Citrix Analytics for Security

Classeur Citrix Analytics pour Microsoft Sentinel

Remarque

Cette fonctionnalité est disponible dans la Tech Preview.

Cet article décrit le classeur Citrix Analytics disponible dans votre espace de travail Microsoft Sentinel.

Conditions préalables

Pour utiliser le classeur Citrix Analytics, assurez-vous d’avoir déjà intégré Microsoft Sentinel à Citrix Analytics for Security. Pour plus d’informations, consultez la section Intégration de Microsoft Sentinel.

Afficher les événements Citrix Analytics

Après avoir intégré Citrix Analytics for Security à Microsoft Sentinel, le connecteur Logstash commence à transférer les événements de Citrix Analytics for Security vers l’espace de travail Microsoft Sentinel. Sur votre portail Azure, ouvrez l’espace de travail Microsoft Sentinel que vous avez utilisé pour l’intégration.

Pour vérifier que Microsoft Sentinel reçoit les événements de Citrix Analytics for Security, sélectionnez Journaux > Journaux personnalisés.

Journaux Sentinel

Dans la section Journaux personnalisés, vous pouvez afficher les tables de journaux créées automatiquement pour stocker les événements reçus de Citrix Analytics for Security. Ces tables de journaux servent de source pour les tableaux de bord du classeur Citrix Analytics.

Remarque

Les événements envoyés par Citrix Analytics for Security peuvent prendre quelques heures pour apparaître dans l’espace de travail Microsoft Sentinel. Par conséquent, vous pouvez constater un retard dans la création des tables de journaux pour les événements.

Journaux Analytics dans Sentinel

Afficher le classeur Citrix Analytics

Lorsque les tables de journaux sont correctement créées, procédez comme suit :

  1. Sélectionnez Classeurs et recherchez Citrix Analytics. Sélectionnez Citrix Analytics.

    Classeur Analytics

  2. Sélectionnez Afficher le modèle pour ouvrir le classeur Citrix Analytics.

    Afficher le classeur Citrix Analytics

Dans le classeur Citrix Analytics, vous pouvez afficher les événements utilisateur dans les tableaux de bord suivants :

  • Vue d’ensemble des scores de risque utilisateur : fournit une vue consolidée des utilisateurs à risque de votre organisation.

  • Détails de l’utilisateur : fournit des détails sur les utilisateurs et leur comportement à risque.

  • Profil utilisateur : fournit les mesures d’événement associées aux utilisateurs.

  • Événements reçus : fournit les événements reçus de Citrix Analytics for Security.

  • Détails de l’indicateur de risque : fournit des détails sur les indicateurs de risque intégrés et personnalisés déclenchés par les utilisateurs.

  • Vue d’ensemble des indicateurs de risque : fournit une vue consolidée des indicateurs de risque déclenchés par les utilisateurs.

    Tableaux de bord Analytics dans Sentinel

Aperçu du score de risque utilisateur

Ce tableau de bord fournit une vue consolidée des utilisateurs à risque de votre organisation. Les utilisateurs sont classés en fonction des niveaux de risque : élevé, moyen et faible. Les niveaux de risque sont basés sur les anomalies des activités de l’utilisateur et, par conséquent, un score de risque est attribué. Pour plus d’informations sur les types d’utilisateurs à risque, consultez le tableau de bord Utilisateurs.

Sélectionnez une période pour voir les utilisateurs à risque de votre organisation.

Aperçu du score de risque utilisateur

Détails de l’utilisateur

Ce tableau de bord fournit le score de risque et les indicateurs de risque associés à un utilisateur.

Recherchez un utilisateur et affichez ses activités à risque susceptibles de constituer une menace pour votre organisation. Pour atténuer la menace, vous pouvez prendre les mesures appropriées sur les comptes d’utilisateurs en fonction de la gravité de leur risque.

Détails de l'utilisateur

Profil utilisateur

Ce tableau de bord fournit les détails des mesures d’événement associées à vos utilisateurs pour une période donnée. Les mesures fournissent des informations sur les activités des utilisateurs, telles que :

  • 10 applications les plus utilisées par les utilisateurs

  • Les 10 principaux appareils utilisés par les utilisateurs

  • Les 10 principaux emplacements depuis lesquels les utilisateurs se sont connectés

À l’aide des rapports, vous pouvez :

  • Identifiez la tendance d’utilisation de vos utilisateurs

  • Découvrez les appareils non conformes utilisés pour accéder aux ressources

  • Vérifiez tout accès risqué potentiel de la part de vos utilisateurs

    Classeur de profil utilisateur

Événements reçus

Pour une période donnée, vous pouvez afficher le nombre total d’événements reçus de Citrix Analytics for Security. Le nombre total d’événements reçus comprend les éléments suivants :

  • Résumé des indicateurs de risque : indique les événements associés au résumé des indicateurs de risque utilisateur. Pour plus d’informations sur divers événements récapitulatifs d’indicateurs de risque, voir Schéma des indicateurs de risque.

  • Détails de l’événement de l’indicateur de risque : indique les événements associés aux détails des indicateurs de risque utilisateur. Pour plus d’informations sur les différents événements détaillés des indicateurs de risque, voir Schéma des indicateurs de risque.

  • Score de risque du profil utilisateur : indique les événements associés au score de risque des utilisateurs. Pour plus d’informations, voir Tableau de bord des utilisateurs

  • Changements du score de risque : indique les événements associés au changement du score de risque des utilisateurs. Pour plus d’informations, voir Tableau de bord des utilisateurs

  • Emplacements du profil utilisateur : indique les événements associés aux emplacements à partir desquels les utilisateurs se sont connectés.

  • Application de profil utilisateur : indique les événements associés aux applications utilisées par les utilisateurs.

  • Utilisation du profil utilisateur : indique les événements associés à l’utilisation des données par les utilisateurs.

  • Appareil de profil utilisateur : indique les événements associés aux appareils utilisés par les utilisateurs.

En examinant le tableau de bord à intervalles réguliers, vous pouvez vous assurer que les événements se déroulent correctement dans votre espace de travail Microsoft Sentinel. Toute différence dans le nombre total d’événements reçus peut indiquer des problèmes d’intégration avec Citrix Analytics for Security. Vous pouvez effectuer les étapes nécessaires pour déboguer les problèmes.

Classeur des événements reçus

Détails de l’indicateur de risque

Ce tableau de bord fournit les détails des indicateurs de risque déclenchés par vos utilisateurs.

Vous pouvez afficher les détails de l’indicateur de risque en sélectionnant une ou plusieurs catégories :

  • Plage de temps : sélectionnez une plage de temps pour afficher les détails des indicateurs de risque déclenchés au cours de la période.

  • Type d’entité : sélectionnez un utilisateur pour afficher les détails des indicateurs de risque associés.

  • Type d’indicateur de risque : sélectionnez des indicateurs de risque intégrés ou personnalisés pour afficher leurs détails.

  • Source de données : sélectionnez une source de données pour afficher les indicateurs de risque associés.

  • Catégorie d’indicateur de risque : sélectionnez la catégorie de risque pour afficher les indicateurs de risque associés.

  • Indicateur de risque : sélectionnez un indicateur de risque par son nom et affichez ses détails.

    Classeur des détails des indicateurs de risque

Aperçu des indicateurs de risque

Ce tableau de bord fournit une vue consolidée de tous les indicateurs de risque déclenchés par vos utilisateurs.

Vous pouvez consulter les indicateurs de risque en sélectionnant une ou plusieurs catégories :

  • Plage de temps : sélectionnez une période pour afficher les indicateurs de risque qui sont déclenchés au cours de cette période.

  • Type d’indicateur de risque : sélectionnez intégré ou personnalisé pour afficher les indicateurs de risque associés.

  • Type d’entité : sélectionnez l’un des utilisateurs pour afficher les indicateurs de risque associés.

    Classeur de présentation des indicateurs de risque

Classeur Citrix Analytics pour Microsoft Sentinel