リファレンスアーキテクチャ:Citrix Analytics

オーディエンス

このドキュメントは、技術プロフェッショナル、IT 意思決定者、パートナー、システムインテグレータを対象としています。このドキュメントでは、管理者はCitrix Analyticsサービスを他のCitrixポートフォリオ製品とともに参照して採用することもできます。Citrix Analytics は、リスク要因を効率的に監視および管理することにより、組織のCitrix環境のセキュリティを強化します。読者は、Citrixポートフォリオ製品とソリューションに関する基本的な知識を持っている必要があります。

このドキュメントの目的

このドキュメントでは、Citrix Analytics サービスの技術的な概要、アーキテクチャ上の概念、機能について説明します。このドキュメントには、管理者とユーザーがCitrix環境を理解して採用できるように、他のCitrixソリューションとカスタマイズされたソリューションが含まれています。

インテリジェントな脅威検出と軽減

今日の時代では、組織は情報のセキュリティとプライバシーについてより懸念を抱き、多くの組織が自社の環境においてクラス最高の防御セキュリティソリューションに賭けてきました。新しいテクノロジーの1つは、インテリジェントな脅威検出プラットフォームです。このようなプラットフォームは、さまざまなソースから脅威データを集約、関連づけ、分析し、関連する防御措置を講じるために、多くの組織を支援します。

ITの動的な環境では、脅威要因は変化し続け、公的組織および民間組織に焦点を当てた高度な脅威が急速に拡大しています。組織には、危険な行為を軽減し、遭遇する完全なセキュリティソリューションが必要です。このソリューションは、組織の知的財産、機密情報、財務データを保護します。

機械学習と人工知能

多くの組織が、さまざまなサイバー攻撃に直面しています(そして今日も引き続き直面しています)。侵入者は攻撃に自動化とスクリプトを採用し、スピードと規模を向上させています。組織は、このような積極的な攻撃に対抗するために、CPU 速度でリアルタイムに緩和し、応答できる必要があります。機械学習と人工知能は、攻撃に対抗し、効果的に防御壁を構築するために組織を支援し、可能にします。

機械学習と人工知能の導入により、IT環境のセキュリティが向上します。労働力のミスを軽減し、削減できます。機械学習と人工知能は、リスク分析、マルウェア対策、異常検出などの分野で役立ちます。

人工知能は、環境内の正常な行動と異常な行動を区別するために適用することができます。機械学習は、これらの動作を認識し、バックグラウンドでネットワークおよびソフトウェアアプリケーションにセキュリティレイヤーを提供するために使用することができます。機械学習は、保存されたログ/レコードを使用し、将来のデータを予測するために、分析から学習します。

CAS-1

上の図は、概念的な機械学習プラットフォームを示しています。一般に、機械学習プラットフォームは、データ収集ポイント(データソース)からの入力データを分析するためのものです。後の段階では、アプリケーションのタイプに基づいてデータを分離します。プラットフォームは、データと結果に基づいてモデルとプロファイルを更新し続けます。機械学習技術は、要件に固有の複数の方法で適用されます。

より大規模なデータセットに機械学習技術を適用することで、組織は脅威インテリジェンスのコンパイルと脅威調査をより効率的に行うことができます。このようにして、組織は、セキュリティの脅威や懸念に対するアプローチをより積極的に行うことができます。

Citrix Analytics の概要

多くの組織が世界中からサイバー脅威に直面しています。リアルタイムでは、外部の脅威よりも被害の大きい可能性があるため、内部者の脅威を特定することは困難です。標準的な分析では、システムに重大な損傷を与える前に、これらの脅威が公開されないことがよくあります。組織は、プロアクティブで安全なインサイトを提供するユーザー行動分析を採用する必要があります。標準的な分析ソリューションでは、主にセキュリティに重点を置き、解決ではユーザーセッションやユーザーアクティビティに関する情報を可視化することはできません。最終的には、ITチームは、IT環境のパフォーマンスと運用の制御を失います。

Citrixは、Citrix製品ポートフォリオ全体で機能するターンキーソリューションを開発しました。Citrix Analytics は、Citrixポートフォリオ製品とサードパーティ製品のデータを収集します。Citrix Analytics を使用すると、管理者はCitrix環境全体のセキュリティ脅威を検出し、分析し、プロアクティブに対応できます。

Citrix Analytics を使用すると、管理者はユーザーとアプリケーションのセキュリティの脅威を処理し、アプリケーションのパフォーマンスを向上させ、継続的な運用をサポートできます。Citrix Analytics は、Citrix Cloudを通じて提供されるCloudサービスとして利用できます。

Citrix Analyticsオファリング

セキュリティ分析

セキュリティ分析では、ユーザーとアプリケーションの動作を可視化できます。管理者は、通常の動作と悪意のある攻撃者を区別できます。内部および外部の脅威をプロアクティブに識別および管理する、作り付けの機械学習プラットフォームです。

パフォーマンス分析

パフォーマンス分析は、組織全体のユーザーセッションの詳細を可視化します。分析エンジンによって収集されたメトリックは、ユーザーのログインセッション中に発生する問題を特定するのに役立ちます。

オペレーション分析

Operations Analytics は、訪問した Web サイトや帯域幅消費などのユーザーアクティビティに関する情報を提供します。データソースから受信したメトリックは、ネットワークを監視し、是正措置を講じるのに役立ちます。

CAS-2

上の図は、Citrix Analytics サービスを示しています。これは、Citrixポートフォリオ製品とサードパーティ製品全体で機能するクラウドベースのサービスです。これは、異なるデータソースからデータを収集し、ユーザーまたは他のエンティティの異常な動作を検出します。このプロセスでは、お客様の環境を継続的に監視する機械学習 (ML) アルゴリズムを使用します。

データガバナンスとデータソース

データガバナンスは、ログの収集、保存、保持に関する情報を提供し、収集したデータを Analytics サービスによって保護します。セキュリティ管理者は、監視する必要があるログを選択し、ログに記録されたアクティビティに基づいて代表的なアクションを実行できます。

CAS-3

ほとんどの組織は、個々のアプリケーションまたはセクションに対して何らかのデータガバナンスを持っています。データガバナンスは、プロジェクトの実施中に実行するために不可欠なタスクです。データガバナンスによって包含される義務的なトピックのいくつかは次のとおりです。

  • データソース
  • データのプライバシー
  • データ送信
  • データ管理
  • データ保持
  • データストレージ
  • データの品質と種類

参照: データガバナン

データソース

データソースは、Citrix Analytics にデータを送信するサービスです。製品内の特定の機能を有効にすることにより、Citrix Analytics へのデータソースとなるクラウド上またはオンプレミスの場所で実行されているサービス。

Citrix Cloud上で実行されているサービス(Content Collaboration、Citrix Cloudアカウントに関連付けられたEndpoint Management など)は、Citrix Analytics によって自動的に検出されます。Citrix Gateway、Citrix Virtual Apps and Desktops などのオンプレミスサービスは、データソースとしてCitrix Analytics に追加できます。

上記の図は、Microsoft® Graph セキュリティや Microsoft® Active Directory などの外部データソースが Citrix Analytics データソースの一部であることを示しています。Citrix Analytics は、統合に成功した後、これらの外部データソースからデータをキャプチャします。

参照: データソース

技術概念

このセクションでは、Citrix Analytics が提供するアーキテクチャとサービスについて説明します。

Citrixポートフォリオ製品向けCitrix Analytics

Citrix Analytics は、複数のCitrix製品およびMicrosoft® 製品と統合できます。ユーザー、アプリケーション、エンドポイント、ネットワーク、データに関するメトリクスを収集し、ユーザーの行動に関する包括的な洞察を提供します。Citrix Analytics は、今日の時点で、次の製品をサポートしています。

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops
  • Citrix Endpoint Management

Citrix Analytics は、ネットワークを介してユーザーとアプリケーションのプロファイルを作成します。プロファイル作成は、データソースから収集された情報/データ (ユーザーの行動情報) でのみ可能です。このプロファイルには、デバイス、ファイル、場所などに関する情報が含まれます。ネットワーク内の脅威を軽減するために、分析によって生成されるパターンは、高い可視性を提供し、必要なアクションを実行します。このサービスは、環境内のユーザーの動作を完全に可視化します。

CAS-4

上の図は、Citrix製品とCitrix Analytics クラウドサービスの統合を示しています。通常、エンドユーザーは自分のデバイスを使用してCitrix Workspaceに接続し、必要なリソースにアクセスします。これらのサービスは、Citrix CloudでホストされているCitrix Analytics サービスと通信します。また、お客様は、オンプレミスのCitrix Virtual Apps and Desktops 環境を結び戻して、Citrix Analytics サービスと通信できます。オンプレミスのリソースを接続するには、サイト集約またはDelivery ControllerにインストールされているオンプレミスのStoreFront およびCitrix Analytics エージェントが必要です。

Citrix Analytics サービスは、データソースから直接ログを受信します。キャプチャされたデータは、13か月間データベースに残ります。Citrix Analytics では、これらのメトリックを機械学習プラットフォームで分析し、逸脱または疑わしいアクティビティが発生した場合にアクションを実行できます。

Citrix Analytics とMicrosoft®製品の統合

今日のほとんどの組織は、エンドポイント保護、ネットワークファイアウォール、ID、アクセス制御、クラウドセキュリティなど、さまざまなセキュリティソリューションのポートフォリオに依存しています。結局、それはコストと複雑さを増加する傾向があります。それに加えて、複数のセキュリティツールとワークフローを接続することは、ITチームにとって困難な作業になります。これらの課題を克服するために、統合プロセスが簡素化されます。Citrix Analytics とMicrosoft® 製品との統合により、セキュリティとインシデント管理の統合が可能になり、レポート作成と分析が簡素化されます。

Citrix Analytics は、Microsoft® グラフセキュリティおよびMicrosoft® Active Directory を含むMicrosoft® 製品の統合をサポートしています。現在、Azure AD アイデンティティ保護と Microsoft® Graph Security から Windows Defender ATP をサポートしている。Microsoft® 製品でこのサービスを有効にするには、Citrix CloudからCitrix Analytics サービスを有効にする必要があります。詳細については、 次のリンクを参照してください

Microsoft® グラフセキュリティでCitrix Analytics 有効にする

Microsoft® Graph Security API は、セキュリティアラートの統合、コンテキスト情報の解放、セキュリティの自動化を簡素化する標準インターフェイスと統一されたスキーマを提供します。Microsoft® グラフセキュリティは、Microsoft® ディフェンダー ATP、Office 365 ATP、Azure ATP、Microsoft® Intune、Azure Sentinel など、複数のセキュリティプロバイダーのデータを集約します。

Microsoft® グラフセキュリティAPIは、Citrix Analytics と簡単に結合できます。Microsoft® Graph セキュリティは、セキュリティプロバイダーからデータを送信する Analytics サービスのデータソースとして機能します。現在、このソリューションは、Microsoft® Graph Securityの次のセキュリティプロバイダをサポートしています。

  • Azure AD Identity Protection
  • Windows Defender ATP

CAS-5

上の図は、Citrix Analytics を使用したMicrosoft® セキュリティグラフソリューションで、全体的な分析機能を強化しています。管理者は、アプリケーションやエンドユーザーのデスクトップを含む、リソース使用中のユーザーの動作に関する明確な洞察を得ることができます。Citrix Analytics は、Azure でホストされている Microsoft® グラフセキュリティからデータを取得します。どちらの製品も同じプラットフォーム上で動作し、統合も容易になります。

Citrix Analytics UIは、高、中、低のリスクスコアインジケータに基づいて処理されたデータを提供します。リスクスコアに基づいて、価値分析はその特定のユーザーに対してアクションを実行できます。Microsoft® Graph SecurityからCitrixへの外部フィードを使用すると、アナリティクス管理者はユーザーによるリソースへのアクセスの全体像を把握できるようになります。

参考: Microsoft® Graph セキュリティの統合

アナリティクスをMicrosoft® Active Directory と統合する

組織では、Microsoft® Active Directory サービスとCitrix Analytics を接続できるため、Citrix Analytics のユーザープロファイルが強化されます。Citrix Analytics ユーザープロファイルには、ユーザー情報やユーザーグループデータなどのインポートされた情報が含まれます。リスクの高いユーザーがCitrix Analytics によって識別された場合、役職、組織、オフィスの場所、電子メール、連絡先の詳細などのインポートされた情報は、ユーザープロファイルを可視化するのに役立ちます。

セキュリティ分析には、特権ユーザーの監視に関する規定があります。この機能により、管理者は特権ユーザーの動作異常を詳細に監視できます。たとえば、特権ユーザーがファイルやフォルダの削除を過度に開始すると、機械学習プラットフォームは異常な動作を検出し、アラームをトリガーします。

参照: Citrix Analytics の特権ユーザー

CAS-6

前の図は、Microsoft® Active Directory とCitrix Analytics 統合を示しています。管理者がこのサービスを有効にする前に、Cloud Connectors がオンプレミスでインストールされ、情報が取得されます。統合に成功すると、Citrix管理者はCitrix Analytics UIでデータ処理を有効にして、環境内で特定されたリスクを監視およびトラブルシューティングできるようにする必要があります。

Microsoft® Active Directory との統合について詳しくは、 このリンクを参照してください

分析

Citrix環境でCitrix Analytics を採用することにより、無数のユースケースが存在します。分析サービスは、次の 3 つの領域に分かれています。

  • セキュリティ分析
  • パフォーマンス分析
  • オペレーション分析

各オファリングについては、次のセクションで説明します。

セキュリティ分析

Security Analytics では、エンドポイントからのデータを集約して、セキュリティモニタリングと脅威検出を行います。多くの展開では、大規模で多様なデータセットをアルゴリズムに組み込んだ異なるツールセットがあります。テクノロジーが変わるにつれ、セキュリティ分析には適応型学習スキルが含まれます。これにより、異常検出の背後にある学習とロジックに基づいて、検出モデルのキャリブレーションに役立ちます。

Citrix Security Analyticsは、複数のデータソースからデータを受け取り、実用的な洞察を表示します。Security Analytics 内の機械学習アルゴリズムは、ユーザーの動作を検出し、事前定義されたアクションを実行します。ユーザー、ユーザーの動作、エンドポイント、ネットワークトラフィック、およびファイルに基づいて動的なリスクスコアインジケータ。

セキュリティ分析では、次のとの統合がサポートされています。

  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Secure Private Access
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops
  • Microsoft® Graph Security
  • Microsoft® Active Directory

セキュリティ分析の詳細については、 次のリンクを参照してください

ユーザーリスク指標

ユーザーリスクインジケータは、疑わしいように見える、または組織にセキュリティ上の脅威を与える可能性があるユーザーアクティビティです。ユーザーリスクインジケータは、展開で使用されるすべてのCitrix 製品にまたがります。符号は、ユーザーの行動に基づいており、ユーザーの行動が標準から逸脱したときにトリガーされます。ユーザーリスク指標は、ユーザーのリスクスコアを決定するのに役立ちます。

ユーザーリスクインジケータは、次のカテゴリに基づいて発生します。

  • アクセスベース
  • データベース
  • アプリケーションベース

CAS-7

前の図は、ユーザーのリスクスコアインジケータを示しています。インジケータはユーザーの行動に基づいており、ユーザーの行動が標準から逸脱したときにトリガーされます。

参照: Citrix ユーザーリスク指標

ポリシーとアクション

ポリシーは、アクションを実行するために満たす必要のある条件のセットとして定義されます。ポリシーには、1 つの条件と 1 つ以上のアクションが含まれます。管理者は、ユーザーのアカウントに適用できる複数のアクションを使用して 1 つのポリシーを作成できます。

Citrix Analytics ポリシーは、異常なまたは疑わしいアクティビティが発生した場合に、ユーザーアカウントに対してアクションを実行するのに役立ちます。ポリシーが適用されると、予期しないイベントが発生した直後にアクションがトリガーされます。

CAS-8

前述のように、ポリシーは一連の条件です。リスクスコアとリスクスコアの変更は、特定のデータソースの特定のユーザーに適用されるグローバル条件です。

参照: ポリシー

アクションは、疑わしいイベントに対応し、将来の異常なイベントが発生するのを防ぐのに役立ちます。管理者は、異常な動作または疑わしい動作を表示するユーザーアカウントに対してアクションを実行できます。条件に応じて、アクションを自動的に適用するか、手動で適用するかは管理者が行います。

参照: アクション

パフォーマンス分析

パフォーマンス分析は、エンドユーザーエクスペリエンスの問題の根本原因を特定するための強力なツールです。また、ユーザーエクスペリエンスを数値化し、アプリのパフォーマンスはユーザーにエンドツーエンドの可視性を提供します。Performance Analytics では、複数サイトの集約とレポートがサポートされているため、複数のサイトまたは複数のソースからデータを統合表示することができます。

ユーザーエクスペリエンススコアは、待ち時間、ログオン時間、再接続、および失敗に基づいて計算されます。メトリックを鋭く調べることによって特定された問題の正確な根本原因。たとえば、ログオン時間には、仲介、仮想マシンの開始、HDX接続、認証、GPO、プロファイルの負荷などが含まれます。

CAS-9

上の図は、エンドユーザーの待ち時間、ログオン時間、失敗、および再接続から情報を取得することにより、UXスコアのコンパイルを示しています。これにより、管理者はさらにドリルダウンして、ユーザーが発生している問題の根本原因を特定できます。パフォーマンス分析は、オンプレミス環境とクラウドベースのCitrix Virtual Apps and Desktops 環境の両方で使用できます。

ユーザーエクスペリエンスの詳細については、 次のリンクを参照してください

オペレーション分析

Operations Analytics は、既存のオペレーションの改善に重点を置いたビジネス分析を指すより具体的な用語です。Operations Analytics では、さまざまなデータ集約を使用して、日常的な IT サービスの情報をより透過的に取得します。Citrixインフラストラクチャは、さまざまなワークロードセットの統合である複数の製品で構成されており、管理者は環境について理解する必要があります。また、多くの管理者は、Citrix環境の改善と最適化に集中できません。

このような問題を解決するために、Citrixはオペレーション分析をアナリティクスソリューションに組み込みました。この分析ソリューションには、機械学習アルゴリズムが含まれており、お客様のCitrix環境の運用データに関する実用的な洞察を提供します。

たとえば、企業がCitrix Secure Private Accessサービスを使用している場合、管理者は操作ダッシュボードを使用して、ユーザー操作とアプリケーション操作データに関する洞察を得ることができます。管理者は、データソースに応じて、データ消費 (ダウンロードとアップロード)、アクセスされたドメイン、その他の利用可能なメトリックスを完全に把握できます。これらの指標は、リソースを調達し、提供し、運用上の問題に迅速に対応するのに役立ちます。

別の方法では、運用分析は、エンタープライズリソースプランニングのアイデアをサポートします。Operation Analytics は、情報を集約して、リソース管理に対するプロアクティブなアプローチを強化します。

CAS-10

前の図は、オペレーション分析を示しています。このダッシュボードには、次の 2 つのダッシュボードがあります。

ユーザー操作:トランザクションとデータ使用量に基づいて、ユーザー操作データの概要を示します。

App Operations: ドメイン、カテゴリ、ダウンロードボリュームに基づくアプリ操作データの概要を示します。

参考: 運用分析

Citrix Analytics とCitrix 製品の統合

Citrix Analytics は、「データソース」というラベルの付いた他のCitrixコンポーネントと統合されました。Citrix Analytics サービスでサポートされている次の製品で、Citrix 環境におけるユーザーの動作に関する洞察を提供します。

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops

このセクションでは、Citrix Analyticsと他のCitrix製品との統合について説明します。

Citrix Analytics と Citrix Secure Private Access

Citrix Secure Private Accessサービスを使用すると、管理者は、シングルサインオン、リモートアクセス、コンテンツ検査をエンドツーエンドのセキュアプライベートアクセスのための独自のソリューションに統合する一貫したエクスペリエンスを提供できます。管理者は、特定の Web サイトや Web サイトカテゴリへのアクセスをフィルタリングすることにより、組織のネットワークおよびエンドユーザーデバイスをマルウェアやデータ漏洩から保護できます。

Citrix Secure Private Access およびCitrix Analytics ソリューションは、ユーザーの行動に関する明確な洞察を提供し、ネットワーク全体を監視します。機械学習を使用するCitrix Analytics に組み込まれた機能は、修正措置を講じるのに役立ちます。Citrix Analytics は同様の指標を使用し、セキュアプライベートアクセスサービスによって収集されます。訪問した Web サイトや使用された帯域幅など、ユーザーのアクティビティのパラメータ。マルウェアやフィッシングサイトも検出します。

CAS-11

上の図は、CitrixセキュアプライベートアクセスとCitrix Analytics サービスの統合の全体像を示しています。Citrix Secure Private Access とCitrix Analytics サービスは、Citrix Cloud でホストされています。管理者は、アナリティクス UI を数回クリックするだけで、データ処理を有効にできます。その後、Citrix Analytics はセキュアプライベートアクセスからのデータのキャプチャを開始します。

セキュリティ分析

管理者は、ユーザーのアクティビティに基づいてアクションを実行するために作成できるポリシーを次に示します。

  • ブラックリストURLへのアクセスの試行:ユーザーがブラックリストに登録されているURLにアクセスしようとするときを示すことを可能にするポリシー

  • 危険なウェブサイトへのアクセス:このポリシーは、ユーザーが評判の高い悪意のある、疑わしい、または安全でないウェブサイトにアクセスしようとしたことを示唆しています。(URL レピュテーション評価は Web サイトに対して与えられます。値の範囲は 1 ~ 4 です。4 は最もリスクのある Web サイトであり、1 はクリーンサイトです

  • 異常なダウンロードボリューム:ユーザーがアプリケーションまたはWebサイトからダウンロードしたデータの量がCitrix Analyticsによって暗黙的に定義されたしきい値を超えました

  • 異常なアップロードボリューム:ユーザーがアプリまたはサイトからアップロードしたデータ量が、Citrix Analyticsによって暗黙的に設定された制限を超えています

Citrix Analytics とCitrix Secure Private Access 統合について詳しくは、 次のリンクを参照してください

Citrix Analytics とCitrix Content Collaboration

Citrix Content Collaborationにより、迅速かつ安全にドキュメントを交換し、大量の資料を電子メールで送信し、第三者へのドキュメント転送を安全に処理することができます。Citrix Workspace環境では、ユーザーはCitrix Workspaceアプリからすべてのファイルにアクセスできます。ユーザーの行動やアクティビティを追跡するには、面倒です。小規模または大規模なCitrix環境では、画面の背後に隠れている脅威を識別し、予防措置を講じるのは困難です。

Citrix Content Collaboration は、Citrix Analyticsを使用して監視およびトラブルシューティングを行うことができます。Citrix Cloud上でホストされるCitrix Content Collaborationサービスは、データソースを有効にすることで、Analyticsサービスと迅速に統合されます。

CAS-12

上の図は、Citrix Content CollaborationとCitrix Analyticsサービスの統合を示しています。セキュリティ分析サービスの一部として、ユーザーの行動とアクティビティの監視とトラブルシューティングをサポートします。

セキュリティ分析

管理者は、ユーザーのアクティビティに基づいてアクションを実行するために作成できるポリシーを次に示します。

  • 過剰なファイルのダウンロード:このポリシーは、この期間の AI ベースのしきい値を超えたデータのダウンロードを試みたことを示します。

  • 過剰なファイル/フォルダの削除:このポリシーは、ユーザーの AI ベースのしきい値を超える不均衡な数のファイルまたはフォルダを削除しようとしたことを示します。

  • 過剰なファイル共有:このポリシーは、作成および共有された共有リンクが、この期間に機械学習アルゴリズムによって設定されたしきい値を超えたことを示します。

  • 過剰なファイルアップロード:このポリシーは、この期間の AI ベースのしきい値を超えるデータをアップロードしようとしたことを示します。

  • 過剰なログインエラー:ユーザーがログインに失敗した回数を複数回実行した場合

  • ランサムウェアのアクティビティが疑われる (ファイルの置換): このポリシーは、ランサムウェア攻撃に似た、既存のファイルを暗号化されたバージョンに置き換える取り組みを示します。

  • 機密ファイルへの過度のアクセス(DLPアラート):Citrix Content Collaboration 情報漏えい防止(DLP)ポリシーで定義されているしきい値を超える機密ファイルへのアクセスを試みたことを示します

  • 異常なログインアクセス:このインジケータは、ユーザーの使用場所と動作パターンに基づいて、Analytics AIエンジンによって識別されたCitrix Content Collaborationアカウントへの不審なアクセスがある場合にトリガーされます

  • ランサムウェアのアクティビティが疑われる (ファイルが更新された): このポリシーは、ランサムウェア攻撃に似た、暗号化されたバージョンで既存のファイルを更新しようとする試みを示します。

Citrix Analytics サービスによって検出された異常な動作や疑わしいアクティビティの場合、それはユーザーを無効にすることによってデータを保護し、すべてのリンクを期限切れにすることができます。

Citrix Analytics とCitrix Endpoint Management

Citrix Endpoint Managementは、モバイルデバイス管理(MDM)機能とモバイルアプリケーション管理(MAM)機能を提供する、エンドポイント管理ソリューションです。Endpoint Management を使用すると、管理者はデバイスポリシーとアプリのポリシーを管理し、ユーザーにアプリを配信できます。

通常、エンドユーザーはデバイスを変更したり、ブラックリストに登録されているアプリの 1 つをインストールしたりする可能性があります。このようなインシデントは、Endpoint Management 環境でアラームをトリガーします。ほとんどの場合、Citrix管理者や手動エラーの可能性には気付かれません。

このような場合、管理者が数千のエンドポイントを管理する必要が生じた場合、それは負担になります。このプロセスは、デバイスを管理する多くの労働時間を増加する傾向があります。これらの問題を解決するために、管理者はCitrixエンドポイントの管理をCitrix Analytics サービスと統合できます。これは、管理対象外のデバイスの検出、ブラックリストに登録されたアプリのインストールデバイスの検出、およびそのようなデバイスへのアクションの適用を自動化することができます。

CAS-13

上の図は、Citrix Analytics とCitrix Endpoint Management(Citrix Cloud サービス)との統合を示しています。Analytics UIから数回クリックするだけで、Endpoint Management サービスを監視し、エンドポイント上の疑わしいアクティビティを検出できます。この監視サービスは、Android、iOS、管理対象、または非管理対象のすべてのデバイス上で開始されるため、管理者はジェイルブレイクされた、ブラックリストに登録されたアプリなどのデバイスを明確に把握できます。

セキュリティ分析

デバイスおよびアプリケーションに基づいてアクションを実行するために管理者が作成できる次のポリシー。

  • ブラックリストに登録されているアプリが検出されたデバイス:このポリシーは、Citrix Endpoint Management サービスを使用してネットワーク上のブラックリストに登録されているアプリケーションを含むデバイスの検出を示します。

  • ジェイルブレイクまたはRoot化デバイス検出:このポリシーは、Citrix Endpoint Management サービスを使用してネットワーク上のジェイルブレイクまたはルート化されたデバイスの検出を示します

  • 管理対象外のデバイスの検出:このポリシーは、ネットワーク上のCitrix Endpoint Management サービスによって検出された管理対象外のデバイスを示します

いずれかの条件が満たされた場合、管理者は管理者とユーザーに通知を送信するオプションがあります。管理者は、その特定のデバイスをロックすることもできます。

Citrix Analytics とCitrix Gateway

Citrix Gatewayサービスは、多様なIDおよびアクセス管理(iDam)機能を備えた安全なリモートアクセスソリューションを提供します。ゲートウェイサービスは、SaaS アプリケーション、異種Virtual Apps and Desktops 統合されたエクスペリエンスを提供するのに役立ちます。

Citrix Gatewayのエンドポイント分析(EPA)スキャンポリシーは、ユーザーアクセスベースの脅威やレポートをUIで検出するのに役立ちます。同様に、Citrix Gatewayはすべてのユーザーログオンエラー(プライマリ、セカンダリ、または第3の認証エラー)を検出します。また、認証失敗はCitrix Gatewayと区別されます。

ユーザーのログオンアクティビティに関するCitrix Gatewayメトリックは、管理者が手動で実行することは現実的ではない自動タスクを実行するために、Citrix Analytics によって収集されます。

CAS-14

上の図は、Citrix Gateway ServiceとのCitrix Analyticsの統合を示しています管理者はデータ処理を有効にして、Citrix Analytics がGateway Serviceからのデータのキャプチャを開始する必要があります。

セキュリティ分析

管理者は、次のポリシーを作成して、監視アクティビティを自動化できます。

  • 承認失敗:このポリシーは、Analytics AI エンジンが、ユーザーが十分なアクセス許可なしでリソースにアクセスしようとしたことを識別したことを示します。

  • EPAスキャンの失敗:このポリシーは、認証の前または後にCitrix Gatewayのエンドポイント分析(EPA)スキャンに失敗したデバイスを使用してネットワークにアクセスしようとする試みを示します。

  • ログオン失敗:このポリシーは、Analytics AI エンジンが、ユーザーの使用状況と動作パターンに基づいて、複数のプライマリ認証失敗を識別したことを示します。

  • 異常なログインアクセス:このポリシーは、ユーザーのアクセスパターンから逸脱した重要な場所からCitrix Gatewayへのログオンを試みることを示唆しています

Citrix Analyticsの助けを借りて、いずれかの条件が発生すると、管理者はアナリティクスUIから「ユーザーをログオフ」を有効にすることで、そのユーザーに対してアクションを実行できます。そうしないと、管理者は「管理者に通知」を選択することで、そのユーザーのアクティビティを確認できます。

Citrix Analytics とCitrix Virtual Apps and Desktops

Citrix Virtual Apps and Desktopsの仮想化ソリューションで、IT担当者は仮想マシン、アプリケーション、ライセンス、セキュリティを完全に制御でき、あらゆるデバイスからのアクセスを提供できます。Citrix Virtual Apps and Desktops を使用すると、エンドユーザーは、デバイスのオペレーティングシステムやインターフェイスとは無関係にアプリケーションやデスクトップを実行できます。同様に、管理者はネットワークを管理し、選択したデバイスまたはすべてのデバイスからのアクセスを制御できるという利点があります。

Virtual Apps and Desktops 向けCitrix Analytics フレームワークは、ユーザーアクティビティに関する洞察を提供します。ユーザーの動作が通常の動作から逸脱すると、ユーザーの動作に基づいて、アラーム、または通知がトリガーされます。アプリベースのリスクインジケータは、ユーザーが特定の期間に許可されていないアプリケーションにアクセスしようとしたときにトリガーされます。データベースのリスクインジケータは、大量の異常なデータのアップロードとダウンロードに対して生成されます。

CAS-15

前の図は、Citrix Analytics とCitrix Virtual Apps and Desktops との統合を示しています。サポートされていないオペレーティングシステム、新しい機器、通知でトリガーされたアラームを搭載したデバイスでリソースにアクセスしようとするユーザーの試みに基づいています。作り付けの機械学習プラットフォームは、最新のアップデートをデータベースに供給し続け、プロファイルも更新されます。将来、環境内の異常を容易に検出し、管理者の介入なしに軽減することができます。

セキュリティ分析

管理者は、次のポリシーを作成して、監視アクティビティを自動化できます。

  • 潜在的なデータエクスフィルトレーション:このポリシーは、Citrix Workspaceから外部デバイスまたは場所へのデータのエクスポータを試みたことを示します

  • 新しいデバイスからのアクセス:このポリシーは、新しいデバイスからCitrix Workspaceへのログオン試行を示します

  • サポートされていないOSのデバイスからのアクセス:このポリシーは、サポートされていないOSバージョンまたはサポートされていないブラウザバージョンのデバイスから受信機を起動するネットワークへのアクセスを試みたことを示します。

  • 異常なアプリケーション使用(SaaS):このポリシーは、Citrix Analyticsによって識別されたユーザーの使用状況および動作パターンから逸脱したアプリケーションを、ユーザーが達成時に使用していたことを示します。

  • 異常なアプリケーションの使用 (仮想): このポリシーは、Analytics AI エンジンが、ユーザーの使用状況と動作パターンに基づいて、アプリケーションの使用状況を非常に特定したことを示します。

Citrix Analytics は、上記の条件に遭遇したときにユーザーのアカウントに対してアクションを実行できます。ポリシーの作成時に、管理者は条件が満たされたときにアクションを有効にできます。

参照: CVAD リスク指標

パフォーマンス分析

パフォーマンス分析では、Citrix環境内のユーザーセッションの詳細を把握できます。Citrix Analytics によって収集されたデータは、ユーザーのログインセッション中に発生する問題を監視およびトラブルシューティングするのに役立ちます。

Citrix Performance Analyticsが管理者に提供するメトリックを次に示します。

  • ユーザーエクスペリエンス:このサービスは、ユーザーおよびセッションのパフォーマンスパラメータに関する洞察を提供します。これは、組織内のすべてのサイトを、簡潔なダッシュボード内で深く見ることができます。ユーザーエクスペリエンススコアは、そのエクスペリエンス、すなわち優れた、公正、または弱に基づいてユーザーを分離するのに役立ちます

  • ユーザーセッション:ユーザーエクスペリエンスダッシュボードの [ユーザーセッション] セクションには、選択した期間およびサイトの重要なセッション指標が表示されます。管理者は、セッション合計、ユニークユーザーの合計、およびセッション障害のデータを表示できます。

  • セッションの応答性:このデータはICAラウンドトリップ時間を表します。ユーザーエクスペリエンスを定量化するために使用される情報。セッションの応答性には、アクティブセッション、セッション分類、およびセッション分類の傾向があります。いずれかのセッションがネットワークの問題に直面している場合、セッションの応答傾向データは、ネットワーク内のこのような問題を特定するのに役立ちます

  • セッションログオン時間:ログオン時間は、ユーザーがCitrix Workspaceアプリをクリックした後のアプリまたはデスクトップの可用性です。合計ログオン時間には、仲介、仮想マシンの開始、HDX接続、認証、プロファイルのロード、ログオンスクリプト、GPO、シェル起動などのフェーズが含まれます。このセクションには、ログオン総数、セッション分類、デリバリーグループによる並べ替えがあります

参考: パフォーマンス分析

Citrix Analytics とオンプレミスのCitrix Virtual Apps and Desktops

オンプレミスのCitrix Virtual Apps and Desktops 環境を持つ多くの組織では、Citrix Analytics Cloudサービスを利用できます。Citrix Analytics は、データソースを自動的にサポートおよび検出します。

Virtual Apps and Desktops サイトでアナリティクスを有効にするには、管理者は次のいずれかの方法を使用して、オンプレミスのVirtual Apps and Desktops サイトをCitrix Analytics にオンボードできます。

  • ワークスペースを使用したオンボードサイト
  • StoreFront を使用したオンボードサイト

CAS-16

Workspaceを使用したVirtual Apps and Desktopsサイトのオンボード

Citrix Workspaceに追加されたサイトは、Citrix Analyticsによって自動的に検出されます。Virtual Apps and Desktops サイトカードには、検出されたサイトとユーザーの数が表示されます。Citrix Cloudにサイトを追加するには、ワークスペースサブスクリプションが必要です。管理者は、Citrix Analytics でのオンボーディングに進む前に、サイトの集約を行う必要があります。

管理者は、サイトカードのデータ処理を有効にする必要があります。Citrix Analytics がイベントの受信を開始すると、選択した時間に基づいて収集されたデータを表示できます。ポリシーを構成するためにインストールされたポリシーエージェントで、この手順は、データソースからのデータ転送に関連付けられていません。ポリシーエージェントとインストールの詳細については、 次のリンクを参照してください

StoreFrontを使用したVirtual Apps and Desktopsサイトへのオンボード

StoreFront をCitrix Analyticsのデータソースにするもう1つの方法は、Citrix Virtual Apps and Desktopsサイトのアプリケーションとデスクトップをユーザー用の単一のストアに集約する方法です。Citrix Analytics によってキャプチャされたユーザーイベントは、ユーザーの行動に関する実用的な洞察を得るために、を介して処理されます。この方法を有効にする前に、管理者が構成する必要があるいくつかの前提条件があります。ネットワークフロントでは、StoreFront 展開環境で、アウトバウンドインターネット接続用にTCPポート443を開く必要があります。環境がネットワーク上のプロキシサーバを使用する場合、管理者は特定の通信ポートを許可する必要があります。

管理者は、Citrix Analytics サービスから、オンプレミスのStoreFront 展開環境に接続する必要があります。この機能を有効にするには、構成設定をインポートします。これにより、Citrix Analytics はStoreFront からデータを受信します。

データソースとしてのCitrix Virtual Apps and Desktopsの詳細については、 次のリンクを参照してください

Citrixパフォーマンス分析のオンボーディング

パフォーマンス分析は、包括的な監視ソリューションです。パフォーマンス分析は、組織内のCitrix Virtual Apps and Desktops サイトの使用状況を監視および表示するのに役立ちます。これらの機能を有効にするには、管理者はCitrix DirectorコンソールからCitrix Analytics を使用してオンプレミスサイトを構成する必要があります。この機能には、Directorバージョン1909以降、Delivery Controller およびVDAバージョン1906以降が必要です。

参考: パフォーマンスのためにCitrix Analytics を使用したオンプレミスサイトの構成

Citrix Analytics 主な利点

Citrix Analyticsは直感的な分析サービスで、管理者はネットワーク上の一貫性のないアクティビティや疑わしいアクティビティを監視して特定できます。ユーザー、エンドポイント、ネットワークトラフィック、ファイルの指標に基づいて、ユーザーの行動に関する実用的な洞察を提供するターンキー機械学習プラットフォームです。

組織は、機械学習プラットフォーム上に構築された分析ソリューションを採用することで、ビジネス上の課題やパフォーマンス関連の問題を解決できます。Citrix ブラウンフィールド展開またはグリーンフィールド展開で Analytics Service を選択することで、組織や管理者が実現できるさまざまな利点があります。

  • ユーザーの行動に基づいて脅威を検出し、 分析セキュリティ対策を講じてランサムウェア攻撃を検出および防止します。ユーザーアクセスを監視および分析し、認証の動作は、悪意のあるアクティビティを停止し、データ損失を防止するのに役立ちます。MLとAIアルゴリズムの助けを借りて自動化されたプラットフォームは、任意の異常が検出されます

  • 健全性の可視化高度な分析は、問題をプロアクティブに特定するのに役立ちます。Application Performance Analytics は、アプリデータと多くのリアルタイムパフォーマンス指標を、アプリの応答性を示す 1 桁のアプリスコアに抽出します。管理者とアプリ所有者は、特定のアプリに関連付けられたインフラストラクチャにドリルダウンして問題をトラブルシューティングできます

  • より厳しい外部セキュリティCitrix Analytics は、違反の種類、攻撃速度、場所、クライアントの詳細に基づいて脅威インデックスを生成します

  • 内部セキュリティの向上 Citrix Analytics は、ユーザーアクティビティ、アクセス動作、ネットワークおよびデータの使用パターンに関するさまざまなソースからさまざまなデータを収集します。自動化された機械学習プラットフォームは、異常な発生を軽減するのに役立ちます。UIに関する情報は、管理者が環境上のアクティビティ/イベントを理解するのに役立ちます

  • 一元管理および自動化Citrix Analytics は複数のリソースから異なるメトリックを収集し、管理者が1つのUIからすべてのCitrixポートフォリオ製品を監視するのに役立ちます

  • クラウドサービスCitrix Analyticsは、セキュリティ、パフォーマンス、および操作ダッシュボードを備えたCitrix Cloudが提供するSaaSサービスです。UIには、Citrix環境におけるユーザーリスクプロファイル、ユーザーエクスペリエンスの詳細などの概要と分類が表示されます

概要

グローバルなセキュリティ課題の多くは、既存の従来の脅威対策ツールだけでは解決されていません。攻撃の大部分は、おそらく防御された外部の俳優から来ていますが、境界内からの攻撃はさらに威嚇的です。外部の脅威を防御する一方で、多くの組織はパフォーマンスへの影響を認識できず、根本原因を特定できません。

人工知能で強化された組み込みの機械学習機能を備えたCitrix Analytics は、Citrix環境における多くのセキュリティ上の課題に対処する上で大きな約束を持っています。Citrix Analytics は、Citrix環境のセキュリティだけではありません。これは、訪問されたドメイン、データ消費などの観点から、ユーザーエクスペリエンススコアとユーザー操作の可視性によってパフォーマンスを可視化します。Citrix Analytics をグリーンフィールドまたはブラウンフィールド環境に統合することで、管理者はCitrix環境をより詳細に制御し、ITコストを削減できます。

ソース

このリファレンス・アーキテクチャの目的は、お客様独自の実装計画を支援することです。この作業を簡単にするために、独自の詳細な設計と実装ガイドに適応できるソース図を提供します。 ソース図です

参照ドキュメント

Citrix Analytics 理解を深めるために、次のリソースを参照しています。

Citrix Analytics

セキュリティ分析

オペレーション分析

よくある質問

リファレンスアーキテクチャ:Citrix Analytics