Citrix の目標は、Citrix Analytics のお客様が利用可能になったときに、新機能と製品アップデートを提供することです。新しいリリースはより多くの価値を提供するため、アップデートを遅らせる理由はありません。

お客様にとって、このプロセスは透過的です。最初のアップデートは Citrix の内部サイトにのみ適用され、その後、段階的に顧客環境に適用されます。アップデートを段階的に提供することで、製品の品質を確保し、可用性を最大化できます。

2024年4月15日

新しいエグゼクティブサマリーレポート

複数のレポートを1つのエグゼクティブレポートに統合し、必要な期間でスケジュールできるようになりました。この新機能により、必要なグラフィック情報のみを対象者に提供できます。詳細については、「エグゼクティブサマリーレポート」を参照してください。

2024年1月29日

Workspace アプリステータスフィールドの更新

• セルフサービス検索: 新しく導入された Workspace アプリステータス フィールドを Citrix Apps and Desktops データソースに利用することで、Workspace アプリバージョンのサポートステータスを検索するクエリを実行できるようになりました。
• ユーザー: Workspace アプリステータス 列は削除されました。

詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。

2024年1月25日

CAS UI の不整合の合理化

Apps and Desktops データソースの セルフサービス検索 機能で、以下の問題が解決されました。

• 以前はセッション内で順不同に表示されていたイベントが、正しく表示されるようになりました。
• デフォルトの列が更新されました。

2024年1月24日

SIEM 環境でのユーザープロファイルイベントの強化

SIEM 環境にエクスポートされるユーザープロファイルイベントには、以下が含まれるようになりました。

• IP アドレスのインサイト
• Citrix Virtual Apps and Desktops™ および Citrix DaaS (旧 Citrix Virtual Apps and Desktops サービス) の場所のインサイト

これらの新しい機能強化により、組織のデータにアクセスするために使用されたクライアントの IP アドレスを特定し、Citrix Virtual Apps™ and Desktops および Citrix DaaS の両方からユーザーの場所情報を収集できます。

詳細については、「SIEM のリスクインサイトデータ」を参照してください。

2023年12月1日

週次メールおよび SIEM アラートの管理者メール設定ページ

新しい 管理者メール設定 機能により、システムアラートのカスタム配布リスト受信者を構成できます。この機能強化により、管理者は自分に関連するシステムアラートのみを受信できます。

詳細については、「管理者メール設定」を参照してください。

ユーザーダッシュボード - 新しいアクティブユーザー数時間フィルターと概要セクションの更新

ユーザー ダッシュボードの新しい時間フィルターを使用すると、Citrix Analytics を有効にしているデータソースを考慮して、特定の期間における組織のアクティブユーザーの総数を表示および変更できます。

ユーザー ダッシュボードの強化された 概要 セクションには、組織の総ユーザー数、および現在ログオンしているアクティブユーザーと非アクティブユーザーの数が表示されます。

詳細については、「ユーザーダッシュボード」を参照してください。

強化されたカスタムレポート

• Citrix Analytics for Security で利用可能なイベントとインサイトを使用して、カスタムレポートを作成およびスケジュールできるようになりました。カスタムレポートは、特定の関心のある情報を抽出し、データをグラフィカルに整理するのに役立ちます。
• セルフサービス検索クエリベースのレポート、テンプレート、より優れた視覚化、すべてのデータソースとメトリックのカバー、レポートのスケジュール設定、PDF のエクスポートなど、強化されたカスタムレポートプラットフォーム機能を使用できるようになりました。

詳細については、「カスタムレポート」を参照してください。

2023年11月30日

Citrix Analytics からのすべての ShareFile 機能の削除

以下の ShareFile 検出機能が削除されました。

• 共有リンク
• 関連するリスクインジケーター
• 発生を伴うポリシー
• Content Collaboration データエクスポート構成
• Content Collaboration レポート
• 検索での Content Collaboration データソース
• Content Collaboration 保存済み検索
• Content Collaboration データソース

これらの機能の削除により、リスクスコアとユーザータイムラインに一時的な不整合が生じる可能性があります。その他のすべての Citrix Analytics 機能は変更されません。

ShareFile.com から ShareFile がセキュリティコントロールへのアクセスを直接簡素化する方法 を参照してください。

2023年9月22日

カスタムインジケーターの Citrix Secure Browser データソース

Citrix Secure Browser データソースのカスタムリスクインジケーターを作成して、Secure Browser でのユーザーのアクティビティを追跡できるようになりました。詳細については、「カスタムインジケーター」を参照してください。

SIEM データエクスポートによる週次メールの強化

週次メールは、SIEM データエクスポートを有効にすることで、組織のセキュリティ体制に関するより深いインサイトを提供するように強化されました。より多くのデータソースをオンボーディングしてアクティブ化し、ユーザーに関する幅広いイベントを発見できるようになりました。週次メールには、以下の新しい追加事項が含まれています。

• データサマリーセクションには、SIEM 環境でのデータ消費のステータスが表示されます。
• データエクスポート消費ステータスに基づいたデータエクスポートの推奨事項。

詳細については、「週次メール通知」を参照してください。

カスタム管理者のメールでの通知設定の利用

Citrix Analytics for Security は、Citrix Cloud でカスタム管理者が設定した通知設定を尊重するようになりました。この機能強化により、カスタム管理者は通知設定を管理する上でより柔軟性が向上します。この設定は、週次メール、管理者への通知アクションメール、データエクスポートのアラートなどの通知メールを送信する際にも利用されます。

詳細については、「Security Analytics の管理者ロールの管理」を参照してください。

2023年7月4日

セルフサービス検索およびカスタムインジケーターでの OR 演算子のサポート

OR 演算子が セルフサービス検索 および カスタムリスクインジケーター 機能で利用可能になりました。セルフサービス検索やカスタムインジケータークエリなどの検索ビューで OR 演算子を使用できます。

詳細については、「検索クエリでサポートされる演算子」を参照してください。

2023年6月15日

VDA クリップボードテレメトリの有効化

Citrix Apps and Desktops でクリップボード操作を開始すると、VDA.Clipboard というイベントがトリガーされます。これらのクリップボードログは、VDA 名、クリップボードサイズ、クリップボード形式タイプ、クライアント IP、クリップボード操作、クリップボード操作方向、およびクリップボード操作が許可されたかどうかなどの重要な情報を提供します。VDA クリップボードイベント属性は、セルフサービス検索およびカスタムリスクインジケーターワークフローでも利用できます。

• セルフサービス検索: VDA.Clipboard イベントとそのすべての属性の詳細をレポート生成、クエリ保存、レビューできます。
• カスタムリスクインジケーター: VDA クリップボードイベントの属性は、カスタムインジケーターワークフローで利用できます。これらのイベントキー/値ペアを使用して、カスタムインジケータートリガーを構成し、アクションを含む自動ポリシーを設定できます。

セキュリティ監視のためのクリップボードメタデータ収集 ポリシーを使用して、クリップボードテレメトリとクリップボードログの Citrix Analytics for Security への送信を有効にできます。デフォルトでは、このポリシーは有効になっています。無効にするには、ポリシーページに移動して無効にし、VDA からのデータ収集を停止します。

詳細については、「Citrix DaaS のクリップボードテレメトリの有効化」を参照してください。

2023年6月14日

Citrix Analytics for Security でのセッションレコーディングアプリライフサイクルおよびレジストリイベントの利用

セッションレコーディング からの以下の アプリライフサイクル および レジストリ イベントが、Citrix Analytics for Security で利用可能になりました。

• Citrix.EventMonitor.RegistryChange
• Citrix.EventMonitor.SessionLaunch
• Citrix.EventMonitor.SessionEnd
• Citrix.EventMonitor.Clipboard
• Citrix.EventMonitor.FileTransfer

これらのイベントを表示し、カスタムインジケーターを作成し、これらのイベントを SIEM 環境にエクスポートできます。

詳細については、「イベントタイプとサポートされるフィールド」を参照してください。

2023年6月8日

修正された問題

• Citrix Analytics for Security に送信される一部のセッションログオンイベントにはユーザー名がありません。これにより、セルフサービス検索およびアクセス保証ユーザーログオンページの一部のイベントでユーザー名列が NA と表示されます。場合によっては、過去1時間 または 過去1日 のような短い時間範囲のデータを表示すると、アクセス保証 IP 登録組織チャートで総ログオン数がゼロではないにもかかわらず、一意のユーザー数がゼロになることもあります。この問題は修正されました。[CAS-70954]

• Apps and Desktops のセルフサービス検索で、Session.Logon および Session.end ユーザーイベントの場合、検索クエリの App-Name ディメンションには、起動されたアプリケーションまたはデスクトップの名前ではなく、デリバリーグループ名が入力され、管理者にとって誤解を招く可能性があります。App-Name ディメンションは、App.Start/App.End イベントのクエリに役立ち、起動されているアプリケーションを指します。詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。この問題は修正されました。[CAS-67968]

• 組織が アジア太平洋南部 のホームリージョンで Citrix Cloud にオンボーディングされている場合、Content Collaboration イベントは Citrix Analytics テナントに表示されません。この問題は修正されました。[CAS-62317]

• Citrix Workspace アプリおよび Citrix Receiver クライアントのいくつかのバージョンは、特定のイベントを Citrix Analytics に送信しません。そのため、Citrix Analytics はこれらのイベントに関するインサイトを提供したり、リスクインジケーターを生成したりできません。この問題は修正されました。詳細については、「チェック6: 仮想アプリおよびデスクトップイベントは Analytics に送信されますか?」を参照してください。[CAS-16151]

2023年5月29日

Splunk Cloud Platform で Citrix Analytics Add-On for Splunk が利用可能に

Citrix Analytics の Splunk 統合は、Citrix Analytics Add-On for Splunk を利用して分析環境に接続し、ビジネスに不可欠なデータを Splunk 環境に取り込みます。

以前は、アドオンは Splunk Enterprise レイヤーへのインストールのみが Splunk によって検証されており、お客様はオンプレミスの Splunk 環境内でアドオンを構成する責任がありました。最新バージョン 2.1.2 では、アドオンに Splunk Cloud との Splunk プラットフォーム互換性が追加されました。IDM を使用する Classic インスタンスまたは Victoria インスタンスを使用するお客様は、このプラットフォーム互換性の強化を利用できます。現在、お客様は Splunk 統合を容易にするために、アドオンの展開を検討する際に Splunk Enterprise または Splunk Cloud のいずれかを選択する柔軟性があります。

詳細については、「Splunk 統合」を参照してください。

SIEM でのセッションレコーディングイベント

セッションレコーディング イベントは、リスクインサイト イベントおよび Apps and Desktops の データソース イベントの形式で SIEM にエクスポートできるようになりました。新しく追加されたイベントタイプは、データエクスポート ページのデータエクスポートステージで見つけることができます。

詳細については、「ポリシーとアクション」を参照してください。

2023年5月24日

エンドユーザーへの通知グローバルアクション

Citrix Analytics の ポリシーとアクション 機能は、組み込みまたはカスタムのリスクインジケータートリガーと組み合わせることができる エンドユーザーへの通知 グローバルアクションをサポートするようになりました。管理者は、エンドユーザーにのみメール通知を生成する エンドユーザーへの通知 アクションを含むポリシーを作成できます。このアクションは、承認されていないアプリケーションの使用についてユーザーに通知したり、破壊的なアクションを実行せずに Citrix アカウントでの疑わしい動作について警告したりするなど、さまざまなコンプライアンスユースケースに使用できます。管理者は、特定のシナリオに応じてメールメッセージの本文と件名をカスタマイズできます。

詳細については、「エンドユーザーへの通知」を参照してください。

2023年5月4日

テストイベントの生成

テストイベント生成 機能は、Citrix Analytics - SIEM パイプラインを迅速にテストするお客様を支援するために作成されました。以前は、管理者がこの統合をテストする必要がある場合、データソースのオンボーディングとユーザーアクティビティを待って、Citrix Analytics によってイベントが生成され、SIEM 環境によって受信されているかどうかを確認する必要がありました。これはもはや必要ありません。テストデータを送信 ボタンをクリックするだけで、ダミーイベントを SIEM 環境に送信し、提供されたクエリを使用して、Citrix Analytics SIEM 統合が期待どおりに設定されているかどうかを確認できます。これは、中断されたデータフローをデバッグしようとしている管理者にとっても機能し、障害点を特定するのに役立ちます。

詳細については、「テストイベント生成」を参照してください。

SIEM メールアラートの生成

SIEM メールアラート生成機能は、データエクスポートのトラブルシューティングを新たなレベルの容易さに引き上げます。Citrix Analytics は、SIEM データフローの中断につながる、または中断を示す可能性のあるアクティビティに対してシステムアラートを送信します。メールは、Citrix Cloud 管理者、セキュリティフル管理者、セキュリティ読み取り専用管理者、およびセキュリティとパフォーマンス読み取り専用管理者に配布されます。送信されるアラートのタイプは次のとおりです。

1. SIEM データエクスポートアラート - パスワードがリセットされました

   このメールは、データエクスポートページからアカウントパスワードがリセットされるたびにトリガーされます。Citrix Analytics for Security GUI でのみ行われた場合、データフローの中断につながる可能性があります。このアラートには、パスワードリセットが実行された時刻が含まれているため、データフローを正常に戻すのがはるかに簡単になります。

2. SIEM データエクスポートアラート - データフローが停止しました

このメールは、お客様がデータフローの中断に直面するたびにトリガーされます。

• 24時間以上 - アラート内の役立つトラブルシューティングのヒントを使用するか、クイックガイド とともに データエクスポートサマリー タブを利用して、データフローを迅速に正常に戻すための重要な時間です。

• 7日以上 - 各顧客のトピックの Kafka 保持ポリシーは7日間であり、一部のセキュリティ体制データが期限切れになっている可能性があります。SIEM へのデータフローを再開するためにトラブルシューティングツールを使用することが不可欠です。

• 30日以上 - これは、お客様がセキュリティ関連のデータに苦しんでおり、Citrix Analytics から SIEM 環境へのデータフローを復元するために直ちに対処する必要があることを意味します。

詳細については、「SIEM メールアラート生成」を参照してください。

2023年4月13日

修正された問題

Windows Citrix Workspace™ アプリは、Citrix Workspace アプリバージョン 2203 以降のバージョンから空のファイル名、パス、および形式プロパティを送信します。その結果、Citrix Analytics for Security GUI は、ダウンロードファイル名、ダウンロードファイルパス、およびダウンロードファイル形式の列に NA 値を表示します。この問題は修正されました。[CAS-73498]

2023年3月31日

Citrix Analytics for Security でのセッションレコーディングイベント

Citrix Apps and Desktops では、セッションレコーディングベースのイベントを特定および評価するのに役立つ2つの新しいイベントタイプが追加されました。

• Citrix.EventMonitor.RDPConnection
• Citrix.EventMonitor.UserAccountModification

管理者は、潜在的なセキュリティリスクを簡単に特定および評価できるようになりました。これらのイベントを使用して、プロセス ID、宛先 IP アドレス、ユーザーアカウント操作の説明などの重要なデータを収集できます。さらに、これらのイベントは カスタムリスクインジケーター ページと セルフサービス検索 ページでも見つけることができます。

• セルフサービス検索: これらのイベントとその属性の詳細を表示できます。
• カスタムリスクインジケーター: これらのイベントタイプを使用してカスタムインジケーターを構成できます。 詳細については、「イベントタイプとサポートされるフィールド」を参照してください。

セルフサービス検索でのアプリ保護イベント

Citrix Apps and Desktops データソースで保護されたセッション中にスクリーンショットをキャプチャしようとすると、AppProtection.ScreenCapture という新しいイベントがトリガーされます。AppProtection.ScreenCapture イベントは、セルフサービス検索 および データエクスポート ページでも利用できます。

• セルフサービス検索: AppProtection.ScreenCapture の結果とそのすべての属性の詳細を表示できます。
• データエクスポート: データエクスポートセクションで AppProtection.ScreenCapture イベントタイプを表示できます。設定 > データエクスポート > 構成 > エクスポートするデータイベント > データソースイベント (オプション) カテゴリから Apps and Desktops を選択します。

Session.Logon イベントの新しい属性である アプリ保護ポリシー も表示できます。

詳細については、「イベントタイプとサポートされるフィールド」を参照してください。

2023年3月30日

カスタムロールのサポート

管理者は、Active Directory または Azure Active Directory のグループを使用するか、Citrix Analytics for Security の Okta 統合を設定することで、カスタムロールに追加できます。この統合により、すべてのグループ管理者のサービスアクセス許可を管理するための合理化されたアプローチが可能になります。

Active Directory または Azure Active Directory に管理者を正常に追加した後、管理者はグループを作成し、特定のグループにカスタムロールを割り当てることができます。管理者が両方のメンバーである場合、個々のアクセス許可がグループアクセス許可よりも優先されます。

詳細については、「カスタムロールのサポート」を参照してください。

SIEM UI のトラブルシューティングパネル

データエクスポート UI は、以下の変更で強化されました。

• 概要タブ: 概要タブには、SIEM イベントメトリック、データソースのオンボーディングステータス、および以下のシナリオでのデータ消費ステータスが記述されています。

  • Citrix Analytics で利用可能なデータ: さまざまなデータソースのオンボーディングステータスを提供します。
  • SIEM 消費に利用可能なイベント: SIEM 環境に送信されているインサイトの数を提供します。
  • SIEM によるデータ消費: データ消費ステータスを提供します。

• 構成タブ: 構成 タブには、アカウント設定、SIEM 環境設定、およびデータイベント選択に関する情報が含まれています。

• データエクスポートクイックガイド: 管理者は、SIEM 統合の設定と維持を簡素化する クイックガイド を利用できるようになりました。データエクスポートクイックガイド リンクは、概要 タブと 構成 タブの両方からアクセスできます。

詳細については、「データエクスポートのトラブルシューティング」を参照してください。

2023年3月24日

ユーザープロファイルビューの変更

アプリケーション、場所、デバイス、および ShareFile データ使用量に関連する ユーザープロファイルデータ は、ユーザーのタイムラインの ユーザー情報 ページでは利用できません。Active Directory から取得される以下のユーザー情報は引き続き利用できます。

• 役職
• 住所
• メール
• 電話
• 場所
• 組織

SIEM にエクスポートされるユーザープロファイルデータに変更はありません。詳細については、「ユーザープロファイル」を参照してください。

すべての検索ビューからの動的自動提案の削除

テナントの履歴データに基づくディメンションの自動提案機能は、以下のページでは非推奨になりました。

• セルフサービス検索
• カスタムリスクインジケーター

ただし、イベントタイプ や クリップボード操作 などのディメンションの静的提案は、検索ボックスで引き続き利用できます。

詳細については、「セルフサービス検索の使用方法」を参照してください。

2023年3月21日

オンプレミス StoreFront™ データソースのオンボーディングを支援する推奨パネル

データソース ページに新しい 推奨事項 パネルが導入されました。データソース ページの 推奨事項 パネルは、オンプレミス StoreFront データソースのオンボーディングの重要性についてユーザーに説明します。これにより、ユーザーはオンプレミス StoreFront データソースを簡単にオンボーディングでき、利用可能なすべてのデータソースのオンボーディングを確認および確保するオプションも提供されます。

詳細については、「StoreFront 展開への接続」を参照してください。

2023年2月23日

修正された問題

Citrix Apps and Desktop のバージョンが 1912 より大きいオンプレミス展開でアクションが失敗しています。この問題は、手動アクションとポリシーベースアクションの両方で確認されています。この問題は修正されました。[CAS-69098]

Apps and Desktops のセルフサービス検索ページでは、仮想アプリが1回だけ起動されたときに、複数のアプリ起動イベントとアプリ終了イベントが表示されます。この問題は、Linux クライアントバージョンの Citrix Workspace アプリで発生します。この問題は修正されました。[CAS-36236]

Secure Private Access サービスからのユーザーイベントは、2022年4月4日以降から2022年5月末まで、Citrix Analytics テナントで利用できない場合があります。この問題は修正されました。[CAS-66897]

2023年2月22日

週次メール通知の強化

Citrix Analytics は、組織のセキュリティリスクエクスポージャーを要約する週次メール通知を送信します。週次メール通知は、以下の更新で改善されました。

• ユーザーのリスク分布のビューを提供 - 1週間の合計検出ユーザー数、危険なユーザー数、危険ではないユーザー数
• 1週間の合計処理イベント数
• 1週間の合計トリガーインジケーター数
• 1週間の合計実行アクション数
• データ処理のために有効になっている合計データソース数

詳細については、「週次メール通知」を参照してください。

App.SaaS.File.Download イベントタイプにダウンロードファイル形式フィールドを追加

Apps and Desktops データソースのセルフサービス検索ページに、App.SaaS.File.Download イベントタイプ用の新しい ダウンロードファイル形式 フィールドが追加されました。この変更により、ダウンロードファイル形式 フィールドのカスタムリスクインジケーターを構成し、CSV 形式へのエクスポートの一部としてフィールドをエクスポートできるようになりました。

詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。

ブラウザ派生フィールドの変更

以前は、セルフサービス検索ページには、ブラウザ名とバージョンを表す ブラウザ、ブラウザメジャーバージョン、および ブラウザマイナーバージョン フィールドがありました。しかし、明確さと正確性を確保するために、これらの3つのフィールドは非推奨となり、Apps and Desktops データソースのセルフサービス検索、カスタムインジケーターテンプレート、および CSV ダウンロードで ブラウザ名 と ブラウザバージョン に置き換えられました。

詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。

2023年2月16日

修正された問題

テナントのユーザー名マスキングステータスを取得する際に、一部の EU および APS のお客様の週次メールが影響を受けています。その結果、例外により管理者は10通の同一の週次メールを受信しています。例外が発生すると、後続のテナントは週次メールを受信しませんでした。この問題は修正されました。[CAS-76138]

2023年2月3日

欧州連合およびアジア太平洋南部地域で利用可能な Citrix Secure Private Access™ サービスに対する Analytics のサポート

Citrix Analytics for Security は、欧州連合地域およびアジア太平洋南部地域で利用可能な Citrix Secure Private Access からのユーザーイベントを処理するようになりました。組織が欧州連合地域またはアジア太平洋南部地域から Citrix Cloud にオンボーディングされている場合、Secure Private Access サービスを使用しているユーザーのリスクインサイトを表示できます。

詳細については、「データソース」を参照してください。

2023年1月11日

Secure Private Access からの Web フィルタリング機能の削除

Web フィルタリング機能は Secure Private Access カテゴリから削除されました。カテゴリベースの Web フィルタリングの Secure Private Access による非推奨化により、Citrix Analytics for Security の以下の機能が影響を受けます。

1. カテゴリグループ、カテゴリ、URL の評判などのデータフィールドは、Citrix Analytics for Security ダッシュボードでは利用できなくなりました。

2. 同じデータに依存する危険な Web サイトアクセスインジケーターも非推奨となり、お客様に対してトリガーされません。

3. データフィールド (カテゴリグループ、カテゴリ、URL の評判) およびそれに関連するポリシーを使用する既存のカスタムリスクインジケーターは、もはやトリガーされません。

4. ユーザーアクセス および アプリアクセス タブ。

5. SIEM エクスポートには、urlcategory、urlcategorygroup、urlcategoryreputation 属性がしばらくの間、以下のダミー値で引き続き含まれます。

   • カテゴリおよびカテゴリグループの場合は 99999
   • 評判の場合は 0

詳細については、「Secure Private Access のセルフサービス検索」を参照してください。

2022年12月27日

セルフサービス検索のデータソースドロップダウンの変更

セルフサービス検索ページで、データソースリストがデフォルトで Apps and Desktops ではなく セッション を反映するように変更されました。また、パフォーマンスデータソースが表示されなかったため、パフォーマンスセクションがセキュリティセクションの前に移動されました。

詳細については、「セルフサービス検索」を参照してください。

2022年12月13日

ユーザーダッシュボードの強化

ユーザーダッシュボードは、組織のセキュリティ体制を管理者が監視するのに役立つサマリーとチャートで刷新されました。このビューは、検出されたユーザー、トリガーされたリスクインジケーター、適用されたアクションの詳細を提供するだけでなく、リスクのより良い評価のために、重要なメトリックの時間ベースのトレンドラインも提供します。管理者は、関心のあるデータをドリルダウンし、適切なコンテキストで関連するダッシュボードに移動して、より迅速なリスク分析を行うことができます。

詳細については、「ユーザーダッシュボード」を参照してください。

2022年12月5日

アクセス保証ダッシュボード - ログオンネットワーク

ログオンネットワークセクションが新しく追加され、以下のユーザー詳細が提供されます。

• ユーザーがログオンした IP アドレスに関連付けられた組織。

• ユーザーがログオンした一意のパブリックサブネットとプライベートサブネットの合計数。

• ユーザーがプロキシとプライベート VPN サービスを使用してログオンした詳細。

これらの追加の詳細を使用することで、管理者はユーザーログオンの詳細を検証し、ユーザーログオンが組織のセキュリティ要件内であることを確認できます。

詳細については、「アクセス保証ダッシュボード」を参照してください。

2022年11月18日

修正された問題

• ソースイベントなしで誤ってトリガーされたジオフェンスインジケーターが修正されました。[CAS-73222]

2022年11月8日

アクション名の変更

Citrix Analytics for Security で使用される一部のアクションは、より明確にするために名前が変更されました。それらのアクションは次のとおりです。

• 管理者への通知 - 管理者への通知
• ユーザーのロック - ユーザーアカウントのロック
• ユーザーのログオフ - アクティブセッションのログオフ
• ユーザーのロック解除 - ユーザーアカウントのロック解除
• ユーザーの無効化 - ユーザーアカウントの無効化

詳細については、「アクションとは」を参照してください。

修正された問題

• タイムラインアクションのドロップダウンからオプションを選択すると、クリアボタンと適用ボタンが表示されないため、手動アクションをトリガーできません。この状態は最新の Firefox バージョンで発生します。この問題は修正されました。[CAS-72051]

• HardDrive、harddrive、および HDD カテゴリは、Apps and Desktops データソースのセルフサービス検索の Download-Device-Type フィールドで、ハードディスクドライブ という単一のカテゴリに結合されました。[CAS-67188]

• Microsoft Graph から同じアラート ID で重複した通知が受信され、重複したリスクイベントが作成されることがあります。この問題を防止するために、アプリケーション内に重複排除メカニズムが実装されています。[CAS-66731]

2022年10月19日

データソースイベントの選択とエクスポート

機械学習によって生成されたリスクインサイトイベントと関連データに加えて、新しいデータイベントエクスポートワークフローを利用してデータソースイベントをエクスポートできるようになりました。

これにより、セキュリティおよびセキュリティ運用 (SOC) 管理者は次のことが可能になります。

• Citrix Analytics のデータを、セキュリティ情報およびイベント管理 (SIEM) で集約された他のデータソースイベントと関連付ける。

• ストレージコスト最適化のために、SIEM に流れるデータイベントを制御する。

データイベントは、既存の SIEM 統合およびデータコネクタに、セルフサービスイベント検索ビューで利用可能なものと同等に配信されます。

詳細については、「Citrix Analytics for Security から SIEM サービスにエクスポートされるデータイベント」を参照してください。

2022年10月18日

管理者が Citrix DaaS™ サイトで動的セッションレコーディングアクションを実行できるようにする

管理者は、Citrix DaaS サイトで動的セッションレコーディングアクションを実行し、ユーザーの仮想セッションを動的に記録できるようになりました。特定のユーザーによって危険なアクティビティが Citrix Analytics for Security によって検出された場合、ユーザーセッションの記録を自動的に開始するようにアクションをポリシーで構成できます。

詳細については、「アクションとは」を参照してください。

2022年10月14日

ユーザーリスクインジケーターのフィードバック提供

Citrix Analytics for Security 管理者は、インジケーターの詳細パネルでフィードバックを提供することで、ユーザーリスクインジケーターが役立つか役立たないかを報告できるようになりました。この機能により、管理者は誤検知を報告し、頻繁にトリガーされるインジケーターのノイズを減らし、他の管理者と追加のコンテキストを共有できます。追加の結果として、役立たないリスクインジケーターはユーザーのタイムラインから非表示になり、ユーザーリスクスコアが再調整されます。

詳細については、「ユーザーリスクインジケーターのフィードバック提供」を参照してください。

2022年9月26日

ジオフェンスブロックリストをサポートするアクセス保証

安全な場所 と 危険な場所 のタブがジオフェンス設定の下に追加されました。

• 安全な場所のジオフェンシングは、定義されたジオフェンスエリア外からのアクセスを特定し、制限するのに役立ちます。
• 危険な場所のジオフェンシングは、組織の既知の動作に従って、危険なユーザーアクセスを検出して絞り込むのに役立ちます。

安全な場所と危険な場所のジオフェンシングはどちらも、独自の事前構成されたカスタムリスクインジケーターによってサポートされています。

詳細については、「ジオフェンシングの有効化」を参照してください。

修正された問題

• Citrix Cloud API は、メール本文に 顧客名 を表示します。現在、メールはニックネームを使用して、管理者に送信されるメール本文に 顧客名 を表示します。[CAS-65350]

• Citrix Gateway データソースカードは、Citrix Analytics for Security と Citrix Analytics for Performance™ の間で共通です。データ処理は常に Citrix Analytics for Security エンドポイントを呼び出し、Citrix Analytics for Performance のエンタイトルメントのみを持つお客様にとっては機能しませんでした。[CAS-70817]

• 複数のエンタイトルメントメッセージが Citrix Cloud から同時に受信されると、Redis キャッシュの更新中に競合状態が発生します。このようなシナリオでは、1つのエンタイトルメントメッセージがキャッシュに更新され、残りは失われます。この問題は、すべてのエンタイトルメントメッセージをキャッシュに更新するように修正されました。[CAS-70823]

2022年9月13日

共有リンクダッシュボードの強化

共有リンクダッシュボードは、サマリービューと詳細ビューで刷新されました。サマリービューは、上位のアクティブな共有と上位の危険な共有で構成されています。詳細ビューは、作成者、アクティビティ数、認証タイプ、アクセス許可、共有タイプ、コンテンツなどの属性の導入により、管理者により多くの情報を提供します。管理者は、必要に応じてさらにドリルダウンしてフィルタリングし、関心のあるデータを表示するために期間を変更/提供できます。

詳細については、「共有リンクダッシュボード」を参照してください。

2022年9月9日

不可能移動 RI の強化

不可能移動リスクインジケーターは、クライアント IP アドレスの登録組織とルーティングタイプを報告するように強化されました。これらの新しいフィールドは、ユーザータイムラインインジケーターの詳細ビューと、SIEM に送信されるインジケーター詳細の両方で利用できます。

デフォルトポリシーの詳細については、以下の記事を参照してください。

• 継続的なリスク評価。
• ポリシーとアクション

2022年8月19日

VDA 印刷テレメトリの有効化

Citrix Apps and Desktops で印刷ジョブが開始されると、VDA.Print というイベントがトリガーされます。VDA 印刷イベントは、セルフサービス検索 および カスタムリスクインジケーター ページでも利用できます。

• セルフサービス検索: VDA.Print の結果とそのすべての属性の詳細を表示できます。
• カスタムリスクインジケーター: EventHub を介して VDA 印刷テレメトリの新しいイベントが提供され、カスタムインジケーター内でも利用できます。これらのイベントキー/値ペアを使用して、カスタムインジケータートリガーを構成できます。

印刷テレメトリと印刷ログの Citrix Analytics for Security への送信を有効にするには、レジストリキーを作成し、VDA を構成する必要があります。これらの印刷ログは、プリンター名、印刷ファイル名、合計印刷部数などの印刷アクティビティに関する重要な情報を提供します。セキュリティ管理者として、これらのログを使用してリスクを分析し、ユーザーを調査できます。

詳細については、「Citrix DaaS の印刷テレメトリの有効化」を参照してください。

2022年8月18日

修正された問題

• Apps and Desktops のセルフサービス検索およびアクセス保証場所ダッシュボードのユーザーログオンページで、Workspace アプリのバージョン値がダウンロードされた CSV ファイルで NA (利用不可) と表示されていましたが、ページビューでは利用可能でした。この問題は修正されました。[CAS-70361]

2022年8月17日

ポリシーごとのエンドユーザーメールのカスタマイズ

ポリシーごとにエンドユーザーに送信されるメールのコンテンツをカスタマイズできるようになりました。具体的には、エンドユーザー応答要求アクションまたはユーザーアカウントに対する破壊的なアクション (ユーザーのログオフやユーザーのロックなど) を含むポリシーを作成する場合、ポリシーが適用されたときにエンドユーザーに送信されるメールコンテンツはカスタマイズ可能です。

ポリシーごとのエンドユーザーメールのカスタマイズの詳細については、「ポリシーとアクション」を参照してください。

2022年8月11日

アクセス保証 – ジオロケーション に関する新しい質問が FAQ 記事に追加されました。詳細については、「FAQ」を参照してください。

修正された問題

• すべての通知を表示 ボタンは、管理者 https://citrix.cloud.com/notifications の週次メールリンクにリダイレクトされましたが、タイプミスがありました。[CAS-69236]

2022年6月17日

新しい有料エンタイトルメントのデータ処理がデフォルトで有効に

以前は、Citrix Analytics for Security の新しい有料エンタイトルメントを持つお客様は、特定のデータソースのサイトカードでデータ処理を有効にして、それらのデータソースのデータ処理を開始する必要がありました。

このリリースでは、Citrix Analytics for Security の新しい有料エンタイトルメントがプロビジョニングされると、以下の Citrix Cloud サービスでデータ処理がデフォルトで有効になります。

• Citrix Secure Private Access
• Citrix Content Collaboration™
• Citrix DaaS

詳細については、「はじめに」を参照してください。

2022年6月9日

修正された問題

• Azure AD Identity Protection および Microsoft Defender for Endpoint によって生成された Microsoft Graph リスクインジケーターが、Security Analytics で複数回表示される場合があります。この問題は修正されました。[CAS-66593,CAS-66731]

2022年6月2日

修正された問題

• ポリシーのセルフサービス検索で、イベントをフィルタリングするために ポリシー名 ディメンションを検索クエリで選択すると、Security Analytics の有効なポリシーとともに無効なポリシーのリストが提案されました。[CAS-66838]

• Windows Citrix Receiver からの File.Download イベントのダウンロードファイルサイズが、セルフサービス検索で誤って表示されていました。この問題は、実際の値が KB 単位であったにもかかわらず、UI が値をバイトとして扱ったため、ユーザーに誤った値が表示されたために発生しました。[CAS-67105]

2022年5月24日

Content Collaboration、Citrix DaaS、Citrix Virtual Apps and Desktops、および Gateway データソースの不可能移動リスクインジケーターの導入

ユーザーが経過時間内に移動するには遠すぎる2つの場所からログオンした場合、Citrix Analytics はこのアクティビティを不可能移動シナリオとして検出し、不可能移動 リスクインジケーターをトリガーします。不可能移動リスクインジケーターの詳細については、以下の記事を参照してください。

• Citrix Content Collaboration リスクインジケーター

• Citrix Gateway リスクインジケーター

• Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター

2022年5月17日

Virtual Apps and Desktops が Apps and Desktops に名称変更

Security Analytics ダッシュボードおよびレポート、および Security Analytics から SIEM サービスに送信されるデータでは、すべての Virtual Apps and Desktops ラベルが、ブランド変更された製品名に合わせて Apps and Desktops に更新されました。

たとえば、データソースページでは、Virtual Apps and Desktops ラベルが Apps and Desktops に名称変更されました。

Apps and Desktops ラベルは、組織内の Citrix オンプレミス Citrix Virtual Apps and Desktops と Citrix DaaS (旧 Citrix Virtual Apps and Desktops サービス) の両方を表します。

修正された問題

Citrix Analytics は、Citrix Cloud アカウントに関連付けられている Citrix DaaS Cloud Monitor または Director サイトを自動的に検出しません。[CAS-66801]

2022年4月5日

最新情報

Secure Workspace Access が Secure Private Access に名称変更

Analytics ダッシュボードおよびレポートでは、すべての Secure Workspace Access ラベルが、ブランド変更された製品名に合わせて Secure Private Access に更新されました。

たとえば、データソース ページおよび セルフサービス検索 ページでは、Secure Workspace Access ラベルが Secure Private Access に名称変更されました。

2022年3月21日

修正された問題

• リスクインジケーターの作成 ページで、検索クエリの以前の条件にスペースで区切られたディメンション値が含まれている場合、ディメンションと演算子の自動提案が機能しません。

  たとえば、次のクエリで、都市として San Jose を選択すると、自動提案が機能しなくなります。この問題は修正されました。[CAS-64126]

  

2022年3月10日

最新情報

管理者への通知メールの強化

• 管理者への通知 アクションのメール通知に、トリガーされたポリシーに関連付けられた複数のリスクインジケーターの詳細が提供されるようになりました。

• ポリシーに関連付けられた各リスクインジケーターの名前、重大度レベル、およびトリガー日を表示できます。

• リスク詳細の表示 をクリックすると、Citrix Analytics のユーザータイムラインページが開き、ポリシーをトリガーした最新のリスクインジケーターが表示されます。ユーザータイムラインページでは、ユーザーに対してトリガーされたすべてのリスクインジケーターも表示できます。

管理者への通知 アクションの詳細については、「ポリシーとアクション」を参照してください。

修正された問題

Citrix Analytics は Secure Workspace Access データソースからのユーザーイベントを受信できません。そのため、対応するセルフサービス検索ページにユーザーイベントが表示されません。また、Secure Workspace Access データソースのカスタムリスクインジケーターを作成できません。[CAS-64619]

2022年3月3日

最新情報

エンドユーザー応答要求を手動で適用

以前は、ポリシーを作成することによってのみ、ユーザーアカウントに エンドユーザー応答要求 アクションを適用できました。 このリリースでは、ユーザータイムラインの アクション リストからアクションを選択し、このアクションをリスクインジケーターに手動で適用できます。

アクションと手動でのアクションの適用方法の詳細については、「ポリシーとアクション」を参照してください。

ポリシーのエンドユーザー応答要求の強化

エンドユーザー応答要求 アクションを含むポリシーを作成すると、以下の機能強化が表示されます。

• 次のアクションとして 管理者への通知 を選択した後、選択できるデフォルトおよび作成済みのメール配布リストを表示できるようになりました。

  

• Citrix Content Collaboration または Citrix Virtual Apps and Desktops および Citrix DaaS からのアクションのいずれかを次のアクションとして選択できるようになりました。以前は、グローバルアクションまたは Citrix Gateway アクションのいずれかしか選択できませんでした。

  

アクションの詳細については、「ポリシーとアクション」を参照してください。

2022年2月23日

最新情報

リスクインジケーターの推奨アクション

Citrix Analytics は、ユーザーに対して以下のリスクインジケーターがトリガーされたときに、管理者への通知、ウォッチリストへの追加、ポリシーの作成 などのアクションを適用することを推奨します。

• 異常な認証失敗 (Content Collaboration データソース)

• 異常な認証失敗 (Gateway データソース)

• 疑わしいログオン (Citrix Virtual Apps and Desktops および Citrix DaaS データソース)

ユーザータイムラインに移動してリスクインジケーターを選択すると、推奨アクション セクションにすべての推奨アクションが表示されます。

たとえば、異常な認証失敗リスクインジケーターでは、以下の推奨アクションを表示できます。

この機能は、ユーザーがもたらすリスクの重大度に応じて実行できるアクションを選択するためのガイダンスを提供します。ただし、推奨リスト外の適切なアクションを、リスク分析に応じて実行することもできます。

修正された問題

• 組織が アジア太平洋南部 のホームリージョンで Citrix Cloud にオンボーディングされている場合、Citrix Analytics は認証データソースからのユーザーイベントを受信しない可能性があります。そのため、対応するセルフサービス検索ページにユーザーイベントが表示されない可能性があります。この問題は修正されました。[CAS-62300]

2022年2月17日

最新情報

Citrix Virtual Apps and Desktops および Citrix DaaS データソースのデータ収集とレポートの改善

このリリースでは、以下の変更点があります。

• Citrix Workspace アプリクライアントおよび Citrix Monitor サービスからのイベントのデータ収集、関連付け、およびレポートの改善。

• セルフサービス検索、カスタムリスクインジケーター、および全体的なリスク検出に使用できる、ユーザーおよびクライアントバージョンから受信されるイベントの品質の改善。

Content Collaboration のセッションイベントおよびアプリイベントのコンテキストテンプレートのサポート

セルフサービス検索ページで、ファイル、フォルダー、セッション、共有、およびユーザーイベントに関連する関連フィールドの詳細のみを表示できるようになりました。イベントに適用できないフィールドは削除されます。

たとえば、File.Copy イベントの以下の詳細を表示できます。

• ファイル ID

• ファイルコピー ID

• ファイルパス

• 宛先ファイルパス

• ストリーム ID

• ゾーン ID

これらの詳細は、危険な動作に関連付けられたユーザーアカウントのリスク調査と分析に役立ちます。危険と思われるイベントの特定の属性にドリルダウンできます。

フィールドの詳細については、「Content Collaboration のセルフサービス検索」を参照してください。

2022年2月10日

最新情報

カスタムリスクインジケーターのディメンションの自動提案値

カスタムリスクインジケーターページで、条件バーでディメンションと有効な演算子を選択すると、ディメンションの値が自動的に表示されます。ユースケースに応じて、自動提案リストから値を選択するか、手動で値を入力します。値を入力すると、レコードで利用可能な一致する値が自動提案されます。

ディメンションに提案される値のリストは、データベースで事前定義されている (既知の値) か、履歴イベントに基づいています。

たとえば、ディメンション Event-Type と代入演算子を選択すると、既知の値が自動提案されます。要件に応じて値を選択できます。

詳細については、「カスタムリスクインジケーター」を参照してください。

2022年2月9日

最新情報

管理者向けの新しいカスタムロール

フルアクセス権限を持つ Citrix Cloud 管理者として、組織の Security Analytics を管理するために他の管理者を招待できます。招待された管理者には、以下のカスタムロールを割り当てることができます。

• Security Analytics - フル管理者

• Security Analytics - 読み取り専用管理者

カスタムロールを使用すると、管理者に読み取り専用またはフルアクセス権限を提供し、Security Analytics のさまざまな機能を管理させることができます。

これらのカスタムロールのアクセス権限の詳細については、「Security Analytics の管理者ロールの管理」を参照してください。

カスタムアクセス管理者へのメール通知のサポート

Security Analytics を管理するためのカスタムアクセス (読み取り専用またはフルアクセス) 権限を持つ Citrix Cloud 管理者である場合、以下の通知を受信します。

• 組織で検出されたセキュリティリスクに関する週次通知。詳細については、「週次メール通知」を参照してください。

• 管理者への通知 アクションが手動で適用された場合、またはポリシーによってトリガーされた場合のリスクインジケーターに関する通知。詳細については、「ポリシーとアクション」を参照してください。

2022年1月28日

最新情報

Content Collaboration および Gateway データソースの疑わしいログオンリスクインジケーターの導入

Citrix Analytics for Security は、以下の複数のコンテキスト要因に基づいて、疑わしい性質のユーザーログオンを検出するようになりました。

• 場所がユーザーおよび組織の履歴に対して異常であると見なされる場合

• デバイスがユーザーおよび組織の履歴に対して異常であると見なされる場合

• ネットワークがユーザーおよび組織の履歴に対して異常であると見なされる場合

• IP アドレスが IP 脅威インテリジェンスフィードに基づいて疑わしいと見なされる場合

これらの要因の組み合わせに基づいて、ユーザーが疑わしいコンテキストからログオンすると、リスクインジケーターがトリガーされます。

このリスクインジケーターは、Citrix Content Collaboration および Citrix Gateway データソースに関連付けられた「異常な場所からのアクセス」リスクインジケーターを置き換えます。「異常な場所からのアクセス」リスクインジケーターに基づいていた既存のポリシーは、新しいリスクインジケーター「疑わしいログオン」に自動的にリンクされます。

リスクインジケーターの詳細については、「疑わしいログオン - Content Collaboration」および「疑わしいログオン - Gateway」を参照してください。

リスクインジケーターのスキーマの詳細については、「SIEM 用 Citrix Analytics データ形式」を参照してください。

2022年1月20日

最新情報

Microsoft Azure Active Directory 統合

Citrix Analytics for Security と Azure Active Directory を接続して、以下のことを行えるようになりました。

• 組織のドメインから Citrix Analytics for Security にユーザー詳細とユーザーグループをインポートする。

• 役職、組織、オフィス所在地、メール、連絡先詳細などの追加情報でユーザープロファイルを充実させ、リスク調査と分析に役立てる。

詳細については、「Azure Active Directory 統合」を参照してください。

2022年1月18日

最新情報

すべての Content Collaboration リスクインジケーターでの共有リンクアクションのサポート

以前は、Content Collaboration サービスに関連付けられた以下の共有リンクベースのリスクインジケーターに対して、共有リンクアクションである すべてのリンクを期限切れにする および リンクを読み取り専用共有に変更する を適用できました。

• 匿名機密共有リンクのダウンロード

• 過剰な共有リンクのダウンロード

• 過剰なファイル共有

このリリースでは、Content Collaboration サービスに関連付けられた以下のユーザーベースのリスクインジケーターに対して、共有リンクアクションを適用できるようになりました。

• 異常な場所からのアクセス

• 機密ファイルへの過剰なアクセス

• 過剰なファイルのアップロード

• 過剰なファイルのダウンロード

• 過剰なファイルまたはフォルダーの削除

• マルウェアファイルの検出

• ランサムウェアアクティビティの疑い

• 異常な認証失敗

Content Collaboration サービスに関連付けられたカスタムリスクインジケーターにも共有リンクアクションを適用できます。

アクションとリスクインジケーターの詳細については、以下の記事を参照してください。

• ポリシーとアクション

• Content Collaboration リスクインジケーター

• カスタムリスクインジケーター

SIEM との統合が一般提供開始

Citrix Analytics for Security をセキュリティ情報およびイベント管理 (SIEM) サービスと統合し、Citrix IT 環境から SIEM にユーザーデータをエクスポートできます。この統合は、さまざまなソースから収集されたデータを関連付け、組織のセキュリティの全体像を把握するのに役立ちます。

現在、Citrix Analytics for Security は以下のサービスと統合できます。

• Splunk

• Microsoft Sentinel

• Elasticsearch

• Kafka または Logstash ベースのデータコネクタを使用するその他の SIEM サービス

詳細については、「セキュリティ情報およびイベント管理 (SIEM) 統合」を参照してください。

2021年12月23日

最新情報

共有リンクリスクインジケーターの強化

以下の機能強化が行われました。

• 匿名機密共有リンクのダウンロード リスクインジケーターを含むポリシーを作成できるようになりました。

• 匿名機密共有ダウンロード リスクインジケーターは、共有リンクリスクインジケーターとして区別するために 匿名機密共有リンクのダウンロード に名称変更されました。

• 過剰なダウンロード リスクインジケーターは、共有リンクリスクインジケーターとして区別し、ユーザーベースの 過剰なファイルダウンロード リスクインジケーターと区別するために 過剰な共有リンクのダウンロード に名称変更されました。

詳細については、「Citrix 共有リンクリスクインジケーター」を参照してください。

2021年12月21日

最新情報

Citrix Cloud 以外の管理者へのリスクインジケーターに関する通知の送信

組織内の Citrix Cloud 以外の管理者に、管理者への通知 アクションで通知できるようになりました。

これらの管理者に通知するには、メール配布リストを作成します。Citrix Cloud に接続されている外部ドメインから、またはメールアドレスを直接使用して、メール配布リストの管理者を選択します。管理者への通知 アクションを適用するときに、Citrix Cloud 以外の管理者を含むメール配布リストを選択します。

詳細については、「メール配布リスト」を参照してください。

2021年12月20日

最新情報

Content Collaboration ユーザーへのユーザー応答通知の送信

Active Directory ユーザーに加えて、Content Collaboration ユーザーにも エンドユーザー応答要求 アクションを適用できるようになりました。

このアクションは、Citrix Analytics が Citrix アカウントで異常なアクティビティを検出した場合に、ユーザーにメール通知を送信します。エンドユーザー応答要求 アクションの詳細については、「ポリシーとアクション」を参照してください。

Access Control が Secure Workspace Access に名称変更

セキュリティ Analytics ダッシュボードおよびレポートでは、すべての Access Control ラベルが、ブランド変更された製品名に合わせて Secure Workspace Access に更新されました。

たとえば、データソース ページ、セルフサービス検索 ページ、および ポリシー ページでは、Access Control ラベルが Secure Workspace Access に名称変更されました。

修正された問題

• Apps and Desktops データソースの場合、検索レポートを CSV ファイルとしてダウンロードすると、CSV ファイルの一部のフィールド値が利用不可 (N/A) と表示されますが、その値は利用可能です。たとえば、Download File Name、Session Launch Type、Workspace App Version などのフィールドの値は セルフサービス検索 ページに表示されますが、ダウンロードされた CSV ファイルではこれらの値が利用不可 (N/A) と表示されます。この問題は修正されました。[CAS-62299]

2021年12月9日

最新情報

テンプレートを使用してカスタムリスクインジケーターを簡単に作成

ユースケースに基づいてテンプレートを選択し、カスタムリスクインジケーターを作成できるようになりました。テンプレートは、事前定義されたクエリとパラメーターを提供することで、カスタムリスクインジケーターの作成作業を容易にします。

詳細については、「カスタムリスクインジケーター」を参照してください。

2021年12月7日

修正された問題

• Citrix Analytics for Security では、2021年9月にリリースされた Citrix Secure Browser を使用しているユーザーのイベントを受信しません。この問題は、2021年9月以降の Citrix Secure Browser で ホスト名追跡 ポリシーが表示されず、Citrix Analytics for Security と統合するために有効にできないために発生します。この問題は修正されました。[CAS-62254]

2021年12月2日

最新情報

マルウェアファイル検出リスクインジケーター

ユーザーが Content Collaboration で感染ファイルをアップロードしたときにアラートを受け取れるようになりました。

このリスクインジケーターは、トロイの木馬、ウイルス、その他の悪意のある脅威などのマルウェアに感染したファイルを検出します。ファイル所有者、ウイルス名、ファイル場所など、悪意のあるファイルの詳細を可視化します。

マルウェアファイル検出 リスクインジケーターに関連付けられたリスク要因は、ファイルベースのリスクインジケーターです。

リスクインジケーターと適用できるアクションの詳細については、「マルウェアファイル検出リスクインジケーター」を参照してください。

Content Collaboration データソースの新しいアクション

ユーザーに対して マルウェアファイル検出 リスクインジケーターがトリガーされたときに、以下の操作を適用できます。

• フォルダーアクセス許可の削除。感染ファイルをアップロードしたユーザーのアクセス許可をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにアクセスできません。

• フォルダーへのアップロード許可の削除。感染ファイルをアップロードしたユーザーのアップロード許可をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにファイルをアップロードできません。

Content Collaboration のアクションの詳細については、「ポリシーとアクション」を参照してください。

2021年11月29日

最新情報

ユーザー通知のメール設定の強化

管理者として、ユーザー応答メールテンプレートにバナー画像、ヘッダー、フッターテキストを追加できるようになりました。これらのフィールドはメールの正当性を高め、ユーザーのメールへの注意と応答を向上させます。

詳細については、「エンドユーザーメール設定」を参照してください。

2021年11月26日

最新情報

カスタムリスクインジケーターとポリシーメニューの変更

以下の機能のナビゲーションリンクが更新されました。

• カスタムリスクインジケーター: この機能を使用するには、［セキュリティ］>［カスタムリスクインジケーター］ をクリックします。

• ポリシー: この機能を使用するには、［セキュリティ］>［ポリシー］ をクリックします。

  

2021年11月25日

最新情報

セキュリティ情報およびイベント管理 (SIEM) 統合の強化

注

この統合はプレビュー版です。

Citrix Analytics for Security を以下の SIEM サービスと統合できるようになりました。

• Microsoft Sentinel

• Kibana などの視覚化サービスと LogRythm などの SIEM サービスを備えた Elasticsearch

• Logstash データ収集エンジンを使用するその他の SIEM サービス

ビジネスニーズに応じて、Citrix Analytics for Security から SIEM サービスにユーザーデータをインポートします。この統合により、セキュリティ運用チームは、組織内の SIEM サービス内の異なるログからデータを関連付け、分析し、検索できるようになり、セキュリティリスクを特定して迅速に修復するのに役立ちます。

詳細については、「セキュリティ情報およびイベント管理 (SIEM) 統合」を参照してください。

2021年11月9日

修正された問題

• 一部のテナントでは、ユーザーポリシーが機能していません。この問題は、仮想アプリのアラートのドメインに空の文字列値がある場合に発生しました。この問題は修正されました。[CAS-60920]

2021年11月2日

最新情報

Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーのアクセスプロファイルとログオン詳細の表示

アクセス保証場所 ダッシュボードでは、仮想アプリおよび仮想デスクトップにログオンしたユーザーのアクセスプロファイルとログオン詳細を表示できます。この情報は、脅威の調査と分析に役立ちます。

• アクセスプロファイル ページには、選択した場所からのユーザーアクセス概要が表示されます。総ユーザー数と一意のユーザーログオンのトレンド分析と上位アクセスイベントを表示できます。

  

• ユーザーログオン ページには、選択した場所からの仮想アプリおよび仮想デスクトップへのユーザーログオンの詳細が表示されます。

  

詳細については、「アクセス保証場所ダッシュボード」を参照してください。

Content Collaboration のセルフサービス検索ページでマルウェアログを表示

Content Collaboration のセルフサービスページで、マルウェアイベント File.VirusInfected とそれに関連するログを表示できるようになりました。このイベントは、Content Collaboration ユーザーがマルウェアに感染したファイルをアップロードしたときにトリガーされます。

詳細については、「Content Collaboration のセルフサービス検索」を参照してください。

修正された問題

• Citrix Analytics でイベントを処理する際に、一部の Content Collaboration ユーザーが非従業員として誤って設定されていました。そのため、ユーザーは検出されたユーザーとして識別されませんでした。この問題は修正されました。[CAS-59608]

2021年10月20日

最新情報

セッションレコーディングサーバーの統合

Citrix Virtual Apps and Desktops および Citrix DaaS 展開の場合、セッションレコーディングサーバーを構成して、ユーザーイベントを Citrix Analytics for Security に送信できるようになりました。これらのユーザーイベントは、ユーザーの行動に関する実用的なインサイトを提供するために処理されます。

［データソース］>［セキュリティ］ ページで、［Virtual Apps and Desktops］ サイトカードに移動します。［セッションレコーディング］ サイトカードで、縦の省略記号 (⋮) をクリックし、［セッションレコーディングサーバーに接続］ を選択します。

詳細については、「セッションレコーディング展開への接続」を参照してください。

2021年10月19日

最新情報

管理者への通知メールテンプレートの強化

管理者が 管理者への通知 アクションを適用した後に受信するメール通知は、ユーザーの危険なイベントに関するより良いインサイトを提供するために強化されました。

• 通知には、トリガーされたリスクインジケーターまたは適用されたポリシーに関する詳細情報が提供されるようになりました。たとえば、デフォルトおよびカスタムリスクインジケーターの重大度とトリガー時刻を表示できます。コンテンツ構造は、読みやすさを向上させるために改善されました。

• 管理者は、メール通知から直接ユーザータイムラインにアクセスし、危険なイベントに関する詳細を表示できるようになりました。

• 通知にフィードバックオプションが追加されました。このオプションは、管理者からの応答を収集し、応答に基づいて通知のコンテンツを継続的に改善するのに役立ちます。

管理者への通知 アクションの詳細については、「ポリシーとアクション」を参照してください。

ユーザーログオンサマリーの強化

• 世界全体の総ユーザーログオン数と世界全体の一意のユーザーログオン数のユーザーログオンの増加または減少傾向を表示できるようになりました。

  

• 一意のログオン場所 テーブルの 偏差 列は、特定の場所の一意のユーザーログオンの増加または減少の変化を示します。

  

これらのメトリックは、ユーザーログオンが以前の期間からどのように変化したか (プラスまたはマイナス) を理解するのに役立ちます。Citrix Virtual Apps and Desktops および Citrix DaaS 展開でのユーザーインタラクションを可視化します。

詳細については、「アクセス保証場所ダッシュボード」を参照してください。

修正された問題

• アクセス保証場所 ダッシュボードで、ジオフェンスエリア外からユーザーがログオンしていない場合、ユーザーログオンサマリー カードにユーザーログオンメトリック (世界全体の総ユーザーログオン数、世界全体の一意のユーザーログオン数、ユーザーログオンのある国) が表示されません。この問題は修正されました。[CAS-59595]

2021年10月1日

最新情報

Content Collaboration のセルフサービス検索で監査ログを表示

Content Collaboration のセルフサービス検索で、監査ログを表示できるようになりました。これらのログは、Content Collaboration 管理者によってユーザーアカウントに適用されたアクセス許可とアクションに関するインサイトを提供します。これらのデータを使用することで、Content Collaboration 管理者がユーザーアカウントに対して有効なアクションを実行したかどうかを確認できます。セキュリティ管理者として、リスク調査と分析に役立ちます。

監査ログの詳細については、「Content Collaboration のセルフサービス検索」を参照してください。

修正された問題

Azure AD を使用して Citrix Cloud にログオンする管理者は、以前の期限切れセッション ID が新しいセッション ID とともに送信されると、Citrix Analytics サービスにアクセスできません。この問題は修正されました。[CAS-59385]

2021年9月29日

最新情報

アクセス保証場所ダッシュボードが一般提供開始

このダッシュボードは、Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーが選択した期間にログオンした場所を可視化します。ジオフェンシングを有効にすることで、場所が異常なユーザーを特定し、適切なアクションを適用して脅威を防止できます。

ダッシュボードを表示するには、［セキュリティ］>［アクセス保証］ をクリックします。場所の詳細を表示する期間を選択します。

詳細については、「アクセス保証場所ダッシュボード」を参照してください。

2021年9月15日

最新情報

カスタムリスクインジケーターの強化

• カスタムリスクインジケーターがトリガーされると、ユーザータイムライン にすぐに表示されます。ただし、ユーザーのリスクサマリーとリスクスコアは数分 (約15～20分) 後に更新されます。

• 既存のカスタムリスクインジケーターの条件、リスクカテゴリ、重大度、名前などの属性を変更した場合でも、ユーザータイムラインには、ユーザーに対してトリガーされたカスタムリスクインジケーターの以前の発生 (古い属性を持つもの) が表示されます。

• カスタムリスクインジケーターを削除した場合でも、ユーザータイムラインには、ユーザーに対してトリガーされたカスタムリスクインジケーターの以前の発生が表示されます。

詳細については、「カスタムリスクインジケーター」を参照してください。

2021年9月14日

最新情報

疑わしいログオンリスクインジケーターの導入

Citrix Analytics for Security は、以下の複数のコンテキスト要因に基づいて、疑わしい性質のユーザーログオンを検出するようになりました。

• 場所がユーザーおよび組織の履歴に対して異常であると見なされる場合

• デバイスがユーザーおよび組織の履歴に対して異常であると見なされる場合

• ネットワークがユーザーおよび組織の履歴に対して異常であると見なされる場合

• IP アドレスが IP 脅威インテリジェンスフィードに基づいて疑わしいと見なされる場合

Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーがこれらの要因の組み合わせに基づいて疑わしいコンテキストからログオンすると、リスクインジケーターがトリガーされます。

このリスクインジケーターは、Citrix Virtual Apps and Desktops データソースに関連付けられた 異常な場所からのアクセス リスクインジケーターを置き換えます。異常な場所からのアクセス リスクインジケーターに基づいていた既存のポリシーは、新しいリスクインジケーターである 疑わしいログオン に自動的にリンクされます。

リスクインジケーターの詳細については、「Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター」を参照してください。

SIEM メッセージの強化

Citrix Analytics for Security は、疑わしいログオン リスクインジケーターのスキーマ詳細を SIEM サービスに送信するようになりました。疑わしいログオン リスクインジケーターのインジケーターサマリーとイベント詳細のスキーマを表示できます。詳細については、「SIEM 用 Citrix Analytics データ形式」を参照してください。

修正された問題

• Apps and Desktops のセルフサービス検索で、クライアント IP 値がダウンロードされた CSV ファイルで欠落しています。この問題は修正されました。[CAS-58426]

2021年8月19日

最新情報

Splunk 用 Citrix Analytics アプリの導入

注

このアプリはプレビュー版です。

Splunk 用 Citrix Analytics アプリを使用すると、Citrix Analytics for Security から収集されたデータを Splunk のインサイトに富んだダッシュボードで表示できます。ダッシュボードは、ユーザーの危険なイベントに関するインサイトを提供します。また、Citrix Analytics のデータを他のさまざまなデータソースから収集されたログと関連付けることもできます。関連付けは、イベント間の関係を見つけ、IT 環境を保護するためにタイムリーなアクションを実行するのに役立ちます。

アプリをダウンロードするには、Splunkbase にアクセスしてください。Splunk 検索ヘッドにアプリをインストールします。

詳細については、「Splunk 用 Citrix Analytics アプリ」を参照してください。

SIEM のカスタムリスクインジケーターのスキーマ

SIEM サービスで、Citrix Virtual Apps and Desktops および Citrix DaaS 用に作成されたカスタムリスクインジケーターのスキーマを表示できるようになりました。このデータは、組織のセキュリティリスク体制に関するインサイトを得るのに役立ちます。

カスタムリスクインジケーターのスキーマの詳細については、「SIEM 用 Citrix Analytics データ形式」を参照してください。

Citrix Director のデータソースとしてのサポート

Citrix Director のオンプレミスサイトを構成して、イベントを Security Analytics に送信できるようになりました。これらのイベントは、Security Analytics に接続されているユーザーを検出し、ユーザーのデバイスにインストールされている Workspace アプリのバージョンを特定するために使用されます。

デフォルトでは、サイトの検出後にデータ処理が有効になります。監視 カードで、接続されているすべてのサイトを表示できます。

Director でサイトを構成する方法の詳細については、「Citrix Virtual Apps and Desktops および Citrix DaaS データソース」を参照してください。

アクセス保証場所ダッシュボードでのジオフェンスのサポート

ダッシュボードの ジオフェンス設定 を使用して、ジオフェンスエリアを選択して有効にできるようになりました。ジオフェンスを有効にすると、マップにはジオフェンスエリア (国) と、ジオフェンス外およびジオフェンス内からのユーザーログオンが表示されます。この機能は、CVAD-ジオフェンス外から開始されたセッション リスクインジケーターを使用してユーザーログオンを監視します。

詳細については、「アクセス保証場所ダッシュボード」を参照してください。

ユーザーページの Workspace アプリステータス

ユーザー ページで、Citrix Analytics でサポートされている Citrix Workspace アプリクライアントのステータスを表示できるようになりました。ページには以下のステータスが表示されます。

• サポート対象
• 部分的にサポート対象
• サポート対象外
• 利用不可
• 非アクティブ

このステータスは、ユーザーが使用しているサポート対象外のクライアントバージョンを特定し、ユーザーにクライアントをサポート対象バージョンにアップグレードするよう推奨するのに役立ちます。サポート対象のクライアントバージョンは、ユーザーイベントを Citrix Analytics に送信します。

注

Citrix Workspace アプリのステータスを表示するには、Citrix Director データソースをオンボーディングする必要があります。そうしないと、すべての Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーのステータスが 非アクティブ と表示されます。

詳細については、「ユーザーダッシュボード」を参照してください。

IS EMPTY 演算子のサポート

カスタムリスクインジケーターを作成する際に、条件で IS EMPTY 演算子を使用して、null または空のディメンションをチェックできるようになりました。

注

この演算子は、App-Name、Browser、Country などの文字列型ディメンションにのみ機能します。

詳細については、「カスタムリスクインジケーター」を参照してください。

リスクスコアリングの改善

ユーザーのタイムラインで、ユーザーのリスクサマリーを表示できるようになりました。リスクサマリーは、ユーザーイベントに関連付けられたリスク要因に関する情報を提供します。リスク要因は、ユーザーイベントの異常のタイプを特定し、リスクスコアを決定するのに役立ちます。リスク要因は次のとおりです。

• デバイスベースのリスクインジケーター

• 場所ベースのリスクインジケーター

• IP ベースのリスクインジケーター

• ログオン失敗ベースのリスクインジケーター

• データベースのリスクインジケーター

• ファイルベースのリスクインジケーター

• カスタムリスクインジケーター

• その他のリスクインジケーター

ユーザーのタイムラインで、リスク要因に基づいてユーザーイベントを表示するようにフィルターを適用できるようになりました。

詳細については、以下のトピックを参照してください。

• Citrix ユーザーリスクインジケーター

• ユーザーリスクタイムラインとプロファイル

2021年7月29日

非推奨機能

Citrix Endpoint Management™ に関連付けられた非推奨アクション

Citrix Endpoint Management データソースから以下の操作が削除されました。これらの操作をリスクインジケーターに適用したり、これらの操作を使用してポリシーを作成したりすることはできなくなりました。

• デバイスのロック

• Endpoint Management 管理者への通知

• ユーザーへの通知

• デバイスの取り消し

• デバイスのワイプ

既存のポリシーでこれらの操作がすでに使用されている場合、それらは自動的に ウォッチリストへの追加 操作に置き換えられます。そして、ウォッチリストからそのようなユーザーを監視できます。

2021年7月14日

最新情報

IS NOT EMPTY 演算子のサポート

カスタムリスクインジケーターを作成する際に、条件で IS NOT EMPTY 演算子を使用して、ディメンションが空ではない (空白ではない) ことを確認できるようになりました。

注

この演算子は、App-Name、Browser、Country などの文字列型ディメンションにのみ機能します。

たとえば、次の条件は、国値が null ではない国からのユーザーログオンイベントを検出します。つまり、国名が指定されています。

Event-Type = “Session.logon” AND Country IS NOT EMPTY

詳細については、「カスタムリスクインジケーター」を参照してください。

2021年7月6日

最新情報

ユーザーダッシュボードで危険ではないユーザーを表示

ユーザー ダッシュボードで、選択した期間の危険ではないユーザーの数を表示できるようになりました。これらの検出されたユーザーは、選択した期間のリスクスコアがゼロであることに基づいて、危険ではないと識別されます。危険ではないユーザー カードをクリックすると、リスクスコアがゼロのすべてのユーザーが表示されます。

詳細については、「ユーザーダッシュボード」を参照してください。

2021年7月1日

最新情報

アクセス保証場所ダッシュボードの強化

• 上位10件の一意のログオン場所 テーブルで、不明な場所からの一意のユーザーログオン数を表示できます。このリストは、上位10件の一意のログオン場所のサブセットです。また、場所が不明である理由と、ユーザーの場所を取得する可能な方法も確認できます。

  

• アクセス場所 ページで複数の場所を選択した場合、すべての場所、上位5つの場所、下位5つの場所からのユーザーログオンのタイムライン詳細を表示および比較できます。

  

• アクセス場所 ページで、国とその都市、オペレーティングシステム - メジャーバージョンとマイナーバージョンなどのネストされたファセットを使用できます。これらのファセットにより、イベントをきめ細かくフィルタリングできます。

  

詳細については、「アクセス保証場所」を参照してください。

Virtual Apps and Desktops のセルフサービス検索で OS ファセットを更新

ネストされた OS ファセットを使用して、Apps and Desktops イベントをフィルタリングできるようになりました。オペレーティングシステムに関連付けられたメジャーバージョンとマイナーバージョンを選択し、イベントをきめ細かくフィルタリングします。詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。

2021年6月30日

最新情報

Apps and Desktops のカスタムリスクインジケーター条件に Workspace アプリバージョンを追加

Apps and Desktops データソースの場合、カスタムリスクインジケーターを作成する際に、Workspace-App-Version ディメンションを使用して条件を定義できるようになりました。ディメンションの詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。

2021年6月23日

最新情報

SIEM メッセージの強化

リスクインジケーターのスキーマに以下のフィールドが追加されました。

• indicator_vector_name - リスクインジケーターに関連付けられたリスクベクトルを示します。リスクベクトルは、デバイスベースのリスクインジケーター、場所ベースのリスクインジケーター、ログオン失敗ベースのリスクインジケーター、IP ベースのリスクインジケーター、データベースのリスクインジケーター、ファイルベースのリスクインジケーター、およびその他のリスクインジケーターです。

• indicator_vector_id - リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスクインジケーター、ID 2 = 場所ベースのリスクインジケーター、ID 3 = ログオン失敗ベースのリスクインジケーター、ID 4 = IP ベースのリスクインジケーター、ID 5 = IP ベースのリスクインジケーター、ID 6 = データベースのリスクインジケーター、ID 7 = その他のリスクインジケーター、ID 999 = 利用不可。

詳細については、「SIEM 用 Citrix Analytics データ形式」を参照してください。

2021年6月7日

最新情報

管理者への通知アクションの強化

リスクインジケーターに 管理者への通知 アクションを適用したり、そのアクションを含むポリシーを作成したりすると、ユーザーの危険な行動に関する通知を受け取る管理者を選択できるようになりました。アクションの詳細については、「ポリシーとアクション」を参照してください。

読み取り専用共有アクションのサポートを追加

ユーザーがファイルを過剰に共有した場合、Citrix Analytics は 過剰なファイル共有 リスクインジケーターをトリガーします。ユーザーのリスクタイムラインから、過剰なファイル共有 リスクインジケーターに リンクを読み取り専用共有に変更する アクションを適用できるようになりました。また、共有リンクのリスクタイムライン上の特定の共有リンクにアクションを適用することもできます。このアクションは、他のユーザーが共有リンクに関連付けられたファイルをダウンロード、コピー、または印刷するのを防ぎます。アクションの詳細については、「ポリシーとアクション」を参照してください。

2021年5月18日

最新情報

デフォルトのリスクインジケーターからカスタムリスクインジケーターへの移行

以下のデフォルトのリスクインジケーターは、事前構成されたカスタムリスクインジケーターに移行されました。

デフォルトのリスクインジケーター	データソース	事前構成されたカスタムリスクインジケーター
新しいデバイスからの初回アクセス	Citrix Virtual Apps and Desktops および Citrix DaaS	CVAD-新しいデバイスからの初回アクセス
新しい IP からの初回アクセス	Citrix Gateway	Gateway-新しい IP からの初回アクセス

このカスタムリスクインジケーターへの移行により、デフォルトのリスクインジケーターと関連する機械学習アルゴリズムは非推奨になりました。

対応するカスタムリスクインジケーターは、以下の事前構成された条件に基づいてトリガーされます。

• ユーザーが新しいデバイスから初めてアクセスした場合、または最低90日間使用されていない既存のデバイスからアクセスした場合。

• ユーザーが新しい IP アドレスから初めてサインインした場合、または最低90日間使用されていない既存の IP アドレスからサインインした場合。

事前構成された条件に加えて、Citrix 環境の脅威を特定するために、これらのカスタムリスクインジケーターに独自の条件を追加できるようになりました。このオプションにより、セキュリティニーズに基づいてカスタムリスクインジケーターを構成する柔軟性が得られます。また、これらのカスタムリスクインジケーターによって検出された危険なイベントにアクションを適用するポリシーを作成することもできます。

ただし、ユーザーのタイムラインでは、以前にトリガーされたデフォルトのリスクインジケーターとそのイベントを引き続き表示できます。

これらのデフォルトのリスクインジケーターに関連付けられたポリシーは、対応する事前構成されたカスタムリスクインジケーターに自動的にリンクされます。

詳細については、「事前構成されたカスタムリスクインジケーターとポリシー」を参照してください。

Gateway のセルフサービス検索の強化

• イベントタイプ フィルターが レコードタイプ に名称変更されました。イベントをフィルタリングするには、VPN_AI、VPN_IF、VPN_ST のいずれかのレコードタイプを選択します。

• データ テーブルで、ユーザーイベントの行を展開して、対応するイベントタイプを表示します。イベントタイプは、認証、ICA® ファイル、またはセッションログアウトのいずれかです。

次の表は、レコードタイプとイベントタイプの相関関係を示しています。

レコードタイプ	イベントタイプ
VPN_AI	認証
VPN_IF	ICA ファイル
VPN_ST	セッションログアウト

詳細については、「Gateway のセルフサービス検索」を参照してください。

修正された問題

• カスタムリスクインジケーターは、条件値の大文字と小文字の区別に基づいてトリガーされます。たとえば、許可リストにデバイス ID を含むユーザーイベントでは、次の動作が表示されます。

  • Device-ID ディメンションの値を小文字で入力すると、カスタムインジケーターがトリガーされます。

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

  • 同じデバイスの Device-ID ディメンションの値を大文字で入力すると、カスタムインジケーターはトリガーされません。

    Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

  この問題は修正され、カスタムリスクインジケーターは条件値の大文字と小文字の区別に関係なくトリガーされます。

  [CAS-50153]

2021年4月29日

最新情報

カスタムリスクインジケーターのイベント詳細

ユーザーのリスクタイムラインページで、カスタムリスクインジケーターをトリガーしたイベントを表示できるようになりました。以前は、カスタムリスクインジケーターの定義された条件、説明、およびトリガー頻度のみを表示できました。イベント検索 をクリックすると、ユーザーとリスクインジケーターに関連付けられたイベントの詳細が表示されます。 詳細については、「カスタムリスクインジケーター」を参照してください。

修正された問題

• 管理者は、アクセス権限が読み取り専用管理者からフル管理者に変更された後でも、カスタムリスクインジケーターを作成できません。[CAS-49628]

2021年4月16日

最新情報

SIEM メッセージの強化

リスクインジケーターのスキーマ形式で以下の機能強化を表示できます。

• クライアント IP アドレスは、すべてのバッチリスクインジケーターのスキーマで利用可能になりました。以前は、クライアント IP アドレスはいくつかのバッチリスクインジケーターでのみ利用可能でした。

  • EPA スキャン失敗
  • 過剰な認証失敗
  • 疑わしい IP からのログオン
  • 異常な場所からのアクセス
  • 異常な認証失敗
  • 匿名機密共有ダウンロード
  • 潜在的なデータ流出

• 整数データ型フィールドの値が利用できない場合、割り当てられる値は -999 です。たとえば、"latitide" = -999。

• 文字列データ型フィールドの値が利用できない場合、割り当てられる値は NA です。たとえば、"city"= "NA"。

詳細については、「SIEM 用 Citrix Analytics データ形式」を参照してください。

2021年3月26日

最新情報

SIEM メッセージの制限

Citrix Analytics は、各リスクインジケーターの発生に対して最大1000件のイベント詳細を SIEM サービスに送信します。これらのイベントは、発生の時系列順に送信されます。詳細については、「SIEM 用 Citrix Analytics データ形式」を参照してください。

SIEM メッセージにデータソース ID とインジケーターカテゴリ ID フィールドを追加

インジケーターサマリースキーマとインジケーターイベント詳細スキーマに以下のフィールドが追加されました。

フィールド	説明
data_source_id	データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Virtual Apps and Desktops、ID 4 = Citrix Access Control™
indicator_category_id	リスクインジケーターカテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = 内部脅威、ID 3 = 侵害されたユーザー

詳細については、「SIEM 用 Citrix Analytics データ形式」を参照してください。

2021年3月18日

最新情報

アクセス保証場所ダッシュボード

注

この機能はプレビュー版です。

アクセス保証場所 ダッシュボードは、Citrix Virtual Apps and Desktops および Citrix DaaS ユーザーが選択した期間にログオンした場所の概要を提供します。Citrix Analytics は、ユーザーのデバイスにインストールされている Citrix Workspace アプリからこれらのユーザーログオンイベントを受信します。

ダッシュボードを表示するには、［セキュリティ］>［アクセス保証］ をクリックします。

選択した期間の以下の情報を表示できます。

• 特定の場所および複数の場所からのユーザーログオンの合計数。

• 複数の場所からのユニークユーザーログオンの合計数。

• ユーザーがログオンした国の合計数。

• ユニークユーザーログオンのある上位10か所の場所。

詳細については、「アクセス保証場所」を参照してください。

NOT LIKE (!~) 演算子のサポート

セルフサービス検索クエリおよびカスタムリスクインジケーター条件で、NOT LIKE (!~) 演算子を使用できるようになりました。この演算子は、指定したパターンに一致するユーザーイベントをチェックします。イベント文字列のどこにも指定したパターンが含まれていないイベントを返します。

たとえば、クエリ User-Name !~ “John” は、John、John Smith、または「John」という一致する名前を含むその他のユーザーを除くユーザーのイベントを表示します。

詳細については、「セルフサービス検索」を参照してください。

翻訳されたオペレーティングシステムバージョン

Citrix Virtual Apps and Desktops および Citrix DaaS データソースの場合、プラットフォーム ディメンションは、OS-メジャーバージョン、OS-マイナーバージョン、および OS-追加詳細 ディメンションとして翻訳されるようになりました。ユーザーのオペレーティングシステム詳細に基づいて、Citrix Analytics はこれらのディメンションをセルフサービス検索ページに表示します。

これらのディメンションを使用して、カスタムリスクインジケーターの条件を定義できます。

以前に作成されたカスタムリスクインジケーターで、プラットフォーム ディメンションを条件として使用していた場合、Citrix Analytics は プラットフォーム ディメンションを OS-メジャーバージョン、OS-マイナーバージョン、および OS-追加詳細 に自動的に置き換えます。この更新は、定義された条件の整合性には影響しません。

新しいディメンションの詳細については、「Virtual Apps and Desktops のセルフサービス検索」を参照してください。

Apps and Desktops のデータフィールドを更新

Apps and Desktops のセルフサービス検索で、コンテキストテンプレートに基づいて更新されたデータフィールドを表示します。

詳細については、「Apps and Desktops のセルフサービス検索」を参照してください。

非推奨機能

セルフサービス検索ページから VPN_AF および VPN_SU イベントを削除

Citrix Gateway データソースのセルフサービス検索ページから、以下のレコードタイプが削除されました。

レコードタイプ	レコード名
VPN_SU	セッション更新レコード
VPN_AF	アプリケーション起動失敗レコード

したがって、これらのレコードタイプに基づいてイベントをフィルタリングして表示することはできません。これらのレコードタイプに基づいたカスタムリスクインジケーターは機能しなくなります。

詳細については、「Gateway のセルフサービス検索」を参照してください。

2021年3月11日

最新情報

ユーザーリスクスコアスキーマの現在のタイムスタンプ

ユーザーリスクスコアスキーマ形式に新しいフィールド last_update_timestamp が追加されました。このフィールドは、リスクスコアが最後に更新された時刻を示します。スキーマ形式の詳細については、「ユーザーリスクスコアスキーマ」を参照してください。

2021年3月3日

最新情報

疑わしい IP からのログオンリスクインジケーターの強化

ユーザーのリスクタイムラインページで、疑わしい IP からのログオン リスクインジケーターの新しいセクション 疑わしい IP が表示されます。このセクションには、以下の情報が提供されます。

• 疑わしいサインインアクティビティが検出された IP アドレス。
• ユーザーの場所。
• Citrix Analytics が組織で最近検出した疑わしい IP アクティビティのパターン。
• IP アドレスに関するコミュニティレベルのインテリジェンスフィード。

詳細については、「疑わしい IP からのログオン」リスクインジケーターを参照してください。

異常な場所からのアクセスリスクインジケーターの強化

• Citrix Content Collaboration の異常な場所からのアクセスリスクインジケーターで、イベントテーブルに ツール名 列が追加されました。イベントテーブルから デバイスブラウザ 列が削除されました。詳細については、「Citrix Content Collaboration リスクインジケーター」を参照してください。

• Citrix Virtual Apps and Desktops および Citrix DaaS の異常な場所からのアクセスリスクインジケーターで、イベントテーブルに デバイス ID および レシーバータイプ 列が追加されました。詳細については、「Citrix Virtual Apps and Desktops リスクインジケーター」を参照してください。

SIEM 用 Citrix Analytics データ形式

この記事 では、Citrix Analytics が SIEM サービス用に生成する処理済みデータのスキーマについて説明しています。

修正された問題

• Content Collaboration ユーザーの場合、Is Employee の値が null の場合、ユーザーは検出されたユーザーリストに表示されません。[CAS-47815]

2021年2月18日

最新情報

カスタムリスクインジケーターでの新しいエンティティからの初回アクセスのサポート

新しいエンティティから初めてイベントを受信したときにトリガーされるリスクインジケーターを作成できるようになりました。エンティティの例としては、クライアント IP、都市、国などがあります。

インジケーターの作成 ページで、初回 オプションをクリックします。新しいエンティティの初回 ボタンを有効にし、データソースに基づいてリストから有効なエンティティを選択します。エンティティに特定の値を割り当てる必要はありません。たとえば、リストから 都市 を選択した場合、Citrix Analytics は、ユーザーが新しい都市から初めてサインインするたびにリスクインジケーターをトリガーします。

詳細については、「カスタムリスクインジケーターの作成」を参照してください。

カスタムリスクインジケーター作成の最大制限

カスタムリスクインジケーターを最大50個まで作成できるようになりました。この最大制限に達した場合、カスタムリスクインジケーターを作成するには、既存のカスタムリスクインジケーターを削除または編集する必要があります。

詳細については、「カスタムリスクインジケーター」を参照してください。

Citrix Virtual Apps and Desktops および Citrix DaaS からのユーザー位置データ

ユーザー情報 ページで、Citrix Analytics は Citrix Virtual Apps and Desktops および Citrix DaaS データソースからのユーザーの場所を表示するようになりました。

ユーザーの場所の詳細については、「ユーザープロファイル」を参照してください。

複数列ソート

セルフサービス検索ページで、ユーザーイベントを複数の列でソートできるようになりました。ソート順 をクリックし、列とソート順を追加します。適用 をクリックしてユーザーイベントをソートします。最大6つの列を追加して、複数列ソートを実行できます。

詳細については、「セルフサービス検索」を参照してください。

非推奨機能

過剰な認証失敗リスクインジケーターの非推奨化

Citrix Gateway リスクインジケーター - 過剰な認証失敗 は非推奨になりました。このインジケーターに関連する履歴データのみを表示できます。

この非推奨化の一環として、以下の変更が適用されます。

• Citrix Analytics はこれらのリスクインジケーターを生成しなくなります。

• Citrix Analytics は、これらのリスクインジケーターを条件とするポリシーを生成しなくなります。

• これらのリスクインジケーターを条件とするデフォルトポリシーは機能しなくなります。

詳細については、「Citrix Gateway リスクインジケーター」を参照してください。

2021年1月27日

最新情報

異常な場所からのアクセスリスクインジケーターの強化

Citrix Content Collaboration、Citrix Gateway、および Citrix Virtual Apps and Desktops の場合、異常な場所からのアクセス リスクインジケーターは、ユーザーが新しい国に関連付けられた IP アドレス、または以前のサインイン場所から異常に遠い新しい都市からサインインしたときにトリガーされるようになりました。その他の要因には、ユーザーの全体的な移動レベルと、組織内のすべてのユーザーにおける都市からのサインインの相対的な頻度が含まれます。すべての場合において、ユーザーの場所履歴は過去30日間のサインインアクティビティに基づいています。

リスクインジケーターの詳細については、以下のトピックを参照してください。

• Citrix Content Collaboration リスクインジケーター

• Citrix Gateway リスクインジケーター

• Citrix Virtual Apps and Desktops および Citrix DaaS リスクインジケーター

2021年1月20日

修正された問題

• オンプレミス StoreFront を使用する Apps and Desktops データソースの場合、StoreFront 展開が正常に接続されていてもデータ処理が失敗します。

  [CAS-46656]

2021年1月19日

修正された問題

• カスタムリスクインジケーターページで、検索フィールドの無効な条件を修正した後、トリガーの推定 リンクが応答しません。

  たとえば、無効な条件 Client-IP = 10.10.10.10 を入力します。この条件を修正して Client-IP = “10.10.10.10” と入力した後、トリガーの推定 リンクが応答しません。

  回避策: カスタムインジケーターページを更新し、有効な条件でカスタムインジケーターを作成します。

  [CAS-46316]

2021年1月13日

最新情報

Splunk 用 Citrix Analytics アドオンの新しいバージョンが利用可能に

Splunk 用 Citrix Analytics アドオンバージョン 2.1.0 が利用可能になりました。ファイルをダウンロードするには、ダウンロード ページにアクセスしてください。

Splunk Cloud Inputs Data Manager (IDM) および Splunk 8.1 64ビットのサポートを追加

Citrix Analytics for Security を Splunk Cloud IDM および Splunk 8.1 64ビットと統合できるようになりました。詳細については、「Splunk 統合」を参照してください。

非推奨のサポート

Splunk 7.1 64ビットのサポートを削除

Citrix Analytics for Security を Splunk 7.1 64ビットと統合することはできなくなりました。サポートされている Splunk バージョンの詳細については、「Splunk 統合」を参照してください。

2021年1月11日

修正された問題

• Virtual Apps and Desktops サイトカードで、サポートされているクライアントユーザー ラベルが ユーザーからの受信イベント に名称変更されました。サポートされていないクライアントユーザー ラベルは ユーザーからのイベントを受信できません に名称変更されました。

  [CAS-44773]

2020年12月17日

最新情報

事前構成されたカスタムリスクインジケーターとポリシーを使用して、異常な場所からのアクセス (ジオフェンシング) をブロックする

Citrix は、Citrix インフラストラクチャのセキュリティを監視するのに役立つ、事前構成されたカスタムリスクインジケーターとポリシーのリストを提供します。これらのインジケーターとポリシーを使用すると、通常の運用国以外の国からのユーザーアクセスをブロックできます。デフォルトでは、国は「米国」に設定されています。ジオフェンシングに必要な国を設定できます。

以下は、事前構成されたカスタムリスクインジケーターとポリシーです。

• CVAD-ジオフェンス外から開始されたセッション

• GW-ジオフェンス交差

• CCC-ジオフェンス交差

• ジオフェンス外からのセッション開始

詳細については、「事前構成されたカスタムリスクインジケーターとポリシー」を参照してください。

ユーザー応答メールでアクセスされた場所を表示

ユーザーデバイスの IP アドレスの代わりに、ユーザー応答メールには、ユーザーが過去15分間にアクセスしたすべての場所が表示されるようになりました。場所は <都市>,<国> 形式で表示されます。都市または国が利用できない場合、対応する値は「不明」と表示されます。

詳細については、「ユーザー応答の要求」を参照してください。

Content Collaboration リスクインジケーターの名称変更 - 新しい場所からの初回アクセス

Citrix Content Collaboration リスクインジケーター 新しい場所からの初回アクセス は、異常な場所からのアクセス に名称変更されました。

詳細については、「異常な場所からのアクセス」を参照してください。

非推奨機能

リスクインジケーターのフィードバック

リスクインジケーターのフィードバックメカニズムは削除されました。Content Collaboration リスクインジケーター - 異常な場所からのアクセスが誤ってトリガーされた場合、誤検知として報告