Citrix Analytics for Security

Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS

Voyages impossibles

Citrix Analytics détecte les ouvertures de session d’un utilisateur comme risquées lorsque les ouvertures de session consécutives proviennent de deux pays différents au cours d’une période inférieure au temps de trajet prévu entre les pays.

Le scénario de temps de trajet impossible indique les risques suivants :

  • Informations d’identification compromises : un attaquant distant vole les informations d’identification d’un utilisateur légitime.

  • Informations d’identification partagées : différents utilisateurs utilisent les mêmes informations d’identification utilisateur.

Quand l’indicateur de risque de voyage impossible se déclenche-t-il ?

L’indicateur de risque de déplacement impossible évalue le temps et la distance estimée entre chaque paire d’ouvertures de session utilisateur consécutives, et se déclenche lorsque la distance est supérieure à ce qu’une personne peut éventuellement parcourir pendant cette période.

Remarque

Cet indicateur de risque contient également une logique visant à réduire les alertes de faux positifs pour les scénarios suivants qui ne reflètent pas l’emplacement réel des utilisateurs :

  • Lorsque les utilisateurs se connectent à des applications et bureaux virtuels à partir de connexions proxy.
  • Lorsque les utilisateurs se connectent à des applications et des bureaux virtuels à partir de clients hébergés.

Comment analyser l’indicateur de risque impossible

Prenons l’exemple de l’utilisateur Adam Maxwell, qui se connecte à partir de deux emplacements : Moskva, en Russie, et Hohhot, en Chine, dans un délai d’une minute. Citrix Analytics détecte cet événement d’ouverture de session comme un scénario de voyage impossible et déclenche l’indicateur de risque de déplacement impossible . L’indicateur de risque est ajouté à la chronologie de risque d’Adam Maxwell et un score de risque lui est attribué.

Pour consulter la chronologie des risques d’Adam Maxwell, sélectionnez Sécurité > Utilisateurs. Dans le volet Utilisateurs risqués, sélectionnez l’utilisateur Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, sélectionnez l’indicateur de risque de voyage impossible . Vous pouvez consulter les informations suivantes :

  • La section WHAT HAPPENED fournit un bref résumé de l’événement de voyage impossible.

    Que s'est-il passé

  • La section DÉTAILS DE L’INDICATEUR fournit les emplacements à partir desquels l’utilisateur s’est connecté, la durée entre les ouvertures de session consécutives et la distance entre les deux emplacements.

    Détails des indicateurs

  • La section EMPLACEMENT D’OUVERTURE DE SESSION - 30 DERNIERS JOURS affiche une vue cartographique géographique des lieux de voyage impossibles et des emplacements connus de l’utilisateur. Les données de localisation sont affichées pour les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher le nombre total d’ouvertures de session de chaque emplacement.

    lieu de connexion au cours des 30 derniers jours

  • La section IMPOSSIBLE TRAVEL- EVENT DETAILS fournit les informations suivantes sur l’événement de voyage impossible :

    • Date et heure : indique la date et l’heure des ouvertures de session.
    • IP du client : indique l’adresse IP de la machine utilisateur.
    • Emplacement : indique l’emplacement depuis lequel l’utilisateur s’est connecté.
    • Appareil : indique le nom de l’appareil de l’utilisateur.
    • Type d’ouverturede session : indique si l’activité de l’utilisateur est l’ouverture de session ou la connexion au compte. L’événement d’ouverture de session de compte est déclenché lorsque l’authentification d’un utilisateur sur son compte réussit. Attendu que l’événement d’ouverture de session est déclenché lorsqu’un utilisateur entre ses informations d’identification et se connecte à sa session d’application ou de bureau.
    • OS : indique le système d’exploitation de la machine utilisateur.
    • Navigateur : indique le navigateur Web utilisé pour accéder à l’application.

    lieu de connexion au cours des 30 derniers jours

Quelles actions pouvez-vous appliquer aux utilisateurs ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.
  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains d’entre eux.
  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via les bureaux virtuels.
  • Démarrer l’enregistrement de la session. En cas d’événement inhabituel sur le compte Virtual Desktops de l’utilisateur, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des futures sessions d’ouverture de session. Toutefois, si l’utilisateur utilise Citrix Virtual Apps and Desktops 7.18 ou version ultérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session actuelle de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer les actions à l’utilisateur manuellement, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Exfiltration potentielle des données

Citrix Analytics détecte les menaces liées aux données en fonction de tentatives excessives d’exfiltration des données et déclenche l’indicateur de risque correspondant.

Le facteur de risque associé à l’indicateur de risque potentiel d’exfiltration de données est l’indicateur de risque basé sur les données. Pour plus d’informations sur les facteurs de risque, consultez la section Indicateurs de risque utilisateur Citrix.

L’indicateur de risque potentiel d’exfiltration de données est déclenché lorsqu’un utilisateur Citrix Receiver tente de télécharger ou de transférer des fichiers vers un lecteur ou une imprimante. Ces données peuvent être un événement de téléchargement de fichier tel que le téléchargement d’un fichier sur un lecteur local, des lecteurs mappés ou un périphérique de stockage externe. Les données peuvent également être exfiltrées à l’aide du presse-papiers ou par l’action de copier-coller.

Remarque

Les opérations du presse-papiers sont prises en charge uniquement par les applications SaaS.

Quand l’indicateur de risque potentiel d’exfiltration de données est-il déclenché ?

Vous pouvez être averti lorsqu’un utilisateur a transféré un nombre excessif de fichiers vers un lecteur ou une imprimante au cours d’une période donnée. Cet indicateur de risque est également déclenché lorsque l’utilisateur utilise l’action copier-coller sur son ordinateur local.

Lorsque Citrix Receiver détecte ce comportement, Citrix Analytics reçoit cet événement et attribue un score de risque à l’utilisateur concerné. L’indicateur de risque potentiel d’exfiltration de données est ajouté à la chronologie des risques de l’utilisateur.

Comment analyser l’indicateur de risque potentiel d’exfiltration des données ?

Prenons l’exemple de l’utilisateur Adam Maxwell, qui est connecté à une session et tente d’imprimer des fichiers dépassant la limite prédéfinie. Par cette action, Adam Maxwell avait dépassé son comportement normal de transfert de fichiers basé sur des algorithmes d’apprentissage automatique.

Dans la chronologie d’Adam Maxwell, vous pouvez sélectionner l’indicateur de risque potentiel d’exfiltration de données . La raison de l’événement est affichée avec les détails tels que les fichiers transférés et le périphérique utilisé pour transférer le fichier.

Pour afficher l’indicateur de risque potentiel d’exfiltration de données signalé pour un utilisateur, accédez à Sécurité > Utilisateurs, puis sélectionnez l’utilisateur.

Exfiltration potentielle des données

  • Dans la section WHAT HAPPENED, vous pouvez consulter le résumé de l’événement potentiel d’exfiltration de données. Vous pouvez afficher le nombre d’événements d’exfiltration de données au cours d’une période spécifique.

    Exfiltration potentielle de données : que s'est-il passé

  • Dans la section DÉTAILS DE L’ÉVÉNEMENT, les tentatives d’exfiltration de données apparaissent sous forme graphique et tabulaire. Les événements apparaissent sous forme d’entrées individuelles dans le graphique et le tableau fournit les informations clés suivantes :

    • Le temps. Heure à laquelle l’événement d’exfiltration de données s’est produit.

    • Fichiers. Le fichier qui a été téléchargé, imprimé ou copié.

    • Type de fichier. Type de fichier qui a été téléchargé, imprimé ou copié.

      Remarque

      Le nom du fichier imprimé n’est disponible qu’à partir de l’événement d’impression des applications SaaS.

    • Action. Types d’événements d’exfiltration de données qui ont été effectués (impression, téléchargement ou copie).

    • Appareils. L’appareil utilisé.

    • taille. La taille du fichier qui est exfiltré.

    • Emplacement. Ville d’où l’utilisateur tente d’exfiltrer des données.

      Détails des événements potentiels d'exfiltration de données

  • La section INFORMATIONS CONTEXTUELLES SUPPLÉMENTAIRES, pendant la survenance de l’événement, vous permet d’afficher les éléments suivants :

    • Le nombre de dossiers qui ont été exfiltrés.

    • Les actions effectuées.

    • Les applications utilisées.

    • Appareil utilisé par l’utilisateur.

      Exfiltration potentielle de données, informations contextuelles supplémentaires

Quelles actions pouvez-vous appliquer à l’utilisateur ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via les bureaux virtuels.

  • Démarrer l’enregistrement de la session. En cas d’événement inhabituel sur le compte Virtual Desktops de l’utilisateur, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des sessions d’ouverture de session futures. Toutefois, si l’utilisateur est sur de Citrix Virtual Apps and Desktops 7.18 ou une version ultérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session en cours de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Ouverture de session suspecte

Citrix Analytics détecte les ouvertures de session de l’utilisateur qui semblent inhabituelles ou risquées en fonction de plusieurs facteurs contextuels, définis conjointement par l’appareil, l’emplacement et le réseau utilisés par l’utilisateur.

Quand l’indicateur de risque d’ouverture de session suspecte est-il déclenché ?

L’indicateur de risque est déclenché par la combinaison des facteurs suivants, chaque facteur étant considéré comme potentiellement suspect en fonction d’une ou de plusieurs conditions.

Facteur Conditions
Appareil inhabituel L’utilisateur ouvre une session à partir d’un appareil qui n’a pas été utilisé au cours des 30 derniers jours.
  L’utilisateur ouvre une session à partir d’un client HTML5 ou d’un client Chrome dont la signature de l’appareil n’est pas cohérente avec l’historique de l’utilisateur.
Emplacement inhabituel Ouvrez une session à partir d’une ville ou d’un pays où l’utilisateur n’a pas ouvert de session au cours des 30 derniers jours.
  La ville ou le pays est géographiquement éloigné des emplacements d’ouverture de session récents (30 derniers jours).
  Zéro ou minimum d’utilisateurs se sont connectés depuis la ville ou le pays au cours des 30 derniers jours.
Réseau insolite Ouvrez une session à partir d’une adresse IP que l’utilisateur n’a pas utilisée au cours des 30 derniers jours.
  Ouvrez une session à partir d’un sous-réseau IP que l’utilisateur n’a pas utilisé au cours des 30 derniers jours.
  Aucun ou un minimum d’utilisateurs se sont connectés depuis le sous-réseau IP au cours des 30 derniers jours.
Menace IP L’adresse IP est identifiée comme présentant un risque élevé par le flux de renseignements sur les menaces de la communauté Webroot.
  Citrix Analytics a récemment détecté des activités d’ouverture de session très suspectes à partir de l’adresse IP d’autres utilisateurs.

Comment analyser l’indicateur de risque d’ouverture de session suspecte

Prenons l’exemple de l’utilisateur Adam Maxwell, qui se connecte pour la première fois depuis Mumbai, en Inde. Il utilise un nouvel appareil ou un appareil qui n’a pas été utilisé au cours des 30 derniers jours pour se connecter à un nouveau réseau de Citrix Virtual Apps and Desktops et s’y connecter. Citrix Analytics détecte cet événement d’ouverture de session comme suspect car les facteurs (emplacement, appareil et réseau) s’écartent de son comportement habituel et déclenchent l’indicateur de risque d’ouverture de session suspecte . L’indicateur de risque est ajouté à la chronologie des risques d’Adam Maxwell et un score de risque lui est attribué.

Pour afficher le temps de risque d’Adam Maxwell, sélectionnez Sécurité > Utilisateurs. Dans le volet Utilisateurs risqués, sélectionnez l’utilisateur Adam Maxwell.

Dans la chronologie des risques d’Adam Maxwell, sélectionnez l’indicateur de risque d’ ouverture de session suspecte . Vous pouvez consulter les informations suivantes :

  • La section WHAT HAPPENED fournit un bref résumé des activités suspectes, y compris les facteurs de risque et le moment de l’événement.

    Ouverture de session suspecte : ce qui s'est passé

  • Dans la section ACTION RECOMMANDÉE, vous trouverez les actions suggérées qui peuvent être appliquées à l’indicateur de risque. Citrix Analytics for Security recommande les actions en fonction de la gravité du risque posé par l’utilisateur. La recommandation peut être l’une des actions suivantes ou une combinaison des actions suivantes :

    • Avertir l’administrateur (s)

    • Ajouter à la liste de surveillance

    • Créer une stratégie

    Vous pouvez sélectionner une action en fonction de la recommandation. Vous pouvez également sélectionner une action que vous souhaitez appliquer en fonction de votre choix dans le menu Actions . Pour plus d’informations, consultez Appliquer une action manuellement.

    Action recommandée

  • La section DÉTAILS DE CONNEXION fournit un résumé détaillé des activités suspectes correspondant à chaque facteur de risque. Chaque facteur de risque se voit attribuer un score qui indique le niveau de suspicion. Un seul facteur de risque n’indique pas un risque élevé de la part d’un utilisateur. Le risque global est basé sur la corrélation entre les multiples facteurs de risque.

    Niveau de suspicion Indication
    0–69 Le facteur semble normal et n’est pas considéré comme suspect.
    70–89 Le facteur semble légèrement inhabituel et est considéré comme modérément suspect avec d’autres facteurs.
    90–100 Le facteur est tout à fait nouveau ou inhabituel et est considéré comme très suspect par rapport à d’autres facteurs.

    Détails d'ouverture de session suspects

  • La section EMPLACEMENT D’OUVERTURE DE SESSION - 30 DERNIERS JOURS affiche une carte géographique des derniers emplacements connus et de l’emplacement actuel de l’utilisateur. Les données de localisation sont affichées pour les 30 derniers jours. Vous pouvez survoler les pointeurs de la carte pour afficher le nombre total d’ouvertures de session de chaque emplacement.

    Emplacement d'ouverture de session suspect

  • La section OUVERTURE DE SESSION SUSPECTE - DÉTAILS DE L’ÉVÉNEMENT fournit les informations suivantes sur l’événement d’ouverture de session suspect :

    • Heure : indique la date et l’heure de la connexion suspecte.

    • Type d’ouverturede session : indique si l’activité de l’utilisateur est l’ouverture de session ou la connexion au compte. L’événement de connexion au compte est déclenché lorsque l’authentification d’un utilisateur sur son compte est réussie. Attendu que l’événement d’ouverture de session est déclenché lorsqu’un utilisateur entre ses informations d’identification et se connecte à sa session d’application ou de bureau.

    • Type de client : indique le type d’application Citrix Workspace installée sur la machine utilisateur. Selon le système d’exploitation de la machine utilisateur, le type de client peut être Android, iOS, Windows, Linux, Mac, etc.

    • OS : indique le système d’exploitation de la machine utilisateur.

    • Navigateur : indique le navigateur Web utilisé pour accéder à l’application.

    • Emplacement : indique l’emplacement depuis lequel l’utilisateur s’est connecté.

    • IP du client : indique l’adresse IP de la machine utilisateur.

    • Appareil : indique le nom de l’appareil de l’utilisateur.

      Détails des événements d'ouverture de session suspects

Quelles actions pouvez-vous appliquer aux utilisateurs ?

Vous pouvez effectuer les actions suivantes sur le compte de l’utilisateur :

  • Ajouter à la liste de surveillance. Lorsque vous souhaitez surveiller un utilisateur afin de détecter de futures menaces potentielles, vous pouvez les ajouter à une liste de surveillance.

  • Notifiez les administrateurs. En cas d’activité inhabituelle ou suspecte sur le compte de l’utilisateur, une notification par e-mail est envoyée à tous les administrateurs ou à certains administrateurs.

  • Déconnecter l’utilisateur. Lorsqu’un utilisateur est déconnecté de son compte, il ne peut pas accéder à la ressource via les bureaux virtuels.

  • Démarrer l’enregistrement de la session. En cas d’événement inhabituel sur le compte Virtual Desktops de l’utilisateur, l’administrateur peut commencer à enregistrer les activités de l’utilisateur lors des sessions d’ouverture de session futures. Toutefois, si l’utilisateur est sur de Citrix Virtual Apps and Desktops 7.18 ou une version ultérieure, l’administrateur peut démarrer et arrêter dynamiquement l’enregistrement de la session d’ouverture de session en cours de l’utilisateur.

Pour en savoir plus sur les actions et la façon de les configurer manuellement, consultez la section Stratégies et actions.

Pour appliquer manuellement les actions à l’utilisateur, accédez au profil de l’utilisateur et sélectionnez l’indicateur de risque approprié. Dans le menu Action, sélectionnez une action et cliquez sur Appliquer.

Remarque

Quelle que soit la source de données qui déclenche un indicateur de risque, des mesures relatives à d’autres sources de données peuvent être appliquées.

Indicateurs de risque Citrix Virtual Apps and Desktops et Citrix DaaS