Citrix Secure Private Access リスク指標
危険なウェブサイトへのアクセス
注: セキュア・プライベート・アクセスによるカテゴリベースのWebフィルタリングの廃止により、Citrix Analytics for Securityの以下の機能が影響を受けます。
- カテゴリグループ、カテゴリ、URLのレピュテーションなどのデータフィールドは、Citrix Analytics for Securityダッシュボードでは使用できなくなりました。
- 同じデータに依存する危険な Web サイトアクセスインジケーターも廃止され、お客様には表示されなくなりました。
- データフィールド(カテゴリグループ、カテゴリ、URL の評価)とそれに関連するポリシーを使用する既存のカスタムリスク指標は、もうトリガーされません。
セキュア・プライベート・アクセスからの廃止の詳細については、「 機能の非推奨」を参照してください。
ブラックリストに載っているURLにアクセスしようとしました
Citrix Analytics は、ユーザーがアクセスしたブラックリストに登録されたURLに基づいてデータアクセスの脅威を検出し、対応するリスク指標をトリガーします。
[ ブラックリストURLへのアクセスの試み ]リスク指標は、[セキュアプライベートアクセス]で構成されたブラックリストに登録されたURLにユーザーがアクセスしようとすると、Citrix Analytics で報告されます。
ブラックリストURLにアクセスしようとするリスク指標に関連するリスク要因は 、その他のリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。
ブラックリストに登録された URL リスク指標へのアクセスの試みがトリガーされるのはいつですか?
Secure Private Access には、ブラックリストに登録された URL へのアクセスを制限するポリシーベースの制御を提供する URL 分類機能が含まれています。ユーザーがブラックリストに登録されたURLにアクセスしようとすると、セキュアプライベートアクセスはこのイベントをCitrix Analytics に報告します。Citrix Analytics では、ユーザーのリスクスコアが更新され、 ユーザーのリスクタイムラインにブラックリストに登録されたURLリスク指標へのアクセス試行エントリが追加されます 。
ブラックリストに登録されたURLリスク指標へのアクセスの試みを分析する方法は
ユーザーGeorgina Kalouが、セキュア・プライベート・アクセスで構成されたブラックリストに登録されたURLにアクセスしたとします。セキュアプライベートアクセスはこのイベントをCitrix Analytics に報告し、更新されたリスクスコアをGeorgina Kalouに割り当てます。ブラックリストに登録された URL にアクセスしようとするリスク指標が Georgina Kalou のリスクタイムラインに追加されます。
Georgina Kalouのリスクタイムラインから、報告された「 ブラックリストURLへのアクセス試み 」リスク指標を選択できます。イベントの理由は、イベントの時間、Webサイトの詳細など、イベントの詳細とともに表示されます。
ユーザの [ブラックリストへのアクセスの試行 ] エントリを表示するには、[ セキュリティ] > [ユーザ] に移動し、ユーザを選択します。
タイムラインから [ ブラックリストに載った URL リスク指標へのアクセスを試みる ] エントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。
-
WHAT HAPPENEDセクションには 、リスク指標の簡単な概要が表示されます。これには、選択した期間中にユーザーがアクセスしたブラックリストに登録された URL の詳細が含まれます。
-
[ EVENT DETAILS ] セクションには、選択した期間中に発生した個々のイベントのタイムラインビジュアライゼーションが含まれます。また、各イベントに関する次の重要な情報も表示できます。
-
時間。イベントが発生した時刻。
-
ウェブサイト。ユーザーがアクセスする危険な Web サイト。
-
カテゴリ。ブラックリストに登録された URL の [セキュアプライベートアクセス] で指定されたカテゴリ。
-
評判評価。ブラックリストに登録された URL について、セキュアプライベートアクセスによって返されるレピュテーション評価。詳細については、 URL レピュテーションスコアを参照してください。
-
ユーザーに適用できるアクション
ユーザーのアカウントでは、次の操作を実行できます。
-
ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。
-
管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。
アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。
アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。
注:
リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。
異常なアップロードボリューム
Citrix Analytics は、異常なアップロードボリュームアクティビティに基づいてデータアクセスの脅威を検出し、対応するリスク指標をトリガーします。
異常なアップロードボリュームリスク指標は 、ユーザーがアプリケーションまたはWebサイトに過剰量のデータをアップロードしたときに報告されます。
異常なアップロードボリュームのリスク指標に関連するリスク要因は、その他のリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。
異常なアップロードボリュームリスク指標はいつトリガーされますか?
Secure Private Access を構成して、アクセスした悪意のある、危険な、または不明な Web サイト、消費された帯域幅、危険なダウンロードやアップロードなどのユーザーアクティビティを監視できます。組織内のユーザーがアプリケーションまたはWebサイトにデータをアップロードすると、Secure Private AccessはこれらのイベントをCitrix Analytics に報告します。
Citrix Analytics これらすべてのイベントを監視し、このユーザーアクティビティがユーザーの通常の行動に反していると判断した場合、ユーザーのリスクスコアを更新します。異常なアップロードボリュームリスク指標がユーザーのリスクタイムラインに追加されます 。
異常なアップロードボリュームのリスク指標を分析するには?
アプリケーションやウェブサイトに過剰な量のデータをアップロードしたユーザーAdam Maxwellを考えてみましょう。セキュアプライベートアクセスはこれらのイベントをCitrix Analytics に報告し、更新されたリスクスコアをAdam Maxwellに割り当てます。異常なアップロードボリュームリスク指標が Adam Maxwell のリスクタイムラインに追加されます。
Adam Maxwell のリスクタイムラインから、 報告された異常なアップロードボリュームリスク指標を選択できます 。イベントの理由は、イベントの時間やドメインなど、イベントの詳細とともに表示されます。
異常なアップロードボリュームリスク指標を表示するには 、[ セキュリティ] > [ユーザー] に移動し、ユーザーを選択します。
タイムラインから [ 異常なアップロードボリュームのリスクインジケータ ] エントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。
-
WHAT HAPPENEDセクションには 、選択した期間中にアップロードされたデータの量など、リスク指標の簡単な概要が表示されます。
-
[ EVENT DETAILS ] セクションには、選択した期間中に発生した個々のデータアップロードイベントのタイムラインビジュアライゼーションが含まれます。また、各イベントに関する次の重要な情報も表示できます。
-
時間。過剰なデータがアプリケーションまたは Web サイトにアップロードされた時刻。
-
ドメイン。ユーザーがデータをアップロードしたドメイン。
-
アップロードサイズ。ドメインにアップロードされたデータの量。
-
ユーザーに適用できるアクション
ユーザーのアカウントでは、次の操作を実行できます。
-
ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。
-
管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。
アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。
アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。
注:
リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。
過剰なデータのダウンロード
Citrix Analyticsは、ネットワーク内のユーザーがダウンロードした過剰なデータに基づいてデータアクセスの脅威を検出し、対応するリスク指標をトリガーします。
リスク指標は、組織内のユーザーがアプリケーションまたは Web サイトから過剰な量のデータをダウンロードしたときに報告されます。
過剰なデータダウンロードリスク指標はいつトリガーされますか?
Secure Private Access を構成して、アクセスした悪意のある、危険な、または不明な Web サイト、消費された帯域幅、危険なダウンロードやアップロードなどのユーザーアクティビティを監視できます。組織内のユーザーがアプリケーションまたはWebサイトからデータをダウンロードすると、Secure Private AccessはこれらのイベントをCitrix Analytics に報告します。
Citrix Analytics は、これらすべてのイベントを監視し、ユーザーアクティビティがユーザーの通常の行動に反していると判断した場合、ユーザーのリスクスコアを更新します。過剰データのダウンロードリスク指標がユーザーのリスクタイムラインに追加されます。
過剰なデータダウンロードのリスク指標に関連するリスク要因は、その他のリスク指標です。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。
過剰なデータダウンロードのリスク指標を分析する方法は
ユーザー「Georgina Kalou」を考えてみましょう。GerginaはアプリケーションやWebサイトから過剰な量のデータをダウンロードしました。Secure Private AccessはこれらのイベントをCitrix Analytics に報告し、更新されたリスクスコアをGeorgina Kalouに割り当て、 ユーザーのリスクタイムラインに過剰なデータダウンロードリスク指標エントリを追加します 。
Georgina Kalouのリスクタイムラインから、 報告された過剰データのダウンロードリスク指標を選択できます 。イベントの理由は、時間やドメインの詳細など、イベントの詳細とともに表示されます。
[過剰なデータダウンロード] リスク指標を表示するには、 [セキュリティ] > [ユーザー] に移動して、ユーザーを選択します。
タイムラインから [ 過剰なデータのダウンロードリスクインジケータ ] エントリを選択すると、対応する詳細情報パネルが右側のペインに表示されます。
-
WHAT HAPPENEDセクションには 、選択した期間中にダウンロードされたアップロードされたデータの量など、リスク指標の簡単な概要が表示されます。
-
[ EVENT DETAILS ] セクションには、選択した期間中に発生した個々のデータダウンロードイベントのタイムラインビジュアライゼーションが含まれます。また、各イベントに関する次の重要な情報も表示できます。
-
時間。過剰なデータがアプリケーションまたは Web サイトにダウンロードされた時刻。
-
ドメイン。ユーザーがデータをダウンロードしたドメイン。
-
ダウンロードサイズ。ドメインにダウンロードされたデータの量。
-
ユーザーに適用できるアクション
ユーザーのアカウントでは、次の操作を実行できます。
-
ウォッチリストに追加する。将来の潜在的な脅威についてユーザーを監視する場合は、ウォッチリストに追加できます。
-
管理者に通知します。ユーザーのアカウントで異常なアクティビティや疑わしいアクティビティが発生すると、すべての管理者または選択した管理者に電子メール通知が送信されます。
アクションの詳細とアクションを手動で設定する方法については、「 ポリシーとアクション」を参照してください。
アクションをユーザーに手動で適用するには、ユーザーのプロファイルに移動し、適切なリスク指標を選択します。[ アクション ]メニューからアクションを選択し、[ 適用]をクリックします。
注:
リスク指標をトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。