Citrix Analytics for Security

新機能

Citrixの目標は、Citrix Analyticsのお客様に新機能や製品アップデートを提供することです。新しいリリースでは、より便利な機能をご利用いただけます。今すぐ更新してください。

このプロセスは、お客様向けのわかりやすいものになっています。最初の更新は、Citrix内部サイトのみに適用され、その後徐々にお客様の環境に適用されます。アップデートを段階的に配信することで、製品の品質を確保し、可用性を最大限に高めることができます。

2024年4月15日

新しいエグゼクティブサマリーレポート

複数のレポートを単一のエグゼクティブレポートに統合して、必要な期間にスケジュールを設定できるようになりました。この新機能では、必要なグラフィック情報のみを視聴者に提供できます。詳細については、「 エグゼクティブサマリーレポート」を参照してください。

2024年1月29日

Workspace アプリステータスフィールドの更新

  • セルフサービス検索Citrix Apps and Desktopsデータソースに新しく導入されたWorkspaceアプリステータスフィールドを利用して、クエリを実行してWorkspaceアプリバージョンのサポートステータスを確認できるようになりました。
  • ユーザー: Workspaceアプリのステータス列は削除されました 。

詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

2024年1月25日

CAS UIの矛盾が解消されました

Apps and Desktops データソースのセルフサービス検索機能で 、以下の問題が解決されました:

  • 以前はセッション内で順序どおりに表示されていなかったイベントが正しく表示されるようになりました。
  • 既定の列が更新されました。

2024年1月24日

SIEM 環境でのユーザープロファイルイベントの強化

SIEM 環境にエクスポートされるユーザープロファイルイベントには次のものが含まれるようになりました:

  • IP アドレスに関する洞察
  • Citrix Virtual Apps and Desktops とCitrix DaaS(旧Citrix Virtual Apps and Desktops サービス)のロケーションインサイト

これらの新しい拡張機能により、組織のデータへのアクセスに使用されるクライアントのIPアドレスを特定し、Citrix Virtual Apps and Desktops、およびCitrix DaaSの両方からユーザーの位置情報を収集できます。

詳細については、「 SIEMのリスクインサイトデータ」を参照してください。

2023年12月1日

週次メールとSIEMアラートの管理者メール設定ページ

新しい管理者メール設定機能では 、システムアラートのカスタム配布リスト受信者を設定できます。この機能強化により、管理者は自分に関連するシステムアラートのみを受信できるようになります。

詳細については、「 管理者メール設定」を参照してください。

ユーザーダッシュボード-アクティブユーザー数の時間フィルターが新しくなり、概要セクションが更新されました

ユーザーダッシュボードの新しい時間フィルターを使用すると 、Citrix Analytics を有効にしたデータソースを考慮して、特定の期間の組織内のアクティブユーザーの総数を表示および変更できます。

ユーザーダッシュボードの強化された概要セクションには、組織内のユーザーの総数と、現在ログオンしているアクティブユーザーと非アクティブユーザーの数が表示されます。

詳細については、「 ユーザーダッシュボード」を参照してください。

カスタムレポートの強化

  • Citrix Analytics for Securityで利用できるイベントとインサイトを使用して、カスタムレポートを作成およびスケジュールできるようになりました。カスタムレポートを使用すると、特定の関心のある情報を抽出し、データをグラフィカルに整理できます。
  • Self-Service Searchのクエリベースのレポート、テンプレート、より優れた視覚化、すべてのデータソースと指標の網羅性、レポートのスケジュール設定、PDFのエクスポートなど、強化されたカスタムレポートプラットフォーム機能を使用できるようになりました。

詳細については、「 カスタムレポート」を参照してください。

2023年11月30日

Citrix AnalyticsのすべてのShareFile機能の削除

次の ShareFile 検出機能が削除されました:

  • リンクを共有する
  • 関連リスク指標
  • ポリシーとその発生回数
  • Content Collaboration データエクスポート設定
  • Content Collaboration レポート
  • 検索でのContent Collaboration データソース
  • Content Collaboration 保存済み検索
  • Content Collaboration データソース。

これらの機能を削除すると、リスクスコアとユーザータイムラインが一時的に不一致になる可能性があります。Citrix Analyticsの他の機能はすべて同じままです。

ShareFileがShareFile.comから直接セキュリティコントロールに簡単にアクセスできるようにする方法をご覧ください 。

2023年9月22日

カスタムインジケータの Citrix Secure Browser データソース

Citrix Secure Browserデータソースのリスク指標を作成して、セキュアブラウザでのユーザーのアクティビティを追跡できるようになりました。詳細については、「 カスタムインディケータ」を参照してください。

SIEM データエクスポートによる週次メールの強化

ウィークリーメールが強化され、SIEMデータのエクスポートが可能になり、組織のセキュリティ体制をより深く把握できるようになりました。より多くのデータソースをオンボーディングしてアクティブ化し、ユーザーを取り巻くさまざまなイベントを発見できるようになりました。毎週のメールには、次の新しい追加事項が含まれています:

  • データ概要セクションには、SIEM環境でのデータ消費状況が表示されます。
  • データエクスポートの消費状況に基づくデータエクスポートの推奨事項

詳細については、「 毎週の電子メール通知」を参照してください。

メールでのカスタム管理者の通知設定の使用

Citrix Analytics for Securityは、Citrix Cloudのカスタム管理者が設定した通知設定を引き継ぐようになりました。この機能強化により、カスタム管理者は通知設定をより柔軟に管理できます。この設定は、週次メール、管理者への通知アクションメール、データエクスポートのアラートなどの通知メールを送信する際にも使用されます。

詳細については、「 セキュリティアナリティクスの管理者ロールの管理」を参照してください。

2023年7月4日

セルフサービス検索とカスタムインジケーターでのORオペレーターのサポート

OR**演算子がセルフサービス検索とカスタムリスク指標機能で利用できるようになりました** 。 OR 演算子は、セルフサービス検索やカスタムインジケータクエリなどの検索ビューで使用できます。

詳細については、「 検索クエリでサポートされる演算子」を参照してください。

2023年6月15日

VDAクリップボードテレメトリを有効にする

Citrix Apps and Desktopsでクリップボード操作を開始すると、VDA.Clipboardというイベントがトリガーされます。これらのクリップボードログには、VDA名、クリップボードサイズ、クリップボード形式タイプ、クライアントIP、クリップボード操作、クリップボード操作の方向、クリップボード操作が許可されたかどうかなどの重要な情報が含まれます。VDAクリップボードのイベント属性は、セルフサービス検索およびカスタムリスク指標ワークフローでも使用できます。

  • セルフサービス検索:レポートの生成、クエリの保存、VDA.Clipboardイベントとそのすべての属性の詳細の確認ができます。
  • カスタムリスク指標:VDAクリップボードイベントの属性は、カスタムインジケーターワークフローで使用できます。これらのイベントキーと値のペアを使用して、カスタムインジケータートリガーを設定したり、アクション付きの自動ポリシーを設定したりできます。

セキュリティ監視ポリシーのクリップボードプレースメタデータコレクションを使用して、クリップボードテレメトリを有効にし、クリップボードログをCitrix Analytics for Securityに送信できます。デフォルトでは、このポリシーは有効になっています。無効にするには、ポリシーページに移動して無効にし、VDAからのデータ収集を停止します。

詳しくは、「 Citrix DaaSのクリップボードテレメトリの有効化」を参照してください。

2023年6月14日

Citrix Analytics for SecurityでのSession Recordingアプリのライフサイクルイベントとレジストリイベントの可用性

Session**Recordingの以下のアプリケーションライフサイクルイベントとレジストリイベントが** 、Citrix Analytics for Securityで利用できるようになりました。

  • Citrix. イベントモニター. レジストリ変更
  • Citrix. イベントモニター. セッション起動
  • Citrix. イベントモニター. セッション終了
  • Citrix. イベントモニター. クリップボード
  • Citrix. イベントモニター. ファイル転送

これらのイベントを表示したり、カスタムインジケーターを作成したり、これらのイベントをSIEM環境にエクスポートしたりできます。

詳細については、「 イベントタイプとサポートされているフィールド」を参照してください。

2023年6月8日

解決された問題

  • Citrix Analytics for Securityに送信される一部のセッションログオンイベントには、ユーザー名がありません。この結果、セルフサービス検索およびアクセス保証ユーザーログオンページの一部のイベントで、ユーザー名列が「 NA 」と表示されます。過去 1 時間や過去 1日などの短い時間範囲のデータを表示すると、Access Assurance IP Registration Organizations グラフの合計ログオン数が 0 以外であるにもかかわらず、ユニークユーザー数がゼロになることもあります。この問題は修正されました。[CAS-70954]

  • アプリとデスクトップのセルフサービス検索、Session.LogonおよびSession.endユーザーイベントの場合、検索クエリのApp-Nameディメンションに、起動されたアプリケーションまたはデスクトップの名前ではなく、デリバリーグループ名が入力されるため、管理者の誤解を招く可能性があります。App-Nameディメンションは、起動中のアプリケーションを指すため、App.Start/App.End イベントのクエリに便利です。詳細については、「 アプリとデスクトップのセルフサービス検索」を参照してください。この問題は現在修正されています。[CAS-67968]

  • 組織がアジア太平洋地域のCitrix Cloud にオンボーディングされている場合、Content Collaboration イベントはCitrix Analytics テナントに表示されません。この問題は現在修正されています。[CAS-62317]

  • Citrix WorkspaceアプリおよびCitrix Receiverクライアントのいくつかのバージョンでは、特定のイベントがCitrix Analytics に送信されません。したがって、Citrix Analytics は、これらのイベントに関する洞察を提供したり、リスク指標を生成したりすることはできません。この問題は現在修正されています。詳細については、「 チェック 6: 仮想アプリとデスクトップのイベントは Analytics に送信されていますか?」を参照してください。。[CAS-16151]

2023年5月29日

Splunk向けCitrix AnalyticsアドオンがSplunkクラウドプラットフォームで利用可能に

Splunk Integration for Citrix Analyticsは、Splunk向けCitrix Analyticsアドオンを利用して分析環境に接続し、ビジネスに不可欠なデータをSplunk環境に取り込みます。

以前は、アドオンはSplunk EnterpriseレイヤーへのインストールについてのみSplunkによって審査され、お客様はオンプレミスのSplunk環境内でアドオンを構成する責任を負っていました。2.1.2の最新バージョンでは、アドオンにはSplunkプラットフォームとSplunk Cloudとの互換性が追加されています。 クラシックインスタンスを IDM インスタンスまたは Victoria インスタンスとともに使用しているお客様は、このプラットフォーム互換性拡張機能を利用できます。これで、お客様はSplunk EnterpriseとSplunk Cloudのどちらかを柔軟に選択できるようになり、Splunkの統合を促進するアドオンの導入を検討できるようになりました。

詳細については、「 Splunk インテグレーション」を参照してください。

SIEM のセッション記録イベント

Session Recordingイベントを**アプリとデスクトップのリスクインサイトイベントとデータソースイベントの形式でSIEMにエクスポートできるようになりました** 。新しく追加されたイベントタイプは、 データエクスポートページのエクスポート用データイベントステージにあります

詳細については、「 ポリシーとアクション」を参照してください。

2023年5月24日

エンドユーザーへのグローバルアクションを通知

Citrix Analyticsのポリシーとアクション機能が組み込みまたはカスタムのリスク指標トリガーと組み合わせることができるNotify End Userグローバルアクションをサポートするようになりました 。管理者は、「エンドユーザーへの通知」アクションを使用して、 エンドユーザーのみに電子メール通知を生成するポリシーを作成できます 。このアクションは、許可されていないアプリケーションの使用についてユーザーに通知したり、Citrixアカウントで不審な動作が発生したときに中断を伴うアクションを実行せずに警告したりするなど、さまざまなコンプライアンス用途に使用できます。管理者は、特定のシナリオに応じてメールメッセージの本文と件名をカスタマイズできます。

詳細については、「 エンドユーザーへの通知」を参照してください。

2023年5月4日

テストイベント生成

テストイベント生成機能は 、お客様がCitrix Analytics-SIEMパイプラインを迅速にテストできるように作成されています。以前は、管理者がこの統合をテストする必要がある場合、イベントがCitrix Analyticsによって生成され、SIEM環境で受信されているかどうかを確認するために、データソースのオンボーディングとユーザーのアクティビティを待つ必要がありました。これはもはや必要ではありません。「 テストデータを送信 」ボタンをクリックするだけで、SIEM環境にダミーイベントを送信し、提供されたクエリを使用してCitrix Analytics SIEMインテグレーションが期待どおりに設定されているかどうかを確認できます。これは、障害箇所の特定に役立つため、中断されたデータフローをデバッグしようとしている管理者にとっても有効です。

詳細については、「 テストイベントの生成」を参照してください。

SIEM メールアラート生成

SIEM Eメールアラート生成機能により、データエクスポートのトラブルシューティングがこれまでになく簡単になります。Citrix Analytics は、SIEMデータフローの中断につながる、またはSIEMデータフローの中断を示す可能性のあるアクティビティについてシステムアラートを送信します。メールは、Citrix Cloud管理者、セキュリティ担当管理者、セキュリティ読み取り専用管理者、およびセキュリティとパフォーマンスの読み取り専用管理者に配布されます。送信されるアラートの種類は次のとおりです。

  1. SIEM データエクスポートアラート-パスワードがリセットされました

    このメールは、データエクスポートページからアカウントパスワードがリセットされるたびにトリガーされます。Citrix Analytics for Security GUIでのみ実行すると、データフローが中断する可能性があります。このアラートにはパスワードのリセットが実行された時刻が含まれるため、正常なデータフローに簡単に戻ることができます。

  2. SIEM データエクスポートアラート-データフローが停止しました

このメールは、顧客がデータフローの中断フォームに直面したときにトリガーされます。

  • 24 時間以上 -アラート内の役立つトラブルシューティングのヒントを使用するか、 クイックガイドの [ データエクスポートの概要] タブを活用して、迅速に正常なデータフローに戻るための重要な時間です

  • 7 日以上 -Kakfa の保持ポリシーは、お客様のトピックごとに 7 日間となっています。つまり、セキュリティ対策の対象となっているデータの一部が期限切れになっている可能性があります。SIEMへのデータフローを元に戻すには、トラブルシューティングツールを使用することが不可欠です。

  • 30 日以上 -つまり、お客様はセキュリティを重視するデータに悩まされており、Citrix Analytics から SIEM 環境へのデータフローの復元に早急に対応する必要があるということです。

詳細については、「 SIEM メールアラート生成」を参照してください。

2023年4月13日

修正された問題

Windows Citrix Workspaceアプリは、バージョン2203以降のCitrix Workspaceアプリから空のファイル名、パス、およびフォーマットのプロパティを送信します。その結果、Citrix Analytics for Security GUIでは、「ダウンロードファイル名」、「ダウンロードファイルパス」、「ダウンロードファイル形式」列のNA値が表示されます。この問題は現在修正されています。[CAS-73498]

2023年3月31日

Citrix Analytics for Securityのセッション記録イベント

Citrix Apps and Desktopsでは、セッション記録に基づくイベントの識別と評価に役立つ2つの新しいイベントタイプが追加されました。

  • Citrix.EventMonitor.RDPConnection
  • Citrix.EventMonitor.UserAccountModification

管理者は潜在的なセキュリティリスクを簡単に特定して評価できるようになりました。これらのイベントを使用して、プロセス ID、宛先 IP アドレス、ユーザーアカウント操作の説明などの重要なデータに関する情報を収集できます。さらに、 **これらのイベントはカスタムリスク指標ページとセルフサービス検索ページにも表示されます** 。

  • セルフサービス検索:これらのイベントとその属性の詳細を表示できます。
  • カスタムリスク指標:これらのイベントタイプを使用して任意のカスタム指標を設定できます。 詳細については、「 イベントタイプとサポートされているフィールド」を参照してください。

セルフサービス検索のアプリ保護イベント

Citrix Apps and Desktopsデータソースで保護されたセッション中にスクリーンショットをキャプチャしようとすると、AppProtection.ScreenCaptureという新しいイベントがトリガーされますAppProtection.ScreenCapture**イベントは、セルフサービス検索ページとデータエクスポートページでも確認できます。**

  • セルフサービス検索: AppProtection.ScreenCapture の結果とそのすべての属性の詳細を表示できます。
  • データエクスポート: AppProtection.ScreenCapture イベントタイプは、データエクスポートセクションで確認できます。[ 設定] > [データエクスポート] > [設定] > [エクスポート用データイベント ] に移動し、[データソースイベント (オプション)] カテゴリから [ アプリとデスクトップ ] を選択します。

Session.Logonイベントのアプリ保護ポリシーという新しい属性も表示できます

詳細については、「 イベントタイプとサポートされているフィールド」を参照してください。

2023年3月30日

カスタムロールのサポート

管理者は、Active DirectoryまたはAzure AActive Directory Directoryのグループを使用するか、Citrix Analytics for SecurityのOktaインテグレーションをセットアップすることで、カスタムロールに追加できます。この統合により、すべてのグループ管理者のサービスアクセス権限を効率的に管理できます。

管理者をActive Directory または Azure Active Directory に正常に追加すると、管理者はグループを作成し、特定のグループにカスタムロールを割り当てることができます。管理者が両方のメンバーである場合は、個々の権限がグループ権限よりも優先されます。

詳細については、「 カスタムロールのサポート」を参照してください。

SIEM UI のトラブルシューティングパネル

データエクスポートの UI は、以下の変更により強化されました。

  • [サマリ] タブ:[サマリ] タブには、次のシナリオにおけるSIEMイベントの指標、データソースのオンボーディングステータス、およびデータ消費ステータスが表示されます。

    • Citrix Analytics で利用可能なデータ:さまざまなデータソースのオンボーディングステータスが表示されます。
    • SIEMを利用できるイベント:SIEM環境に送信されるインサイトの数が表示されます。
    • SIEM によるデータ消費量:データ消費状況が表示されます。
  • 設定タブ: 設定タブには 、アカウント設定、SIEM環境設定、データイベントの選択に関する情報が含まれています。

  • データエクスポートクイックガイド: 管理者はクイックガイドを利用できるようになりました。これにより、SIEM統合の設定と保守がより簡単になります。「 データエクスポートクイックガイド 」リンクには、「 概要 」タブと「 構成 」タブの両方からアクセスできます。

詳細については、「 データエクスポートのトラブルシューティング」を参照してください。

2023年3月24日

ユーザープロフィールビューの変更

アプリケーション、ロケーション、デバイス、およびShareFileのデータ使用量に関連するユーザーのプロファイルデータはユーザーのタイムラインのユーザー情報ページには表示されません 。Active Directory から取得された次のユーザー情報は引き続き利用できます-

  • ジョブタイトル
  • アドレス
  • メール
  • 電話
  • 位置情報
  • 組織

SIEM にエクスポートされるユーザープロファイルデータには変更はありません。詳細については、「 ユーザープロファイル」を参照してください。

すべての検索ビューからの動的自動候補の削除

テナントの履歴データに基づくディメンションの自動提案機能は、次のページでは廃止されました。

  • セルフサービス検索
  • カスタムリスク指標

ただし、 **イベントタイプやクリップボード操作などのディメンションの静的候補は引き続き検索ボックスに表示されます** 。

詳細については、「 セルフサービス検索の使用方法」を参照してください。

2023年3月21日

オンプレミスStoreFront データソースの導入に役立つ推奨パネル

**データソースページに新しいレコメンデーションパネルが導入されました。 **データソースページの推奨パネルでは** 、オンプレミスのStoreFront データソースをオンボーディングすることの重要性をユーザーに伝えます。これにより、ユーザーはオンプレミスのStoreFront データソースを簡単にオンボーディングできます。また、利用可能なすべてのデータソースを確認してオンボーディングを確認するオプションも提供されます。

詳しくは、「 StoreFront デプロイへの接続」を参照してください。

2023年2月23日

解決された問題

Citrix Apps and Desktopのバージョンが1912より前のオンプレミスのCitrix AppsおよびDesktop展開では、アクションが失敗しています。この問題は、手動アクションとポリシーベースアクションの両方で発生しています。この問題は現在修正されています。[CAS-69098]

[アプリとデスクトップのセルフサービス検索] ページには、仮想アプリケーションが 1 回だけ起動されると、複数のアプリ開始イベントとアプリ終了イベントが表示されます。この問題は、Linux向けCitrix Workspace アプリのクライアントバージョンで発生します。この問題は現在修正されています。[CAS-36236]

2022年4月4日以降から2022年5月末までのセキュアプライベートアクセスサービスのユーザーイベントは、Citrix Analytics テナントでは利用できない場合があります。この問題は現在修正されています。[CAS-66897]

2023年2月22日

毎週のメール通知の強化

Citrix Analytics では、組織のセキュリティリスクを要約するのに役立つ電子メール通知を毎週送信します。毎週のメール通知が次の更新により改善されました。

  • ユーザーのリスク分布 (検出されたユーザーの総数、リスクのあるユーザー、リスクのあるユーザー、およびリスクのないユーザー) を1週間で表示します。
  • 1 週間に処理されたイベントの総数
  • 1 週間でトリガーされた指標の合計数
  • 1 週間に実行されたアクションの合計数
  • データ処理が有効になっているデータソースの合計数

詳細については、「 毎週のメール通知」を参照してください。

App.Saas.File.Download イベントタイプに「ダウンロードファイル形式」フィールドを追加しました

アプリとデスクトップのデータソースのセルフサービス検索ページに、app.Saas.File.Download イベントタイプ用の新しいダウンロードファイル形式のフィールドが追加されました 。この変更により、 Download File Format フィールドのカスタムリスク指標を設定できるようになりました。また、このフィールドを CSV 形式にエクスポートすることもできます。

詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

ブラウザから派生したフィールドの変更

以前は、セルフサービス検索ページには、 ブラウザの名前とバージョンを表す[ブラウザ]、[ブラウザのメジャーバージョン]、[ブラウザのマイナーバージョン ] の各フィールドがありました。ただし、明確さと正確さを確保するために、セルフサービス検索、カスタム指標テンプレート、アプリとデスクトップのデータソースのCSVダウンロードでは、これら3つのフィールドは廃止され、 **ブラウザ名とブラウザバージョンに置き換えられました** 。

詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

2023年2月16日

修正された問題

一部のEUおよびAPSのお客様では、テナントのユーザー名マスキングステータスを取得する際に、毎週のメールが影響を受けます。その結果、例外が発生したため、管理者は毎週10通の同一のメールを受信しています。例外が発生すると、後続のテナントには毎週のメールが届きませんでした。この問題は修正されました。[CAS-76138]

2023年2月3日

欧州連合(EU)およびアジア太平洋南部地域で利用可能なCitrix Secure Private Access・サービスの分析サポート

Citrix Analytics for Securityは、欧州連合地域およびアジア太平洋南部地域で利用可能なCitrix Secure Private Access からのユーザーイベントを処理するようになりました。組織が欧州連合地域またはアジア太平洋南部地域からCitrix Cloudにオンボーディングしている場合は、Secure Private Accessサービスを使用しているユーザーのリスクインサイトを表示できます。

詳細については、「 データソース」を参照してください。

2023年1月11日

Secure Private Accessからの Web フィルタリング機能の削除

Web フィルタリング機能は、Secure Private Accessカテゴリから削除されました。Secure Private AccessによるカテゴリベースのWebフィルタリングの廃止により、Citrix Analytics for Securityの以下の機能が影響を受けます。

  1. カテゴリグループ、カテゴリ、URLのレピュテーションなどのデータフィールドは、Citrix Analytics for Securityダッシュボードでは使用できなくなりました。

  2. 同じデータに依存する危険な Web サイトアクセスインジケーターも廃止され、お客様には表示されなくなりました。

  3. データフィールド (カテゴリグループ、カテゴリ、URL のレピュテーション) とそれに関連するポリシーを使用する既存のカスタムリスク指標はトリガーされなくなりました。

  4. [ ユーザーアクセス ] タブと [ アプリアクセス ] タブ。

  5. SIEM エクスポートには、しばらくの間 urlcategory、urlcategorygroup、urlcategoryGroup、urlcategoryReputation の各属性が次のダミー値とともに表示され続けます。

    • カテゴリとカテゴリグループの場合は 99999
    • 0 (評判)

詳細については、「 Secure Private Accessのセルフサービス検索」を参照してください。

2022年12月27日

セルフサービス検索のデータソースドロップダウンの変更

データソースリストは、 セルフサービス検索ページのアプリとデスクトップではなくデフォルトでセッションを反映するように変更されています 。また、パフォーマンスデータソースが表示されなかったため、パフォーマンスセクションが一番上に移動し、次にセキュリティセクションが続きます。

詳細については、「 セルフサービス検索」を参照してください。

2022年12月13日

ユーザーダッシュボードの強化

ユーザーダッシュボードが刷新され、管理者が組織のセキュリティ体制を監視しやすくなるように、概要とグラフが追加されました。このビューには、検出されたユーザー、トリガーされたリスク指標、適用されたアクションの詳細が表示されるだけでなく、重要な指標の時間ベースの傾向線も表示されるため、リスクをより適切に評価できます。管理者は関心のあるデータを掘り下げて適切なコンテキストの関連ダッシュボードに移動できるため、リスク分析を迅速に行うことができます。

詳細については、「 ユーザーダッシュボード」を参照してください。

2022年12月5日

アクセス保証ダッシュボード-ログオンネットワーク

ログオンネットワークセクションが新しく追加され、以下のユーザー情報が表示されます。

  • ユーザーがログオンした IP アドレスに関連する組織。

  • ユーザーがログオンしたユニークパブリックサブネットとプライベートサブネットの合計。

  • ユーザーがプロキシとプライベート VPN サービスを使用してログオンした詳細。

これらの追加情報を使用して、管理者はユーザーログオンの詳細を検証し、ユーザーログオンが組織のセキュリティ要件の範囲内であることを確認できます。

詳細については、「 アクセス保証ダッシュボード」を参照してください。

2022年11月18日

修正された問題

  • ソースイベントなしで誤ってトリガーされたジオフェンスインジケーターが修正されました。[CAS-73222]

2022年11月8日

アクションの名前を変更

Citrix Analytics for Securityで使用されるアクションの一部は、わかりやすいように名前が変更されています。それらのアクションは以下のとおりです。

  • 管理者に通知 -管理者に通知
  • ユーザーをロック -ユーザーアカウントをロック
  • ユーザーをログオフ -アクティブなセッションをログオフする
  • ユーザーのロック解除 -ユーザーアカウントのロック解除
  • ユーザーを無効化 -ユーザーアカウントを無効にする

詳細については、「 アクションとは」を参照してください。

解決された問題

  • タイムラインのアクションドロップダウンからオプションを選択すると、「クリア」ボタンと「適用」ボタンが表示されないため、手動アクションはトリガーできません。この状態は最新の Firefox バージョンで発生します。この問題は現在修正されています。[CAS-72051]

  • **App and Desktops データソースのセルフサービス検索の [ダウンロードデバイスタイプ] フィールドでは、 **ハードドライブ、ハードドライブ、および **HDDの各カテゴリが 1 つのカテゴリにまとめられ、ハードディスクドライブとしてまとめられます** [CAS-67188]

  • Microsoft Graph から同じアラート ID の通知が重複して受信され、そのためにリスクイベントが重複して作成されることがあります。この問題を防ぐため、アプリケーションには重複排除メカニズムが実装されています。[CAS-66731]

2022年10月19日

日付ソースイベントの選択とエクスポート

新しいデータイベントエクスポートワークフローを活用して、機械学習によって生成されたリスクインサイトイベントと関連データに加えて、データソースイベントをエクスポートできるようになりました。

これにより、セキュリティおよびセキュリティオペレーション (SOC) 管理者は次のことが可能になります。

  • Citrix Analytics のデータを、セキュリティ情報およびイベント管理(SIEM)で集約された他のデータソースイベントと関連付ける

  • どのデータイベントがSIEMに流れるかを制御してストレージコストを最適化する

データイベントは、既存のSIEMインテグレーションとデータコネクタに配信され、セルフサービスのイベント検索ビューに表示されるものと同等に配信されます。

詳しくは、「 Citrix Analytics for SecurityからSIEMサービスにエクスポートされるデータイベント」を参照してください。

2022年10月18日

管理者がCitrix DaaSサイトで動的セッション記録アクションを実行できるようにする

管理者は、Citrix DaaSサイトで動的セッション記録アクションを実行したり、ユーザーの仮想セッションを動的に記録したりできるようになりました。特定のユーザーによる危険なアクティビティがCitrix Analytics for Securityによって検出された場合に、ユーザーセッションの記録を自動的に開始するポリシーを使用してアクションを構成できます。

詳細については、「 アクションとは」を参照してください。

2022年10月14日

ユーザーリスク指標へのフィードバックを提供する

Citrix Analytics for Security管理者は、指標の詳細パネルでフィードバックを提供することで、ユーザーのリスク指標を有用または役に立たないものとして報告できるようになりました。この機能により、管理者は誤検知を報告したり、頻繁にトリガーされるインジケーターのノイズを減らしたり、他の管理者と追加のコンテキストを共有したりできます。さらに、役に立たないリスク指標がユーザーのタイムラインから隠され、ユーザーのリスクスコアが再調整されます。

詳細については、「 ユーザーリスク指標へのフィードバックの提供」を参照してください。

2022年9月26日

ジオフェンスブロックリストをサポートするアクセス保証

ジオフェンス設定の下に [ 安全な場所] タブと [危険な場所 ] タブが追加されました。

  • 安全なロケーションジオフェンシングは、ジオフェンスされたエリア外へのアクセスを識別して制限するのに役立ちます。
  • 危険なロケーションジオフェンシングは、組織の既知の行動に基づいて危険なユーザーアクセスを検出して絞り込むのに役立ちます。

安全なジオフェンシングと危険なジオフェンシングはどちらも、独自の事前設定されたカスタムリスク指標によって支えられています。

詳細については、「 ジオフェンシングを有効にする」を参照してください。

解決された問題

  • 電子メール本文に顧客名を表示するためのCitrix Cloud API。これで、メールはニックネームを使用して、 管理者に送信されるメール本文に顧客名を表示するようになりました 。[CAS-65350]

  • NetScaler Gateway データソースカードは、 Citrix Analytics for SecurityとCitrixAnalytics for Performanceデータ処理は、Citrix Analytics for Securityエンドポイントを絶えず呼び出していましたが、Citrix Analytics for Performanceの資格しか持たない顧客では正常に動作しませんでした 。[CAS-70817]

  • Citrix Cloud から複数の資格メッセージを同時に受信すると、Redis Cacheの更新中に競合状態が発生します。このようなシナリオでは、1 つのエンタイトルメントメッセージがキャッシュに更新され、残りは失われます。この問題は修正され、キャッシュ内のすべてのエンタイトルメントメッセージが更新されるようになりました。[CAS-70823]

2022年9月13日

シェアリンクダッシュボードの強化

Sharelinkダッシュボードが改良され、概要と詳細ビューが追加されました。概要ビューは、上位のアクティブな共有と上位リスクの高い共有で構成されます。詳細ビューでは、作成者、アクティビティ数、認証タイプ、権限、共有タイプ、コンテンツなどの詳細情報が管理者に表示されます。管理者は必要に応じてドリルダウンしてさらに絞り込み、時間枠を変更/提供して関心のあるデータを表示できます。

詳細については、「共有リンク」ダッシュボードを参照してください。

2022年9月9日

インポッシブルトラベル RI 強化

インポッシブル・トラベル・リスク指標が拡張され、クライアントのIPアドレスの登録組織とルーティング・タイプを報告できるようになりました。これらの新しいフィールドは、ユーザータイムラインのインジケーター詳細ビューと SIEM に送信されたインジケーター詳細の両方で使用できます。

デフォルトポリシーの詳細については、次の記事を参照してください。

2022年8月19日

VDA Printテレメトリを有効にする

Citrix Apps and Desktopsで印刷ジョブが開始されると、VDA.Printというイベントがトリガーされます。VDA Printイベントは、セルフサービス検索ページとカスタムリスク指標ページでも確認できます 。

  • セルフサービス検索: VDA.printの結果とそのすべての属性の詳細を表示できます。
  • カスタムリスク指標:VDA印刷テレメトリ用の新しいイベントがEventHub経由で提供され、カスタム指標でも利用できます。これらのイベントキーと値のペアを使用して、カスタムインディケータートリガーを設定できます。

印刷テレメトリを有効にし、Citrix Analytics for Securityに印刷ログを送信できるようにするには、レジストリキーを作成してVDAを構成する必要があります。これらの印刷ログには、プリンタ名、印刷ファイル名、印刷部数など、印刷処理に関する重要な情報が含まれます。セキュリティ管理者は、これらのログを使用してリスクを分析し、ユーザーを調査できます。

詳しくは、「 Citrix DaaS 印刷テレメトリーの有効化」を参照してください。

2022年8月18日

修正された問題

  • アプリとデスクトップのセルフサービス検索とアクセス保証ロケーションダッシュボードの「ユーザーログオン」ページでは、ダウンロードした CSV ファイルに Workspace アプリのバージョン値が NA (使用不可)として入力されていましたが、ページビューでは表示されていました。この問題は修正されました。[CAS-70361]

2022年8月17日

ポリシーごとにエンドユーザーの E メールをカスタマイズ

エンドユーザーに送信されるメールの内容をポリシーごとにカスタマイズできるようになりました。具体的には、「エンドユーザー応答のリクエスト」アクション、またはユーザーのアカウントに対する破壊的なアクション(「ユーザーのログオフ」や「ユーザーのロック」など)を使用してポリシーを作成する場合、ポリシーの適用時にエンドユーザーに送信される電子メールコンテンツはカスタマイズ可能です。

ポリシーごとにエンドユーザメールをカスタマイズする方法の詳細については、「 ポリシーとアクション」を参照してください。

2022年8月11日

アクセス保証-ジオロケーションに関する新しい質問がFAQ の記事に追加されました。詳細については、 FAQを参照してください。

修正された問題

  • [ すべての通知を表示 ] ボタンにより、管理者はタイプミスのある毎週のhttps://citrix.cloud.com/notifications電子メールリンクにリダイレクトされました。[CAS-69236]

2022年6月17日

データ処理は、新しい有料資格に対してデフォルトで有効になっています

以前は、Citrix Analytics for Securityの新しい有料資格を持つ顧客は、特定のデータソースのサイトカードで [データ処理] をオンにして、それらのデータソースのデータ処理を開始する必要がありました。

今回のリリースでは、Citrix Analytics for Securityの新しい有料資格がプロビジョニングされると、以下のCitrix Cloudサービスのデータ処理がデフォルトでオンになります。

  • Citrix Secure Private Access
  • Citrix Content Collaboration
  • Citrix DaaS

詳しくは、「はじめに」を参照してください。

2022年6月9日

修正された問題

  • Azure AD ID 保護および Microsoft Defender for Endpoint によって生成された Microsoft Graph リスク指標は、セキュリティ分析で複数回表示される場合があります。この問題は修正されました。[CAS-66593,CAS-66731]

2022年6月2日

解決された問題

  • ポリシーのセルフサービス検索で、イベントをフィルタリングするために検索クエリで Policy-Name ディメンションを選択すると、Security Analytics の有効なポリシーとともに無効なポリシーのリストが提案されました。[CAS-66838]

  • Windows Citrix ReceiverからのFile.Downloadイベントのダウンロードファイルサイズがセルフサービス検索で正しく表示されない 。この問題は、実際の値が KB 単位であり、UI が値をバイトとして扱い、誤った値がユーザーに表示されたために発生しました。[CAS-67105]

2022年5月24日

Content Collaboration、Citrix DaaS、Citrix Virtual Apps and Desktops、Gateway データソースに関する不可能な移動リスク指標の紹介

ユーザーが離れすぎて経過時間内に移動できない2つの場所からログオンした場合、Citrix Analytics はこのアクティビティを不可能な移動シナリオとして検出し、 不可能な移動リスク指標をトリガーします 。インポッシブル・トラベル・リスク指標の詳細については、次の記事を参照してください。

2022年5月17日

Virtual Apps and Desktops] の名前が [アプリとデスクトップ] に変更されました

Security Analytics のダッシュボードとレポート、および Security Analytics から SIEM サービスに送信されるデータで、すべての [Virtual Apps and Desktops] ラベルが [アプリとデスクトップ] として更新され、ブランド名が変更された製品名に合わせられるようになりました。

たとえば、[データソース] ページでは、[Virtual Apps and Desktops] ラベルの名前が [アプリとデスクトップ] に変更されます。

[アプリとデスクトップ]ラベルは、 組織内のCitrixオンプレミスのCitrix Virtual Apps and DesktopsおよびCitrix DaaS (以前のCitrix Virtual Apps and Desktops サービス)の両方を表します。

解決された問題

Citrix Analytics は、Citrix Cloudアカウントに関連付けられているCitrix DaaSクラウドモニターまたはDirectorサイトを自動的に検出しません。[CAS-66801]

2022年4月5日

新機能

「Secure Workspace Access」が「Secure Private Access」に改名

Analytics ダッシュボードとレポートで、すべての Secure Workspace Access ラベルが、 ブランド変更された製品名に合わせてSecure Private Accessとして更新されるようになりました

たとえば、[ データソース ] ページと [ セルフサービス検索] ページでは、[Secure Workspace Access] ラベルの名前が [ Secure Private Access] に変更されます。

2022年3月21日

修正された問題

  • [リスク指標の作成 ] ページで、検索クエリの前の条件にスペースで区切られたディメンション値が含まれている場合、ディメンションと演算子の自動候補は機能しません。

    たとえば、次のクエリでは、都市をSan Joseとして選択すると、自動候補が機能しなくなります。この問題は修正されました。[CAS-64126]

    自動サジェストが失敗する

2022年3月10日

新機能

管理者への通知メールの機能拡張

  • [ 管理者に通知] アクションの電子メール通知で、トリガーされたポリシーに関連付けられた複数のリスク指標の詳細が提供されるようになりました。

  • ポリシーに関連付けられている各リスク指標の名前、重大度、およびトリガー日を表示できます。

  • リスクの詳細の表示 ]をクリックすると、Citrix Analytics でユーザータイムラインページが開き、ポリシーをトリガーした最新のリスク指標が表示されます。ユーザータイムラインページでは、ユーザーに対してトリガーされたすべてのリスク指標を表示することもできます。

管理者への通知メールの機能拡張

管理者に通知 」操作について詳しくは、「 ポリシーと操作」を参照してください。

修正された問題

Citrix Analytics が、Secure Workspace Access データソースからユーザーイベントを受信できません。そのため、対応するセルフサービス検索ページにはユーザーイベントは表示されません。また、Secure Workspace Access データソースのカスタムリスク指標を作成することもできません。[CAS-64619]

2022年3月3日

新機能

エンドユーザー応答のリクエストを手動で適用する

以前は、ポリシーを作成することによってのみ、 ユーザーアカウントに「エンドユーザーレスポンスを要求 」アクションを適用できました。 今回のリリースでは、ユーザータイムラインの [ アクション] リストからアクションを選択し 、このアクションをリスク指標に手動で適用できます。

アクションの詳細と、アクションを手動で適用する方法については、「 ポリシーとアクション」を参照してください。

エンドユーザーへの応答を手動で要求する

ポリシーに対するエンドユーザー応答の拡張をリクエストする

エンドユーザーレスポンスのリクエスト 」アクションを使用してポリシーを作成すると、次の拡張機能が表示されます。

  • 次のアクションとして [管理者に通知 ] を選択すると、既定の電子メール配布リストと、選択した電子メール配布リストが表示されます。

    管理者の同報リストに通知する

  • これで、次のアクションとして、「Citrix Content Collaboration」または「Citrix Virtual Apps and Desktops」と「Citrix DaaS」のいずれかのアクションを選択できます。以前は、グローバルアクションまたはNetScaler Gateway アクションのうち1つしか選択できませんでした。

    フォローアップアクション

アクションの詳細については、「 ポリシーとアクション」を参照してください。

2022年2月23日

新機能

リスク指標に推奨されるアクション

Citrix Analytics では、ユーザーに対して次のリスク指標がトリガーされたときに、 [ **管理者に通知]、[ウォッチリストに追加]、[ **ポリシーの作成 ] などのアクションを適用することをお勧めします。

  • 異常な認証エラー (Content Collaboration データソース)

  • 異常な認証失敗 (Gateway データソース)

  • 不審なログオン (Citrix Virtual Apps and Desktops、Citrix DaaS データソース)

ユーザータイムラインに移動してリスク指標を選択すると、[推奨アクション] セクションで推奨されるアクションをすべて表示できます

たとえば、異常な認証失敗リスク指標では、次の推奨アクションを表示できます。

推奨される操作

この機能は、ユーザーがもたらすリスクの重大度に応じて実行できるアクションを選択するためのガイダンスを提供します。ただし、リスク分析によっては、推奨リストに含まれない適切なアクションを実行することもできます。

修正された問題

  • 組織がアジア太平洋地域のCitrix Cloud にオンボーディングされている場合、Citrix Analytics が認証データソースからユーザーイベントを受信しないことがあります。そのため、対応するセルフサービス検索ページにユーザーイベントが表示されないことがあります。この問題は修正されました。[CAS-62300]

2022年2月17日

新機能

Citrix Virtual Apps and Desktopsおよび Citrix DaaS データソースのデータ収集とレポート機能の向上

今回のリリースでは、次の変更点が見られます。

  • Citrix WorkspaceアプリクライアントとCitrix Monitorサービスからのイベントのデータ収集、相関、およびレポート作成が改善されました。

  • セルフサービス検索、カスタムリスク指標、および全体的なリスク検出に使用できる、ユーザーおよびクライアントバージョンから受信するイベントの品質が向上しました。

Content Collaboration のセッションイベントとアプリイベント用のコンテキストテンプレートのサポート

セルフサービス検索ページでは、ファイル、フォルダ、セッション、共有、およびユーザーイベントに関連付けられた関連フィールドのみの詳細を表示できるようになりました。イベントに該当しないフィールドは削除されます。

たとえば、次のようなFile.Copyイベントの詳細を表示できます。

  • ファイル ID

  • ファイルコピー ID

  • [ファイルパス]

  • デスティネーションファイルパス

  • ストリーム ID

  • ゾーン ID

これらの詳細は、リスクのある行動に関連するユーザーアカウントのリスク調査と分析を行う際に役立ちます。リスクが高いと思われるイベントの特定の属性にドリルダウンできます。

フィールドの詳細については、「 Content Collaboration のセルフサービス検索」を参照してください。

2022年2月10日

新機能

カスタムリスク指標のディメンションの自動推奨値

カスタムリスク指標ページで、条件バーでディメンションと有効な演算子を選択すると、ディメンションの値が自動的に表示されます。自動推奨リストから値を選択するか、ユースケースに応じて手動で値を入力します。値を入力すると、レコード内の一致する値が自動的に候補として表示されます。

ディメンションに推奨される値のリストは、データベースで事前定義されている (既知の値) か、履歴イベントに基づいています。

たとえば、ディメンションEvent-Typeと代入演算子を選択すると、既知の値が自動的に推奨されます。要件に応じて値を選択できます。

詳細については、「 カスタムリスク指標」を参照してください。

カスタムリスク指標の自動提案

2022年2月9日

新機能

管理者用の新しいカスタムロール

フルアクセス権を持つCitrix Cloud 管理者は、組織内のセキュリティ分析を管理するよう他の管理者を招待できます。招待された管理者に次のカスタムロールを割り当てることができるようになりました。

  • セキュリティ分析-すべての管理者

  • セキュリティ分析-読み取り専用管理者

カスタムロールを使用すると、管理者に読み取り専用またはフルアクセス権限を付与して、Security Analytics のさまざまな機能の管理を許可できます。

これらのカスタムロールのアクセス権限の詳細については、 Security Analytics の管理者ロールの管理を参照してください

カスタムロール

カスタムアクセス管理者向けの電子メール通知のサポート

Citrix Cloud 管理者で、Security Analyticsを管理するためのカスタムアクセス(読み取り専用またはフルアクセス)権限を持つ場合、次の通知が表示されるようになりました。

  • 組織で検出されたセキュリティリスクについて毎週通知します。詳細については、「 毎週の電子メール通知」を参照してください。

  • [ 管理者に通知] アクションが手動で適用された場合や、ポリシーによってトリガーされた場合のリスク指標に関する通知。詳細については、「 ポリシーとアクション」を参照してください。

2022年1月28日

新機能

Content Collaboration と Gateway データソースに対する不審なログオンのリスク指標の導入

Citrix Analytics for Securityは、次のような複数のコンテキスト要因に基づいて、本質的に疑わしいユーザーログオンを検出するようになりました。

  • 場所は、ユーザーおよび組織履歴に関して通常とは違うと見なされます

  • デバイスはユーザーおよび組織履歴に関して異常であるとみなされます

  • ユーザーおよび組織の履歴に関して、ネットワークが異常と見なされる

  • IP アドレスは、IP 脅威インテリジェンスフィードに基づいて疑わしいと見なされます。

これらの要因の組み合わせに基づいて疑わしいコンテキストからユーザーがログオンすると、リスク指標がトリガーされます。

このリスク指標は、Citrix Content Collaboration および NetScaler Gateway データソースに関連付けられている[通常とは異なる場所からのアクセス]リスク指標を置き換えます。[ 異常な場所からのアクセス ] リスク指標に基づく既存のポリシーは、新しいリスク指標である [ 疑わしいログオン] に自動的にリンクされます。

リスク指標の詳細については、「疑わしいログオン-Content Collaboration」および「疑わしいログオン- ゲートウェイ」を参照してください。

リスク指標のスキーマについて詳しくは、 SIEM用のCitrix Analytics データ形式を参照してください

2022年1月20日

新機能

Microsoft Azure Active Directory 統合

Azure Active Directory をセキュリティ向けCitrix Analytics クスと接続して、次のことが可能になりました。

  • 組織のドメインからCitrix Analytics for Securityにユーザーの詳細とユーザーグループをインポートします。

  • 役職、組織、オフィスの所在地、電子メール、連絡先情報などの追加情報でユーザープロファイルを強化し、リスク調査や分析の際に役立ちます。

詳細については、「 Azure Active Directory との統合」を参照してください。

2022年1月18日

新機能

すべてのContent Collaboration リスク指標に対する共有リンクアクションのサポート

以前は、Content Collaboration サービスに関連付けられた次の共有リンクベースのリスク指標で、共有リンクアクション ([すべてのリンクを期限切れにする] および [リンクを表示のみの共有に変更 ]) を適用できました。

  • 匿名の機密共有リンクのダウンロード

  • 共有リンクのダウンロードが多すぎる

  • 過剰なファイル共有

このリリースでは、Content Collaboration サービスに関連付けられた次のユーザーベースのリスク指標に共有リンクアクションを適用できるようになりました。

  • 通常の場所以外からのアクセス

  • 機密ファイルへの過剰なアクセス

  • 過剰なファイルのアップロード

  • 過剰なファイルのダウンロード

  • ファイルまたはフォルダの過剰な削除

  • マルウェアファイルが検出されました

  • ランサムウェアのアクティビティの疑い

  • 異常な認証失敗

Content Collaboration サービスに関連付けられたカスタムリスク指標に共有リンクアクションを適用することもできます。

アクションとリスク指標の詳細については、次の記事を参照してください。

SIEM との統合が一般提供される

Citrix Analytics for Securityをセキュリティ情報およびイベント管理(SIEM)サービスと統合し、ユーザーのデータをCitrix IT環境からSIEMにエクスポートできます。この統合により、さまざまなソースから収集されたデータを相互に関連付け、組織のセキュリティを全体的に把握できます。

現在、Citrix Analytics for Securityを次のサービスと統合できます。

  • Splunk

  • Microsoft Sentinel

  • Elasticsearch

  • KafkaまたはLogstashベースのデータコネクターを使用するその他のSIEMサービス

詳細については、「 セキュリティ情報とイベント管理 (SIEM) の統合」を参照してください。

2021年12月23日

新機能

共有リンクのリスク指標の拡張

次の機能強化が行われました。

  • 匿名の機密共有リンクダウンロードリスク指標を使用してポリシーを作成できるようになりました

  • 匿名の機密共有ダウンロードリスク指標は共有リンクのリスク指標と区別するために、匿名の機密共有リンクのダウンロードに名前が変更されました

  • 過剰ダウンロードリスク指標は共有リンクのリスク指標と区別し、ユーザーベースの過剰なファイルダウンロードリスク指標と区別するために、「過剰な共有リンクのダウンロード 」に名前が変更されました。

詳しくは、「 Citrix 共有リンクのリスク指標」を参照してください。

2021年12月21日

新機能

リスク指標に関する通知をCitrix Cloud管理者以外に送信する

組織内のCitrix Cloud管理者以外に、[ 管理者に通知]アクションを使用して通知できるようになりました

これらの管理者に通知するには、電子メール配布リストを作成します。Citrix Cloud に接続されている外部ドメインから、または電子メールアドレスを直接使用して、電子メール配布リストで管理者を選択します。[ 管理者に通知]アクションを適用する場合は、Citrix Cloud管理者以外の管理者が含まれるメール配布リストを選択します

詳細については、「 電子メール配布リスト」を参照してください。

2021年12月20日

新機能

Content Collaboration ユーザにユーザ応答通知を送信する

Active Directory ユーザーに加えて、Content Collaboration ユーザーに [ エンドユーザー応答の要求 ] アクションを適用できるようになりました。

この操作により、Citrix Analytics がユーザーのCitrixアカウントで異常なアクティビティを検出すると、ユーザーに電子メール通知が送信されます。「 エンドユーザーレスポンスをリクエスト 」アクションの詳細については、「 ポリシーとアクション」を参照してください。

アクセス制御の名前が「Secure Workspace Access」に変更されました

Security Analytics ダッシュボードとレポートでは、 すべてのアクセス制御ラベルがSecure Workspace Access として更新され、ブランド変更された製品名に合わせられるようになりました。

たとえば、[ データソース ] ページ、[ セルフサービス検索 ] ページ、および [ ポリシー ] ページでは、[アクセス制御] ラベルの名前が [Secure Workspace Access] に変更されます。

修正された問題

  • Apps and Desktops データソースの場合、検索レポートを CSV ファイルとしてダウンロードすると、CSV ファイル内の一部のフィールド値は、値は使用できますが、使用不可 (N/A) と表示されます。たとえば、 Download File NameSession Launch TypeWorkspace App Versionなどのフィールドの値は [ セルフサービス検索 ] ページに表示されますが、ダウンロードされた CSV ファイルでは、これらの値は利用できません (N/A) と表示されます。この問題は修正されました。[CAS-62299]

2021年12月9日

新機能

テンプレートを使用してカスタムリスク指標を簡単に作成

ユースケースに基づいてテンプレートを選択し、カスタムリスク指標を作成できるようになりました。テンプレートには、定義済みのクエリとパラメーターが用意されています。これにより、カスタムリスク指標を作成する際の作業が楽になります。

詳細については、「 カスタムリスク指標」を参照してください。

2021年12月7日

修正された問題

  • Citrix Analytics for Securityでは、2021年9月にリリースされたCitrix Secure Browser を使用しているユーザーのイベントは受信されません。この問題は、2021年9月以降のリリースであるCitrix Secure Browser でホスト名追跡ポリシーが表示されないため 、Citrix Analytics for Securityとの統合を有効にできないためです。この問題は修正されました。[CAS-62254]

2021年12月2日

新機能

マルウェアファイルが検出されたリスク指標

Content Collaboration でユーザが感染ファイルをアップロードしたときにアラートを受信できるようになりました。

リスク指標は、トロイの木馬、ウイルス、その他の悪意のある脅威などのマルウェアに感染しているファイルを検出します。これにより、ファイルの所有者、ウイルス名、ファイルの場所など、悪意のあるファイルの詳細を可視化できます。

マルウェアファイルが検出されたリスク指標に関連するリスク要因は、ファイルベースのリスク指標です

リスク指標と適用できるアクションの詳細については、「 マルウェアファイルが検出されたリスク指標」を参照してください。

Content Collaboration データソースの新しいアクション

マルウェアファイルが検出されたリスク指標がユーザーに対してトリガーされると 、次のアクションを適用できます。

  • フォルダのアクセス権限を削除する。感染ファイルをアップロードしたユーザーのアクセス権をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにアクセスできません。

  • フォルダへのアップロード権限を削除する。感染ファイルをアップロードしたユーザーのアップロード権限をブロックできます。ユーザーは、感染ファイルがアップロードされたフォルダーにファイルをアップロードできません。

Content Collaboration のアクションの詳細については、「 ポリシーとアクション」を参照してください。

Actions

2021年11月29日

新機能

ユーザー通知のメール設定の強化

管理者は、ユーザー返信メールテンプレートにバナー画像、ヘッダー、フッターのテキストを追加できるようになりました。これらのフィールドはメールの正当性を高め、ユーザーのメールに対する関心と反応を高めます。

詳細については、「 エンドユーザーのメール設定」を参照してください。

メール設定

2021年11月26日

新機能

カスタムリスク指標とポリシーメニューの変更

次の機能のナビゲーションリンクが更新されました。

  • カスタムリスク指標:この機能を使用するには、[ セキュリティ] > [カスタムリスク指標] をクリックします。

  • ポリシー:この機能を使用するには、[ セキュリティ] > [ポリシー] をクリックします。

    メニュー変更

2021年11月25日

新機能

セキュリティ情報およびイベント管理 (SIEM) 統合の強化

このインテグレーションはプレビュー版です。

Citrix Analytics for Security を次のSIEMサービスと統合できるようになりました。

  • Microsoft Sentinel

  • Kibana などの可視化サービスと logryThm などの SIEM サービスを備えたElasticsearch

  • Logstash データ収集エンジンを使用するその他の SIEM サービス

ビジネスニーズに応じて、Citrix Analytics for SecurityからSIEMサービスにユーザーのデータをインポートします。この統合により、セキュリティ運用チームは組織内の SIEM サービス内のさまざまなログからデータを関連付け、分析、検索できるようになり、セキュリティリスクを特定して迅速に修正できるようになります。

詳細については、「 セキュリティ情報とイベント管理 (SIEM) の統合」を参照してください。

2021年11月9日

修正された問題

  • 一部のテナントでは、ユーザーポリシーが機能していません。この問題は、仮想アプリケーションのアラートにドメインの文字列値が空である場合に発生しました。この問題は修正されました。[CAS-60920]

2021年11月2日

新機能

Citrix Virtual Apps and Desktops、およびCitrix DaaSユーザーのアクセスプロファイルとログオンの詳細を表示する

[ Access Assurance Location ] ダッシュボードでは、仮想アプリケーションおよび仮想デスクトップにログオンしたユーザーのアクセスプロファイルとログオン詳細を表示できます。この情報は、脅威の調査と分析を行う際に役立ちます。

  • [ Access Profile ] ページには、選択した場所からのユーザーアクセスの概要が表示されます。合計ユーザー数と個別ユーザーログオン数の傾向分析と上位アクセスイベントを表示できます。

    プロフィールページにアクセスする

  • [ ユーザーログオン ] ページには、選択した場所から仮想アプリケーションおよび仮想デスクトップへのユーザーログオンの詳細が表示されます。

    ユーザーログオンページ

詳細については、「 アクセス保証ロケーション」ダッシュボードを参照してください

Content Collaboration のセルフサービス検索ページでマルウェアログを表示する

Content Collaboration のセルフサービスページで、マルウェアイベントFile.VirusInfectedとそれに関連するログを表示できるようになりました。このイベントは、Content Collaboration ユーザーがマルウェアに感染したファイルをアップロードしたときにトリガーされます。

詳細については、「 Content Collaboration のセルフサービス検索」を参照してください。

マルウエベント

修正された問題

  • Citrix Analytics でイベントを処理しているときに、一部のContent Collaboration ユーザーが誤って非従業員として設定されます。そのため、ユーザーは [検出されたユーザー] として識別されません。この問題は修正されました。[CAS-59608]

2021年10月20日

新機能

Session Recordingサーバー統合

Citrix Virtual Apps and Desktops Citrix DaaS環境では、セキュリティのためにユーザーイベントをCitrix Analyticsに送信するようにSession Recordingサーバーを構成できるようになりました。これらのユーザーイベントは、ユーザーの行動に関する実用的なインサイトを提供するために処理されます。

[ データソース] > [セキュリティ ] ページで、[ Virtual Apps and Desktops ] サイトカードに移動します。 Session Recordingサイトカードで 、縦の省略記号 (⋮) をクリックし、[ Session Recordingサーバーの接続] を選択します。

詳しくは、「 Session Recording展開に接続する」を参照してください。

Session Recordingの展開

2021年10月19日

新機能

管理者への通知メールテンプレートの機能拡張

「管理者に通知」 アクションを適用した後に管理者が受け取る電子メール通知が拡張され 、ユーザーのリスクの高いイベントをより的確に把握できるようになりました。

  • 通知には、トリガーされたリスク指標または適用されたポリシーに関する詳細情報が表示されるようになりました。たとえば、既定のリスク指標とカスタムリスク指標の重大度とトリガーされた時間を表示できます。コンテンツ構造が改善され、読みやすくなります。

  • 管理者は、電子メール通知からユーザーのタイムラインに直接アクセスして、危険なイベントに関する詳細を表示できるようになりました。

  • 通知にフィードバックオプションが追加されました。このオプションは、管理者からの応答を収集し、応答に基づいて通知の内容を継続的に改善するのに役立ちます。

管理者に通知 」操作について詳しくは、「 ポリシーと操作」を参照してください。

ユーザーログオンサマリーの機能強化

  • 世界規模の合計ユーザーログオン数と世界規模のユニークユーザーログオン数について、ユーザーログオン数の増加傾向または減少傾向を確認できるようになりました。

    ログオン総数の傾向

  • [ 一意のログオン場所] テーブルの [ **偏差 ] 列には、特定の場所に対する一意のユーザーログオンが上向きまたは下向きに変化したことがわかります** 。

    固有のログオン傾向

これらの指標は、ユーザーログオンが前期からどのように変化したか(正または負)を把握するのに役立ちます。これにより、Citrix Virtual Apps and Desktops Citrix DaaS環境でのユーザーインタラクションを可視化できます。

詳細については、「 アクセス保証ロケーションダッシュボード」を参照してください。

修正された問題

  • ジオフェンスエリア外からログオンするユーザーがいないと、[ **Access Assurance Location ] ダッシュボードの [User Logon Summary** ] カードにユーザーログオンメトリック (ワールドワイド合計ユーザーログオン数、ワールドワイドユニークユーザーログオン数、およびユーザーログオンがある国) が表示されません。この問題は修正されました。[CAS-59595]

2021年10月1日

新機能

Content Collaboration のセルフサービス検索に関する監査ログの表示

Content Collaboration のセルフサービス検索で、監査ログを表示できるようになりました。これらのログは、Content Collaboration 管理者がユーザーアカウントに適用した権限とアクションに関する洞察を提供します。これらのデータを使用して、Content Collaboration 管理者がユーザーアカウントに対して有効なアクションを実行したかどうかを確認できます。セキュリティ管理者は、リスクの調査と分析の際に役立ちます。

監査ログの詳細については、「 Content Collaboration のセルフサービス検索」を参照してください。

修正された問題

Azure AD を使用してCitrix Cloud にログオンする管理者は、以前の期限切れのセッションIDが新しいセッションIDと共に来ると、Citrix Analytics サービスにアクセスできません。この問題は修正されました。[CAS-59385]

2021年9月29日

新機能

アクセス保証ロケーションダッシュボードが一般公開されました

ダッシュボードには、Citrix Virtual Apps and Desktops Citrix DaaSユーザーの場所が表示されます。ジオフェンシングを有効にすることで、場所が異常なユーザーを特定し、脅威を防ぐための適切なアクションを適用できます。

ダッシュボードを表示するには、[ セキュリティ] > [アクセス保証] の順にクリックします。ロケーションの詳細を表示する期間を選択します。

詳細については、「 アクセス保証ロケーションダッシュボード」を参照してください。

2021年9月15日

新機能

カスタムリスク指標の機能強化

  • カスタムリスク指標がトリガーされると、 すぐにユーザータイムラインに表示されます 。ただし、ユーザーのリスクサマリーとリスクスコアは数分(約 15 ~ 20 分)後に更新されます。

  • 既存のカスタムリスク指標の条件、リスクカテゴリ、重大度、名前などの属性をユーザータイムラインで変更しても、そのユーザーに対してトリガーされたカスタムリスク指標(古い属性を含む)の以前の発生を表示できます。

  • カスタムリスク指標を削除しても、ユーザータイムラインで、そのユーザーに対してトリガーされたカスタムリスク指標の以前の発生を表示できます。

詳細については、「 カスタムリスク指標」を参照してください。

2021年9月14日

新機能

疑わしいログオンリスクインジケータの導入

Citrix Analytics for Securityは、次のような複数のコンテキスト要因に基づいて、本質的に疑わしいユーザーログオンを検出するようになりました。

  • 場所は、ユーザーおよび組織履歴に関して通常とは違うと見なされます

  • デバイスはユーザーおよび組織履歴に関して異常であるとみなされます

  • ユーザーおよび組織の履歴に関して、ネットワークが異常と見なされる

  • IP アドレスは、IP 脅威インテリジェンスフィードに基づいて疑わしいと見なされます。

Citrix Virtual Apps and Desktops およびCitrix DaaSユーザーが、これらの要因の組み合わせに基づいて疑わしいコンテキストからログオンすると、リスク指標がトリガーされます。

このリスク指標は、Citrix Virtual Apps and Desktopsデータソースに関連付けられた異常な場所からのアクセスのリスク指標を置き換えます 。[ 異常な場所からのアクセス ] リスク指標に基づく既存のポリシーは、新しいリスク指標である [ 疑わしいログオン] に自動的にリンクされます。

リスク指標について詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

SIEM メッセージの機能強化

Citrix Analytics for Securityは、 疑わしいログオンリスク指標のスキーマの詳細をSIEMサービスに送信するようになりました 。指標の概要のスキーマと、 疑わしいログオンリスク指標のイベントの詳細を表示できます 。詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

修正された問題

  • アプリとデスクトップのセルフサービス検索では、ダウンロードした CSV ファイルにクライアント IP 値がありません。この問題は修正されました。[CAS-58426]

2021年8月19日

新機能

Splunk 向けCitrix Analytics アプリの紹介

アプリはプレビューです。

Splunk 向け Citrix Analytics アプリを使用すると、セキュリティ向け Citrix Analytics から収集されたデータを、洞察に満ちたダッシュボードの形式で Splunk に表示できます。ダッシュボードは、ユーザーの危険なイベントに関するインサイトを提供します。また、Citrix Analytics データを、他のさまざまなデータソースから収集されたログと関連付けることもできます。相関関係は、イベント間の関係を見つけ、IT環境を保護するためのタイムリーなアクションを実行するのに役立ちます。

アプリをダウンロードするには、 Splunkbaseにアクセスしてください。Splunk 検索ヘッドにアプリをインストールします。

詳しくは、「 Splunk 用 Citrix Analytics アプリ」を参照してください。

SIEM のカスタムリスク指標スキーマ

SIEMサービスで、Citrix Virtual Apps and Desktops Citrix DaaS用に作成されたカスタムリスク指標のスキーマを表示できるようになりました。このデータは、組織のセキュリティリスク状況に関する洞察を得るのに役立ちます。

カスタムリスク指標スキーマについて詳しくは、「 SIEMのCitrix Analytics データ形式」を参照してください。

データソースとしてのCitrix Directorのサポート

Citrix Director でオンプレミスサイトを構成して、セキュリティ分析にイベントを送信できるようになりました。これらのイベントは、Security Analytics に接続しているユーザーを検出し、ユーザーのデバイスにインストールされている Workspace アプリのバージョンを判断するために使用されます。

デフォルトでは、サイトの検出後にデータ処理が有効になります。[ 監視 ] カードでは、接続されているすべてのサイトを表示できます。

Directorでサイトを構成する方法について詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。

アクセス保証ロケーションダッシュボードでのジオフェンスのサポート

ダッシュボードの [ ジオフェンス設定]を使用して、ジオフェンスエリアを選択して有効にできるようになりました。ジオフェンスを有効にすると、マップにジオフェンスエリア(国)が表示され、ジオフェンスの外側と内側からユーザーがログオンします。この機能は、ジオフェンスのリスク指標の外で開始された CVAD セッションを使用して 、ユーザーのログオンを監視します。

詳細については、「 アクセス保証ロケーションダッシュボード」を参照してください。

[ユーザー] ページの Workspace アプリのステータス

ユーザー ]ページで、Citrix Analytics でサポートされているCitrix Workspace アプリクライアントのステータスを表示できるようになりました。このページには、次のステータスが表示されます。

  • サポート対象
  • 部分的にサポートされている
  • サポートされません
  • 利用できない
  • 非アクティブ

このステータスは、ユーザが使用するサポートされていないクライアントバージョンを特定し、クライアントをサポート対象バージョンにアップグレードするようにユーザに推奨するのに役立ちます。サポートされているクライアントバージョンは、ユーザーイベントをCitrix Analytics に送信します。

Citrix Workspace アプリのステータスを表示するには、Citrix Directorデータソースを起動する必要があります。それ以外の場合、すべてのCitrix Virtual Apps and Desktops Citrix DaaSユーザーのステータスは「 非アクティブ」と表示されます。

詳細については、[ユーザー] ダッシュボードを参照してください

IS EMPTY 演算子のサポート

カスタムリスク指標の作成中に、条件で IS EMPTY 演算子を使用して NULL または空のディメンションをチェックできるようになりました。

注:

この演算子は、App-Name、Browser、Country などの文字列タイプのディメンションでのみ機能します。

詳細については、「 カスタムリスク指標」を参照してください。

リスクスコアリングの向上

ユーザーのタイムラインで、ユーザーのリスクサマリーを表示できるようになりました。リスクサマリーは、ユーザーイベントに関連するリスク要因に関する情報を提供します。リスクファクターは、ユーザーイベントの異常のタイプを識別するのに役立ち、リスクスコアも決定します。リスク要因は次のとおりです。

  • デバイスベースのリスク指標

  • ロケーションベースのリスク指標

  • IP ベースのリスク指標

  • ログオン失敗ベースのリスク指標

  • データベースのリスク指標

  • ファイルベースのリスク指標

  • カスタムリスク指標

  • その他のリスク指標

ユーザーのタイムラインで、フィルターを適用して、リスク要因に基づいてユーザーイベントを表示できるようになりました。

詳しくは、次のトピックを参照してください:

2021年7月29日

非推奨の機能

Citrix Endpoint Managementに関連付けられている非推奨のアクション

以下のアクションは、Citrix Endpoint Managementデータソースから削除されます。これらのアクションをリスク指標に適用したり、これらのアクションを使用してポリシーを作成したりすることはできなくなりました。

  • デバイスのロック

  • Endpoint Management 管理者に通知する

  • ユーザーに通知

  • デバイスの取り消し

  • デバイスのワイプ

既存のポリシーでは、これらのアクションがすでに使用されている場合は、自動的に [ ウォッチリストに追加 ] アクションに置き換えられます。そして、ウォッチリストからそのようなユーザーを監視することができます。

2021年7月14日

新機能

IS NOT EMPTY 演算子のサポート

カスタムリスク指標の作成時に、条件で IS NOT EMPTY 演算子を使用して、ディメンションが空ではない (空白ではない) かどうかを確認できるようになりました。

注:

この演算子は、App-Name、Browser、Country などの文字列タイプのディメンションでのみ機能します。

たとえば、次の条件は、country 値が NULL でないすべての国のユーザーログオンイベントを検出します。つまり、国名が指定されます。

Event-Type = “Session.logon” AND Country IS NOT EMPTY

詳細については、「 カスタムリスク指標」を参照してください。

2021年7月06日放送分

新機能

ユーザーダッシュボードでリスクのないユーザーを表示する

[ ユーザー ] ダッシュボードで、選択した期間のリスクのないユーザーの数を表示できるようになりました。検出されたこれらのユーザーは、選択した期間のゼロリスクスコアに基づいて、非リスクとして識別されます。[ Non Risky Users ] カードをクリックすると、リスクスコアがゼロのすべてのユーザーが表示されます。

詳細については、「 ユーザーダッシュボード」を参照してください。

リスクのないユーザー

2021年7月01日

新機能

アクセス保証ロケーションダッシュボードの機能強化

  • [ 一意のログオンの場所の上位 10 ] テーブルでは、不明な場所からの一意のユーザーログオンの数を表示できます。このリストは、一意のログオン場所の上位 10 のサブセットです。また、場所が不明である理由と、ユーザーの位置情報を取得する方法もわかります。

    不明な場所

  • [ アクセス場所 ] ページで、複数の場所を選択した場合、すべての場所、上位 5 つの場所、および下位 5 つの場所からのユーザーログオンのタイムラインの詳細を表示および比較できます。

    タイムラインの比較

  • [ アクセス場所 ] ページでは、国とその都市、オペレーティングシステム (メジャーバージョンとマイナーバージョンなど) のネストされたファセットを使用できます。これらのファセットを使用すると、イベントを細かくフィルタリングできます。

    ネストされたファセット

詳細については、 アクセス保証の場所を参照してください

Virtual Apps and Desktops のセルフサービス検索の OS ファセットを更新しました

ネストされた OS ファセットを使用して、Apps および Desktops イベントをフィルタリングできるようになりました。オペレーティングシステムに関連付けられているメジャーバージョンとマイナーバージョンを選択し、詳細な方法でイベントをフィルタリングします。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

OS ネストされたファセット

2021年6月30日

新機能

アプリとデスクトップのカスタムリスク指標条件に Workspace アプリのバージョンを追加

アプリとデスクトップデータソースではWorkspace-App-Version ディメンションを使用して、カスタムリスク指標の作成中に条件を定義できるようになりました。ディメンションの詳細については、「 アプリとデスクトップのセルフサービス検索」を参照してください。

CWA版

2021年6月23日

新機能

SIEM メッセージの機能強化

次のフィールドがリスク指標のスキーマに追加されました。

  • indicator_vector_name-リスク指標に関連付けられたリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。

  • indicator_vector_id-リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = IP ベースのリスク指標、ID 6 = データベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できません。

詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

2021年6月07日

新機能

管理者に通知アクションの機能強化

[ 管理者に通知 ] アクションをリスクインジケータに適用したり、アクションでポリシーを作成したりするときに、ユーザーの危険な動作に関する通知を受け取る管理者を選択できるようになりました。アクションの詳細については、「 ポリシーとアクション」を参照してください。

表示専用共有アクションのサポートが追加されました

ユーザーがファイルを過度に共有すると、Citrix Analytics は過剰なファイル共有のリスクインジケータをトリガーします 。ユーザーのリスクタイムラインから、[ 表示のみの共有にリンクを変更] アクションを [ **過剰なファイル共有リスク** ] インジケータに適用できるようになりました。共有リンクリスクタイムライン上の特定の共有リンクにアクションを適用することもできます。この操作により、他のユーザーが共有リンクに関連付けられているファイルをダウンロードしたり、コピーしたり、印刷したりできなくなります。アクションの詳細については、「 ポリシーとアクション」を参照してください。

2021年5月18日

新機能

デフォルトのリスク指標をカスタムリスク指標に移行する

次のデフォルトリスク指標は、事前設定されたカスタムリスク指標に移行されます。

デフォルトのリスクインジケータ データソース 事前構成されたカスタムリスクインジケータ
新しいデバイスからの初回アクセス Citrix Virtual Apps and Desktopsおよび Citrix DaaS CVAD-新しいデバイスからの初回アクセス
新しいIPからの初回アクセス Citrix Gateway 新しい IP からのゲートウェイファーストタイムアクセス

このカスタムリスク指標への移行により、デフォルトのリスク指標と関連する機械学習アルゴリズムは廃止されます。

対応するカスタムリスク指標は、次の事前設定された条件に基づいてトリガーされます。

  • ユーザーが新しいデバイスから初めてアクセスしたとき、または最低 90 日間使用されていない既存のデバイスからアクセスした場合。

  • ユーザーが新しい IP アドレス、または最低 90 日間使用されていない既存の IP アドレスからサインインしたとき。

事前構成された条件に加えて、これらのカスタムリスク指標に独自の条件を追加して、Citrix 環境内の脅威を特定できるようになりました。このオプションを使用すると、セキュリティのニーズに基づいてカスタムリスク指標を柔軟に設定できます。また、これらのカスタムリスク指標によって検出されたリスクのあるイベントにアクションを適用するポリシーを作成することもできます。

ただし、ユーザーのタイムラインでは、以前にトリガーされたデフォルトのリスク指標とそのイベントは引き続き表示できます。

これらのデフォルトリスク指標に関連付けられているポリシーは、対応する事前設定されたカスタムリスク指標に自動的にリンクされます。

詳細については、「 事前構成されたカスタムリスク指標とポリシー」を参照してください。

Gateway のセルフサービス検索の機能強化

  • イベントタイプフィルタの名前が [ レコードタイプ]に変更されました。次のいずれかのレコードタイプを選択して、イベントをフィルタリングします。VPN_AI、VPN_IF、および VPN_ST。

  • DATA テーブルで、ユーザーイベントの行を展開して、対応するイベントタイプを表示します。イベントタイプは、認証、ICAファイル、またはセッションログアウトのいずれかです。

次の表では、レコードタイプとイベントタイプの相関関係について説明します。

レコードタイプ イベントの種類
VPN_AI 認証
VPN_IF ICAファイル
VPN_ST セッションログアウト

詳細については、「 Gateway のセルフサービス検索」を参照してください。

修正された問題

  • カスタムリスク指標は、条件値の大文字と小文字の区別に基づいてトリガーされます。たとえば、許可リストにデバイス ID を含むユーザイベントでは、次の動作が表示されます。

    • Device-ID ディメンションの値を小文字で入力すると、カスタムインジケータがトリガーされます。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621d2cb-f598-5ef7-a5bf-81747496ed2e”)

    • 同じデバイスのDevice-IDディメンションの値を大文字で入力すると、カスタムインジケータはトリガーされません。

      Event-Type = Session.Logon AND Device-ID NOTIN (“1621D2CB-F598-5EF7-A5BF-81747496ED2E”)

    この問題は修正され、条件付き値の大文字と小文字の区別に関係なく、カスタムリスク指標がトリガーされます。

    [CAS-50153]

2021年4月29日

新機能

カスタムリスク指標のイベント詳細

ユーザーのリスクタイムラインページで、カスタムリスク指標をトリガーしたイベントを表示できるようになりました。以前は、カスタムリスク指標の定義済みの条件、説明、およびトリガー頻度のみを表示できました。[ イベント検索 ] をクリックして、ユーザーとリスク指標に関連付けられているイベントの詳細を表示します。 詳細については、「 カスタムリスク指標」を参照してください。

修正された問題

  • 管理者は、アクセス権限が読み取り専用管理者から完全管理者に変更された後でも、カスタムリスク指標を作成できません。[CAS-49628]

2021年4月16日

新機能

SIEM メッセージの機能強化

リスク指標スキーマ形式について、次の機能強化を表示できます。

  • クライアント IP アドレスが、すべてのバッチリスク指標のスキーマで利用可能になりました。以前は、クライアント IP アドレスは、いくつかのバッチリスク指標でのみ使用可能でした。

    • EPAスキャンの失敗
    • 過剰な認証失敗
    • 疑わしいIPからのログオン
    • 通常の場所以外からのアクセス
    • 異常な認証の失敗
    • 匿名の機密共有ダウンロード
    • データ流出の可能性
  • 整数データ型のフィールド値が使用できない場合、割り当てられる値は -999です。例:"latitide" = -999

  • 文字列データ型のフィールド値が使用できない場合、割り当てられる値は NAになります。例:"city"= "NA"

詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

2021年3月26日

新機能

SIEM メッセージの制限

Citrix Analytics は、リスク指標の発生ごとに最大1000個のイベントの詳細をSIEMサービスに送信します。これらのイベントは、発生時順に送信されます。詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

SIEM メッセージにデータソース ID フィールドとインジケータカテゴリ ID フィールドを追加しました

インジケータサマリスキーマとインジケータイベント詳細スキーマには、次のフィールドが追加されます。

フィールド 説明
data_source_id データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = NetScaler Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Virtual Apps and Desktops、ID 4 = Citrixアクセスコントロール
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー

詳しくは、「 SIEM用のCitrix Analytics データ形式」を参照してください。

2021年3月18日

新機能

アシュアランスロケーションダッシュボードにアクセスする

この機能はプレビューです。

アクセス保証ロケーションダッシュボードには 、Citrix Virtual Apps and Desktops と Citrix DaaS ユーザーが選択した期間にログオンした場所の概要が表示されます。Citrix Analytics は、ユーザーのデバイスにインストールされているCitrix Workspaceアプリからこれらのユーザーログオンイベントを受信します。

ダッシュボードを表示するには、[ セキュリティ] > [アクセス保証] の順にクリックします。

選択した期間について、次の情報を表示できます。

  • 特定の場所およびロケーション間のユーザーログオンの合計数。

  • ロケーション全体の一意のユーザーログオンの総数。

  • ユーザーがログオンした国の総数。

  • 一意のユーザーログオンがある上位 10 の場所。

詳細については、 アクセス保証の場所を参照してください

ユーザーログオンの概要ページ

NOT LIKE (!~) 演算子のサポート

セルフサービス検索クエリとカスタムリスク指標条件では、NOT LIKE (!~) 演算子。オペレータは、指定したマッチングパターンのユーザイベントをチェックします。これは、イベント文字列内の指定されたパターンを含まないイベントを返します。

たとえば、クエリUser-Name !~ “John”では、John、John Smith、または一致する名前「John」 を含むユーザー以外のユーザーのイベントが表示されます。

詳細については、「 セルフサービス検索」を参照してください。

翻訳されたオペレーティングシステムのバージョン

Citrix Virtual Apps and Desktops と Citrix DaaS データソースでは、 プラットフォームディメンションがOS メジャーバージョン、 **OS マイナーバージョン、および **OS エクストラディテールディメンションに変換されるようになりました 。Citrix Analytics では、ユーザーのオペレーティングシステムの詳細に基づいて、セルフサービス検索ページにこれらのディメンションが表示されます。

これらのディメンションを使用して、カスタムリスク指標の条件を定義できます。

以前に作成したカスタムリスク指標について、 プラットフォームディメンションを条件として使用している場合 、Citrix Analytics はプラットフォームディメンションをOSメジャーバージョンOSマイナーバージョンOS-Extra-Detailsに自動的に置き換えます。この更新は、定義した条件の整合性には影響しません。

新しいディメンションについて詳しくは、 Virtual Apps and Desktops のセルフサービス検索を参照してください

アプリとデスクトップのデータフィールドが更新されました

アプリとデスクトップのセルフサービス検索で、コンテキストテンプレートに基づいて更新されたデータフィールドを表示します。

詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

非推奨の機能

セルフサービス検索ページから VPN_AF イベントと VPN_SU イベントを削除しました

NetScaler Gateway データソースのセルフサービス検索ページで、次のレコードタイプが削除されました。

レコードタイプ レコード名
VPN_SU セッション更新レコード
VPN_AF アプリケーションの起動失敗レコード

そのため、これらのレコードタイプに基づいてイベントをフィルタリングして表示することはできません。これらのレコードタイプに基づくカスタムリスク指標は機能しなくなります。

詳細については、「 Gateway のセルフサービス検索」を参照してください。

2021年3月11日

新機能

ユーザリスクスコアスキーマの現在のタイムスタンプ

ユーザリスクスコアスキーマ形式で新しいフィールドlast_update_timestampが追加されます。このフィールドは、リスクスコアが最後に更新された時刻を示します。スキーマ形式の詳細については、「 ユーザーリスクスコアスキーマ」を参照してください。

2021年3月03日

新機能

疑わしい IP リスク指標からのログオンの機能強化

ユーザーのリスクタイムラインページに、[ 疑わしい IPからのログオン] リスクインジケータの新しいセクション [疑わしいIP ] が表示されます。このセクションでは、次の内容について説明します:

疑わしいIPセクション

  • 疑わしいサインインアクティビティが検出される IP アドレス。
  • ユーザーの場所。
  • Citrix Analytics が組織で最近検出した疑わしいIPアクティビティのパターン。
  • コミュニティレベルのインテリジェンスは、IP アドレスについてフィードします。

詳細については、 疑わしい IP からのログオンリスク指標を参照してください

異常な場所からのアクセスリスク指標の機能強化

  • Citrix Content Collaborationの[異常な場所からのアクセス]リスクインジケータで、イベントテーブルに[ ツール名 ]列を追加しました。イベントテーブルから DEVICE BROWSER列を削除しました 。詳しくは、「 Citrix Content Collaboration のリスク指標」を参照してください。

  • Citrix Virtual Apps and Desktops と Citrix DaaS の「異常な位置情報からのアクセス」リスク指標で、イベントテーブルに「 デバイスID 」列と「 受信者タイプ 」列を追加しました。詳しくは、「 Citrix Virtual Apps and Desktopsのリスク指標」を参照してください。

Citrix AnalyticsのSIEM用のデータ形式

この記事では 、SIEMサービス用にCitrix Analytics によって生成される処理されたデータのスキーマについて説明します。

修正された問題

  • Content Collaborationユーザーの場合、Is Employee<!--NeedCopy--> 値がnullのユーザーは検出されたユーザーリストに表示されません。[CAS-47815]

2021年2月18日

新機能

カスタムリスク指標の新しいエンティティからの初回アクセスのサポート

Citrix Analytics が新しいエンティティから初めてイベントを受信したときにトリガーされるリスク指標を作成できるようになりました。エンティティの例としては、クライアント IP、都市、国などがあります。

[ インジケータの作成 ] ページで、[ 初回 ] オプションをクリックします。[ 初めて新規作成 ] ボタンを有効にし、データソースに基づいてリストから有効なエンティティを選択します。エンティティに特定の値を割り当てる必要はありません。たとえば、リストから[ 都市 ]を選択すると、ユーザーが新しい都市から初めてサインインするたびに、Citrix Analytics によってリスク指標がトリガーされます。

詳細については、「 カスタムリスク指標の作成」を参照してください。

新しいオプションを初めてお見せする

カスタムリスク指標を作成するための上限

最大 50 のカスタムリスク指標を作成できるようになりました。この上限に達した場合は、既存のカスタムリスク指標を削除または編集して、カスタムリスク指標を作成する必要があります。

詳細については、「 カスタムリスク指標」を参照してください。

Citrix Virtual Apps and Desktopsおよび Citrix DaaS からのユーザーの位置情報データ

ユーザー情報ページに 、Citrix AnalyticsがCitrix Virtual Apps and Desktops とCitrix DaaSデータソースからユーザーの場所を表示するようになりました。

ユーザーの場所の詳細については、「 ユーザープロファイル」を参照してください。

複数列の並べ替え

セルフサービス検索ページで、ユーザーイベントを複数の列で並べ替えることができるようになりました。[ 並べ替え] をクリックし、列と並べ替え順序を追加します。[ Apply ] をクリックして、ユーザーイベントを並べ替えます。最大 6 つの列を追加して、複数列の並べ替えを実行できます。

複数列ソート

詳細については、「 セルフサービス検索」を参照してください。

廃止された機能

過剰な認証失敗リスク指標は非推奨

NetScaler Gateway リスクインジケータ- 過剰な承認失敗は廃止されました 。このインジケーターに関連する履歴データのみを表示できます。

この非推奨の一部として、次の変更が適用されます。

  • Citrix Analytics はこれらのリスク指標を生成しなくなりました。

  • Citrix Analytics は、これらのリスク指標を条件として持つポリシーを生成しなくなりました。

  • これらのリスク指標を条件とするデフォルトのポリシーは有効になりません。

詳しくは、「 NetScaler Gateway リスク指標」を参照してください。

2021年1月27日

新機能

異常な場所からのアクセスリスク指標の強化

Citrix Content Collaboration、NetScaler Gateway、およびCitrix Virtual Apps and Desktopsでは、ユーザーが新しい国に関連付けられたIPアドレス、または以前のサインインから異常に離れた新しい都市からサインインすると、 異常な場所からのアクセスリスクインジケータがトリガーされるようになりました ロケーション。その他の要因には、ユーザーの全体的なモビリティレベルや、組織内のすべてのユーザーの都市からのログインの相対的な頻度などがあります。すべての場合において、ユーザーのロケーション履歴は、過去30日間のサインインアクティビティに基づいています。

リスク指標の詳細については、次のトピックを参照してください。

2021年1月20日

修正された問題

  • オンプレミスのStoreFrontを使用するアプリとデスクトップのデータソースでは、StoreFront展開環境は正常に接続されていますが、データ処理は失敗します。

    [CAS-46656]

2021年1月19日

修正された問題

  • カスタムリスク指標ページで、検索フィールドの無効な条件を修正した後、[ Estimate Trigger ] リンクが応答しません。

    たとえば、 クライアント IP = 10.10.10.10という無効な条件を入力するとします。この条件を修正し、 client-IP =”10.10.10.10”と入力すると、[ トリガーの推定 ] リンクが応答しません。

    回避策:カスタムインジケータページを更新し、有効な条件でカスタムインジケータを作成します。

    [CAS-46316]

2021年1月13日

新機能

Splunk 向けの Citrix Analytics アドオンの新しいバージョンが利用可能になりました

Splunk の Citrix Analytics アドオンバージョン 2.1.0 が利用可能になりました。 ダウンロードページに移動して 、ファイルをダウンロードします。

Splunk クラウド入力データマネージャー (IDM) と Splunk 8.1 64 ビットのサポートを追加

セキュリティ向け Citrix Analytics を Splunk クラウド IDM および Splunk 8.1 64 ビットと統合できるようになりました。詳細については、「 Splunk 統合」を参照してください。

非推奨のサポート

Splunk 7.1 64 ビットのサポートを削除しました

セキュリティ向け Citrix Analytics を Splunk 7.1 64 ビットと統合できなくなりました。サポートされている Splunk のバージョンについては、「 Splunk 統合」を参照してください。

2021年1月11日

修正された問題

  • [Virtual Apps and Desktops] サイトカードで、ラベル [ サポートされているクライアントユーザー ] の名前が [ ユーザーから受信したイベント] に変更されます。「 サポートされていないクライアントユーザー 」というラベルの名前が「 ユーザーからのイベントを受信できません」に変更されます。

    [CAS-44773]

2020年12月17日

新機能

事前構成されたカスタムリスク指標とポリシーを使用して、異常な場所からのアクセスをブロックする(ジオフェンシング)

Citrix は、事前構成されたカスタムリスク指標のリストと、Citrix インフラストラクチャのセキュリティを監視するのに役立つポリシーを提供します。これらのインジケーターとポリシーを使用すると、通常の運用国以外の国からのユーザーアクセスをブロックできます。デフォルトでは、国は「米国」に設定されています。ジオフェンシングに必要な国を設定できます。

以下は、事前構成されたカスタムリスク指標とポリシーです。

  • CVAD-セッションがジオフェンスの外で開始されました

  • GW-ジオフェンスクロッシング

  • CCC-ジオフェンス交差点

  • ジオフェンス外でのセッション開始

詳細については、「 事前構成されたカスタムリスク指標とポリシー」を参照してください。

アクセスした場所をユーザー応答メールで表示する

ユーザーデバイスの IP アドレスの代わりに、ユーザー応答メールには、過去 15 分間にユーザーがアクセスしたすべての場所が表示されるようになりました。場所は、 <City>,<Country><!--NeedCopy--> の形式で表示されます。都市または国が利用できない場合、対応する値は「不明」と表示されます。

詳細については、「 ユーザー応答のリクエスト」を参照してください。

名前が変更されたContent Collaboration リスク指標-新しい場所からの初回アクセス

Citrix Content Collaboration リスク指標の[ 新しい場所からの初回アクセス ]は、[ 異常な場所からのアクセス]という名前に変更されます。

詳細については、「 異常な場所からのアクセス」を参照してください。

廃止された機能

リスク指標のフィードバック

リスク指標フィードバックメカニズムが削除されます。Content Collaboration のリスクインジケータ-異常な場所からのアクセスが誤ってトリガーされた場合、それを誤検知として報告してフィードバックを提供することはできなくなります。

2020年12月7日

新機能

潜在的なデータ漏洩リスク指標の改善

リスク指標には、次の機能強化が加えられています。

  • WHAT HAPPENEDセクションの情報が更新されます。時刻形式は、一貫性を維持するために更新されます。

  • デバイスの位置情報がイベントリストに表示されます。

リスク指標の詳細については、「 データの漏洩の可能性」を参照してください。

Content Collaboration リスク指標の改善-新しい場所からの初回アクセス

ユーザーリスクタイムラインで、[ 新しい場所からの初回アクセス ] を選択して、次の情報を表示します。

  • サインイン場所:ユーザーがサインインした通常の場所と通常とは異なる場所の地理的マップビューを表示します。

  • 通常の場所からのサインイン数-過去 30 日間:ユーザーが過去 30 日間にサインインした通常の場所の上位 6 つの円グラフビューを表示します。また、これらの場所からのサインインイベントの数も表示されます。

  • 異常な場所のイベントの詳細:ユーザーの異常な場所からのサインインイベントのリストを提供します。

リスク指標の詳細については、「 新しい場所からの初回アクセス」を参照してください。

2020年11月30日

新機能

セルフサービス検索ページの改善

セルフサービス検索ページの使いやすさを向上させるために、次の改善が行われました。

  • 検索ボックスには、独自のクエリの入力方法を示すクエリの例が表示されます。

    検索ボックスクエリ

  • macOS では、寸法リストのスクロールバーがデフォルトで表示されるようになりました。

    Mac スクロールバー

  • 適用されたフィルターがチップとして表示されるようになりました。

    フィルターチップ

  • [ 列の追加または削除 ] ラベルが [ + ] アイコンに置き換わります。

    アイコン更新

詳細については、「 セルフサービス検索」を参照してください。

ポリシーの改善

ポリシー ]ページに、正常に検出され、Citrix Analytics に接続されたデータソースに関連付けられたポリシーが表示されます。このページには、未検出のデータソースに対して条件が定義されているポリシーは表示されません。 すでに接続されているデータソースのデータ処理をオフにしても、[ポリシー] ページの既存のポリシーには影響しません。

詳細については、「 ポリシーとアクションの構成」を参照してください。

2020年11月04日

新機能

異常な認証失敗-NetScaler Gateway リスク指標

Citrix Analytics は、ユーザーが異常なIPアドレスからのログオンに失敗したときにアクセスベースの脅威を検出し、 異常な認証失敗リスク指標をトリガーします

このリスク指標は、組織内のユーザーが通常の動作に反する異常な IP アドレスからのログオンに失敗したときにトリガーされます。

詳しくは、「 NetScaler Gateway リスク指標」を参照してください。

認証失敗

2020年10月20日

修正された問題

  • リスクインジケータ [ ログオフ] **ユーザーアクションが適用された新しいデバイスからの初回アクセスが期待どおりに機能しません** 。

    [CAS-40743]

2020年10月15日

新機能

異常な場所からのアクセス — Citrix Virtual Apps and Desktops および Citrix DaaS リスク指標

Citrix Analytics は、Citrix Workspace からの異常なサインインに基づいてアクセスベースの脅威を検出し、対応するリスク指標をトリガーします。

通常以外の場所

詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

共有リンクダッシュボードの機能強化

  • [共有 URL] 列は、[共有 ID] 列に置き換えられました。各共有 URL は、共有 ID で識別されるようになりました。

  • ダッシュボード上の時間選択が削除されます。このダッシュボードには、選択した期間ではなく、アクティブな状態から期限切れの状態までのすべての共有リンクが表示されます。

  • すべての共有リンクは、最初にアクティブなリンク、次に期限切れのリンクの順にソートされます。既定では、リスク指標の数が最も高い共有リンクがリストの一番上に表示されます。

  • 危険なリンクには、危険な動作を持つアクティブなリンクが表示されるようになりました。期限切れのリンクは表示されません。既定では、リスク指標の数が最も高い危険なリンクがリストの一番上に表示されます。

  • [危険な共有リンク] カードと [すべての共有リンク] カードのトレンドビューが削除されます。

詳細については、「共有リンク」ダッシュボードを参照してください。

リンクのリスクタイムラインの拡張機能の共有

リスクタイムラインに、共有 URL の代わりに共有 ID が表示されるようになりました。詳細については、「 リンクのリスクタイムラインを共有する」を参照してください。

廃止された機能

サポートされていないオペレーティングシステム (OS) リスク指標を持つデバイスからのアクセスは非推奨

Citrix Virtual Apps and Desktopsのリスク指標- サポートされていないオペレーティングシステム(OS)を搭載したデバイスからのアクセスは廃止されました 。このインジケーターに関連する履歴データのみを表示できます。

この非推奨の一部として、次の変更が適用されます。

  • Analytics はこれらのリスク指標を生成しなくなりました。

  • Analytics は、これらのリスク指標を条件とするポリシーを生成しなくなりました。

  • これらのリスク指標を条件とするデフォルトのポリシーは有効になりません。

詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

2020年9月10日

新機能

StoreFront のチェックリスト

Citrix Analytics で、StoreFront 構成ファイルをダウンロードする前に満たす必要のある前提条件の一覧が表示されるようになりました。チェックリストを確認し、すべての最小要件が選択されていることを確認します。最小要件が選択されていない場合、設定ファイルをダウンロードできません。詳しくは、「 Citrix Virtual Apps and Desktopsのデータソース」を参照してください。

StoreFront-checklist

セルフサービス検索-NOT EQUAL (!=) 演算子のサポート

これで、次の機能のクエリの演算子でNOT EQUAL (!=) 演算子を使用できます (!=) :

  • カスタムリスクインジケータ

  • セルフサービス検索

この演算子は、次の条件で使用できます。

データソース ディメンション
Content Collaboration 国、都市、クライアント OS
アクセス制御 国、都市、アクション、URL、URL、カテゴリ、レピュテーション、ブラウザ、OS、デバイス
アプリケーションとデスクトップ 国、都市、アプリ名、クリップボード操作、ブラウザ、OS
Gateway 認証段階、クライアントIP

演算子を使用して、「Country!= XYZ」を選択し、ユーザーのリストを表示します。次に、[ウォッチリストに追加]、[管理者に通知]、[ユーザーを無効にする]などのアクションを適用するポリシーを作成します。 また、指定したデータソースのセルフサービス検索で、オペレータを使用して、ユーザーイベントをフィルタリングすることもできます。

クエリのディメンションの値を入力する際には、データソースのセルフサービス検索ページに表示されている正確な値を使用します。寸法値では、大文字と小文字が区別されます。

2020年9月08日

新機能

ユーザー相関関係

Analytics は、さまざまなデータソースから検出されたユーザーを関連付けるようになりました。このメカニズムにより、検出されたユーザーのリストから重複するユーザーのほとんどが排除されます。Analyticsで検出されたユーザーは、データソースとリスク指標とともに一意のユーザーのリストを表示するようになりました。

たとえば、ユーザー「Joe Smith」は、データソースに基づいて複数のユーザー識別子 (JosephSM < joe.smith@citrix.com > と joe.smith) を持つことができます。Analyticsは、このユーザーを一意の識別子名で識別するようになりました。その他すべてのユーザー ID は相関しており、さまざまなデータソースから Joe Smith に対して受信されたイベントは、この一意の名前にリンクされます。 詳細については、「 検出されたユーザー」を参照してください。

修正された問題

アクション」 (Actions) リストで、アクションオプションを選択して「 適用」(Apply) をクリックすると、エラーメッセージが表示されます。

[CAS-39914]

2020年8月11日

解決された問題

  • Microsoft Graph セキュリティをCitrix Analytics 統合することはできません。この問題は、Microsoft ポータルがCitrix Analytics にリダイレクトできなかったために発生しました。

[CAS-38021]

2020年7月31日

解決された問題

  • カスタムリスク指標の [ Estimated Triggers ] オプションは、過去 1 日のカスタムリスク指標インスタンスを予測しません。

[CAS-38129]

2020年7月09日

新機能

Virtual Apps and Desktops のサイトカードには、サポートされているクライアントとサポートされていないクライアントを持つユーザーが表示されます

サイトカードで、エンドポイントでCitrix WorkspaceアプリまたはCitrix Receiverクライアントのサポートされているバージョンとサポートされていないバージョンを使用しているユーザーの数を表示できるようになりました。

  • サポートされているクライアントのユーザ数をクリックして、検出されたすべてのユーザを表示する [ ユーザ(User )] ページを表示します。

  • サポートされていないクライアントのユーザー数をクリックして、CSV ファイルをダウンロードします。このファイルには、ユーザーとそのサポートされていないクライアントバージョンが一覧表示されます。Analyticsは、サポートされていないクライアントからユーザーイベントを受信しないため、検出されたユーザーとしてユーザーを追加しません。CSV ファイルを使用して、Analytics が動作に関するセキュリティ上の洞察を提供できるように、クライアントをサポートバージョンにアップグレードする必要があるユーザーを特定します。

サポートされているクライアントの一覧を表示するには、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。

クライアントステータス

異常なロケーションリスク指標からのアクセス

  • NetScaler Gateway リスク指標新しい場所からの初回アクセスは、異常な場所からのアクセスという名前に変更されます**

  • ユーザーリスクのタイムラインでは、地理的なマップと円グラフがイベントの詳細セクションに導入されています。

    • サインイン場所:このセクションには、ユーザーの通常および異常な場所の地理的マップビューが表示されます。通常の場所と通常とは異なる場所は、ジオマップの右上のセクションにカラーコードで示されます。Geo マップをズームして、位置を詳しく見ることができます。

      異常な場所からのアクセス

    • 通常の場所-過去 30 日間:このセクションには、ユーザーがサインインした通常の場所の上位 6 つを示す円グラフが表示されます。各場所には異なるカラーコードが付いています。セクションを場所順に並べ替えて、選択した場所の詳細を表示することができます。

      異常な場所からのアクセス

詳細については、「 異常な場所からのアクセス」を参照してください。

ユーザーダッシュボードデータ

[ユーザー] ダッシュボードおよび [ユーザー] ページで選択した期間に関係なく、過去 13 か月間の危険なユーザー、検出されたユーザー、 特権ユーザーおよびウォッチリスト内のユーザーの数が表示されます 。期間を選択すると、リスク指標の発生が変化します。

詳細については、「 ユーザーダッシュボード」を参照してください。

ユーザーダッシュボードデータ

再設計された [ユーザー] ページ

[ ユーザー ] ページが強化され、ユーザーエクスペリエンスが向上しました。ユーザーリスクスコア、データソース、およびユーザータイプに基づいて、ユーザーイベントの統合サマリーを提供します。

より焦点を絞った検索をサポートするために、[ ユーザー ] ページの左ペインに [ フィルター ] セクションがあり、上部に検索バーがあります。事前設定された時間またはカスタマイズされた時間範囲のユーザイベントを検索できます。

[検出されたユーザー] セクション

[ ユーザー ] ページを表示するには、次の手順に従います。

  • [ セキュリティ] > [ユーザー ] に移動して [ ユーザー ] ダッシュボードを表示し、次の操作を行います。

    • 次のリンクまたはカードのいずれかをクリックします。

      ユーザーページ

    • [ 危険なユーザー ] ウィンドウで、[ 詳細を表示] をクリックします。

    • [ ウォッチリストのユーザー ] ペインで、[ 詳細を表示] をクリックします。

    • [ 管理者ユーザー ] ペインで、[ 詳細を表示] をクリックします。

  • [設定] > [データソース] > [セキュリティ] に移動します。任意のデータソースサイトカード上のユーザー数をクリックします。

詳細については、「 ユーザーダッシュボード」を参照してください。

[危険なユーザー] ペインの機能強化

[ 変更 ] 列が [ リスク指標 ] 列に置き換えられます。[ リスク指標 ] 列には、特定の期間におけるユーザーのリスク指標の発生総数が表示されます。

詳細については、「 危険なユーザー」を参照してください。

危険なユーザーペイン

[ウォッチリスト] ペインのユーザーの機能強化

[ 変更 ] 列が [ リスク指標 ] 列に置き換えられます。[ リスク指標 ] 列には、特定の期間におけるユーザーのリスク指標の発生総数が表示されます。

詳細については、 ウォッチリスト内のユーザーを参照してください

ウォッチリストペイン

[特権ユーザー] ペインの強化

  • [ 変更 ] 列が [ リスク指標 ] 列に置き換えられます。[ リスク指標 ] 列には、特定の期間におけるユーザーのリスク指標の発生総数が表示されます。

  • [ 詳細を表示 ] をクリックして、[ ユーザー ] ページを表示します。 管理者およびエグゼクティブ特権ユーザのリストを表示する [ユーザ(Users)] ページ。このページでは、ユーザーを特権ユーザーとして追加または削除できます。

詳細については、「 特権ユーザー」を参照してください。

[特権ユーザー] ペイン

廃止された機能

アラート

アラート機能は廃止され 、Analytics ユーザーインターフェイスでは使用できなくなりました。

Alerts

危険なユーザーとウォッチリストのページ

**危険なユーザーページとウォッチリストページは廃止されました** 。これらは、 すべての危険なユーザーイベントとウォッチリスト内のユーザーをまとめたユーザーページに置き換えられます

危険なユーザーページ

ウォッチリストページ

[危険なユーザー] ペイン

[ 最高スコアの変更 ] タブと [ リスク指標の変更 ] タブが [ 危険なユーザー ] ペインから削除されます。

危険なユーザーペイン

[リスク指標] ペイン

  • [ オカレンスの変更 ] タブと [ 変更 ] 列が削除されます。

    リスク指標ペイン

  • [ リスク指標の詳細 ] ページは廃止されました。以前は、このページは、[リスク指標] ウィンドウまたは [ リスク指標の概要] ページでリスク指標を選択したときに表示されていました

    リスク指標の詳細ページ

トレンドビュー

[ ユーザー ] ダッシュボードで、ユーザー数のトレンドビューが、[ 高リスクユーザー]、[中リスクユーザー]、[ **低リスクユーザー]、および **[ウォッチリストのユーザー] カードから削除されます。

トレンドビュー

[ユーザーグループ] ページ

[ 設定] オプションの下の [ユーザーグループ ] ページは廃止されました。ユーザーグループを特権グループとして追加または削除できなくなりました。ただし、個々のユーザーを特権ユーザーとして追加または削除できます。詳細については、「 特権ユーザー」を参照してください。

ユーザーグループページ

2020年6月26日

廃止された機能

アプリケーションアクセスの異常な時間 (仮想/SaaS) リスク指標は非推奨

Citrix Virtual Apps and Desktopsのリスク指標- アプリケーションアクセスの異常時間(仮想)および異常なアプリケーションアクセス時間(SaaS) は廃止されました。これらの指標に関連する履歴データのみを表示できます。

この非推奨の一部として、次の変更が適用されます。

  • Analytics はこれらのリスク指標を生成しなくなりました。
  • Analytics は、これらのリスク指標を条件とするポリシーを生成しなくなりました。
  • これらのリスク指標を条件とするデフォルトのポリシーは有効になりません。

詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

2020年6月02日

解決された問題

  • ユーザーリスクタイムラインでは、Virtual Apps and Desktops のアクションのステータス(ポリシーベースまたは手動で適用)は、アクションがユーザーアカウントに正常に適用された場合でも「失敗」と表示されます。たとえば、 [セッションの録画の開始] アクションはユーザーアカウントに正常に適用されますが、結果は「失敗」と表示されます。[CAS-32773]

    アクション失敗ステータス

2020年5月11日

解決された問題

  • 一部のユーザーの場合、ポリシーベースのアクションはトリガーされず、ポリシー強制モードを適用できません。この問題は、顧客 ID が小文字でない場合に発生します。

    [CAS-34209], [CAS-34141]

  • 一部のユーザーのカスタムリスク指標を作成できません。この問題は、顧客 ID が小文字でない場合に発生します。

    [CAS-34139]

2020年4月29日

解決された問題

  • Citrix Virtual Apps and Desktopsのリスク指標に適用されたアクションは有効になりませんが、Analyticsはアクションが正常に適用されたことを示すメッセージを表示します。この問題は、Citrix Virtual Apps and Desktops 7 1912バージョンで観察されます。

    [CAS-31544]

2020年4月02日

新機能

StoreFront が追加されていない場合はデータ処理を無効にする

StoreFront をオンボーディングしていない場合、 [設定]>[データソース]>[ セキュリティ ]>[ Virtual Apps and Desktops ]データソースサイトカードで、[データ処理を有効にする ]ボタンが有効になりません。 サイトカードにStoreFront が接続されていないという警告メッセージが表示されます 。Analyticsでデータを受信するアクティブなオンプレミスサイトがある場合は、StoreFrontをCitrix Analytics にオンボーディングしたことを確認する必要があります。これにより、ユーザーアカウントが確実に保護されます。

Virtual Apps and Desktops ]サイトカードで、縦方向の省略記号(⋮)を選択し、[ StoreFront 展開環境の接続]をクリックします。表示される画面で、指示に従ってStoreFront の構成を完了します。

詳しくは、「 StoreFrontを使用したCitrix Virtual Apps and Desktopsのオンプレミスサイトのオンボード」を参照してください。

StoreFront 警告

解決された問題

  • Citrix Content Collaboration ユーザーの場合、ポリシーベースのアクションは、次の条件下で有効になりません。

    • カスタムリスク指標の条件が定義されている場合

    • ユーザーのリスク指標が生成されるまで

    [CAS-29226]

2020年3月04日

解決された問題

  • Gatewayユーザーが初めてAnalyticsにオンボードすると、 NetScaler ADCが応答しないか、資格情報が正しくないというエラーが表示されます。再試行すると、「 この IP アドレスのデバイスは既に存在します」というエラーが表示されます。

[CAS-31180]

2020年2月20日

新機能

セキュリティ向けCitrix Analytics オファ

セキュリティ向け Citrix Analytics が個別のサブスクリプションで利用できるようになりました。 セキュリティ向け Citrix Analytics をサブスクライブして、このオファリングに固有のインサイトを取得できます。詳しくは、「導入」を参照してください。

リスクカテゴリダッシュボード

Citrix Analytics では、組織のセキュリティ側面に同様の影響を与えるリスクに基づいて、リスク指標の分類が導入されています。このダッシュボードには、直ちに対処する必要があるリスクエクスポージャーと重大なリスクの包括的なビューが表示されます。デフォルトのリスク指標の場合、Analytics はリスクエクスポージャーに基づいてリスクカテゴリを自動的に割り当てます。カスタムリスク指標の場合は、リスクエクスポージャーに基づいて適切なリスクカテゴリを選択する必要があります。

Analytics では、次のリスクカテゴリがサポートされています。

  • データ流出
  • インサイダーの脅威
  • 侵害されたユーザー
  • 侵害されたエンドポイント

詳細については、「 リスクカテゴリ」を参照してください。

リスクカテゴリダッシュボード

[カスタムインジケータ] ページの [リスクカテゴリ] 列

[ リスクカテゴリ ] 列は、[カスタムリスク指標] ページに導入されます。リスクエクスポージャーのタイプに基づいて、カスタムリスク指標のリスクカテゴリを選択できます。以前に作成したカスタムリスク指標は、リスクカテゴリを選択して変更すると、[リスクカテゴリ] ダッシュボードに表示されます。

詳細については、「 カスタムリスク指標」を参照してください。

[リスクカテゴリ] ドロップダウンリスト

リスク指標名の変更

次のリスク指標名が変更されました。

[データソース] 旧名 新名称
Citrix Virtual Apps and Desktopsおよび Citrix DaaS 異常なアプリケーション使用 (仮想) アプリケーションアクセスの異常な時間 (仮想)
Citrix Virtual Apps and Desktopsおよび Citrix DaaS 異常なアプリケーション使用 (SaaS) アプリケーションアクセスの異常な時間 (SaaS)
Citrix Content Collaboration 過剰なログオン失敗 過剰な認証失敗
Citrix Content Collaboration 異常なログオンアクセス 新しい場所からの初回アクセス
Citrix Access Control 異常なダウンロードボリューム 過剰なデータのダウンロード
Citrix Gateway ログオンの失敗 過剰な認証失敗
Citrix Gateway 認証の失敗 過度の認証の失敗
Citrix Gateway 異常なログオンアクセス 新しい場所からの初回アクセス

詳細については、「 リスク指標」を参照してください。

解決された問題

  • 一部のユーザーの場合、データソースが正常にオンボーディングされ、StoreFront が有効になっていても、Citrix Analytics はVirtual Apps and Desktops からデータを受信できません。[CAS-24134]

  • Citrix Analytics は、Citrix Content Collaboration からダウンロードイベントを受信できません。したがって、次のリスク指標はトリガーされません。

    • 匿名の機密共有ダウンロード

    • 共有リンクのダウンロードが多すぎる

    • 機密ファイルへの過剰なアクセス

    • 過剰なファイルのダウンロード

    [CAS-29207]

  • 新しくオンボーディングされたユーザーの場合、NetScaler Gateway リスク指標に適用される手動およびポリシーベースのアクションは有効になりません。[CAS-29029]

  • 一部のユーザーは、[データソース] ページでサイトカードを表示できません。この問題は、キャッシュを再設定することで解決されます。[CAS-28781]

2020年1月09日

新機能

継続的なリスク評価

Citrix Workspace ユーザーが直面するいくつかの課題は、リモートアクセスは、データの漏洩、盗難、破壊行為、サービスの中断などのサイバー犯罪行為を通じて、機密データをセキュリティリスクにさらすことです。組織内の従業員もこの被害の一因になりそうです。

これらのリスクに対処するいくつかの方法は、多要素認証を実装し、短いサインインタイムアウトを強制することなどです。これらのリスクアセスメント手法は、より高いレベルのセキュリティを保証しますが、最初の検証後に完全なセキュリティを提供することはできません。

セキュリティの側面を強化し、ユーザーエクスペリエンスを向上させるために、Citrix Analytics は継続的なリスク評価のソリューションを導入しています。このソリューションは、ユーザープロファイルを継続的に監視し、危険なイベントが検出されたときにさまざまなアクションを実行するのに役立ちます。

詳細については、「 継続的なリスク評価」を参照してください。

継続的なリスク評価

ポリシー設定

Citrix Analytics は、ポリシー構成をより効率的に管理するのに役立ちます。次の機能を使用して、悪意のある攻撃からユーザーアカウントを保護できます。

  • デフォルトポリシー:Citrix Analytics は次のデフォルトポリシーをサポートしています。

    • 認証情報の不正利用の成功
    • データ流出の可能性
    • 疑わしいIPからの異常なアクセス
    • 通常の場所以外からの異常なアプリアクセス
    • 低リスクユーザー-新しい IP からの初回アクセス
    • デバイスからの初回アクセス

    デフォルトのポリシーは、要件に基づいて変更できます。

    既定のポリシー

  • 複数の条件:ポリシーには最大 4 つの条件を含めることができます。条件は、リスクスコアとリスク指標、またはその両方を組み合わせて設定できます。

    条件の追加と削除

  • デフォルトリスク指標とカスタムリスク指標:[ ポリシーの作成 ] ページの条件メニューは、デフォルトリスク指標とカスタムリスク指標に基づいて分離されるようになりました。ポリシーを作成するときに、デフォルトのリスク指標タブとカスタムリスク指標タブを切り替え、リスク指標の条件を設定できます。

    条件の追加と削除

  • エンドユーザー応答の要求:Citrix Analytics では、「 エンドユーザー応答を要求 」このアクションを使用して、検出された危険なアクティビティに関する電子メール通知をユーザーに送信できます。ユーザーがアクティビティについて応答したら、アカウントで実行する次のアクションを決定できます。ユーザーの応答時間を設定することもできます。応答が受信されない場合、Citrix Analytics はステータスとして応答なしと見なします

    エンドユーザーへの応答をリクエストする

  • 中断アクションの適用: ユーザーのログオフやユーザーのロックなどの中断を伴うアクションが適用されたときに、ユーザーに通知できます。アクティビティの詳細と適用されたアクションを含む通知がユーザーに送信されます。この操作により、ユーザーのアカウントへのサービスが一時的に中断され、さらなる誤用が防止されます。アカウントへのアクセスを続行するには、管理者に問い合わせる必要があります。

    破壊的アクションを適用する

  • 強制モードと監視モード:ポリシーに適用モードまたは監視モードを設定できます。

    ポリシーモード

ポリシーの拡張について詳しくは、「 ポリシーとアクション」を参照してください。

ユーザーのロックとユーザーアクションのロック解除

Citrix Analytics では、次のゲートウェイアクションが導入されています。

  • ユーザーのロック
  • ユーザーのロック解除

これらのアクションは、手動で、またはポリシーを構成するときに適用できます。

詳細については、「 アクションとは」を参照してください。

次に、次の操作を行います。

概要ダッシュボードにアクセスする

Citrix Analytics の[ ユーザー ]ダッシュボードに[ アクセスの概要 ]パネルが導入されました。このレポートには、組織内のリソースへのアクセスをユーザーが試行した合計回数が要約されます。

詳細については、「 アクセスの概要」を参照してください。

概要ダッシュボードにアクセスする

ポリシーとアクションダッシュボード

Citrix Analytics では、 ユーザーダッシュボードにポリシーとアクション ]パネルが導入されています。ユーザープロファイルに適用されている上位 5 つのポリシーとアクションが表示されます。選択した期間の上位ポリシーと上位アクションに基づいてデータをソートできます。

詳細については、「 ポリシーとアクション」を参照してください。

ポリシーとアクションダッシュボード

ポリシーのセルフサービス検索

セルフサービス検索を使用して、定義したポリシーを満たすユーザーイベントを表示します。また、アナリティクスがこれらの異常イベントに適用したアクションを表示することもできます。ファセットと検索ボックスを使用して、必要なイベントを検索します。

イベントを表示するには、検索ボックスで、リストから [ ポリシー ] を選択し、期間を選択して、[ 検索] をクリックします。

詳細については、 ポリシーのセルフサービス検索を参照してください

廃止された機能

リスクスコアの変更ポリシーベースの条件が削除されました

ポリシーを設定すると、 リスクスコアの変更ポリシーベースの条件を使用できなくなります 。Citrix Analytics はこの条件をサポートしていません。

詳細については、「 ポリシーとアクション」を参照してください。

複数のポリシーベースのアクションが削除されました

ポリシーを設定すると、複数のアクションを適用できなくなります。Citrix Analytics は、各ポリシーに対して1つのアクションのみをサポートします。

詳細については、「 ポリシーとアクション」を参照してください。

解決された問題

  • 委任された読み取り専用管理者が [ ユーザーアクセス] および [アプリケーションアクセス] ダッシュボードにアクセスしているときにエラーが発生します 。[CAS-16297]

2019年12月12日

新機能

Splunk バージョンのサポート

Citrix Analytics は、以下のバージョンの Splunk をサポートしています。

  • Splunk 8.0 64 ビット
  • Splunk 7.3 64 ビット

Splunk 統合のセキュリティ上の利点を最大限に活用するには、 ダウンロードページから Splunk アドオンアプリの最新バージョンにアップグレードしてください。

サポートされている Splunk バージョンの詳細については、「 サポートされているバージョン」を参照してください。

2019年12月04日

新機能

NetScaler Gateway のカスタムリスクインジケータ

カスタムリスク指標を使用して、NetScaler Gateway イベントのリスク指標をトリガーするための条件と頻度を定義できるようになりました。ユーザーイベントが条件を満たすと、Analytics はリスク指標をトリガーします。カスタムリスク指標の作成方法の詳細については、「 カスタムリスク指標」を参照してください。

ゲートウェイカスタムインジケータ

2019年11月22日

新機能

新しいデバイスからの初回アクセス — Citrix Virtual Apps and Desktopsのリスクインジケータ

Citrix Analytics は、新しいデバイスからのアクセスに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

新しいデバイスからの初回アクセスリスク指標は 、ユーザーが90日後にデバイスからサインインしたときにトリガーされます。このイベントは、Citrix Receiverがこの新しいデバイスまたは不慣れなデバイスからのサインインレコードを過去90日間保持していないためにトリガーされます。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS リスク指標」を参照してください。

新しいデバイスからの初回アクセス

新しいIPからの初回アクセス-NetScaler Gateway リスクインジケータ

Citrix Analytics は、新しいIPアドレスからのアクセスに基づいてアクセスの脅威を検出し、対応するリスク指標をトリガーします。

新しい IP からの初回アクセスリスク指標は 、ユーザーが 90 日後に IP アドレスからサインインしたときにトリガーされます。このイベントは、Citrix Receiverに過去90日間に新しいIPアドレスまたは不慣れなIPアドレスからのサインインレコードがないためにトリガーされます。

詳しくは、「 NetScaler Gateway リスク指標」を参照してください。

新しいIPからの初回アクセス

疑わしいIPからのログオン-NetScaler Gateway リスクインジケータ

Citrix Analytics は、疑わしいIPサインインアクティビティに基づいてユーザーアクセスの脅威を検出し、 疑わしいIPからのログオンリスク指標をトリガーします

このリスクインジケータは、ユーザーが疑わしい IP アドレスからネットワークにアクセスしようとしたときにトリガーされます。Analytics では、次のいずれかの条件に基づいて、IP アドレスが疑わしいと見なされます。

  • 外部 IP 脅威インテリジェンスフィードにリストされている

  • 異常な場所から複数のユーザーサインインレコードがある

  • 過剰なログイン試行が失敗し、ブルートフォース攻撃を示す可能性があります。

詳しくは、「 NetScaler Gateway リスク指標」を参照してください。

疑わしいIPからログオンする

NetScaler Gateway イベントのセルフサービス検索

セルフサービス検索機能を使用して、NetScaler Gateway データソースから受信したユーザーイベントに関する洞察を取得します。Citrix Analytics は、NetScaler Gateway ユーザーの認証ステージ、承認タイプ、VPNセッションコード、VPNセッション状態などのイベントを受信します。ファセットと検索ボックスを使用して、必要なイベントを検索し、基礎となるデータを調べます。

イベントを表示するには、検索ボックスで、リストから [ ゲートウェイ ] を選択し、期間を選択して、[ 検索] をクリックします。

詳細については、「 Gateway のセルフサービス検索」を参照してください。

Citrix Remote Browser Isolationイベントのセルフサービス検索

セルフサービス検索機能を使用すると、Citrix Remote Browser Isolation Service から受信したブラウジングイベントを把握できます。Citrix Analytics は、ユーザー接続ごとに、セッション接続、セッション起動、公開アプリケーション、削除されたアプリケーションなどのイベントを受信します。検索ボックスを使用して、必要なイベントを検索し、参照元データを調べます。

イベントを表示するには、検索ボックスで、リストから「 Remote Browser Isolation 」を選択し、期間を選択して、「 検索」をクリックします。

詳細については、「 Remote Browser Isolationのセルフサービス検索」を参照してください。

ウォッチリストから削除アクション

ウォッチリストからユーザを削除するには、手動方式を適用するか、ポリシーベースの方式を適用します。詳細については、「 ウォッチリスト」を参照してください。

StoreFront 展開環境を構成する際のオンボーディングメッセージの改善

Citrix Analytics では、StoreFront 展開環境の構成に役立つ次のメッセージが表示されるようになりました。

  • 設定ファイルをダウンロードすると、ダウンロードの日時とユーザー名を示すメッセージが表示されます。このページを更新すると、[ ファイルのダウンロード ] ボタンがもう一度 [ファイルのダウンロード] に変わります。

    StoreFront ダウンロードファイル

  • StoreFront の構成が不完全な場合は、構成手順に従ってStoreFront 展開環境をAnalyticsに接続するように指示する警告メッセージが表示されます。

    StoreFront の構成が不完全な警告

StoreFront展開環境を構成する方法について詳しくは、「 StoreFrontを使用したCitrix Virtual Apps and Desktops のオンプレミスサイトのオンボード」を参照してください。

廃止された機能

リスクインジケータ-新しいデバイスからのアクセス削除

Citrix Analytics が[ 新しいデバイスからのアクセス ]リスク指標をトリガーしなくなりました。ただし、ユーザーダッシュボード、ユーザータイムライン、およびポリシーダッシュボードでは、このリスク指標に関連する履歴データを表示できます。

新しいデバイスからのアクセスに基づいて以前に作成したポリシーの場合、ポリシーを変更するか、 新しいリスク指標の新しいデバイスからの初回アクセスでポリシーを作成する必要があります

解決された問題

  • 認証のセルフサービス検索で、イベントが表示されない。[CAS-24959]

2019年11月08日

解決された問題

  • Citrix Content Collaboration のリスク指標の場合、ユーザーはリスクタイムラインにアクションを適用できません。[CAS-24844]

  • バージョン1911より前のChrome向けCitrix Workspace アプリは、イベントの詳細をCitrix Analytics 送信できません。[CAS-24938]

2019年10月21日

新機能

分析エージェントの名前を変更しました

エージェント名は、ユーザーインターフェイスで Analytics ポリシーエージェントとして表示され 、そのロールを示します。オンプレミスのCitrix Virtual Apps and Desktopsデータソースをオンボーディングすると、Citrix Analytics は、サイトのポリシーとアクションを構成するためだけにポリシーエージェントが必要であることを明確に通知します。このエージェントは、データソースからデータを送信する役割はありません。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。

ポリシーエージェント

カスタムレポートの時間ディメンションのサポート

X 軸の [時間] ディメンションを選択して、 時間に基づいてイベントをグループ化できるようになりました 。レポートには、選択した期間の時間間隔に基づいて、受信したイベントの合計が表示されます。レポートの作成方法の詳細については、「 カスタムレポート」を参照してください。

カスタムレポート時間ディメンション

監査ログの機能強化

[ 監査ログ ] ページのユーザーエクスペリエンスが強化されました。

  • 監査ログページが最後に更新された日時の詳細を表示し 、ページを更新して最新の監査ログを表示できます。

  • 監査ログに適用されたすべてのフィルタをクリアできます。

監査データの詳細については、 監査ログを参照してください

監査ログを更新する

解決された問題

  • Citrix Analytics は、Microsoft Graph セキュリティが正常にオンボーディングされても、 匿名IPアドレスのリスク指標を生成できません 。[CAS-21329]

  • バージョン1910より前のHTML5向けCitrix Workspace アプリは、イベントの詳細をCitrix Analytics 送信できません。[CAS-24938]

2019年9月23日

解決された問題

  • データソースのサイトカードで、[ 最新のイベント ] フィールドに誤った日付と時刻の情報が表示されます。[CAS-24087]

2019年8月30日

新機能

ダッシュボード全体のデフォルト期間の変更

次のダッシュボードのデフォルトの期間が [ 過去 1 時間] から [過去 1か月] に変更されました。

  • ユーザー

  • リスクタイムライン

  • ユーザーアクセス

  • アプリアクセス

  • リンクを共有する

  • アラート履歴

ダッシュボードには、デフォルトで、過去 1 か月間のイベントが表示されます。これらのダッシュボードを使用すると、より魅力的なエクスペリエンスが得られます。たとえば、 App Access ダッシュボードを開くと、ダッシュボードにはデフォルトで、過去 1 か月間のアプリケーションアクセスイベントが表示されます。

デフォルトの期間選択

解決された問題

  • Content Collaboration のリスク指標の場合、[ ユーザーポリシーベースの無効化 ] アクションを正常に適用できません。[CAS-17304]

  • Citrix Analytics は、NetScaler Gateway 13.0からのイベントを処理できません。この問題は、NetScaler Gateway 13.0がCitrix Analytics に送信されるログオンイベントでユーザー名を提供できないために発生します。[CAS-21339]

2019年8月20日

新機能

セルフサービス検索の機能強化

  • セルフサービスページのユーザーエクスペリエンスが強化されました。ユーザーリスクタイムラインとセルフサービス検索ページをシームレスに切り替えることができるようになりました。

  • イベントを時間順に並べ替えることができるようになりました。デフォルトでは、最新のイベントがイベントテーブルの最初に表示されます。[ 時間 (TIME)] 列の並べ替えアイコンをクリックして、イベントを最新時刻または最早時刻に基づいて並べ替えます。

セルフサービス検索の使用方法の詳細については、「 セルフサービス検索」を参照してください。

カスタムレポートの機能強化

  • [アクセス制御]、[Content Collaboration]、[アプリとデスクトップ] の各データソースに新しいディメンションが追加されました。これらのディメンションを選択してレポートを作成できます。次のディメンションがデータソースに追加されます。

    • アクセス制御:ユーザーエージェント、ユーザー名

    • Content Collaboration: ユーザーの電子メール、ユーザー名、作成者、アカウント ID、OAuth クライアント ID、イベント ID、フォルダー ID、フォルダー名、リソース ID、フォーム ID、クライアント IP

    • アプリとデスクトップ:ユーザー名、IP アドレス、デバイス ID、Jail Broken、セッション起動タイプ、セッションサーバー名、セッションユーザー名、ダウンロードファイル名、ダウンロードファイルパス、プリンター名の印刷、印刷ジョブ詳細ファイル名、SaaS アプリ起動 URL、クリップボード操作、クリップボード詳細結果

  • カスタムレポートのユーザーインターフェイスは、ページネーションのサポートと、フィルターの [ すべてクリア ] オプションによって強化されました。

これらのディメンションを使用してカスタムレポートを作成する方法について詳しくは、「 カスタムレポート」を参照してください。

リスク指標ダッシュボード

リスク指標ダッシュボードは 、[ ユーザー ] ページに導入されています。これは、ユーザーのデフォルトリスク指標とカスタムリスク指標の上位 5 つをまとめたものです。[詳細を表示] リンクをクリックすると、[ リスク指標の概要 ] ページにリダイレクトされます。このページには、選択した期間に生成されたリスク指標に関する詳細情報が表示されます。

詳細については、「 ユーザーダッシュボード」を参照してください。

リスク指標ダッシュボード

リスクの高いユーザーのダッシュボードの機能強化

Citrix Analytics では、[ **リスクユーザー** ]ダッシュボードの[ リスク指標]タブと[リスク指標の変更 ]タブが導入されています。これらのタブに基づいて、リスクの高い上位 5 人のユーザーを表示できます。ダッシュボードには、[ リスク指標 ] 列も表示されます。ユーザーのリスク指標の数を示します。

危険なユーザー ] ページには、[ 発生回数 ] 列と [ 発生回数の変更 ] 列が表示されます。これらの列には、カスタムおよびデフォルトのリスク指標の発生総数と発生数の変化が要約されます。

詳細については、「 ユーザーダッシュボード」を参照してください。

リスクの高いユーザー

リンクのリスク指標を共有する-過剰なダウンロード

Citrix Analytics は、共有リンクでの過剰なダウンロードに基づいてアクセスの脅威を検出し、 過剰ダウンロードリスク指標をトリガーします 。以前の動作に基づいて、過剰なダウンロードを含む共有リンクを特定することで、潜在的な攻撃の共有リンクを監視できます。このリスク指標は、過剰なファイルのダウンロードアクティビティを識別するのに役立ちます。

詳細については、「 過剰なダウンロード」を参照してください。

認証データのセルフサービス検索

セルフサービス検索を使用して、認証イベントに関するインサイトを取得します。Citrix Analytics は、ユーザーログイン、ユーザーログオフ、クライアント更新などの認証イベントを、Citrix Cloud のIDおよびアクセス管理サービスから受信します。この検索では、認証イベントに関する詳細なレポートが提供され、認証の問題の特定とトラブルシューティングに役立ちます。検索クエリを定義して、定義した条件に一致するイベントを取得することもできます。

イベントを表示するには、リストから [ 認証 ] を選択し、期間を選択して、[ 検索] をクリックします。

詳細については、「 認証のセルフサービス検索」を参照してください。

2019年7月11日

新機能

カスタムリスク指標

Citrix Analytics が生成するデフォルトのリスク指標は、機械学習アルゴリズムに基づいています。Citrix Analytics でカスタムリスク指標を作成できるようになりました。ユーザーイベントに基づいて、条件を定義し、カスタムリスク指標を作成できます。

定義された条件が満たされると、Citrix Analytics はデフォルトのリスク指標と同様のカスタムリスク指標を生成し、ユーザーのリスクタイムラインに表示します。カスタムリスク指標は、ユーザーのリスクタイムラインにラベルで示されます。

詳細については、「 カスタムリスク指標」を参照してください。

リスクタイムラインの特権ステータス

ユーザーリスクタイムラインには、ユーザーの管理者またはエグゼクティブ権限ステータスに変更があるたびに、次のイベントが表示されます。

  • エグゼクティブグループに追加されました

  • エグゼクティブグループから削除されました

  • 特権が管理者に昇格されました

  • 管理者権限が削除されました

ユーザーに対してリスク指標がトリガーされると、その指標を指定された特権ステータス変更イベントに関連付けることができます。必要に応じて、ユーザープロファイルに適切なアクションを適用できます。

詳細については、「 ユーザーリスクのタイムライン」を参照してください。

共有リンクアクションの有効期限切れ

Citrix Analytics では、共有リンクのリスク指標にアクションを適用できます。現在、サポートされているアクションは [ 共有リンクを期限切れ]です。

詳しくは、「 Citrix 共有リンクのリスク指標」を参照してください。

セルフサービス検索の機能強化

  • 検索クエリでのワイルドカード文字*のサポート:検索クエリでアスタリスク(*)文字を使用して、任意の文字を 0 回以上一致させます。たとえば、検索クエリ UserName =「John*」では、John で始まるすべてのユーザー名のイベントが表示されます。

  • ファセットに「すべてクリア」(Clear All) オプションが追加されました。選択したファセットを一度にすべて削除するには、「すべて クリア」(Clear All) をクリックします。

  • イベントリストに非表示の列データを表示する:イベントテーブルから列を削除すると、対応するデータをユーザーイベントリストに表示できます。ユーザーのイベント行を展開し、データを表示します。

詳細については、「 セルフサービス検索」を参照してください。

サイトカードのデータエラーステータス

Citrix Analytics がデータソースから過去1時間イベントを受信しない場合 、サイトカードには「データを受信していません」ラベルが赤で表示されます。また、受信したイベントの数も表示され、対応するセルフサービス検索ページにリンクされています。この機能は、セルフサービス検索ページで対応するイベントを表示し、データ転送の問題がないかどうかをチェックするのに役立ちます。

現在、セルフサービス検索は、Access、Content Collaboration、および Apps and Desktop データソースでのみ使用できます。

詳しくは、「 Citrix データソースでの分析の有効化」を参照してください。

解決された問題

  • アクセス制御データソースの場合、サイトカード上のイベントの数がセルフサービスの検索結果と一致しません。[CAS-18286]

2019年6月19日

解決された問題

  • [ 監査ログ ] ページには、Active Directory データソースが検出されるたびに、データ転送のオンまたはオフの状態が表示されます。[CAS-17575]

  • [ ユーザー ] ダッシュボードの [期間] メニューが正確に読み込まれません。タイムアウトエラーメッセージが表示されます。[CAS-19467]

  • ユーザーが Splunk からテナントに接続しているときに、Citrix Analytics でエラーメッセージが表示されます。新しいデータソースのオンボーディングが失敗することがあります。[CAS-19429]

2019年6月17日

新機能

StoreFrontの構成

組織でオンプレミスのStoreFront を使用している場合、Citrix Analytics に接続するようにStoreFront tを構成できるようになりました。構成は、Citrix Analytics からインポートされた構成ファイルを使用して実行されます。構成が成功すると、Citrix Workspace アプリはユーザーイベントをCitrix Analytics に送信して、ユーザーの行動に関する実用的な洞察を生成します。インサイトは、異常なユーザー行動を検出し、組織内のセキュリティの脅威をプロアクティブに処理するのに役立ちます。詳しくは、「 StoreFrontを使用したCitrix Virtual Apps and Desktopsのオンプレミスサイトのオンボード」を参照してください。

2019年5月30日

新機能

過剰なログオン失敗

Citrix Analytics は、過剰なログオンアクティビティに基づいてアクセスの脅威を検出し、過剰なログオン失敗のリスク指標をトリガーします。このリスク指標は、ユーザーがContent Collaboration にアクセスしようとして複数のログオンに失敗したときにトリガーされます。以前の動作に基づいて、過剰なログオンに失敗したユーザーを特定することで、管理者はユーザーのアカウントを監視してブルートフォース攻撃を受けることができます。

過剰なログオン失敗は過剰な認証失敗の名前に変更されました

解決された問題

  • Citrix Workspace アプリによって送信される一部のユーザーイベントでは、データソースがCitrix Virtual Apps and Desktopsではなく、Endpoint Managementとして誤って識別されます。

    [CAS-17323]

  • [ ユーザー ] ダッシュボードは、 過去 1 か月間の読み込みに時間がかかります 。この問題は、ユーザー数が多い場合に発生します。場合によっては、601 エラーに遭遇することさえあります。

    [CAS-16300]

  • Citrix Cloud上のサービスにサブスクライブしているユーザーもいますが、Citrix Content Collaborationはデータソースとして検出されません。

    [CAS-16299]

2019年5月09日

新機能

カスタムレポートの作成

運用要件に基づいてカスタムレポートを作成できるようになりました。Citrix Analytics には、選択したデータソースに応じたディメンションと指標のリストが表示されます。必要なパラメーターと、棒グラフ、イベントチャート、折れ線グラフ、テーブルなどの可視化タイプを選択して、レポートを作成します。レポートを作成すると、データをグラフィカルに整理して分析できます。

カスタムレポートを作成するには、[ セキュリティ ] タブで、[レポート] > [ **レポートの作成] の順にクリックします。以前に作成したレポートを表示するには、[ **セキュリティ ] タブの [ レポート] をクリックします。詳細については、「 カスタムレポート」を参照してください。

特権ユーザーの監視

Citrix Analytics を使用すると、組織内の特権ユーザーの動作の異常を詳細に監視できます。特権ユーザーはセキュリティ上の脅威に対して非常に脆弱であり、日常的なアクティビティと悪意のあるアクティビティを区別することが困難になります。したがって、特権ユーザーの悪意のある活動は、長い間検出されないままです。この機能を使用すると、このようなアクティビティをプロアクティブに監視し、適切なユーザーアカウントに対して適切なアクションを実行できます。特権ユーザーは、[ ユーザー ] ダッシュボードにアイコンで表示されます。

Citrix Analytics では、次の種類の特権ユーザーの監視がサポートされています。

  • 管理者 -それぞれのCitrix サービスによって管理者権限が割り当てられているユーザー。現在、Citrix Analytics は、Content Collaboration サービスで管理者権限を持つユーザーの特権ユーザー監視をサポートしています。

  • エグゼクティブ -Citrix Analytics では、ADグループをエグゼクティブグループとしてマークできます。AD グループを Executive グループとしてマークすると、そのグループ内のすべてのユーザーが特権ユーザーになります。AD グループ内のユーザーの動作異常をさらにサポートする必要がない場合は、そのグループを Executive グループとして削除できます。

詳細については、「 特権ユーザー」を参照してください。

週次Eメール要約

Citrix Analytics は、組織のIT環境におけるセキュリティリスクのエクスポージャーを要約したメールを毎週管理者に送信します。メール通知は毎週火曜日に管理者に送信され、前週に発生したセキュリティイベントが強調表示されます。このメールにより、Citrix Analytics にサインインすることなく、セキュリティリスクのエクスポージャーについて管理者に通知されます。詳細については、「 週次メールの概要」を参照してください。

2019年4月26日

新機能

委任管理者

Citrix Analytics は、委任された管理者の役割をサポートするようになりました。この機能を使用すると、他の管理者をCitrix Cloud アカウントに招待して、組織のCitrix Analytics を管理できます。フルアクセス権限を持つCitrix Analytics 管理者の場合は、他の管理者をCitrix Cloud アカウントに追加できます。これらの追加の管理者は、委任管理者と呼ばれます。現在、委任された管理者に読み取り専用アクセスを割り当てることができます。詳細については、「 委任された管理者」を参照してください。

解決された問題

データストリーミングを使用するデータソースのリスク指標は、アラートを生成しないものはほとんどありません。次のリスク指標のいずれかがトリガーされた場合、アラート通知は取得されず、ポリシーベースのアクションは自動的に適用されません。

  • Citrix Endpoint Managementリスク指標 -管理対象外のデバイス、ジェイルブレイクまたはRoot化されたデバイス、および禁止リストに登録されたアプリを搭載したデバイス。

  • Citrix Virtual Apps and Desktopsのリスクインジケータ -サポートされていないオペレーティングシステム(OS)を搭載したデバイスからのアクセス。

  • Citrix Content Collaboration のリスクインジケータ -機密ファイルへの過剰なアクセス。

[CAS-14590]

2019年2月19日

新機能

Splunk 統合

Citrix Analytics はSplunk と統合され、セキュリティインシデントの監視とトラブルシューティングのエクスペリエンスを強化します。この統合により、リスク指標、リスクスコア、ユーザープロファイルなど、Citrix Analytics for Securityのリスク分析機能とインテリジェンスにより、既存のデータソースが強化されます。Citrix Analytics はリスク分析情報をチャンネルにエクスポートします。Splunk はこのチャンネルから同じものを引き出します。

Splunk の統合には、Citrix Analytics での構成、 Splunk アプリ向けCitrix Analytics アドオンのインストール 、およびアプリケーションの構成が含まれます。少なくとも 1 つのデータソースのデータ処理をオンにしてください。これは、Citrix Analytics が Splunk 統合プロセスを開始するのに役立ちます。

詳細については、「 Splunk 統合」を参照してください。

動的なセッションの録画

Citrix Analytics では、ユーザーの現在のVirtual Apps and Desktops セッションでセッション記録を動的にトリガーする機能が導入されます。リスク分析に必要な証拠を把握し、セッションの切断やユーザーのブロックなど、適切なインシデント対応アクションを実行するのに役立ちます。

詳細については、「 ポリシーとアクション」を参照してください。

リンクダッシュボードとリスク指標の共有

Citrix Analytics は、Citrix Content Collaboration から収集されたデータに基づいて、共有リンクのリスク可視性を導入します。これは、共有リンクがトリガーするリスク指標を通じて、共有リンクのリスクエクスポージャーを理解するのに役立ちます。

詳細については、「共有リンク」ダッシュボードを参照してください。

現在、匿名の機密共有ダウンロードリスク指標は、共有リンクに対してトリガーされます。Content Collaboration によってこの危険な動作が検出されると、Citrix Analytics がイベントを受け取ります。[ アラート ] パネルに通知され、匿名の機密共有ダウンロードリスク指標が共有リンクのリスクタイムラインに追加されます。

詳しくは、「 共有リンクのリスクタイムライン 」および「 Citrix Share Linkリスク指標」を参照してください。

Microsoft Active Directory 統合

Microsoft Active Directory とCitrix Analytics 統合できるようになりました。この統合により、役職、組織、オフィスの場所、電子メール、連絡先の詳細などの追加情報を使用して、リスクの高いユーザーのコンテキストが強化されます。Citrix Analytics のユーザープロファイルページで、ユーザーの可視性を高めることができます。

詳細については、「 分析と Microsoft Active Directory の統合」を参照してください。

Active Directoryユーザー

2019年1月04日

新機能

既存のリスク指標の SOURCE 列の追加

SOURCE 列は、次のリスク指標の [ EVENT DETAILS ] セクションに導入されました。

  • 過剰なファイルのアップロード

  • 過剰なファイルのダウンロード

  • 過剰なファイル共有

  • ファイルまたはフォルダの過剰な削除

詳しくは、「 Citrix Content Collaboration のリスク指標」を参照してください。

高度なユーザープロファイル

ユーザプロファイルの [ユーザ情報(User Info )] ビューが拡張されました。[ アプリケーション ]、[ デバイス]、[ データ使用量]セクションの右上隅に[ トレンドビュー ]リンクが追加されました。[マップビュー] リンクが [場所] セクションの右上隅に導入されました。これらのリンクは、特定の期間におけるユーザーの過去の行動に関するグラフィック表現を提供します。ユーザーのリスクタイムラインまたは [データソース] ページから [ユーザー情報] に移動できます。

注:

現在、 認証データとドメインデータは 、ユーザー情報プロファイルでは使用できません。

詳細については、「 ユーザーリスクのタイムラインとプロファイル」を参照してください。

高度なユーザープロファイル

Microsoft Graph セキュリティリスク指標

オンボーディングされたMicrosoft Graphセキュリティは、次のいずれかのセキュリティプロバイダーからリスク指標の詳細を受信し、Citrix Analytics に転送できます。

  • Azure AD Identity Protection

  • エンドポイント向け Microsoft Defender

詳細については、「 Microsoft Graph セキュリティリスク指標」を参照してください。

セルフサービス検索ページに入る方法

次のオプションを使用して、セルフサービス検索ページにアクセスできるようになりました。

  • トップバー:トップバーの [ 検索 ] をクリックして、検索ページに直接アクセスします。

    トップバー検索

  • ユーザープロファイルページのリスクタイムライン:[ イベント検索 ] をクリックして、検索ページにアクセスし、特定のユーザーのリスク指標とデータソースに対応するイベントを表示します。詳細については、「 セルフサービス検索」を参照してください。

    リスクタイムライン

Content Collaboration のセルフサービス検索

セルフサービス検索を使用して、Content Collaboration データソースに関連付けられたイベントに関するインサイトを取得します。イベントを表示するには、リストから [ Content Collaboration ] を選択し、期間を選択して、[ 検索] をクリックします。 詳細については、「Content Collaboration のセルフサービス検索」を参照してください。

アプリとデスクトップのセルフサービス検索

セルフサービス検索を使用して、Apps and Desktops データソースに関連付けられているイベントに関するインサイトを取得します。イベントを表示するには、リストから [ アプリとデスクトップ ] を選択し、期間を選択して、[ 検索] をクリックします。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

セルフサービス検索イベントを CSV ファイルにエクスポートする

セルフサービス検索イベントを CSV ファイルにエクスポートし、将来使用するためにファイルをダウンロードできるようになりました。詳細については、「 セルフサービス検索」を参照してください。

Citrix Virtual Apps and Desktops のオンボーディングの向上

Citrix Virtual Apps and Desktopsデータソースのオンボーディングプロセスが改善され、ユーザーエクスペリエンスが向上しました。サイトカードと搭乗手順が変更されました。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。

2018年11月29日

新機能

Microsoftセキュリティグラフデータソース

Microsoft Graph セキュリティは 、複数のセキュリティプロバイダのデータを集約する外部データソースです。また、ユーザインベントリデータへのアクセスも提供します。

Citrix Analytics は現在、 このデータソースに関連付けられているAzure AD アイデンティティ保護およびエンドポイント向けセキュリティプロバイダー向けMicrosoft Defender をサポートしています。

このデータソースをオンボードするには、Microsoft ID プラットフォームからアクセス許可を取得する必要があります。詳細については、「 Microsoft Graph セキュリティ」を参照してください。

MSG オンボーディング

データソースのサイトカードでイベントの詳細と検出されたユーザーの表示

データソースのサイトカードには、イベントの詳細とユーザー数が表示されます。たとえば、サイトカードでアクセス制御のイベントの詳細とユーザーを表示できます。詳細については、「 データソースでの Analytics の有効化」を参照してください。

アクセス制御イメージ

2018年11月16日

新機能

アクセスデータのセルフサービス検索

セルフサービス検索を使用すると、企業内のユーザーのアクセス詳細を把握できます。Citrix Analytics は、Citrix アクセス制御サービスからユーザーのアクセス詳細を収集します。ファセットと検索クエリを使用して、検索結果を絞り込みます。

セルフサービス検索ページを使用するには、[ セキュリティ ]タブの[ イベント検索]をクリックします。

詳細については、「 Access のセルフサービス検索」を参照してください。

画像検索

リスク指標のフィードバック

Citrix Analytics のリスク指標フィードバック機能を使用すると、リスク指標に関するフィードバックを提供できます。フィードバックは、報告されたセキュリティインシデントが正確であるかどうかを確認するのに役立ちます。

現在、この機能は Content Collaboration データソースによってトリガーされる異常なログオンアクセスのリスク指標でサポートされています 。トリガーされたこのリスク指標が正しくない場合は、偽陽性として報告し、フィードバックを提供できます。以前に送信したフィードバックを編集することもできます。Citrix Analytics はフィードバックをキャプチャし、予測された情報を検証して、異常な動作検出を最適化します。

誤検知画像

解決された問題

  • Internet Explorer 11.0を使用してCitrix Analytics にアクセスしている場合、ポリシーを編集および保存することはできません。
新機能

この記事の概要