Indicateurs de risque utilisateur Citrix
Remarque
Attention : Citrix Content Collaboration et ShareFile ont atteint leur fin de vie et ne sont plus disponibles pour les utilisateurs.
Les indicateurs de risque utilisateur sont des activités utilisateur qui semblent suspectes ou qui peuvent constituer une menace pour la sécurité de votre organisation. Ces indicateurs de risque couvrent tous les produits Citrix utilisés dans votre déploiement. Les indicateurs de risque sont déclenchés lorsque le comportement de l’utilisateur s’écarte de la normale. Chaque indicateur de risque peut être associé à un ou plusieurs facteurs de risque. Ces facteurs de risque vous aident à déterminer le type d’anomalies dans les événements utilisateur. Les indicateurs de risque et les facteurs de risque associés déterminent le score de risque d’un utilisateur.
Les facteurs de risque associés aux indicateurs de risque sont les suivants :
-
Indicateurs de risque basés sur l’appareil : se déclenche lorsqu’un utilisateur se connecte à partir d’un appareil considéré comme inhabituel en fonction de l’historique des appareils de l’utilisateur.
-
Indicateurs de risque basés sur la localisation : se déclenche lorsqu’un utilisateur se connecte à partir d’une adresse IP associée à un emplacement considéré comme inhabituel en fonction de l’historique des positions de l’utilisateur.
-
Indicateurs de risque basés sur l’adresse IP : se déclenche lorsqu’un utilisateur tente d’accéder à des ressources à partir d’une adresse IP identifiée comme suspecte, que l’adresse IP soit inhabituelle ou non pour l’utilisateur.
-
Indicateurs de risque basés sur les échecs de connexion : se déclenche lorsqu’un utilisateur présente un schéma d’échecs de connexion excessifs ou inhabituels.
-
Indicateurs de risque basés surles données : se déclenche lorsqu’un utilisateur tente d’exfiltrer des données hors d’une session Workspace. Les comportements des utilisateurs observés incluent le copier-coller des événements, les modèles de téléchargement, etc.
-
Indicateurs de risque basés sur les fichiers : déclenche lorsque le comportement d’un utilisateur concernant l’accès aux fichiers sur Content Collaboration est considéré comme inhabituel en fonction de son modèle d’accès historique. Les comportements des utilisateurs observés incluent les modèles de téléchargement, l’accès à du contenu sensible, les activités indiquant la présence de ransomwares, etc.
-
Indicateurs de risque personnalisés : se déclenche lorsqu’une condition préconfigurée ou une condition définie par l’utilisateur est remplie. Pour plus d’informations, consultez les articles suivants :
-
Autres indicateurs de risque : indicateurs de risque qui n’appartiennent à aucun des facteurs de risque prédéfinis tels que les indicateurs de risque basés sur l’appareil, la localisation et les défaillances de connexion.
Les indicateurs de risque sont également regroupés en catégories de risque en fonction des risques similaires. Pour plus d’informations, consultez Catégories de risques.
Le tableau suivant montre la corrélation entre les indicateurs de risque, les facteurs de risque et les catégories de risque.
| Produits | Indicateur de risque utilisateur | Facteur de risque | Catégorie de risque |
|---|---|---|---|
| Citrix Endpoint Management | Appareil avec des applications sur la liste noire détectées | Autres indicateurs de risque | Points de terminaison compromis |
| Appareil jailbreaké ou rooté détecté | Autres indicateurs de risque | Points de terminaison compromis | |
| Périphérique non géré détecté | Autres indicateurs de risque | Points de terminaison compromis | |
| Citrix Gateway | Échec de l’analyse EPA (End Point Analysis) | Autres indicateurs de risque | Utilisateurs compromis |
| Échec excessif de l’authentification | Indicateurs de risque basés sur les échecs de connexion | Utilisateurs compromis | |
| Voyages impossibles | Indicateurs de risque basés sur la localisation | Utilisateurs compromis | |
| Ouverture de session à partir d’une adresse IP suspecte | Indicateurs de risque basés sur IP | Utilisateurs compromis | |
| Ouverture de session suspecte | Indicateurs de risque basés sur les appareils, indicateurs de risque basés sur IP, indicateurs de risque basés sur la localisation et autres indicateurs de risque | Utilisateurs compromis | |
| Échec d’authentification inhabituel | Indicateurs de risque basés sur les échecs de connexion | Utilisateurs compromis | |
| Citrix Secure Private Access | Tentative d’accès à une URL de liste noire | Autres indicateurs de risque | Menaces internes |
| Téléchargement excessif de données | Autres indicateurs de risque | Menaces internes | |
| Accès à un site Web risqué | Autres indicateurs de risque | Menaces internes | |
| Volume de téléchargement inhabituel | Autres indicateurs de risque | Menaces internes | |
| Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) et Citrix Virtual Apps and Desktops sur site | Voyages impossibles | Indicateurs de risque basés sur la localisation | Utilisateurs compromis |
| Exfiltration potentielle des données | Indicateurs de risque basés sur des données | Exfiltration de données | |
| Ouverture de session suspecte | Indicateurs de risque basés sur les appareils, indicateurs de risque basés sur IP, indicateurs de risque basés sur la localisation et autres indicateurs de risque | Utilisateurs compromis |
Vous pouvez marquer manuellement les indicateurs de risque comme utiles ou inutiles. Pour plus d’informations, voir Fournir des commentaires sur les indicateurs de risque utilisateur.