ポリシーのセルフサービス検索
Citrix Analytics for Securityを使用すると、 ポリシーを作成し 、 ユーザーアカウントの異常なイベントまたは疑わしいイベントにアクションを適用できます 。ユーザーイベントが定義済みのポリシーを満たすと、ユーザーアカウントにアクションが自動的に適用され、脅威を隔離し、今後異常なイベントが発生するのを防ぎます。セルフサービス検索を使用すると、定義したポリシーを満たすユーザーイベントを表示し、これらの異常イベントに適用されたアクションを表示できます。
検索機能の詳細については、「 セルフサービス検索」を参照してください。
ポリシーデータセットを選択します
定義済みのポリシーに関連するイベントを表示するには、リストから [ポリシー( Policies )] を選択します。デフォルトでは、セルフサービスページには過去 1 日のイベントが表示されます。また、イベントを表示する期間を選択することもできます。
注
[ セキュリティ ] > [ ユーザー ] > [ ポリシーとアクション] ダッシュボードから、[ポリシーのセルフサービス検索 ] ページにアクセスすることもできます。ダッシュボードでポリシーを選択して、ポリシーに関連するユーザーイベントを表示します。詳細については、「 ポリシーとアクション 」ダッシュボードを参照してください。
イベントをフィルタリングするファセットを選択します
ファセットリストには、ユーザーイベントに適用されたアクションが表示されます。ファセットリストから適用されたアクションを選択し、適用されたアクションに基づいてイベントを表示します。ポリシーの構成時に適用できるアクションの詳細については、「 アクションとは」を参照してください。
イベントをフィルタリングする検索クエリを指定する
検索ボックスにカーソルを置くと、ポリシーに関連するイベントのディメンションのリストが表示されます。 ディメンションと演算子を使用してクエリを指定し 、必要なイベントを検索します。
たとえば、ユーザー「user8」の異常なイベントを表示し、それらのイベントに適用されたアクションが「Disable user」であるとします。
-
検索ボックスに「user」と入力して、関連するディメンションを取得します。
-
[ ユーザー名 ] を選択し、等号演算子を使用して値「user8」を入力します。
-
AND 演算子を選択し 、 アクション適用ディメンションを選択します 。等号演算子を使用して、[ アクション-適用 ] の文字列「Disable user」を入力します。
注:
文字列値に 2 つ以上の単語が含まれている場合は、演算子
“”<!--NeedCopy-->で囲む必要があります。たとえば、“Disable user”<!--NeedCopy-->、「セッション録画の停止」などです。
Action-Appliedの可能な文字列値を識別するには、ファセットリストを展開し、検索クエリの文字列としてフィルタ名を使用します。
-
期間を選択し、[検索] をクリックして、 DATA テーブルのイベントを表示します。