技術概要:分析
組織の IT 環境は、SaaS、クラウド、モバイルアプリケーションの採用を開始するとますます複雑になっています。管理者は、悪意のあるユーザーから環境を保護するだけでなく、プロアクティブにユーザーエクスペリエンスを向上させるために、環境を可視化する必要があります。Citrix AnalyticsはCitrix ポートフォリオ全体をまとめて、個々のユーザーのステータスとコンテキストを可視化します。Citrix Analyticsが提供する他の監視ツールとは異なり、Citrix Analytics では、問題になる前に問題を解決するために、 お客様の環境に対する予防的かつ規範的な洞察を提供します 。Citrix Analytics は機械学習によって駆動され、情報の過負荷なしに必要な洞察を提供します。
概要
Citrix Analytics は、実用的な洞察を生成し、ユーザーとアプリケーションのセキュリティの脅威をプロアクティブに処理し、アプリケーションのパフォーマンスを向上させ、継続的な運用をサポートできるようにします。Citrix Analytics は、Citrix Cloudを通じて提供されるCloudサービスとして利用できます。Citrix Analytics は、セキュリティ、パフォーマンス、使用状況の3つのカテゴリに分類できます。セキュリティ向けCitrix Analytics では、環境内で一貫性のないアクティビティや疑わしいアクティビティを監視して特定できます。使用状況分析では、ユーザーがさまざまなCitrix製品とどのようにやり取りするかを確認できます。Citrix Analytics for Performance は、高度な分析を通じて、ユーザー中心のエクスペリエンススコア、アプリケーション、インフラストラクチャのパフォーマンススコアを提供します。
Citrix Analytics for Security
Citrix Analytics for Securityは、Citrix製品とサードパーティ製品のデータを収集し、実用的な洞察を生成します。
Citrix データソース
次の表は、Citrix Analytics for SecurityでサポートされているさまざまなCitrixデータソースの一覧です。
[データソース] | 導入タイプ | 必要なエージェント | 製品コンポーネントとバージョン |
---|---|---|---|
Citrix Endpoint Management | サービス | - | Citrix Endpoint Management |
Gateway | オンプレミス | アプリケーション配信管理エージェント | NetScaler Gateway 12.0.56.16 以降 |
Citrix IDプロバイダー | サービス | - | Citrix IDおよびアクセス管理 |
Citrix Secure Private Access | サービス | - | Citrix Secure Private Access |
Citrix Remote Browser Isolation | サービス | - | Citrix Remote Browser Isolation |
Citrix DaaS | サービス | - | Windows 1907以降のCitrix Workspaceアプリ、1910.2以降のMac向けCitrix Workspaceアプリ、HTML5 2007以降のCitrix Workspaceアプリ、Chrome向けCitrix Workspaceアプリ-Chrome用Citrix Workspaceアプリ-Chrome Web Store で入手可能な最新バージョン、Android向けCitrix Workspaceアプリ-Google Play で入手可能な最新バージョン、Appleアプリストアで入手可能なiOS用Citrix Workspaceアプリ-最新バージョン、Linux 2006以降のCitrix Workspaceアプリ。 |
Citrix Virtual Apps and Desktops | オンプレミス | Virtual Apps and Desktops エージェント | Citrix Virtual Apps and Desktops 7 1808、Citrix XenApp および XenDesktop 7.16 以降 |
アクションなどの高度な機能にはエージェントが必要です。 | Windows向けCitrix Workspaceアプリ1907以降用、Mac 向けCitrix Workspaceアプリ1910.2以降、HTML5向けCitrix Workspaceアプリ 2007以降、Chrome向けCitrix Workspace アプリ-Chrome Web Store で入手可能な最新バージョン、Android向けCitrix Workspace アプリ-Google Play で利用可能な最新バージョン、iOS向けCitrix Workspace アプリApple App Storeで入手可能な最新バージョン、Linux向けCitrix Workspace アプリ2006以降 | ||
Citrix Director 7.16 以降 | |||
Workspace ユーザーの場合:Virtual Apps and Desktops オンプレミスサイトは、サイト集約を使用して Workspace に追加する必要があります。 | |||
StoreFront ユーザーの場合:StoreFront 展開バージョンはStorFront 1906以降である必要があります。StoreFront には、HTML5互換ブラウザーのWebサイト向けCitrix Receiver、Windows用Citrix Workspaceアプリ1907以降、Linux用Citrix Workspaceアプリ2006以降、Mac用Citrix Workspaceアプリ2006以降のいずれかのクライアントを使用してアクセスする必要があります。 | |||
LTSRのサポート: Citrix Virtual Apps and Desktops 7 1912 LTSRの場合、サポートされるStoreFrontバージョンは1912です。 |
外部データソース
次の表に、Citrix Analytics for Securityでサポートされている外部データソース(サードパーティ製品)を示します。
[データソース] | 導入タイプ | 必要なエージェント |
---|---|---|
Microsoft Graph Security | サービス | - |
Microsoft Active Directory | オンプレミス | Citrix Cloud Connector |
セキュリティ向けCitrix Analytics は、機械学習μサービスを通じて異常なユーザーの動作を検出します。これは、ユーザーにリスクスコアを割り当てます。リスクスコアは、ユーザーがリスクスコアリングμ-serviceを通じて提起するリスクの総レベルを示す値です。このスコアは、ユーザー行動分析 (UBA) に基づく動的な値です。管理者は、プロセスを自動化し、リスクインジケータに基づいてアクションを適用するためのポリシーを作成できます。セキュリティ向けCitrix Analytics はデータを13か月間保持します。管理者が特定のデータソースのデータ処理を無効にすると、すでに取得されたデータは 13 か月間保存されたままになります。データソースごとに収集される特定のログの詳細については、 こちらをご覧ください。
セキュリティ向けCitrix Analytics は、次の方法で情報を受信します。Citrix Secure Private Accessサービス、Citrix Endpoint Management、およびCitrix Gateway サービス(クラウド)の場合、特定のデータソースのコントロールプレーンから直接情報を受け取ります。オンプレミスのNetScaler Gatewayでは、アプリケーション配信管理エージェントからデータを受信します。Citrix DaaSおよびCitrix Virtual Apps and Desktops の場合、Citrix Workspaceアプリを通じて情報を受け取ります。アクティブディレクトリのデータを取得するために、Citrix AnalyticsはCitrix Cloud Connectorと通信します。Microsoft Graph セキュリティについては、グラフ API を通じて Azure AD アイデンティティ保護と Windows Defender ATP から情報を取得できます。
Citrix Analytics for Securityを使用するには、Citrix Cloud アカウントが必要です。https://citrix.cloud.com にアクセスし、既存のCitrix Cloud アカウントでサインインします。開始方法に関する詳細なガイドは、 こちらにあります。
ユーザーダッシュボード
ユーザーダッシュボードでは、組織内でリスクが高いと見なされるユーザーの全体像を把握できます。ユーザーは、高、中、および低リスクユーザーに分類されます。
管理者は、すべてのユーザー、特権ユーザー、およびウォッチリストユーザーのうち、スコアが最も高いユーザーを表示するようにビューを変更できます。また、リスクカテゴリも表示されるため、基本的にリスクにさらされるリスクと早急な対応が必要なものの包括的なリストが表示されます。ユーザーダッシュボードの詳細については、 こちらをご覧ください。
これらすべてのダッシュボードでは、クリックしてより詳細な情報を取得できます。たとえば、 リスクカテゴリの [ 詳細を表示] をクリックすると、各カテゴリにおけるリスク指標の発生の概要が表示されます。
また、リスクのあるユーザーのダッシュボードで特定のユーザーをクリックすると、ユーザーリスクタイムラインにリダイレクトされます。このタイムラインでは、ユーザーが行ったアクションに対してリスクの高いアクションについてより深い洞察を得ることができます。また、その特定のユーザーに対して自動化されたアクションが実行されたかどうかも表示されます。各イベントをクリックすると、イベントの発生時期とそのイベントのソースの場所に関する追加情報を得ることができます。ユーザーリスクダッシュボードでは、AD 情報 (電話、電子メール、タイトル) や、使用しているアプリケーション、デバイス、場所に関する情報などのユーザー情報を見つけることができます。リスクタイムラインの詳細については、 こちらをご覧ください。
リスクスコアは、ポリシーベースの違反(管理者によって設定)、時間の経過に伴うユーザー行動モデリング、AI/ML異常動作検出、およびピアグループの正規化によって計算されます。 リスクスコアは、ユーザーが抱えるリスクの総レベルを示す値です。リスクインジケータは、疑わしいように見える、または組織にセキュリティ上の脅威を与える可能性があるユーザーアクティビティです。システムで使用されるデフォルトのリスク指標がありますが、管理者はカスタムリスク指標を作成することもできます。
ポリシーとアクション
ポリシーが定義されているため、条件が満たされると、アクションが実行されます。ポリシーには、1 つ以上の条件と 1 つのアクションが含まれます。使用可能なデフォルトポリシーがあります。これらのポリシーには事前定義された条件があり、対応するアクションがあります。これらのデフォルトポリシーは、そのまま使用することも、要件に基づいて変更することもできます。デフォルトのポリシーは次のとおりです:
- セッション開始-ジオフェンス外
- デバイスからの初回アクセス
- データ流出の可能性
-
アクションとは、不審なイベントに対する応答で、将来の異常イベントの発生を防止します。アクションは、Citrix Analytics 管理者が自動、または管理者が定義したルールに基づいてシステムによって自動的に呼び出すことができます。 現在、次のアクションを使用できます。
- グローバル
- エンドユーザーの応答をリクエスト
- ウォッチリストに追加
- 管理者に通知
- エンドユーザーに通知
- ウォッチリストから削除
- Gateway
- アクティブセッションをログオフする
- ユーザーアカウントをロック
- ユーザーアカウントのロック解除
- アプリケーションとデスクトップ
- アクティブセッションをログオフする
- セッションの録画を開始
現在、ポリシーの作成時には、次の条件を使用できます:
- リスクスコア
- リスクスコア
- Citrix Gateway
- EPAスキャンの失敗
- あり得ない移動
- 過度の認証の失敗
- 疑わしいIPからのログオン
- 疑わしいログオン
- 異常な認証の失敗
- Citrix Secure Private Access
- ブラックリストに登録された URL にアクセスしようとしました
- 過剰なデータのダウンロード
- 異常なアップロードボリューム
- アプリケーションとデスクトップ
- データ流出の可能性
- あり得ない移動
- 疑わしいログオン
- Citrix Endpoint Management
- 禁止リストに登録されたアプリが検出されたデバイス
- 脱獄/ルート化されたデバイスが検出されました
- 管理対象外のデバイスが検出されました
ポリシーとアクションの設定方法の詳細については、 こちらを参照してください。
アクセス保証ロケーションダッシュボード
Access Assurance ダッシュボードには、ユーザーが仮想アプリケーションまたは仮想デスクトップにアクセスしている場所とネットワークの概要が表示されます。Citrix Analytics for Securityは、ユーザーのデバイスにインストールされているCitrix Workspace アプリからこれらのユーザーログオンイベントを受信します。
アクセス保証ロケーションダッシュボードには 、ユーザーが仮想アプリケーションまたは仮想デスクトップにアクセスしている場所の概要が表示されます。Citrix Analytics for Securityは、ユーザーのデバイスにインストールされているCitrix Workspace アプリからこれらのユーザーログオンイベントを受信します。位置情報は都市レベルおよび国レベルで提供され、正確な地理的位置情報を表すものではありません。アクセス概要ダッシュボードには 、選択した期間の次の情報が表示されます:
- ロケーション全体でのユーザーログオンの総数(全世界)。
- ロケーション全体でのユニークユーザーログオンの総数(全世界)。
- ユーザーがログオンした都市の総数。
- ジオフェンシングエリア内の国と一意のユーザーログオンの総数。
- 一意のユーザーログオンがある上位 10 の場所。
レポート
管理者は、データソースで受信したイベントからカスタムレポートを作成できます。現在、カスタムレポートでサポートされているデータソースには、Secure Private Access、アプリとデスクトップ、ゲートウェイ、Secure Browser、ポリシー、リスクスコア、リスク指標が含まれます。カスタムレポートの作成方法の詳細については、 こちらを参照してください。
Citrix Analytics for Performance
Citrix Analytics for Performanceでは、ユーザーエクスペリエンスを数値化し、エンドユーザーエクスペリエンスの根本原因をエンドツーエンドで可視化できます。また、マルチサイトの集約とレポート作成機能も備えているため、複数のサイトを持つお客様は、複数のDirectorコンソールにログインすることなく、単一のウィンドウからデータを消費できます。最後に、インフラストラクチャのパフォーマンススコアが提供され、管理者はインフラストラクチャの正常性をまとめたビューを提供します。
ユーザーエクスペリエンススコアは、セッションの復元性、セッションの可用性、セッションログオン時間、セッションの応答性など、エンドユーザーエクスペリエンスに影響を与えるさまざまな要因を考慮して計算されます。管理者は、より深く分割し、サブファクタを調べて、問題の正確な根本原因を特定することができます。たとえば、セッションログオン時間のサブファクターには、GPO、プロファイルロード、インタラクティブセッション、仲介、仮想マシンの起動、HDX接続、認証、ログオンスクリプトなどがあります。動的しきい値は、セッションログオン時間、およびセッション応答の要因とサブファクタのベンチマークに使用されます。これらの計算は、顧客ごとに行われ、過去 30 日間に基づいて計算されます。しきい値は、環境で行われた変更を反映するために 7 日ごとに再キャリブレーションされます。ユーザーエクスペリエンススコアの計算方法の詳細については、 こちらを参照してください。
Citrix Analytics for Performanceは、オンプレミスとクラウドの両方のお客様に使用でき、お客様がCitrix Workspaceを使用する必要はありません。Citrix Analyticsは、Citrix Directorのモニタリングデータベースから直接データを取得します。データは、httpsポート443を介してCitrix Director からCitrix アナリティクスに安全にプッシュされます。Citrix Analytics for Performanceは、GatewayからHDXデータもキャプチャします。オンプレミスのNetScaler Gatewayでは、お客様はADMサービスを使用する必要があります。Citrix Gatewayサービスの場合、HDXデータはCitrix アナリティクスに直接送信されます。Citrix Cloudからオンプレミス環境にデータが送信されることはありません。データ通信はアウトバウンドです。つまり、ポートを開く必要はなく、着信トラフィックも許可されません。Citrix DaaSを使用しているお客様の場合、Citrix AnalyticsはDirectorプラットフォームから直接データを取得します。これらのプラットフォームはすべてCitrix Cloud内でホストされています。
ユーザーエクスペリエンススコアダッシュボード
ユーザーエクスペリエンススコアダッシュボードには、「優れた」、「公平」、「不良」のエクスペリエンスのユーザーについて総合的なビューが表示されます。Citrix Analytics for Performanceにはマルチサイトアグリゲーション機能があり、すべての環境(クラウドまたはオンプレミス)の全体像を把握できます。マルチサイト集約により、管理者は環境全体を確認したり、特定のサイトごとにフィルタリングしたりする柔軟性が得られます。
Citrix Analytics 管理者は、ドリルダウンして、ユーザーが特定のエンドユーザーエクスペリエンススコアを取得した原因となっている要因を確認できます。Citrix Analytics for Performanceでは、ユーザーエクスペリエンスの問題の原因が考えられる根本原因について、管理者に洞察を提供します。ユーザーエクスペリエンスのサブファクターの詳細については、 こちらをご覧ください。
また、このユーザーエクスペリエンスダッシュボードでは、管理者はユーザーセッションの傾向を確認できます。これにより、HDXセッションの合計数とユニークユーザーの総数、およびセッション障害の数が表示されます。合計セッション数は、Workspaceアプリからアプリまたはデスクトップを起動したときのユーザーセッションの総数を示します。ユニークユーザーの総数は、指定された期間中にセッションを開始した、またはアクティブなセッションを持っていたユニークユーザーの数です。
インフラストラクチャダッシュボード
インフラストラクチャダッシュボードでは、管理者が環境のインフラストラクチャの状態の概要を確認できます。ダッシュボードには、すべてのサイトのVDA情報が表示されます。マルチセッションOS VDAの場合、管理者は負荷評価基準インデックスに基づいてどのVDAが使用できない状態にあるかを確認できます。シングルセッションOSのVDAの場合、管理者は使用中および使用可能なVDAの数を確認できます。Infrastructure ダッシュボードで利用できるメトリクスの詳細については、 こちらを参照してください。
Secure Private Accessサービス・ダッシュボード
Secure Private Accessサービス・ダッシュボードには、SaaS、Web、TCP、UDPアプリケーションの診断と使用状況データが表示されます。管理者は、管理者がアプリ、ユーザー、コネクタのヘルスステータス、帯域幅の使用状況を 1 か所で完全に把握して利用できます。
メトリックは大きく次のカテゴリに分類されます。
- ロギングとトラブルシューティング
- 診断ログ: 認証、アプリケーションの起動、アプリケーションの列挙、Device Postureのチェックに関連するログ。
- ユーザー
- アクティブユーザー: 選択した時間間隔でアプリケーション (SaaS、Web、TCP) にアクセスしたユニークユーザーの総数。
- アップロード: 選択した時間間隔でSecure Private Accessサービスを介してアップロードされたデータ量の合計です。
- ダウンロード: 選択した期間にSecure Private Accessサービスを通じてダウンロードされたデータの総量。
- アプリケーション:
- アプリケーション: 現在設定されているアプリケーションの総数 (時間間隔は関係ありません)。
- アプリケーション起動回数: 選択した時間間隔で各ユーザーが起動したアプリケーション (アプリセッション) の総数。
- 設定済みドメイン: 選択した時間間隔に設定されたドメインの総数。
- 検出されたアプリケーション: アクセスされたが、どのアプリとも関連付けられていない固有の個別ドメインの総数
- アクセスポリシー
- アクセスポリシー: 現在設定されている(時間間隔に関係なく)アクセスポリシーの総数。
Secure Private Accessサービスダッシュボードで利用できるメトリックの詳細については、 こちらをご覧ください。