Indicateurs de risque de Citrix Gateway
Échec de l’analyse EPA (End Point Analysis)
Citrix Analytics détecte les menaces basées sur l’accès utilisateur en fonction de l’activité des échecs d’analyse EPA et déclenche l’indicateur de risque correspondant.
Le facteur de risque associé à l’indicateur de risque d’échec de l’analyse End Point Analysis est l’autre indicateur de risque. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.
Quand l’indicateur de risque de défaillance du scan de l’EPA est-il déclenché ?
L’indicateur de risque d’échec de l’analyse EPA est signalé lorsqu’un utilisateur tente d’accéder au réseau à l’aide d’un appareil qui a échoué aux stratégies d’analyse EPA (End Point Analysis) de Citrix Gateway pour la pré-authentification ou la post-authentification.
Citrix Gateway détecte ces événements et les signale à Citrix Analytics. Citrix Analytics surveille tous ces événements pour détecter si l’utilisateur a eu trop d’échecs d’analyse EPA. Lorsque Citrix Analytics détermine des échecs d’analyse EPA excessifs pour un utilisateur, il met à jour le score de risque de l’utilisateur et ajoute une entrée d’indicateur de risque d’échec de l’analyse EPA à la chronologie des risques de l’utilisateur.
Comment analyser l’indicateur de risque des échecs d’analyse EPA ?
Prenons l’exemple de l’utilisateur Lemuel, qui a récemment essayé plusieurs fois d’accéder au réseau à l’aide d’un appareil qui a échoué à l’analyse EPA de Citrix Gateway. Citrix Gateway signale cet échec à Citrix Analytics, qui attribue un score de risque mis à jour à Lemuel. L’indicateur de risque de défaillance du scan de l’EPA est ajouté à la chronologie des risques de Lemuel Kildow.
Pour afficher l’entrée d’ échec de l’analyse EPA pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.
Dans la chronologie des risques de Lemuel Kildow, vous pouvez sélectionner le dernier indicateur de risque d’échec d’analyse EPA signalé pour l’utilisateur. Lorsque vous sélectionnez une entrée d’indicateur de risque de défaillance d’analyse EPA dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.
-
La section WHAT HAPPENED fournit un bref résumé de l’indicateur de risque de défaillance de l’analyse de l’EPA. Inclut également le nombre d’échecs d’analyse EPA après ouverture de session signalés au cours de la période sélectionnée.
-
La section DÉTAILS DE L’ÉVÉNEMENT — ÉCHECS DE L’ANALYSE inclut une visualisation chronologique des événements d’échec d’analyse EPA individuels qui se sont produits pendant la période sélectionnée. Il inclut également un tableau qui fournit les informations clés suivantes concernant chaque événement :
-
Le temps. Heure à laquelle l’échec de l’analyse EPA s’est produit.
-
Adresse IP du client. Adresse IP du client à l’origine de l’échec de l’analyse EPA.
-
IP de passerelle. Adresse IP de Citrix Gateway qui a signalé l’échec de l’analyse EPA.
-
FQDN. Le nom de domaine complet de Citrix Gateway.
-
Description de l’événement. Brève description de la raison de l’échec de l’analyse EPA.
-
Nom de la stratégie. Nom de la stratégie d’analyse EPA configuré sur Citrix Gateway.
-
Expression de sécurité. Expression de sécurité configurée sur Citrix Gateway.
-
Quelles actions pouvez-vous appliquer à l’utilisateur ?
Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :
-
Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.
-
Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.
-
Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.
-
Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.
Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.
Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.
Remarque
Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.
Échec excessif de l’authentification
Citrix Analytics détecte les menaces basées sur l’accès utilisateur en fonction des échecs d’authentification excessifs et déclenche l’indicateur de risque correspondant.
Le facteur de risque associé à l’indicateur de risque d’échecs d’authentification excessifs est les indicateurs de risque basés sur les échecs de connexion. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.
Quand l’indicateur de risque d’échecs d’authentification excessifs est-il déclenché ?
L’indicateur de risque d’échec de connexion est signalé lorsque l’utilisateur rencontre plusieurs échecs d’authentification Citrix Gateway au cours d’une période donnée. Les échecs d’authentification Citrix Gateway peuvent être des échecs d’authentification primaire, secondaire ou tertiaire, selon que l’authentification multifacteur est configurée pour l’utilisateur.
Citrix Gateway détecte tous les échecs d’authentification des utilisateurs et signale ces événements à Citrix Analytics. Citrix Analytics surveille tous ces événements pour détecter si l’utilisateur a eu trop d’échecs d’authentification. Lorsque Citrix Analytics détecte des échecs d’authentification excessifs, il met à jour le score de risque de l’utilisateur. L’indicateur de risque d’échecs d’authentification excessifs est ajouté à la chronologie des risques de l’utilisateur.
Comment analyser l’indicateur de risque d’échecs d’authentification excessifs ?
Prenons l’exemple de l’utilisateur Lemuel, qui a récemment échoué à plusieurs tentatives d’authentification du réseau. Citrix Gateway signale ces échecs à Citrix Analytics et un score de risque mis à jour est attribué à Lemuel. L’indicateur de risque d’échecs d’authentification excessifs est ajouté à la chronologie des risques de Lemuel Kildow.
Pour afficher l’entrée de l’indicateur de risque de défaillances d’authentification excessives pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.
Dans la chronologie des risques de Lemuel Kildow, vous pouvez sélectionner le dernier indicateur de risque d’échecs d’authentification excessifs signalé pour l’utilisateur. Lorsque vous sélectionnez l’entrée de l’indicateur de risque d’échecs d’authentification excessifs dans la chronologie des risques, un panneau d’informations détaillées correspondant apparaît dans le volet droit.
-
La section WHAT HAPPENED fournit un bref résumé de l’indicateur de risque, y compris le nombre d’échecs d’authentification survenus au cours de la période sélectionnée.
-
La section DÉTAILS DE L’ÉVÉNEMENT inclut une visualisation chronologique des événements d’échec d’authentification excessif qui se sont produits pendant la période sélectionnée. En outre, vous pouvez afficher les informations clés suivantes sur chaque événement :
-
Le temps. Heure à laquelle l’échec d’ouverture de session s’est produit.
-
Nombre d’erreurs. Nombre d’échecs d’authentification détectés pour l’utilisateur au moment de l’événement et au cours des 48 heures précédentes.
-
Description de l’événement. Brève description de la raison de l’échec de la connexion.
-
Quelles actions pouvez-vous appliquer à l’utilisateur ?
Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :
-
Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.
-
Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.
-
Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.
-
Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.
Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.
Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.
Remarque
Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.
Voyages impossibles
Citrix Analytics détecte les ouvertures de session d’un utilisateur comme risquées lorsque les ouvertures de session consécutives proviennent de deux pays différents au cours d’une période inférieure au temps de trajet prévu entre les pays.
Le scénario de temps de trajet impossible indique les risques suivants :
- Informations d’identification compromises : un attaquant distant vole les informations d’identification d’un utilisateur légitime.
- Informations d’identification partagées : différents utilisateurs utilisent les mêmes informations d’identification utilisateur.
Quand l’indicateur de risque de voyage impossible se déclenche-t-il ?
L’indicateur de risque de déplacement impossible évalue le temps et la distance estimée entre chaque paire d’ouvertures de session utilisateur consécutives, et se déclenche lorsque la distance est supérieure à ce qu’une personne peut éventuellement parcourir pendant cette période.
Remarque
Cet indicateur de risque contient également une logique visant à réduire les alertes de faux positifs pour les scénarios suivants qui ne reflètent pas l’emplacement réel des utilisateurs :
- Lorsque les utilisateurs ouvrent une session via Citrix Gateway à partir de connexions proxy.
- Lorsque les utilisateurs ouvrent une session via Citrix Gateway à partir de clients hébergés.
Comment analyser l’indicateur de risque impossible
Prenons l’exemple de l’utilisateur Adam Maxwell, qui se connecte à partir de deux emplacements : Bengaluru, en Inde, et Oslo, en Norvège, dans un délai d’une minute. Citrix Analytics détecte cet événement d’ouverture de session comme un scénario de voyage impossible et déclenche l’indicateur de risque de déplacement impossible . L’indicateur de risque est ajouté à la chronologie de risque d’Adam Maxwell et un score de risque lui est attribué.
Pour consulter la chronologie des risques d’Adam Maxwell, sélectionnez Sécurité > Utilisateurs. Dans le volet Utilisateurs risqués, sélectionnez l’utilisateur Adam Maxwell.
Dans la chronologie des risques d’Adam Maxwell, sélectionnez l’indicateur de risque de voyage impossible . Vous pouvez consulter les informations suivantes :
-
La section WHAT HAPPENED fournit un bref résumé de l’événement de voyage impossible.
-
La section DÉTAILS DE L’INDICATEUR fournit les emplacements à partir desquels l’utilisateur s’est connecté, la durée entre les ouvertures de session consécutives et la distance entre les deux emplacements.
-
La section EMPLACEMENT D’OUVERTURE DE SESSION - 30 DERNIERS JOURS affiche une vue cartographique géographique des lieux de voyage impossibles et des emplacements connus de l’utilisateur. Les données de localisation sont affichées pour les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher le nombre total d’ouvertures de session de chaque emplacement.
-
La section IMPOSSIBLE TRAVEL- EVENT DETAILS fournit les informations suivantes sur l’événement de voyage impossible :
- Heure : indique la date et l’heure des ouvertures de session.
- Système d’exploitation de l’appareil : indique le système d’exploitation de la machine utilisateur.
- IP du client : indique l’adresse IP de la machine utilisateur.
- Emplacement : indique l’emplacement depuis lequel l’utilisateur s’est connecté.
Quelles actions pouvez-vous appliquer à l’utilisateur ?
Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :
- Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.
- Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains d’entre eux.
- Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.
- Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de Gateway n’a pas déverrouillé le compte.
Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.
Pour appliquer les actions à l’utilisateur manuellement, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.
Remarque
Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.
Ouverture de session à partir d’une adresse IP suspecte
Citrix Analytics détecte les menaces d’accès des utilisateurs en fonction de l’activité de connexion à partir d’une adresse IP suspecte et déclenche cet indicateur de risque.
Le facteur de risque associé à l’indicateur de risque Ouverture de session à partir d’une adresse IP suspecte est l’indicateur de risque IP. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.
Quand l’indicateur de risque IP suspect est-il déclenché ?
L’indicateur de risque d’ouverture de session à partir d’une adresse IP suspecte est déclenché lorsqu’un utilisateur tente d’accéder au réseau à partir d’une adresse IP identifiée comme suspecte par Citrix Analytics. L’adresse IP est considérée comme suspecte en raison de l’une des conditions suivantes :
-
Est répertorié dans le flux externe sur la détection des menaces IP
-
A plusieurs enregistrements de connexion utilisateur à partir d’un emplacement inhabituel
-
Contient des tentatives de connexion excessives qui peuvent indiquer une attaque par force brute
Citrix Analytics surveille les événements de connexion reçus de Citrix Gateway et détecte si un utilisateur s’est connecté à partir d’une adresse IP suspecte. Lorsque Citrix Analytics détecte une tentative de connexion à partir d’une adresse IP suspecte, il met à jour le score de risque de l’utilisateur et ajoute une entrée d’indicateur de risque d’ouverture de session à partir d’une adresse IP suspecte à la chronologie des risques de l’utilisateur.
Comment analyser l’indicateur de risque IP suspect ?
Prenons l’exemple de l’utilisateur Lemuel, qui a tenté d’accéder au réseau à partir d’une adresse IP identifiée par Citrix Analytics comme suspecte. Citrix Gateway signale l’événement de connexion à Citrix Analytics, qui attribue un score de risque mis à jour à Lemuel. L’indicateur de risque de connexion à partir d’une adresse IP suspecte est ajouté à la chronologie des risques de Lemuel Kildow.
Pour afficher l’indicateur de risque IP suspect signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur. Dans la chronologie des risques de Lemuel Kildow, vous pouvez sélectionner la dernière connexion à partir de l’indicateur de risque IP suspect signalé pour l’utilisateur. Lorsque vous sélectionnez l’entrée d’indicateur de risque IP suspect d’ouverture de session dans la chronologie, un panneau d’informations détaillées correspondant apparaît dans le volet droit.
-
La section WHAT HAPPENED fournit un bref résumé de l’indicateur de risque Ouverture de session à partir d’une adresse IP suspecte. De plus, inclut le nombre de connexions à partir d’une adresse IP suspecte signalée au cours de la période sélectionnée.
-
La section IP suspecte fournit les informations suivantes :
-
IP suspecte. Adresse IP associée à une activité de connexion suspecte.
-
Emplacement. La ville, la région et le pays de l’utilisateur. Ces emplacements sont affichés en fonction de la disponibilité des données.
-
Risque potentiel au niveau de l’organisation. Indique tous les modèles d’activité IP suspecte que Citrix Analytics a récemment détectés dans votre organisation. Les modèles risqués incluent des échecs de connexion excessifs compatibles avec des tentatives de force brute potentielles et un accès inhabituel par plusieurs utilisateurs.
Si aucun modèle risqué n’est détecté pour une adresse IP de votre organisation, le message suivant s’affiche.
-
Intelligence communautaire. Fournit le score de menace et les catégories de menaces d’une adresse IP identifiée comme présentant un risque élevé dans le flux externe de renseignements sur les menaces IP. Citrix Analytics attribue un score de risque à l’adresse IP à haut risque. Le score de risque commence à 80.
Si aucune information sur les menaces n’est disponible sur une adresse IP dans le flux externe de renseignements sur les menaces IP, le message suivant s’affiche.
-
-
La section DÉTAILS DE L’ÉVÉNEMENT fournit les informations suivantes sur l’activité de connexion suspecte :
-
Le temps. Heure de l’activité de connexion suspecte.
-
Adresse IP du client. Adresse IP de l’appareil de l’utilisateur qui a été utilisé pour l’activité de connexion suspecte.
-
Système d’exploitation de l’appareil Le système d’exploitation du navigateur.
-
Navigateurd’appareils. Le navigateur Web utilisé pour l’activité de connexion suspecte.
-
Quelles actions pouvez-vous appliquer à l’utilisateur ?
Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :
-
Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.
-
Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.
-
Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.
-
Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.
Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.
Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.
Remarque
Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.
Ouverture de session suspecte
Remarques
Cet indicateur de risque remplace l’indicateur de risque Accès à partir d’un emplacement inhabituel.
Toutes les stratégies basées sur l’indicateur de risque d’accès à partir d’un emplacement inhabituel sont automatiquement liées à l’indicateur de risque d’ouverture de session suspecte.
Citrix Analytics détecte les ouvertures de session de l’utilisateur qui semblent inhabituelles ou risquées en fonction de plusieurs facteurs contextuels, définis conjointement par l’appareil, l’emplacement et le réseau utilisés par l’utilisateur.
Quand l’indicateur de risque d’ouverture de session suspecte est-il déclenché ?
L’indicateur de risque est déclenché par la combinaison des facteurs suivants, chaque facteur étant considéré comme potentiellement suspect en fonction d’une ou de plusieurs conditions.
Facteur | Conditions |
---|---|
Appareil inhabituel | L’utilisateur ouvre une session à partir d’un appareil dont la signature est différente de celle des appareils utilisés au cours des 30 derniers jours. La signature de l’appareil est basée sur le système d’exploitation de l’appareil et le navigateur utilisé. |
Emplacement inhabituel | Ouvrez une session à partir d’une ville ou d’un pays où l’utilisateur n’a pas ouvert de session au cours des 30 derniers jours. |
La ville ou le pays est géographiquement éloigné des emplacements d’ouverture de session récents (30 derniers jours). | |
Zéro ou minimum d’utilisateurs se sont connectés depuis la ville ou le pays au cours des 30 derniers jours. | |
Réseau insolite | Ouvrez une session à partir d’une adresse IP que l’utilisateur n’a pas utilisée au cours des 30 derniers jours. |
Ouvrez une session à partir d’un sous-réseau IP que l’utilisateur n’a pas utilisé au cours des 30 derniers jours. | |
Aucun ou un minimum d’utilisateurs se sont connectés depuis le sous-réseau IP au cours des 30 derniers jours. | |
Menace IP | L’adresse IP est identifiée comme présentant un risque élevé par le flux de renseignements sur les menaces de la communauté Webroot. |
Citrix Analytics a récemment détecté des activités d’ouverture de session très suspectes à partir de l’adresse IP d’autres utilisateurs. |
Comment analyser l’indicateur de risque d’ouverture de session suspecte
Prenons l’exemple de l’utilisateur Adam Maxwell, qui se connecte depuis l’Andhra Pradesh, en Inde, pour la première fois. Il utilise un appareil dont la signature est connue pour accéder aux ressources de l’organisation. Mais il se connecte à partir d’un réseau qu’il n’a pas utilisé depuis 30 jours.
Citrix Analytics détecte cet événement d’ouverture de session comme suspect car les facteurs tels que l’emplacement et le réseau s’écartent de son comportement habituel et déclenche l’indicateur de risque d’ouverture de session suspecte. L’indicateur de risque est ajouté à la chronologie des risques d’Adam Maxwell et un score de risque lui est attribué.
Pour afficher le temps de risque d’Adam Maxwell, sélectionnez Sécurité > Utilisateurs. Dans le volet Utilisateurs risqués, sélectionnez l’utilisateur Adam Maxwell.
Dans la chronologie des risques d’Adam Maxwell, sélectionnez l’indicateur de risque d’ ouverture de session suspecte . Vous affichez les informations suivantes :
-
La section WHAT HAPPENED fournit un bref résumé des activités suspectes, y compris les facteurs de risque et le moment de l’événement.
-
La section DÉTAILS DE CONNEXION fournit un résumé détaillé des activités suspectes correspondant à chaque facteur de risque. Chaque facteur de risque se voit attribuer un score qui indique le niveau de suspicion. Un seul facteur de risque n’indique pas un risque élevé de la part d’un utilisateur. Le risque global est basé sur la corrélation entre les multiples facteurs de risque.
Niveau de suspicion Indication 0–69 Le facteur semble normal et n’est pas considéré comme suspect. 70–89 Le facteur semble légèrement inhabituel et est considéré comme modérément suspect avec d’autres facteurs. 90–100 Le facteur est tout à fait nouveau ou inhabituel et est considéré comme très suspect par rapport à d’autres facteurs. -
L’ EMPLACEMENT D’OUVERTURE DE SESSION - 30 DERNIERS JOURS affiche une carte géographique des derniers emplacements connus et de l’emplacement actuel de l’utilisateur. Les données de localisation sont affichées pour les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher le nombre total d’ouvertures de session de chaque emplacement.
-
La section OUVERTURE DE SESSION SUSPECTE - DÉTAILS DE L’ÉVÉNEMENT fournit les informations suivantes sur l’événement d’ouverture de session suspect :
-
Heure : indique la date et l’heure de la connexion suspecte.
-
Système d’exploitation de l’appareil : indique le système d’exploitation de la machine utilisateur.
-
Navigateur de l’appareil : indique le navigateur Web utilisé pour se connecter à Citrix Gateway.
-
Quelles actions pouvez-vous appliquer à l’utilisateur ?
Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :
-
Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.
-
Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.
-
Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.
-
Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.
Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.
Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.
Remarque
Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.
Échec d’authentification inhabituel
Citrix Analytics détecte les menaces liées à l’accès lorsqu’un utilisateur a des échecs de connexion à partir d’une adresse IP inhabituelle et déclenche l’indicateur de risque correspondant.
Le facteur de risque associé à l’indicateur de risque d’authentification inhabituel est les indicateurs de risque basés sur l’échec de la connexion. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.
Quand l’indicateur d’échec d’authentification inhabituel est-il déclenché ?
Vous pouvez être averti lorsqu’un utilisateur de votre organisation a des échecs de connexion à partir d’une adresse IP inhabituelle qui est contraire à son comportement habituel.
Citrix Gateway détecte ces événements et les signale à Citrix Analytics. Citrix Analytics reçoit les événements et augmente le score de risque de l’utilisateur. L’indicateur de risque d’échec d’authentification inhabituel est ajouté à la chronologie des risques de l’utilisateur.
Comment analyser l’indicateur d’échec d’authentification inhabituel ?
Prenons l’exemple de l’utilisateur Georgina Kalou, qui se connecte régulièrement à Citrix Gateway à partir de ses réseaux domestiques et professionnels habituels. Un attaquant distant tente d’authentifier le compte de Georgina en devinant différents mots de passe, ce qui entraîne des échecs d’authentification provenant d’un réseau inconnu.
Dans ce scénario, Citrix Gateway signale ces événements à Citrix Analytics, qui attribue un score de risque mis à jour à Georgina Kalou. L’indicateur de risque d’échec d’authentification inhabituel est ajouté à la chronologie des risques de Georgina Kalou.
Dans la chronologie des risques de Georgina Kalou, vous pouvez sélectionner l’indicateur de risque d’échec d’authentification inhabituel signalé. La raison de l’événement est affichée avec des détails tels que l’heure et le lieu de l’événement.
-
Dans la section WHAT HAPPENED, vous pouvez consulter le bref résumé qui inclut le nombre total d’échecs d’authentification et l’heure de l’événement.
-
Dans la section ACTION RECOMMANDÉE, vous trouverez les actions suggérées qui peuvent être appliquées à l’indicateur de risque. Citrix Analytics for Security recommande les actions en fonction de la gravité du risque posé par l’utilisateur. La recommandation peut être l’une des actions suivantes ou une combinaison des actions suivantes :
-
Avertir l’administrateur (s)
-
Ajouter à la liste de surveillance
-
Créer une stratégie
Vous pouvez sélectionner une action en fonction de la recommandation. Vous pouvez également sélectionner une action que vous souhaitez appliquer en fonction de votre choix dans le menu Actions . Pour plus d’informations, consultez Appliquer une action manuellement.
-
-
Dans la section DÉTAILS DE L’ÉVÉNEMENT — RÉUSSITE ET ÉCHECS DE LA CONNEXION, vous pouvez afficher un graphique indiquant les échecs d’authentification inhabituels, ainsi que toute autre activité d’ouverture de session détectée pendant la même durée.
-
Dans la section DÉTAILS DE L’AUTHENTIFICATION INHABITUELLE, le tableau fournit les informations suivantes sur les échecs d’authentification inhabituels :
-
Heure de connexion : date et heure de l’événement
-
IP du client : adresse IP de la machine utilisateur
-
Lieu : lieu à partir duquel l’événement s’est produit
-
Motif de l’échec : raison de l’échec de l’authentification
-
-
Dans la section ACTIVITÉ D’AUTHENTIFICATION DE L’UTILISATEUR — 30 JOURS PRÉCÉDENTS, le tableau fournit les informations suivantes sur les 30 derniers jours d’activité d’authentification de l’utilisateur :
-
Sous-réseau : adresse IP du réseau utilisateur.
-
Succès : nombre total d’événements d’authentification réussis et heure du dernier événement de réussite pour l’utilisateur.
-
Échec : nombre total d’événements d’authentification ayant échoué et heure de l’événement échoué le plus récent pour l’utilisateur.
-
Emplacement : emplacement à partir duquel l’événement d’authentification s’est produit.
-
Quelles actions pouvez-vous appliquer à l’utilisateur ?
Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :
-
Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.
-
Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.
-
Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur Citrix Gateway n’a pas effacé l’action Déconnecter l’utilisateur.
-
Verrouiller l’utilisateur : lorsque le compte d’un utilisateur est verrouillé en raison d’un comportement anormal, il ne peut accéder à aucune ressource via Citrix Gateway tant que l’administrateur de la passerelle n’a pas déverrouillé le compte.
Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.
Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Actions, sélectionnez une action et cliquez sur Appliquer.
Remarque
Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.