Indicateurs de risque personnalisés et stratégies préconfigurés
Citrix Analytics for Security fournit une liste d’indicateurs de risque personnalisés et une stratégie préconfigurés pour vous aider à surveiller la sécurité de votre infrastructure Citrix. Les conditions de ces indicateurs de risque personnalisés et de cette stratégie préconfigurés sont déjà définies en fonction de scénarios de risque de sécurité spécifiques tels que les utilisateurs compromis, les menaces internes et l’exfiltration de données. Vous pouvez également modifier ces conditions préconfigurées ou ajouter vos propres conditions en fonction de vos exigences de sécurité et utiliser les indicateurs de risque personnalisés pour atténuer les risques.
Actuellement, les indicateurs de risque personnalisés préconfigurés sont disponibles pour les scénarios suivants :
-
Géorepérage
-
Premier accès
Indicateurs de risque personnalisés préconfigurés pour le scénario de géorepérage
Utilisez les indicateurs de risque personnalisés préconfigurés suivants pour détecter les événements utilisateur provenant de l’extérieur des zones géorepérées.
-
CVAD-Session started outside of geofence
-
GW-Geofence crossing
Les indicateurs de risque personnalisés préconfigurés sont déclenchés chaque fois que les utilisateurs accèdent aux produits Citrix® depuis l’extérieur de leur pays d’opération habituel ou de la zone de géorepérage. Par défaut, le géorepérage est défini sur « États-Unis ». Vous pouvez définir le pays de votre choix comme zone de géorepérage.
Remarque
L’indicateur de risque CVAD-Session started outside of geofence est lié aux Paramètres de géorepérage de la fonctionnalité Access Assurance Location. Par conséquent, vous ne pouvez pas modifier directement les pays géorepérés dans la condition de l’indicateur de risque. Pour mettre à jour les pays géorepérés dans l’indicateur de risque, sélectionnez les pays dans les Paramètres de géorepérage du tableau de bord Access Assurance Location. Pour plus d’informations, consultez le tableau de bord de localisation d’assurance d’accès.
Pour afficher les indicateurs de risque personnalisés préconfigurés, sélectionnez Sécurité > Indicateurs de risque personnalisés.
Par défaut, les indicateurs de risque personnalisés préconfigurés sont désactivés. Utilisez le bouton ÉTAT pour les activer.
Le tableau suivant décrit les différents indicateurs de risque personnalisés préconfigurés pour le géorepérage.
| Nom de l’indicateur de risque personnalisé | Scénario | Conditions de l’indicateur personnalisé | Source de données | Catégorie de risque |
|---|---|---|---|---|
| CVAD-Session started outside of geofence | L’utilisateur a démarré une session virtuelle en dehors de son pays d’opération | Event-Type = Session.logon Country != “United States” | application Citrix Workspace | Utilisateurs compromis |
| GW-Geofence crossing | L’utilisateur s’est authentifié avec succès en dehors de son pays d’opération | Event-Type = “VPN_AI” AND Country != “United States” | Citrix Gateway (sur site) | Utilisateurs compromis |
Stratégie préconfigurée pour le scénario de géorepérage
Citrix fournit une stratégie préconfigurée qui applique l’action Demander une réponse à l’utilisateur final à un compte utilisateur chaque fois que l’utilisateur démarre une session virtuelle en dehors de son pays d’opération. L’utilisateur reçoit un e-mail et, en fonction de sa réponse, une action appropriée est entreprise, telle que l’ajout de l’utilisateur à la liste de surveillance ou la notification de l’administrateur pour une action ultérieure. Pour plus d’informations, consultez Demander une réponse à l’utilisateur final.
Pour afficher la stratégie préconfigurée, sélectionnez Sécurité > Stratégies.
Le tableau suivant décrit la stratégie préconfigurée pour le géorepérage.
| Nom de la stratégie | Scénario | Condition de la stratégie | Action appliquée |
|---|---|---|---|
| Démarrage de session en dehors du géorepérage | Possibilité pour un administrateur de valider la légitimité de l’utilisateur via l’action « Demander une réponse à l’utilisateur final » lorsque l’utilisateur démarre la session virtuelle en dehors de son pays d’opération | Utiliser avec l’indicateur de risque personnalisé préconfiguré « CVAD-Session started outside of geofence » | Demander une réponse à l’utilisateur final |
| En fonction de la réponse de l’utilisateur, l’action correspondante est appliquée | |||
| Si l’utilisateur ne reconnaît pas l’activité : Ajouter à la liste de surveillance | |||
| Si l’utilisateur reconnaît l’activité : Aucune action requise | |||
| Si l’utilisateur ne répond pas dans les 60 minutes suivant la réception de l’e-mail : Ajouter l’utilisateur à la liste de surveillance |
Remarque
L’action Demander une réponse à l’utilisateur final n’est prise en charge que dans la région des États-Unis. Par conséquent, si votre organisation est intégrée à la région de l’Union européenne dans Citrix Cloud™, la stratégie préconfigurée ne s’applique pas à votre compte. Pour utiliser la stratégie préconfigurée, modifiez la stratégie et sélectionnez une autre action de votre choix.
Créer votre propre stratégie avec des indicateurs de risque personnalisés préconfigurés pour le géorepérage
Vous pouvez également créer vos propres stratégies avec ces indicateurs de risque personnalisés préconfigurés et appliquer des actions telles que le verrouillage des utilisateurs ou la déconnexion des utilisateurs chaque fois que les indicateurs sont déclenchés. Pour plus d’informations sur la création de stratégies, consultez Configurer les stratégies et les actions.
L’exemple suivant montre une stratégie qui verrouille les utilisateurs qui tentent d’accéder aux services Citrix depuis l’extérieur des États-Unis. L’accès de l’utilisateur est verrouillé si l’utilisateur ne reconnaît pas son activité d’accès.
-
Condition : GW-Geofence crossing
-
Action : Demander une réponse à l’utilisateur final
-
Action suivante : Verrouiller l’utilisateur si l’utilisateur ne reconnaît pas l’activité
Remarque
L’action Demander une réponse à l’utilisateur final n’est prise en charge que dans la région des États-Unis. Par conséquent, si votre organisation est intégrée à la région de l’Union européenne, sélectionnez une autre action de votre choix au lieu de l’action Demander une réponse à l’utilisateur final.
Indicateurs de risque personnalisés préconfigurés pour le scénario de premier accès
Utilisez les indicateurs de risque personnalisés suivants pour détecter les événements utilisateur pour les scénarios de premier accès :
-
CVAD-First time access from new device
-
Gateway-First time access from new IP
Par défaut, ces indicateurs de risque personnalisés préconfigurés sont à l’état activé. Utilisez le bouton ÉTAT si vous souhaitez les désactiver.
Le tableau suivant décrit les indicateurs de risque personnalisés préconfigurés pour le premier accès.
| Nom de l’indicateur personnalisé | Scénario | Conditions préconfigurées | Source de données | Catégorie de risque |
|---|---|---|---|---|
| CVAD-First time access from new device | Lorsqu’un utilisateur de l’application Citrix Workspace se connecte à partir de l’un des éléments suivants | Les conditions suivantes sont activées par défaut | Citrix Virtual Apps and Desktops sur site et Citrix DaaS (anciennement service Citrix Virtual Apps and Desktops) | Utilisateurs compromis |
| Un nouvel appareil | La première fois pour un nouvel ID d’appareil. | |||
| Un appareil existant qui n’a pas été utilisé au cours des 90 derniers jours. | Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") |
|||
| Gateway-First time access from new IP | Lorsqu’un utilisateur de Citrix Gateway se connecte avec succès à partir de l’un des éléments suivants | Les conditions suivantes sont activées par défaut | Citrix Gateway | Utilisateurs compromis |
| Une nouvelle adresse IP publique | La première fois pour une nouvelle adresse IP client | |||
| Une adresse IP publique existante qui n’a pas été utilisée au cours des 90 derniers jours. | Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 |
Dans la barre de conditions, vous pouvez également ajouter vos propres conditions en plus des conditions préconfigurées pour identifier les menaces selon vos exigences.
Par exemple, si vous souhaitez identifier les événements utilisateur provenant d’un pays particulier, vous pouvez ajouter la dimension pays avec la condition préconfigurée :
-
Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States” -
Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”