事前構成されたカスタムリスクインジケーターとポリシー
Citrix Analytics for Security は、Citrix インフラストラクチャのセキュリティを監視するのに役立つ、事前構成された カスタムリスクインジケーター と ポリシー のリストを提供します。これらの事前構成されたカスタムリスクインジケーターとポリシーの条件は、侵害されたユーザー、内部脅威、データ流出などの特定のセキュリティリスクシナリオに従ってすでに定義されています。セキュリティ要件に応じて、これらの事前構成された条件を変更したり、独自の条件を追加したりして、カスタムリスクインジケーターを使用してリスクを軽減することもできます。
現在、事前構成されたカスタムリスクインジケーターは、次のシナリオで利用できます。
-
ジオフェンシング
-
初回アクセス
ジオフェンシングシナリオの事前構成されたカスタムリスクインジケーター
ジオフェンス領域外からのユーザーイベントを検出するには、次の事前構成されたカスタムリスクインジケーターを使用します。
-
CVAD-Session started outside of geofence
-
GW-Geofence crossing
事前構成されたカスタムリスクインジケーターは、ユーザーが通常の運用国またはジオフェンス外から Citrix® 製品にアクセスするたびにトリガーされます。デフォルトでは、ジオフェンスは「米国」に設定されています。必要な国をジオフェンスとして設定できます。
注
CVAD-Session started outside of geofence リスクインジケーターは、Access Assurance Location 機能の [ジオフェンス設定] にリンクされています。そのため、リスクインジケーターの条件でジオフェンスされた国を直接変更することはできません。リスクインジケーターでジオフェンスされた国を更新するには、Access Assurance Location ダッシュボードの [ジオフェンス設定] で国を選択します。詳細については、Access assurance location ダッシュボード を参照してください。
事前構成されたカスタムリスクインジケーターを表示するには、[セキュリティ] > [カスタムリスクインジケーター] を選択します。
デフォルトでは、事前構成されたカスタムリスクインジケーターは無効になっています。[ステータス] ボタンを使用して有効にします。
次の表は、ジオフェンシング用のさまざまな事前構成されたカスタムリスクインジケーターについて説明しています。
| カスタムリスクインジケーター名 | シナリオ | カスタムインジケーター条件 | データソース | リスクカテゴリ |
|---|---|---|---|---|
| CVAD-Session started outside of geofence | ユーザーが運用国以外で仮想セッションを開始しました | Event-Type = Session.logon Country != “United States” | Citrix Workspace app | 侵害されたユーザー |
| GW-Geofence crossing | ユーザーが運用国以外から正常に認証しました | Event-Type = “VPN_AI” AND Country != “United States” | Citrix Gateway (on-premises) | 侵害されたユーザー |
ジオフェンシングシナリオの事前構成されたポリシー
Citrix は、ユーザーが運用国以外から仮想セッションを開始するたびに、ユーザーアカウントに [エンドユーザー応答の要求] アクションを適用する事前構成されたポリシーを提供します。ユーザーは電子メールを受信し、ユーザーの応答に基づいて、ユーザーをウォッチリストに追加したり、管理者にさらなるアクションを通知したりするなど、適切なアクションが実行されます。詳細については、エンドユーザー応答の要求 を参照してください。
事前構成されたポリシーを表示するには、[セキュリティ] > [ポリシー] を選択します。
次の表は、ジオフェンシング用の事前構成されたポリシーについて説明しています。
| ポリシー名 | シナリオ | ポリシー条件 | 適用されるアクション |
|---|---|---|---|
| Session start outside of geofence | ユーザーが運用国以外で仮想セッションを開始したときに、「エンドユーザー応答の要求」アクションを通じて管理者がユーザーの正当性を検証する機能 | 事前構成されたカスタムリスクインジケーター「CVAD-Session started outside of geofence」と併用 | Request End-User Response |
| 以下のユーザーの応答に基づいて、対応するアクションが適用されます。 | |||
| ユーザーがアクティビティを認識しない場合: ウォッチリストに追加 | |||
| ユーザーがアクティビティを認識する場合: アクション不要 | |||
| ユーザーが電子メールを受信してから 60 分以内に応答しない場合: ユーザーをウォッチリストに追加 |
注
[エンドユーザー応答の要求] アクションは、米国リージョンでのみサポートされています。そのため、組織が Citrix Cloud™ の欧州連合リージョンにオンボーディングされている場合、事前構成されたポリシーはアカウントに適用されません。事前構成されたポリシーを使用するには、ポリシーを変更し、別の任意のアクションを選択してください。
ジオフェンシング用の事前構成されたカスタムリスクインジケーターで独自のポリシーを作成
これらの事前構成されたカスタムリスクインジケーターを使用して独自のポリシーを作成し、インジケーターがトリガーされるたびにユーザーをロックしたり、ユーザーをログオフしたりするなどのアクションを適用することもできます。ポリシーの作成方法については、ポリシーとアクションの構成 を参照してください。
次の例は、米国以外から Citrix サービスにアクセスしようとするユーザーをロックするポリシーを示しています。ユーザーがアクセスアクティビティを認識しない場合、ユーザーアクセスはロックされます。
-
条件: GW-Geofence crossing
-
アクション: エンドユーザー応答の要求
-
次のアクション: ユーザーがアクティビティを認識しない場合、ユーザーをロックする
注
[エンドユーザー応答の要求] アクションは、米国リージョンでのみサポートされています。そのため、組織が欧州連合リージョンにオンボーディングされている場合、[エンドユーザー応答の要求] アクションの代わりに、別の任意のアクションを選択してください。
初回アクセスシナリオの事前構成されたカスタムリスクインジケーター
初回アクセスシナリオのユーザーイベントを検出するには、次のカスタムリスクインジケーターを使用します。
-
CVAD-First time access from new device
-
Gateway-First time access from new IP
デフォルトでは、これらの事前構成されたカスタムリスクインジケーターは有効な状態です。無効にする場合は、[ステータス] ボタンを使用します。
次の表は、初回アクセス用の事前構成されたカスタムリスクインジケーターについて説明しています。
| カスタムインジケーター名 | シナリオ | 事前構成された条件 | データソース | リスクカテゴリ |
|---|---|---|---|---|
| CVAD-First time access from new device | Citrix Workspace アプリユーザーが次のいずれかからサインインした場合 | 次の条件はデフォルトで有効になっています | Citrix Virtual Apps and Desktops on-premises and Citrix DaaS (formerly Citrix Virtual Apps and Desktops service) | 侵害されたユーザー |
| 新しいデバイス | 新しいデバイス ID の初回。 | |||
| 過去 90 日間使用されていない既存のデバイス | Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") |
|||
| Gateway-First time access from new IP | Citrix Gateway ユーザーが次のいずれかから正常にサインインした場合 | 次の条件はデフォルトで有効になっています | Citrix Gateway | 侵害されたユーザー |
| 新しいパブリック IP アドレス | 新しいクライアント IP の初回 | |||
| 過去 90 日間使用されていない既存のパブリック IP アドレス | Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 |
条件バーでは、事前構成された条件に加えて独自の条件を追加し、要件に応じて脅威を特定することもできます。
たとえば、特定の国からのユーザーイベントを特定したい場合は、事前構成された条件とともに国ディメンションを追加できます。
-
Event-Type = "Session.Logon" AND Client-Type IN ("XA.Receiver.Windows", "XA.Receiver.Mac", "XA.Receiver.Chrome", "XA.Receiver.Android", "XA.Receiver.Linux", "XA.Receiver.iOS") AND Country = “United States” -
Event-Type = "Authentication" AND Status-Code = "Successful login" AND Client-IP-Type != "private" AND Access-Insight-Flags = 1 AND Country = “United States”