技術概要:分析

組織の IT 環境は、SaaS、クラウド、モバイルアプリケーションの採用を開始するとますます複雑になっています。管理者は、悪意のあるユーザーから環境を保護するだけでなく、プロアクティブにユーザーエクスペリエンスを向上させるために、環境を可視化する必要があります。Citrix AnalyticsはCitrix ポートフォリオ全体をまとめて、個々のユーザーのステータスとコンテキストを可視化します。Citrix Analyticsが提供する他の監視ツールとは異なり、Citrix Analytics では、問題になる前に問題を解決するために、 お客様の環境に対する予防的かつ規範的な洞察を提供します 。Citrix Analytics は機械学習によって駆動され、情報の過負荷なしに必要な洞察を提供します。

概要

Citrix Analytics は、実用的な洞察を生成し、ユーザーとアプリケーションのセキュリティの脅威をプロアクティブに処理し、アプリケーションのパフォーマンスを向上させ、継続的な運用をサポートできるようにします。Citrix Analytics は、Citrix Cloudを通じて提供されるCloudサービスとして利用できます。Citrix Analytics は、セキュリティ、パフォーマンス、使用状況の3つのカテゴリに分類できます。セキュリティ向けCitrix Analytics では、環境内で一貫性のないアクティビティや疑わしいアクティビティを監視して特定できます。使用状況分析では、ユーザーがさまざまなCitrix製品とどのようにやり取りするかを確認できます。Citrix Analytics for Performance は、高度な分析を通じて、ユーザー中心のエクスペリエンススコア、アプリケーション、インフラストラクチャのパフォーマンススコアを提供します。

Citrix Analytics for Security

Citrix Analytics for Securityは、Citrix製品とサードパーティ製品のデータを収集し、実用的な洞察を生成します。次のとの統合がサポートされています。

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix Endpoint Management
  • Citrix Gateway
  • Citrix Virtual Apps and Desktops(オンプレミスとサービスとしての両方)
  • Citrix Secure Browser サービス
  • Microsoft Graph セキュリティ API
  • Microsoft Active Directory(オンプレミス)

セキュリティ向けCitrix Analytics は、機械学習μサービスを通じて異常なユーザーの動作を検出します。これは、ユーザーにリスクスコアを割り当てます。リスクスコアは、ユーザーがリスクスコアリングμ-serviceを通じて提起するリスクの総レベルを示す値です。このスコアは、ユーザー行動分析 (UBA) に基づく動的な値です。管理者は、プロセスを自動化し、リスクインジケータに基づいてアクションを適用するためのポリシーを作成できます。セキュリティ向けCitrix Analytics はデータを13か月間保持します。管理者が特定のデータソースのデータ処理を無効にすると、すでに取得されたデータは 13 か月間保存されたままになります。データソースごとに収集される特定のログの詳細については、 こちらをご覧ください

セキュリティ向けCitrix Analytics は、次の方法で情報を受信します。Citrix Secure Private Access サービス、Citrix Content Collaboration、Citrix Endpoint Management、およびCitrix Gateway サービス(クラウド)の場合、特定のデータソースのコントロールプレーンから直接情報を受信します。オンプレミスのCitrix Gatewayでは、アプリケーション配信管理エージェントからデータを受信します。Citrix Virtual Apps デスクトップ(クラウド&オンプレミス)の場合、Citrix Workspace アプリを介してその情報を受け取ります。 アクティブなディレクトリデータを取得するために、Citrix Analytics はCloud Connectorと通信します。Microsoft Graph セキュリティについては、グラフ API を通じて Azure AD アイデンティティ保護と Windows Defender ATP から情報を取得できます。

開始するには、Citrix Cloudアカウントが必要です。Citrix Cloudにアクセスできれば、セキュリティ対策Citrix Analyticsトライアルへのアクセスを要求できます。次に、データ処理を有効にし、情報の受信を開始するオプションがあります。開始方法に関する詳細なガイドは、 こちらにあります

アーキテクチャハイレベル

ユーザーダッシュボード

ユーザーダッシュボードを使用すると、組織内で危険と判断されたユーザーをすべて総合的に表示できます。ユーザーは、高、中、および低リスクユーザーに分類されます。管理者は、スコアの高いユーザー、スコア変更が最も高いユーザー、リスクインジケータユーザー、またはリスクインジケータの変更からビューを変更できます。また、リスクカテゴリも示しています。基本的に、リスクエクスポージャーの包括的なリストと、迅速な対応が必要なものを示します。ユーザーダッシュボードの詳細については、 こちらをご覧ください

ユーザーダッシュボード

これらのダッシュボードはすべて、をクリックして、より詳細な情報を取得できます。たとえば、[ リスクカテゴリ] ダッシュボードの下の [ 詳細を表示] をクリックすると、各カテゴリの下にリスクインジケータの発生の概要が表示されます。

リスク報告

また、リスクの高いユーザーダッシュボードで特定のユーザーをクリックすると、ユーザーリスクタイムラインにリダイレクトされます。このタイムラインでは、ユーザーが行ったアクションに対してリスクの高いアクションについてより深い洞察を得ることができます。また、その特定のユーザーに対して自動化されたアクションが実行されたかどうかも表示されます。各イベントをクリックすると、イベントの発生時期とそのイベントのソースの場所に関する追加情報を得ることができます。ユーザーリスクダッシュボードでは、AD 情報 (電話、電子メール、タイトル) や、使用しているアプリケーション、デバイス、場所に関する情報などのユーザー情報を見つけることができます。リスクタイムラインの詳細については、 こちらをご覧ください

リスクタイムライン

リスクスコアは、ポリシーベースの違反(管理者によって設定)、時間の経過に伴うユーザー行動モデリング、AI/ML異常動作検出、およびピアグループの正規化によって計算されます。 リスクスコアは、ユーザーが抱えるリスクの総レベルを示す値です。リスクインジケータは、疑わしいように見える、または組織にセキュリティ上の脅威を与える可能性があるユーザーアクティビティです。システムで使用されるデフォルトのリスクインジケータがありますが、管理者はカスタムリスクインジケータを作成することもできます。

リスクスコア

ポリシーとアクション

ポリシーが定義されているため、条件が満たされると、アクションが実行されます。ポリシーには、1 つ以上の条件と 1 つのアクションが含まれます。使用可能なデフォルトポリシーがあります。これらのポリシーには事前定義された条件があり、対応するアクションがあります。これらのデフォルトポリシーは、そのまま使用することも、要件に基づいて変更することもできます。デフォルトのポリシーは次のとおりです。

  • 認証情報の不正利用の成功
  • データ流出の可能性
  • 疑わしいIPからの異常なアクセス
  • 通常の場所以外からの異常なアプリアクセス
  • リスクの低いユーザー:新しいIPからの初回アクセス
  • デバイスからの初回アクセス

アクションとは、不審なイベントに対する応答で、将来の異常イベントの発生を防止します。アクションは、Citrix Analytics 管理者が自動、または管理者が定義したルールに基づいてシステムによって自動的に呼び出すことができます。 現在、次のアクションを使用できます。

  • グローバル
    • エンドユーザーの応答をリクエスト
    • ウォッチリストに追加
    • 管理者に通知
    • ウォッチリストから削除
  • Citrix Content Collaboration
    • ユーザーの無効化
    • すべてのリンクを期限切れにする
  • Citrix Virtual Apps and Desktops
    • ユーザーのログオフ
    • セッションの録画を開始
    • セッションの録画を停止する
  • Citrix Endpoint Management
    • デバイスのロック
    • 管理者に通知
    • ユーザーに通知

現在、ポリシーの作成時には、次の条件を使用できます。

  • リスクスコア
    • リスクスコア (等しい、より大きい、より小さい)
  • Citrix Gateway
    • 過度の認証の失敗
    • EPAスキャンの失敗
    • 過剰な認証失敗
    • 疑わしいIPからのログオン
    • 通常の場所以外からのアクセス
    • 新しいIPからの初回アクセス
  • Citrix Virtual Apps and Desktops
    • 新しいデバイスからの初回アクセス
    • データ流出の可能性
    • サポートされていない OS のデバイスからのアクセス
    • アプリケーション使用量の異常な時間 (SaaS)
    • アプリケーション使用量の異常な時間(仮想)
  • Citrix Content Collaboration
    • 過剰なファイルのダウンロード
    • 過剰なファイル/フォルダの削除
    • 過剰なファイル共有
    • 過剰なファイルのアップロード
    • 過剰な認証失敗
    • ランサムウェアのアクティビティが疑われる(ファイルの置き換え)
    • ランサムウェアアクティビティの疑い (DLP アラート)
    • 過剰なダウンロード
    • 新しい場所から初めてアクセス
    • ランサムウェアのアクティビティが疑われる (ファイルが更新されました)
  • Citrix Secure Private Access
    • ブラックリストに登録された URL にアクセスしようとしました
    • 危険なウェブサイトへのアクセス
    • 過剰なデータのダウンロード
    • 異常なアップロードボリューム
  • Citrix Endpoint Management
    • ブラックリストに登録されたアプリが検出されたデバイス
    • ジェイルブレイク/ルートデバイスが検出されました
    • 管理対象外のデバイスが検出されました

ポリシー

ポリシーとアクションの設定方法の詳細については、 こちらを参照してください

ユーザーアクセスダッシュボード

[ ユーザアクセス (User Access)] ダッシュボードには、アクセスされた危険なドメインの数と、ネットワーク内のユーザがアップロードおよびダウンロードしたデータ量が要約されます。これは、次のメトリックを提供します。

  • ユーザーがアクセスした悪意のあるドメインの数
  • ユーザーがアクセスした危険なドメインの数
  • ユーザーがアクセスした不明なドメインの数
  • ユーザーがアクセスしたクリーンドメインの数
  • ユーザーがアクセスしたブロックされたURLの数

ユーザーアクセス

アプリケーションアクセスダッシュボード

[アプリケーションアクセス] ダッシュボードには、ネットワーク内のユーザーがアクセスするドメイン、URL、およびアプリの詳細が要約されます。[ アプリケーションアクセスの概要 ] セクションには、ネットワーク内の次のメトリックスの概要が表示されます。

  • ユーザーがアクセスした悪意のあるドメインの数
  • ユーザーがアクセスした危険なドメインの数
  • ユーザーがアクセスした不明なドメインの数
  • ユーザーがアクセスしたクリーンドメインの数
  • 危険なドメインからアップロードまたはダウンロードされたデータの量

アプリアクセス

共有リンクダッシュボード

共有リンク ダッシュボードは、共有イベントの分析と脅威防止の起動ポイントです。組織全体での共有リンクのパターンに対する可視性を示します。

リンクを共有する

レポート

管理者は、データソースで受信したイベントからカスタムレポートを作成できます。現在、カスタムレポートでサポートされているデータソースには、セキュアプライベートアクセス、Content Collaboration、およびVirtual Apps and Desktops が含まれます。カスタムレポートの作成方法の詳細については、 こちらを参照してください

報告

Citrix Analytics for Performance

Citrix Analytics for Performanceでは、ユーザーエクスペリエンスを数値化し、エンドユーザーエクスペリエンスの根本原因をエンドツーエンドで可視化できます。また、マルチサイトの集約とレポート作成機能も備えているため、複数のサイトを持つお客様は、複数のDirectorコンソールにログインすることなく、単一のウィンドウからデータを消費できます。最後に、インフラストラクチャのパフォーマンススコアが提供され、管理者はインフラストラクチャの正常性をまとめたビューを提供します。

ユーザーエクスペリエンススコアは、セッションの復元性、セッションの可用性、セッションログオン時間、セッションの応答性など、エンドユーザーエクスペリエンスに影響を与えるさまざまな要因を考慮して計算されます。管理者は、より深く分割し、サブファクタを調べて、問題の正確な根本原因を特定することができます。たとえば、セッションログオン時間の副要素には、GPO、プロファイルのロード、対話セッション、仲介、仮想マシンの開始、HDX接続、認証、ログオンスクリプトなどがあります。動的しきい値は、セッションログオン時間、およびセッション応答の要因とサブファクタのベンチマークに使用されます。これらの計算は、顧客ごとに行われ、過去 30 日間に基づいて計算されます。しきい値は、環境で行われた変更を反映するために 7 日ごとに再キャリブレーションされます。ユーザーエクスペリエンススコアの計算方法の詳細については、 こちらを参照してください

UX スコア

パフォーマンス向けのCitrix Analytics は、オンプレミスとクラウドの両方のユーザーに使用でき、Citrix Workspaceを利用する必要はありません。Citrix Analytics は、Directorの監視データベースから直接データを取得します。データは、HTTPSポート443を介してDirectorからCitrix Analytics に安全にプッシュされます。パフォーマンス向けのCitrix Analytics もCitrix GatewayからHDXデータをキャプチャしますオンプレミスゲートウェイの場合、お客様は ADM サービスを使用する必要があります。ゲートウェイサービスの場合、HDXデータはCitrix Analytics に直接送信されます。Citrix Cloudからオンプレミス環境へのデータはありません。データ通信はアウトバウンドです。つまり、ポートを開く必要はなく、着信トラフィックも許可されません。Citrix Virtual Apps & Desktop Servicesを使用しているお客様の場合、Citrix Analytics はDirectorプラットフォームから直接データを取得します。これらのデータはすべて、Citrix Cloud内でホストされます。

CASP アーキテクチャ

ユーザーエクスペリエンススコアダッシュボード

ユーザーエクスペリエンススコアダッシュボードには、「優れた」、「公平」、「不良」のエクスペリエンスのユーザーについて総合的なビューが表示されます。Citrix Analytics for Performanceには、複数のサイト集約機能があり、すべての環境(クラウドまたはオンプレミス)の全体像を把握できます。マルチサイト集約により、管理者は環境全体を確認したり、特定のサイトごとにフィルタリングしたりする柔軟性が得られます。

UX ダッシュボード

Citrix Analytics 管理者は、ドリルダウンして、ユーザーが特定のエンドユーザーエクスペリエンススコアを取得した原因となっている要因を確認できます。Citrix Analytics for Performanceでは、ユーザーエクスペリエンスの問題の原因が考えられる根本原因について、管理者に洞察を提供します。ユーザーエクスペリエンスのサブファクターの詳細については、 こちらをご覧ください

サブファクター

また、このユーザーエクスペリエンスダッシュボード内で、管理者はユーザーセッションの傾向を確認できます。この傾向には、セッション総数と一意のユーザーの合計、およびセッションの失敗数が表示されます。合計セッションは、アプリまたはデスクトップを Workspace アプリから起動したときの、ユーザーセッションの合計数を示します。ユニークユーザーの合計は、指定された期間中にセッションを開始したか、またはアクティブなセッションを持っている一意のユーザーの数です。

ユーザーセッション

インフラストラクチャダッシュボード

インフラストラクチャダッシュボードでは、管理者が環境のインフラストラクチャの状態の概要を確認できます。ダッシュボードには、すべてのサイトのVDA情報が表示されます。マルチセッションOSのVDAの場合、管理者は負荷評価基準のインデックスに基づいて、使用不能状態のVDAを確認できます。シングルセッションOSのVDAの場合、管理者は使用中および使用可能なVDAの数を確認できます。Infrastructure ダッシュボードで利用できるメトリクスの詳細については、 こちらを参照してください

インフラストラクチャ

使用状況分析

Usage Analyticsは、ユーザーがさまざまなCitrix製品とどのようにやり取りするかを知り、ユーザーの採用とエンゲージメントを理解するのに役立ちます。使用状況分析は現在、セキュアプライベートアクセスサービス、Content Collaboration サービス、およびマイクロアプリサービスをサポートしています。

Content Collaboration ダッシュボード

Content Collaboration ダッシュボードには、次の情報が表示されます。

  • Content Collaborationサービスを使用しているユニークユーザーの数
  • トップContent Collaborationユーザー
  • Content Collaborationサービスにアップロードされたデータの量
  • Content Collaboration サービスにダウンロードされたデータの量
  • Content Collaborationサービスにアップロードされたファイルの数
  • Content Collaboration サービスにダウンロードされたファイルの数
  • ファイルに対してユーザーが実行したアクションの数
  • ユーザーが作成した共有イベントの数

使用状況

マイクロアプリダッシュボード

Microapp ダッシュボードは、ユーザーが Microapp サービスと対話する方法に関する洞察を提供します。ダッシュボードには、次の情報が表示されます。

  • マイクロアプリを使用しているユニークユーザーの数
  • マイクロアプリユーザーの上位
  • 最も使用されているマイクロアプリ
  • マイクロアプリを使用してユーザーが開始したアクションの数
  • マイクロアプリによって配信された通知に対してユーザーが実行したアクションの数

マイクロアプリ

SaaS と Web アプリケーションダッシュボード

SaaSとWebアプリダッシュボードでは、Citrix Workspaceで公開されているSaaSとWebアプリに関するCitrix Analytics管理者への洞察が得られます。SaaS および Web Apps ダッシュボードには、次の情報が表示されます。

  • SaaSおよびWebアプリケーションを使用しているユニークユーザーの数
  • SaaS および Web アプリケーションの上位ユーザー
  • 起動された SaaS および Web アプリケーションの数
  • 上位の SaaS および Web アプリケーション
  • ユーザーがアクセスしたトップドメイン
  • ユーザー、アプリケーション、ドメイン間でアップロードおよびダウンロードされたデータの総量。

SaaS

アーキテクチャとプロセスフロー

Citrix Analytics 概念アーキテクチャとプロセスフローを以下に示します。

分析プロセスフロー