Citrix Analytics for Security

Indicateurs de risque de Citrix Endpoint Management

Appareil avec des applications sur la liste noire détectées

Citrix Analytics détecte les menaces d’accès en fonction de l’activité sur un appareil doté d’applications sur liste noire et déclenche l’indicateur de risque correspondant.

L’indicateur de risque Appareil avec des applications sur liste noire détectées est déclenché lorsque le service Endpoint Management détecte une application sur la liste noire pendant l’inventaire des logiciels. L’alerte garantit que seules les applications autorisées sont exécutées sur les appareils qui se trouvent sur le réseau de votre organisation.

Le facteur de risque associé à l’indicateur de risque de l’appareil dont les applications sont répertoriées sur la liste noire sont les autres indicateurs de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque détecté de l’appareil avec des applications sur la liste noire est-il déclenché ?

L’indicateur de risque de détection d’un appareil avec des applications sur liste noire est signalé lorsque des applications en liste noire sont détectées sur l’appareil d’un utilisateur. Lorsque le service Endpoint Management détecte une ou plusieurs applications sur la liste noire sur un appareil lors de l’inventaire logiciel, un événement est envoyé à Citrix Analytics.

Citrix Analytics surveille ces événements et met à jour le score de risque de l’utilisateur. En outre, il ajoute une entrée d’indicateur de risque détectée par les applications sur liste noire à la chronologie des risques de l’utilisateur.

Comment analyser l’appareil avec des applications sur la liste noire détecté indicateur de risque ?

Prenons l’exemple de l’utilisateur Andrew Jackson, qui a utilisé un appareil sur lequel des applications ont été récemment installées sur la liste noire. Endpoint Management signale cette condition à Citrix Analytics, qui affecte un score de risque mis à jour à Andrew Jackson.

Dans la chronologie des risques d’Andrew Jackson, vous pouvez sélectionner l’indicateur de risque de détection de l’appareil signalé avec les applications sur liste noire . La raison de l’événement s’affiche avec des détails tels que la liste des applications sur la liste noire, la date à laquelle Endpoint Management a détecté l’application sur la liste noire, etc.

Pour afficher l’indicateur de risque détecté pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur concerné.

Appareil avec des applications sur la liste noire détectées

  • Dans la section WHAT HAPPENED, vous pouvez consulter le résumé de l’événement. Vous pouvez afficher le nombre d’appareils avec des applications sur liste noire détectés par le service Endpoint Management et l’heure à laquelle les événements se sont produits.

    Un appareil doté d'applications sur liste noire a détecté ce qui s'

  • Dans la section EVENT DETAILS — BLACKLISTED APP DEVICE ACCESS, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure détectée : lorsque la présence d’applications sur liste noire est signalée par Endpoint Management.

    • Applications sur liste noire : les applications de la liste noire sur l’appareil.

    • Appareil : appareil mobile utilisé.

    • ID de l’appareil : informations sur l’ID de l’appareil utilisé pour ouvrir une session.

    • OS : système d’exploitation de l’appareil mobile.

      Détails des événements détectés sur un appareil avec des applications sur la liste noire

Remarque

En plus d’afficher les détails sous forme de tableau, vous pouvez cliquer sur la flèche en regard de l’instance d’une alerte pour afficher plus de détails.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Appareil jailbreaké ou rooté détecté

Citrix Analytics détecte les menaces d’accès en fonction de l’activité des appareils jailbreakés ou rootés et déclenche l’indicateur de risque correspondant.

L’indicateur de risque d’ appareil jailbreaké ou rooté est déclenché lorsqu’un utilisateur utilise un appareil jailbreaké ou rooté pour se connecter au réseau. Secure Hub détecte le périphérique et signale l’incident au service Endpoint Management. L’alerte garantit que seuls les utilisateurs et appareils autorisés se trouvent sur le réseau de votre organisation.

Le facteur de risque associé à l’indicateur de risque de périphérique jailbreaké ou rooté est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque détecté par l’appareil jailbreaké ou rooté est-il déclenché ?

Il est important que les responsables de la sécurité puissent s’assurer que les utilisateurs se connectent à l’aide d’appareils compatibles réseau. L’indicateur de risque détecté par un appareil jailbreaké ou rooté vous avertit des utilisateurs disposant d’appareils iOS jailbreakés ou d’appareils Android enracinés.

L’indicateur de risque d’ appareil jailbreaké ou rooté est déclenché lorsqu’un appareil inscrit devient jailbreaké ou rooté. Secure Hub détecte l’événement sur l’appareil et le signale au service Endpoint Management.

Comment analyser l’indicateur de risque détecté par un appareil jailbreaké ou rooté ?

Prenons l’exemple de l’utilisateur Georgina Kalou, dont l’appareil iOS inscrit a récemment été jailbreaké. Ce comportement suspect est détecté par Citrix Analytics et un score de risque est attribué à Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque détecté par un appareil jailbreaké ou rooté signalé. La raison de l’événement est affichée avec les détails tels que l’heure à laquelle l’indicateur de risque a été déclenché, la description de l’événement, etc.

Pour afficher l’indicateur de risque détecté par un appareil jailbreaké ou rooté pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Appareil jailbreaké ou rooté détecté

  • Dans la section WHAT HAPPENED, vous pouvez consulter le résumé de l’événement. Vous pouvez afficher le nombre d’appareils jailbreakés ou rootés détectés et l’heure à laquelle les événements se sont produits.

    Un appareil jailbreaké ou rooté a détecté ce qui s'est passé

  • Dans la section EVENT DETAILS — DEVICE DETETED, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure détectée. Heure de détection du périphérique jailbreaké ou rooté.

    • appareil. L’appareil mobile utilisé.

    • ID du périphérique. Informations sur l’ID de l’appareil utilisé pour ouvrir une session.

    • Système d’exploitation. Le système d’exploitation de l’appareil mobile.

    Détails de l'événement détecté par un périphérique jailbreaké ou enraciné

Remarque

Outre l’affichage des détails sous forme de tableau, cliquez sur la flèche en regard de l’instance d’une alerte pour afficher plus de détails.

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Périphérique non géré détecté

Citrix Analytics détecte les menaces d’accès en fonction de l’activité des appareils non gérés et déclenche l’indicateur de risque correspondant.

L’indicateur de risque détecté par un appareil non géré est déclenché lorsqu’un appareil est :

  • Nettoyage à distance en raison d’une action automatisée.

  • Effacé manuellement par l’administrateur.

  • Désinscrits par l’utilisateur.

Le facteur de risque associé à l’indicateur de risque détecté par un appareil non géré est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

Quand l’indicateur de risque détecté du périphérique non géré est-il déclenché ?

L’indicateur de risque détecté par un appareil non géré est signalé lorsque l’appareil d’un utilisateur n’est plus géré. Un périphérique passe à un état non géré en raison de :

  • Une action effectuée par l’utilisateur.

  • Action effectuée par l’administrateur Endpoint Management ou le serveur.

Dans votre organisation, le service Endpoint Management vous permet de gérer les appareils et les applications qui accèdent au réseau. Pour plus d’informations, consultez la section Modes de gestion.

Lorsque l’appareil d’un utilisateur passe à un état non géré, le service Endpoint Management détecte cet événement et le signale à Citrix Analytics. Le score de risque de l’utilisateur est mis à jour. L’indicateur de risque détecté par un appareil non géré est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque détecté de périphérique non géré ?

Prenons l’exemple de l’utilisateur Georgina Kalou, dont l’appareil est effacé à distance par une action automatisée sur le serveur. Endpoint Management signale cet événement à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou.

Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque détecté par un appareil non géré signalé. La raison de l’événement est affichée avec des détails tels que l’heure à laquelle l’indicateur de risque a été déclenché, la description de l’événement, etc.

Pour afficher l’indicateur de risque détecté par un appareil non géré pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Périphérique non géré détecté

  • Dans la section WHAT HAPPENED, vous pouvez consulter un résumé de l’événement. Vous pouvez afficher le nombre d’appareils non gérés détectés et l’heure à laquelle les événements se sont produits.

Un appareil non géré a détecté ce qui s'est

  • Dans la section EVENT DETAILS — DEVICE DETETED, les événements sont affichés sous forme graphique et tabulaire. Les événements sont également affichés sous forme d’entrées individuelles dans le graphique, et le tableau fournit les informations clés suivantes :

    • Heure détectée. Heure de détection de l’événement.

    • appareil. L’appareil mobile utilisé.

    • ID du périphérique. ID d’appareil de l’appareil mobile.

    • Système d’exploitation. Le système d’exploitation de l’appareil mobile.

      Détails de l'événement détecté par un appareil non géré

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque de Citrix Endpoint Management