガーされます。たとえば、許可リストにデバイス ID を含むユーザイベントでは、次の動作が表示されます。

    • Device-ID ディメンションの値を小文字で入力すると、カスタムインジケータがトリガーされます。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • 同じデバイスのDevice-IDディメンションの値を大文字で入力すると、カスタムインジケータはトリガーされません。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    この問題は修正され、条件付き値の大文字と小文字の区別に関係なく、カスタムリスク指標がトリガーされます。

    [CAS-50153]

2021年4月29日

新機能

カスタムリスク指標のイベント詳細

ユーザーのリスクタイムラインページで、カスタムリスク指標をトリガーしたイベントを表示できるようになりました。以前は、カスタムリスク指標の定義済みの条件、説明、およびトリガー頻度のみを表示できました。[ イベント検索 ] をクリックして、ユーザーとリスク指標に関連付けられているイベントの詳細を表示します。 詳細については、「 カスタムリスク指標」を参照してください。

修正された問題

  • 管理者は、アクセス権限が読み取り専用管理者から完全管理者に変更された後でも、カスタムリスク指標を作成できません。[CAS-49628]

2021年4月16日

新機能

SIEM メッセージの機能強化

リスク指標スキーマ形式について、次の機能強化を表示できます。

  • クライアント IP アドレスが、すべてのバッチリスク指標のスキーマで利用可能になりました。以前は、クライアント IP アドレスは、いくつかのバッチリスク指標でのみ使用可能でした。

    • EPAスキャンの失敗
    • 過剰な認証失敗
    • 疑わしいIPからのログオン
    • 通常の場所以外からのアクセス
    • 異常な認証の失敗
    • 匿名の機密共有ダウンロード
    • データ流出の可能性
  • 整数データ型のフィールド値が使用できない場合、割り当てられる値は -999です。たとえば、"latitide" = -999などです。

  • 文字列データ型のフィールド値が使用できない場合、割り当てられる値は NAになります。たとえば、"city"= "NA"などです。

詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

2021年3月26日

新機能

SIEM メッセージの制限

Citrix Analytics は、リスク指標の発生ごとに最大1000個のイベントの詳細をSIEMサービスに送信します。これらのイベントは、発生時順に送信されます。詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

SIEM メッセージにデータソース ID フィールドとインジケータカテゴリ ID フィールドを追加しました

インジケータサマリスキーマとインジケータイベント詳細スキーマには、次のフィールドが追加されます。

フィールド 説明
data_source_id データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Virtual Apps and Desktops、ID 4 = Citrixアクセスコントロール
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー

詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

2021年3月18日

新機能

アシュアランスロケーションダッシュボードにアクセスする

この機能はプレビューです。

[ アクセス保証ロケーション (Access Assurance Location)] ダッシュボードには、 Citrix Virtual Apps and Desktopsおよび Citrix DaaS 選択した期間にユーザがログインした場所の概要が表示されます。Citrix Analytics は、ユーザーのデバイスにインストールされているCitrix Workspaceアプリからこれらのユーザーログオンイベントを受信します。

ダッシュボードを表示するには、[ セキュリティ] > [アクセス保証] の順にクリックします。

選択した期間について、次の情報を表示できます。

  • 特定の場所およびロケーション間のユーザーログオンの合計数。

  • ロケーション全体の一意のユーザーログオンの総数。

  • ユーザーがログオンした国の総数。

  • 一意のユーザーログオンがある上位 10 の場所。

詳細については、 アクセス保証の場所を参照してください

ユーザーログオンの概要ページ

NOT LIKE (!~) 演算子のサポート

セルフサービス検索クエリとカスタムリスク指標条件では、NOT LIKE (!~) 演算子。オペレータは、指定したマッチングパターンのユーザイベントをチェックします。これは、イベント文字列内の指定されたパターンを含まないイベントを返します。

たとえば、クエリUser-Name !~ “John”では、John、John Smith、または一致する名前「John」 を含むユーザー以外のユーザーのイベントが表示されます。

詳細については、「 セルフサービス検索」を参照してください。

翻訳されたオペレーティングシステムのバージョン

Citrix Virtual Apps and Desktopsおよび Citrix DaaS データソースでは、 プラットフォームディメンションがOS メジャーバージョン、OS マイナーバージョン、および **OS-Extra-Details** ディメンションとして翻訳されるようになりました。Citrix Analytics では、ユーザーのオペレーティングシステムの詳細に基づいて、セルフサービス検索ページにこれらのディメンションが表示されます。

これらのディメンションを使用して、カスタムリスク指標の条件を定義できます。

以前に作成したカスタムリスク指標について、 プラットフォームディメンションを条件として使用している場合 、Citrix Analytics はプラットフォームディメンションをOSメジャーバージョンOSマイナーバージョンOS-Extra-Detailsに自動的に置き換えます。この更新は、定義した条件の整合性には影響しません。

新しいディメンションについて詳しくは、 Virtual Apps and Desktops のセルフサービス検索を参照してください

アプリとデスクトップのデータフィールドが更新されました

アプリとデスクトップのセルフサービス検索で、コンテキストテンプレートに基づいて更新されたデータフィールドを表示します。

詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

非推奨の機能

セルフサービス検索ページから VPN_AF イベントと VPN_SU イベントを削除しました

Citrix Gateway データソースのセルフサービス検索ページで、次のレコードタイプが削除されました。

レコードタイプ レコード名
VPN_SU セッション更新レコード
VPN_AF アプリケーションの起動失敗レコード

そのため、これらのレコードタイプに基づいてイベントをフィルタリングして表示することはできません。これらのレコードタイプに基づくカスタムリスク指標は機能しなくなります。

詳細については、「 Gateway のセルフサービス検索」を参照してください。

2021年3月11日

新機能

ユーザリスクスコアスキーマの現在のタイムスタンプ

ユーザリスクスコアスキーマ形式で新しいフィールドlast_update_timestampが追加されます。このフィールドは、リスクスコアが最後に更新された時刻を示します。スキーマ形式の詳細については、「 ユーザーリスクスコアスキーマ」を参照してください。

2021年3月03日

新機能

疑わしい IP リスク指標からのログオンの機能強化

ユーザーのリスクタイムラインページに、[ 疑わしい IPからのログオン] リスクインジケータの新しいセクション [疑わしいIP ] が表示されます。このセクションでは、次の情報について説明します。

疑わしいIPセクション

  • 疑わしいサインインアクティビティが検出される IP アドレス。
  • ユーザーの場所。
  • Citrix Analytics が組織で最近検出した疑わしいIPアクティビティのパターン。
  • コミュニティレベルのインテリジェンスは、IP アドレスについてフィードします。

詳細については、 疑わしい IP からのログオンリスク指標を参照してください

異常な場所からのアクセスリスク指標の機能強化

  • Citrix Content Collaborationの[異常な場所からのアクセス]リスクインジケータで、イベントテーブルに[ ツール名 ]列を追加しました。イベントテーブルから DEVICE BROWSER列を削除しました 。詳しくは、「 Citrix Content Collaboration のリスク指標」を参照してください。

  • の [異常な場所からのアクセス] リスク指標で Citrix Virtual Apps and Desktopsおよび Citrix DaaS、イベントテーブルに [ DEVICE ID ] 列と [ RECEIVER TYPE ] 列を追加しました。詳しくは、「 Citrix Virtual Apps and Desktopsのリスク指標」を参照してください。

Citrix AnalyticsのSIEM用のデータ形式

この記事では 、SIEMサービス用にCitrix Analytics によって生成される処理されたデータのスキーマについて説明します。

修正された問題

  • Content Collaborationユーザーの場合、Is Employee<!--NeedCopy--> 値がnullのユーザーは検出されたユーザーリストに表示されません。[CAS-47815]

2021年2月18日

新機能

カスタムリスク指標の新しいエンティティからの初回アクセスのサポート

Citrix Analytics が新しいエンティティから初めてイベントを受信したときにトリガーされるリスク指標を作成できるようになりました。エンティティの例としては、クライアント IP、都市、国などがあります。

[ インジケータの作成 ] ページで、[ 初回 ] オプションをクリックします。[ 初めて新規作成 ] ボタンを有効にし、データソースに基づいてリストから有効なエンティティを選択します。エンティティに特定の値を割り当てる必要はありません。たとえば、リストから[ 都市 ]を選択すると、ユーザーが新しい都市から初めてサインインするたびに、Citrix Analytics によってリスク指標がトリガーされます。

詳細については、「 カスタムリスク指標の作成」を参照してください。

新しいオプションを初めてお見せする

カスタムリスク指標を作成するための上限

最大 50 のカスタムリスク指標を作成できるようになりました。この上限に達した場合は、既存のカスタムリスク指標を削除または編集して、カスタムリスク指標を作成する必要があります。

詳細については、「 カスタムリスク指標」を参照してください。

Citrix Virtual Apps and Desktopsおよび Citrix DaaS からのユーザーの位置情報データ

Citrix Analytics の[ ユーザー情報 ]ページに、 Citrix Virtual Apps and Desktopsおよび Citrix DaaS データソースのユーザーの場所が表示されるようになりました。

ユーザーの場所の詳細については、「 ユーザープロファイル」を参照してください。

複数列の並べ替え

セルフサービス検索ページで、ユーザーイベントを複数の列で並べ替えることができるようになりました。[ 並べ替え] をクリックし、列と並べ替え順序を追加します。[ Apply ] をクリックして、ユーザーイベントを並べ替えます。最大 6 つの列を追加して、複数列の並べ替えを実行できます。

複数列ソート

詳細については、「 セルフサービス検索」を参照してください。

廃止された機能

過剰な認証失敗リスク指標は非推奨

Citrix Gateway リスクインジケータ- 過剰な承認失敗は廃止されました 。このインジケーターに関連する履歴データのみを表示できます。

この非推奨の一部として、次の変更が適用されます。

  • Citrix Analytics はこれらのリスク指標を生成しなくなりました。

  • Citrix Analytics は、これらのリスク指標を条件として持つポリシーを生成しなくなりました。

  • これらのリスク指標を条件とするデフォルトのポリシーは有効になりません。

詳しくは、「 Citrix Gateway リスク指標」を参照してください。

2021年1月27日

新機能

異常な場所からのアクセスリスク指標の強化

Citrix Content Collaboration、Citrix Gateway、およびCitrix Virtual Apps and Desktopsでは、ユーザーが新しい国に関連付けられたIPアドレス、または以前のサインインから異常に離れた新しい都市からサインインすると、 異常な場所からのアクセスリスクインジケータがトリガーされるようになりました ロケーション。その他の要因には、ユーザーの全体的なモビリティレベルや、組織内のすべてのユーザーの都市からのログインの相対的な頻度などがあります。すべての場合において、ユーザーのロケーション履歴は、過去30日間のサインインアクティビティに基づいています。

リスク指標の詳細については、次のトピックを参照してください。

2021年1月20日

修正された問題

  • オンプレミスのStoreFrontを使用するアプリとデスクトップのデータソースでは、StoreFront展開環境は正常に接続されていますが、データ処理は失敗します。

    [CAS-46656]

2021年1月19日

修正された問題

  • カスタムリスク指標ページで、検索フィールドの無効な条件を修正した後、[ Estimate Trigger ] リンクが応答しません。

    たとえば、 クライアント IP = 10.10.10.10という無効な条件を入力するとします。この条件を修正し、 client-IP =”10.10.10.10”と入力すると、[ トリガーの推定 ] リンクが応答しません。

    回避策:カスタムインジケータページを更新し、有効な条件でカスタムインジケータを作成します。

    [CAS-46316]

2021年1月13日

新機能

Splunk 向けの Citrix Analytics アドオンの新しいバージョンが利用可能になりました

Splunk の Citrix Analytics アドオンバージョン 2.1.0 が利用可能になりました。 ダウンロードページに移動して 、ファイルをダウンロードします。

Splunk クラウド入力データマネージャー (IDM) と Splunk 8.1 64 ビットのサポートを追加

セキュリティ向け Citrix Analytics を Splunk クラウド IDM および Splunk 8.1 64 ビットと統合できるようになりました。詳細については、「 Splunk 統合」を参照してください。

非推奨のサポート

Splunk 7.1 64 ビットのサポートを削除しました

セキュリティ向け Citrix Analytics を Splunk 7.1 64 ビットと統合できなくなりました。サポートされている Splunk のバージョンについては、「 Splunk 統合」を参照してください。

2021年1月11日

修正された問題

  • [Virtual Apps and Desktops] サイトカードで、ラベル [ サポートされているクライアントユーザー ] の名前が [ ユーザーから受信したイベント] に変更されます。「 サポートされていないクライアントユーザー 」というラベルの名前が「 ユーザーからのイベントを受信できません」に変更されます。

    [CAS-44773]

2020年12月17日

新機能

事前構成されたカスタムリスク指標とポリシーを使用して、異常な場所からのアクセスをブロックする(ジオフェンシング)

Citrix は、事前構成されたカスタムリスク指標のリストと、Citrix インフラストラクチャのセキュリティを監視するのに役立つポリシーを提供します。これらのインジケーターとポリシーを使用すると、通常の運用国以外の国からのユーザーアクセスをブロックできます。デフォルトでは、国は「米国」に設定されています。ジオフェンシングに必要な国を設定できます。

以下は、事前構成されたカスタムリスク指標とポリシーです。

  • CVAD-セッションがジオフェンスの外で開始されました

  • GW-ジオフェンスクロッシング

  • CCC-ジオフェンス交差点

  • ジオフェンス外でのセッション開始

詳細については、「 事前構成されたカスタムリスク指標とポリシー」を参照してください。

アクセスした場所をユーザー応答メールで表示する

ユーザーデバイスの IP アドレスの代わりに、ユーザー応答メールには、過去 15 分間にユーザーがアクセスしたすべての場所が表示されるようになりました。場所は、 <City>,<Country><!--NeedCopy--> の形式で表示されます。都市または国が利用できない場合、対応する値は「不明」と表示されます。

詳細については、「 ユーザー応答のリクエスト」を参照してください。

名前が変更されたContent Collaboration リスク指標-新しい場所からの初回アクセス

Citrix Content Collaboration リスク指標の[ 新しい場所からの初回アクセス ]は、[ 異常な場所からのアクセス]という名前に変更されます。

詳細については、「 異常な場所からのアクセス」を参照してください。

廃止された機能

リスク指標のフィードバック

リスク指標フィードバックメカニズムが削除されます。Content Collaboration のリスクインジケータ-異常な場所からのアクセスが誤ってトリガーされた場合、それを誤検知として報告してフィードバックを提供することはできなくなります。

2020年12月7日

新機能

潜在的なデータ漏洩リスク指標の改善

リスク指標には、次の機能強化が加えられています。

  • WHAT HAPPEDセクションの情報が更新されます。時刻形式は、一貫性を維持するために更新されます。

  • デバイスの位置情報がイベントリストに表示されます。

リスク指標の詳細については、「 データの漏洩の可能性」を参照してください。

Content Collaboration リスク指標の改善-新しい場所からの初回アクセス

ユーザーリスクタイムラインで、[ 新しい場所からの初回アクセス ] を選択して、次の情報を表示します。

  • サインイン場所:ユーザーがサインインした通常の場所と通常とは異なる場所の地理的マップビューを表示します。

  • 通常の場所からのサインイン数-過去 30 日間:ユーザーが過去 30 日間にサインインした通常の場所の上位 6 つの円グラフビューを表示します。また、これらの場所からのサインインイベントの数も表示されます。

  • 異常な場所のイベントの詳細:ユーザーの異常な場所からのサインインイベントのリストを提供します。

リスク指標の詳細については、「 新しい場所からの初回アクセス」を参照してください。

2020年11月30日

新機能

セルフサービス検索ページの改善

セルフサービス検索ページの使いやすさを向上させるために、次の改善が行われました。

  • 検索ボックスには、独自のクエリの入力方法を示すクエリの例が表示されます。

    検索ボックスクエリ

  • macOS では、寸法リストのスクロールバーがデフォルトで表示されるようになりました。

    Mac スクロールバー

  • 適用されたフィルターがチップとして表示されるようになりました。

    フィルターチップ

  • [ 列の追加または削除 ] ラベルが [ + ] アイコンに置き換わります。

    アイコン更新

詳細については、「 セルフサービス検索」を参照してください。

ポリシーの改善

ポリシー ]ページに、正常に検出され、Citrix Analytics に接続されたデータソースに関連付けられたポリシーが表示されます。このページには、未検出のデータソースに対して条件が定義されているポリシーは表示されません。 すでに接続されているデータソースのデータ処理をオフにしても、[ポリシー] ページの既存のポリシーには影響しません。

詳細については、「 ポリシーとアクションの構成」を参照してください。

2020年11月04日

新機能

異常な認証失敗-Citrix Gateway リスク指標

Citrix Analytics は、ユーザーが異常なIPアドレスからのログオンに失敗したときにアクセスベースの脅威を検出し、 異常な認証失敗リスク指標をトリガーします

このリスク指標は、組織内のユーザーが通常の動作に反する異常な IP アドレスからのログオンに失敗したときにトリガーされます。

詳しくは、「 Citrix Gateway リスク指標」を参照してください。

認証失敗

2020年10月20日

修正された問題

  • リスクインジケータ [ ログオフ] **ユーザーアクションが適用された新しいデバイスからの初回アクセスが期待どおりに機能しません** 。

    [CAS-40743]

2020年10月15日

新機能

異常な場所からのアクセス — Citrix Virtual Apps and Desktops および Citrix DaaS リスク指標

Citrix Analytics は、Citrix Workspace からの異常なサインインに基づいてアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

通常以外の場所

詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

共有リンクダッシュボードの機能強化

  • [共有 URL] 列は、[共有 ID] 列に置き換えられました。各共有 URL は、共有 ID で識別されるようになりました。

  • ダッシュボード上の時間選択が削除されます。このダッシュボードには、選択した期間ではなく、アクティブな状態から期限切れの状態までのすべての共有リンクが表示されます。

  • すべての共有リンクは、最初にアクティブなリンク、次に期限切れのリンクの順にソートされます。既定では、リスク指標の数が最も高い共有リンクがリストの一番上に表示されます。

  • 危険なリンクには、危険な動作を持つアクティブなリンクが表示されるようになりました。期限切れのリンクは表示されません。既定では、リスク指標の数が最も高い危険なリンクがリストの一番上に表示されます。

  • [危険な共有リンク] カードと [すべての共有リンク] カードのトレンドビューが削除されます。

詳細については、「 共有リンク」ダッシュボードを参照してください

リンクのリスクタイムラインの拡張機能の共有

リスクタイムラインに、共有 URL の代わりに共有 ID が表示されるようになりました。詳細については、「 リンクのリスクタイムラインを共有する」を参照してください。

廃止された機能

サポートされていないオペレーティングシステム (OS) リスク指標を持つデバイスからのアクセスは非推奨

Citrix Virtual Apps and Desktopsのリスク指標- サポートされていないオペレーティングシステム(OS)を搭載したデバイスからのアクセスは廃止されました 。このインジケーターに関連する履歴データのみを表示できます。

この非推奨の一部として、次の変更が適用されます。

  • Analytics はこれらのリスク指標を生成しなくなりました。

  • Analytics は、これらのリスク指標を条件とするポリシーを生成しなくなりました。

  • これらのリスク指標を条件とするデフォルトのポリシーは有効になりません。

詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

2020年9月10日

新機能

StoreFront のチェックリスト

Citrix Analytics で、StoreFront 構成ファイルをダウンロードする前に満たす必要のある前提条件の一覧が表示されるようになりました。チェックリストを確認し、すべての最小要件が選択されていることを確認します。最小要件が選択されていない場合、設定ファイルをダウンロードできません。詳しくは、「 Citrix Virtual Apps and Desktopsのデータソース」を参照してください。

StoreFrontチェックリスト

セルフサービス検索-NOT EQUAL (!=) 演算子のサポート

これで、次の機能のクエリの演算子でNOT EQUAL (!=) 演算子を使用できます (!=) :

  • カスタムリスクインジケータ

  • セルフサービス検索

この演算子は、次の条件で使用できます。

データソース ディメンション
Content Collaboration 国、都市、クライアント OS
アクセス制御 国、都市、アクション、URL、URL、カテゴリ、レピュテーション、ブラウザ、OS、デバイス
アプリケーションとデスクトップ 国、都市、アプリ名、クリップボード操作、ブラウザ、OS
Gateway 認証段階、クライアントIP

演算子を使用して、「Country!= XYZ」を選択し、ユーザーのリストを表示します。次に、[ウォッチリストに追加]、[管理者に通知]、[ユーザーを無効にする]などのアクションを適用するポリシーを作成します。 また、指定したデータソースのセルフサービス検索で、オペレータを使用して、ユーザーイベントをフィルタリングすることもできます。

クエリのディメンションの値を入力する際には、データソースのセルフサービス検索ページに表示されている正確な値を使用します。寸法値では、大文字と小文字が区別されます。

2020年9月08日

新機能

ユーザー相関関係

Analytics は、さまざまなデータソースから検出されたユーザーを関連付けるようになりました。このメカニズムにより、検出されたユーザーのリストから重複するユーザーのほとんどが排除されます。Analyticsで検出されたユーザーは、データソースとリスク指標とともに一意のユーザーのリストを表示するようになりました。

たとえば、ユーザー「Joe Smith」は、データソースに基づいて JosephSM、joe.smith@citrix.com、および joe.mith という複数のユーザー識別子を持つことができます。Analyticsは、このユーザーを一意の識別子名で識別するようになりました。その他すべてのユーザー ID は相関しており、さまざまなデータソースから Joe Smith に対して受信されたイベントは、この一意の名前にリンクされます。 詳細については、「 検出されたユーザー」を参照してください。

修正された問題

アクション」 (Actions) リストで、アクションオプションを選択して「 適用」(Apply) をクリックすると、エラーメッセージが表示されます。

[CAS-39914]

2020年8月11日

解決された問題

  • Microsoft Graph セキュリティをCitrix Analytics 統合することはできません。この問題は、Microsoft ポータルがCitrix Analytics にリダイレクトできなかったために発生しました。

[CAS-38021]

2020年7月31日

解決された問題

  • カスタムリスク指標の [ Estimated Triggers ] オプションは、過去 1 日のカスタムリスク指標インスタンスを予測しません。

[CAS-38129]

2020年7月09日

新機能

Virtual Apps and Desktops のサイトカードには、サポートされているクライアントとサポートされていないクライアントを持つユーザーが表示されます

サイトカードで、エンドポイントでCitrix WorkspaceアプリまたはCitrix Receiverクライアントのサポートされているバージョンとサポートされていないバージョンを使用しているユーザーの数を表示できるようになりました。

  • サポートされているクライアントのユーザ数をクリックして、検出されたすべてのユーザを表示する [ ユーザ(User )] ページを表示します。

  • サポートされていないクライアントのユーザー数をクリックして、CSV ファイルをダウンロードします。このファイルには、ユーザーとそのサポートされていないクライアントバージョンが一覧表示されます。Analyticsは、サポートされていないクライアントからユーザーイベントを受信しないため、検出されたユーザーとしてユーザーを追加しません。CSV ファイルを使用して、Analytics が動作に関するセキュリティ上の洞察を提供できるように、クライアントをサポートバージョンにアップグレードする必要があるユーザーを特定します。

サポートされているクライアントの一覧を表示するには、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。

クライアントステータス

異常なロケーションリスク指標からのアクセス

  • Citrix Gateway リスク指標新しい場所からの初回アクセスは、異常な場所からのアクセスという名前に変更されます**

  • ユーザーリスクのタイムラインでは、地理的なマップと円グラフがイベントの詳細セクションに導入されています。

    • サインイン場所:このセクションには、ユーザーの通常および異常な場所の地理的マップビューが表示されます。通常の場所と通常とは異なる場所は、ジオマップの右上のセクションにカラーコードで示されます。Geo マップをズームして、位置を詳しく見ることができます。

      異常な場所からのアクセス

    • 通常の場所-過去 30 日間:このセクションには、ユーザーがサインインした通常の場所の上位 6 つを示す円グラフが表示されます。各場所には異なるカラーコードが付いています。セクションを場所順に並べ替えて、選択した場所の詳細を表示することができます。

      異常な場所からのアクセス

詳細については、「 異常な場所からのアクセス」を参照してください。

ユーザーダッシュボードデータ

[ユーザー] ダッシュボードおよび [ユーザー] ページで選択した期間に関係なく、過去 13 か月間の危険なユーザー、検出されたユーザー、 特権ユーザーおよびウォッチリスト内のユーザーの数が表示されます 。期間を選択すると、リスク指標の発生が変化します。

詳細については、「 ユーザーダッシュボード」を参照してください。

ユーザーダッシュボードデータ

再設計された [ユーザー] ページ

[ ユーザー ] ページが強化され、ユーザーエクスペリエンスが向上しました。ユーザーリスクスコア、データソース、およびユーザータイプに基づいて、ユーザーイベントの統合サマリーを提供します。

より焦点を絞った検索をサポートするために、[ ユーザー ] ページの左ペインに [ フィルター ] セクションがあり、上部に検索バーがあります。事前設定された時間またはカスタマイズされた時間範囲のユーザイベントを検索できます。

[検出されたユーザー] セクション

[ ユーザー ] ページを表示するには、次の手順に従います。

  • [ セキュリティ] > [ユーザー ] に移動して [ ユーザー ] ダッシュボードを表示し、次の操作を行います。

    • 次のリンクまたはカードのいずれかをクリックします。

      ユーザーページ

    • [ 危険なユーザー ] ウィンドウで、[ 詳細を表示] をクリックします。

    • [ ウォッチリストのユーザー ] ペインで、[ 詳細を表示] をクリックします。

    • [ 管理者ユーザー ] ペインで、[ 詳細を表示] をクリックします。

  • [設定] > [データソース] > [セキュリティ] に移動します。任意のデータソースサイトカード上のユーザー数をクリックします。

詳細については、「 ユーザーダッシュボード」を参照してください。

[危険なユーザー] ペインの機能強化

[ 変更 ] 列が [ リスク指標 ] 列に置き換えられます。[ リスク指標 ] 列には、特定の期間におけるユーザーのリスク指標の発生総数が表示されます。

詳細については、「 危険なユーザー」を参照してください。

危険なユーザーペイン

[ウォッチリスト] ペインのユーザーの機能強化

[ 変更 ] 列が [ リスク指標 ] 列に置き換えられます。[ リスク指標 ] 列には、特定の期間におけるユーザーのリスク指標の発生総数が表示されます。

詳細については、 ウォッチリスト内のユーザーを参照してください

ウォッチリストペイン

[特権ユーザー] ペインの強化

  • [ 変更 ] 列が [ リスク指標 ] 列に置き換えられます。[ リスク指標 ] 列には、特定の期間におけるユーザーのリスク指標の発生総数が表示されます。

  • [ 詳細を表示 ] をクリックして、[ ユーザー ] ページを表示します。 管理者およびエグゼクティブ特権ユーザのリストを表示する [ユーザ(Users)] ページ。このページでは、ユーザーを特権ユーザーとして追加または削除できます。

詳細については、「 特権ユーザー」を参照してください。

[特権ユーザー] ペイン

廃止された機能

アラート

アラート機能は廃止され 、Analytics ユーザーインターフェイスでは使用できなくなりました。

アラート

危険なユーザーとウォッチリストのページ

**危険なユーザーページとウォッチリストページは廃止されました** 。これらは、 すべての危険なユーザーイベントとウォッチリスト内のユーザーをまとめたユーザーページに置き換えられます

危険なユーザーページ

ウォッチリストページ

[危険なユーザー] ペイン

[ 最高スコアの変更 ] タブと [ リスク指標の変更 ] タブが [ 危険なユーザー ] ペインから削除されます。

危険なユーザーペイン

[リスク指標] ペイン

  • [ オカレンスの変更 ] タブと [ 変更 ] 列が削除されます。

    リスク指標ペイン

  • [ リスク指標の詳細 ] ページは廃止されました。以前は、このページは、[リスク指標] ウィンドウまたは [ リスク指標の概要] ページでリスク指標を選択したときに表示されていました

    リスク指標の詳細ページ

トレンドビュー

[ ユーザー ] ダッシュボードで、ユーザー数のトレンドビューが、[ 高リスクユーザー]、[中リスクユーザー]、[ **低リスクユーザー]、および **[ウォッチリストのユーザー] カードから削除されます。

トレンドビュー

[ユーザーグループ] ページ

[ 設定] オプションの下の [ユーザーグループ ] ページは廃止されました。ユーザーグループを特権グループとして追加または削除できなくなりました。ただし、個々のユーザーを特権ユーザーとして追加または削除できます。詳細については、「 特権ユーザー」を参照してください。

ユーザーグループページ

2020年6月26日

廃止された機能

アプリケーションアクセスの異常な時間 (仮想/SaaS) リスク指標は非推奨

Citrix Virtual Apps and Desktopsのリスク指標- アプリケーションアクセスの異常時間(仮想)および異常なアプリケーションアクセス時間(SaaS) は廃止されました。これらの指標に関連する履歴データのみを表示できます。

この非推奨の一部として、次の変更が適用されます。

  • Analytics はこれらのリスク指標を生成しなくなりました。
  • Analytics は、これらのリスク指標を条件とするポリシーを生成しなくなりました。
  • これらのリスク指標を条件とするデフォルトのポリシーは有効になりません。

詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

2020年6月02日

解決された問題

  • ユーザーリスクタイムラインでは、Virtual Apps and Desktops のアクションのステータス(ポリシーベースまたは手動で適用)は、アクションがユーザーアカウントに正常に適用された場合でも「失敗」と表示されます。たとえば、 [セッションの録画の開始] アクションはユーザーアカウントに正常に適用されますが、結果は「失敗」と表示されます。[CAS-32773]

    アクション失敗ステータス

2020年5月11日

解決された問題

  • 一部のユーザーの場合、ポリシーベースのアクションはトリガーされず、ポリシー強制モードを適用できません。この問題は、顧客 ID が小文字でない場合に発生します。

    [CAS-34209], [CAS-34141]

  • 一部のユーザーのカスタムリスク指標を作成できません。この問題は、顧客 ID が小文字でない場合に発生します。

    [CAS-34139]

2020年4月29日

解決された問題

  • Citrix Virtual Apps and Desktopsのリスク指標に適用されたアクションは有効になりませんが、Analyticsはアクションが正常に適用されたことを示すメッセージを表示します。この問題は、Citrix Virtual Apps and Desktops 7 1912バージョンで観察されます。

    [CAS-31544]

2020年4月02日

新機能

StoreFront が追加されていない場合はデータ処理を無効にする

StoreFront をオンボーディングしていない場合、 [設定]>[データソース]>[ セキュリティ ]>[ Virtual Apps and Desktops ]データソースサイトカードで、[データ処理を有効にする ]ボタンが有効になりません。 サイトカードにStoreFront が接続されていないという警告メッセージが表示されます 。Analyticsでデータを受信するアクティブなオンプレミスサイトがある場合は、StoreFrontをCitrix Analytics にオンボーディングしたことを確認する必要があります。これにより、ユーザーアカウントが確実に保護されます。

Virtual Apps and Desktops ]サイトカードで、縦方向の省略記号(⋮)を選択し、[ StoreFront 展開環境の接続]をクリックします。表示される画面で、指示に従ってStoreFront の構成を完了します。

詳しくは、「 StoreFrontを使用したCitrix Virtual Apps and Desktopsのオンプレミスサイトのオンボード」を参照してください。

StoreFront 警告

解決された問題

  • Citrix Content Collaboration ユーザーの場合、ポリシーベースのアクションは、次の条件下で有効になりません。

    • カスタムリスク指標の条件が定義されている場合

    • ユーザーのリスク指標が生成されるまで

    [CAS-29226]

2020年3月04日

解決された問題

  • Gatewayユーザーが初めてAnalyticsにオンボードすると、 Citrix ADCが応答しないか、資格情報が正しくないというエラーが表示されます。再試行すると、「 この IP アドレスのデバイスは既に存在します」というエラーが表示されます。

[CAS-31180]

2020年2月20日

新機能

セキュリティ向けCitrix Analytics オファ

セキュリティ向け Citrix Analytics が個別のサブスクリプションで利用できるようになりました。 セキュリティ向け Citrix Analytics をサブスクライブして、このオファリングに固有のインサイトを取得できます。詳しくは、「導入」を参照してください。

リスクカテゴリダッシュボード

Citrix Analytics では、組織のセキュリティ側面に同様の影響を与えるリスクに基づいて、リスク指標の分類が導入されています。このダッシュボードには、直ちに対処する必要があるリスクエクスポージャーと重大なリスクの包括的なビューが表示されます。デフォルトのリスク指標の場合、Analytics はリスクエクスポージャーに基づいてリスクカテゴリを自動的に割り当てます。カスタムリスク指標の場合は、リスクエクスポージャーに基づいて適切なリスクカテゴリを選択する必要があります。

Analytics では、次のリスクカテゴリがサポートされています。

  • データ流出
  • インサイダーの脅威
  • 侵害されたユーザー
  • 侵害されたエンドポイント

詳細については、「 リスクカテゴリ」を参照してください。

リスクカテゴリダッシュボード

[カスタムインジケータ] ページの [リスクカテゴリ] 列

[ リスクカテゴリ ] 列は、[カスタムリスク指標] ページに導入されます。リスクエクスポージャーのタイプに基づいて、カスタムリスク指標のリスクカテゴリを選択できます。以前に作成したカスタムリスク指標は、リスクカテゴリを選択して変更すると、[リスクカテゴリ] ダッシュボードに表示されます。

詳細については、「 カスタムリスク指標」を参照してください。

[リスクカテゴリ] ドロップダウンリスト

リスク指標名の変更

次のリスク指標名が変更されました。

[データソース] 旧名 新名称
Citrix Virtual Apps and Desktopsおよび Citrix DaaS 異常なアプリケーション使用 (仮想) アプリケーションアクセスの異常な時間 (仮想)
Citrix Virtual Apps and Desktopsおよび Citrix DaaS 異常なアプリケーション使用 (SaaS) アプリケーションアクセスの異常な時間 (SaaS)
Citrix Content Collaboration 過剰なログオン失敗 過剰な認証失敗
Citrix Content Collaboration 異常なログオンアクセス 新しい場所からの初回アクセス
Citrix Access Control 異常なダウンロードボリューム 過剰なデータのダウンロード
Citrix Gateway ログオンの失敗 過剰な認証失敗
Citrix Gateway 認証の失敗 過度の認証の失敗
Citrix Gateway 異常なログオンアクセス 新しい場所からの初回アクセス

詳細については、「 リスク指標」を参照してください。

解決された問題

  • 一部のユーザーの場合、データソースが正常にオンボーディングされ、StoreFront が有効になっていても、Citrix Analytics はVirtual Apps and Desktops からデータを受信できません。[CAS-24134]

  • Citrix Analytics は、Citrix Content Collaboration からダウンロードイベントを受信できません。したがって、次のリスク指標はトリガーされません。

    • 匿名の機密共有ダウンロード

    • 共有リンクのダウンロードが多すぎる

    • 機密ファイルへの過剰なアクセス

    • 過剰なファイルのダウンロード

    [CAS-29207]

  • 新しくオンボーディングされたユーザーの場合、Citrix Gateway リスク指標に適用される手動およびポリシーベースのアクションは有効になりません。[CAS-29029]

  • 一部のユーザーは、[データソース] ページでサイトカードを表示できません。この問題は、キャッシュを再設定することで解決されます。[CAS-28781]

2020年1月09日

新機能

継続的なリスク評価

Citrix Workspace ユーザーが直面するいくつかの課題は、リモートアクセスは、データの漏洩、盗難、破壊行為、サービスの中断などのサイバー犯罪行為を通じて、機密データをセキュリティリスクにさらすことです。組織内の従業員もこの被害の一因になりそうです。

これらのリスクに対処するいくつかの方法は、多要素認証を実装し、短いサインインタイムアウトを強制することなどです。これらのリスクアセスメント手法は、より高いレベルのセキュリティを保証しますが、最初の検証後に完全なセキュリティを提供することはできません。

セキュリティの側面を強化し、ユーザーエクスペリエンスを向上させるために、Citrix Analytics は継続的なリスク評価のソリューションを導入しています。このソリューションは、ユーザープロファイルを継続的に監視し、危険なイベントが検出されたときにさまざまなアクションを実行するのに役立ちます。

詳細については、「 継続的なリスク評価」を参照してください。

継続的なリスク評価

ポリシー設定

Citrix Analytics は、ポリシー構成をより効率的に管理するのに役立ちます。次の機能を使用して、悪意のある攻撃からユーザーアカウントを保護できます。

  • デフォルトポリシー:Citrix Analytics は次のデフォルトポリシーをサポートしています。

    • 認証情報の不正利用の成功
    • データ流出の可能性
    • 疑わしいIPからの異常なアクセス
    • 通常の場所以外からの異常なアプリアクセス
    • 低リスクユーザー-新しい IP からの初回アクセス
    • デバイスからの初回アクセス

    デフォルトのポリシーは、要件に基づいて変更できます。

    既定のポリシー

  • 複数の条件:ポリシーには最大 4 つの条件を含めることができます。条件は、リスクスコアとリスク指標、またはその両方を組み合わせて設定できます。

    条件の追加と削除

  • デフォルトリスク指標とカスタムリスク指標:[ ポリシーの作成 ] ページの条件メニューは、デフォルトリスク指標とカスタムリスク指標に基づいて分離されるようになりました。ポリシーを作成するときに、デフォルトのリスク指標タブとカスタムリスク指標タブを切り替え、リスク指標の条件を設定できます。

    条件の追加と削除

  • エンドユーザー応答の要求:Citrix Analytics では、「 エンドユーザー応答を要求 」このアクションを使用して、検出された危険なアクティビティに関する電子メール通知をユーザーに送信できます。ユーザーがアクティビティについて応答したら、アカウントで実行する次のアクションを決定できます。ユーザーの応答時間を設定することもできます。応答が受信されない場合、Citrix Analytics はステータスとして応答なしと見なします

    エンドユーザーへの応答をリクエストする

  • 中断アクションの適用: ユーザーのログオフやユーザーのロックなどの中断を伴うアクションが適用されたときに、ユーザーに通知できます。アクティビティの詳細と適用されたアクションを含む通知がユーザーに送信されます。この操作により、ユーザーのアカウントへのサービスが一時的に中断され、さらなる誤用が防止されます。アカウントへのアクセスを続行するには、管理者に問い合わせる必要があります。

    破壊的アクションを適用する

  • 強制モードと監視モード:ポリシーに適用モードまたは監視モードを設定できます。

    ポリシーモード

ポリシーの拡張について詳しくは、「 ポリシーとアクション」を参照してください。

ユーザーのロックとユーザーアクションのロック解除

Citrix Analytics では、次のゲートウェイアクションが導入されています。

  • ユーザーのロック
  • ユーザーのロック解除

これらのアクションは、手動で、またはポリシーを構成するときに適用できます。

詳細については、「 アクションとは」を参照してください。

次に、次の操作を行います。

概要ダッシュボードにアクセスする

Citrix Analytics の[ ユーザー ]ダッシュボードに[ アクセスの概要 ]パネルが導入されました。このレポートには、組織内のリソースへのアクセスをユーザーが試行した合計回数が要約されます。

詳細については、「 アクセスの概要」を参照してください。

概要ダッシュボードにアクセスする

ポリシーとアクションダッシュボード

Citrix Analytics では、 ユーザーダッシュボードにポリシーとアクション ]パネルが導入されています。ユーザープロファイルに適用されている上位 5 つのポリシーとアクションが表示されます。選択した期間の上位ポリシーと上位アクションに基づいてデータをソートできます。

詳細については、「 ポリシーとアクション」を参照してください。

ポリシーとアクションダッシュボード

ポリシーのセルフサービス検索

セルフサービス検索を使用して、定義したポリシーを満たすユーザーイベントを表示します。また、アナリティクスがこれらの異常イベントに適用したアクションを表示することもできます。ファセットと検索ボックスを使用して、必要なイベントを検索します。

イベントを表示するには、検索ボックスで、リストから [ ポリシー ] を選択し、期間を選択して、[ 検索] をクリックします。

詳細については、 ポリシーのセルフサービス検索を参照してください

廃止された機能

リスクスコアの変更ポリシーベースの条件が削除されました

ポリシーを設定すると、 リスクスコアの変更ポリシーベースの条件を使用できなくなります 。Citrix Analytics はこの条件をサポートしていません。

詳細については、「 ポリシーとアクション」を参照してください。

複数のポリシーベースのアクションが削除されました

ポリシーを設定すると、複数のアクションを適用できなくなります。Citrix Analytics は、各ポリシーに対して1つのアクションのみをサポートします。

詳細については、「 ポリシーとアクション」を参照してください。

解決された問題

  • 委任された読み取り専用管理者が [ ユーザーアクセス] および [アプリケーションアクセス] ダッシュボードにアクセスしているときにエラーが発生します 。[CAS-16297]

2019年12月12日

新機能

Splunk バージョンのサポート

Citrix Analytics は、以下のバージョンの Splunk をサポートしています。

  • Splunk 8.0 64 ビット
  • Splunk 7.3 64 ビット

Splunk 統合のセキュリティ上の利点を最大限に活用するには、 ダウンロードページから Splunk アドオンアプリの最新バージョンにアップグレードしてください。

サポートされている Splunk バージョンの詳細については、「 サポートされているバージョン」を参照してください。

2019年12月04日

新機能

Citrix Gateway のカスタムリスクインジケータ

カスタムリスク指標を使用して、Citrix Gateway イベントのリスク指標をトリガーするための条件と頻度を定義できるようになりました。ユーザーイベントが条件を満たすと、Analytics はリスク指標をトリガーします。カスタムリスク指標の作成方法の詳細については、「 カスタムリスク指標」を参照してください。

ゲートウェイカスタムインジケータ

2019年11月22日

新機能

新しいデバイスからの初回アクセス — Citrix Virtual Apps and Desktopsのリスクインジケータ

Citrix Analytics は、新しいデバイスからのアクセスに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

新しいデバイスからの初回アクセスリスク指標は 、ユーザーが90日後にデバイスからサインインしたときにトリガーされます。このイベントは、Citrix Receiverがこの新しいデバイスまたは不慣れなデバイスからのサインインレコードを過去90日間保持していないためにトリガーされます。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

新しいデバイスからの初回アクセス

新しいIPからの初回アクセス-Citrix Gateway リスクインジケータ

Citrix Analytics は、新しいIPアドレスからのアクセスに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

新しい IP からの初回アクセスリスク指標は 、ユーザーが 90 日後に IP アドレスからサインインしたときにトリガーされます。このイベントは、Citrix Receiverに過去90日間に新しいIPアドレスまたは不慣れなIPアドレスからのサインインレコードがないためにトリガーされます。

詳しくは、「 Citrix Gateway リスク指標」を参照してください。

新しいIPからの初回アクセス

疑わしいIPからのログオン-Citrix Gateway リスクインジケータ

Citrix Analytics は、疑わしいIPサインインアクティビティに基づいてユーザーアクセスの脅威を検出し、 疑わしいIPからのログオンリスク指標をトリガーします

このリスクインジケータは、ユーザーが疑わしい IP アドレスからネットワークにアクセスしようとしたときにトリガーされます。Analytics では、次のいずれかの条件に基づいて、IP アドレスが疑わしいと見なされます。

  • 外部 IP 脅威インテリジェンスフィードにリストされている

  • 異常な場所から複数のユーザーサインインレコードがある

  • 過剰なログイン試行が失敗し、ブルートフォース攻撃を示す可能性があります。

詳しくは、「 Citrix Gateway リスク指標」を参照してください。

疑わしいIPからログオンする

Citrix Gateway イベントのセルフサービス検索

セルフサービス検索機能を使用して、Citrix Gateway データソースから受信したユーザーイベントに関する洞察を取得します。Citrix Analytics は、Citrix Gateway ユーザーの認証ステージ、承認タイプ、VPNセッションコード、VPNセッション状態などのイベントを受信します。ファセットと検索ボックスを使用して、必要なイベントを検索し、基礎となるデータを調べます。

イベントを表示するには、検索ボックスで、リストから [ ゲートウェイ ] を選択し、期間を選択して、[ 検索] をクリックします。

詳細については、「 Gateway のセルフサービス検索」を参照してください。

Citrix Secure Browserイベントのセルフサービス検索

セルフサービス検索機能を使用して、Citrix Secure Browser サービスから受信したブラウジングイベントに関する洞察を取得します。Citrix Analytics は、ユーザー接続ごとに、セッション接続、セッション起動、公開アプリケーション、削除されたアプリケーションなどのイベントを受信します。検索ボックスを使用して、必要なイベントを検索し、参照元データを調べます。

イベントを表示するには、検索ボックスで、リストから [ セキュリティで保護されたブラウザ ] を選択し、期間を選択して、[ 検索] をクリックします。

詳細については、 セキュリティで保護されたブラウザのセルフサービス検索を参照してください

ウォッチリストから削除アクション

ウォッチリストからユーザを削除するには、手動方式を適用するか、ポリシーベースの方式を適用します。詳細については、「 ウォッチリスト」を参照してください。

StoreFront 展開環境を構成する際のオンボーディングメッセージの改善

Citrix Analytics では、StoreFront 展開環境の構成に役立つ次のメッセージが表示されるようになりました。

  • 設定ファイルをダウンロードすると、ダウンロードの日時とユーザー名を示すメッセージが表示されます。このページを更新すると、[ ファイルのダウンロード ] ボタンがもう一度 [ファイルのダウンロード] に変わります。

    StoreFront ダウンロードファイル

  • StoreFront の構成が不完全な場合は、構成手順に従ってStoreFront 展開環境をAnalyticsに接続するように指示する警告メッセージが表示されます。

    StoreFront の構成が不完全な警告

StoreFront展開環境を構成する方法について詳しくは、「 StoreFrontを使用したCitrix Virtual Apps and Desktops のオンプレミスサイトのオンボード」を参照してください。

廃止された機能

リスクインジケータ-新しいデバイスからのアクセス削除

Citrix Analytics が[ 新しいデバイスからのアクセス ]リスク指標をトリガーしなくなりました。ただし、ユーザーダッシュボード、ユーザータイムライン、およびポリシーダッシュボードでは、このリスク指標に関連する履歴データを表示できます。

新しいデバイスからのアクセスに基づいて以前に作成したポリシーの場合、ポリシーを変更するか、 新しいリスク指標の新しいデバイスからの初回アクセスでポリシーを作成する必要があります

解決された問題

  • 認証のセルフサービス検索で、イベントが表示されない。[CAS-24959]

2019年11月08日

解決された問題

  • Citrix Content Collaboration のリスク指標の場合、ユーザーはリスクタイムラインにアクションを適用できません。[CAS-24844]

  • バージョン1911より前のChrome向けCitrix Workspace アプリは、イベントの詳細をCitrix Analytics 送信できません。[CAS-24938]

2019年10月21日

新機能

分析エージェントの名前を変更しました

エージェント名は、ユーザーインターフェイスで Analytics ポリシーエージェントとして表示され 、そのロールを示します。オンプレミスのCitrix Virtual Apps and Desktopsデータソースをオンボーディングすると、Citrix Analytics は、サイトのポリシーとアクションを構成するためだけにポリシーエージェントが必要であることを明確に通知します。このエージェントは、データソースからデータを送信する役割はありません。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。

ポリシーエージェント

カスタムレポートの時間ディメンションのサポート

X 軸の [時間] ディメンションを選択して、 時間に基づいてイベントをグループ化できるようになりました 。レポートには、選択した期間の時間間隔に基づいて、受信したイベントの合計が表示されます。レポートの作成方法の詳細については、「 カスタムレポート」を参照してください。

カスタムレポート時間ディメンション

監査ログの機能強化

[ 監査ログ ] ページのユーザーエクスペリエンスが強化されました。

  • 監査ログページが最後に更新された日時の詳細を表示し 、ページを更新して最新の監査ログを表示できます。

  • 監査ログに適用されたすべてのフィルタをクリアできます。

監査データの詳細については、 監査ログを参照してください

監査ログを更新する

解決された問題

  • Citrix Analytics は、Microsoft Graph セキュリティが正常にオンボーディングされても、 匿名IPアドレスのリスク指標を生成できません 。[CAS-21329]

  • バージョン1910より前のHTML5向けCitrix Workspace アプリは、イベントの詳細をCitrix Analytics 送信できません。[CAS-24938]

2019年9月23日

解決された問題

  • データソースのサイトカードで、[ 最新のイベント ] フィールドに誤った日付と時刻の情報が表示されます。[CAS-24087]

2019年8月30日

新機能

ダッシュボード全体のデフォルト期間の変更

次のダッシュボードのデフォルトの期間が [ 過去 1 時間] から [過去 1か月] に変更されました。

  • ユーザー

  • リスクタイムライン

  • ユーザーアクセス

  • アプリアクセス

  • リンクを共有する

  • アラート履歴

ダッシュボードには、デフォルトで、過去 1 か月間のイベントが表示されます。これらのダッシュボードを使用すると、より魅力的なエクスペリエンスが得られます。たとえば、 App Access ダッシュボードを開くと、ダッシュボードにはデフォルトで、過去 1 か月間のアプリケーションアクセスイベントが表示されます。

デフォルトの期間選択

解決された問題

  • Content Collaboration のリスク指標の場合、[ ユーザーポリシーベースの無効化 ] アクションを正常に適用できません。[CAS-17304]

  • Citrix Analytics は、Citrix Gateway 13.0からのイベントを処理できません。この問題は、Citrix Gateway 13.0がCitrix Analytics に送信されるログオンイベントでユーザー名を提供できないために発生します。[CAS-21339]

2019年8月20日

新機能

セルフサービス検索の機能強化

  • セルフサービスページのユーザーエクスペリエンスが強化されました。ユーザーリスクタイムラインとセルフサービス検索ページをシームレスに切り替えることができるようになりました。

  • イベントを時間順に並べ替えることができるようになりました。デフォルトでは、最新のイベントがイベントテーブルの最初に表示されます。[ 時間 (TIME)] 列の並べ替えアイコンをクリックして、イベントを最新時刻または最早時刻に基づいて並べ替えます。

セルフサービス検索の使用方法の詳細については、「 セルフサービス検索」を参照してください。

カスタムレポートの機能強化

  • [アクセス制御]、[Content Collaboration]、[アプリとデスクトップ] の各データソースに新しいディメンションが追加されました。これらのディメンションを選択してレポートを作成できます。次のディメンションがデータソースに追加されます。

    • アクセス制御:ユーザーエージェント、ユーザー名

    • Content Collaboration: ユーザーの電子メール、ユーザー名、作成者、アカウント ID、OAuth クライアント ID、イベント ID、フォルダー ID、フォルダー名、リソース ID、フォーム ID、クライアント IP

    • アプリとデスクトップ:ユーザー名、IP アドレス、デバイス ID、Jail Broken、セッション起動タイプ、セッションサーバー名、セッションユーザー名、ダウンロードファイル名、ダウンロードファイルパス、プリンター名の印刷、印刷ジョブ詳細ファイル名、SaaS アプリ起動 URL、クリップボード操作、クリップボード詳細結果

  • カスタムレポートのユーザーインターフェイスは、ページネーションのサポートと、フィルターの [ すべてクリア ] オプションによって強化されました。

これらのディメンションを使用してカスタムレポートを作成する方法について詳しくは、「 カスタムレポート」を参照してください。

リスク指標ダッシュボード

リスク指標ダッシュボードは 、[ ユーザー ] ページに導入されています。これは、ユーザーのデフォルトリスク指標とカスタムリスク指標の上位 5 つをまとめたものです。[詳細を表示] リンクをクリックすると、[ リスク指標の概要 ] ページにリダイレクトされます。このページには、選択した期間に生成されたリスク指標に関する詳細情報が表示されます。

詳細については、「 ユーザーダッシュボード」を参照してください。

リスク指標ダッシュボード

リスクの高いユーザーのダッシュボードの機能強化

Citrix Analytics では、[ **リスクユーザー** ]ダッシュボードの[ リスク指標]タブと[リスク指標の変更 ]タブが導入されています。これらのタブに基づいて、リスクの高い上位 5 人のユーザーを表示できます。ダッシュボードには、[ リスク指標 ] 列も表示されます。ユーザーのリスク指標の数を示します。

危険なユーザー ] ページには、[ 発生回数 ] 列と [ 発生回数の変更 ] 列が表示されます。これらの列には、カスタムおよびデフォルトのリスク指標の発生総数と発生数の変化が要約されます。

詳細については、「 ユーザーダッシュボード」を参照してください。

リスクの高いユーザー

リンクのリスク指標を共有する-過剰なダウンロード

Citrix Analytics は、共有リンクでの過剰なダウンロードに基づいてアクセスの脅威を検出し、 過剰ダウンロードリスク指標をトリガーします 。以前の動作に基づいて、過剰なダウンロードを含む共有リンクを特定することで、潜在的な攻撃の共有リンクを監視できます。このリスク指標は、過剰なファイルのダウンロードアクティビティを識別するのに役立ちます。

詳細については、「 過剰なダウンロード」を参照してください。

認証データのセルフサービス検索

セルフサービス検索を使用して、認証イベントに関するインサイトを取得します。Citrix Analytics は、ユーザーログイン、ユーザーログオフ、クライアント更新などの認証イベントを、Citrix Cloud のIDおよびアクセス管理サービスから受信します。この検索では、認証イベントに関する詳細なレポートが提供され、認証の問題の特定とトラブルシューティングに役立ちます。検索クエリを定義して、定義した条件に一致するイベントを取得することもできます。

イベントを表示するには、リストから [ 認証 ] を選択し、期間を選択して、[ 検索] をクリックします。

詳細については、「 認証のセルフサービス検索」を参照してください。

2019年7月11日

新機能

カスタムリスク指標

Citrix Analytics が生成するデフォルトのリスク指標は、機械学習アルゴリズムに基づいています。Citrix Analytics でカスタムリスク指標を作成できるようになりました。ユーザーイベントに基づいて、条件を定義し、カスタムリスク指標を作成できます。

定義された条件が満たされると、Citrix Analytics はデフォルトのリスク指標と同様のカスタムリスク指標を生成し、ユーザーのリスクタイムラインに表示します。カスタムリスク指標は、ユーザーのリスクタイムラインにラベルで示されます。

詳細については、「 カスタムリスク指標」を参照してください。

リスクタイムラインの特権ステータス

ユーザーリスクタイムラインには、ユーザーの管理者またはエグゼクティブ権限ステータスに変更があるたびに、次のイベントが表示されます。

  • エグゼクティブグループに追加されました

  • エグゼクティブグループから削除されました

  • 特権が管理者に昇格されました

  • 管理者権限が削除されました

ユーザーに対してリスク指標がトリガーされると、その指標を指定された特権ステータス変更イベントに関連付けることができます。必要に応じて、ユーザープロファイルに適切なアクションを適用できます。

詳細については、「 ユーザーリスクのタイムライン」を参照してください。

共有リンクアクションの有効期限切れ

Citrix Analytics では、共有リンクのリスク指標にアクションを適用できます。現在、サポートされているアクションは [ 共有リンクを期限切れ]です。

詳しくは、「 Citrix 共有リンクのリスク指標」を参照してください。

セルフサービス検索の機能強化

  • 検索クエリでのワイルドカード文字*のサポート:検索クエリでアスタリスク(*)文字を使用して、任意の文字を 0 回以上一致させます。たとえば、検索クエリ UserName =「John*」では、John で始まるすべてのユーザー名のイベントが表示されます。

  • ファセットに「すべてクリア」(Clear All) オプションが追加されました。選択したファセットを一度にすべて削除するには、「すべて クリア」(Clear All) をクリックします。

  • イベントリストに非表示の列データを表示する:イベントテーブルから列を削除すると、対応するデータをユーザーイベントリストに表示できます。ユーザーのイベント行を展開し、データを表示します。

詳細については、「 セルフサービス検索」を参照してください。

サイトカードのデータエラーステータス

Citrix Analytics がデータソースから過去1時間イベントを受信しない場合 、サイトカードには「データを受信していません」ラベルが赤で表示されます。また、受信したイベントの数も表示され、対応するセルフサービス検索ページにリンクされています。この機能は、セルフサービス検索ページで対応するイベントを表示し、データ転送の問題がないかどうかをチェックするのに役立ちます。

現在、セルフサービス検索は、Access、Content Collaboration、および Apps and Desktop データソースでのみ使用できます。

詳しくは、「 Citrix データソースでの分析の有効化」を参照してください。

解決された問題

  • アクセス制御データソースの場合、サイトカード上のイベントの数がセルフサービスの検索結果と一致しません。[CAS-18286]

2019年6月19日

解決された問題

  • [ 監査ログ ] ページには、Active Directory データソースが検出されるたびに、データ転送のオンまたはオフの状態が表示されます。[CAS-17575]

  • [ ユーザー ] ダッシュボードの [期間] メニューが正確に読み込まれません。タイムアウトエラーメッセージが表示されます。[CAS-19467]

  • ユーザーが Splunk からテナントに接続しているときに、Citrix Analytics でエラーメッセージが表示されます。新しいデータソースのオンボーディングが失敗することがあります。[CAS-19429]

2019年6月17日

新機能

StoreFrontの構成

組織でオンプレミスのStoreFront を使用している場合、Citrix Analytics に接続するようにStoreFront tを構成できるようになりました。構成は、Citrix Analytics からインポートされた構成ファイルを使用して実行されます。構成が成功すると、Citrix Workspace アプリはユーザーイベントをCitrix Analytics に送信して、ユーザーの行動に関する実用的な洞察を生成します。インサイトは、異常なユーザー行動を検出し、組織内のセキュリティの脅威をプロアクティブに処理するのに役立ちます。詳しくは、「 StoreFrontを使用したCitrix Virtual Apps and Desktopsのオンプレミスサイトのオンボード」を参照してください。

2019年5月30日

新機能

過剰なログオン失敗

Citrix Analytics は、過剰なログオンアクティビティに基づいてアクセスの脅威を検出し、過剰なログオン失敗のリスク指標をトリガーします。このリスク指標は、ユーザーがContent Collaboration にアクセスしようとして複数のログオンに失敗したときにトリガーされます。以前の動作に基づいて、過剰なログオンに失敗したユーザーを特定することで、管理者はユーザーのアカウントを監視してブルートフォース攻撃を受けることができます。

過剰なログオン失敗は過剰な認証失敗の名前に変更されました

解決された問題

  • Citrix Workspace アプリによって送信される一部のユーザーイベントでは、データソースがCitrix Virtual Apps and Desktopsではなく、Endpoint Managementとして誤って識別されます。

    [CAS-17323]

  • [ ユーザー ] ダッシュボードは、 過去 1 か月間の読み込みに時間がかかります 。この問題は、ユーザー数が多い場合に発生します。場合によっては、601 エラーに遭遇することさえあります。

    [CAS-16300]

  • Citrix Cloud上のサービスにサブスクライブしているユーザーもいますが、Citrix Content Collaborationはデータソースとして検出されません。

    [CAS-16299]

2019年5月09日

新機能

カスタムレポートの作成

運用要件に基づいてカスタムレポートを作成できるようになりました。Citrix Analytics には、選択したデータソースに応じたディメンションと指標のリストが表示されます。必要なパラメーターと、棒グラフ、イベントチャート、折れ線グラフ、テーブルなどの可視化タイプを選択して、レポートを作成します。レポートを作成すると、データをグラフィカルに整理して分析できます。

カスタムレポートを作成するには、[ セキュリティ ] タブで、[レポート] > [ **レポートの作成] の順にクリックします。以前に作成したレポートを表示するには、[ **セキュリティ ] タブの [ レポート] をクリックします。詳細については、「 カスタムレポート」を参照してください。

特権ユーザーの監視

Citrix Analytics を使用すると、組織内の特権ユーザーの動作の異常を詳細に監視できます。特権ユーザーはセキュリティ上の脅威に対して非常に脆弱であり、日常的なアクティビティと悪意のあるアクティビティを区別することが困難になります。したがって、特権ユーザーの悪意のある活動は、長い間検出されないままです。この機能を使用すると、このようなアクティビティをプロアクティブに監視し、適切なユーザーアカウントに対して適切なアクションを実行できます。特権ユーザーは、[ ユーザー ] ダッシュボードにアイコンで表示されます。

Citrix Analytics では、次の種類の特権ユーザーの監視がサポートされています。

  • 管理者 -それぞれのCitrix サービスによって管理者権限が割り当てられているユーザー。現在、Citrix Analytics は、Content Collaboration サービスで管理者権限を持つユーザーの特権ユーザー監視をサポートしています。

  • エグゼクティブ -Citrix Analytics では、ADグループをエグゼクティブグループとしてマークできます。AD グループを Executive グループとしてマークすると、そのグループ内のすべてのユーザーが特権ユーザーになります。AD グループ内のユーザーの動作異常をさらにサポートする必要がない場合は、そのグループを Executive グループとして削除できます。

詳細については、「 特権ユーザー」を参照してください。

週次Eメール要約

Citrix Analytics は、組織のIT環境におけるセキュリティリスクのエクスポージャーを要約したメールを毎週管理者に送信します。メール通知は毎週火曜日に管理者に送信され、前週に発生したセキュリティイベントが強調表示されます。このメールにより、Citrix Analytics にサインインすることなく、セキュリティリスクのエクスポージャーについて管理者に通知されます。詳細については、「 週次メールの概要」を参照してください。

2019年4月26日

新機能

委任管理者

Citrix Analytics は、委任された管理者の役割をサポートするようになりました。この機能を使用すると、他の管理者をCitrix Cloud アカウントに招待して、組織のCitrix Analytics を管理できます。フルアクセス権限を持つCitrix Analytics 管理者の場合は、他の管理者をCitrix Cloud アカウントに追加できます。これらの追加の管理者は、委任管理者と呼ばれます。現在、委任された管理者に読み取り専用アクセスを割り当てることができます。詳細については、「 委任された管理者」を参照してください。

解決された問題

データストリーミングを使用するデータソースのリスク指標は、アラートを生成しないものはほとんどありません。次のリスク指標のいずれかがトリガーされた場合、アラート通知は取得されず、ポリシーベースのアクションは自動的に適用されません。

  • Citrix Endpoint Managementリスク指標 -管理対象外のデバイス、ジェイルブレイクまたはRoot化されたデバイス、およびブラックリストに登録されたアプリを搭載したデバイス。

  • Citrix Virtual Apps and Desktopsのリスクインジケータ -サポートされていないオペレーティングシステム(OS)を搭載したデバイスからのアクセス。

  • Citrix Content Collaboration のリスクインジケータ -機密ファイルへの過剰なアクセス。

[CAS-14590]

2019年2月19日

新機能

Splunk 統合

Citrix Analytics はSplunk と統合され、セキュリティインシデントの監視とトラブルシューティングのエクスペリエンスを強化します。この統合により、リスク指標、リスクスコア、ユーザープロファイルなど、Citrix Analytics for Securityのリスク分析機能とインテリジェンスにより、既存のデータソースが強化されます。Citrix Analytics はリスク分析情報をチャンネルにエクスポートします。Splunk はこのチャンネルから同じものを引き出します。

Splunk の統合には、Citrix Analytics での構成、 Splunk アプリ向けCitrix Analytics アドオンのインストール 、およびアプリケーションの構成が含まれます。少なくとも 1 つのデータソースのデータ処理をオンにしてください。これは、Citrix Analytics が Splunk 統合プロセスを開始するのに役立ちます。

詳細については、「 Splunk 統合」を参照してください。

動的なセッションの録画

Citrix Analytics では、ユーザーの現在のVirtual Apps and Desktops セッションでセッション記録を動的にトリガーする機能が導入されます。リスク分析に必要な証拠を把握し、セッションの切断やユーザーのブロックなど、適切なインシデント対応アクションを実行するのに役立ちます。

詳細については、「 ポリシーとアクション」を参照してください。

リンクダッシュボードとリスク指標の共有

Citrix Analytics は、Citrix Content Collaboration から収集されたデータに基づいて、共有リンクのリスク可視性を導入します。これは、共有リンクがトリガーするリスク指標を通じて、共有リンクのリスクエクスポージャーを理解するのに役立ちます。

詳細については、「 共有リンク」ダッシュボードを参照してください

リンクの共有ダッシュボード

現在、匿名の機密共有ダウンロードリスク指標は、共有リンクに対してトリガーされます。Content Collaboration によってこの危険な動作が検出されると、Citrix Analytics がイベントを受け取ります。[ アラート ] パネルに通知され、匿名の機密共有ダウンロードリスク指標が共有リンクのリスクタイムラインに追加されます。

詳しくは、「 共有リンクのリスクタイムライン 」および「 Citrix Share Linkリスク指標」を参照してください。

リスクタイムライン

Microsoft Active Directory 統合

Microsoft Active Directory とCitrix Analytics 統合できるようになりました。この統合により、役職、組織、オフィスの場所、電子メール、連絡先の詳細などの追加情報を使用して、リスクの高いユーザーのコンテキストが強化されます。Citrix Analytics のユーザープロファイルページで、ユーザーの可視性を高めることができます。

詳細については、「 分析と Microsoft Active Directory の統合」を参照してください。

アクティブディレクトリユーザー

2019年1月04日

新機能

既存のリスク指標の SOURCE 列の追加

SOURCE 列は、次のリスク指標の [ EVENT DETAILS ] セクションに導入されました。

  • 過剰なファイルのアップロード

  • 過剰なファイルのダウンロード

  • 過剰なファイル共有

  • ファイルまたはフォルダの過剰な削除

詳しくは、「 Citrix Content Collaboration のリスク指標」を参照してください。

高度なユーザープロファイル

ユーザプロファイルの [ユーザ情報(User Info )] ビューが拡張されました。[ アプリケーション ]、[ デバイス]、[ データ使用量]セクションの右上隅に[ トレンドビュー ]リンクが追加されました。[マップビュー] リンクが [場所] セクションの右上隅に導入されました。これらのリンクは、特定の期間におけるユーザーの過去の行動に関するグラフィック表現を提供します。ユーザーのリスクタイムラインまたは [データソース] ページから [ユーザー情報] に移動できます。

注:

現在、 認証データとドメインデータは 、ユーザー情報プロファイルでは使用できません。

詳細については、「 ユーザーリスクのタイムラインとプロファイル」を参照してください。

高度なユーザープロファイル

Microsoft Graph セキュリティリスク指標

オンボーディングされたMicrosoft Graphセキュリティは、次のいずれかのセキュリティプロバイダーからリスク指標の詳細を受信し、Citrix Analytics に転送できます。

  • Azure AD Identity Protection

  • エンドポイント向け Microsoft Defender

詳細については、「 Microsoft Graph セキュリティリスク指標」を参照してください。

セルフサービス検索ページに入る方法

次のオプションを使用して、セルフサービス検索ページにアクセスできるようになりました。

  • トップバー:トップバーの [ 検索 ] をクリックして、検索ページに直接アクセスします。

    トップバー検索

  • ユーザープロファイルページのリスクタイムライン:[ イベント検索 ] をクリックして、検索ページにアクセスし、特定のユーザーのリスク指標とデータソースに対応するイベントを表示します。詳細については、「 セルフサービス検索」を参照してください。

    リスクタイムライン

Content Collaboration のセルフサービス検索

セルフサービス検索を使用して、Content Collaboration データソースに関連付けられたイベントに関するインサイトを取得します。イベントを表示するには、リストから [ Content Collaboration ] を選択し、期間を選択して、[ 検索] をクリックします。 詳細については、「 Content Collaborationのセルフサービス検索」を参照してください。

アプリとデスクトップのセルフサービス検索

セルフサービス検索を使用して、Apps and Desktops データソースに関連付けられているイベントに関するインサイトを取得します。イベントを表示するには、リストから [ アプリとデスクトップ ] を選択し、期間を選択して、[ 検索] をクリックします。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

セルフサービス検索イベントを CSV ファイルにエクスポートする

セルフサービス検索イベントを CSV ファイルにエクスポートし、将来使用するためにファイルをダウンロードできるようになりました。詳細については、「 セルフサービス検索」を参照してください。

Citrix Virtual Apps and Desktops のオンボーディングの向上

Citrix Virtual Apps and Desktopデータソースのオンボーディングプロセスが改善され、ユーザーエクスペリエンスが向上しました。サイトカードと搭乗手順が変更されました。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。

2018年11月29日

新機能

Microsoftセキュリティグラフデータソース

Microsoft Graph セキュリティは 、複数のセキュリティプロバイダのデータを集約する外部データソースです。また、ユーザインベントリデータへのアクセスも提供します。

Citrix Analytics は現在、 このデータソースに関連付けられているAzure AD アイデンティティ保護およびエンドポイント向けセキュリティプロバイダー向けMicrosoft Defender をサポートしています。

このデータソースをオンボードするには、Microsoft ID プラットフォームからアクセス許可を取得する必要があります。詳細については、「 Microsoft Graph セキュリティ」を参照してください。

MSG オンボーディング

データソースのサイトカードでイベントの詳細と検出されたユーザーの表示

データソースのサイトカードには、イベントの詳細とユーザー数が表示されます。たとえば、サイトカードでアクセス制御のイベントの詳細とユーザーを表示できます。詳細については、「 データソースでの Analytics の有効化」を参照してください。

アクセス制御イメージ

2018年11月16日

新機能

アクセスデータのセルフサービス検索

セルフサービス検索を使用すると、企業内のユーザーのアクセス詳細を把握できます。Citrix Analytics は、Citrix アクセス制御サービスからユーザーのアクセス詳細を収集します。ファセットと検索クエリを使用して、検索結果を絞り込みます。

セルフサービス検索ページを使用するには、[ セキュリティ ]タブの[ イベント検索]をクリックします。

詳細については、「 Access のセルフサービス検索」を参照してください。

画像検索

リスク指標のフィードバック

Citrix Analytics のリスク指標フィードバック機能を使用すると、リスク指標に関するフィードバックを提供できます。フィードバックは、報告されたセキュリティインシデントが正確であるかどうかを確認するのに役立ちます。

現在、この機能は Content Collaboration データソースによってトリガーされる異常なログオンアクセスのリスク指標でサポートされています 。トリガーされたこのリスク指標が正しくない場合は、偽陽性として報告し、フィードバックを提供できます。以前に送信したフィードバックを編集することもできます。Citrix Analytics はフィードバックをキャプチャし、予測された情報を検証して、異常な動作検出を最適化します。

誤検知画像

解決された問題

  • Internet Explorer 11.0を使用してCitrix Analytics にアクセスしている場合、ポリシーを編集および保存することはできません。
新機能

この記事の概要