事前設定されたカスタムリスクインジケーターとポリシー
Citrix Analytics for Securityには、 事前構成されたカスタムリスク指標のリストと 、Citrix インフラストラクチャのセキュリティを監視するのに役立つポリシーが用意されています 。これらの事前設定されたカスタムリスク指標とポリシーの条件は、侵害されたユーザー、内部者の脅威、データ漏洩などの特定のセキュリティリスクシナリオに従って既に定義されています。また、これらの事前構成済みの条件を変更したり、セキュリティ要件に応じて独自の条件を追加し、カスタムリスク指標を使用してリスクを軽減することもできます。
現在、事前設定されたカスタムリスク指標は、次のシナリオで使用できます。
-
ジオフェンシング
-
初回アクセス
ジオフェンシングシナリオの事前設定されたカスタムリスク指標
以下の事前設定されたカスタムリスク指標を使用して、ジオフェンスエリア外からのユーザーイベントを検出します。
-
CVAD-セッションがジオフェンスの外で開始されました
-
GW-ジオフェンスクロッシング
事前構成されたカスタムリスク指標は、ユーザーが通常の運用国またはジオフェンスの外部からCitrix 製品にアクセスするたびにトリガーされます。デフォルトでは、ジオフェンスは「米国」に設定されています。必要な国をジオフェンスとして設定できます。
(注
) ジオフェンスのリスクインジケータの外で開始された CVAD セッションは 、 アクセス保証ロケーション機能のジオフェンス設定にリンクされています 。したがって、リスク指標の状態でジオフェンスされた国を直接変更することはできません。リスク指標でジオフェンスされた国を更新するには、[アクセス保証ロケーション] ダッシュボードの [ ジオフェンスの設定] で国を選択します。詳細については、 アクセス保証ロケーションダッシュボードを参照してください。
事前設定されたカスタムリスク指標を表示するには、[ セキュリティ] > [カスタムリスク指標] を選択します。
デフォルトでは、事前設定されたカスタムリスク指標は無効になっています。STATUS ボタンを使用して有効にします。
次の表に、ジオフェンスの事前構成済みのさまざまなカスタムリスク指標を示します。
カスタムリスク指標名 | シナリオ | カスタムインジケーター条件 | データソース | リスクカテゴリ |
---|---|---|---|---|
CVAD-セッションがジオフェンスの外で開始されました | ユーザーが操作する国以外で仮想セッションを開始しました | Event-Type = session.Logon Country!=「アメリカ合衆国」 | Citrix Workspaceアプリ | 侵害されたユーザー |
GW-ジオフェンスクロッシング | ユーザーは、自国のオペレーション国外からの認証に成功しました | Event-Type =「VPN_AI」と国!= 「アメリカ合衆国」 | NetScaler Gateway (オンプレミス) | 侵害されたユーザー |
ジオフェンシングシナリオの事前設定されたポリシー
シトリックスには、 ユーザーが運用国以外から仮想セッションを開始するたびに、ユーザーアカウントに「エンドユーザー応答の要求 」アクションを適用する構成済みのポリシーが用意されています。ユーザーは電子メールを受信し、ユーザーの応答に基づいて、ユーザーをウォッチリストに追加したり、追加のアクションを管理者に通知するなど、適切なアクションが実行されます。詳細については、「 エンドユーザーへの応答をリクエストする」を参照してください。
構成済みのポリシーを表示するには、[ セキュリティ] > [ポリシー] を選択します。
次の表に、ジオフェンシングの事前設定されたポリシーについて説明します。
ポリシー名 | シナリオ | ポリシー条件 | 適用されたアクション |
---|---|---|---|
ジオフェンス外でのセッション開始 | ユーザーが操作国外で仮想セッションを開始したときに、管理者が「エンドユーザー応答のリクエスト」アクションを通じてユーザーの正当性を検証する機能 | 事前設定されたカスタムリスクインジケータ-「ジオフェンスの外部で開始されたCVAD-セッション」とともに使用します | エンドユーザー応答のリクエスト |
次のユーザーの応答に基づいて、対応するアクションが適用されます。 | |||
ユーザーがアクティビティを認識しない場合: ウォッチリストに追加する | |||
ユーザーがアクティビティを認識した場合: アクションは不要 | |||
ユーザーがメールを受信してから 60 分以内に応答しない場合: ユーザーをウォッチリストに追加します。 |
注
エンドユーザー応答のリクエストアクションは 、米国リージョンでのみサポートされています。そのため、組織がCitrix Cloud の欧州連合リージョンにオンボーディングされている場合、事前構成されたポリシーはアカウントに適用されません。事前設定されたポリシーを使用するには、ポリシーを変更して、選択した別のアクションを選択します。
ジオフェンシングのカスタムリスク指標を事前に構成して独自のポリシーを作成する
また、これらの事前設定されたカスタムリスク指標を使用して独自のポリシーを作成し、指標がトリガーされるたびにユーザーのロックやユーザーのログオフなどのアクションを適用することもできます。ポリシーの作成方法については、「 ポリシーとアクションの構成」を参照してください。
次の例は、米国外からCitrixサービスにアクセスしようとするユーザーをロックするポリシーを示しています。ユーザーがアクセスアクティビティを認識しない場合、ユーザーアクセスはロックされます。
条件:GW-Geofence 交差点
アクション:エンドユーザーの応答をリクエストする
次のアクション:ユーザーがアクティビティを認識しない場合、ユーザーをロックする
注
エンドユーザー応答のリクエストアクションは 、米国リージョンでのみサポートされています。したがって、組織が欧州連合地域にオンボーディングされている場合は、 エンドユーザー応答の要求 アクションではなく、選択した別のアクションを選択してください。
初回アクセスシナリオ用に事前設定されたカスタムリスク指標
次のカスタムリスク指標を使用して、初回アクセスシナリオのユーザーイベントを検出します。
-
CVAD-新しいデバイスからの初回アクセス
-
新しい IP からのゲートウェイファーストタイムアクセス
デフォルトでは、これらの事前設定されたカスタムリスク指標は有効状態です。STATUS ボタンを無効にするには、[STATUS] ボタンを使用します。
次の表は、初回アクセス用に事前設定されたカスタムリスク指標を示しています。
カスタムインジケータ名 | シナリオ | 事前構成された条件 | データソース | リスクカテゴリ |
---|---|---|---|---|
CVAD-新しいデバイスからの初回アクセス | Citrix Workspaceアプリユーザーが次のいずれかからサインインすると: | デフォルトでは、次の条件が有効になっています。 | Citrix Virtual Apps and Desktops オンプレミスと Citrix DaaS(旧Citrix Virtual Apps and Desktops サービス) | 侵害されたユーザー |
新しいデバイス | 新しいデバイス ID を初めて使用する。 | |||
過去 90 日間使用されていない既存のデバイス。 | Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") |
|||
新しい IP からのゲートウェイファーストタイムアクセス | NetScaler Gateway ユーザーが次のいずれかから正常に署名した場合: | デフォルトでは、次の条件が有効になっています。 | Citrix Gateway | 侵害されたユーザー |
新しいパブリック IP アドレス | 新しいクライアント IP を初めて使用する | |||
過去 90 日間使用されていない既存のパブリック IP アドレス。 | Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 |
条件バーでは、要件に従って脅威を特定するために、事前設定された条件に加えて、独自の条件を追加することもできます。
たとえば、特定の国のユーザーイベントを特定する場合は、事前設定された条件とともに国ディメンションを追加できます。
-
Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States”
-
Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”