Tableaux de bord Citrix Analytics pour Splunk

Remarque

Attention : Citrix Content Collaboration™ et ShareFile ont atteint leur fin de vie et ne sont plus disponibles pour les utilisateurs.

Cette fonctionnalité est en préversion.

Prérequis

Pour utiliser les tableaux de bord Citrix Analytics suivants, assurez-vous d’avoir déjà configuré et installé l’application Citrix Analytics pour Splunk.

Vue d’ensemble du score de risque utilisateur

Ce tableau de bord offre une vue consolidée des utilisateurs à risque au sein de votre organisation. Les utilisateurs sont classés par niveaux de risque : élevé, moyen et faible. Les niveaux de risque sont basés sur les anomalies détectées dans les activités des utilisateurs, et un score de risque est attribué en conséquence. Pour plus d’informations sur les types d’utilisateurs à risque, consultez le tableau de bord Utilisateurs.

Pour afficher ce tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Vue d’ensemble des scores de risque utilisateur.

Sélectionnez une plage horaire prédéfinie ou une plage horaire personnalisée pour afficher la chronologie des utilisateurs à risque et leurs détails.

Le tableau Utilisateurs à risque fournit les informations suivantes :

• Utilisateur : indique le nom d’utilisateur. Cliquez sur un nom d’utilisateur pour afficher les détails du comportement à risque de l’utilisateur sur le tableau de bord Citrix Analytics - Détails de l’entité.

• Risques d’endpoints compromis détectés : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur qui appartiennent à la catégorie de risque des endpoints compromis.

• Risques d’utilisateurs compromis détectés : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur qui appartiennent à la catégorie de risque des utilisateurs compromis.

• Risques d’exfiltration de données détectés : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur qui appartiennent à la catégorie de risque d’exfiltration de données.

• Risques de menaces internes détectés : indique le nombre d’indicateurs de risque déclenchés par l’utilisateur qui appartiennent à la catégorie de risque des menaces internes.

• Score de risque : indique le score de risque de l’utilisateur.

Vous pouvez également rechercher un utilisateur par son nom et obtenir les détails requis.

Pour plus d’informations, consultez les catégories de risque.

Vue d’ensemble des indicateurs de risque

Le tableau de bord offre une vue consolidée des indicateurs de risque déclenchés par les utilisateurs de votre organisation.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Vue d’ensemble des indicateurs de risque.

Sélectionner une catégorie pour afficher le rapport

Recherchez les indicateurs de risque en sélectionnant une ou plusieurs catégories :

• Plage horaire : sélectionnez une plage horaire prédéfinie ou une plage horaire personnalisée pour afficher les indicateurs de risque déclenchés pendant cette période.

• Type d’indicateur de risque : sélectionnez le type d’indicateur de risque : intégré ou personnalisé.

• Type d’entité : sélectionnez un utilisateur pour afficher les indicateurs de risque associés.

• Groupe : sélectionnez un critère pour regrouper les événements utilisateur par source de données, catégorie d’indicateur, nom d’indicateur, type d’indicateur ou type d’entité et afficher les indicateurs de risque associés.

Afficher le rapport

Utilisez les rapports suivants pour afficher les détails des indicateurs de risque en sélectionnant une ou plusieurs catégories :

• Nombre d’indicateurs de risque déclenchés : affiche le nombre d’indicateurs de risque déclenchés pour la période sélectionnée. Utilisez ce rapport pour identifier le modèle et les zones d’activités à risque. Identifiez également les principales activités à risque dans votre organisation.

• Nombre total et distinct d’entités d’événements d’indicateurs de risque : affiche le nombre total d’événements et les événements uniques correspondant à un indicateur de risque. Utilisez ce rapport pour identifier les occurrences de chaque indicateur de risque et les principaux indicateurs de risque dans votre organisation. Vous pouvez également identifier le nombre d’utilisateurs uniques ayant déclenché un indicateur de risque particulier et vérifier si l’indicateur de risque est déclenché par un groupe d’utilisateurs plus grand ou plus petit.

• Indicateurs de risque par emplacement : affiche le nombre d’indicateurs de risque déclenchés par les utilisateurs à travers les emplacements. Utilisez ce rapport pour identifier les emplacements qui présentent plus d’activités à risque et vérifier si ces emplacements se trouvent en dehors de la zone d’opération de votre organisation.

• Détails de l’indicateur de risque : affiche les détails de l’indicateur de risque, tels que la source de données associée, la catégorie d’indicateur, le nom de l’indicateur, le type d’indicateur et le nombre d’occurrences.

Détails de l’indicateur de risque

Le tableau de bord fournit des informations détaillées sur les indicateurs de risque intégrés et personnalisés déclenchés par les utilisateurs. Pour plus d’informations, consultez les indicateurs de risque utilisateur Citrix et les indicateurs de risque personnalisés.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Détails de l’indicateur de risque.

Sélectionner une catégorie pour afficher les rapports

Affichez les détails des indicateurs de risque en sélectionnant une ou plusieurs catégories :

• Plage horaire : sélectionnez une plage horaire prédéfinie ou une plage horaire personnalisée pour afficher les détails des indicateurs de risque déclenchés pendant cette période.

• Type d’entité : sélectionnez un utilisateur pour afficher les détails des indicateurs de risque associés.

• Type d’indicateur de risque : sélectionnez le type d’indicateur de risque (intégré ou personnalisé) pour afficher ses détails.

• Source de données : sélectionnez la source de données pour afficher les détails des indicateurs de risque associés.

• Catégorie d’indicateur de risque : sélectionnez la catégorie de risque pour afficher les détails des indicateurs de risque associés.

• Indicateur de risque : sélectionnez l’indicateur de risque pour afficher ses détails.

Afficher les rapports

Par exemple, dans la liste « Sélectionner un indicateur de risque », sélectionnez Échec d’authentification inhabituel (Citrix Content Collaboration), cliquez sur Soumettre, et affichez les informations suivantes :

• Les 10 principaux utilisateurs associés à l’indicateur de risque

• Détails de l’indicateur de risque, tels que :

  • Date et heure de déclenchement

  • Source de données associée

  • Catégorie de risque associée

  • ID d’entité et type d’entité utilisateur associés

  • Gravité du risque : élevée, moyenne ou faible

  • Probabilité de risque de l’événement utilisateur

  • Identifiant unique de l’indicateur de risque (UUID)

Dans Les 10 principales entités par indicateurs de risque, cliquez sur une entité pour afficher ses détails sur le tableau de bord Citrix Analytics - Détails de l’entité.

Cliquez sur chaque ligne du tableau Détails de l’indicateur de risque pour afficher le résumé de l’événement, les détails de l’événement et les événements bruts de l’indicateur de risque sélectionné.

Dans la section Résumé de l’événement de l’indicateur de risque, cliquez sur le lien de l’interface utilisateur de Citrix Analytics pour accéder directement à la chronologie de l’utilisateur sur Citrix Analytics for Security™ depuis votre Splunk. Sur la chronologie de l’utilisateur, affichez l’indicateur de risque, les événements associés et toutes les actions appliquées à l’utilisateur.

Pour plus d’informations sur le résumé et les détails des événements, consultez le format de données Citrix Analytics pour SIEM.

Détails de l’entité

Utilisez le tableau de bord pour afficher les détails d’une entité utilisateur et de son comportement à risque.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Détails de l’entité.

Afficher le rapport

Saisissez une plage horaire et l’entité (nom d’utilisateur), puis cliquez sur Soumettre pour afficher les informations détaillées.

Vous pouvez également afficher les informations détaillées sur une entité à partir des tableaux de bord suivants :

• Dans Citrix Analytics - Détails de l’indicateur de risque, accédez à Les 10 principales entités par indicateurs de risque, puis cliquez sur une entité.

• Dans Citrix Analytics - Vue d’ensemble du score de risque, accédez à Utilisateurs à risque, puis cliquez sur un nom d’utilisateur.

Les informations détaillées suivantes sont affichées :

• Score de risque actuel et chronologie du score de risque pour la plage horaire sélectionnée.

• Répartition en pourcentage des indicateurs de risque. Vous aide à analyser le modèle d’activités à risque de l’entité.

• Répartition géographique des indicateurs de risque. Vous aide à identifier les emplacements inhabituels et à haut risque.

• Détails de l’adresse IP du client associés aux activités à risque.

• Détails de l’appareil utilisateur associés aux activités à risque.

• Détails de l’indicateur de risque, tels que la source de données associée, la catégorie de risque, la gravité du risque, etc.

Corrélez les adresses IP des clients et les appareils des utilisateurs associés aux activités à risque avec les événements collectés à partir d’autres sources de sécurité connectées à votre Splunk. Par exemple, cliquez sur une ligne du tableau Détails de l’adresse IP du client.

Sur le tableau de bord Corrélation d’événements Citrix Analytics, vous pouvez afficher les événements associés à l’adresse IP du client sélectionnée qui sont corrélés à partir de vos autres sources de données de sécurité (basées sur l’index et le type de source). Ces événements fournissent des informations plus approfondies sur les activités malveillantes associées à l’adresse IP du client.

Vue d’ensemble du profil utilisateur

Utilisez le tableau de bord pour afficher les métriques d’événements associées aux utilisateurs de votre organisation.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Vue d’ensemble du profil utilisateur.

Afficher les événements

Sélectionnez une plage horaire et affichez les métriques suivantes :

• Les 10 principales applications utilisées par les utilisateurs

• Les 10 principaux appareils utilisés par les utilisateurs

• Les 10 principaux emplacements utilisés par les utilisateurs

• Nombre d’applications Web et SaaS utilisées

• Nombre d’appareils utilisés

• Nombre d’utilisateurs ayant accédé à des emplacements différents

• Métriques d’utilisation des données, telles que les fichiers téléchargés, téléversés, partagés

Ces métriques vous donnent un aperçu des activités des utilisateurs au sein de votre organisation. Vous pouvez identifier les applications et appareils les plus utilisés, les modèles d’utilisation, les appareils et applications non conformes, les emplacements inhabituels, les accès à risque et les activités de fichiers inhabituelles.

Événements reçus

Utilisez le tableau de bord pour afficher les événements reçus de Citrix Analytics for Security. Un événement indique un type d’activité utilisateur.

Pour afficher le tableau de bord, cliquez sur Citrix Analytics - Tableaux de bord > Citrix Analytics - Événements reçus.

Afficher les rapports

Sélectionnez une plage horaire pour afficher et comparer les différents types d’événements reçus. Le tableau de bord fournit les informations suivantes :

• Total des événements reçus : il s’agit de l’agrégat de tous les événements reçus de Citrix Analytics for Security, y compris les suivants :

  • Total des événements d’indicateurs de risque : indique les événements associés aux indicateurs de risque déclenchés par les utilisateurs.

  • Total des événements de détail des indicateurs de risque : indique les événements associés aux détails des indicateurs de risque déclenchés.

  • Total des événements de modification du score de risque : indique les événements associés à la modification du score de risque de l’utilisateur.

  • Total des événements de score de risque du profil utilisateur : indique les événements associés aux scores de risque des utilisateurs.

  • Total des événements d’application du profil utilisateur : indique les événements associés aux applications utilisées par les utilisateurs.

  • Total des événements d’appareil du profil utilisateur : indique les événements associés aux appareils utilisés par les utilisateurs.

  • Total des événements d’utilisation des données du profil utilisateur : indique les événements associés à l’utilisation des données par les utilisateurs.

  • Total des événements d’emplacement du profil utilisateur : indique les événements associés aux emplacements auxquels les utilisateurs ont accédé.

Exemple de corrélation d’événements

Utilisez le tableau de bord pour corréler les événements reçus de Citrix Analytics for Security avec les événements collectés à partir d’autres sources de données de sécurité configurées dans votre Splunk. Vous obtenez des informations plus approfondies sur les activités à risque de l’utilisateur collectées à partir de plusieurs sources de données, trouvez des relations entre les événements et identifiez les menaces éventuelles.

Pour afficher le tableau de bord, cliquez sur Corrélation SIEM - Exemples de tableaux de bord > Corrélation d’événements Citrix Analytics.

Prérequis

Pour effectuer la corrélation, assurez-vous des éléments suivants :

• Vous devez disposer d’événements provenant de vos autres sources de données de sécurité à corréler. Par exemple, des événements associés aux utilisateurs, aux appareils et aux adresses IP des clients reçus d’autres sources de données configurées dans votre Splunk.

• Vous devez avoir un index de corrélation déjà défini lors de la configuration.

Corréler les événements

Vous pouvez afficher les principales entités à risque et les principales adresses IP à risque détectées par Citrix Analytics for Security. Pour corréler ces événements avec d’autres sources de données (définies dans l’index et le type de source), cliquez sur une entité ou une adresse IP dans les tableaux.

La valeur d’index affichée dans le champ de requête est définie lors de la configuration de l’application. Vous pouvez modifier la valeur d’index pour une autre source de données de sécurité en fonction de vos besoins.

Dépannage en cas d’absence d’événements

Si vous ne trouvez aucun événement sur tous les tableaux de bord, cela peut être dû à des problèmes de configuration dans l’application Citrix Analytics pour Splunk et le module complémentaire Citrix Analytics pour Splunk. Dans un tel scénario, vérifiez la valeur de l’index et la valeur du type de source. Assurez-vous que les valeurs de l’index et du type de source sont identiques dans l’application et le module complémentaire.

Pour afficher les paramètres de configuration de l’application Citrix Analytics pour Splunk :

1. Cliquez sur Applications > Gérer les applications.

1. Localisez l’application Citrix Analytics pour Splunk dans la liste. Cliquez sur Configurer.

1. Vérifiez le type de source et l’index.

Pour afficher les paramètres de configuration du module complémentaire Citrix Analytics pour Splunk :

1. Cliquez sur Paramètres > Entrées de données.

1. Cliquez sur Module complémentaire Citrix Analytics.

1. Cliquez sur le locataire à partir duquel vous recevez les événements.

2. Sélectionnez Plus de paramètres.

1. Vérifiez le type de source et l’index.

Pour plus d’informations sur la configuration, consultez Configurer le module complémentaire Citrix Analytics pour Splunk.