Citrix Analytics for Security

Indicateurs et stratégies de risque personnalisés préconfigurés

Citrix Analytics for Security fournit une liste d’ indicateurs de risque personnalisés préconfigurés et une stratégie pour vous aider à surveiller la sécurité de votre infrastructure Citrix. Les conditions de ces indicateurs de risque personnalisés préconfigurés et de la stratégie sont déjà définies en fonction de scénarios de risque de sécurité spécifiques tels que les utilisateurs compromis, les menaces internes et l’exfiltration de données. Vous pouvez également modifier ces conditions préconfigurées ou ajouter vos propres conditions en fonction de vos exigences de sécurité et utiliser les indicateurs de risque personnalisés pour atténuer les risques.

Actuellement, les indicateurs de risque personnalisés préconfigurés sont disponibles pour les scénarios suivants :

  • Géofencing

  • Premier accès

Indicateurs de risque personnalisés préconfigurés pour le scénario de géorepérage

Utilisez les indicateurs de risque personnalisés préconfigurés suivants pour détecter les événements utilisateur provenant de l’extérieur des zones géo-clôturées.

  • La session CVAD débute en dehors du périmètre de géofencing

  • GW-Geofence crossing

Les indicateurs de risque personnalisés préconfigurés sont déclenchés chaque fois que les utilisateurs accèdent aux produits Citrix en dehors de leur pays d’exploitation habituel ou de la géofence. Par défaut, la géofence est définie sur « États-Unis ». Vous pouvez définir le pays de votre choix en tant que géofence.

Remarque

La session CVAD démarrée en dehors de l’indicateur de risque de géofence est liée aux paramètres de géolocalisation de la fonctionnalité Access Assurance Location. Vous ne pouvez donc pas modifier directement les pays géoréférencés dans l’état de l’indicateur de risque. Pour mettre à jour les pays géoréférencés dans l’indicateur de risque, sélectionnez les pays dans les paramètres de Geofence du tableau de bord Access Assurance Location. Pour plus d’informations, consultez le tableau de bord de l’emplacement Access Assurance.

Pour afficher les indicateurs de risque personnalisés préconfigurés, sélectionnez Sécurité > Indicateurs de risque personnalisés.

Par défaut, les indicateurs de risque personnalisés préconfigurés sont désactivés. Utilisez le bouton STATUS pour les activer.

Indicateurs de risque personnalisés préconfigurés

Le tableau suivant décrit les différents indicateurs de risque personnalisés préconfigurés pour le géorepérage.

Nom de l’indicateur de risque personnalisé Scénario Conditions de l’indicateur personnalisé Source de données Catégorie de risque
La session CVAD débute en dehors du périmètre de géofencing L’utilisateur a démarré une session virtuelle en dehors de son pays d’exploitation Event-Type = Session.logon Country != “United States” Application Citrix Workspace Utilisateurs compromis
GW-Geofence crossing L’utilisateur a réussi l’authentification depuis l’extérieur de son pays d’opération Event-Type = “VPN_AI” AND Country != “United States” Citrix Gateway (local) Utilisateurs compromis

Stratégie préconfigurée pour le scénario de géofencing

Citrix fournit une stratégie préconfigurée qui applique l’action Demander une réponse à l’utilisateur final à un compte utilisateur chaque fois que celui-ci démarre une session virtuelle depuis un autre pays que son pays d’opération. L’utilisateur reçoit un e-mail et, en fonction de la réponse de l’utilisateur, une action appropriée est entreprise, telle que l’ajout de l’utilisateur à la liste de suivi ou la notification de l’administrateur pour une action ultérieure. Pour plus d’informations, consultez Demander une réponse de l’utilisateur final.

Pour afficher la stratégie préconfigurée, sélectionnez Sécurité > Stratégies.

Stratégie préconfigurée

Le tableau suivant décrit la stratégie préconfigurée de géorepérage.

Nom de la stratégie Scénario Condition de stratégie Action appliquée
Début de la session en dehors de la clôture géographique Possibilité pour un administrateur de valider la légitimité de l’utilisateur via l’action « Demander une réponse de l’utilisateur final » lorsque l’utilisateur démarre la session virtuelle en dehors de son pays d’opération À utiliser avec un indicateur de risque personnalisé préconfiguré - « Session CVAD démarrée en dehors de la géofence » Demande de réponse de l’utilisateur final
      En fonction de la réponse de l’utilisateur suivante, l’action correspondante est appliquée 
      Si l’utilisateur ne reconnaît pas l’activité : Ajouter à la liste de suivi
      Si l’utilisateur reconnaît l’activité : aucune action n’est requise
      Si l’utilisateur ne répond pas dans les 60 minutes suivant la réception de l’e-mail : Ajouter l’utilisateur à la liste de suivi

Remarque

L’action Demander une réponse de l’utilisateur final est prise en charge uniquement dans la région États-Unis. Par conséquent, si votre organisation est intégrée dans la région de l’Union européenne dans Citrix Cloud, la stratégie préconfigurée n’est pas appliquée à votre compte. Pour utiliser la stratégie préconfigurée, modifiez la stratégie et sélectionnez une autre action de votre choix.

Créez votre propre stratégie avec des indicateurs de risque personnalisés préconfigurés pour le géorepérage

Vous pouvez également créer vos propres stratégies avec ces indicateurs de risque personnalisés préconfigurés et appliquer des actions telles que verrouiller des utilisateurs ou déconnecter des utilisateurs chaque fois que les indicateurs sont déclenchés. Pour plus d’informations sur la création de stratégies, consultez la section Configurer des stratégies et des actions.

L’exemple suivant illustre une stratégie qui bloque les utilisateurs qui tentent d’accéder aux services Citrix depuis l’extérieur des États-Unis. L’accès utilisateur est verrouillé si l’utilisateur ne reconnaît pas son activité d’accès.

Condition : passage à niveau GW-Geofence

Action : demande de réponse de l’utilisateur final

Action suivante : Verrouiller l’utilisateur s’il ne reconnaît pas l’activité

Exemple de géorepérage

Remarque

L’action Demander une réponse de l’utilisateur final est prise en charge uniquement dans la région États-Unis. Par conséquent, si votre organisation est intégré à la région Union européenne, sélectionnez une autre action de votre choix au lieu de l’action Demander une réponse de l’utilisateur final.

Indicateurs de risque personnalisés préconfigurés pour le premier scénario d’accès

Utilisez les indicateurs de risque personnalisés suivants pour détecter les événements liés aux utilisateurs dans les scénarios de premier accès :

  • Accès au CVAD pour la première fois depuis un nouvel appareil

  • Accès Gateway pour la première fois à partir d’une nouvelle adresse IP

Par défaut, ces indicateurs de risque personnalisés préconfigurés sont dans l’état activé. Utilisez le bouton STATUS si vous souhaitez les désactiver.

Liste des premiers accès ci

Le tableau suivant décrit les indicateurs de risque personnalisés préconfigurés pour un premier accès.

Nom de l’indicateur personnalisé Scénario Conditions préconfigurées Source de données Catégorie de risque
Accès au CVAD pour la première fois depuis un nouvel appareil Lorsqu’un utilisateur de l’application Citrix Workspace se connecte à partir de l’un des éléments suivants  Les conditions suivantes sont activées par défaut  Citrix Virtual Apps and Desktops sur site et Citrix DaaS (anciennement le Citrix Virtual Apps and Desktops Service) Utilisateurs compromis
  Un nouvel appareil La première fois pour un nouvel identifiant d’appareil.    
  Un appareil existant qui n’a pas été utilisé au cours des 90 derniers jours. Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS")    
Accès Gateway pour la première fois à partir d’une nouvelle adresse IP Lorsqu’un utilisateur Citrix Gateway se connecte correctement à partir de l’un des éléments suivants Les conditions suivantes sont activées par défaut  Citrix Gateway Utilisateurs compromis
  Une nouvelle adresse IP publique La première fois pour un nouveau client IP    
  Une adresse IP publique existante qui n’a pas été utilisée au cours des 90 derniers jours. Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1    

Dans la barre de conditions, vous pouvez également ajouter vos propres conditions en plus des conditions préconfigurées pour identifier les menaces en fonction de vos besoins.

Par exemple, si vous souhaitez identifier les événements utilisateur d’un pays particulier, vous pouvez ajouter la dimension pays avec la condition préconfigurée :

  • Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States”

  • Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”

Indicateurs et stratégies de risque personnalisés préconfigurés