Nouveautés
Citrix a pour objectif de fournir de nouvelles fonctionnalités et mises à jour de produits aux clients Citrix Analytics lorsqu’elles sont disponibles. Les nouvelles versions étant plus avantageuses, il est important que vous en profitiez le plus rapidement possible.
Pour vous, en tant que client, ce processus est transparent. Les mises à jour initiales sont uniquement appliquées aux sites Citrix internes pour être ensuite graduellement appliquées aux environnements des clients. La mise à jour progressive par vagues permet d’assurer la qualité des produits et de maximiser la disponibilité.
15 avril 2024
Nouveau rapport de synthèse
Vous avez désormais la possibilité de regrouper plusieurs rapports en un seul rapport de synthèse qui peut être programmé pour la période requise. Avec cette nouvelle fonctionnalité, vous ne fournissez à votre public que les informations graphiques nécessaires. Pour plus d’informations, voir Rapport de synthèse.
29 janvier 2024
Mises à jour des champs Workspace App Status
- Recherche en libre-service : vous pouvez désormais effectuer des requêtes pour connaître l’état de support d’une version de l’application Workspace en utilisant le nouveau champ d’état de l’application Workspace pour la source de données Citrix Apps and Desktops.
- Utilisateurs : la colonne État de l’application Workspace a été supprimée.
Pour plus d’informations, consultez la section Recherche en libre-service pour les applications et les postes de travail.
25 janvier 2024
Les incohérences dans l’interface utilisateur CAS ont été uniformisées
Les problèmes suivants ont été résolus dans la fonction de recherche en libre-service pour la source de données Apps and Desktops :
- Les événements qui étaient précédemment affichés de manière désordonnée au cours d’une session apparaissent désormais correctement.
- Les colonnes par défaut ont été mises à jour.
24 janvier 2024
Événements de profil utilisateur améliorés sur les environnements SIEM
Les événements de profil utilisateur exportés vers vos environnements SIEM incluent désormais :
- Informations sur les adresses IP
- Informations sur la localisation de Citrix Virtual Apps and Desktops et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops service)
Ces nouvelles améliorations vous permettent d’identifier l’adresse IP du client utilisée pour accéder aux données de votre organisation et de recueillir des informations de localisation des utilisateurs à la fois auprès de Citrix Virtual Apps and Desktops et de Citrix DaaS.
Pour plus d’informations, consultez la section Données d’analyse des risques pour le SIEM.
1 décembre 2023
Page des paramètres de messagerie de l’administrateur pour les e-mails hebdomadaires et les alertes SIEM
La nouvelle fonctionnalité Paramètres de messagerie de l’administrateur vous permet de configurer les destinataires de la liste de distribution personnalisée pour les alertes système. Cette amélioration garantit que les administrateurs reçoivent uniquement les alertes système qui les concernent.
Pour plus d’informations, consultez la section Paramètres de messagerie de l’administrateur.
Tableau de bord des utilisateurs - Nouveau filtre de temps de comptage des utilisateurs actifs et mise à jour de la section Aperçu
Le nouveau filtre horaire du tableau de bord des utilisateurs vous permet de consulter et de modifier le nombre total d’utilisateurs actifs dans votre organisation pendant une période donnée, en tenant compte des sources de données pour lesquelles vous avez activé Citrix Analytics.
La section Aperçu améliorée du tableau de bord des utilisateurs affiche le nombre total d’utilisateurs de votre organisation, ainsi que le nombre d’utilisateurs actifs et inactifs actuellement connectés.
Pour plus d’informations, consultez Tableau de bord des utilisateurs.
Rapports personnalisés améliorés
- Vous pouvez désormais créer et planifier des rapports personnalisés à l’aide des événements et des informations disponibles dans Citrix Analytics for Security. Les rapports personnalisés vous aident à extraire des informations présentant un intérêt spécifique et à organiser les données graphiquement.
- Vous pouvez désormais utiliser les fonctionnalités améliorées de la plateforme Custom Report, qui incluent des rapports basés sur des requêtes de recherche en libre-service, des modèles, de meilleures visualisations, la couverture de toutes les sources de données et de tous les indicateurs, la planification des rapports et l’exportation de PDF.
Pour plus d’informations, consultez la section Rapports personnalisés.
30 novembre 2023
Suppression de toutes les fonctionnalités de ShareFile dans Citrix Analytics
Les fonctionnalités de détection de ShareFile suivantes sont supprimées :
- Partager des liens
- Indicateurs de risque associés
- Les stratégies et leurs occurrences
- Configurations d’exportation de données de Content Collaboration
- Rapports de Content Collaboration
- Source de données Content Collaboration sur la recherche
- Content Collaboration et recherches enregistrées
- Source de données Content Collaboration.
La suppression de ces fonctionnalités peut entraîner une incohérence temporaire dans le score de risque et les délais des utilisateurs. Toutes les autres fonctionnalités de Citrix Analytics restent les mêmes.
Découvrez comment ShareFile simplifie l’accès aux contrôles de sécurité directement depuis ShareFile.com.
22 septembre 2023
Source de données Citrix Secure Browser dans Custom Indicator
Vous pouvez désormais créer des indicateurs de risque pour la source de données Citrix Secure Browser afin de suivre l’activité d’un utilisateur dans le navigateur sécurisé. Pour plus d’informations, consultez la section Indicateurs personnalisés.
Amélioration du courrier électronique hebdomadaire grâce à l’exportation de données SIEM
L’e-mail hebdomadaire a été amélioré pour fournir un aperçu plus approfondi de la posture de sécurité de votre organisation en permettant l’exportation des données SIEM. Vous pouvez désormais intégrer et activer davantage de sources de données pour découvrir un large éventail d’événements concernant vos utilisateurs. L’e-mail hebdomadaire inclut les nouveaux ajouts suivants :
- La section récapitulative des données indique l’état de la consommation de données dans l’environnement SIEM.
- Recommandations pour les exportations de données basées sur l’état de consommation des exportations de données.
Pour plus d’informations, voir Notification hebdomadaire par e-mail.
Consommation des préférences de notification personnalisées de l’administrateur dans les e-mails
Citrix Analytics for Security respecte désormais les préférences de notification définies par les administrateurs personnalisés dans Citrix Cloud. Cette amélioration offre aux administrateurs personnalisés une plus grande flexibilité dans la gestion de leurs préférences de notification. Cette préférence est également exploitée lors de l’envoi d’e-mails de notification tels que des e-mails hebdomadaires, des e-mails d’action Notifier les administrateurs et des alertes pour les exportations de données.
Pour plus d’informations, voir Gérer les rôles d’administrateur pour Security Analytics.
4 juillet 2023
Assistance aux opérateurs OR dans le cadre de la recherche en libre-service et de l’indicateur personnalisé
L’opérateur OR est désormais disponible dans les fonctionnalités de recherche en libre-service et d’indicateur de risque personnalisé. Vous pouvez utiliser l’opérateur OR dans les modes de recherche tels que les requêtes de recherche en libre-service et d’indicateurs personnalisés.
Pour plus d’informations, consultez la section Opérateurs pris en charge dans les requêtes de recherche.
15 juin 2023
Activer la télémétrie du presse-papiers VDA
Un événement appelé VDA.Clipboard se déclenche lorsque vous lancez une opération de presse-papiers dans Citrix Apps and Desktops. Ces journaux du presse-papiers fournissent des informations essentielles telles que le nom du VDA, la taille du presse-papiers, le type de format du presse-papiers, l’adresse IP du client, le fonctionnement du presse-papiers, la direction du fonctionnement du presse-papiers et si l’opération du presse-papiers était autorisée. Les attributs de l’événement VDA Clipboard sont également disponibles dans les flux de travail de recherche en libre-service et d’indicateurs de risque personnalisés.
- Recherche en libre-service : vous pouvez générer des rapports, enregistrer des requêtes et consulter les événements VDA.Clipboard ainsi que tous les détails de ses attributs.
- Indicateurs de risque personnalisés : les attributs des événements du presse-papiers du VDA sont disponibles dans le flux de travail des indicateurs personnalisés. Vous pouvez utiliser ces paires clé/valeur d’événement pour configurer des déclencheurs d’indicateurs personnalisés et configurer des stratégies automatisées avec des actions.
Vous pouvez utiliser la collection de métadonnées Clipboard Place pour la stratégie de surveillance de la sécurité afin d’activer la télémétrie du presse-papiers et la transmission des journaux du presse-papiers à Citrix Analytics for Security. Cette stratégie est activée par défaut. Pour la désactiver, accédez à la page Policy et désactivez-la pour arrêter la collecte de données à partir des VDA.
Pour plus d’informations, consultez la section Activation de la télémétrie du presse-papiers pour Citrix DaaS.
14 juin 2023
Disponibilité du cycle de vie de l’application d’enregistrement de session et des événements de registre dans Citrix Analytics for Security
Les événements suivants liés au cycle de vie des applications et au registre issus de l’enregistrement de session sont désormais disponibles dans Citrix Analytics for Security :
- Citrix.EventMonitor.RegistryChange
- Citrix.EventMonitor.SessionLaunch
- Citrix.EventMonitor.SessionEnd
- Citrix.EventMonitor.Clipboard
- Citrix.EventMonitor.FileTransfer
Vous pouvez consulter ces événements, créer des indicateurs personnalisés et les exporter vers vos environnements SIEM.
Pour plus d’informations, consultez la section Types d’événements et champs pris en charge.
8 juin 2023
Problèmes résolus
-
Certains événements d’ouverture de session qui sont envoyés à Citrix Analytics for Security n’ont pas de nom d’utilisateur. Cela se traduit par l’affichage de la colonne du nom d’utilisateur sous la forme NA pour certains événements sur la page de connexion des utilisateurs de Self Service Search and Access Assurance. Parfois, cela se traduit également par un nombre d’utilisateurs uniques égal à zéro, bien que le nombre total d’ouvertures de session soit différent de zéro dans le graphique des organisations d’enregistrement IP Access Assurance lorsque vous consultez les données sur une courte période, telle que la dernière heure ou le dernier jour. Ce problème est désormais résolu. [CAS-70954]
-
Dans la recherche en libre-service pour Apps and Desktops, pour les événements utilisateur Session.Logon et Session.End, la dimension App-Name dans les requêtes de recherche est renseignée avec des noms de groupes de mise à disposition plutôt que le nom de l’application ou du bureau lancé, ce qui peut induire en erreur les administrateurs. La dimension App-Name est plus utile pour les requêtes sur les événements App.Start/App.End, car elle pointe vers les applications en cours de lancement. Pour plus de détails, reportez-vous à la section Recherche en libre-service pour Apps and Desktops. Ce problème est désormais résolu. [CAS-67968]
-
Si votre organisation est intégrée à Citrix Cloud dans la région d’origine Asie-Pacifique Sud, les événements Content Collaboration ne sont pas visibles dans vos locataires Citrix Analytics. Ce problème est désormais résolu. [CAS-62317]
-
Quelques versions de l’application Citrix Workspace et du client Citrix Receiver n’envoient pas d’événements spécifiques à Citrix Analytics. Par conséquent, Citrix Analytics ne peut pas fournir d’informations et générer des indicateurs de risque pour ces événements. Ce problème est désormais résolu. Pour plus d’informations, consultez Contrôle 6 : les événements relatifs aux applications et bureaux virtuels sont-ils transmis à Analytics ?. [CAS-16151]
29 mai 2023
Le module complémentaire Citrix Analytics pour Splunk est désormais disponible sur Splunk Cloud Platform
L’intégration de Splunk pour Citrix Analytics utilise le module complémentaire Citrix Analytics pour Splunk pour se connecter à l’environnement d’analyse et intégrer des données critiques dans votre environnement Splunk.
Auparavant, l’extension était approuvée par Splunk uniquement pour être installée sur la couche Splunk Enterprise et les clients étaient responsables de la configuration de l’extension dans leur environnement Splunk sur site. Avec la dernière version de 2.1.2, le module complémentaire est désormais compatible avec Splunk Cloud entre la plateforme Splunk et Splunk Cloud. Les clients qui utilisent des instances Classic avec des instances IDM ou Victoria peuvent bénéficier de cette amélioration de la compatibilité de la plateforme. Les clients ont désormais la possibilité de choisir entre Splunk Enterprise ou Splunk Cloud tout en envisageant le déploiement de notre module complémentaire pour faciliter l’intégration de Splunk.
Pour plus d’informations, consultez Splunk Integration.
Enregistrement d’événements de session dans SIEM
Les événements d’enregistrement de session peuvent désormais être exportés vers SIEM sous la forme d’événements Risk Insight et d’événements de source de données pour les applications et les postes de travail. Les types d’événements récemment ajoutés se trouvent dans l’étape Evénements de données à exporter sur la page Exportations de données .
Pour plus d’informations, consultez la section Stratégies et actions.
24 mai 2023
Informer l’utilisateur final d’une action globale
La fonctionnalité Stratégies et actions de Citrix Analytics prend désormais en charge l’action globale Notifier l’utilisateur final, qui peut être associée à un ou plusieurs déclencheurs d’indicateurs de risque intégrés ou personnalisés. Les administrateurs peuvent créer des stratégies à l’aide de l’action Notifier l’utilisateur final qui génère des notifications par e-mail destinées uniquement aux utilisateurs finaux. Cette action peut être utilisée dans divers cas d’utilisation de conformité, tels que la notification aux utilisateurs en cas d’utilisation non autorisée d’applications ou l’envoi d’alertes en cas de comportement suspect sur leurs comptes Citrix sans prendre de mesures perturbatrices. Les administrateurs peuvent personnaliser le corps et l’objet du message électronique en fonction du scénario spécifique.
Pour plus d’informations, voir Notifier l’utilisateur final.
4 mai 2023
Génération d’événements de test
La fonctionnalité de génération d’événements de test est créée pour aider les clients à tester rapidement leur pipeline Citrix Analytics - SIEM. Auparavant, si l’administrateur devait tester cette intégration, il devait attendre l’intégration de la source de données et l’activité des utilisateurs pour vérifier si les événements étaient générés par Citrix Analytics et donc reçus par son environnement SIEM. Ce n’est plus une nécessité. Il suffit de cliquer sur le bouton Envoyer des données de test pour envoyer un événement fictif dans l’environnement SIEM et d’utiliser la requête fournie pour vérifier si l’intégration SIEM de Citrix Analytics est définie comme prévu. Cela peut également fonctionner pour l’administrateur qui essaie de déboguer un flux de données perturbé, car cela peut aider à isoler le point de défaillance.
Pour plus d’informations, consultez la section Génération d’événements de test.
Génération d’alertes par e-mail SIEM
La fonctionnalité de génération d’alertes par e-mail SIEM simplifie considérablement le processus de résolution des problèmes liés à l’exportation de données. Citrix Analytics envoie des alertes système pour les activités susceptibles d’entraîner ou d’indiquer une interruption du flux de données SIEM. L’e-mail est distribué aux administrateurs Citrix Cloud, aux administrateurs complets de Security, aux administrateurs en lecture seule de Security et aux administrateurs en lecture seule de Security and Performance. Les différents types d’alertes qui sont envoyés sont les suivants :
-
Alerte d’exportation de données SIEM - Le mot de passe a été réinitialisé
Cet e-mail est déclenché chaque fois que le mot de passe du compte est réinitialisé depuis la page Exportations de données. Si cela est fait uniquement sur l’interface graphique de Citrix Analytics for Security, cela peut entraîner une interruption du flux de données. Cette alerte indique l’heure à laquelle la réinitialisation du mot de passe a été effectuée, ce qui facilite grandement le retour à un flux de données réussi.
-
Alerte d’exportation de données SIEM : arrêt du flux de données
Cet e-mail est déclenché chaque fois que le client est confronté à un formulaire d’interruption du flux de données
-
Plus de 24 heures : temps critique pour retrouver rapidement un flux de données efficace en utilisant les conseils de dépannage utiles contenus dans l’alerte ou en utilisant l’onglet Résumé de l’exportation des données avec guide rapide.
-
Plus de 7 jours : la stratégie de conservation de Kakfa pour le sujet de chaque client est de sept jours, ce qui signifie qu’il est possible que certaines données sécurisées aient expiré. Il est impératif d’utiliser les outils de dépannage pour rétablir le flux de données vers le SIEM.
-
Plus de 30 jours : cela signifie que le client a souffert de problèmes de sécurité et qu’il doit immédiatement s’attacher à rétablir le flux de données entre Citrix Analytics et l’environnement SIEM.
Pour plus d’informations, consultez la section Génération d’alertes par e-mail SIEM.
13 avril 2023
Problème résolu
L’application Windows Citrix Workspace envoie un nom de fichier, un chemin et une propriété de format vides à partir de la version 2203 et des versions ultérieures de l’application Citrix Workspace. Par conséquent, l’interface graphique de Citrix Analytics for Security affiche les valeurs NA pour les colonnes Nom du fichier de téléchargement, Chemin du fichier de téléchargement et Format de fichier de téléchargement. Ce problème est désormais résolu. [CAS-73498]
31 mars 2023
Événements d’enregistrement de session dans Citrix Analytics for Security
Dans Citrix Apps and Desktops, deux nouveaux types d’événements ont été ajoutés pour aider à identifier et à évaluer les événements basés sur l’enregistrement de session.
- Citrix.EventMonitor.RDPConnection
- Citrix.EventMonitor.UserAccountModification
Les administrateurs peuvent désormais facilement identifier et évaluer les risques de sécurité potentiels. Ils peuvent utiliser ces événements pour recueillir des informations sur des données vitales telles que les identifiants de processus, les adresses IP de destination et les descriptions des opérations des comptes utilisateurs. En outre, ces événements peuvent également être consultés sur la page des indicateurs de risque personnalisés et sur la page de recherche en libre-service .
- Recherche en libre-service : vous pouvez consulter ces événements ainsi que les détails de leurs attributs.
- Indicateurs de risque personnalisés : vous pouvez configurer n’importe quel indicateur personnalisé à l’aide de ces types d’événements. Pour plus d’informations, consultez la section Types d’événements et champs pris en charge.
Événements de App Protection dans Self-Service Search
Un nouvel événement appelé AppProtection.ScreenCapture se déclenche lorsque vous essayez de capturer une capture d’écran alors que vous êtes dans une session protégée sous la source de données Citrix Apps and Desktops. Les événements AppProtection.ScreenCapture sont également disponibles sur les pages de recherche en libre-service et d’exportation de données.
- Recherche en libre-service : vous pouvez consulter les résultats de AppProtection.ScreenCapture ainsi que tous les détails de ses attributs.
- Exportations de données : vous pouvez consulter le type d’événement AppProtection.ScreenCapture dans la section Exportations de données. Accédez à Paramètres > Exportations de données > Configuration > Événements de données à exporter sélectionnez Applications et postes de travail dans la catégorie Événements de source de données (facultatif).
Vous pouvez également afficher un nouvel attribut appelé Stratégies App Protection pour l’événement Session.Logon.
Pour plus d’informations, consultez la section Types d’événements et champs pris en charge.
30 mars 2023
Prise en charge des rôles personnalisés
Un administrateur peut être ajouté pour des rôles personnalisés à l’aide de groupes dans votre Active Directory ou Azure Active Directory ou en configurant une intégration Okta pour Citrix Analytics for Security. Cette intégration permet une approche rationalisée de la gestion des autorisations d’accès aux services pour tous les administrateurs de groupe.
Après avoir correctement ajouté un administrateur à Active Directory ou à Azure Active Directory, l’administrateur peut créer des groupes et attribuer un rôle personnalisé à un groupe spécifique. Les autorisations individuelles sont privilégiées par rapport aux autorisations de groupe si un administrateur est membre des deux.
Pour plus d’informations, consultez la section Support des rôles personnalisés.
Panneau de résolution des problèmes pour l’interface utilisateur SIEM
L’interface utilisateur des exportations de données a été améliorée avec les modifications suivantes :
-
Onglet Résumé : L’onglet Résumé décrit les mesures des événements SIEM, l’état d’intégration des sources de données et l’état de consommation des données dans le scénario suivant :
- Données disponibles dans Citrix Analytics : fournit l’état d’intégration des différentes sources de données.
- Événements disponibles pour la consommation du SIEM : fournit le nombre d’informations envoyées à votre environnement SIEM.
- Consommation de données par SIEM : fournit l’état de la consommation de données.
-
Onglet Configuration : L’onglet Configuration contient les informations relatives à la configuration de votre compte, à la configuration de l’environnement SIEM et à la sélection des événements de données.
-
Guide rapide d’exportation de données : les administrateurs peuvent désormais utiliser le guide rapide, qui simplifie la configuration et la gestion des intégrations SIEM. Le lien Guide rapide d’exportation de données est accessible depuis les onglets Résumé et Configuration .
Pour plus d’informations, voir Résolution des problèmes liés à l’exportation de données.
24 mars 2023
Modification de la vue du profil utilisateur
Les données de profil des utilisateurs relatives aux applications, aux emplacements, aux appareils et à l’utilisation des données ShareFile ne sont pas disponibles sur la page Informations utilisateur de la chronologie de l’utilisateur. Les informations utilisateur suivantes provenant d’Active Directory sont toujours disponibles :
- Intitulé du poste
- Adresse
- Phone
- Emplacement
- Organization
Aucune modification n’a été apportée aux données du profil utilisateur qui sont exportées vers SIEM. Pour plus d’informations, consultez la section Profil utilisateur.
Suppression des suggestions automatiques dynamiques de toutes les vues de recherche
La fonctionnalité de suggestion automatique pour les dimensions basées sur les données historiques du locataire est désormais obsolète pour les pages suivantes :
- Recherche en libre-service
- Indicateur de risque personnalisé
Toutefois, les suggestions statiques pour des dimensions telles que Event-Type et Clipboard-Operations sont toujours disponibles dans la zone de recherche.
Pour plus d’informations, consultez Comment utiliser la recherche en libre-service.
21 mars 2023
Panneau de recommandations pour aider à intégrer la source de données StoreFront sur site
Un nouveau panneau de recommandations a été introduit sur la page Sources de données . Le panneau Recommandations de la page Sources de données explique à l’utilisateur l’importance d’intégrer des sources de données StoreFront sur site. Il permet à l’utilisateur d’intégrer facilement les sources de données StoreFront sur site et offre également la possibilité à l’utilisateur de consulter et de garantir l’intégration de toutes les sources de données disponibles.
Pour plus de détails, consultez la section Connexion à un déploiement StoreFront.
23 février 2023
Problèmes résolus
Les actions échouent pour les déploiements Citrix Apps and Desktop sur site où la version de Citrix Apps and Desktop > 1912. Ce problème a été observé à la fois dans les actions manuelles et basées sur des stratégies. Ce problème est désormais résolu. [CAS-69098]
La page Recherche en libre-service d’applications et de bureaux affiche plusieurs événements de démarrage et de fin d’application lorsque des applications virtuelles ne sont lancées qu’une seule fois. Ce problème se produit sur les versions clientes de l’application Citrix Workspace pour Linux. Ce problème est désormais résolu. [CAS-36236]
Les événements utilisateur du service Secure Private Access après le 4 avril 2022 et jusqu’à fin mai 2022 peuvent ne pas être disponibles dans vos clients Citrix Analytics. Ce problème est désormais résolu. [CAS-66897]
22 février 2023
Amélioration des notifications hebdomadaires par e-mail
Citrix Analytics envoie des notifications hebdomadaires par e-mail qui permettent de résumer les expositions aux risques de sécurité de votre entreprise. La notification hebdomadaire par e-mail a été améliorée avec les mises à jour suivantes :
- Fournit une vue de la répartition des risques des utilisateurs : nombre total d’utilisateurs découverts, nombre d’utilisateurs risqués et non risqués pendant une semaine
- Nombre total d’événements traités pendant une semaine
- Nombre total d’indicateurs déclenchés pendant une semaine
- Nombre total d’actions effectuées pendant une semaine
- Nombre total de sources de données activées pour le traitement des données
Pour plus de détails, consultez la section Notification hebdomadaire par e-mail.
Ajout du champ Download File Format pour le type d’événement app.saas.file.Download
Sur la page de recherche en libre-service de la source de données Apps and Desktops, un nouveau champ Download File Format a été ajouté pour le type d’événement App.saas.file.Download. Avec cette modification, vous pouvez désormais configurer des indicateurs de risque personnalisés pour le champ Format de fichier de téléchargement et également exporter le champ dans le cadre du format Exporter au format CSV.
Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.
Modification des champs dérivés du navigateur
Auparavant, la page de recherche en libre-service comportait les champs Browser, Browser Major Version et Browser Minor Version pour représenter les noms et les versions des navigateurs. Toutefois, par souci de clarté et d’exactitude, ces trois champs sont désormais obsolètes et remplacés par le Browser Name et Browser Version dans la recherche en libre-service, un modèle d’indicateur personnalisé et une source de données à télécharger au format CSV pour les applications et les ordinateurs de bureau.
Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.
16 février 2023
Problème résolu
Les e-mails hebdomadaires sont affectés pour certains clients de l’UE et de l’APS lors de la récupération du statut de masquage du nom d’utilisateur pour un locataire. Par conséquent, les administrateurs reçoivent 10 e-mails hebdomadaires identiques en raison de cette exception. Une fois l’exception survenue, les locataires suivants n’ont pas reçu l’e-mail hebdomadaire. Ce problème est désormais résolu. [CAS-76138]
3 février 2023
Support analytique pour le service Citrix Secure Private Access disponible dans l’Union européenne et dans les régions Asie-Pacifique Sud
Citrix Analytics for Security traite désormais les événements utilisateur à partir de Citrix Secure Private Access, disponible dans la région Union européenne et dans la région Asie-Pacifique Sud. Si votre organisation a intégré Citrix Cloud depuis la région de l’Union européenne ou de la région Asie-Pacifique Sud, vous pouvez consulter les informations sur les risques des utilisateurs qui utilisent le service Secure Private Access.
Pour plus d’informations, consultez la section Sources de données.
11 janvier 2023
Suppression de la fonctionnalité de filtrage Web de Secure Private Access
La fonctionnalité de filtrage Web a été supprimée de la catégorie Secure Private Access. Les fonctionnalités suivantes de Citrix Analytics for Security sont affectées par l’abandon du filtrage Web basé sur les catégories par Secure Private Access :
-
Les champs de données tels que le groupe de catégories, la catégorie et la réputation des URL ne sont plus disponibles sur le tableau de bord Citrix Analytics for Security.
-
L’indicateur Risky d’accès au site Web, qui repose sur les mêmes données, est également obsolète et n’est pas déclenché pour les clients.
-
Les indicateurs de risque personnalisés existants utilisant les champs de données (catégorie-groupe, catégorie et réputation des URL) et les stratégies associées ne sont plus déclenchés.
-
Les onglets Accès utilisateur et Accès aux applications .
-
Les exportations SIEM conservent les attributs urlcategory, urlcategorygroup et urlcategoryreputation depuis un certain temps avec les valeurs fictives suivantes :
- 99999 pour la catégorie et le groupe de catégories
- 0 pour Reputation
Pour plus d’informations, consultez la section Recherche en libre-service pour Secure Private Access.
27 décembre 2022
Modification de la liste déroulante des sources de données pour la recherche en libre-service
La liste des sources de données est modifiée pour refléter les sessions par défaut plutôt que les applications et les postes de travail sur la page de recherche en libre-service. De plus, la section Performances est déplacée vers le haut, suivie de la section Sécurité car les sources de données de performances n’étaient pas visibles.
Pour plus d’informations, consultez la rubrique Recherche en libre-service.
13 décembre 2022
Amélioration du tableau de bord des utilisateurs
Le tableau de bord des utilisateurs a été remanié avec des résumés et des graphiques pour aider les administrateurs à surveiller le niveau de sécurité de l’organisation. La vue fournit non seulement des détails sur les utilisateurs découverts, les indicateurs de risque déclenchés et les actions appliquées, mais fournit également une courbe de tendance chronologique contenant des indicateurs critiques pour une meilleure évaluation des risques. Les administrateurs peuvent explorer les données qui les intéressent et accéder à des tableaux de bord pertinents avec le contexte approprié pour une analyse des risques plus rapide.
Pour plus d’informations, consultez Tableau de bord des utilisateurs.
5 décembre 2022
Tableau de bord de garantie d’accès - Logon Network
La section Logon Network vient d’être ajoutée et fournit les informations utilisateur suivantes :
-
Les organisations associées aux adresses IP à partir desquelles les utilisateurs se sont connectés.
-
Le total du sous-réseau public unique et du sous-réseau privé à partir duquel les utilisateurs se sont connectés.
-
Les informations indiquant que l’utilisateur s’est connecté à l’aide de proxys et de services VPN privés.
À l’aide de ces informations supplémentaires, un administrateur peut valider les informations de connexion de l’utilisateur et s’assurer que l’ouverture de session de l’utilisateur répond aux attentes de sécurité de l’organisation.
Pour plus de détails, consultez Access Assurance Dashboard.
18 novembre 2022
Problème résolu
- Les indicateurs de géofence qui étaient déclenchés par erreur sans aucun événement source ont été corrigés. [CAS-73222]
8 novembre 2022
Renommer les actions
Certaines des actions utilisées dans Citrix Analytics for Security sont renommées pour plus de clarté. Ces actions sont les suivantes :
- Avertir les administrateurs - Avertir les administrateurs
- Verrouiller l’utilisateur - Verrouiller le compte utilisateur
- Déconnecter l’utilisateur : déconnecter les sessions actives
- Déverrouiller l’utilisateur - Déverrouiller le compte utilisateur
- Désactiver l’utilisateur - Désactiver le compte utilisateur
Pour plus d’informations, voir Quelles sont les actions ?
Problèmes résolus
-
Si vous sélectionnez une option dans la liste déroulante des actions de la chronologie, vous ne pouvez pas déclencher d’action manuelle car les boutons Effacer et Appliquer ne sont pas visibles. Cette condition se produit dans la dernière version de Firefox. Ce problème est désormais résolu. [CAS-72051]
-
Les catégories HardDrive, harddrive et HDD sont regroupées en une seule catégorie en tant que Hard Disk Drive pour le champ Type de périphérique de téléchargement de la source de données Self-Service Search for the Apps and Desktops. [CAS-67188]
-
Parfois, des notifications dupliquées sont reçues de Microsoft Graph avec le même ID d’alerte, ce qui entraîne la création d’événements à risque dupliqués. Un mécanisme de déduplication est mis en œuvre dans les applications pour éviter ce problème. [CAS-66731]
19 octobre 2022
Sélection et exportation des événements de la date et de la source
Vous pouvez désormais tirer parti du nouveau flux de travail d’exportation des événements de données pour exporter les événements des sources de données, en plus des informations sur les risques générées par l’apprentissage automatique, des événements et des données associées.
Cela permet aux administrateurs des opérations de sécurité et de sécurité (SOC) de :
-
Corrélez les données de Citrix Analytics avec les événements d’autres sources de données agrégés sur les informations de sécurité et la gestion des événements (SIEM)
-
Contrôlez les événements de données qui sont acheminés vers les SIEM pour optimiser les coûts de stockage
Les événements de données sont transmis à vos intégrations SIEM et connecteurs de données existants, à égalité avec ce qui est disponible sur notre affichage de recherche d’événements en libre-service.
Pour plus d’informations, consultez la section Événements liés aux données exportés depuis Citrix Analytics for Security vers votre service SIEM.
18 octobre 2022
Autoriser l’administrateur à exécuter une action d’enregistrement de session dynamique sur les sites Citrix DaaS
Les administrateurs peuvent désormais exécuter des actions d’enregistrement de session dynamique sur les sites Citrix DaaS et enregistrer de manière dynamique les sessions virtuelles des utilisateurs. Ils peuvent configurer l’action avec une stratégie pour démarrer automatiquement l’enregistrement des sessions utilisateur au cas où une activité risquée d’un utilisateur donné serait détectée par Citrix Analytics for Security.
Pour plus d’informations, voir Quelles sont les actions ?
14 octobre 2022
Fournir des commentaires sur les indicateurs de risque utilisateur
Les administrateurs de Citrix Analytics for Security peuvent désormais signaler les indicateurs de risque utilisateur comme utiles ou non utiles en fournissant des commentaires sur le panneau de détails des indicateurs. Cette fonctionnalité permet aux administrateurs de signaler les faux positifs, de réduire le bruit lié aux indicateurs fréquemment déclenchés et de partager du contexte supplémentaire avec d’autres administrateurs. Comme résultat supplémentaire, l’indicateur de risque inutile est masqué dans la chronologie de l’utilisateur et le score de risque de l’utilisateur est recalibré.
Pour plus d’informations, voir Fournir des commentaires sur les indicateurs de risque utilisateur.
26 septembre 2022
Garantie d’accès pour soutenir la liste de blocage de la géofence
Les onglets de localisation sécurisée et risquée sont ajoutés dans les paramètres de Geofence.
- Le géofencing sécurisé permet d’identifier et de restreindre l’accès en dehors d’une zone délimitée définie.
- Le géofencing de localisation à risque permet de détecter et de limiter les accès à risque des utilisateurs conformément au comportement connu de l’entreprise.
Les géofencings sûrs et risqués sont soutenus par leurs propres indicateurs de risque personnalisés préconfigurés.
Pour plus d’informations, voir Activer le géofencing.
Problèmes résolus
-
API Citrix Cloud pour afficher le nom du client dans le corps de l’e-mail. Désormais, l’e-mail utilise le surnom pour afficher le nom du client dans le corps de l’e-mail envoyé aux administrateurs. [CAS-65350]
-
La carte source de données Citrix Gateway est courante dans Citrix Analytics for Security et Citrix Analytics for Performance. Le traitement des données appelait en permanence le terminal Citrix Analytics for Security et était interrompu pour les clients disposant uniquement de droits Citrix Analytics for Performance . [CAS-70817]
-
Lorsque plusieurs messages d’autorisation sont reçus simultanément de Citrix Cloud, une condition de course se produit lors de la mise à jour du cache Redis. Dans un tel scénario, un message d’autorisation est mis à jour dans le cache et le reste disparaît. Ce problème est désormais résolu pour mettre à jour tous les messages d’autorisation dans le cache. [CAS-70823]
13 septembre 2022
Amélioration du tableau de bord Sharelink
Le tableau de bord Sharelink a été remanié avec un résumé et une vue détaillée. La vue récapitulative comprend les principales actions actives et les actions les plus risquées. La vue détaillée fournit plus d’informations à l’administrateur avec l’introduction des attributs créés par, du nombre d’activités, du type d’authentification, de l’autorisation, du type de partage et du contenu. L’administrateur peut effectuer des recherches plus poussées et des filtres supplémentaires selon les besoins et modifier/fournir le délai pour consulter les données qui l’intéressent.
Pour plus d’informations, consultez la section Tableau de bord Partager des liens.
9 septembre 2022
Amélioration des indicateurs de risque d’Impossible Travel
Les indicateurs de risque Impossible Travel ont été améliorés pour indiquer l’organisation d’enregistrement et le type de routage des adresses IP des clients. Ces nouveaux champs sont disponibles à la fois dans les vues détaillées des indicateurs de la chronologie utilisateur et dans les détails des indicateurs envoyés au SIEM.
Pour plus d’informations sur les stratégies par défaut, consultez les articles suivants :
19 août 2022
Activer la télémétrie d’impression VDA
Un événement appelé VDA.Print se déclenche lorsqu’une tâche d’impression est lancée dans Citrix Apps and Desktops. Les événements VDA Print sont également disponibles sur les pages de recherche en libre-service et d’ indicateurs de risque personnalisés .
- Recherche en libre-service : vous pouvez consulter les résultats de VDA.Print ainsi que tous les détails de ses attributs.
- Indicateurs de risque personnalisés : de nouveaux événements sont fournis pour la télémétrie d’impression VDA via EventHub et sont également disponibles dans Custom Indicator. Vous pouvez utiliser ces paires clé/valeur d’événement pour configurer des déclencheurs d’indicateurs personnalisés.
Pour activer la télémétrie d’impression et la transmission des journaux d’impression à Citrix Analytics for Security, vous devez créer des clés de registre et configurer votre VDA. Ces journaux d’impression fournissent des informations essentielles sur les activités d’impression, telles que les noms des imprimantes, les noms des fichiers d’impression et le nombre total de copies imprimées. En tant qu’administrateur de la sécurité, vous pouvez utiliser ces journaux pour analyser les risques et enquêter sur vos utilisateurs.
Pour plus d’informations, voir Activation de la télémétrie d’impression pour Citrix DaaS.
18 août 2022
Problème résolu
- Dans la recherche en libre-service pour les applications et les postes de travail et sur la page Connexions utilisateur sous le tableau de bord de localisation de l’assurance accès, la valeur de version de l’application Workspace a été renseignée sous la forme NA (non disponible) dans le fichier CSV téléchargé, alors qu’elle était disponible dans la vue de page. Ce problème est désormais résolu. [CAS-70361]
17 août 2022
Personnalisation de l’e-mail de l’utilisateur final par stratégie
Vous pouvez désormais personnaliser le contenu des e-mails envoyés aux utilisateurs finaux en fonction de la stratégie. Plus précisément, lorsque vous créez une stratégie avec l’action Demander la réponse de l’utilisateur final ou une action perturbatrice sur le compte de l’utilisateur (telle que Déconnecter l’utilisateur et Verrouiller l’utilisateur), le contenu des e-mails envoyés aux utilisateurs finaux lorsque la stratégie est appliquée est personnalisable.
Pour plus d’informations sur la personnalisation du courrier de l’utilisateur final par stratégie, consultez la section Stratégies et actions.
11 août 2022
De nouvelles questions concernant la garantie d’accès — Géolocalisation ont été ajoutées dans l’article FAQ . Pour plus de détails, consultez la FAQ.
Problème résolu
- Le bouton Afficher toutes les notifications a redirigé l’administrateur vers un lien e-mail
https://citrix.cloud.com/notifications
hebdomadaire contenant une faute de frappe. [CAS-69236]
17 juin 2022
Le traitement des données est activé par défaut pour les nouveaux droits payants
Auparavant, les clients disposant de nouveaux droits payants sur Citrix Analytics for Security devaient activer le traitement des données dans la carte de site de sources de données spécifiques pour commencer à traiter les données de ces sources de données.
Dans cette version, lorsque les nouveaux droits payants à Citrix Analytics for Security sont fournis, le traitement des données est activé par défaut pour les services Citrix Cloud suivants :
- Citrix Secure Private Access
- Citrix Content Collaboration
- Citrix DaaS
Pour plus d’informations, reportez-vous à la section Mise en route.
09 juin 2022
Problème résolu
- Les indicateurs de risque Microsoft Graph générés par la protection d’identité Azure AD et Microsoft Defender for Endpoint peuvent être affichés plusieurs fois dans Security Analytics. Ce problème est désormais résolu. [CAS-66593,CAS-66731]
2 juin 2022
Problèmes résolus
-
Dans la recherche en libre-service des stratégies, lorsque vous sélectionnez la dimension Policy-Name dans votre requête de recherche pour filtrer les événements, une liste de stratégies non valides a été suggérée ainsi que les stratégies valides pour Security Analytics. [CAS-66838]
-
La taille du fichier de téléchargement des événements File.Download de Windows Citrix Receiver ne s’affichait pas correctement dans la recherche en libre-service. Ce problème est apparu parce que la valeur réelle était exprimée en Ko et que l’interface utilisateur traitait la valeur comme des octets, ce qui entraînait l’affichage de valeurs incorrectes aux utilisateurs. [CAS-67105]
24 mai 2022
Présentation des indicateurs de risque de déplacement impossible pour Content Collaboration, Citrix DaaS et Citrix Virtual Apps and Desktops, et des sources de données Gateway
Si l’utilisateur ouvre une session à partir de deux emplacements trop éloignés l’un de l’autre pour voyager dans le temps écoulé, Citrix Analytics détecte cette activité comme un scénario de voyage impossible et déclenche l’indicateur de risque de voyage impossible . Pour plus d’informations sur les indicateurs de risque de voyage impossible, consultez les articles suivants :
-
Indicateurs de risque Citrix Content Collaboration
-
Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS
17 mai 2022
Virtual Apps and Desktops est renommé Apps and Desktops
Sur les tableaux de bord et les rapports Security Analytics et dans les données envoyées par Security Analytics à votre service SIEM, toutes les étiquettes Virtual Apps and Desktops sont désormais mises à jour en tant qu’applications et bureaux pour s’aligner sur le nouveau nom du produit.
Par exemple, sur la page Sources de données, les étiquettes Virtual Apps and Desktops sont renommées Apps and Desktops.
L’étiquette Apps and Desktops représente à la fois Citrix Virtual Apps and Desktops sur site et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) dans votre organisation.
Problèmes résolus
Citrix Analytics ne découvre pas automatiquement les sites Citrix DaaS Cloud Monitor ou Director associés à votre compte Citrix Cloud. [CAS-66801]
5 avril 2022
Nouveautés
Secure Workspace Access est renommé Secure Private Access
Dans les tableaux de bord et les rapports Analytics, toutes les étiquettes Secure Workspace Access de travail sont désormais mises à jour en tant qu’ accès privé sécurisé pour s’aligner sur le nom du produit renommé.
Par exemple, sur la page Sources de données et la page de recherche en libre-service, les étiquettes Secure Workspace Access de travail sont renommées Accès privé sécurisé.
21 mars 2022
Problème résolu
-
Dans la page Créer un indicateur de risque, les suggestions automatiques de dimensions et d’opérateurs ne fonctionnent pas si la condition précédente de votre requête de recherche contient une valeur de dimension séparée par un espace.
Par exemple, dans la requête suivante, les suggestions automatiques cessent de fonctionner une fois que vous avez sélectionné la ville en tant que
San Jose
. Ce problème est désormais résolu. [CAS-64126]
10 mars 2022
Nouveautés
Améliorations relatives à la notification
-
La notification par e-mail pour l’action Notifier les administrateurs fournit désormais les détails des multiples indicateurs de risque associés à une stratégie déclenchée.
-
Vous pouvez afficher le nom, le niveau de gravité et la date de déclenchement de chaque indicateur de risque associé à la stratégie.
-
Cliquez sur Afficher les détails du risque pour ouvrir la page de chronologie de l’utilisateur dans Citrix Analytics et afficher le dernier indicateur de risque qui a déclenché la stratégie. Sur la page de chronologie de l’utilisateur, vous pouvez également afficher tous les indicateurs de risque déclenchés pour l’utilisateur.
Pour plus d’informations sur l’action Notifier les administrateurs, consultez la section Stratégies et actions.
Problème résolu
Citrix Analytics ne parvient pas à recevoir les événements utilisateur de la source de données Secure Workspace Access. Par conséquent, les événements utilisateur ne s’affichent pas dans la page de recherche en libre-service correspondante. En outre, vous ne pouvez pas créer d’indicateurs de risque personnalisés pour la source de données Secure Workspace Access. [CAS-64619]
3 mars 2022
Nouveautés
Appliquer la demande de réponse de l’utilisateur final manuellement
Auparavant, vous pouviez appliquer l’action Demander une réponse de l’utilisateur final à un compte d’utilisateur uniquement en créant une stratégie. Avec cette version, vous pouvez sélectionner l’action dans la liste Actions de la chronologie utilisateur et appliquer manuellement cette action à un indicateur de risque.
Pour plus d’informations sur l’action et sur la façon d’appliquer des actions manuellement, consultez Stratégies et actions.
Demander des améliorations aux réponses des utilisateurs finaux pour la stratégie
Lorsque vous créez une stratégie avec l’action Demander une réponse de l’utilisateur final, les améliorations suivantes s’affichent :
-
Après avoir sélectionné Notifier les administrateurs comme action suivante, vous pouvez désormais afficher les listes de distribution par défaut et les listes de distribution d’e-mails créées parmi lesquelles vous pouvez choisir.
-
Vous pouvez désormais sélectionner l’une des actions dans Citrix Content Collaboration ou Citrix Virtual Apps and Desktops et Citrix DaaS comme action suivante. Auparavant, vous ne pouviez sélectionner qu’une des actions globales ou des actions Citrix Gateway.
Pour plus d’informations sur cette action, consultez la section Stratégies et actions.
23 février 2022
Nouveautés
Mesures recommandées pour un indicateur de risque
Citrix Analytics vous suggère d’appliquer des actions telles que Notifier les administrateurs, Ajouter à la listede suivi et Créer une stratégie lorsque les indicateurs de risque suivants sont déclenchés pour un utilisateur :
-
Échec d’authentification inhabituel (source de données Content Collaboration)
-
Échec d’authentification inhabituel (source de données Gateway)
-
Ouverture de session suspecte (Citrix Virtual Apps and Desktops et source de données Citrix DaaS)
Lorsque vous accédez à la chronologie de l’utilisateur et que vous sélectionnez l’indicateur de risque, vous pouvez afficher toutes les actions suggérées dans la section ACTION RECOMMANDÉE .
Par exemple, dans l’indicateur de risque d’échec d’authentification inhabituel, vous pouvez afficher les actions recommandées suivantes :
Cette fonctionnalité fournit des conseils pour choisir une action que vous pouvez entreprendre en fonction de la gravité du risque posé par l’utilisateur. Cependant, vous pouvez également prendre une mesure appropriée qui ne figure pas dans la liste recommandée et en fonction de votre analyse des risques.
Problème résolu
- Si votre organisation est intégrée à Citrix Cloud dans la région d’origine Asie-Pacifique Sud, Citrix Analytics peut ne pas recevoir d’événements utilisateur de la source de données d’authentification. Par conséquent, il est possible que vous ne voyiez pas les événements utilisateur dans la page de recherche en libre-service correspondante. Ce problème est résolu. [CAS-62300]
17 février 2022
Nouveautés
Amélioration de la collecte des données et des rapports pour les sources de données Citrix Virtual Apps and Desktops et Citrix DaaS
Dans cette version, vous pouvez constater les modifications suivantes :
-
Améliorations apportées à la collecte des données, à la corrélation et à la création de rapports sur les événements à partir des clients de l’application Citrix Workspace
-
Amélioration de la qualité des événements reçus des utilisateurs et des versions client, qui peuvent être utilisés pour la recherche en libre-service, les indicateurs de risque personnalisés et la détection globale des risques.
Prise en charge des modèles contextuels pour les événements de session et les événements d’application dans Content Collaboration
Sur la page de recherche en libre-service, vous pouvez désormais afficher les détails des seuls champs pertinents associés aux événements de fichier, de dossier, de session, de partage et d’utilisateur. Les champs non applicables aux événements sont supprimés.
Par exemple, vous pouvez afficher les détails suivants des File.Copy
événements :
-
ID de fichier
-
ID de copie de fichier
-
Chemin du fichier
-
Chemin du fichier de destination
-
Identifiant du flux
-
ID de zone
Ces informations vous aident lors de l’enquête et de l’analyse des risques d’un compte utilisateur associé à un comportement à risque. Vous pouvez explorer les attributs spécifiques d’un événement qui semble risqué.
Pour plus d’informations sur les champs, voir Recherche en libre-service pour Content Collaboration.
10 février 2022
Nouveautés
Valeurs suggérées automatiquement pour les dimensions de l’indicateur de risque personnalisé
Dans la page d’indicateur de risque personnalisé, lorsque vous sélectionnez une dimension et un opérateur valide dans la barre de condition, les valeurs de la dimension s’affichent automatiquement. Sélectionnez une valeur dans la liste des suggestions automatiques ou saisissez manuellement une valeur en fonction de vos cas d’utilisation. Lorsque vous saisissez une valeur, les valeurs correspondantes disponibles dans les enregistrements sont suggérées automatiquement.
La liste des valeurs suggérées pour une dimension est soit prédéfinie (valeurs connues) dans la base de données, soit basée sur des événements historiques.
Par exemple, lorsque vous sélectionnez la dimension Event-Type
et l’opérateur d’affectation, les valeurs connues sont suggérées automatiquement. Vous pouvez sélectionner une valeur en fonction de vos besoins.
Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
09 février 2022
Nouveautés
Nouveaux rôles personnalisés pour les administrateurs
En tant qu’administrateur Citrix Cloud disposant d’une autorisation d’accès total, vous pouvez inviter d’autres administrateurs à gérer Security Analytics dans votre organisation. Vous pouvez désormais attribuer les rôles personnalisés suivants aux administrateurs invités :
-
Security Analytics - Administrateur complet
-
Security Analytics - Administrateur en lecture seule
À l’aide du rôle personnalisé, vous pouvez fournir des autorisations d’accès en lecture seule ou complètes à vos administrateurs et leur permettre de gérer les différentes fonctionnalités de Security Analytics.
Pour plus d’informations sur les autorisations d’accès pour ces rôles personnalisés, voir Gérer les rôles d’administrateur pour Security Analytics.
Prise en charge des notifications par e-mail pour les administrateurs d’accès personnalisés
Si vous êtes un administrateur Citrix Cloud avec des autorisations d’accès personnalisées (lecture seule ou accès complet) pour gérer Security Analytics, vous recevez désormais les notifications suivantes :
-
Notifications hebdomadaires concernant les risques de sécurité détectés dans votre organisation. Pour plus d’informations, voir Notification hebdomadaire par e-mail.
-
Notifications concernant les indicateurs de risque lorsque l’action Notifier les administrateurs est appliquée manuellement ou déclenchée par une stratégie. Pour plus d’informations, consultez la section Stratégies et actions.
28 janvier 2022
Nouveautés
Présentation des indicateurs de risque de connexion suspecte pour les sources de données Content Collaboration et Gateway
Citrix Analytics for Security détecte désormais les ouvertures de session utilisateur de nature suspecte en fonction de plusieurs facteurs contextuels tels que :
-
La localisation est jugée inhabituelle par rapport à l’utilisateur et à l’historique de l’organisation.
-
L’appareil est considéré comme inhabituel par rapport à l’historique de l’utilisateur et de l’organisation
-
Le réseau est considéré comme inhabituel en ce qui concerne l’historique de l’utilisateur et de l’organisation
-
L’adresse IP est jugée suspecte en fonction des flux de renseignements sur les menaces IP
Lorsqu’un utilisateur se connecte à partir d’un contexte suspect basé sur la combinaison de ces facteurs, l’indicateur de risque est déclenché.
Cet indicateur de risque remplace l’indicateur de risque Accès à partir d’un emplacement inhabituel associé aux sources de données Citrix Content Collaboration et Citrix Gateway. Toutes les stratégies existantes basées sur l’indicateur de risque Accès à partir d’un emplacement inhabituel sont automatiquement liées au nouvel indicateur de risque : Ouverture de session suspecte.
Pour plus d’informations sur les indicateurs de risque, voir Connexion suspecte- Content Collaboration et Logon suspecte- Gateway.
Pour plus d’informations sur le schéma des indicateurs de risque, consultez Format de données Citrix Analytics pour SIEM.
20 janvier 2022
Nouveautés
Intégration avec Microsoft Azure Active Directory
Vous pouvez désormais connecter votre Azure Active Directory à Citrix Analytics pour la sécurité pour :
-
Importez les détails des utilisateurs et les groupes d’utilisateurs du domaine de votre organisation vers Citrix Analytics for Security.
-
Enrichissez les profils des utilisateurs avec des détails supplémentaires tels que le titre du poste, l’organisation, l’emplacement du bureau, l’adresse e-mail et les coordonnées, qui vous aideront lors de l’enquête et de l’analyse des risques.
Pour plus d’informations, consultez Intégration Azure Active Directory.
18 janvier 2022
Nouveautés
Prise en charge des actions de lien de partage sur tous les indicateurs de risque Content Collaboration
Auparavant, vous pouviez appliquer les actions de lien de partage - Expirer tous les liens et Modifier le lien pour le partage en lecture seule sur les indicateurs de risque basés sur des liens de partage suivants associés au service Content Collaboration :
-
Téléchargement du lien de partage sensible anonyme
-
Téléchargements de liens de partage excessifs
-
Partage excessif de fichiers
Avec cette version, vous pouvez désormais appliquer les actions de lien de partage sur les indicateurs de risque basés sur les utilisateurs suivants associés au service Content Collaboration :
-
Accès depuis un endroit inhabituel
-
Accès excessif aux fichiers sensibles
-
Chargements excessifs de fichiers
-
Téléchargements excessifs de fichiers
-
Suppression excessive de fichiers ou de dossiers
-
Fichiers malveillants détectés
-
Activité de ransomware suspectée
-
Échecs d’authentification inhabituels
Vous pouvez également appliquer les actions du lien de partage sur les indicateurs de risque personnalisés associés au service Content Collaboration.
Pour plus d’informations sur les actions et les indicateurs de risque, consultez les articles suivants :
-
Indicateurs de risque de Content
L’intégration avec SIEM est désormais disponible pour tous
Vous pouvez intégrer Citrix Analytics for Security à vos services de gestion des informations et des événements de sécurité (SIEM) et exporter les données des utilisateurs de l’environnement informatique Citrix vers votre SIEM. L’intégration vous aide à corréler les données collectées auprès de différentes sources et à obtenir une vue globale de la sécurité de votre organisation.
Actuellement, vous pouvez intégrer Citrix Analytics for Security aux services suivants :
-
Splunk
-
Sentinel
-
Recherche élastique
-
Autres services SIEM à l’aide d’un connecteur de données basé sur Kafka ou Logstash
Pour plus d’informations, voir Intégration de la gestion des informations et des événements de sécurité (SIEM).
23 décembre 2021
Nouveautés
Améliorations des indicateurs de risque liés
Les améliorations suivantes sont apportées :
-
Vous pouvez désormais créer une stratégie avec l’indicateur de risque de téléchargement de lien de partage sensible anonyme .
-
L’indicateur de risque de téléchargement d’actions sensibles anonymes est renommé Téléchargement de lien de partage sensible anonyme pour le distinguer en tant qu’indicateur de risque de lien de partage.
-
L’indicateur de risque de téléchargements excessifs est renommé Téléchargements de liens de partage excessifs pour le distinguer en tant qu’indicateur de risque de lien de partage et pour le différencier de l’indicateur de risque de téléchargements excessifs de fichiers basé sur l’utilisateur.
Pour plus d’informations, consultez la section Indicateurs de risque de lien de partage Citrix.
21 décembre 2021
Nouveautés
Envoyez des notifications concernant les indicateurs de risque à vos administrateurs non Citrix Cloud
Vous pouvez désormais informer les administrateurs non Citrix Cloud de votre organisation avec l’action Notifier les administrateurs .
Pour informer ces administrateurs, créez une liste de distribution par e-mail. Sélectionnez les administrateurs dans la liste de distribution des e-mails soit à partir des domaines externes connectés à Citrix Cloud, soit en utilisant leurs adresses e-mail directement. Lors de l’application de l’action Notifier les administrateurs, sélectionnez la liste de distribution des e-mails qui contient les administrateurs non Citrix Cloud.
Pour plus d’informations, consultez la section Liste de distribution des e-mails.
20 décembre 2021
Nouveautés
Envoyez des notifications de réponse aux utilisateurs de Content Collaboration
Outre vos utilisateurs Active Directory, vous pouvez désormais appliquer l’action Demander une réponse de l’utilisateur final à vos utilisateurs Content Collaboration.
Cette action envoie des notifications par e-mail aux utilisateurs lorsque Citrix Analytics détecte des activités inhabituelles sur leurs comptes Citrix. Pour plus d’informations sur l’action Demander une réponse de l’utilisateur final, consultez Stratégies et actions.
Access Control est renommé Secure Workspace Access
Dans les tableaux de bord et les rapports Security Analytics, toutes les étiquettes de contrôle d’accès sont désormais mises à jour en tant que Secure Workspace Access pour s’aligner sur le nom du produit renommé.
Par exemple, sur la page Sources de données, la page de recherche en libre-service et la page Stratégies, les étiquettes de contrôle d’accès sont renommées Secure Workspace Access de travail.
Problème résolu
- Pour la source de données Apps and Desktops, lorsque vous téléchargez le rapport de recherche sous forme de fichier CSV, certaines valeurs de champ du fichier CSV sont affichées comme non disponibles (N/A) bien que leurs valeurs soient disponibles. Par exemple, les valeurs des champs tels que
Download File Name
Session Launch Type
, etWorkspace App Version
sont affichées sur la page de recherche en libre-service, mais dans le fichier CSV téléchargé, vous voyez ces valeurs comme non disponibles (N/A). Ce problème est désormais résolu. [CAS-62299]
09 décembre 2021
Nouveautés
Créez facilement vos indicateurs de risque personnalisés grâce à des modèles
Vous pouvez désormais sélectionner un modèle en fonction de votre cas d’utilisation et créer un indicateur de risque personnalisé. Les modèles vous guident en fournissant des requêtes et des paramètres prédéfinis. Cela facilite vos efforts tout en créant un indicateur de risque personnalisé.
Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
07 décembre 2021
Problème résolu
- Sur Citrix Analytics for Security, vous ne recevez pas les événements des utilisateurs qui utilisent Citrix Secure Browser publié en septembre 2021. Le problème existe car la stratégie de suivi du nom d’hôte n’est pas visible dans Citrix Secure Browser après la publication de septembre 2021 et ne peut donc pas être activée pour s’intégrer à Citrix Analytics for Security. Ce problème est désormais résolu. [CAS-62254]
02 décembre 2021
Nouveautés
Indicateur de risque détecté des fichiers malveillants
Vous pouvez désormais recevoir une alerte lorsqu’un utilisateur charge un fichier infecté dans Content Collaboration.
L’indicateur de risque détecte un fichier infecté par un logiciel malveillant tel qu’un cheval de Troie, un virus ou toute autre menace malveillante. Il fournit une visibilité sur les détails du fichier malveillant tels que le propriétaire du fichier, le nom du virus et l’emplacement du fichier.
Le facteur de risque associé à l’indicateur de risque détecté par les fichiers malveillants est l’indicateur de risque basé sur les fichiers.
Pour plus d’informations sur l’indicateur de risque et les actions que vous pouvez appliquer, consultez l’ indicateur de risque Fichiers malveillants détectés.
Nouvelles actions pour la source de données Content Collaboration
Vous pouvez appliquer les actions suivantes lorsque l’indicateur de risque de fichiers malveillants détectés est déclenché pour un utilisateur :
-
Supprimer l’autorisation d’accès au dossier. Vous pouvez bloquer l’autorisation d’accès de l’utilisateur qui télécharge le fichier infecté. L’utilisateur ne peut pas accéder au dossier dans lequel le fichier infecté a été téléchargé.
-
Supprimez l’autorisation de chargement sur le dossier. Vous pouvez bloquer l’autorisation de chargement de l’utilisateur qui télécharge le fichier infecté. L’utilisateur ne peut pas télécharger de fichier dans le dossier dans lequel le fichier infecté a été chargé.
Pour plus d’informations sur les actions de Content Collaboration, voir Stratégies et actions.
29 novembre 2021
Nouveautés
Amélioration des paramètres de messagerie pour les notifications utilisateur
En tant qu’administrateur, vous pouvez désormais ajouter une image de bannière, un en-tête et un texte de pied de page dans le modèle d’e-mail de réponse de l’utilisateur. Ces champs renforcent la légitimité de votre e-mail, augmentant ainsi l’attention des utilisateurs et les réponses à votre e-mail.
Pour plus d’informations, consultez la section Paramètres de messagerie de l’utilisateur final.
26 novembre 2021
Nouveautés
Modifications du menu des indicateurs de risque personnalisés et des stratégies
Les liens de navigation des fonctionnalités suivantes sont mis à jour :
-
Indicateurs de risque personnalisés : utilisez cette fonctionnalité en cliquant sur Sécurité > Indicateurs de risque personnalisés.
-
Stratégies : utilisez cette fonctionnalité en cliquant sur Sécurité > Stratégies.
25 novembre 2021
Nouveautés
Amélioration de l’intégration de Security Information and Event Management (SIEM)
Remarque
Cette intégration est en préversion.
Vous pouvez désormais intégrer Citrix Analytics for Security aux services SIEM suivants :
-
Sentinel
-
Elasticsearch avec des services de visualisation tels que Kibana et un service SIEM tel que LogRythm
-
Tout autre service SIEM utilisant le moteur de collecte de données Logstash
Selon les besoins de votre entreprise, importez les données des utilisateurs de Citrix Analytics for Security vers votre service SIEM. Cette intégration permet à vos équipes des opérations de sécurité de corréler, d’analyser et de rechercher des données provenant de journaux disparates au sein des services SIEM de votre organisation, les aidant ainsi à identifier et à corriger rapidement les risques de sécurité.
Pour plus d’informations, voir Intégration de la gestion des informations et des événements de sécurité (SIEM).
09 novembre 2021
Problème résolu
- Sur quelques locataires, les stratégies utilisateur ne fonctionnent pas. Ce problème s’est produit lorsque les alertes pour les applications virtuelles ont des valeurs de chaîne vides pour les domaines. Ce problème est désormais résolu. [CAS-60920]
02 novembre 2021
Nouveautés
Afficher les profils d’accès et les détails d’ouverture de session des utilisateurs Citrix Virtual Apps and Desktops et Citrix DaaS
Sur le tableau de bord Access Assurance Location, vous pouvez afficher les profils d’accès et les détails d’ouverture de session des utilisateurs qui se sont connectés à des applications virtuelles et à des bureaux virtuels. Ces informations vous aident lors de l’investigation et de l’analyse des menaces.
-
La page Profil d’accès fournit le résumé des accès utilisateur depuis les emplacements sélectionnés. Vous pouvez afficher l’analyse des tendances et les principaux événements d’accès du nombre total d’utilisateurs ainsi que les ouvertures de session uniques des utilisateurs.
-
La page Ouverture de session utilisateur fournit les détails des ouvertures de session utilisateur aux applications virtuelles et aux bureaux virtuels à partir des emplacements sélectionnés.
Pour plus d’informations, consultez le tableau de bord Emplacement Access Assurance.
Afficher les journaux des programmes malveillants sur la page de recherche en libre-service pour Content Collaboration
Sur la page en libre-service de Content Collaboration, vous pouvez désormais afficher l’événement malveillant File.VirusInfected
et ses journaux associés. Cet événement est déclenché lorsqu’un utilisateur de Content Collaboration télécharge un fichier infecté par un logiciel malveillant.
Pour plus d’informations, voir Recherche en libre-service pour Content Collaboration
Problème résolu
- Quelques utilisateurs de Content Collaboration sont incorrectement définis en tant que non-employés lors du traitement des événements dans Citrix Analytics. Par conséquent, les utilisateurs ne sont pas identifiés comme étant des utilisateurs découverts. Ce problème est désormais résolu. [CAS-59608]
20 octobre 2021
Nouveautés
Intégration du serveur d’enregistrement de session
Pour votre déploiement Citrix Virtual Apps and Desktops et Citrix DaaS, vous pouvez désormais configurer vos serveurs d’enregistrement de session pour envoyer les événements utilisateur à Citrix Analytics for Security. Ces événements utilisateur sont traités pour fournir des informations exploitables sur le comportement des utilisateurs.
Sur la page Sources de données > Sécurité, accédez à la carte de site Virtual Apps and Desktops . Sur la fiche de site d’enregistrement de session, cliquez sur des points de suspension verticaux (), puis sélectionnez Connecter le serveur d’enregistrement de session.
Pour plus d’informations, consultez la section Déploiement Connexion à l’enregistrement de session.
19 octobre 2021
Nouveautés
Améliorations apportées au modèle d’e-mail
La notification par e-mail qu’un administrateur reçoit après avoir appliqué l’action Notifier l’administrateur (s) est améliorée afin de fournir de meilleures informations sur les événements à risque pour l’utilisateur.
-
La notification fournit désormais des informations détaillées sur l’indicateur de risque déclenché ou la stratégie appliquée. Par exemple, vous pouvez afficher la gravité et l’heure de déclenchement des indicateurs de risque par défaut et personnalisés. La structure du contenu est améliorée pour une meilleure lisibilité.
-
Les administrateurs peuvent désormais accéder à la chronologie des utilisateurs directement à partir de la notification par e-mail et afficher les détails des événements à risque.
-
Une option de commentaire est ajoutée dans la notification. Cette option permet de collecter les réponses des administrateurs et d’améliorer continuellement le contenu de la notification en fonction des réponses.
Pour plus d’informations sur l’action Notifier les administrateurs, consultez la section Stratégies et actions.
Améliorations du résumé de connexion utilisateur
-
Vous pouvez désormais afficher la tendance à la hausse ou à la baisse des ouvertures de session utilisateur pour le nombre total d’ouvertures de session utilisateur dans le monde et les ouvertures de session utilisateur uniques dans le monde entier.
-
La colonne ÉCART du tableau Emplacements d’ouverture de session uniques indique la modification à la hausse ou à la baisse des ouvertures de session utilisateur uniques pour un emplacement particulier.
Ces statistiques vous aident à comprendre comment les ouvertures de session des utilisateurs ont changé (positives ou négatives) par rapport à la période précédente. Il fournit une visibilité sur les interactions des utilisateurs avec vos déploiements Citrix Virtual Apps and Desktops et Citrix DaaS.
Pour plus d’informations, consultez Tableau de bord de localisation Access Assurance.
Problème résolu
- Sur le tableau de bord Emplacement Access Assurance, les fiches Récapitulatif des ouvertures de session utilisateur n’affichent pas les mesures d’ouverture de session utilisateur (nombre total d’ouvertures de session utilisateur dans le monde, ouvertures de session utilisateur uniques dans le monde et pays ayant des ouvertures de session utilisateur) lorsqu’aucun utilisateur ne se connecte depuis l’extérieur des zones de géofence. Ce problème est désormais résolu. [CAS-59595]
01 octobre 2021
Nouveautés
Afficher les journaux d’audit sur la recherche en libre-service pour Content Collaboration
Dans la recherche en libre-service de Content Collaboration, vous pouvez désormais afficher les journaux d’audit. Ces journaux fournissent des informations sur les autorisations et les actions appliquées aux comptes d’utilisateurs par les administrateurs de Content Collaboration. À l’aide de ces données, vous pouvez vérifier si les administrateurs de Content Collaboration ont pris des mesures valides sur leurs comptes d’utilisateurs. En tant qu’administrateur de la sécurité, il vous aide lors de l’investigation et de l’analyse des risques.
Pour plus d’informations sur les journaux d’audit, voir Recherche en libre-service pour Content Collaboration.
Problème résolu
Les administrateurs qui se connectent à Citrix Cloud à l’aide d’Azure AD ne peuvent pas accéder au service Citrix Analytics lorsque l’ID de session expiré précédent est accompagné du nouvel ID de session. Ce problème est désormais résolu. [CAS-59385]
29 septembre 2021
Nouveautés
Le tableau de bord de localisation Access Assurance est désormais disponible
Le tableau de bord fournit une visibilité sur l’emplacement de vos utilisateurs Citrix Virtual Apps and Desktops et Citrix DaaS. Vous pouvez identifier les utilisateurs dont les emplacements sont inhabituels en activant le géofencing et en appliquant les actions appropriées pour prévenir toute menace.
Pour afficher le tableau de bord, cliquez sur Sécurité > Access Assurance. Sélectionnez la période pendant laquelle vous souhaitez afficher les détails du lieu.
Pour plus d’informations, consultez Tableau de bord de localisation Access Assurance.
15 septembre 2021
Nouveautés
Améliorations des indicateurs de risque personnalisés
-
Lorsqu’un indicateur de risque personnalisé est déclenché, il s’affiche immédiatement sur la chronologie de l’utilisateur . Toutefois, le résumé des risques et le score de risque de l’utilisateur sont mis à jour après quelques minutes (environ 15 à 20 minutes).
-
Si vous modifiez les attributs tels que la condition, la catégorie de risque, la gravité et le nom d’un indicateur de risque personnalisé existant, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé (avec les anciens attributs) qui ont été déclenchées pour l’utilisateur.
-
Si vous supprimez un indicateur de risque personnalisé, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé qui ont été déclenchées pour l’utilisateur.
Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
14 septembre 2021
Nouveautés
Présentation de l’indicateur de risque d’ouverture de session suspecte
Citrix Analytics for Security détecte désormais les ouvertures de session utilisateur de nature suspecte en fonction de plusieurs facteurs contextuels tels que :
-
La localisation est jugée inhabituelle par rapport à l’utilisateur et à l’historique de l’organisation.
-
L’appareil est considéré comme inhabituel par rapport à l’historique de l’utilisateur et de l’organisation
-
Le réseau est considéré comme inhabituel en ce qui concerne l’historique de l’utilisateur et de l’organisation
-
L’adresse IP est jugée suspecte en fonction des flux de renseignements sur les menaces IP
Lorsqu’un utilisateur de Citrix Virtual Apps and Desktops et Citrix DaaS se connecte à partir d’un contexte suspect en fonction de la combinaison de ces facteurs, l’indicateur de risque est déclenché.
Cet indicateur de risque remplace l’indicateur de risque Accès à partir d’un emplacement inhabituel associé à la source de données Citrix Virtual Apps and Desktops. Toutes les stratégies existantes basées sur l’indicateur de risque Accès à partir d’un emplacement inhabituel sont automatiquement liées au nouvel indicateur de risque : Ouverture de session suspecte.
Pour plus d’informations sur l’indicateur de risque, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.
Amélioration des messages SIEM
Citrix Analytics for Security envoie désormais les détails du schéma de l’indicateur de risque d’ ouverture de session suspecte à votre service SIEM. Vous pouvez afficher le schéma du récapitulatif de l’indicateur et les détails de l’événement de l’indicateur de risque d’ ouverture de session suspecte . Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.
Problème résolu
- Pour la recherche en libre-service Apps and Desktops, la valeur IP du client est manquante dans le fichier CSV téléchargé. Ce problème est désormais résolu. [CAS-58426]
19 août 2021
Nouveautés
Présentation de l’application Citrix Analytics pour Splunk
Remarque
L’application est en prévisualisation.
L’application Citrix Analytics pour Splunk vous permet d’afficher les données collectées à partir de Citrix Analytics for Security sous la forme de tableaux de bord pertinents sur votre Splunk. Les tableaux de bord fournissent des informations sur les événements à risque de vos utilisateurs. Vous pouvez également mettre en corrélation les données Citrix Analytics avec les journaux collectés à partir de diverses autres sources de données. La corrélation vous aide à trouver des relations entre les événements et à prendre des mesures opportunes pour protéger votre environnement informatique.
Pour télécharger l’application, accédez à Splenkbase. Installez l’application sur votre tête de recherche Splunk.
Pour plus d’informations, consultez l’ application Citrix Analytics pour Splunk.
Schéma d’indicateur de risque personnalisé pour SIEM
Dans votre service SIEM, vous pouvez désormais consulter le schéma des indicateurs de risque personnalisés créés pour Citrix Virtual Apps and Desktops et Citrix DaaS. Ces données vous aident à mieux comprendre la posture de risque de sécurité de votre organisation.
Pour plus d’informations sur le schéma d’indicateur de risque personnalisé, consultez la section Format de données Citrix Analytics pour SIEM.
Prise en charge de Citrix Director en tant que source de données
Vous pouvez désormais configurer vos sites locaux sur Citrix Director pour envoyer des événements à Security Analytics. Ces événements sont utilisés pour découvrir les utilisateurs connectés à Security Analytics et déterminer les versions de l’application Workspace installées sur les appareils des utilisateurs.
Par défaut, le traitement des données est activé après la découverte des sites. Sur la carte de surveillance, vous pouvez afficher tous les sites connectés.
Pour plus d’informations sur la façon de configurer vos sites sur Director, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS.
Prise en charge de la géolocalisation dans le tableau de bord de localisation Access Assurance
Vous pouvez désormais utiliser les paramètres de géolocalisation dans le tableau de bord pour sélectionner et activer les zones geofence. Après avoir activé le geofence, la carte affiche les zones geofence (pays) et les connexions de l’utilisateur depuis l’extérieur et l’intérieur de la clôture géographique. Cette fonctionnalité utilise la session CVAD démarrée en dehors de l’indicateur de risque de géofence pour surveiller les ouvertures de session des utilisateurs.
Pour plus d’informations, consultez Tableau de bord de localisation Access Assurance.
État de l’application Workspace sur la page Utilisateurs
Sur la page Utilisateurs, vous pouvez désormais afficher l’état des clients de l’application Citrix Workspace pris en charge par Citrix Analytics. La page affiche l’état suivant :
- Pris en charge
- Prise en charge partielle
- Non pris en charge
- Non disponible
- Inactif
L’état vous aide à identifier toutes les versions de client non prises en charge utilisées par les utilisateurs et à recommander aux utilisateurs de mettre à niveau leurs clients vers une version prise en charge. Une version client prise en charge envoie les événements utilisateur à Citrix Analytics.
Remarque
Pour afficher l’état de l’application Citrix Workspace, vous devez embarquer votre source de données Citrix Director. Dans le cas contraire, l’état de chaque utilisateur de Citrix Virtual Apps and Desktops et Citrix DaaS est indiqué comme Inactif.
Pour plus d’informations, consultez le tableau de bord Utilisateurs.
Prise en charge de l’opérateur IS EMPTY
Lors de la création d’un indicateur de risque personnalisé, vous pouvez désormais utiliser l’opérateur IS EMPTY dans votre condition pour vérifier la dimension nulle ou vide.
Remarque
L’opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-Name, Browser et Country.
Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
Cotation de risque améliorée
Dans la chronologie de l’utilisateur, vous pouvez désormais afficher le résumé des risques d’un utilisateur. Le résumé des risques fournit des informations sur les facteurs de risque associés aux événements utilisateur. Le facteur de risque vous aide à identifier le type d’anomalies dans les événements utilisateur et à déterminer le score de risque. Les facteurs de risque sont les suivants :
-
Indicateurs de risque basés sur les appareils
-
Indicateurs de risque basés sur la localisation
-
Indicateurs de risque basés sur IP
-
Indicateurs de risque basés sur les échecs de connexion
-
Indicateurs de risque basés sur des données
-
Indicateurs de risque basés sur les fichiers
-
Indicateurs de risque personnalisés
-
Autres indicateurs de risque
Sur la chronologie de l’utilisateur, vous pouvez désormais appliquer le filtre pour afficher les événements utilisateur en fonction des facteurs de risque.
Pour plus d’informations, consultez les rubriques suivantes :
29 juillet 2021
Fonctionnalité obsolète
Actions obsolètes associées à Citrix Endpoint Management
Les actions suivantes sont supprimées de la source de données Citrix Endpoint Management. Vous ne pouvez plus appliquer ces actions sur les indicateurs de risque ni créer de stratégies à l’aide de ces actions.
-
Verrouiller un appareil
-
Notifier l’administrateur Endpoint Management
-
Notifier un utilisateur
-
Révoquer un appareil
-
Wipe device
Dans vos stratégies existantes, si ces actions sont déjà utilisées, elles sont automatiquement remplacées par l’action Ajouter à la liste de suivi . Et vous pouvez surveiller ces utilisateurs à partir de la liste de suivi.
14 juillet 2021
Nouveautés
Prise en charge de l’opérateur IS NOT EMPTY
Lors de la création d’un indicateur de risque personnalisé, vous pouvez désormais utiliser l’opérateur IS NOT EMPTY dans votre état pour vérifier si la dimension n’est pas vide (pas vide).
Remarque
L’opérateur fonctionne uniquement pour les dimensions de type chaîne telles que App-Name, Browser et Country.
Par exemple, la condition suivante détecte les événements d’ouverture de session utilisateur de tout pays où la valeur du pays n’est pas nulle. En d’autres termes, le nom du pays est spécifié.
Event-Type = “Session.logon” AND Country IS NOT EMPTY
Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
06 juillet 2021
Nouveautés
Afficher les utilisateurs non risqués sur le tableau de bord Utilisateurs
Dans le tableau de bord Utilisateurs, vous pouvez désormais afficher le nombre d’utilisateurs non risqués pour la période sélectionnée. Ces utilisateurs découverts sont identifiés comme étant non risqués sur la base du score de risque zéro pour la période sélectionnée. Cliquez sur la fiche Utilisateurs non risqués pour afficher tous les utilisateurs dont le score de risque est nul.
Pour plus d’informations, consultez Tableau de bord des utilisateurs.
01 juillet 2021
Nouveautés
Améliorations du tableau de bord de localisation Access Assurance
-
Dans le tableau Top 10 des emplacements d’ouverture de session uniques, vous pouvez afficher le nombre d’ouvertures de session uniques d’utilisateurs à partir d’emplacements inconnus. Cette liste est un sous-ensemble des 10 principaux emplacements d’ouverture de session uniques. Vous pouvez également trouver les raisons pour lesquelles les emplacements sont inconnus et les moyens possibles d’obtenir les emplacements des utilisateurs.
-
Sur la page Emplacement d’accès, si vous sélectionnez plusieurs emplacements, vous pouvez afficher et comparer les détails de la chronologie des ouvertures de session des utilisateurs de tous les emplacements, des cinq premiers emplacements et des cinq derniers emplacements.
-
Sur la page Emplacement d’accès, vous pouvez utiliser les facettes imbriquées telles que le pays et ses villes, les systèmes d’exploitation, les versions principales et secondaires. Ces facettes vous permettent de filtrer les événements de manière granulaire.
Pour plus d’informations, consultez la section Emplacement de la garantie d’accès.
Mise à jour de la facette du système d’exploitation dans la recherche en libre-service pour Virtual Apps and Desktops
Vous pouvez désormais filtrer les événements Apps and Desktops à l’aide de la facette du système d’exploitation imbriqué. Sélectionnez la version principale et la version secondaire associées à un système d’exploitation et filtrez les événements de manière granulaire. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.
30 juin 2021
Nouveautés
Ajout de la version de l’application Workspace dans l’état d’indicateur de risque personnalisé pour les applications
Pour la source de données Apps and Desktops, vous pouvez désormais utiliser la dimension Workspace-App-Version pour définir votre condition tout en créant un indicateur de risque personnalisé. Pour plus d’informations sur la dimension, consultez la section Recherche en libre-service d’applications et de bureaux.
23 juin 2021
Nouveautés
Améliorations apportées aux messages SIEM
Les champs suivants sont désormais ajoutés au schéma des indicateurs de risque :
-
indicator_vector_name
- Indique le vecteur de risque associé à un indicateur de risque. Les vecteurs de risque sont les indicateurs de risque basés sur l’appareil, les indicateurs de risque basés sur l’emplacement, les indicateurs de risque basés sur les échecs de connexion, les indicateurs de risque basés sur IP, les indicateurs de risque basés sur les données, les indicateurs de risque basés sur les fichiers et d’autres indicateurs de risque. -
indicator_vector_id
- L’identifiant associé à un vecteur de risque. ID 1 = indicateurs de risque basés sur l’appareil, ID 2 = indicateurs de risque basés sur la localisation, ID 3 = indicateurs de risque basés sur l’échec de la connexion, ID 4 = indicateurs de risque basés sur IP, ID 5 = indicateurs de risque basés sur IP, ID 6 = indicateurs de risque basés sur les données, ID 7 = Autres indicateurs de risque et ID 999 = Non disponible.
Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.
07 juin 2021
Nouveautés
Améliorations apportées à l’action Notifier les administrateurs
Lorsque vous appliquez l’action Notifier les administrateurs à un indicateur de risque ou que vous créez une stratégie avec cette action, vous pouvez désormais sélectionner les administrateurs qui reçoivent une notification concernant le comportement à risque de l’utilisateur. Pour plus d’informations sur cette action, consultez la section Stratégies et actions.
Ajout de la prise en charge de l’action de partage en lecture seule
Si un utilisateur partage des fichiers de manière excessive, Citrix Analytics déclenche l’indicateur de risque de partage de fichiers excessif . À partir de la chronologie des risques de l’utilisateur, vous pouvez désormais appliquer l’action Modifier les liens vers le partage en lecture seule à l’indicateur de risque de partage de fichiers excessif . Vous pouvez également appliquer l’action sur un lien de partage particulier sur la chronologie des risques liés au lien de partage. Cette action empêche les autres utilisateurs de télécharger, de copier ou d’imprimer les fichiers associés aux liens de partage. Pour plus d’informations sur cette action, consultez la section Stratégies et actions.
18 mai 2021
Nouveautés
Migration des indicateurs de risque par défaut vers des indicateurs de risque personnalisés
Les indicateurs de risque par défaut suivants sont migrés vers des indicateurs de risque personnalisés préconfigurés.
Indicateur de risque de défaut | Source de données | Indicateur de risque personnalisé préconfiguré |
---|---|---|
Premier accès à partir d’un nouvel appareil | Citrix Virtual Apps and Desktops et Citrix DaaS | Accès au CVAD pour la première fois depuis un nouvel appareil |
Premier accès à partir d’une nouvelle adresse IP | Citrix Gateway | Accès Gateway pour la première fois à partir d’une nouvelle adresse IP |
Avec cette migration vers les indicateurs de risque personnalisés, les indicateurs de risque par défaut et les algorithmes de machine learning associés sont déconseillés.
Les indicateurs de risque personnalisés correspondants sont déclenchés en fonction des conditions préconfigurées suivantes :
-
Lorsqu’un utilisateur accède pour la première fois à partir d’un nouvel appareil ou d’un appareil existant qui n’a pas été utilisé depuis au moins 90 jours.
-
Lorsqu’un utilisateur se connecte pour la première fois à partir d’une nouvelle adresse IP ou d’une adresse IP existante qui n’a pas été utilisée depuis au moins 90 jours.
En plus des conditions préconfigurées, vous pouvez désormais ajouter vos propres conditions pour ces indicateurs de risque personnalisés afin d’identifier les menaces dans votre environnement Citrix. Cette option vous permet de configurer l’indicateur de risque personnalisé en fonction de vos besoins en matière de sécurité. Vous pouvez également créer des stratégies pour appliquer des actions sur les événements risqués détectés par ces indicateurs de risque personnalisés.
Toutefois, sur la ligne de temps de l’utilisateur, vous pouvez toujours afficher les indicateurs de risque par défaut précédemment déclenchés et leurs événements.
Les stratégies associées à ces indicateurs de risque par défaut sont automatiquement liées aux indicateurs de risque personnalisés préconfigurés correspondants.
Pour plus d’informations, consultez la section Indicateurs et stratégies de risque personnalisés préconfigurés.
Améliorations apportées à la recherche en libre-service pour Gateway
-
Le filtre Type d’événement est maintenant renommé en Type d’enregistrement. Sélectionnez l’un des types d’enregistrement suivants pour filtrer vos événements : VPN_AI, VPN_IF et VPN_ST.
-
Dans la table DATA, développez une ligne pour un événement utilisateur pour afficher le type d’événement correspondant. Les types d’événements peuvent être les suivants : Authentification, Fichier ICA ou Déconnexion de session.
Le tableau suivant décrit la corrélation entre les types d’enregistrement et les types d’événements.
Type d’enregistrement | Type d’événement |
---|---|
VPN_AI | Authentification |
VPN_IF | Fichier ICA |
VPN_ST | Déconnexion de session |
Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.
Problème résolu
-
L’indicateur de risque personnalisé est déclenché en fonction de la sensibilité à la casse des valeurs conditionnelles. Par exemple, dans les événements utilisateur contenant des ID d’appareil dans la liste autorisée, vous constatez le comportement suivant :
-
Si vous saisissez la valeur de la
Device-ID
dimension en minuscules, l’indicateur personnalisé est déclenché.Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)
-
Si vous saisissez la valeur de la
Device-ID
dimension en majuscules pour le même appareil, l’indicateur personnalisé ne se déclenche pas.Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)
Ce problème est désormais résolu et l’indicateur de risque personnalisé est déclenché indépendamment de la sensibilité à la casse des valeurs conditionnelles.
[CAS-50153]
-
29 avril 2021
Nouveautés
Détails des événements pour un indicateur de risque personnalisé
Sur la page de chronologie des risques de l’utilisateur, vous pouvez désormais afficher les événements qui ont déclenché un indicateur de risque personnalisé. Auparavant, vous ne pouvez afficher que les conditions définies, la description et la fréquence de déclenchement d’un indicateur de risque personnalisé. Cliquez sur Recherche d’événements pour afficher les détails des événements associés à l’utilisateur et l’indicateur de risque. Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
Problème résolu
- Un administrateur n’est pas en mesure de créer des indicateurs de risque personnalisés même après que son autorisation d’accès est passée de l’administrateur en lecture seule à l’administrateur complet. [CAS-49628]
16 avril 2021
Nouveautés
Améliorations apportées aux messages SIEM
Vous pouvez consulter les améliorations suivantes concernant le format du schéma de l’indicateur de risque :
-
L’adresse IP du client est désormais disponible dans le schéma pour tous les indicateurs de risque de lot. Auparavant, l’adresse IP du client n’était disponible que pour quelques indicateurs de risque de lot :
- Échec de l’analyse EPA
- Échec excessif de l’authentification
- Ouverture de session à partir d’une adresse IP suspecte
- Accès depuis un endroit inhabituel
- Échec d’authentification inhabituel
- Téléchargement anonyme de partage sensible
- Exfiltration potentielle des données
-
Si une valeur de champ de type de données entier n’est pas disponible, la valeur attribuée est -999. Par exemple,
"latitide" = -999
. -
Si une valeur de champ de type de données de chaîne n’est pas disponible, la valeur attribuée est NA. Par exemple,
"city"= "NA"
.
Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.
26 mars 2021
Nouveautés
Restriction sur les messages SIEM
Citrix Analytics envoie un maximum de 1 000 détails d’événements pour chaque occurrence d’indicateur de risque à votre service SIEM. Ces événements sont envoyés dans un ordre chronologique d’occurrence. Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.
Ajout des champs ID de source de données et ID de catégorie d’indicateur dans les messages SIEM
Les champs suivants sont ajoutés dans le schéma récapitulatif de l’indicateur et dans le schéma des détails de l’événement de l’indicateur.
Champ | Description |
---|---|
data_source_id |
ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control |
indicator_category_id |
ID associé à une catégorie d’indicateurs de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis |
Pour plus d’informations, consultez la section Format de données Citrix Analytics pour SIEM.
18 mars 2021
Nouveautés
Tableau de bord de localisation Access Assurance
Remarque
La fonctionnalité est en prévisualisation.
Le tableau de bord Access Assurance Location fournit une vue d’ensemble des emplacements à partir desquels les utilisateurs de Citrix Virtual Apps and Desktops et Citrix DaaS se sont connectés pendant une période donnée. Citrix Analytics reçoit ces événements d’ouverture de session utilisateur de l’application Citrix Workspace installée sur les appareils des utilisateurs.
Pour afficher le tableau de bord, cliquez sur Sécurité > Access Assurance.
Vous pouvez consulter les informations suivantes pour une période sélectionnée :
-
Nombre total d’ouvertures de session utilisateur à partir d’un emplacement particulier et entre les différents emplacements.
-
Nombre total d’ouvertures de session utilisateur uniques dans les emplacements.
-
Nombre total de pays depuis lesquels les utilisateurs se sont connectés.
-
Top 10 des emplacements avec des ouvertures de session utilisateur uniques.
Pour plus d’informations, consultez la section Emplacement de la garantie d’accès.
Prise en charge du programme NOT LIKE (! ~) opérateur
Pour la requête de recherche en libre-service et la condition de l’indicateur de risque personnalisé, vous pouvez maintenant utiliser le paramètre NOT LIKE (! ~). L’opérateur recherche les événements utilisateur correspondant au modèle de correspondance que vous avez spécifié. Elle renvoie les événements qui ne contiennent pas le modèle spécifié dans la chaîne d’événements.
Par exemple, la requête User-Name !~ “John”
affiche des événements pour les utilisateurs, à l’exception de John, John Smith ou de tout autre utilisateur qui contient le nom correspondant « John ».
Pour plus d’informations, consultez la rubrique Recherche en libre-service.
Version traduite du système d’exploitation
Pour la source de données Citrix Virtual Apps and Desktops et Citrix DaaS, la dimension Plateforme est désormais traduite en dimensions OS-Major-Version, OS-Minor-Versionet OS-Extra-Details . En fonction des détails du système d’exploitation d’un utilisateur, Citrix Analytics affiche ces dimensions sur la page de recherche en libre-service.
Vous pouvez utiliser ces dimensions pour définir les conditions d’un indicateur de risque personnalisé.
Pour les indicateurs de risque personnalisés précédemment créés, si vous avez utilisé la dimension Platform comme condition, Citrix Analytics remplace automatiquement la dimension Platform par la version majeure du système d’ordinateur, la version mineure du système d’analyse et les détails supplémentaires d’OS. Cette mise à jour n’affecte pas l’intégrité de la condition définie.
Pour plus d’informations sur les nouvelles dimensions, consultez la rubrique Recherche en libre-service d’Virtual Apps and Desktops.
Mise à jour des champs de données pour les applications et les bureaux
Dans la recherche en libre-service d’applications et de bureaux, affichez les champs de données mis à jour en fonction du modèle contextuel.
Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.
Fonctionnalité obsolète
Suppression des événements VPN_AF et VPN_SU de la page de recherche en libre-service
Sur la page de recherche en libre-service de la source de données Citrix Gateway, les types d’enregistrement suivants sont désormais supprimés.
Type d’enregistrement | Nom de l’enregistrement |
---|---|
VPN_SU | Enregistrement de mise à jour de session |
VPN_AF | Enregistrement d’échec du lancement de l’application |
Vous ne pouvez donc pas filtrer et afficher vos événements en fonction de ces types d’enregistrement. Tous les indicateurs de risque personnalisés basés sur ces types d’enregistrements cessent de fonctionner.
Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.
11 mars 2021
Nouveautés
Horodatage actuel du schéma de score de risque utilisateur
Un nouveau champ last_update_timestamp
est ajouté dans le format du schéma de score de risque utilisateur. Ce champ indique l’heure à laquelle le score de risque a été mis à jour pour la dernière fois. Pour plus d’informations sur le format du schéma, consultez Schéma de score de risque utilisateur.
03 mars, 2021
Nouveautés
Améliorations apportées à l’indicateur de risque d’ouverture de session à partir d’une adresse IP suspecte
Sur la page de chronologie des risques de l’utilisateur, une nouvelle section IP suspecte s’affiche pour l’indicateur de risque Ouverture de session à partir d’une adresse IP suspecte . Cette section fournit les informations suivantes :
- Adresse IP à partir de laquelle une activité de connexion suspecte est détectée.
- Emplacement de l’utilisateur.
- Tout modèle d’activité IP suspecte que Citrix Analytics a récemment détecté dans votre organisation.
- Flux de renseignements au niveau de la communauté concernant l’adresse IP.
Pour plus d’informations, consultez l’indicateur de risque d’ ouverture de session à partir d’une adresse IP suspecte .
Améliorations apportées à l’indicateur de risque d’accès à partir d’un emplacement inhabituel
-
Dans l’indicateur de risque Accès à partir d’un emplacement inhabituel pour Citrix Content Collaboration, la colonne TOOL NAME a été ajoutée dans la table des événements. Suppression de la colonne DEVICE BROWSER de la table des événements. Pour plus d’informations, consultez la section Indicateurs de risque Citrix Content Collaboration.
-
Dans l’indicateur de risque d’accès depuis une localisation inhabituelle pour Citrix Virtual Apps and Desktops et Citrix DaaS, ajoutez les colonnes DEVICE ID et RECEIVER TYPE dans le tableau des événements. Pour plus d’informations, consultez la section Indicateurs de risque Citrix Virtual Apps and Desktops.
Format de données de Citrix Analytics pour SIEM
Cet article décrit le schéma des données traitées générées par Citrix Analytics pour votre service SIEM.
Problème résolu
- Pour un utilisateur Content Collaboration, si la valeur
Is Employee<!--NeedCopy-->
est NULL, l’utilisateur n’est pas affiché dans la liste des utilisateurs découverts. [CAS-47815]
February 18, 2021
Nouveautés
Prise en charge du premier accès à partir d’une nouvelle entité dans l’indicateur de risque personnalisé
Vous pouvez désormais créer un indicateur de risque qui se déclenche lorsque Citrix Analytics reçoit des événements d’une nouvelle entité pour la première fois. Voici quelques exemples d’entités : Client IP, City et Country.
Sur la page Créer un indicateur, cliquez sur l’option Première fois . Activez le bouton Première fois pour un nouveau bouton et sélectionnez une entité valide dans la liste en fonction de la source de données. Il n’est pas nécessaire d’attribuer une valeur spécifique à l’entité. Par exemple, si vous sélectionnez Ville dans la liste, Citrix Analytics déclenche un indicateur de risque chaque fois que les utilisateurs se connectent à partir d’une nouvelle ville pour la première fois.
Pour plus d’informations, consultez la section Création d’un indicateur de risque personnalisé.
Limite maximale de création d’un indicateur de risque personnalisé
Vous pouvez désormais créer des indicateurs de risque personnalisés jusqu’à une limite maximale de 50. Si vous atteignez cette limite maximale, vous devez supprimer ou modifier tout indicateur de risque personnalisé existant pour créer un indicateur de risque personnalisé.
Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
Données de localisation des utilisateurs provenant de Citrix Virtual Apps and Desktops et Citrix DaaS
Sur la page Informations utilisateur, Citrix Analytics affiche désormais l’emplacement de l’utilisateur à partir de la source de données Citrix Virtual Apps and Desktops et Citrix DaaS.
Pour plus d’informations sur l’emplacement de l’utilisateur, consultez Profil utilisateur.
Tri multi-colonnes
Sur la page de recherche en libre-service, vous pouvez désormais trier les événements utilisateur par plusieurs colonnes. Cliquez sur Trier par, ajoutez les colonnes et l’ordre de tri. Cliquez sur Appliquer pour trier les événements utilisateur. Vous pouvez ajouter jusqu’à six colonnes pour effectuer un tri sur plusieurs colonnes.
Pour plus d’informations, consultez la rubrique Recherche en libre-service.
Fonctionnalités obsolètes
L’indicateur de risque de défaillance d’autorisation excessive est obsolète
L’indicateur de risque Citrix Gateway - Défaillance d’autorisation excessive est obsolète. Vous ne pouvez consulter que les données historiques liées à cet indicateur.
Les modifications suivantes sont applicables dans le cadre de cette dépréciation :
-
Citrix Analytics ne génère plus ces indicateurs de risque.
-
Citrix Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.
-
Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.
Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.
27 janvier 2021
Nouveautés
Améliorations apportées à l’indicateur de risque Accès à partir d’un emplacement inhabituel
Pour Citrix Content Collaboration, Citrix Gateway et Citrix Virtual Apps and Desktops, l’indicateur de risque Accès à partir d’un emplacement inhabituel est désormais déclenché lorsque l’utilisateur se connecte à partir d’une adresse IP associée à un nouveau pays ou d’une nouvelle ville anormalement éloignée de toute connexion précédente emplacement. D’autres facteurs incluent le niveau global de mobilité de l’utilisateur et la fréquence relative des connexions depuis la ville pour tous les utilisateurs de votre organisation. Dans tous les cas, l’historique de localisation des utilisateurs est basé sur les 30 jours précédents d’activité de connexion.
Pour plus d’informations sur l’indicateur de risque, consultez les rubriques suivantes :
-
Indicateurs de risque Citrix Content Collaboration
-
Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS
January 20, 2021
Problème résolu
-
Pour la source de données Apps and Desktops avec StoreFront local, le traitement des données échoue bien que le déploiement StoreFront soit correctement connecté.
[CAS-46656]
19 janvier 2021
Problème résolu
-
Dans la page d’indicateur de risque personnalisé, après avoir corrigé une condition non valide dans le champ de recherche, le lien Estimate Trigger ne répond pas.
Par exemple, vous saisissez une condition Client-IP = 10.10.10.10non valide. Après avoir corrigé cette condition et tapé Client-IP = « 10.10.10.10 », le lien Estimate Trigger ne répond pas.
Solution : actualisez la page des indicateurs personnalisés, puis créez l’indicateur personnalisé avec une condition valide.
[CAS-46316]
January 13, 2021
Nouveautés
Une nouvelle version du module complémentaire Citrix Analytics pour Splunk est disponible
Le module complémentaire Citrix Analytics version 2.1.0 pour Splunk est désormais disponible. Accédez à la page des téléchargements pour télécharger le fichier.
Ajout de la prise en charge de Splunk Cloud Inputs Data Manager (IDM) et de Splunk 8.1 64 bits
Vous pouvez désormais intégrer Citrix Analytics for Security avec Splunk Cloud IDM et Splunk 8.1 64 bits. Pour plus d’informations, consultez la section Intégration de Splunk.
Prise en charge dépréciée
Suppression du support pour Splunk 7.1 64 bits
Vous ne pouvez plus intégrer Citrix Analytics for Security avec Splunk 7.1 64 bits. Pour plus d’informations sur les versions Splunk prises en charge, voir Intégration de Splunk.
11 janvier 2021
Problème résolu
-
Sur la fiche de site Virtual Apps and Desktops, l’étiquette Utilisateurs clients pris en charge est renommée en Événements reçus des utilisateurs. Le libellé Utilisateurs clients non pris en charge est renommé « Impossible de recevoir des événements de la part des utilisateurs ».
[CAS-44773]
December 17, 2020
Nouveautés
Utilisez des indicateurs de risque personnalisés préconfigurés et une stratégie pour bloquer l’accès depuis des emplacements inhabituels (géofencing)
Citrix fournit une liste d’indicateurs de risque personnalisés préconfigurés et une stratégie qui vous aident à surveiller la sécurité de votre infrastructure Citrix. Grâce à ces indicateurs et à une stratégie, vous pouvez bloquer l’accès utilisateur provenant de pays hors de leur pays d’exploitation habituel. Par défaut, le pays est défini sur « États-Unis ». Vous pouvez définir votre pays requis pour le géofencing.
Voici les indicateurs de risque personnalisés préconfigurés et une stratégie :
-
La session CVAD débute en dehors du périmètre de géofencing
-
GW-Geofence crossing
-
CCC-Geofence crossing
-
Début de la session en dehors de la clôture géographique
Pour plus d’informations, consultez la section Indicateurs et stratégies de risque personnalisés préconfigurés.
Afficher les emplacements accessibles dans l’e-mail de réponse utilisateur
Au lieu de l’adresse IP d’une machine utilisateur, l’e-mail de réponse de l’utilisateur affiche désormais tous les emplacements auxquels l’utilisateur a accédé au cours des 15 dernières minutes. L’emplacement est affiché dans le <City>,<Country><!--NeedCopy-->
format. Si la ville ou le pays n’est pas disponible, la valeur correspondante est affichée comme « Inconnu ».
Pour plus d’informations, consultez la section Demander une réponse utilisateur.
Indicateur de risque de Content Collaboration renommé - Premier accès depuis un nouvel emplacement
L’indicateur de risque Citrix Content Collaboration Le premier accès à partir d’un nouvel emplacement est renommé Accès depuis un emplacement inhabituel.
Pour plus d’informations, consultez Accès à partir d’un emplacement inhabituel.
Fonctionnalités obsolètes
Feedback sur les indicateurs de risque
Le mécanisme de rétroaction des indicateurs de risque est supprimé. Si l’indicateur de risque Content Collaboration - Accès depuis un emplacement inhabituel est déclenché de manière incorrecte, vous ne pouvez plus le signaler comme un faux positif et fournir des commentaires.
December 07, 2020
Nouveautés
Améliorations de l’indicateur de risque potentiel d’exfiltration de données
Les améliorations suivantes sont apportées à l’indicateur de risque :
-
Les informations de la section WHAT HAPPENED sont mises à jour. Le format de l’heure est mis à jour pour maintenir la cohérence.
-
Les informations de localisation de l’appareil apparaissent dans la liste des événements.
Pour plus d’informations sur l’indicateur de risque, voir Exfiltration potentielle de données.
Améliorations de l’indicateur de risque Content Collaboration - Premier accès depuis un nouvel emplacement
Dans la chronologie des risques utilisateur, sélectionnez Premier accès depuis un nouvel emplacement pour afficher les informations suivantes :
-
Emplacements de connexion : affiche une vue cartographique géographique des emplacements habituels et inhabituels à partir desquels l’utilisateur s’est connecté.
-
Nombre de connexions depuis des emplacements habituels - 30 derniers jours : affiche un graphique à secteurs des 6 premiers emplacements habituels à partir desquels l’utilisateur s’est connecté au cours des 30 derniers jours. Il affiche également le nombre d’événements de connexion de ces emplacements.
-
Détails de l’événement pour un emplacement inhabituel : fournit la liste des événements de connexion de l’emplacement inhabituel pour l’utilisateur.
Pour plus d’informations sur l’indicateur de risque, voir Premier accès depuis un nouvel emplacement.
30 novembre 2020
Nouveautés
Amélioration de la page de recherche en libre
Les améliorations suivantes sont apportées pour améliorer la convivialité de la page de recherche en libre-service :
-
La zone de recherche affiche un exemple de requête pour indiquer comment saisir votre propre requête.
-
Sous macOS, la barre de défilement de la liste des dimensions apparaît désormais par défaut.
-
Les filtres appliqués apparaissent désormais sous forme de jetons.
-
L’étiquette Ajouter ou supprimer des colonnes remplace l’icône + .
Pour plus d’informations, consultez la rubrique Recherche en libre-service.
Amélioration des stratégies
La page Stratégies affiche désormais les stratégies associées aux sources de données qui ont été découvertes et connectées à Citrix Analytics. Cette page n’affiche pas les stratégies pour lesquelles une condition est définie pour les sources de données non découvertes. La désactivation du traitement des données pour une source de données déjà connectée n’affecte pas les stratégies existantes sur la page Stratégies .
Pour plus d’informations, consultez la section Configurer des stratégies et des actions.
04 novembre 2020
Nouveautés
Échec d’authentification inhabituel : indicateur de risque Citrix Gateway
Citrix Analytics détecte les menaces basées sur l’accès lorsqu’un utilisateur a des échecs de connexion à partir d’une adresse IP inhabituelle et déclenche l’indicateur de risque d’échec d’authentification inhabituel .
Cet indicateur de risque est déclenché lorsqu’un utilisateur de votre organisation a des échecs de connexion à partir d’une adresse IP inhabituelle qui est contraire à son comportement habituel.
Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.
20 octobre 2020
Problème résolu
-
L’indicateur de risque Premier accès depuis un nouvel appareil avec l’action Déconnexion de l’utilisateur appliquée ne fonctionne pas comme prévu.
[CAS-40743]
15 octobre 2020
Nouvelles fonctionnalités
Accès depuis un emplacement inhabituel : indicateur de risque Citrix Virtual Apps and Desktops et Citrix DaaS
Citrix Analytics détecte les menaces basées sur l’accès en fonction des connexions inhabituelles de Citrix Workspace et déclenche l’indicateur de risque correspondant.
Pour plus d’informations, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.
Améliorations du tableau de bord Share Link
-
La colonne SHARE URL est maintenant remplacée par la colonne SHARE ID. Chaque URL de partage est désormais identifiée par un ID de partage.
-
La sélection de l’heure sur le tableau de bord est supprimée. Désormais, ce tableau de bord affiche tous les liens de partage entre l’état actif et l’état expiré au lieu d’une période sélectionnée.
-
Tous les liens de partage sont triés dans l’ordre des liens actifs, puis des liens expirés. Par défaut, le lien de partage avec le nombre d’indicateurs de risque le plus élevé apparaît en haut de la liste.
-
Les liens risqués affichent désormais les liens actifs qui présentent un comportement risqué. Il n’affiche pas les liens expirés. Par défaut, le lien risqué avec le nombre d’indicateurs de risque le plus élevé apparaît en haut de la liste.
-
La vue des tendances de la carte Liens de partage risqués et de la fiche Tous les liens de partage est supprimée.
Pour plus d’informations, consultez la section Tableau de bord Partager des liens.
Améliorations de la chronologie des risques de Share Link
La chronologie des risques affiche désormais l’ID de partage au lieu de l’URL du partage. Pour plus d’informations, voir Chronologie des risques de lien de partage.
Fonctionnalités obsolètes
L’accès à partir d’un appareil doté d’un indicateur de risque de système d’exploitation (OS) non pris en charge est obsolète
L’indicateur de risque Citrix Virtual Apps and Desktops - L’accès à partir d’un appareil doté d’un système d’exploitation (SE) non pris en charge est obsolète. Vous ne pouvez consulter que les données historiques liées à cet indicateur.
Les modifications suivantes sont applicables dans le cadre de cette dépréciation :
-
Analytics ne génère plus ces indicateurs de risque.
-
Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.
-
Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.
Pour plus d’informations, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.
10 septembre 2020
Nouvelles fonctionnalités
Liste de contrôle pour StoreFront
Citrix Analytics affiche désormais une liste des conditions préalables que vous devez respecter avant de télécharger le fichier de configuration StoreFront. Consultez la liste de contrôle et assurez-vous que toutes les exigences minimales sont sélectionnées. Si la configuration minimale n’est pas sélectionnée, vous ne pouvez pas télécharger le fichier de configuration. Pour plus d’informations, consultez la section Source de données Citrix Virtual Apps and Desktops.
Recherche en libre-service - prise en charge de NOT EQUAL (! =) opérateur
Vous pouvez maintenant utiliser la fonction NOT EQUAL (! =) dans votre requête dans les fonctionnalités suivantes :
-
Indicateur de risque personnalisé
-
Recherche en libre-service
Vous pouvez utiliser cet opérateur pour les conditions suivantes :
Source de données | Dimensions |
---|---|
Content Collaboration | Pays, ville, système d’exploitation client |
Contrôle d’accès | Pays, Ville, Action, URL, Catégorie d’URL, Réputation, Navigateur, OS, Appareil |
Applications et bureaux | Pays, ville, nom de l’application, fonctionnement du presse-papiers, navigateur, système d’exploitation |
Gateway | Étape d’authentification, IP du client |
À l’aide de l’opérateur, créez une expression d’indicateur personnalisée avec une seule valeur telle que « Country ! = XYZ » et affichez la liste des utilisateurs. Créez ensuite une stratégie pour appliquer des actions telles que Ajouter à la liste de suivi, Notifier l’administrateur ou Désactiver l’utilisateur. Vous pouvez également utiliser l’opérateur dans la recherche en libre-service des sources de données spécifiées pour filtrer les événements utilisateur.
Lorsque vous saisissez les valeurs des dimensions de votre requête, utilisez les valeurs exactes affichées sur la page de recherche en libre-service d’une source de données. Les valeurs de dimension sont sensibles à la casse.
08 septembre 2020
Nouvelles fonctionnalités
Corrélation des utilisateurs
Analytics établit désormais une corrélation avec les utilisateurs découverts à partir de diverses sources de données. Ce mécanisme élimine la plupart des utilisateurs dupliqués de la liste des utilisateurs découverts. Les utilisateurs découverts dans Analytics affichent désormais la liste des utilisateurs uniques ainsi que leurs sources de données et les indicateurs de risque.
Par exemple, l’utilisateur « Joe Smith » peut avoir plusieurs identifiants utilisateur : JosephSM joe.smith@citrix.com et joe.smith, en fonction des sources de données. Analytics identifie désormais cet utilisateur avec un nom d’identificateur unique. Tous les autres identificateurs d’utilisateur sont corrélés et les événements reçus pour Joe Smith à partir de diverses sources de données sont liés à ce nom unique. Pour plus d’informations, consultez la section Utilisateurs découverts
Problème résolu
Dans la liste Actions, après avoir sélectionné les options d’action et cliqué sur Appliquer, un message d’erreur s’affiche.
[CAS-39914]
11 août 2020
Problèmes résolus
- Vous n’êtes pas en mesure d’intégrer Microsoft Graph Security à Citrix Analytics. Ce problème s’est produit car le portail Microsoft n’a pas pu être redirigé vers Citrix Analytics.
[CAS-38021]
31 juillet 2020
Problèmes résolus
- L’option Déclencheurs estimés de l’indicateur de risque personnalisé ne prédit pas les instances de l’indicateur de risque personnalisé pour le dernier jour.
[CAS-38129]
09 juillet 2020
Nouvelles fonctionnalités
La fiche de site Virtual Apps and Desktops affiche les utilisateurs avec des clients pris en charge et non pris en charge
Sur la fiche de site, vous pouvez désormais afficher le nombre d’utilisateurs qui utilisent des versions prises en charge et non prises en charge de l’application Citrix Workspace ou des clients Citrix Receiver sur leurs points de terminaison.
-
Cliquez sur le nombre d’utilisateurs des clients pris en charge pour afficher la page Utilisateur qui affiche tous les utilisateurs découverts.
-
Cliquez sur le nombre d’utilisateurs des clients non pris en charge pour télécharger un fichier CSV. Le fichier répertorie les utilisateurs et leurs versions client non prises en charge. Analytics ne reçoit pas d’événements utilisateur des clients non pris en charge et n’ajoute donc pas les utilisateurs en tant qu’utilisateurs découverts. À l’aide du fichier CSV, vous identifiez les utilisateurs qui doivent mettre à niveau leurs clients vers une version prise en charge afin qu’Analytics puisse fournir des informations de sécurité sur leur comportement.
Pour afficher la liste des clients pris en charge, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS.
Accès à partir d’un indicateur de risque de localisation inhabituelle
-
L’indicateur de risque Citrix Gateway Premier accès depuis un nouvel emplacement est renommé Accès à partir d’un emplacement inhabituel.
-
Dans la chronologie du risque utilisateur, une carte géographique et un diagramme circulaire sont introduits dans la section Détails de l’événement.
-
Emplacements de connexion : Cette section affiche une vue cartographique géographique des emplacements habituels et inhabituels de l’utilisateur. Les emplacements habituels et inhabituels sont indiqués par un code couleur en haut à droite de la carte géographique. Vous pouvez zoomer sur la carte géographique pour voir de plus près l’emplacement.
-
Emplacements habituels - 30 derniers jours : Cette section affiche un graphique à secteurs qui donne une vue des 6 principaux emplacements habituels depuis lesquels l’utilisateur s’est connecté. Chaque emplacement est marqué par un code couleur différent. Vous pouvez trier la section par emplacement pour obtenir une vue détaillée de l’emplacement sélectionné.
-
Pour plus d’informations, consultez Accès à partir d’un emplacement inhabituel.
Données du tableau de bord des utilisateurs
Le nombre d’utilisateurs à risque, d’utilisateurs découverts, d’utilisateurs privilégiés et d’utilisateurs dans la liste de suivi est affiché pour les 13 derniers mois, quelle que soit la période sélectionnée dans le tableau de bord Utilisateurs et la page Utilisateurs . Lorsque vous sélectionnez la période, les occurrences de l’indicateur de risque changent.
Pour plus d’informations, consultez Tableau de bord des utilisateurs.
Page Utilisateurs repensée
La page Utilisateurs a été améliorée pour une meilleure expérience utilisateur. Il fournit un résumé consolidé des événements utilisateur en fonction des scores de risque utilisateur, de la source de données et du type d’utilisateur.
Pour permettre une recherche plus ciblée, la page Utilisateurs contient la section Filtres dans le volet gauche et la barre de recherche en haut. Vous pouvez rechercher des événements utilisateur pour une durée prédéfinie ou une plage de temps personnalisée.
Pour afficher la page Utilisateurs :
-
Accédez à Sécurité > Utilisateurs pour afficher le tableau de bord Utilisateurs et procédez comme suit :
-
Cliquez sur l’un des liens suivants ou sur les fiches.
-
Dans le volet Utilisateurs risqués, cliquez sur Voir plus.
-
Dans le volet Utilisateurs de la liste de suivi, cliquez sur Voir plus.
-
Dans le volet Utilisateurs privilégiés, cliquez sur Voir plus.
-
-
Accédez à Paramètres > Sources de données > Sécurité. Cliquez sur le nombre d’utilisateurs de n’importe quelle fiche de site de source de données.
Pour plus d’informations, consultez Tableau de bord des utilisateurs.
Améliorations du volet Utilisateurs risqués
La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.
Pour plus d’informations, consultez la section Utilisateurs risqués.
Améliorations apportées aux utilisateurs dans le volet Liste de suivi
La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.
Pour plus d’informations, consultez la section Utilisateurs dans la liste de suivi.
Améliorations du volet Utilisateurs privilégiés
-
La colonne Changement est remplacée par la colonne Indicateurs de risque . La colonne Indicateurs de risque affiche le nombre total d’occurrences d’indicateurs de risque d’un utilisateur pendant une période spécifique.
-
Cliquez sur Voir plus pour afficher la page Utilisateurs . La page Utilisateurs qui affiche la liste des utilisateurs privilégiés administrateur et exécutif. Sur cette page, vous pouvez ajouter ou supprimer un utilisateur en tant qu’utilisateur privilégié.
Pour plus d’informations, consultez la section Utilisateurs privilégiés.
Fonctionnalités obsolètes
Alertes
La fonctionnalité Alertes est désormais obsolète et n’est plus disponible dans l’interface utilisateur Analytics.
Page Utilisateurs à risque et liste de suivi
Les pages Utilisateurs risqués et Liste de suivi sont obsolètes. Ils sont remplacés par la page Utilisateurs qui récapitule tous les événements utilisateur risqués et les utilisateurs de la liste de suivi.
Volet Utilisateurs risqués
Les onglets Changement du score le plus élevé et Changement de l’indicateur de risque sont supprimés du volet Utilisateurs risqués .
Volet Indicateur de risque
-
L’onglet Changement d’occurrence et la colonne CHANGE sont supprimés.
-
La page Détails de l’indicateur de risque est obsolète. Auparavant, cette page était affichée lorsqu’un indicateur de risque était sélectionné dans le volet Indicateurs de risque ou sur la page Aperçu de l’indicateur de risque .
Vue des tendances
Dans le tableau de bord Utilisateurs, la vue des tendances du nombre d’utilisateurs est supprimée des fiches Utilisateurs à risque élevé, Utilisateurs à risque moyen, Utilisateurs à faible risqueet Utilisateurs de la liste de surveillance.
Page Groupes d’utilisateurs
La page Groupes d’utilisateurs sous l’option Paramètres est obsolète. Vous ne pouvez plus ajouter ou supprimer un groupe d’utilisateurs en tant que groupe privilégié. Toutefois, vous pouvez ajouter ou supprimer des utilisateurs individuels en tant qu’utilisateurs privilégiés. Pour plus de détails, consultez la section Utilisateurs privilégiés.
26 juin 2020
Fonctionnalités obsolètes
Indicateurs de risque liés au temps inhabituel d’accès aux applications (virtuel/SaaS) dépréciés
Les indicateurs de risque Citrix Virtual Apps and Desktops - Heure inhabituelle d’accès aux applications (virtuel) et Heure inhabituelle d’accès aux applications (SaaS) ont été déconseillés. Vous ne pouvez consulter que les données historiques liées à ces indicateurs.
Les modifications suivantes sont applicables dans le cadre de cette dépréciation :
- Analytics ne génère plus ces indicateurs de risque.
- Analytics ne génère plus de stratégies avec ces indicateurs de risque comme conditions.
- Stratégies par défaut avec ces indicateurs de risque, car les conditions ne prennent plus effet.
Pour plus d’informations, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.
02 juin 2020
Problèmes résolus
-
Dans la chronologie des risques utilisateur, l’état des actions Virtual Apps and Desktops (basées sur une stratégie ou appliquées manuellement) apparaît comme « Échec », même si les actions ont été appliquées avec succès sur le compte d’utilisateur. Par exemple, l’action Démarrer l’enregistrement de session est appliquée avec succès sur le compte d’utilisateur, mais le résultat est affiché comme « Échec ». [CAS-32773]
11 mai 2020
Problèmes résolus
-
Pour certains utilisateurs, les actions basées sur des stratégies ne sont pas déclenchées et le mode d’application de la stratégie ne peut pas être appliqué. Ce problème se produit lorsque les identifiants des clients ne sont pas en minuscules.
[CAS-34209], [CAS-34141]
-
Impossible de créer des indicateurs de risque personnalisés pour certains utilisateurs. Ce problème se produit lorsque les identifiants des clients ne sont pas en minuscules.
[CAS-34139]
29 avril 2020
Problèmes résolus
-
Les actions appliquées aux indicateurs de risque Citrix Virtual Apps and Desktops ne prennent pas effet, bien qu’Analytics affiche un message indiquant que les actions ont été correctement appliquées. Ce problème est observé dans la version Citrix Virtual Apps and Desktops 7 1912.
[CAS-31544]
02 avril 2020
Nouvelles fonctionnalités
Désactiver le traitement des données lorsque StoreFront n’est pas ajouté
Sur la fiche de site de la source de données Paramètres > Sources de données > Sécurité > Virtual Apps and Desktops, le bouton Activer le traitement des données n’est pas activé si vous n’avez pas intégré StoreFront. Le message d’avertissement StoreFront non connecté s’affiche sur la fiche de site. Si vous avez un site local actif à partir duquel vous souhaitez qu’Analytics reçoive des données, vous devez vérifier que vous avez intégré StoreFront à Citrix Analytics. Il garantit la protection de vos comptes d’utilisateurs.
Sur la fiche de site Virtual Apps and Desktops, sélectionnez les points de suspension verticaux () et cliquez sur Connecter le déploiement StoreFront. Sur l’écran qui s’affiche, suivez les instructions et terminez la configuration de StoreFront.
Pour plus d’informations, consultez Sites locaux Citrix Virtual Apps and Desktops intégrés à l’aide de StoreFront.
Problèmes résolus
-
Pour les utilisateurs de Citrix Content Collaboration, les actions basées sur des stratégies ne prennent pas effet dans les conditions suivantes :
-
Lorsque les conditions de l’indicateur de risque personnalisé sont définies
-
Jusqu’à ce qu’un indicateur de risque soit généré pour un utilisateur
[CAS-29226]
-
04 mars 2020
Problèmes résolus
- Lorsque les utilisateurs de passerelle sont connectés à Analytics pour la première fois, ils voient l’erreur Citrix ADC ne répond pas ou les informations d’identification sont incorrectes. Lors d’une nouvelle tentative, ils voient l’erreur L’ appareil avec cette adresse IP existe déjà.
[CAS-31180]
20 février 2020
Nouvelles fonctionnalités
Offre Citrix Analytics for Security
Citrix Analytics for Security est désormais disponible pour un abonnement individuel. Vous pouvez vous abonner à Citrix Analytics for Security et obtenir des informations spécifiques à cette offre. Pour plus d’informations, reportez-vous à la section Mise en route.
Tableau de bord des catégories de risques
Citrix Analytics introduit la catégorisation des indicateurs de risque en fonction des risques ayant un impact similaire sur l’aspect sécurité de l’entreprise. Ce tableau de bord fournit une vue complète des expositions aux risques et des risques critiques qui nécessitent une attention immédiate. Pour les indicateurs de risque par défaut, Analytics attribue automatiquement une catégorie de risque en fonction de l’exposition au risque. Pour les indicateurs de risque personnalisés, vous devez sélectionner une catégorie de risque appropriée en fonction de l’exposition au risque.
Analytics prend en charge les catégories de risques suivantes :
- Exfiltration de données
- Menaces internes
- Utilisateurs compromis
- Points de terminaison compromis
Pour plus d’informations, consultez Catégories de risques.
Colonne Catégorie de risque de la page Indicateurs personnalisés
La colonne Catégorie de risque est introduite sur la page Indicateur de risque personnalisé. En fonction du type d’exposition au risque, vous pouvez sélectionner une catégorie de risque pour votre indicateur de risque personnalisé. Les indicateurs de risque personnalisés créés précédemment sont affichés dans le tableau de bord Catégories de risques si vous les modifiez en sélectionnant une catégorie de risque.
Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
Changement de nom des indicateurs de risque
Les noms des indicateurs de risque suivants ont été modifiés :
Source de données | Ancien nom | Nouveau nom |
---|---|---|
Citrix Virtual Apps and Desktops et Citrix DaaS | Utilisation inhabituelle des applications (Virtual) | Heure inhabituelle d’accès à l’application (Virtuel) |
Citrix Virtual Apps and Desktops et Citrix DaaS | Utilisation inhabituelle des applications (SaaS) | Délai d’accès aux applications (SaaS) inhabituel |
Citrix Content Collaboration | Échecs d’ouverture de session excessifs | Échec excessif de l’authentification |
Citrix Content Collaboration | Accès inhabituel à l’ouverture de session | Accès pour la première fois depuis un nouvel emplacement |
Citrix Access Control | Volume de téléchargement inhabituel | Téléchargement excessif de données |
Citrix Gateway | Échecs d’ouverture de session | Échec excessif de l’authentification |
Citrix Gateway | Échecs d’autorisation | Échecs excessifs d’autorisation |
Citrix Gateway | Accès inhabituel à l’ouverture de session | Accès pour la première fois depuis un nouvel emplacement |
Pour plus d’informations, consultez la section Indicateurs de risque.
Problèmes résolus
-
Pour certains utilisateurs, Citrix Analytics ne peut pas recevoir de données de Virtual Apps and Desktops, même si la source de données est correctement intégrée et que StoreFront est activé. [CAS-24134]
-
Citrix Analytics n’est pas en mesure de recevoir les événements de téléchargement de Citrix Content Collaboration. Par conséquent, les indicateurs de risque suivants ne sont pas déclenchés :
-
Téléchargement anonyme de partage sensible
-
Téléchargements de liens de partage excessifs
-
Accès excessif aux fichiers sensibles
-
Téléchargements excessifs de fichiers
[CAS-29207]
-
-
Pour les nouveaux utilisateurs intégrés, les actions manuelles et basées sur des stratégies appliquées aux indicateurs de risque Citrix Gateway n’ont aucun effet. [CAS-29029]
-
Certains utilisateurs ne peuvent pas afficher les fiches de site sur la page Sources de données. Ce problème est résolu en remplissant à nouveau le cache. [CAS-28781]
09 janvier 2020
Nouvelles fonctionnalités
Évaluation continue des risques
Parmi les défis auxquels les utilisateurs de Citrix Workspace sont confrontés, l’accès à distance expose les données sensibles à des risques de sécurité par le biais d’activités cybercriminelles telles que l’exfiltration de données, le vol, le vandalisme et les interruptions de service. Les employés au sein des organisations sont également susceptibles de contribuer à ces dommages.
Certains moyens de remédier à ces risques sont la mise en œuvre de l’authentification multifacteur, l’application de délais de connexion courts, etc. Bien que ces méthodes d’évaluation des risques garantissent un niveau de sécurité plus élevé, elles ne fournissent pas une sécurité complète après la validation initiale.
Pour améliorer l’aspect sécurité et garantir une meilleure expérience utilisateur, Citrix Analytics introduit la solution d’évaluation continue des risques. Cette solution vous aide à surveiller en permanence les profils des utilisateurs et à prendre diverses mesures lorsque des événements risqués sont détectés.
Pour plus d’informations, consultez la section Évaluation continue des risques.
Configuration de la stratégie
Citrix Analytics vous aide à gérer les configurations de stratégie plus efficacement. Vous pouvez protéger les comptes d’utilisateurs contre les attaques malveillantes à l’aide des fonctionnalités suivantes :
-
Stratégies par défaut : Citrix Analytics prend en charge les stratégies par défaut suivantes :
- Exploitation réussie des informations d’identification
- Exfiltration potentielle des données
- Accès inhabituel à partir d’une adresse IP suspecte
- Accès inhabituel aux applications à partir d’un emplacement inhabituel
- Utilisateur à faible risque : premier accès à partir d’une nouvelle adresse IP
- Premier accès à partir de l’appareil
Vous pouvez modifier les stratégies par défaut en fonction de vos besoins.
-
Conditions multiples : une stratégie peut contenir jusqu’à quatre conditions. Les conditions peuvent être définies avec des combinaisons de scores de risque et d’indicateurs de risque, ou les deux.
-
Indicateurs de risque par défaut et personnalisés : Le menu des conditions de la page Créer une stratégie est désormais séparé en fonction des indicateurs de risque par défaut et personnalisés. Lorsque vous créez une stratégie, vous pouvez basculer entre les onglets des indicateurs de risque par défaut et personnalisés, et définir les conditions de l’indicateur de risque.
-
Demander une réponse de l’utilisateur final : Citrix Analytics introduit l’action Demander une réponse de l’utilisateur final . Cette action vous permet d’envoyer une notification par e-mail à l’utilisateur concernant l’activité à risque détectée. Une fois que l’utilisateur répond à l’activité, vous pouvez déterminer le prochain plan d’action à prendre sur son compte. Vous pouvez également définir le temps de réponse de l’utilisateur. Si aucune réponse n’est reçue, Citrix Analytics considère Aucune réponse comme état.
-
Appliquer des actions perturbatrices : Vous pouvez avertir les utilisateurs lorsqu’une action perturbatrice, telle que Fermer la session de l’utilisateur ou Verrouiller l’utilisateur, est appliquée. Une notification est envoyée à l’utilisateur avec les détails de l’activité et de l’action appliquée. Cette action interrompt temporairement les services du compte de l’utilisateur afin d’éviter toute autre utilisation abusive. Pour continuer à accéder au compte, l’utilisateur doit contacter l’administrateur pour obtenir de l’aide.
-
Modes d’application et de surveillance : vous pouvez définir des modes d’application ou de surveillance pour vos stratégies.
Pour plus d’informations sur les améliorations apportées aux stratégies, consultez la section Stratégies et actions.
Verrouiller l’utilisateur et Déverrouiller les actions utilisateur
Citrix Analytics introduit les actions de passerelle suivantes :
- Verrouiller l’utilisateur
- Déverrouiller l’utilisateur
Vous pouvez appliquer ces actions manuellement ou lorsque vous configurez des stratégies.
Pour plus d’informations, consultez la section Que sont les actions ?
Tableau de bord de résumé des accès
Citrix Analytics introduit le panneau Résumé des accès dans le tableau de bord Utilisateurs . Il récapitule le nombre total de tentatives effectuées par les utilisateurs pour accéder aux ressources au sein d’une organisation.
Pour plus d’informations, consultez la section Résumé des accès.
Tableau de bord Stratégies et actions
Citrix Analytics introduit le panneau Stratégies et actions du tableau de bord Utilisateurs . Il affiche les cinq principales stratégies et actions appliquées aux profils utilisateur. Vous pouvez trier les données en fonction des principales stratégies et des principales actions pour une période sélectionnée.
Pour plus d’informations, consultez la section Stratégies et actions.
Recherche de stratégies en libre-service
Utilisez la recherche en libre-service pour afficher les événements utilisateur qui respectent vos stratégies définies. Vous pouvez également afficher les actions qu’Analytics a appliquées pour ces événements anormaux. Utilisez les facettes et la zone de recherche pour rechercher les événements requis.
Pour afficher les événements, dans la zone de recherche, sélectionnez Stratégies dans la liste, sélectionnez la période, puis cliquez sur Rechercher.
Pour plus d’informations, consultez la section Recherche en libre-service de stratégies.
Fonctionnalités obsolètes
Condition basée sur la stratégie de changement de score de risque supprimée
Lorsque vous configurez des stratégies, vous ne pouvez plus utiliser la condition basée sur la stratégie de changement de score de risque . Citrix Analytics ne prend pas en charge cette condition.
Pour plus d’informations, consultez la section Stratégies et actions.
Suppression de plusieurs actions basées sur des stratégies
Lorsque vous configurez des stratégies, vous ne pouvez plus appliquer plusieurs actions. Citrix Analytics ne prend en charge qu’une seule action pour chaque stratégie.
Pour plus d’informations, consultez la section Stratégies et actions.
Problèmes résolus
- Les administrateurs délégués en lecture seule rencontrent une erreur lors de l’accès aux tableaux de bord Accès utilisateur et Accès aux applications . [CAS-16297]
12 décembre 2019
Nouvelles fonctionnalités
Prise en charge des versions Splunk
Citrix Analytics prend en charge les versions suivantes de Splunk :
- Splunk 8.0 64 bits
- Splunk 7.3 64 bits
Pour bénéficier des avantages de sécurité maximaux de l’intégration de Splunk, effectuez une mise à niveau vers la dernière version de l’application complémentaire Splunk à partir de la page de téléchargement .
Pour plus d’informations sur les versions Splunk prises en charge, consultez Versions prises en charge.
04 décembre 2019
Nouvelles fonctionnalités
Indicateur de risque personnalisé pour Citrix Gateway
À l’aide d’indicateurs de risque personnalisés, vous pouvez désormais définir les conditions et la fréquence de déclenchement des indicateurs de risque pour les événements Citrix Gateway. Lorsqu’un événement utilisateur remplit les conditions, Analytics déclenche les indicateurs de risque. Pour plus d’informations sur la création d’ indicateurs de risque personnalisés, voir Indicateurs de risque personnalisés.
22 novembre 2019
Nouvelles fonctionnalités
Premier accès depuis un nouvel appareil : indicateur de risque Citrix Virtual Apps and Desktops
Citrix Analytics détecte les menaces d’accès en fonction de l’accès à partir d’un nouvel appareil et déclenche l’indicateur de risque correspondant.
L’indicateur de risque Premier accès à partir d’un nouvel appareil est déclenché lorsqu’un utilisateur se connecte à partir d’un appareil après 90 jours. Cet événement est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion à partir de cet appareil nouveau ou inconnu au cours des 90 derniers jours. Pour plus d’informations, consultez les sections Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS.
Premier accès à partir d’une nouvelle adresse IP - indicateur de risque Citrix Gateway
Citrix Analytics détecte les menaces d’accès en fonction de l’accès à partir d’une nouvelle adresse IP et déclenche l’indicateur de risque correspondant.
Le premier accès à partir d’un nouvel indicateur de risque IP est déclenché lorsqu’un utilisateur se connecte à partir d’une adresse IP après 90 jours. Cet événement est déclenché car Citrix Receiver n’a pas d’enregistrement de connexion à partir de la nouvelle adresse IP ou de l’adresse IP inconnue au cours des 90 derniers jours.
Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.
Ouverture de session à partir d’une adresse IP suspecte - indicateur de risque Citrix Gateway
Citrix Analytics détecte les menaces d’accès des utilisateurs en fonction de l’activité de connexion IP suspecte et déclenche l’indicateur de risque d’ouverture de session à partir d’adresses IP suspectes .
Cet indicateur de risque est déclenché lorsqu’un utilisateur tente d’accéder au réseau à partir d’une adresse IP suspecte. Analytics considère qu’une adresse IP est suspecte en fonction de l’une des conditions suivantes :
-
Est répertorié dans le flux externe sur la détection des menaces IP
-
A plusieurs enregistrements de connexion utilisateur à partir d’un emplacement inhabituel
-
Contient des tentatives de connexion excessives qui peuvent indiquer une attaque par force brute
Pour plus d’informations, consultez la section Indicateurs de risque Citrix Gateway.
Recherche en libre-service des événements Citrix Gateway
Utilisez la fonctionnalité de recherche en libre-service pour obtenir un aperçu des événements utilisateur reçus de la source de données Citrix Gateway. Citrix Analytics reçoit des événements tels que l’étape d’authentification, le type d’autorisation, le code de session VPN et l’état de la session VPN pour les utilisateurs de Citrix Gateway. Utilisez les facettes et la zone de recherche pour rechercher les événements requis et explorer les données sous-jacentes.
Pour afficher les événements, dans la zone de recherche, sélectionnez Passerelle dans la liste, sélectionnez la période, puis cliquez sur Rechercher.
Pour plus d’informations, consultez la rubrique Recherche en libre-service de passerelle.
Recherche en libre-service pour les événements Citrix Remote Browser Isolation
Utilisez la fonction de recherche en libre-service pour obtenir un aperçu des événements de navigation reçus du service Citrix Remote Browser Isolation. Citrix Analytics reçoit des événements tels que la connexion de session, le lancement de session, les applications publiées, les applications supprimées pour chaque connexion utilisateur. Utilisez la zone de recherche pour rechercher les événements requis et explorer les données sous-jacentes.
Pour afficher les événements, dans la zone de recherche, sélectionnez Remote Browser Isolation dans la liste, sélectionnez la période, puis cliquez sur Rechercher.
Pour plus d’informations, voir Recherche en libre-service pour Remote Browser Isolation.
Action Supprimer de la liste de surveillance
Vous pouvez supprimer un utilisateur de la liste de suivi en appliquant la méthode manuelle ou en appliquant une méthode basée sur des stratégies. Pour plus d’informations, consultez la section Liste de suivi.
Messages d’intégration améliorés lors de la configuration d’un déploiement StoreFront
Citrix Analytics fournit désormais les messages suivants pour vous aider à configurer vos déploiements StoreFront :
-
Après avoir téléchargé le fichier de configuration, vous pouvez voir un message indiquant la date et l’heure du téléchargement et le nom d’utilisateur. Lorsque vous actualisez cette page, le bouton Télécharger le fichier se transforme à nouveau en Télécharger le fichier.
-
Si votre configuration StoreFront est incomplète, un message d’avertissement s’affiche pour vous demander de suivre les étapes de configuration et de connecter votre déploiement StoreFront à Analytics.
Pour plus d’informations sur la façon de configurer votre déploiement StoreFront, consultez Sites locaux Citrix Virtual Apps and Desktops intégrés à l’aide de StoreFront.
Fonctionnalités obsolètes
Indicateur de risque - Suppression de l’accès depuis un nouvel appareil
Citrix Analytics ne déclenche plus l’indicateur de risque Access from new device . Toutefois, sur le tableau de bord utilisateur, la chronologie utilisateur et le tableau de bord des stratégies, vous pouvez afficher les données historiques liées à cet indicateur de risque.
Pour les stratégies créées précédemment en fonction de l’ accès à partir d’un nouvel appareil, vous devez modifier la stratégie ou créer une stratégie avec le nouvel indicateur de risque Premier accès depuis un nouvel appareil.
Problèmes résolus
- La recherche d’authentification en libre-service ne parvient pas à afficher les événements. [CAS-24959]
08 novembre 2019
Problèmes résolus
-
Pour les indicateurs de risque Citrix Content Collaboration, les utilisateurs ne peuvent pas appliquer d’actions sur la chronologie des risques. [CAS-24844]
-
L’application Citrix Workspace pour Chrome antérieure à la version 1911 ne parvient pas à envoyer les détails de l’événement à Citrix Analytics. [CAS-24938]
21 octobre 2019
Nouvelles fonctionnalités
Nom modifié de l’agent analytique
Le nom de l’agent est désormais mentionné en tant qu’ agent de stratégie Analytics sur les interfaces utilisateur pour indiquer son rôle. Lors de l’intégration des sources de données Citrix Virtual Apps and Desktops locales, Citrix Analytics indique clairement qu’un agent de stratégie est nécessaire uniquement pour configurer des stratégies et des actions pour votre site. Cet agent n’a aucun rôle dans la transmission des données depuis la source de données. Pour plus d’informations, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS.
Prise en charge de la dimension temporelle pour le rapport personnalisé
Vous pouvez désormais regrouper les événements en fonction du temps en sélectionnant la dimension Temps de l’axe X. Le rapport affiche le nombre total d’événements reçus en fonction des intervalles de temps pour la période sélectionnée. Pour plus d’informations sur la création de rapports, consultez la section Rapports personnalisés.
Améliorations apportées aux journaux d’audit
L’expérience utilisateur de la page Journal d’audit est améliorée.
-
Vous pouvez afficher les détails de la date et de l’heure de la dernière mise à jour de la page Journal d’audit et actualiser la page pour afficher les derniers journaux d’audit.
-
Vous pouvez effacer tous les filtres appliqués aux journaux d’audit.
Pour plus d’informations sur les données d’audit, consultez Journaux d’audit.
Problèmes résolus
-
Citrix Analytics n’est pas en mesure de générer l’indicateur de risque d’ adresse IP anonyme même si Microsoft Graph Security est correctement intégré. [CAS-21329]
-
L’application Citrix Workspace pour HTML5 antérieure à la version 1910 ne parvient pas à envoyer les détails de l’événement à Citrix Analytics. [CAS-24938]
23 septembre 2019
Problèmes résolus
- Sur les fiches de site des sources de données, le champ Dernier événement affiche des informations de date et d’heure incorrectes. [CAS-24087]
30 août 2019
Nouvelles fonctionnalités
Modification de la période par défaut dans les tableaux de bord
La période par défaut des tableaux de bord suivants passe de la dernière heure au dernier mois :
-
Utilisateurs
-
Chronologie des risques
-
Accès utilisateur
-
Accès aux applications
-
Partager des liens
-
Historique des alertes
Les tableaux de bord affichent désormais les événements du dernier mois par défaut. Vous bénéficiez d’une expérience plus attrayante en utilisant ces tableaux de bord. Par exemple, lorsque vous ouvrez le tableau de bord App Access, le tableau de bord affiche par défaut les événements d’accès aux applications du dernier mois.
Problèmes résolus
-
Pour les indicateurs de risque de Content Collaboration, l’action Désactiver la stratégie utilisateur ne peut pas être appliquée correctement. [CAS-17304]
-
Citrix Analytics ne peut pas traiter les événements de Citrix Gateway 13.0. Ce problème se produit car Citrix Gateway 13.0 ne parvient pas à fournir les noms d’utilisateur dans les événements d’ouverture de session envoyés à Citrix Analytics. [CAS-21339]
20 août 2019
Nouvelles fonctionnalités
Améliorations de la recherche en libre-service
-
L’expérience utilisateur de la page en libre-service est améliorée. Vous pouvez désormais basculer en toute transparence entre la chronologie des risques utilisateur et la page de recherche en libre-service.
-
Vous pouvez désormais trier vos événements par heure. Par défaut, les derniers événements apparaissent en premier dans le tableau des événements. Cliquez sur l’icône de tri dans la colonne TIME pour trier les événements en fonction de l’heure la plus récente ou de la première heure.
Pour plus d’informations sur l’utilisation de la recherche en libre-service, consultez la rubrique Recherche en libre-service.
Améliorations des rapports personnalisés
-
De nouvelles dimensions sont ajoutées pour les sources de données Contrôle d’accès, Content Collaboration et Apps and Desktops. Vous pouvez choisir ces dimensions pour créer des rapports. Les dimensions suivantes sont ajoutées pour les sources de données :
-
Contrôle d’accès : agent utilisateur, nom d’utilisateur
-
Content Collaboration contenu : e-mail de l’utilisateur, nom d’utilisateur, créé par, ID de compte, ID client OAuth, ID d’événement, ID de dossier, nom de dossier, ID de ressource, ID de formulaire, adresse IP du client
-
Applications et postes de travail : nom d’utilisateur, adresse IP, identifiant de l’appareil, prison interrompue, type de lancement de session, nom du serveur de session, nom d’utilisateur de la session, nom du fichier de téléchargement, chemin du fichier de téléchargement, nom de l’imprimante d’impression, nom du fichier des détails de la tâche d’impression, URL de lancement de l’application SaaS, opération du presse-papiers, résultat des détails
-
-
L’interface utilisateur du rapport personnalisé est améliorée avec la prise en charge de la pagination et une option Effacer tout pour les filtres.
Pour plus d’informations sur la création d’un rapport personnalisé à l’aide de ces dimensions, consultez la section Rapports personnalisés.
Tableau de bord des indicateurs de risque
Le tableau de bord des indicateurs de risque est présenté sur la page Utilisateurs . Il résume les cinq principaux indicateurs de risque par défaut et personnalisés pour un utilisateur. Un lien Voir plus vous redirige vers la page Aperçu de l’indicateur de risque . Cette page fournit des informations détaillées sur les indicateurs de risque générés pour une période sélectionnée.
Pour plus d’informations, consultez Tableau de bord des utilisateurs.
Améliorations du tableau de bord des utilisateurs risqués
Citrix Analytics introduit les onglets Indicateurs de risque et Changement des indicateurs de risque dans le tableau de bord Utilisateurs risqués . Vous pouvez consulter les cinq principaux utilisateurs à risque en fonction de ces onglets. Le tableau de bord présente également la colonne Indicateurs de risque . Il indique le nombre d’indicateurs de risque pour un utilisateur.
La page Utilisateurs risqués présente les colonnes Occurrences et Occurrences Change . Ces colonnes résument le nombre total d’occurrences et la modification des occurrences des indicateurs de risque personnalisés et par défaut.
Pour plus d’informations, consultez Tableau de bord des utilisateurs.
Indicateur de risque de lien de partage - Téléchargements excessifs
Citrix Analytics détecte les menaces d’accès en fonction des téléchargements excessifs sur un lien de partage et déclenche l’indicateur de risque de téléchargements excessifs . En identifiant les liens de partage présentant des téléchargements excessifs, en fonction du comportement précédent, vous pouvez surveiller le lien de partage pour détecter les attaques potentielles. Cet indicateur de risque vous aide à identifier une activité excessive de téléchargement de fichiers.
Pour plus d’informations, consultez la section Téléchargements excessifs.
Recherche en libre-service des données d’authentification
Utilisez la recherche en libre-service pour obtenir des informations sur les événements d’authentification. Citrix Analytics reçoit les événements d’authentification tels que la connexion utilisateur, la fermeture de session utilisateur et la mise à jour du client à partir du service Identity and Access Management de Citrix Cloud. La recherche fournit un rapport détaillé sur les événements d’authentification, vous aide à identifier les problèmes d’authentification et à les résoudre. Vous pouvez également définir une requête de recherche pour récupérer les événements qui correspondent à vos critères définis.
Pour afficher les événements, sélectionnez Authentification dans la liste, sélectionnez la période, puis cliquez sur Rechercher.
Pour plus d’informations, consultez la rubrique Recherche en libre-service pour l’authentification.
11 Juillet 2019
Nouvelles fonctionnalités
Indicateurs de risque personnalisés
Les indicateurs de risque par défaut générés par Citrix Analytics sont basés sur des algorithmes de machine learning. Citrix Analytics vous permet désormais de créer des indicateurs de risque personnalisés. En fonction des événements utilisateur, vous pouvez définir les conditions et créer des indicateurs de risque personnalisés.
Lorsque les conditions définies sont remplies, Citrix Analytics génère des indicateurs de risque personnalisés similaires aux indicateurs de risque par défaut, et les affiche sur la chronologie des risques de l’utilisateur. Les indicateurs de risque personnalisés sont désignés par une étiquette sur la chronologie des risques de l’utilisateur.
Pour plus d’informations, consultez la section Indicateurs de risque personnalisés.
Statut privilégié sur la chronologie des risques
La chronologie des risques utilisateur affiche les événements suivants chaque fois qu’il y a un changement dans le statut du privilège Admin ou Executive d’un utilisateur :
-
Ajouté au groupe Executive
-
Supprimé du groupe Exécutif
-
Privilège élevé au rang d’administrateur
-
Privilège d’administrateur supprimé
Lorsqu’un indicateur de risque est déclenché pour un utilisateur, vous pouvez le mettre en corrélation avec l’événement de changement de statut de privilège spécifié. Si nécessaire, vous pouvez appliquer les actions appropriées sur le profil utilisateur.
Pour plus d’informations, voir Chronologie des risques utilisateur.
Action d’expiration du lien de partage
Citrix Analytics vous permet d’appliquer des actions sur les indicateurs de risque de lien de partage. Actuellement, l’action prise en charge est Expire le lien de partage.
Pour plus d’informations, consultez la section Indicateurs de risque de lien de partage Citrix.
Améliorations de la recherche en libre-service
-
Prise en charge du caractère joker * dans la requête de recherche : Utilisez l’astérisque (*) dans votre requête de recherche pour correspondre à n’importe quel caractère zéro ou plusieurs fois. Par exemple, la requête de recherche User-Name = « John* » affiche les événements pour tous les noms d’utilisateurs commençant par John.
-
Ajout de l’option Effacer tout pour les facettes : cliquez sur Effacertout pour supprimer toutes les facettes sélectionnées à la fois.
-
Afficher les données de colonne masquées dans la liste des événements : après avoir supprimé une colonne de la table des événements, vous pouvez afficher les données correspondantes dans la liste des événements utilisateur. Développez la ligne d’événement d’un utilisateur et affichez les données.
Pour plus d’informations, consultez la rubrique Recherche en libre-service.
État des erreurs de données sur les fiches de site
Les fiches de site affichent l’étiquette Aucune donnée reçue en rouge lorsque Citrix Analytics ne reçoit pas d’événements de la dernière heure de la source de données. Il affiche également le nombre d’événements reçus et est lié à la page de recherche en libre-service correspondante. Cette fonctionnalité vous permet d’afficher les événements correspondants sur la page de recherche en libre-service et de rechercher tout problème de transmission de données.
Remarque
Actuellement, la recherche en libre-service n’est disponible que pour les sources de données Access, Content Collaboration et Apps and Desktop.
Pour plus d’informations, consultez la section Activer Analytics sur les sources de données Citrix.
Problèmes résolus
- Pour la source de données Access Control, le nombre d’événements sur la fiche de site ne correspond pas aux résultats de la recherche en libre-service. [CAS-18286]
19 juin 2019
Problèmes résolus
-
La page Journal d’audit affiche l’état Activé ou désactivé de la transmission de données chaque fois que la source de données Active Directory est découverte. [CAS-17575]
-
Le menu de période du tableau de bord Utilisateurs ne se charge pas correctement. Il affiche un message d’erreur de délai d’expiration. [CAS-19467]
-
Les utilisateurs reçoivent un message d’erreur sur Citrix Analytics lorsqu’ils se connectent à un client depuis Splunk. Il arrive parfois que l’intégration de nouvelles sources de données échoue. [CAS-19429]
17 juin 2019
Nouvelles fonctionnalités
Configuration du StoreFront
Si votre organisation utilise StoreFront local, vous pouvez désormais configurer StoreFront pour qu’il se connecte à Citrix Analytics. La configuration est effectuée à l’aide d’un fichier de configuration importé depuis Citrix Analytics. Une fois la configuration terminée, l’application Citrix Workspace envoie des événements utilisateur à Citrix Analytics pour générer des informations exploitables sur les comportements des utilisateurs. Les informations vous aident à détecter tout comportement anormal des utilisateurs et à gérer de manière proactive les menaces de sécurité au sein de votre organisation. Pour plus d’informations, consultez Sites locaux Citrix Virtual Apps and Desktops intégrés à l’aide de StoreFront.
30 mai 2019
Nouvelles fonctionnalités
Échecs d’ouverture de session excessifs
Citrix Analytics détecte les menaces d’accès en fonction d’une activité d’ouverture de session excessive et déclenche l’indicateur de risque d’échecs de connexion excessifs. Cet indicateur de risque est déclenché lorsqu’un utilisateur rencontre plusieurs tentatives d’ouverture de session échouées pour accéder à Content Collaboration. En identifiant les utilisateurs présentant des échecs de connexion excessifs, en fonction du comportement précédent, les administrateurs peuvent surveiller le compte de l’utilisateur pour détecter les attaques par force brute.
Remarque
Les échecs d’ouverture de session excessifs sont désormais renommés en tant qu’ échecs d’authentification excessifs.
Problèmes résolus
-
Pour certains événements utilisateur transmis par les applications Citrix Workspace, la source de données est incorrectement identifiée comme Endpoint Management au lieu de Citrix Virtual Apps and Desktops.
[CAS-17323]
-
Le chargement du tableau de bord Utilisateurs est long pour la période du dernier mois . Ce problème se produit lorsque le nombre d’utilisateurs est élevé. Dans certains cas, vous pouvez même rencontrer des erreurs 601.
[CAS-16300]
-
Citrix Content Collaboration n’est pas découvert en tant que source de données, bien que certains utilisateurs s’abonnent au service sur Citrix Cloud.
[CAS-16299]
09 mai 2019
Nouvelles fonctionnalités
Création de rapports personnalisés
Vous pouvez désormais créer des rapports personnalisés en fonction de vos besoins opérationnels. Citrix Analytics fournit une liste de dimensions et de mesures en fonction de la source de données sélectionnée. Choisissez les paramètres requis et les types de visualisation tels que le graphique à barres, le graphique d’événements, le graphique en courbes ou le tableau pour créer vos rapports. La création de rapports vous aide à organiser et à analyser graphiquement vos données.
Pour créer un rapport personnalisé, dans l’onglet Sécurité, cliquez sur Rapports > Créer un rapport. Pour afficher les rapports que vous avez créés précédemment, dans l’onglet Sécurité, cliquez sur Rapports. Pour plus d’informations, consultez la section Rapports personnalisés.
Surveillance des utilisateurs privilégiés
Citrix Analytics vous permet de surveiller de près les anomalies de comportement des utilisateurs privilégiés d’une organisation. Les utilisateurs privilégiés étant très vulnérables aux menaces de sécurité, il devient difficile de distinguer leurs activités quotidiennes des activités malveillantes. Par conséquent, les activités malveillantes des utilisateurs privilégiés restent longtemps inaperçues. Cette fonctionnalité vous permet de surveiller de manière proactive ces activités et de prendre les mesures appropriées sur les comptes d’utilisateurs appropriés. Les utilisateurs privilégiés sont représentés par une icône dans le tableau de bord Utilisateurs .
Citrix Analytics prend en charge la surveillance des types d’utilisateurs privilégiés suivants :
-
Admins : utilisateurs auxquels des privilèges d’administrateur sont attribués par le service Citrix respectif. Actuellement, Citrix Analytics prend en charge la surveillance des utilisateurs privilégiés pour les utilisateurs disposant de privilèges d’administrateur dans le service Content Collaboration.
-
Executives : sur Citrix Analytics, vous pouvez marquer un groupe AD en tant que groupe Executives. Le fait de marquer un groupe AD en tant que groupe exécutif fait de tous les utilisateurs du groupe des utilisateurs privilégiés. S’il n’est pas nécessaire de prendre en charge davantage les anomalies de comportement des utilisateurs d’un groupe AD, vous pouvez supprimer le groupe en tant que groupe exécutif.
Pour plus d’informations, consultez la section Utilisateurs privilégiés.
Récapitulatif hebdomadaire des courriels
Citrix Analytics envoie un e-mail hebdomadaire aux administrateurs pour résumer les risques de sécurité dans l’environnement informatique de leur entreprise. La notification par e-mail est envoyée tous les mardis aux administrateurs et elle met en évidence les événements de sécurité survenus la semaine précédente. Cet e-mail garantit que les administrateurs sont informés des risques de sécurité sans se connecter à Citrix Analytics. Pour plus d’informations, consultez la section Résumé hebdomadaire des e-mails.
26 avril 2019
Nouvelles fonctionnalités
Administrateurs délégués
Citrix Analytics prend désormais en charge les rôles d’administrateur délégué. Cette fonctionnalité vous permet d’inviter d’autres administrateurs sur votre compte Citrix Cloud afin de gérer Citrix Analytics pour votre organisation. Si vous êtes un administrateur Citrix Analytics avec une autorisation d’accès complet, vous pouvez ajouter d’autres administrateurs à votre compte Citrix Cloud. Ces administrateurs supplémentaires sont appelés administrateurs délégués. Vous pouvez actuellement attribuer un accès en lecture seule aux administrateurs délégués. Pour plus d’informations, consultez la section Administrateurs délégués.
Problèmes résolus
Peu d’indicateurs de risque pour les sources de données qui utilisent le flux de données ne génèrent pas d’alertes. Vous ne recevez aucune notification d’alerte et les actions basées sur des stratégies ne sont pas appliquées automatiquement si l’un des indicateurs de risque suivants est déclenché :
-
Indicateurs de risque Citrix Endpoint Management : appareil non géré, appareil jailbreaké ou rooté et appareil avec des applications sur liste noire.
-
Indicateur de risque Citrix Virtual Apps and Desktops : accès à partir d’un appareil doté d’un système d’exploitation (SE) non pris en charge.
-
Indicateur de risque Citrix Content Collaboration : accès excessif aux fichiers sensibles.
[CAS-14590]
19 février 2019
Nouvelles fonctionnalités
Intégration de Splunk
Citrix Analytics s’intègre à Splunk pour améliorer vos expériences de surveillance des incidents de sécurité et de dépannage. Cette intégration augmente vos sources de données existantes avec les fonctionnalités d’analyse des risques et l’intelligence de Citrix Analytics for Security, telles que les indicateurs de risque, les scores de risque et les profils utilisateur. Citrix Analytics exporte les informations d’analyse des risques vers un canal. Splunk tire la même chose de cette chaîne.
L’intégration de Splunk implique la configuration sur Citrix Analytics, l’installation du module complémentaire Citrix Analytics pour l’application Splunk et la configuration de l’application. Assurez-vous d’activer le traitement des données pour au moins une source de données. Il aide Citrix Analytics à démarrer le processus d’intégration de Splunk.
Pour plus d’informations, consultez la section Intégration de Splunk.
Enregistrement de session dynamique
Citrix Analytics offre la possibilité de déclencher l’enregistrement de session de manière dynamique sur les sessions Virtual Apps and Desktops actuelles des utilisateurs. Il permet de saisir les preuves requises pour l’analyse des risques et de prendre les mesures appropriées de réponse aux incidents, telles que les sessions de déconnexion et l’utilisateur de blocage.
Pour plus d’informations, consultez la section Stratégies et actions.
Tableau de bord Share Links et indicateur de risque
Citrix Analytics introduit la visibilité des risques pour Share Links en fonction des données collectées à partir de Citrix Content Collaboration. Il vous aide à comprendre l’exposition au risque des liens de partage grâce aux indicateurs de risque déclenchés par ces liens.
Pour plus d’informations, consultez la section Tableau de bord Partager des liens.
Actuellement, l’indicateur de risque de téléchargement de partage sensible anonyme est déclenché pour un lien de partage. Lorsque Content Collaboration détecte ce comportement risqué, Citrix Analytics reçoit les événements. Vous êtes averti dans le panneau Alertes et l’indicateur de risque de téléchargement de partage sensible anonyme est ajouté à la chronologie des risques du lien de partage.
Pour plus d’informations, consultez la chronologie des risques de Share Link et les indicateurs de risque Citrix Share Link.
Intégration de Microsoft Active Directory
Vous pouvez désormais intégrer Microsoft Active Directory à Citrix Analytics. Cette intégration améliore le contexte des utilisateurs à risque avec des informations supplémentaires telles que l’intitulé du poste, l’organisation, l’emplacement du bureau, l’e-mail et les coordonnées. Vous pouvez obtenir une meilleure visibilité d’un utilisateur sur la page de profil utilisateur de Citrix Analytics.
Pour plus d’informations, voir Intégrer Analytics à Microsoft Active Directory.
04 janvier 2019
Nouvelles fonctionnalités
Ajout de la colonne SOURCE pour les indicateurs de risque existants
La colonne SOURCE a été introduite dans la section DÉTAILS DE L’ÉVÉNEMENT pour les indicateurs de risque suivants :
-
Chargements excessifs de fichiers
-
Téléchargements excessifs de fichiers
-
Partage excessif de fichiers
-
Suppression excessive de fichiers ou de dossiers
Pour plus d’informations, consultez la section Indicateurs de risque Citrix Content Collaboration.
Profil utilisateur avancé
La vue Informations utilisateur sur le profil utilisateur a été améliorée. Le lien Trend View a été introduit dans le coin supérieur droit des sections Application, Deviceset Data Usage . Le lien Vue sur la carte a été introduit dans le coin supérieur droit de la section Emplacements . Ces liens fournissent une représentation graphique du comportement historique de l’utilisateur au cours d’une période spécifique. Vous pouvez accéder aux informations utilisateur à partir de la chronologie des risques de l’utilisateur ou à partir de la page Sources de données .
Remarque
Les données d’authentification et de domaines ne sont actuellement pas disponibles dans le profil Informations utilisateur.
Pour plus d’informations, consultez la section Chronologie et profil des risques utilisateur.
Indicateurs de risque Microsoft Graph Security
Microsoft Graph Security intégré peut recevoir les détails des indicateurs de risque de l’un des fournisseurs de sécurité suivants, et les transmet à Citrix Analytics :
-
Protection des identités Azure AD
-
Microsoft Defender pour Endpoint
Pour plus d’informations, consultez la section Indicateurs de risque de sécurité Microsoft Graph.
Comment accéder à la page de recherche en libre-service
Vous pouvez désormais accéder à la page de recherche en libre-service à l’aide des options suivantes :
-
Barre supérieure : cliquez sur Rechercher dans la barre supérieure pour accéder directement à la page de recherche.
-
Chronologie des risques sur la page de profil utilisateur : cliquez sur Recherche d’événements pour accéder à la page de recherche et afficher les événements correspondant à l’indicateur de risque d’un utilisateur spécifique et à la source de données. Pour plus d’informations, consultez la rubrique Recherche en libre-service.
Recherche en libre-service pour Content Collaboration
Utilisez la recherche en libre-service pour obtenir des informations sur les événements associés à la source de données Content Collaboration. Pour afficher les événements, sélectionnez Content Collaboration dans la liste, sélectionnez la période, puis cliquez sur Rechercher. Pour plus d’informations, voir Recherche en libre-service pour Content Collaboration.
Recherche en libre-service d’applications et de bureaux
Utilisez la recherche en libre-service pour obtenir des informations sur les événements associés à la source de données Apps and Desktops. Pour afficher les événements, sélectionnez Applications et bureaux dans la liste, sélectionnez la période, puis cliquez sur Rechercher. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux.
Exporter les événements de recherche en libre-service dans un fichier CSV
Vous pouvez désormais exporter les événements de recherche en libre-service dans un fichier CSV et télécharger le fichier pour une utilisation ultérieure. Pour plus d’informations, consultez la rubrique Recherche en libre-service.
Intégration améliorée pour Citrix Virtual Apps and Desktops
Le processus d’intégration de la source de données Citrix Virtual Apps and Desktops est désormais amélioré afin d’offrir une meilleure expérience utilisateur. Les cartes de site et les étapes d’embarquement ont été modifiées. Pour plus d’informations, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS.
29 novembre 2018
Nouvelles fonctionnalités
Source de données Microsoft Security Graph
Microsoft Graph Security est une source de données externe qui regroupe les données de plusieurs fournisseurs de sécurité. Il permet également d’accéder aux données d’inventaire des utilisateurs.
Citrix Analytics prend actuellement en charge la protection d’identité Azure AD et les fournisseurs de sécurité Microsoft Defender for Endpoint associés à cette source de données.
Pour pouvoir utiliser cette source de données, vous devez obtenir des autorisations de la plateforme d’identité Microsoft. Pour plus d’informations, consultez la section Microsoft Graph Security.
Afficher les détails des événements et les utilisateurs découverts sur les fiches de site pour les sources de données
Les fiches de site des sources de données affichent désormais les détails des événements et le nombre d’utilisateurs. Par exemple, vous pouvez afficher les détails de l’événement et les utilisateurs du contrôle d’accès sur la fiche de site. Pour plus d’informations, consultez la section Activer Analytics sur les sources de données.
16 novembre 2018
Nouvelles fonctionnalités
Recherche en libre-service des données d’accès
Vous pouvez utiliser la recherche en libre-service pour obtenir un aperçu des détails d’accès pour les utilisateurs de votre entreprise. Citrix Analytics collecte les détails d’accès des utilisateurs à partir du service Citrix Access Control. Utilisez les facettes et la requête de recherche pour affiner vos résultats de recherche.
Pour utiliser la page de recherche en libre-service, dans l’onglet Sécurité, cliquez sur Recherche d’événements.
Pour plus d’informations, consultez la rubrique Recherche en libre-service pour Access.
Feedback sur les indicateurs de risque
À l’aide de la fonctionnalité de retour d’information sur les indicateurs de risque de Citrix Analytics, vous pouvez fournir des commentaires concernant un indicateur de risque. Vos commentaires permettent de confirmer si l’incident de sécurité signalé est exact ou non.
Actuellement, cette fonctionnalité est prise en charge sur l’indicateur de risque d’accès de connexion inhabituel déclenché par la source de données Content Collaboration. Si cet indicateur de risque déclenché est incorrect, vous pouvez le signaler comme un faux positif et fournir des commentaires. Vous pouvez également modifier les commentaires que vous avez déjà envoyés. Citrix Analytics capture vos commentaires et valide les informations prédites afin d’optimiser la détection des comportements anormaux.
Problèmes résolus
- Vous ne pouvez pas modifier et enregistrer une stratégie si vous accédez à Citrix Analytics à l’aide d’Internet Explorer 11.0.
Dans cet article
- 15 avril 2024
- 29 janvier 2024
- 25 janvier 2024
- 24 janvier 2024
- 1 décembre 2023
- 30 novembre 2023
- 22 septembre 2023
- 4 juillet 2023
- 15 juin 2023
- 14 juin 2023
- 8 juin 2023
- 29 mai 2023
- 24 mai 2023
- 4 mai 2023
- 13 avril 2023
- 31 mars 2023
- 30 mars 2023
- 24 mars 2023
- 21 mars 2023
- 23 février 2023
- 22 février 2023
- 16 février 2023
- 3 février 2023
- 11 janvier 2023
- 27 décembre 2022
- 13 décembre 2022
- 5 décembre 2022
- 18 novembre 2022
- 8 novembre 2022
- 19 octobre 2022
- 18 octobre 2022
- 14 octobre 2022
- 26 septembre 2022
- 13 septembre 2022
- 9 septembre 2022
- 19 août 2022
- 18 août 2022
- 17 août 2022
- 11 août 2022
- 17 juin 2022
- 09 juin 2022
- 2 juin 2022
- 24 mai 2022
- 17 mai 2022
- 5 avril 2022
- 21 mars 2022
- 10 mars 2022
- 3 mars 2022
- 23 février 2022
- 17 février 2022
- 10 février 2022
- 09 février 2022
- 28 janvier 2022
- 20 janvier 2022
- 18 janvier 2022
- 23 décembre 2021
- 21 décembre 2021
- 20 décembre 2021
- 09 décembre 2021
- 07 décembre 2021
- 02 décembre 2021
- 29 novembre 2021
- 26 novembre 2021
- 25 novembre 2021
- 09 novembre 2021
- 02 novembre 2021
- 20 octobre 2021
- 19 octobre 2021
- 01 octobre 2021
- 29 septembre 2021
- 15 septembre 2021
- 14 septembre 2021
- 19 août 2021
- 29 juillet 2021
- 14 juillet 2021
- 06 juillet 2021
- 01 juillet 2021
- 30 juin 2021
- 23 juin 2021
- 07 juin 2021
- 18 mai 2021
- 29 avril 2021
- 16 avril 2021
- 26 mars 2021
- 18 mars 2021
- 11 mars 2021
- 03 mars, 2021
- February 18, 2021
- 27 janvier 2021
- January 20, 2021
- 19 janvier 2021
- January 13, 2021
- 11 janvier 2021
- December 17, 2020
- December 07, 2020
- 30 novembre 2020
- 04 novembre 2020
- 20 octobre 2020
- 15 octobre 2020
- 10 septembre 2020
- 08 septembre 2020
- 11 août 2020
- 31 juillet 2020
- 09 juillet 2020
- 26 juin 2020
- 02 juin 2020
- 11 mai 2020
- 29 avril 2020
- 02 avril 2020
- 04 mars 2020
- 20 février 2020
- 09 janvier 2020
- 12 décembre 2019
- 04 décembre 2019
- 22 novembre 2019
- 08 novembre 2019
- 21 octobre 2019
- 23 septembre 2019
- 30 août 2019
- 20 août 2019
- 11 Juillet 2019
- 19 juin 2019
- 17 juin 2019
- 30 mai 2019
- 09 mai 2019
- 26 avril 2019
- 19 février 2019
- 04 janvier 2019
- 29 novembre 2018
- 16 novembre 2018