Citrix Analytics for Security

Tableau de bord de garantie des accès

Compte tenu de l’augmentation du travail à distance, en tant qu’administrateur informatique Citrix, vous souhaiterez peut-être avoir l’assurance que vos utilisateurs accèdent à Citrix Virtual Apps and Desktops ou Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) depuis leur emplacement habituel et sécurisé. Si des utilisateurs se sont connectés à partir d’emplacements inconnus ou de nouveaux emplacements, vous pouvez valider leurs informations d’ouverture de session et prendre les mesures nécessaires pour atténuer les menaces pesant sur votre environnement informatique Citrix.

Le tableau de bord Access Assurance fournit une vue d’ensemble des emplacements et des réseaux à partir desquels vos utilisateurs accèdent à des applications virtuelles ou à des bureaux virtuels. Citrix Analytics for Security reçoit ces événements d’ouverture de session utilisateur de l’application Citrix Workspace installée sur les appareils des utilisateurs. Pour plus de détails sur les versions prises en charge, consultez la matrice des versions de l’application Citrix Workspace.

Afficher le tableau de bord

Pour afficher le tableau de bord, cliquez sur Sécurité > Access Assurance. Sélectionnez la période pour laquelle vous souhaitez afficher les informations de connexion.

Navigation du tableau de bord Assurance

Résumé de l’accès

La section récapitulative du tableau de bord fournit les informations suivantes pour une période sélectionnée :

  1. Nombre total de connexions d’utilisateurs sur l’ensemble des sites (dans le monde entier).

  2. Nombre total de connexions utilisateur uniques sur l’ensemble des sites (dans le monde entier).

    Résumé de l'accès

Emplacement de connexion

La section Emplacements de connexion fournit les informations suivantes pour une période sélectionnée :

  • Nombre total de pays depuis lesquels les utilisateurs se sont connectés.

  • Nombre total de villes à partir desquelles les utilisateurs se sont connectés.

  • Le nombre total de pays et les ouvertures de session uniques des utilisateurs dans les zones de géofencing. Pour afficher les détails d’ouverture de session à partir des zones de géofencing, activez le géofencing.

  • Top 10 des emplacements avec des ouvertures de session utilisateur uniques. Parfois, les ouvertures de session uniques les plus importantes proviennent également de villes et de pays inconnus et elles sont répertoriées sous l’onglet Unknown Locations (Emplacements inconnus). La liste des emplacements inconnus est également un sous-ensemble des 10 premiers emplacements. Pour connaître les raisons pour lesquelles certains emplacements ne sont pas identifiés, consultez la section Emplacements identifiés comme non disponibles.

Vous pouvez également consulter la tendance à la hausse ou à la baisse du nombre total de connexions utilisateur dans le monde et du nombre total d’ouvertures de session d’utilisateurs uniques dans le monde. Pour les 10 premiers emplacements, la colonne ÉCART indique la modification (positive (+) ou négative (-)) des ouvertures de session utilisateur pour chaque emplacement. Cette comparaison est basée sur la période sélectionnée et la période précédente de durée égale. Par exemple, si vous sélectionnez la période du dernier mois, la tendance de connexion de l’utilisateur et l’écart sont comparés entre le dernier mois et le précédent au dernier mois.

Remarque

Les informations de localisation sont fournies au niveau de la ville et du pays et ne représentent pas une géolocalisation précise. Pour plus de détails sur la garantie d’accès et la géolocalisation, consultez la FAQ.

Détails d'ouverture de session utilisateur

Dans le tableau Les 10 principaux emplacements d’ouverture de session uniques, sélectionnez un emplacement pour afficher les utilisateurs, leurs profils d’accès et les détails d’ouverture de session.

Page récapitulative de connexion utilisateur

La carte affiche le nombre d’utilisateurs uniques de différents emplacements pour une période sélectionnée. Survolez la bulle bleue ou effectuez un zoom avant sur un emplacement pour afficher le nombre total d’ouvertures de session utilisateur uniques à partir de cet emplacement. Cliquez sur la bulle bleue pour afficher les détails d’accès d’un point de vente.

Vue zoom avant de la carte

Dans le coin inférieur droit de la carte, vous pouvez afficher la plage des ouvertures de session uniques des utilisateurs. Pour une période sélectionnée, la petite bulle indique le nombre minimum d’ouvertures de session utilisateur uniques dans les emplacements. La grande bulle indique le nombre maximal d’ouvertures de session utilisateur uniques dans les emplacements.

Plage de nombre d'utilisateurs

Emplacements identifiés comme non disponibles

Dans le tableau Les 10 principaux emplacements d’ouverture de session uniques, vous pouvez constater que certains emplacements sont inconnus ou indisponibles. Cliquez sur un emplacement inconnu pour afficher les informations de connexion utilisateur correspondantes sur la page Ouverture de session utilisateur .

Sur la page Ouverture de session utilisateur, le tableau DONNÉES affiche l’étiquette NA si des informations de pays ou de ville ne sont pas disponibles.

Survolez l’étiquette NA pour voir la raison pour laquelle les informations de localisation ne sont pas disponibles.

Emplacement non disponible

L’un des scénarios suivants peut s’afficher en cas d’indisponibilité d’un emplacement :

Scénario Raisons
Le nom de la ville et le nom du pays ne sont pas disponibles. Un des composants suivants
 
  1. Les utilisateurs utilisent une version non prise en charge de l’application Citrix Workspace. Pour afficher les informations de localisation, mettez à jour le client vers une version prise en charge.
Emplacements dotés d’adresses IP privées L’appareil de l’utilisateur se trouve dans un réseau privé. Dans ce cas, les informations de localisation ne sont pas disponibles pour Citrix Analytics.
Le nom du pays est disponible, mais le nom de la ville n’est pas disponible. L’appareil de l’utilisateur utilise peut-être une adresse IP d’entreprise. Les plages IP de l’entreprise sont masquées dans le service de géolocalisation externe. Par conséquent, les informations d’emplacement ne sont pas disponibles pour Citrix Analytics.

Activer le géofencing

Le géorepérage vous permet d’identifier les utilisateurs qui accèdent à des applications virtuelles ou à des bureaux virtuels depuis l’extérieur d’une barrière de sécurité et à l’intérieur de zones de géofence à risque. Pour consulter la page Récapitulatif des accès, accédez à Sécurité > Assurance de l’accès.

Par défaut, les paramètres Geofence sont toujours activés. Pour configurer votre limite géographique, cliquez sur Ajouter/Modifier la limite géographique.

Activer le géofencing

La fenêtre des paramètres de Geofence s’affiche avec deux onglets :

  • Endroits sécurisés : vous pouvez configurer ou supprimer les pays qui font partie de la zone de localisation sécurisée.
  • Lieux à risque : vous pouvez configurer ou supprimer les pays classés dans la catégorie des zones à risque. Vous pouvez également consulter le nombre total d’emplacements sûrs et risqués configurés sur chaque onglet. Pour supprimer ou retirer un pays d’une géofence de localisation sécurisée ou d’une clôture de localisation à risque, cliquez sur le signe de fermeture (X) à côté du pays. Cliquez sur Enregistrer pour enregistrer les paramètres de Geofence.

Paramètres de Geofence

Vous pouvez configurer les pays qui relèvent de la zone de géofence des lieux à risque. Si aucun indicateur de risque n’est ajouté pour la géofence des emplacements risqués ou si les indicateurs de risque sont supprimés, un message d’avertissement de mise à jour de la géofence peut s’afficher à côté de Ajouter/modifier une clôture géographique.

Mettre à jour Geofence

Pour recréer l’indicateur, accédez à l’onglet Lieux à risque et activez l’ indicateur de risque pour les géofences à risque.

Indicateur de risque pour une géofence risquée

L’indicateur est créé avec la liste par défaut des emplacements à risque.

La page de résumé des accès affiche également les pays sûrs et risqués Geofenced.

  • Les pays sécurisés géofencés sont signalés par un cercle gris clair.
  • Géofencés Les pays à risque sont signalés par un cercle gris foncé.

Pays de Geofence

Geofence : connexions utilisateur uniques

Accédez à la page Résumé des accès pour voir Geofence : Unique User Logons. La carte indique le nombre d’emplacements intérieurs à risque et d’emplacements extérieurs sûrs.

  • À l’intérieur d’un emplacement à risque : identifiez les utilisateurs qui se sont connectés depuis les zones à risque (zones géolocalisées).
  • Endroit extérieur sécurisé Identifiez les utilisateurs qui se sont connectés depuis l’extérieur des zones sécurisées géo-clôturées.

Connexions utilisateur uniques à Geofence

Pour obtenir un résumé détaillé du nombre total et des ouvertures de session uniques des utilisateurs, cliquez sur le chiffre à côté de Emplacement à risque intérieur ou Emplacement sécurisé extérieur.

Page récapitulative de la garantie d'

Cette fonctionnalité utilise l’indicateur de risque personnalisé préconfiguré suivant :

  • Lasession CVAD a démarré en dehors de Geofence : pour surveiller les connexions des utilisateurs en dehors de la zone sécurisée de géofence.
  • Lasession CVAD a débuté dans une géofence à risque : pour surveiller les connexions des utilisateurs à l’intérieur de la géofence à risque.

Si des ouvertures de session utilisateur sont détectées en dehors de la clôture géographique, l’indicateur de risque est déclenché et la stratégie Session démarrée en dehors de la zone géographique est appliquée à ces utilisateurs. La stratégie déclenche l’action Demander une réponse de l’utilisateur final et, en fonction de la réponse de l’utilisateur, vous pouvez prendre les mesures appropriées pour prévenir les menaces liées à toute ouverture de session suspecte. Pour plus d’informations, consultez la section Indicateurs de risque personnalisés préconfigurés.

Remarques

  • Dans les paramètres de Geofence, lorsque vous modifiez les pays, la session CVAD démarrée en dehors de l’indicateur de risque de géofence est également mise à jour.

  • Par exemple, si vous sélectionnez et enregistrez les pays Australie et Inde en tant que nouveaux pays géo-clôturés, la condition préconfigurée de l’indicateur de risque est mise à jour avec les nouveaux pays, en plus des États-Unis (qui est la clôture géographique par défaut). Vous pouvez également supprimer le pays géofencé par défaut États-Unis.

    Condition préconfigurée de l’indicateur de risque : Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country != \"United States\"

    Après la mise à jour des paramètres de géofencing, l’état de l’indicateur de risque :

    Event-Type = \"Session.logon\" AND Country != \"\" AND Country ~ \"\" AND Country NOT IN (\"Australia\", \"United States\", \"India\"

  • Si la session CVAD démarrée en dehors de l’indicateur de risque de géofence est précédemment supprimée de votre compte, l’activation des paramètres de géofencing crée à nouveau l’indicateur de risque. Les pays géoréférencés de l’indicateur de risque sont contrôlés à partir des paramètres de Geofence.

Après avoir activé les paramètres de géofencing, la carte affiche les zones délimitées et les ouvertures de session uniques des utilisateurs à partir de ces zones.

Réseau de connexion

Dans le tableau de bord Access Assurance, vous pouvez désormais consulter les informations supplémentaires suivantes sur les utilisateurs :

  • Les organisations associées aux adresses IP à partir desquelles les utilisateurs se sont connectés. Ces organisations incluent des entités telles que les entreprises, le gouvernement, les entités éducatives et les fournisseurs de services Internet.

  • Le total du sous-réseau public unique et du sous-réseau privé à partir duquel les utilisateurs se sont connectés.

  • Les informations indiquant que l’utilisateur s’est connecté à l’aide de proxys et de services VPN privés.

À l’aide de ces informations supplémentaires, en tant qu’administrateur, vous pouvez valider les informations de connexion de l’utilisateur et vous assurer que l’ouverture de session de l’utilisateur répond aux attentes de sécurité de l’organisation.

Afficher les détails du réseau utilisateur

Accédez à Sécurité > Assurance d’accès et faites défiler l’écran vers le bas pour afficher les détails sous Logon Network.

Réseau de connexion

  • Nombre total d’adresses IP : indique le nombre total d’adresses IP uniques utilisées pour se connecter aux sessions virtuelles.

  • Nombre total de sous-réseaux : indique le nombre total de sous-réseaux utilisés pour se connecter aux sessions virtuelles.

  • Nombre total de types de proxy : indique le nombre total de types de réseau ou de protocole utilisés par le serveur pour proxy la connexion utilisateur.

  • Dans la section Répartition principale des organisations enregistrant des adresses IP, vous pouvez visualiser un aperçu du nombre total d’ouvertures de session utilisateur et des informations de connexion uniques de chaque organisation (ISP). Vous pouvez cliquer sur le graphique pour afficher les détails des utilisateurs, ainsi que leurs profils d’accès et informations de connexion associés à l’organisation sélectionnée.

  • Sous Total des sous-réseaux publics uniques, vous pouvez visualiser une vue d’ensemble des sous-réseaux, du nombre total d’ouvertures de session utilisateur sur chaque sous-réseau et de la tendance d’écart dans chaque sous-réseau. Vous pouvez cliquer sur chaque sous-réseau pour afficher les détails des utilisateurs, ainsi que leurs profils d’accès et informations de connexion associés au sous-réseau sélectionné.

Afficher les profils d’accès des utilisateurs

Lorsque vous analysez une métrique (emplacement, organisation ou sous-réseau), la page Access Profile fournit le résumé des accès de vos utilisateurs aux applications virtuelles ou aux bureaux virtuels à partir des emplacements sélectionnés. Vous pouvez sélectionner l’option d’ouverture de session unique ou d’ouverture de session totale pour consulter l’analyse des tendances pour la période sélectionnée.

Ouverture de session utilisateur unique et totale

Vous pouvez consulter les principaux événements d’accès pour la métrique sélectionnée (emplacement, organisation ou sous-réseau). Ces informations vous aident à examiner les modèles d’accès et les détails pour l’investigation et l’analyse des menaces.

La tendance à la hausse ou à la baisse du nombre total d’ouvertures de session utilisateur et des ouvertures de session utilisateur uniques est comparée en fonction de la période sélectionnée et de la période précédente de durée égale. Par exemple, si vous sélectionnez la période comme Dernier mois, la tendance est comparée entre le dernier mois et le mois précédent.

Afficher la page de profil d'accès

Facettes

Vous pouvez utiliser les facettes suivantes pour les événements d’accès :

  • Lieu- Filtrez les événements d’accès par pays et leurs villes.

  • OS- Filtrez les événements d’accès en fonction des systèmes d’exploitation et de leurs versions.

  • Sous-réseau : filtrez les événements d’accès par sous-réseaux.

  • Type d’adresse IP du client : filtrez les événements d’accès par public ou privé.

  • Organisation d’enregistrement IP : filtrez l’organisation associée à l’adresse IP publique.

  • Service VPN privé : filtrez les événements d’accès en fonction des noms de réseaux VPN privés.

  • Type de proxy : filtrez les événements d’accès selon les classifications des types de proxy tels que HTTP, Web, Tor et SOCKS.

Remarque

L’étiquette non disponible peut également s’afficher si les données sont indisponibles ou non identifiées.

En fonction des filtres appliqués, affichez les informations suivantes pour le nombre total d’ouvertures de session utilisateur et les ouvertures de session utilisateur uniques :

  • Réseau : principaux sous-réseaux et adresses IP à partir desquels les utilisateurs se sont connectés à des applications virtuelles ou à des bureaux virtuels.

    Détails sur l'accès supérieur

  • Emplacements : principaux pays et villes à partir desquels les utilisateurs se sont connectés à des applications virtuelles ou à des bureaux virtuels.

    Détails de la localisation des principaux accès

  • Endpoints : principaux noms d’appareils et de systèmes d’exploitation en fonction des ouvertures de session des utilisateurs des applications et des ordinateurs de bureau.

    Détails des principaux terminaux d'accès

Afficher les détails des ouvertures de session des utilisateurs

La page Ouverture de session utilisateur fournit les détails des ouvertures de session utilisateur aux applications virtuelles ou aux bureaux virtuels à partir des emplacements sélectionnés. Ces informations vous aident lors de l’investigation et de l’analyse des menaces.

Page d'ouverture de session utilisateur

Le tableau DATA affiche les détails d’ouverture de session suivants pour les emplacements sélectionnés et la période :

  • Heure. La date et l’heure auxquelles l’utilisateur s’est connecté.

  • Nom d’utilisateur. L’identité de l’utilisateur.

  • Adresse IP du client. L’adresse IP de la machine utilisateur.

  • Type d’adresse IP du client. Type d’adresse IP de l’utilisateur (publique ou privée, par exemple).

  • Ville et pays. Les emplacements à partir desquels l’utilisateur s’est connecté à des applications virtuelles ou à des bureaux virtuels.

  • ID du périphérique. Code d’identité de la machine utilisateur.

  • Nom du système d’exploitation Le système d’exploitation sur la machine utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

    Tableau de données de connexion utilisateur

Si vous élargissez chaque événement, vous pouvez voir les informations suivantes :

  • version du système d’exploitation La version du système d’exploitation sur la machine utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

  • Informations supplémentaires sur le système d’exploitation : informations supplémentaires sur le système d’exploitation, telles que les numéros de version, les Service Packs et les correctifs. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.

  • Version de l’application Workspace. La version de génération de l’application Citrix Workspace ou de Citrix Receiver.

    Accéder à la table de données des journaux

Dans le tableau DATA, vous pouvez effectuer les opérations suivantes :

  • Cliquez sur Ajouter ou supprimer des colonnes pour mettre à jour les colonnes de la table en fonction de la façon dont vous souhaitez afficher les données.

  • Cliquez sur Trier par et sélectionnez les éléments de données pour effectuer un tri sur plusieurs colonnes. Pour plus d’informations, consultez la section Tri multi-colonnes.

  • Cliquez sur Exporter au format CSV pour télécharger les données affichées dans le tableau DATA dans un fichier CSV et les utiliser pour votre analyse.

Barre de recherche

Vous pouvez également utiliser la barre de recherche pour définir votre requête à l’aide des dimensions associées à un événement d’ouverture de session.

Par exemple :

User = “test user” AND Client-IP = “10.xx.xx.xx AND Client-IP-Type = public”

User = “demo_user@citrix.com” AND OS-Major-Version = “macOS 10.13” AND OS-Minor-Version = 6

Boîte de recherche

Facettes

Vous pouvez utiliser les facettes suivantes pour les événements d’ouverture de session :

  • Emplacements : filtrez les événements d’ouverture de session par pays et par ville.

  • Système d’exploitation- Filtrez les événements d’ouverture de session par système d’exploitation et leurs versions.

  • Sous-réseau : filtrez les événements d’accès par sous-réseaux.

  • Type d’adresse IP client- Filtrez les événements d’accès par type d’adresse IP publique et privée.

  • Organisation d’enregistrement IP : filtrez les événements d’accès par fournisseur de services Internet utilisé par l’utilisateur.

  • Service VPN privé : filtrez les événements d’accès en fonction des noms de réseaux VPN privés.

  • Type de proxy : filtrez les événements d’accès selon les classifications des types de proxy tels que HTTP, Web, Tor et SOCKS.

Remarque

L’étiquette non disponible peut également s’afficher si les données sont indisponibles ou non identifiées.

Tableau de bord de garantie des accès