ユーザーリスクのタイムラインとプロファイル
**注注意**
:シトリックスのContent Collaboration とShareFileはサポート終了となり、ユーザーは使用できなくなります。
ユーザーのプロファイルのユーザーリスクタイムラインを使用すると、Citrix Analytics 管理者は、ユーザーのリスクの高い行動に関するより深い洞察を得ることができます。デフォルトでは、過去 1 か月間のユーザーリスクタイムラインが表示されます。また、選択した期間にアカウントで実行された対応するアクションを確認することもできます。ユーザーリスクタイムラインから、ユーザーのプロファイルを深く掘り下げて、次のことを理解できます。
- アプリケーションの使用状況
- データ使用量
- デバイス使用量
- ロケーションの使い方
また、ユーザーのリスクスコアとリスク指標の傾向を表示し、ユーザーがリスクの高いユーザーであるかどうかを判断できます。
ユーザーリスクタイムラインページの左上隅に、ユーザーの最新のリスクスコアが表示されます。 リスク概要ビューレポートには 、最新の最大スコアと過去の最大スコアの両方が表示されます。
ユーザーのリスクタイムラインに移動すると、リスク指標またはアカウントに適用されているアクションのいずれかを選択できます。上記のいずれかを選択すると、右側のペインにリスク指標セクションまたはアクションセクションが表示されます。
リスクタイムライン
リスクタイムラインには、次の情報が表示されます。
-
リスク指標。リスク指標は、疑わしい、または組織にセキュリティ上の脅威をもたらす可能性のあるユーザーアクティビティです。インジケーターは、ユーザーの行動が通常の動作から逸脱したときにトリガーされます。リスク指標は、次のデータソースの場合があります。
-
Citrix Content Collaboration
-
Citrix Gateway
-
Citrix Endpoint Management
-
Citrix Virtual Apps and Desktops または Citrix DaaS(旧Citrix Virtual Apps and Desktops サービス)
-
Citrix Secure Private Access
ユーザーのタイムラインからリスク指標を選択すると、右側のペインにリスク指標情報セクションが表示されます。リスク指標の理由をイベントの詳細とともに表示できます。これらは、次のセクションに大きく分類されます。
-
何が起こったのですか。リスク指標の概要は、こちらで確認できます。たとえば、[ 過剰なファイル共有 ] リスク指標を選択した場合などです。[何が起こったか] セクションでは、受信者に送信された共有リンクの数と、共有イベントがいつ発生したかを確認できます。
-
イベントの詳細。個々のイベントエントリは、イベントの詳細とともにグラフ形式および表形式で表示できます。[ イベント検索 ] をクリックして、セルフサービス検索ページにアクセスし、ユーザーのリスク指標に対応するイベントを表示します。詳細については、「 セルフサービス検索」を参照してください。
-
追加のコンテキスト情報。このセクションでは、イベントの発生中に共有されたデータがある場合は、そのデータを表示できます。
リスク指標を「役に立った」または「役に立たない」と手動でマークできます。詳細については、「 ユーザーリスク指標へのフィードバックの提供」を参照してください。
詳細: リスク指標
-
-
アクション。アクションは、疑わしいイベントに対応し、将来の異常イベントの発生を防ぐのに役立ちます。ユーザーのプロファイルに適用されたアクションは、リスクタイムラインに表示されます。これらのアクションは、構成されたポリシーを通じてユーザーのアカウントに自動的に適用されるか、または手動で特定のアクションを適用できます。
詳細: ポリシーとアクション。
-
特権ユーザーイベント。特権ユーザイベントは、ユーザの Admin または Executive 権限ステータスが変更されるたびにトリガされます。ユーザーに対してリスク指標がトリガーされると、その指標を指定された特権ステータス変更イベントに関連付けることができます。必要に応じて、ユーザープロファイルに適切なアクションを適用できます。ユーザーリスクタイムラインに表示される管理者またはエグゼクティブ権限イベントは次のとおりです。
-
エグゼクティブグループに追加されました
-
エグゼクティブグループから削除されました
-
特権が管理者に昇格されました
-
管理者権限が削除されました
エグゼクティブ特権グループ CitrixAnalyticsに追加されたユーザー Adam Maxwell を考えてみましょう。 Executive グループに追加イベントがユーザーのリスクタイムラインに追加されます 。さて、Adamはファイルやフォルダを過剰に削除し始め、異常な動作を検出する機械学習アルゴリズムをトリガーします。ファイルやフォルダの過剰な削除リスクインジケータがユーザーのリスクタイムラインに追加されます 。リスクタイムラインでイベントとリスク指標を比較できます。比較後、リスク指標がイベントの結果としてトリガーされたかどうかを判断できます。その場合は、Adam のプロファイルに適切なアクションを適用できます。特権ユーザーの詳細については、「 特権ユーザー」を参照してください。
-
ユーザのタイムラインからイベントを選択すると、右側のペインにイベント情報セクションが表示されます。
エグゼクティブの場合、右側のペインには、 ユーザーステータス、 日付と時刻、 Active Directory グループなどの情報が表示されます。
管理者権限イベントの場合、右側のペインには、 ユーザーステータス、 日付と時刻、および製品内の情報が表示されます**。
リスクサマリー
リスクスコアに貢献したユーザーに関連付けられているリスク要因を表示します。選択した期間に最大値として取得されたリスクスコアの詳細が、最新のスコアと対応するリスク指標の数とともに表示されます。メインのランディングページまたは危険なユーザーページからユーザータイムラインに移動すると、ソースページの時間選択が保持されます。リスク要因について詳しくは、「 Citrix ユーザーリスク指標」を参照してください。
[ リスクの概要 ] をクリックして、次の情報を表示します。
-
最新のリスクスコア:最新のリスクスコアは、最近の行動に基づくユーザーの現在のリスクを示します。リスクスコアは、ユーザーが過去 2 週間に組織にもたらすリスクのレベルを決定します。リスクスコアの値は動的で、ユーザー行動分析に基づいて変化します。スコアに基づいて、ユーザーは「高リスクユーザー」、「中リスクユーザー」、「低リスクユーザー」、「リスクスコアがゼロのユーザー」のいずれかに分類されます。ユーザーカテゴリの詳細については、「 ユーザーダッシュボード」を参照してください。
- 指標発生回数の合計:過去 2 週間にユーザーによってトリガーされたリスク指標の総数を示します。これらのトリガーされたリスク指標は、ユーザーのリスクスコアを決定します。
-
最も高いリスクスコア:最も高いリスクスコアは、選択した期間内にこのユーザーについて計算されたリスクスコアの最大値を示します。これはユーザーの総合リスクを表すものであり、常に最新のリスクスコアと等しいとは限りません。
-
リスク要因:リスクスコアに寄与したユーザーアクティビティに関連するリスク要因の1つ以上の組み合わせを示します。
-
リスク内訳:各リスク要因についてユーザーがトリガーしたリスク指標の数を示します。行を展開して詳細を表示します。
ユーザータイムラインで、[ フィルタ ] をクリックし、リスク要因、適用されたアクション、またはユーザーに関連付けられている特権ユーザーのステータスを選択し、対応するイベントを表示します。
ユーザープロフィール
ユーザープロファイルページには 、ユーザーのアクティブディレクトリから取得された次のユーザー情報が表示されます。
- ジョブタイトル
- アドレス
- メール
- 電話
- 位置情報
- 組織