Citrix Analytics for Security™

Indicateurs de risque personnalisés

September 16, 2025

Contributeur:

C C

Il existe deux types d’indicateurs de risque que vous pouvez consulter dans Citrix Analytics for Security™ :

Indicateurs de risque par défaut : Ces indicateurs de risque sont basés sur l’algorithme d’apprentissage automatique. Pour plus d’informations, consultez Indicateurs de risque utilisateur Citrix.
Indicateurs de risque personnalisés : Ces indicateurs de risque sont créés manuellement par les administrateurs.

Lorsque vous créez un indicateur de risque personnalisé, vous pouvez définir les conditions de déclenchement et les paramètres en fonction de vos cas d’utilisation. Si les événements utilisateur correspondent à vos critères définis, Citrix Analytics déclenche l’indicateur de risque personnalisé et l’affiche sur la chronologie des risques de l’utilisateur.

Créez des indicateurs de risque personnalisés pour les sources de données suivantes :

Citrix Gateway
Citrix Secure Private Access™
Citrix Virtual Apps and Desktops™ sur site
Citrix DaaS (anciennement service Citrix Virtual Apps™ and Desktops)
Citrix Secure Browser

Indicateurs de risque personnalisés préconfigurés

Citrix fournit également quelques indicateurs de risque personnalisés avec des conditions préconfigurées pour vous aider à surveiller la sécurité de votre infrastructure Citrix. Vous pouvez modifier les conditions préconfigurées en fonction de vos cas d’utilisation. Pour plus d’informations, consultez Indicateurs de risque personnalisés préconfigurés.

Page des indicateurs de risque personnalisés

La page Indicateurs de risque personnalisés fournit des informations sur tous les indicateurs de risque personnalisés générés pour un utilisateur, la gravité, la source de données, le nombre de stratégies, la catégorie de risque, l’état, ainsi que la date et l’heure de la dernière modification de l’indicateur. Pour créer un indicateur de risque personnalisé, consultez Création d’un indicateur de risque personnalisé.

Indicateurs personnalisés

Lorsque vous sélectionnez l’indicateur de risque, vous êtes redirigé vers la page Modifier l’indicateur de risque. Pour plus d’informations, consultez Modification d’un indicateur de risque personnalisé.

Analyse d’un indicateur de risque personnalisé

Prenons l’exemple d’un utilisateur dont l’action a déclenché un indicateur de risque personnalisé que vous avez défini. Citrix Analytics affiche l’indicateur de risque personnalisé sur la chronologie des risques de l’utilisateur.

Lorsque vous sélectionnez l’indicateur de risque personnalisé sur la chronologie des risques de l’utilisateur, le volet droit affiche les informations suivantes :

Condition(s) définie(s) : Affiche un résumé des conditions que vous définissez lors de la création d’un indicateur de risque personnalisé.
Description : Fournit un résumé de la description que vous fournissez lors de la création de l’indicateur de risque personnalisé. Si aucune description n’est fournie lors de la création de l’indicateur de risque personnalisé, cette section affiche Aucun.
Fréquence de déclenchement : Affiche l’option que vous sélectionnez dans la section Options avancées lors de la création de l’indicateur de risque personnalisé.
Détails de l’événement : Affiche la chronologie et les détails des événements utilisateur qui ont déclenché l’indicateur de risque personnalisé. Vous pouvez cliquer sur Recherche d’événements pour afficher les événements utilisateur sur la page de recherche en libre-service. La page de recherche en libre-service affiche les événements associés à l’utilisateur et à l’indicateur de risque personnalisé. La requête de recherche affiche les conditions définies pour l’indicateur de risque personnalisé.

Indicateurs personnalisés

Remarque

Les indicateurs de risque personnalisés sont représentés par une étiquette sur la chronologie des risques de l’utilisateur.

Actions que vous pouvez appliquer à l’utilisateur

Lorsqu’un indicateur de risque personnalisé est déclenché pour un utilisateur, vous pouvez appliquer une action manuellement ou créer une stratégie pour appliquer une action automatiquement. Pour plus d’informations, consultez Stratégies et actions.

Modèles d’indicateurs de risque personnalisés

Vous pouvez créer un indicateur de risque personnalisé en utilisant l’un des modèles prédéfinis ou procéder sans utiliser de modèle.

Les modèles servent de point de départ pour la création d’un indicateur de risque personnalisé. Ils vous guident dans la création d’un indicateur de risque personnalisé en fournissant des requêtes et des paramètres prédéfinis que vous pouvez sélectionner en fonction de vos cas d’utilisation.

Vous pouvez utiliser un modèle tel quel ou le modifier pour répondre à vos besoins. Grâce aux modèles, les administrateurs peuvent créer des indicateurs de risque pertinents sans formation supplémentaire.

Un modèle se compose des informations suivantes :

Description : Indique l’objectif de la requête définie dans le modèle.
Source de données : Indique la source de données à laquelle le modèle s’applique.
Catégorie de risque : Indique la catégorie de risque associée aux événements recherchés par la requête. Il existe quatre catégories d’événements à risque : Exfiltration de données, Menaces internes, Utilisateurs compromis et Points de terminaison compromis. Pour plus d’informations, consultez Catégories de risque.
Fréquence : Indique la fréquence à laquelle la requête se déclenche.
Gravité : Indique la gravité du risque associé à l’événement. Le risque peut être élevé, moyen ou faible.
Créé par : Indique le créateur du modèle. Les modèles sont toujours définis par le système.
Requête : Indique les conditions définies dans le modèle. La requête récupère les événements utilisateur qui satisfont aux conditions.

L’image suivante montre le modèle pour le cas d’utilisation de l’utilisation du presse-papiers sur les applications SaaS.

Modèle d’utilisation du presse-papiers

Si vous ne trouvez pas de modèle pour votre cas d’utilisation ou si vous souhaitez définir votre propre requête, vous pouvez procéder sans modèle.

Création d’un indicateur de risque personnalisé

Pour créer un indicateur de risque personnalisé :

Accédez à Sécurité > Indicateurs de risque personnalisés > Créer un indicateur.
Sélectionnez un modèle pour afficher le cas d’utilisation. S’il répond à vos besoins, sélectionnez Appliquer le modèle à l’indicateur.

Remarque

Vous pouvez également modifier les conditions et les paramètres prédéfinis d’un modèle.
Si vous ne trouvez pas le modèle souhaité ou si vous souhaitez créer votre propre condition, sélectionnez Procéder sans modèle.
Suivez les instructions à l’écran pour créer un indicateur.

Remarques

Vous pouvez créer jusqu’à 50 indicateurs de risque personnalisés. Si vous atteignez cette limite maximale, vous devez supprimer ou modifier un indicateur de risque personnalisé existant pour en créer un nouveau.

Lorsqu’un indicateur de risque personnalisé est déclenché, il s’affiche immédiatement sur la chronologie de l’utilisateur. Cependant, le résumé des risques et le score de risque de l’utilisateur sont mis à jour après quelques minutes (environ 15 à 20 minutes).

Définition d’une condition pour un indicateur de risque personnalisé

Utilisez la zone de requête pour définir vos conditions pour l’indicateur de risque personnalisé. En fonction de la source de données sélectionnée, vous obtenez les dimensions correspondantes et les opérateurs valides pour définir vos conditions.

Lorsque vous sélectionnez certaines dimensions comme Event-Type et Clipboard-Operation avec un opérateur valide, les valeurs de la dimension s’affichent automatiquement. Vous pouvez choisir une valeur parmi les options suggérées ou saisir une nouvelle valeur en fonction de vos besoins.

L’image suivante montre les valeurs suggérées de la dimension Event-Type.

Exemple de requête

Si vous utilisez un modèle, la condition est prédéfinie. Cependant, vous pouvez ajouter ou modifier la condition prédéfinie en fonction de votre cas d’utilisation.

Sous la zone de requête, vous voyez le lien Déclencheurs estimés. Cliquez sur le lien pour prédire les instances approximatives de l’indicateur de risque personnalisé qui seraient déclenchées pour les conditions définies. Ces instances sont calculées sur la base des données historiques que Citrix Analytics conserve et qui répondent aux conditions définies.

Assurez-vous de cliquer sur Déclencheurs estimés pour prédire le nombre d’occurrences d’indicateurs de risque personnalisés pour la dernière condition définie.

Utilisation des options avancées

Dans la section Options avancées, sélectionnez la fréquence de l’événement pour déclencher l’indicateur de risque personnalisé. Si vous ne sélectionnez aucune option, Citrix Analytics considère À chaque fois : Générer l’indicateur de risque chaque fois que l’(les) événement(s) se produit(sent) comme option par défaut et génère l’indicateur de risque personnalisé. Vous pouvez sélectionner l’une des options suivantes :

À chaque fois : L’indicateur de risque est déclenché chaque fois que les événements remplissent les conditions définies.

Première fois : L’indicateur de risque est déclenché lorsque les événements remplissent les conditions définies pour la première fois.

Première fois pour une nouvelle entité : Activez cette option pour détecter les événements reçus d’une nouvelle entité pour la première fois. Quelques exemples d’entités sont l’adresse IP du client, le pays, la ville et l’ID de l’appareil. Vous ne pouvez sélectionner qu’une seule entité en fonction de la source de données. Cette option vous permet de créer un indicateur de risque sans spécifier de valeur explicite pour les entités. Par exemple, lorsque vous sélectionnez l’entité « Ville », vous n’avez pas besoin de spécifier le nom de la ville. L’indicateur de risque est déclenché lorsque des événements sont reçus d’une nouvelle ville pour la première fois.

Le tableau suivant répertorie les entités correspondant à chaque source de données et décrit les conditions de déclenchement.

Source de données	Entité	Condition de déclenchement
Secure Private Access	Ville	Lorsqu’un utilisateur se connecte depuis une nouvelle ville pour la première fois.
	IP du client	Lorsqu’un utilisateur se connecte depuis une nouvelle adresse IP pour la première fois.
	Pays	Lorsqu’un utilisateur se connecte depuis un nouveau pays pour la première fois.
Apps and Desktops	Nom de l’application	Lorsqu’un utilisateur ouvre une nouvelle application virtuelle ou une application SaaS pour la première fois.
	URL de l’application	Lorsqu’un utilisateur saisit une nouvelle URL d’application dans un navigateur de son bureau virtuel pour la première fois.
	Ville	Lorsqu’un utilisateur lance des applications ou des bureaux depuis une nouvelle ville pour la première fois.
	IP du client	Lorsqu’un utilisateur se connecte depuis une nouvelle adresse IP pour la première fois.
	Pays	Lorsqu’un utilisateur lance des applications ou des bureaux depuis un nouveau pays pour la première fois.
	ID de l’appareil	Lorsqu’un utilisateur lance des applications virtuelles ou des bureaux virtuels depuis un nouvel appareil tel qu’un mobile, un ordinateur portable ou un ordinateur de bureau pour la première fois.
	Type d’appareil de téléchargement	Lorsqu’un utilisateur utilise un nouveau support de stockage tel qu’une clé USB pour la première fois.
	Format du fichier d’impression	Format du fichier imprimé.
	Taille du fichier d’impression	Taille du fichier imprimé en octets.
	Nom du fichier d’impression	Nom du fichier imprimé.
	Nom de l’imprimante	Nom de l’imprimante utilisée.
	Nombre total de copies imprimées	Nombre total de copies imprimées par l’utilisateur.
	Nombre total de pages imprimées	Nombre total de pages de document imprimées par l’utilisateur.
Gateway	IP du client	Lorsqu’un utilisateur se connecte depuis une nouvelle adresse IP pour la première fois.
Secure Browser	Nom d’utilisateur	Nom de l’utilisateur qui a initié l’événement.
	Accès autorisé	Indique si l’utilisateur est autorisé ou non à accéder au service hôte.
	IP du client	Adresse IP de l’appareil de l’utilisateur.
	Nom d’hôte accédé	Le service hôte auquel l’utilisateur a accédé via le réseau.
	ID de session	Numéro unique attribué à la session utilisateur.

L’exemple suivant montre un indicateur de risque personnalisé créé pour la source de données Apps and Desktops. L’indicateur de risque est déclenché lorsqu’un utilisateur lance un bureau virtuel ou une application virtuelle depuis un nouvel appareil pour la première fois.

ID d’appareil pour la première fois

Vous pouvez également ajouter une condition avec l’option Première fois pour une nouvelle entité. Dans ce cas, l’indicateur de risque est déclenché lorsqu’il détecte les événements de la nouvelle entité pour la première fois et lorsque les événements remplissent la condition définie.

L’exemple suivant montre une condition définie pour l’indicateur de risque personnalisé et l’option Première fois pour un nouvel ID d’appareil activée. L’indicateur de risque est déclenché lorsqu’un utilisateur situé en Inde lance une session de bureau virtuel depuis un nouvel appareil pour la première fois.

Première fois avec condition

Excessif : L’indicateur de risque est déclenché une fois les conditions suivantes remplies :
- Les événements remplissent les conditions définies.
- Les événements se produisent un nombre spécifié de fois pendant la période spécifiée.
Fréquent : L’indicateur de risque est déclenché une fois les conditions suivantes remplies :
- Les événements remplissent les conditions définies.
- Les événements se produisent un nombre spécifié de fois pendant la période spécifiée.
- Le modèle d’événement se répète un nombre spécifié de fois.

Sélection de la catégorie de risque

Sélectionnez la catégorie de risque pour votre indicateur de risque personnalisé.

Les indicateurs de risque sont regroupés en fonction du type d’exposition au risque de l’indicateur de risque personnalisé. Pour obtenir de l’aide sur la sélection de la catégorie de risque, consultez Catégories de risque.

Sélection de la gravité

La gravité indique le niveau de sérieux d’un événement risqué, détecté par l’indicateur de risque. Lorsque vous créez un indicateur de risque personnalisé, sélectionnez une gravité : élevée, moyenne ou faible.

Si vous appliquez un modèle, l’option de gravité est présélectionnée. Vous pouvez modifier cette présélection en fonction de votre cas d’utilisation.

Opérateurs pris en charge pour la définition d’une condition

Vous pouvez utiliser les opérateurs suivants lors de la définition d’une condition.

Opérateur	Description	Exemple	Sortie
	Attribue une valeur à la requête de recherche.	User-Name : John	Affiche les événements pour l’utilisateur John.
=	Attribue une valeur à la requête de recherche.	User-Name = John	Affiche les événements pour l’utilisateur John.
~	Recherche des valeurs similaires.	User-Name ~ test	Affiche les événements ayant des noms d’utilisateur similaires.
””	Encadre les valeurs séparées par des espaces.	User-Name = “John Smith”	Affiche les événements pour l’utilisateur John Smith.
<, >	Recherche une valeur relationnelle.	Data Volume > 100	Affiche les événements où le volume de données est supérieur à 100 Go.
AND	Recherche les valeurs où les deux conditions sont vraies.	User-Name : John AND Data Volume > 100	Affiche les événements de l’utilisateur John où le volume de données est supérieur à 100 Go.
*	Recherche les valeurs qui correspondent au caractère zéro ou plusieurs fois.	User-Name = John*	Affiche les événements pour tous les noms d’utilisateur qui commencent par John.
		User-Name = John	Affiche les événements pour tous les noms d’utilisateur qui contiennent John.
		User-Name = *Smith	Affiche les événements pour tous les noms d’utilisateur qui se terminent par Smith.
!~	Vérifie les événements utilisateur pour le modèle correspondant que vous spécifiez. Cet opérateur NOT LIKE renvoie les événements qui ne contiennent pas le modèle correspondant n’importe où dans la chaîne d’événement.	User-Name !~ John	Affiche les événements pour les utilisateurs à l’exception de John, John Smith, ou tout autre utilisateur contenant le nom correspondant « John ».
!=	Vérifie les événements utilisateur pour la chaîne exacte que vous spécifiez. Cet opérateur NOT EQUAL renvoie les événements qui ne contiennent pas la chaîne exacte n’importe où dans la chaîne d’événement.	Country != USA	Affiche les événements pour les pays à l’exception des États-Unis.
IN	Attribue plusieurs valeurs à une dimension pour obtenir les événements liés à une ou plusieurs valeurs.	User-Name IN (John, Kevin)	Trouve tous les événements liés à John ou Kevin.
NOT IN	Attribue plusieurs valeurs à une dimension et trouve les événements qui ne contiennent pas les valeurs spécifiées.	User-Name NOT IN (John, Kevin)	Trouve les événements pour tous les utilisateurs à l’exception de John et Kevin.
IS EMPTY	Vérifie la valeur nulle ou vide pour une dimension. Cet opérateur ne fonctionne que pour les dimensions de type chaîne telles que `App-Name`, `Browser` et `Country`. Il ne fonctionne pas pour les dimensions de type non-chaîne (numérique) telles que `Upload-File-Size`, `Download-File-Size` et `Client-IP`.	Country IS EMPTY	Trouve les événements où le nom du pays n’est pas disponible ou vide (non spécifié).
IS NOT EMPTY	Vérifie la valeur non nulle ou une valeur spécifique pour une dimension. Cet opérateur ne fonctionne que pour les dimensions de type chaîne telles que `App-Name`, `Browser` et `Country`. Il ne fonctionne pas pour les dimensions de type non-chaîne (numérique) telles que `Upload-File-Size`, `Download-File-Size` et `Client-IP`.	Country IS NOT EMPTY	Trouve les événements où le nom du pays est disponible ou spécifié.
OR	Recherche les valeurs où l’une ou les deux conditions sont vraies.	(User-Name = `John` OR User-Name = `Smith`) AND Event-Type = “Session.Logon”	Affiche les événements `Session.Logon` pour tous les noms d’utilisateur qui commencent par John ou se terminent par Smith.

Remarque

Pour l’opérateur NOT EQUAL, lorsque vous saisissez les valeurs des dimensions dans votre condition, utilisez les valeurs exactes disponibles sur la page de recherche en libre-service pour une source de données. Les valeurs de dimension sont sensibles à la casse.

Modification d’un indicateur de risque personnalisé

Accédez à Sécurité > Indicateurs de risque personnalisés.
Sélectionnez l’indicateur de risque personnalisé que vous souhaitez modifier.
Sur la page Modifier l’indicateur, modifiez les informations selon vos besoins.
Cliquez sur Enregistrer les modifications.

Remarque

Si vous modifiez les attributs tels que la condition, la catégorie de risque, la gravité et le nom d’un indicateur de risque personnalisé existant, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé (avec les anciens attributs) qui ont été déclenchées pour l’utilisateur.

Par exemple, vous avez créé un indicateur de risque personnalisé avec la condition Pays != Inde. Ainsi, cet indicateur de risque personnalisé est déclenché lorsqu’un utilisateur se connecte depuis l’extérieur de l’Inde. Maintenant, vous modifiez la condition de l’indicateur de risque personnalisé en Pays != “États-Unis”. Dans ce cas, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé avec la condition Pays != Inde sur les chronologies des utilisateurs qui ont déclenché l’indicateur de risque.

Suppression d’un indicateur de risque personnalisé

Accédez à Sécurité > Indicateurs de risque personnalisés.
Sélectionnez l’indicateur de risque personnalisé que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue, confirmez votre demande de suppression de l’indicateur de risque personnalisé.

Remarque

Si vous supprimez un indicateur de risque personnalisé, sur la chronologie de l’utilisateur, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé qui ont été déclenchées pour l’utilisateur.

Par exemple, vous supprimez un indicateur de risque personnalisé existant avec la condition Pays != Inde. Dans ce cas, vous pouvez toujours afficher les occurrences précédentes de l’indicateur de risque personnalisé avec la condition Pays != Inde sur les chronologies des utilisateurs qui ont déclenché l’indicateur de risque.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Indicateurs de risque personnalisés

September 16, 2025

Contributeur:

C C

September 16, 2025

Contributeur:

C C

Dans cet article

Indicateurs de risque personnalisés préconfigurés
Page des indicateurs de risque personnalisés
Analyse d’un indicateur de risque personnalisé
Actions que vous pouvez appliquer à l’utilisateur
Modèles d’indicateurs de risque personnalisés
Création d’un indicateur de risque personnalisé
Opérateurs pris en charge pour la définition d’une condition
Modification d’un indicateur de risque personnalisé
Suppression d’un indicateur de risque personnalisé

Cela vous a-t-il été utile ?