Citrix Secure Private Access™ リスクインジケーター
危険なウェブサイトへのアクセス
注 Secure Private AccessによるカテゴリベースのWebフィルタリングの廃止に伴い、Citrix Analytics for Security™の以下の機能が影響を受けます。
- URLのカテゴリグループ、カテゴリ、レピュテーションなどのデータフィールドは、Citrix Analytics for Securityダッシュボードでは利用できなくなりました。
- 同じデータに依存する危険なウェブサイトアクセスインジケーターも廃止され、顧客に対してトリガーされません。
- データフィールド(カテゴリグループ、カテゴリ、URLのレピュテーション)を使用する既存のカスタムリスクインジケーターおよびそれに関連するポリシーは、今後トリガーされません。
Secure Private Accessからの廃止の詳細については、機能の廃止を参照してください。
ブラックリストに登録されたURLへのアクセス試行
Citrix Analyticsは、ユーザーがアクセスしたブラックリストに登録されたURLに基づいてデータアクセス脅威を検出し、対応するリスクインジケーターをトリガーします。
ブラックリストに登録されたURLへのアクセス試行リスクインジケーターは、ユーザーがSecure Private Accessで構成されたブラックリストに登録されたURLにアクセスしようとしたときに、Citrix Analyticsで報告されます。
ブラックリストに登録されたURLへのアクセス試行リスクインジケーターに関連するリスクファクターは、その他のリスクインジケーターです。リスクファクターの詳細については、Citrixユーザーリスクインジケーターを参照してください。
ブラックリストに登録されたURLへのアクセス試行リスクインジケーターがトリガーされるタイミング
Secure Private Accessには、ブラックリストに登録されたURLへのアクセスを制限するためのポリシーベースの制御を提供するURLカテゴリ分類機能が含まれています。ユーザーがブラックリストに登録されたURLにアクセスしようとすると、Secure Private AccessはこのイベントをCitrix Analyticsに報告します。Citrix Analyticsはユーザーのリスクスコアを更新し、ユーザーのリスクタイムラインにブラックリストに登録されたURLへのアクセス試行リスクインジケーターエントリを追加します。
ブラックリストに登録されたURLへのアクセス試行リスクインジケーターの分析方法
ユーザーのGeorgina Kalouが、Secure Private Accessで構成されたブラックリストに登録されたURLにアクセスしたとします。Secure Private AccessはこのイベントをCitrix Analyticsに報告し、Citrix AnalyticsはGeorgina Kalouに更新されたリスクスコアを割り当てます。ブラックリストに登録されたURLへのアクセス試行リスクインジケーターは、Georgina Kalouのリスクタイムラインに追加されます。
Georgina Kalouのリスクタイムラインから、報告されたブラックリストに登録されたURLへのアクセス試行リスクインジケーターを選択できます。イベントの理由が、イベントの時刻やウェブサイトの詳細などのイベントに関する情報とともに表示されます。
ユーザーのブラックリストに登録されたURLへのアクセス試行エントリを表示するには、Security > Usersに移動し、ユーザーを選択します。
タイムラインからブラックリストに登録されたURLへのアクセス試行リスクインジケーターエントリを選択すると、対応する詳細情報パネルが右ペインに表示されます。
- WHAT HAPPENEDセクションには、リスクインジケーターの簡単な概要が示されます。これには、選択した期間中にユーザーがアクセスしたブラックリストに登録されたURLの詳細が含まれます。
-
EVENT DETAILSセクションには、選択した期間中に発生した個々のイベントのタイムライン視覚化が含まれます。また、各イベントに関する以下の主要な情報を表示できます。
-
時刻。イベントが発生した時刻。
-
ウェブサイト。ユーザーがアクセスした危険なウェブサイト。
-
カテゴリ。Secure Private Accessによってブラックリストに登録されたURLに指定されたカテゴリ。
-
レピュテーション評価。Secure Private Accessによってブラックリストに登録されたURLに対して返されたレピュテーション評価。詳細については、URLレピュテーションスコアを参照してください。
-
ユーザーに適用できるアクション
ユーザーのアカウントに対して、次のアクションを実行できます。
-
ウォッチリストに追加。将来の潜在的な脅威についてユーザーを監視したい場合は、ウォッチリストに追加できます。
-
管理者への通知。ユーザーのアカウントで異常または不審なアクティビティがあった場合、すべてまたは選択された管理者に電子メール通知が送信されます。
アクションとそれらを手動で構成する方法の詳細については、ポリシーとアクションを参照してください。
アクションを手動でユーザーに適用するには、ユーザーのプロファイルに移動し、適切なリスクインジケーターを選択します。Actionsメニューからアクションを選択し、Applyをクリックします。
注
リスクインジケーターをトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。
異常なアップロード量
Citrix Analyticsは、異常なアップロード量のアクティビティに基づいてデータアクセス脅威を検出し、対応するリスクインジケーターをトリガーします。
異常なアップロード量リスクインジケーターは、ユーザーがアプリケーションまたはウェブサイトに過剰な量のデータをアップロードしたときに報告されます。
異常なアップロード量リスクインジケーターに関連するリスクファクターは、その他のリスクインジケーターです。リスクファクターの詳細については、Citrixユーザーリスクインジケーターを参照してください。
異常なアップロード量リスクインジケーターがトリガーされるタイミング
Secure Private Accessを構成して、悪意のある、危険な、または不明なウェブサイトへのアクセス、消費された帯域幅、危険なダウンロードとアップロードなど、ユーザーのアクティビティを監視できます。組織内のユーザーがアプリケーションまたはウェブサイトにデータをアップロードすると、Secure Private AccessはこれらのイベントをCitrix Analyticsに報告します。
Citrix Analyticsはこれらすべてのイベントを監視し、このユーザーアクティビティがユーザーの通常の行動に反すると判断した場合、ユーザーのリスクスコアを更新します。異常なアップロード量リスクインジケーターは、ユーザーのリスクタイムラインに追加されます。
異常なアップロード量リスクインジケーターの分析方法
ユーザーのAdam Maxwellが、アプリケーションまたはウェブサイトに過剰な量のデータをアップロードしたとします。Secure Private AccessはこれらのイベントをCitrix Analyticsに報告し、Citrix AnalyticsはAdam Maxwellに更新されたリスクスコアを割り当てます。異常なアップロード量リスクインジケーターは、Adam Maxwellのリスクタイムラインに追加されます。
Adam Maxwellのリスクタイムラインから、報告された異常なアップロード量リスクインジケーターを選択できます。イベントの理由が、イベントの時刻やドメインなどのイベントに関する情報とともに表示されます。
異常なアップロード量リスクインジケーターを表示するには、Security > Usersに移動し、ユーザーを選択します。
タイムラインから異常なアップロード量リスクインジケーターエントリを選択すると、対応する詳細情報パネルが右ペインに表示されます。
-
WHAT HAPPENEDセクションには、リスクインジケーターの簡単な概要が示され、選択した期間中にアップロードされたデータ量が含まれます。
-
EVENT DETAILSセクションには、選択した期間中に発生した個々のデータアップロードイベントのタイムライン視覚化が含まれます。また、各イベントに関する以下の主要な情報を表示できます。
-
時刻。過剰なデータがアプリケーションまたはウェブサイトにアップロードされた時刻。
-
ドメイン。ユーザーがデータをアップロードしたドメイン。
-
アップロードサイズ。ドメインにアップロードされたデータ量。
-
ユーザーに適用できるアクション
ユーザーのアカウントに対して、次のアクションを実行できます。
-
ウォッチリストに追加。将来の潜在的な脅威についてユーザーを監視したい場合は、ウォッチリストに追加できます。
-
管理者への通知。ユーザーのアカウントで異常または不審なアクティビティがあった場合、すべてまたは選択された管理者に電子メール通知が送信されます。
アクションとそれらを手動で構成する方法の詳細については、ポリシーとアクションを参照してください。
アクションを手動でユーザーに適用するには、ユーザーのプロファイルに移動し、適切なリスクインジケーターを選択します。Actionsメニューからアクションを選択し、Applyをクリックします。
注
リスクインジケーターをトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。
過剰なデータダウンロード
Citrix Analyticsは、ネットワーク内のユーザーによる過剰なデータダウンロードに基づいてデータアクセス脅威を検出し、対応するリスクインジケーターをトリガーします。
このリスクインジケーターは、組織内のユーザーがアプリケーションまたはウェブサイトから過剰な量のデータをダウンロードしたときに報告されます。
過剰なデータダウンロードリスクインジケーターがトリガーされるタイミング
Secure Private Accessを構成して、悪意のある、危険な、または不明なウェブサイトへのアクセス、消費された帯域幅、危険なダウンロードとアップロードなど、ユーザーのアクティビティを監視できます。組織内のユーザーがアプリケーションまたはウェブサイトからデータをダウンロードすると、Secure Private AccessはこれらのイベントをCitrix Analyticsに報告します。
Citrix Analyticsはこれらすべてのイベントを監視し、ユーザーアクティビティがユーザーの通常の行動に反すると判断した場合、ユーザーのリスクスコアを更新します。過剰なデータダウンロードリスクインジケーターは、ユーザーのリスクタイムラインに追加されます。
過剰なデータダウンロードリスクインジケーターに関連するリスクファクターは、その他のリスクインジケーターです。リスクファクターの詳細については、Citrixユーザーリスクインジケーターを参照してください。
過剰なデータダウンロードリスクインジケーターの分析方法
ユーザーのGeorgina Kalouが、アプリケーションまたはウェブサイトから過剰な量のデータをダウンロードしたとします。Secure Private AccessはこれらのイベントをCitrix Analyticsに報告し、Citrix AnalyticsはGeorgina Kalouに更新されたリスクスコアを割り当て、ユーザーのリスクタイムラインに過剰なデータダウンロードリスクインジケーターエントリを追加します。
Georgina Kalouのリスクタイムラインから、報告された過剰なデータダウンロードリスクインジケーターを選択できます。イベントの理由が、時刻やドメインの詳細などのイベントに関する情報とともに表示されます。
過剰なデータダウンロードリスクインジケーターを表示するには、Security > Usersに移動し、ユーザーを選択します。
タイムラインから過剰なデータダウンロードリスクインジケーターエントリを選択すると、対応する詳細情報パネルが右ペインに表示されます。
-
WHAT HAPPENEDセクションには、リスクインジケーターの簡単な概要が示され、選択した期間中にアップロードまたはダウンロードされたデータ量が含まれます。
-
EVENT DETAILSセクションには、選択した期間中に発生した個々のデータダウンロードイベントのタイムライン視覚化が含まれます。また、各イベントに関する以下の主要な情報を表示できます。
-
時刻。過剰なデータがアプリケーションまたはウェブサイトにダウンロードされた時刻。
-
ドメイン。ユーザーがデータをダウンロードしたドメイン。
-
ダウンロードサイズ。ドメインにダウンロードされたデータ量。
-
ユーザーに適用できるアクション
ユーザーのアカウントに対して、次のアクションを実行できます。
-
ウォッチリストに追加。将来の潜在的な脅威についてユーザーを監視したい場合は、ウォッチリストに追加できます。
-
管理者への通知。ユーザーのアカウントで異常または不審なアクティビティがあった場合、すべてまたは選択された管理者に電子メール通知が送信されます。
アクションとそれらを手動で構成する方法の詳細については、ポリシーとアクションを参照してください。
アクションを手動でユーザーに適用するには、ユーザーのプロファイルに移動し、適切なリスクインジケーターを選択します。Actionsメニューからアクションを選択し、Applyをクリックします。
注
リスクインジケーターをトリガーするデータソースに関係なく、他のデータソースに関連するアクションを適用できます。