Citrix Analytics for Security

ポリシーとアクション

**注注意**

:シトリックスのContent Collaboration とShareFileはサポート終了となり、ユーザーは使用できなくなります。

Citrix Analytics でポリシーを作成して、異常なアクティビティや疑わしいアクティビティが発生した場合にユーザーアカウントでアクションを実行するのに役立ちます。ポリシーを使用すると、ユーザーの無効化やウォッチリストへのユーザーの追加などのアクションを適用するプロセスを自動化できます。ポリシーを有効にすると、異常イベントが発生してポリシー条件が満たされた直後に、対応するアクションが適用されます。また、異常なアクティビティがあるユーザーアカウントにアクションを手動で適用することもできます。

どのようなポリシーがありますか

ポリシーは、アクションを適用するために満たす必要がある一連の条件です。ポリシーには、1 つ以上の条件と 1 つのアクションが含まれます。複数の条件と、ユーザーのアカウントに適用できる 1 つのアクションを含むポリシーを作成できます。

リスクスコア はグローバル条件です。グローバル条件は、特定のデータソースの特定のユーザーに適用できます。異常なアクティビティを示すユーザーアカウントを監視し続けることができます。その他の条件は、データソースとそのリスク指標に固有のものです。条件には、リスクスコア、デフォルトのリスク指標、およびカスタムリスク指標の組み合わせが含まれます。ポリシーを作成するときは、最大 4 つの条件を追加できます。

ポリシーの作成

たとえば、組織で機密データを使用している場合、ユーザーが内部で共有またはアクセスするデータの量を制限できます。しかし、大規模な組織がある場合、1人の管理者が多くのユーザーを管理および監視することは実現できません。機密データを過度に共有しているすべてのユーザーをウォッチリストに追加したり、アカウントをすぐに無効にしたりするポリシーを作成できます。

既定のポリシー

デフォルトのポリシーは、[ ポリシー ] ダッシュボードで事前に定義され、有効になっています。定義済みの条件に基づいて作成され、対応するアクションがすべてのデフォルトポリシーに割り当てられます。デフォルトポリシーを使用することも、要件に基づいて変更することもできます。

Citrix Analytics では、次のデフォルトポリシーがサポートされています。

  • 認証情報の悪用が成功しました
  • データ流出の可能性
  • 疑わしいIPからの異常なアクセス
  • デバイスからの初回アクセス
  • Virtual Apps and Desktops、Citrix DaaS-アクセスできなければ移動不可能
  • ゲートウェイ-認証では移動不可能

前述のデフォルトポリシーに関する事前設定された条件とアクションの詳細については、「 継続的なリスク評価」を参照してください。

既定のポリシー

ジオフェンシングのユースケースの定義済みポリシーの詳細については、「 構成済みポリシー」を参照してください。

条件を追加または削除するには

さらに条件を追加するには、[ ポリシーの作成 ]ページの[ 次の条件が満たされる場合 ]セクションで[ 条件の追加 ]を選択します。条件を削除するには、条件の横に表示される [ - ] アイコンを選択します。

条件の追加と削除

デフォルトリスク指標とカスタムリスク指標

条件メニューは、[ ポリシーの作成 ] ページの [ 既定のリスク指標 ] タブと [ カスタムリスク指標 ] タブに基づいて分離されています。これらのタブを使用すると、ポリシー設定の条件を選択するときに選択するリスク指標のタイプを簡単に識別できます。

条件の追加と削除

アクションは何ですか

アクションは、将来の異常イベントの発生を妨げる疑わしいイベントへの応答です。異常な動作や疑わしい動作を表示するユーザーアカウントに対してアクションを適用できます。ユーザーのアカウントにアクションを自動的に適用するようにポリシーを構成するか、ユーザーのリスクタイムラインから特定のアクションを手動で適用できます。

Citrix データソースごとにグローバルアクションまたはアクションを表示できます。また、ユーザーに対して以前に適用したアクションをいつでも無効にできます。

注:

リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。

次の表に、実行できるアクションを示します。

アクション名 説明 適用可能なデータソース
グローバルアクション    
ウォッチリストに追加 将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。 すべてのデータソース
  [ ウォッチリストのユーザー] ペインには、アカウントでの 異常なアクティビティに基づいて潜在的な脅威を監視するすべてのユーザーが表示されます。組織のポリシーに基づいて、[ウォッチリストに追加] アクションを使用して、ユーザーをウォッチリストに追加できます。  
  ユーザーをウォッチリストに追加するには、ユーザーのプロフィールに移動し、[ アクション ] メニューから [ ウォッチリストに追加] を選択します。[ 適用 ] をクリックして、アクションを適用します。  
管理者に通知 ユーザーに対してリスク指標がトリガーされると、管理者に手動で通知したり、自動通知のポリシーを作成したりできます。Citrix Cloud ドメインおよび組織内の他のCitrix Cloud以外のドメインから管理者を選択できます。フルアクセス権を持つCitrix Cloud 管理者の場合、デフォルトでは、Citrix Cloud アカウントの電子メール通知は無効になっています。電子メール通知を受信するには、Citrix Cloud アカウントで有効にします。詳細については、「 メール通知を受信する」を参照してください。Security Analyticsを管理するためのカスタムアクセス許可(読み取り専用およびフルアクセス)を持つCitrix Cloud 管理者である場合、Citrix Cloud アカウントで電子メール通知が有効になります。Citrix Analytics からの電子メール通知の受信を停止するには、Citrix Cloud のフルアクセス管理者に、通知管理者の配布リストから自分の名前を削除するよう依頼します。の詳細については、「 電子メール配布リスト」を参照してください。  
エンドユーザーへの応答をリクエストする ユーザーのアカウントに異常なアクティビティや不審なアクティビティがある場合は、ユーザーがアクティビティを識別するかどうかを確認するようにユーザーに通知できます。アクティビティに基づいて、ユーザーのアカウントで実行する次のアクションを決定できます。詳細については、「 エンドユーザーへの応答をリクエストする」を参照してください。  
エンドユーザーに通知 ユーザーのアカウントで異常または疑わしいアクティビティが発生した場合、電子メール通知でエンドユーザーに通知できます。詳細については、「 エンドユーザーへの通知」を参照してください。  
NetScaler Gateway のアクション    
アクティブセッションをログオフする アクションが適用されると、現在アクティブなユーザーセッションがログオフされます。将来のユーザーセッションはブロックされません。 NetScaler Gateway のオンプレミスおよびNetScaler Application Delivery Management
ユーザーアカウントをロック 異常な動作によりユーザーのアカウントがロックされると、Gateway管理者がアカウントのロックを解除するまで、NetScaler Gateway ateway経由でリソースにアクセスできなくなります。 NetScaler Gatewayオンプレミス
ユーザーアカウントのロック解除 異常な動作が検出されなかったにもかかわらず、ユーザーのアカウントが誤ってロックされた場合、このアクションを適用してロックを解除し、アカウントへのアクセスを復元できます。 Citrix Gatewayオンプレミス
Citrix Virtual Apps and Desktopsと Citrix DaaS アクション    
アクティブセッションをログオフする アクションが適用されると、現在アクティブなユーザーセッションがログオフされます。将来のユーザーセッションはブロックされません。 Citrix DaaS(旧称:Citrix Virtual Apps and Desktopsサービス)
セッションの録画を開始 ユーザーの Virtual Desktops アカウントに異常なイベントが発生した場合、管理者はユーザーの現在のアクティブセッションの記録を開始できます。ユーザーがCitrix Virtual Apps and Desktops 7.18以降のバージョンを使用していて、仮想セッションにログインしている場合、管理者はCitrix Analytics for Securityからセッション記録開始アクションを動的にトリガーして、ユーザーの現在のアクティブなセッションの記録を開始できます。 Citrix DaaS(旧称:Citrix Virtual Apps and Desktopsサービス)

メモ

  • データソースに関係なく、リスク指標には任意のアクションを適用できます。

  • 管理者は、Citrix DaaSサイトで動的セッション記録アクションを実行したり、ユーザーの仮想セッションを動的に記録したりできるようになりました。
  • 匿名ユーザーはActive Directoryに電子メールアドレスを持っていないため、「エンドユーザーへの応答を要求」および「エンドユーザーへの通知」アクションは適用できません。そのため、Active DirectoryとCitrixCloudの間に確立された接続により、ユーザーのメールアドレスがActive Directoryで使用可能であることを確認してください。

表示専用共有

ユーザーのアカウントで「 リンクを表示専用共有に変更 」アクションを適用する前に、次の条件が満たされていることを確認します。

前提条件

  • 管理者は、Content Collaboration で [ リンクを変更して表示のみの共有 ] アクションを使用するには、Enterprise アカウントが必要です。

  • 表示のみの共有は、Citrix Content Collaborationのエンタープライズアカウントでリクエストに応じて利用できる機能です。Citrix Analytics で[ 表示専用共有へのリンクの変更 ]アクションを適用する前に、ユーザーと管理者のContent Collaboration エンタープライズアカウントで[表示のみの共有]機能が既に有効になっていることを確認してください。詳しくは、Citrix サポート記事「 CTX208601」を参照してください。

サポートされているファイルタイプ

表示のみの共有アクションは、次のファイルタイプにのみ適用されます。

  • Microsoft Officeファイル

  • PDF

  • イメージファイル (SZC v3.4.1 以降が必要):

    • BMP

    • GIF

    • JPG

    • JPEG

    • PNG

    • TIF

    • TIFF

  • Citrixが管理するストレージゾーンに保存されているオーディオおよびビデオファイル。

ポリシーとアクションの構成

たとえば、以下の手順に従って、過剰なファイル共有ポリシーを作成できます。このポリシーを使用すると、組織内のユーザーが異常に大量のデータを共有すると、共有リンクは自動的に期限切れになります。ユーザーがそのユーザーの通常の動作を超えるデータを共有すると、通知されます。過剰なファイル共有ポリシーを適用し、即座に対処することで、ユーザーのアカウントからのデータの漏洩を防ぐことができます。

ポリシーを作成するには、次の手順を実行します。

  1. Citrix Analytics にサインインしたら、[ セキュリティ]>[ポリシー]>[ポリシーの作成]の順に選択します

    ポリシーの作成

  2. [ 次の条件が満たされている場合 ] リストボックスから、アクションを適用する既定のリスク指標条件またはカスタムリスク指標条件を選択します。

    条件の追加と削除

  3. 次に実行する 」リストから、アクションを選択します。

    次に、次の操作を行います。

  4. [ Policy Name ] テキストボックスに名前を入力し、表示されるトグルボタンを使用してポリシーを有効にします。

    ポリシーの作成

  5. [ポリシーの作成] をクリックします。

ポリシーを作成すると、ポリシーが [ポリシー( Policies )] ダッシュボードに表示されます。

ポリシー ]ダッシュボードには、正常に検出され、Citrix Analytics に接続されたデータソースに関連付けられたポリシーが表示されます。ダッシュボードには、未検出のデータソースに対して条件が定義されているポリシーは表示されません。

ただし、すでに接続されているデータソースのデータ処理をオフにしても、[ポリシー] ダッシュボードの既存のポリシーには影響しません。

エンドユーザーへの応答をリクエストする

エンドユーザー応答のリクエストは 、Citrix アカウントで異常なアクティビティを検出した直後にユーザーに警告できるグローバルアクションです。アクションを適用すると、ユーザーに電子メール通知が送信されます。ユーザーは、自分の活動の正当性について電子メールで返信する必要があります。

ユーザーに適用するアクションを決定します。

ユーザーの応答に基づいて、次のアクションコースを決定できます。「ウォッチリストに追加」、「管理者に通知」などのグローバルアクションを適用できます。または、Citrix Gateway-ユーザーのロックなど、データソース固有のアクションを適用することもできます。

ユーザーが報告されたアクティビティを実行したという応答を受け取った場合、そのアクティビティは疑わしくなく、ユーザーのアカウントに対してアクションを実行する必要はありません。ユーザーにセキュリティアラートを送信できる1日あたりの上限は、3通です。

Citrix Content Collaboration ユーザーで、80分間のリスクスコアが80を超えたとします。この異常な動作についてユーザーに警告するには、「 エンドユーザーレスポンスを要求 」アクションを適用します。セキュリティアラートは、電子メール ID security-analytics@cloud.comからユーザーに送信されます。

電子メールには次の情報が含まれています。

  • リスク指標をトリガーしたユーザーのアクティビティ

  • ユーザーのデバイス

  • ユーザーアクティビティの日時

  • 製品またはサービスに正常にアクセスできる場所(都市および国)。都市または国が使用できない場合、対応する値は「不明」と表示されます。

エンドユーザー応答 の要求アクションがユーザーのリスクタイムラインに追加されます。

Citrix アカウントで検出されたアクティビティをユーザーが認識しない場合、Citrix Analytics は定義したアクションを適用します。

電子メールを受信してから1時間以内にユーザーが応答を送信しなかった場合、Citrix Analytics はそのユーザーをウォッチリストに追加します。ユーザーとそのアカウントに不審なアクティビティがないか監視し、それに応じてアクションを実行できます。

エンドユーザーへの応答をリクエストする

ユーザーの応答時間を設定する方法は

セキュリティ警告メールに対するユーザーの応答時間を設定できます。指定された期間内に報告されたアクティビティにユーザーが応答しない場合、そのユーザーは監視対象のウォッチリストに追加されます。

ユーザーの応答時間を設定する手順は、次のとおりです。

  1. 設定 > アラート設定 > エンドユーザーメール設定をクリックします

    時間設定ナビゲーション

  2. [ エンドユーザの電子メール設定] ページで、テキストボックスに分数を入力します。

    時間設定

  3. [変更の保存] をクリックします。

また、セキュリティ警告メールにバナー、ヘッダーテキスト、フッターテキストを追加して、正当に見えるようにしたり、ユーザーの注意を引いたり、応答時間を長くしたりすることもできます。詳細については、「 エンドユーザーのメール設定」を参照してください。

エンドユーザーに通知

エンドユーザーへの通知は 、エンドユーザーのCitrixアカウントで異常または疑わしい動作が検出されたときに、エンドユーザーに電子メール通知を送信できるグローバルアクションです。メールの件名とメッセージ本文はカスタマイズ可能です。ポリシーがトリガーされた後にアクションが適用されると、ユーザーに電子メール通知が送信されます。エンドユーザーからの応答は要求されず、ユーザーのアカウントに対して破壊的なアクションは実行されません。

エンドユーザーに通知

このアクションは、組み込みまたはカスタムのリスク指標トリガーに基づいて、さまざまなコンプライアンスユースケースに対応するのに役立ちます。メールの件名と本文はカスタマイズ可能なため、エンドユーザーへの通知の一般的なユースケースの多くにも柔軟に対応できます。これらのユースケースでは、ユーザーのアカウントで応答や混乱を招くようなアクションを実行する必要がありません。

電子メールには次の情報が含まれています。

  • アクションに関連するポリシー名。

  • ユーザーのデバイス (利用可能な場合)

  • ユーザーアクティビティの日時

エンドユーザーへのメール通知は、電子メール ID security-analytics@cloud.comから送信されます。

注:

各ポリシーでの 1 日の上限は、1 ユーザーあたり 3 通のメールです。このしきい値を超えると、アクションは適用されず、エンドユーザーには電子メール通知は送信されません。アクションはユーザーのタイムラインビューに表示され、「ユーザーの 1 日あたりのメールの上限に達しました」というメッセージが表示されます

アクションはユーザーのリスクタイムラインに追加されます。ただし、これは手動操作ではないため、タイムラインビューからユーザーに適用することはできません。

エンドユーザーのメールコンテンツのカスタマイズ

以前は、Citrix Analytics の管理者がエンドユーザーに手動で連絡して、疑わしいアクティビティの検出に関する修正手順を提供していましたが、インシデントをクローズするには時間のかかるプロセスでした。

エンドユーザーへの応答要求、エンドユーザーへの通知、および情報メールに、エンドユーザーの電子メールコンテンツのカスタマイズ機能が導入されました 。エンドユーザーへの返信メールは、ユーザーの検証/応答を求めていますが、情報メールには、疑わしいアクティビティの種類と、すでに実行された修復アクションの種類が表示されます。エンドユーザーへの通知メールは、エンドユーザーに返信を求めることなく、Citrixアカウントでのコンプライアンス違反や疑わしいアクティビティについてエンドユーザーに通知します。

エンドユーザーのメールコンテンツのカスタマイズ機能を使用すると、Citrix Analytics 管理者は、エンドユーザーへの応答要求/エンドユーザーへの通知/情報メール本文テンプレートにカスタムメッセージを追加できます 。リッチテキストボックスエディタを使用すると、管理者は太字、斜体、ハイパーリンクなどのさまざまな編集ツールを使用して、ポリシーごとにコンテンツを変更できます。

注:

エンドユーザーの電子メールコンテンツのカスタマイズ機能は、 ポリシーベースのアクションでのみ使用でき、手動アクションには使用できません

次の 3 種類のメールの内容をカスタマイズできます。

  • エンドユーザーからの返信メールをリクエストします。
  • エンドユーザーへのメール通知
  • 以下のエンドユーザーアクションのいずれかが実行された場合に送信される電子メール。
    • Citrix アプリとデスクトップ]の下のログオフアクション
    • ログオフしてNetScaler Gatewayでユーザーをロックする

ポリシーのリストは、[ セキュリティ] > [ポリシー ] タブで表示できます。

ポリシーを表示

既存のポリシーをクリックするか、新しいポリシーを作成する際に、カスタマイズされたメール本文を表示できます。右側のペインには、更新された電子メールコンテンツのプレビューが表示されます。

メール本文をカスタマイズする

  • 管理者は、「 デフォルトにリセット」リンクをクリックして、コンテンツをデフォルトテンプレートに設定できます 。カスタムボディの文字数制限は 1000 です。

  • エンドユーザーに通知 」アクションでは、「 件名 」フィールドも管理者がカスタマイズできます。「デフォルトにリセット」リンクをクリックすると、 デフォルトにリセットできます 。カスタムメールの件名の文字制限は 500 文字です。

[ Save Changes ] をクリックして、ポリシーを作成/更新します。ポリシーがトリガーされると、次の電子メール通知がエンドユーザーに送信されます。

  • エンドユーザー応答メールのリクエスト:ユーザー応答を要求するメールを送信するポリシーアクションです。
  • エンドユーザーへの通知メール:エンドユーザーに、Citrixアカウントでのコンプライアンス上の問題や疑わしいアクティビティなどを知らせるメール通知です。
  • 情報メール:エンドユーザーのアクション後に送信される情報メール。

エンドユーザーは電子メールを読み、管理者の要求に応じて修復アクションを完了できます。

注:

読み取り専用アクセス権を持つ管理者は、メール本文を編集/追加できません。

中断を伴うアクションを適用した後にユーザーに通知する

このアクションタイプでは、異常なアクティビティが検出されたときに、ユーザーのログオフユーザーのロックなどの中断を伴うアクションをユーザーのアカウントに適用できます 。ユーザーのアカウントにアクションが適用されると、そのアカウントへのサービスが中断される場合があります。そのような場合、ユーザーは以前のように自分のアカウントにアクセスできるように管理者に連絡する必要があります。

Citrix Content Collaboration ユーザーで、80分間のリスクスコアが80を超えたとします。ユーザーをログオフできます。このタスクを実行すると、ユーザーは自分のアカウントにアクセスできなくなり、電子メール ID security-analytics@cloud.comから電子メール通知がユーザーに送信されます。電子メールには、アクティビティ、デバイス、日付と時刻、IP アドレスなどのイベントの詳細が含まれています。ユーザーは、以前のように管理者に連絡してアカウントにアクセスする必要があります。

破壊的アクションを適用する

アクションを手動で適用する

新しいデバイスを使用して初めてネットワークにサインインするユーザー Lemuel を考えてみましょう。彼女の行動が異常であるために彼女のアカウントを監視するには、[ 管理者に通知] アクションを使用できます。

アクションをユーザーに手動で適用するには、次の操作を行う必要があります。

ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ] メニューから、[ 管理者に通知] アクションを選択し、[ 適用] をクリックします。

操作一覧

アカウントを監視するために、すべての管理者または選択した管理者に電子メール通知が送信されます。適用されたアクションがリスクタイムラインに追加され、アクションの詳細がリスクタイムラインページの右ペインに表示されます。

適用されたアクション

メモ

  • フルアクセス権を持つCitrix Cloud 管理者の場合、デフォルトでは、Citrix Cloud アカウントの電子メール通知は無効になっています。電子メール通知を受信するには、Citrix Cloud アカウントで有効にします。詳細については、「 メール通知を受信する」を参照してください。

  • Security Analyticsを管理するためのカスタムアクセス許可(読み取り専用およびフルアクセス)を持つCitrix Cloud 管理者である場合、Citrix Cloud アカウントで電子メール通知が有効になります。Citrix Analytics からの電子メール通知の受信を停止するには、Citrix Cloud のフルアクセス管理者に、通知管理者の配布リストから自分の名前を削除するよう依頼します。の詳細については、「 電子メール配布リスト」を参照してください。

ポリシーの管理

ポリシーダッシュボードを表示して、Citrix Analytics で作成されたすべてのポリシーを管理して、ネットワーク上の不整合を監視および識別できます。[ポリシー] ダッシュボードでは、次の操作を実行できます。

  1. ポリシーのリストを表示する

  2. ポリシーの詳細

    • ポリシーの名前

    • ステータス — 有効または無効。

    • ポリシーの期間:ポリシーがアクティブまたは非アクティブであった日数。

    • 発生回数 — ポリシーがトリガーされた回数。

    • Modified — ポリシーが変更された場合のみタイムスタンプ。

  3. ポリシーを削除する

    • ポリシーを削除するには、削除するポリシーを選択し、[ Delete] をクリックします。

    • または、ポリシーの名前をクリックして、[ポリシーの変更] ページにリダイレクトできます。[ ポリシーの削除] をクリックします。ダイアログで、ポリシーを削除するリクエストを確認します。

  4. ポリシーを作成する

  5. ポリシーの名前をクリックすると、詳細が表示されます。ポリシーの名前をクリックしたときに、ポリシーを変更することもできます。他に実行できる変更は次のとおりです。

    • ポリシーの名前を変更します。

    • ポリシーの条件。

    • 適用されるアクション。

    • ポリシーを有効または無効にします。

    • ポリシーを削除します。

  • ポリシーを削除したくない場合は、ポリシーを無効にすることができます。

  • [ポリシー] ダッシュボードでポリシーを再度有効にするには、次の手順を実行します。

    • On the Policies dashboard, click the Status slider button and refresh the page. The Status slider button turns green.

    • On the Modify Policy page, click the Enabled slider button on the bottom of the page.

サポートされるモード

Citrix Analyticsは、次のポリシーモードをサポートしています。

  • 強制モード -このモードでは、構成されたポリシーがユーザーアカウントに影響します。

  • モニタモード -このモードでは、設定されたポリシーはユーザアカウントに影響を与えません。ポリシー設定をテストする場合は、ポリシーをこのモードに設定できます。

次の手順に従って、ポリシーのモードを設定します。

  1. [ セキュリティ ] > [ ポリシー] に移動します。

  2. ポリシーページで検索バーの横に表示されている右上隅のアイコンを選択します[モードを選択] ウィンドウが表示されます。

  3. 目的のモードを選択し、[ 設定の保存] をクリックします。

Analytics によって作成されたデフォルトのポリシーは、監視モードに設定されます。その結果、既存のポリシーもこのモードを継承します。すべてのポリシーの影響をまとめて評価し、強制モードに変更できます。

ポリシーモード

ポリシーのセルフサービス検索

[ セルフサービス検索 (Self-Service Search)] ページでは、ポリシーで定義されている条件を満たしたユーザーイベントを表示できます。このページには、これらのユーザーイベントに適用されたアクションも表示されます。適用されたアクションに基づいてユーザーイベントをフィルタリングします。

ポリシーとアクション