Citrix Analytics for Security

Recherche en libre-service pour Gateway

Utilisez la fonction de recherche en libre-service pour obtenir des informations sur les événements utilisateur reçus de la source de données Citrix Gateway. Lorsque les utilisateurs accèdent à leurs ressources réseau telles que les serveurs de fichiers, les applications et les sites Web via Citrix Gateway, des événements sont générés pour chaque connexion utilisateur. Certains exemples d’événements utilisateur sont tels que la phase d’authentification, le type d’autorisation et le code de session VPN. Citrix Analytics for Security reçoit ces événements et les affiche sur la page de recherche en libre-service. Vous pouvez consulter les utilisateurs et leurs détails d’accès.

Pour plus d’informations sur les fonctionnalités de recherche, consultez la rubrique Recherche en libre-service.

Sélectionnez la source de données Gateway

Pour afficher les événements Gateway, sélectionnez Gateway dans la liste. Par défaut, la page en libre-service affiche les événements du dernier jour. Vous pouvez également sélectionner la période pendant laquelle vous souhaitez afficher les événements.

Sélectionner la source de données de passerelle

Remarque

Vous pouvez également accéder à la page Recherche en libre-service de passerelle à partir du tableau de bord Sécurité > Utilisateurs > Résumé des accès . Dans les scénarios de connexion réussis, vous pouvez accéder aux données par le code d’état. Pour plus d’informations, consultez le tableau de bord Access Summary .

Utilisez les facettes pour filtrer les événements

Les facettes sont classées en fonction des événements reçus de votre source de données. Utilisez les facettes suivantes pour filtrer vos événements :

Facettes Gateway

  • Étape d’authentification : recherchez des événements en fonction des différentes étapes de l’authentification du client, telles que primaire, secondaire et tertiaire.

  • Type d’authentification :recherchez les événements en fonction des types d’authentification client tels que Local, RADIUS, LDAP, TACACS, l’authentification par certificat client, y compris l’authentification par carte à puce.

  • Agent de périphériques- Recherchez des événements basés sur les périphériques clients tels que iPhone, iPad, Windows Mobile.

  • Type d’enregistrement :recherchez des événements en fonction des types d’enregistrements VPN. Les types d’enregistrements VPN suivants sont disponibles :

    Type d’enregistrement Description
    VPN_AI Filtre les événements utilisateur liés à l’authentification.
    VPN_IF Filtre les événements utilisateur liés au fichier ICA.
    VPN_ST Filtre les événements utilisateur liés à la déconnexion de session.
  • Navigateur- Rechercher des événements basés sur les navigateurs tels que Internet Explorer, Chrome, Firefox, Safari.

  • OS- Recherchez des événements en fonction des systèmes d’exploitation clients tels que Windows, Mac, Linux, Android, iOS.

  • Code d’état- Recherchez des événements en fonction des codes d’état VPN tels que l’échec de la réponse de redirection SSL, l’échec d’autorisation, l’échec de l’authentification unique.

  • État de la session : recherchez les événements en fonction des états de session VPN tels que l’état du client, l’état d’autorisation, l’état SSO, la mise à jour de la bande passante de l’application.

  • Mode session- Recherchez des événements en fonction des modes de session VPN tels que Tunnel complet, ICA Proxy, Clientless.

  • Méthode d’authentification SSO- Recherchez des événements en fonction de différentes méthodes d’authentification unique telles que basic, digest, NTLM, Kerberos, AG basic, SSO basée sur des formulaires.

  • Mode de déconnexion- Rechercher des événements basés sur les modes de déconnexion VPN tels que la déconnexion d’erreur interne, le délai de déconnexion de session, la déconnexion initiée par l’utilisateur, la session terminée par l’administrateur.

Spécifier la requête de recherche pour filtrer les événements

Placez le curseur dans la zone de recherche pour afficher la liste des dimensions des événements Gateway. Utilisez les dimensions et les opérateurs pour spécifier votre requête et rechercher les événements requis.

Liste des dimensions de passerelle

Par exemple, vous souhaitez afficher les événements d’un utilisateur « ns133 » dont le code d’état VPN est « connexion réussie ».

  1. Saisissez « utilisateur » dans la zone de recherche pour choisir la dimension associée.

    Requête de recherche de passerelle 1

  2. Sélectionnez Nom d’utilisateur et saisissez la valeur « ns133 » à l’aide de l’opérateur égal.

    Requête de recherche de passerelle 2

    Requête de recherche de passerelle 3

  3. Sélectionnez l’opérateur AND, puis la dimension Code d’état . Entrez la chaîne « Connexion réussie » pour le code d’état à l’aide de l’opérateur égal.

    Requête de recherche de passerelle 4

    Pour identifier les valeurs de chaîne possibles pour le code d’état, développez la liste de filtres Code d’état et utilisez le nom du filtre comme chaîne dans votre requête de recherche.

    Valeurs du code d'état

  4. Sélectionnez la période et cliquez sur Rechercher pour afficher les événements dans la table DATA.

Valeurs prises en charge pour votre requête de recherche

Entrez les valeurs suivantes pour les dimensions afin de définir votre requête de recherche.

Indicateurs d’accès Insight

Indique les états de session VPN. Entrez l’une des valeurs d’indicateur suivantes :

État de la session VPN Valeur du drapeau
Pré-authentification 2
Dernier ou dernier état de l’authentification nFactor (multi-facteurs) 1
Post-authentification 4

Remarque

Cet indicateur s’applique uniquement aux états de session VPN précédents pour les événements d’authentification. Pour tous les autres événements, la valeur de l’indicateur est nulle.

Consommation d’octets d’applications

Pour la Applications-Byte-Consumption dimension, saisissez la valeur suivante :

Valeur Type Description
Exemples : 40, 100 Nombre Données (en octets) consommées par l’application que vous utilisez.

Serveurs d’authentification IP

Pour la Authentication-Servers-IP dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xx.xx Chaîne Adresse IP du serveur d’authentification.

Étape d’authentification

Pour la Authentication-Stage dimension, saisissez la valeur suivante :

Valeur Type Description
PrimarySecondary, ou Tertiary Chaîne Différentes étapes de l’authentification du client.

Type d’authentification

Pour la Authentication-Type dimension, saisissez la valeur suivante :

Valeur Type Description
LDAP,SAML, Local, RadiusTACACS, SAMLIDP, ou OTP. Chaîne Authentifiez vos utilisateurs via l’une des méthodes disponibles.

Nom du serveur principal

Pour la Backend-Server-Name dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xxx.xx Chaîne Adresse IP du serveur principal.

Browser

Pour la Browser dimension, saisissez la valeur suivante :

Valeur Type Description
PN Agent, EdgeFirefox, Chrome, ou Safari. Chaîne Navigateur utilisé.

Ville

Pour la City dimension, saisissez la valeur suivante :

Valeur Type Description
Exemples : Boston, Beijing Chaîne Ville à partir de laquelle l’utilisateur s’est connecté.

Client-IP

Pour la Client-IP dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xxx.xx Chaîne Adresse IP de la machine utilisateur.

Type IP client

Pour la Client-IP-Type dimension, saisissez la valeur suivante :

Valeur Type Description
public, privé Chaîne Indique si l’adresse IP de l’utilisateur est publique ou privée.

Remarque

Les valeurs sont sensibles à la casse. Entrez les valeurs en minuscules.

Port client

Pour la Client-Port dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 45334 Nombre Numéro de port de la machine utilisateur.

Pays

Pour la Country dimension, saisissez la valeur suivante :

Valeur Type Description
Exemples : United States, India Chaîne Pays depuis lequel l’utilisateur s’est connecté.

Remarque

Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Country = « États-Unis ».

Type d’événement

Pour la Event-Type dimension, saisissez la valeur suivante :

Valeur Type Description
Authentification, fichier ICA, déconnexion de session Chaîne Type d’événements utilisateur.

FQDN de passerelle

Pour la Gateway-FQDN dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : Gateway-test Chaîne Nom de domaine de votre Citrix Gateway.

Passerelle IP

Pour la Gateway-IP dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xxx.xx Chaîne Adresse IP de votre Citrix Gateway.

Port de passerelle

Pour la Gateway-Port dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 443 Chaîne Numéro de port de votre Citrix Gateway.

Mode de déconnexion

Pour la Logout-Mode dimension, saisissez la valeur suivante :

Valeur Type Description
"Internal error", "Inactive time out", "User initiated logout", ou "Administrator killed session". Chaîne Motif du délai d’expiration ou de la fin de la session VPN.

Remarque

Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Mode de déconnexion = "Internal error".

NetScaler-IP

Pour la NetScaler-IP dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 10.xxx.xx.xx Chaîne Adresse IP de votre appliance Citrix ADC.

OS

Pour la OS dimension, saisissez la valeur suivante :

Valeur Type Description
Exemples : MAC_OS, WINDOWS Chaîne Système d’exploitation de la machine utilisateur.

Type d’enregistrement

Pour la Record Type dimension, saisissez la valeur suivante :

Valeur Type Description
VPN_AI Chaîne Indique les événements utilisateur liés à l’authentification.
VPN_IF Chaîne Indique les événements utilisateur liés au fichier ICA.
VPN_ST Chaîne Indique les événements utilisateur liés à la déconnexion de session.

Méthode d’authentification SSO

Pour la SSO-Authentication-Method dimension, saisissez la valeur suivante :

Valeur Type Description
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASICNSAUTH_NEGOTIATE, NSAUTH_NTLM, ou NSAUTH_BASIC. Chaîne Différentes méthodes d’authentification unique.

IP du serveur

Pour la Server-IP dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 10.xx.xxx.xx Chaîne Adresse IP du serveur principal.

Port serveur

Pour la Server-Port dimension, saisissez la valeur suivante :

Valeur Type Description
Exemple : 47054 Nombre Numéro de port du serveur principal.

État de la session

Pour la Session-State dimension, saisissez la valeur suivante :

Valeur Type Description
"Set Client State", "Authorization State""SSO State", et "Application Bandwidth Update" Chaîne État de la session VPN.

Remarque

Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Session-State = "Set Client State".

Code d’état

Pour la Status-Code dimension, saisissez la valeur suivante :

Valeur Type Description
"Successful login", "Invalid credentials passed", "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached" Chaîne Le code d’état du VPN.

Remarque

Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Session-Code = "Successful login".

Agent utilisateur

Pour la User-Agent dimension, saisissez la valeur suivante :

Valeur Type Description
IPHONEIPAD, ou WINPHONE Chaîne L’agent ou l’appareil utilisé pour accéder au VPN.

ID de session VPN

Pour la VPN-Session-ID dimension, saisissez la valeur suivante :

Valeur Type Description
c2c290c61dfe4e07247bde1e22142a12 Chaîne ID de session attribué par le serveur pour la session VPN d’un utilisateur.

Mode session VPN

Pour la VPN-Session-Mode dimension, saisissez la valeur suivante :

Valeur Type Description
"Full Tunnel""ICA Proxy", ou Clientless Chaîne Différents modes de session VPN d’un utilisateur.

Remarque

Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Session-Code = "Full Tunnel".

Recherche en libre-service pour Gateway