技術概要:分析
組織の IT 環境は、SaaS、クラウド、モバイルアプリケーションの採用を開始するとますます複雑になっています。管理者は、悪意のあるユーザーから環境を保護するだけでなく、プロアクティブにユーザーエクスペリエンスを向上させるために、環境を可視化する必要があります。Citrix AnalyticsはCitrix ポートフォリオ全体をまとめて、個々のユーザーのステータスとコンテキストを可視化します。Citrix Analyticsが提供する他の監視ツールとは異なり、Citrix Analytics では、問題になる前に問題を解決するために、お客様の環境に対する予防的かつ規範的な洞察を提供します。Citrix Analytics は機械学習によって駆動され、情報の過負荷なしに必要な洞察を提供します。
概要
Citrix Analytics は、実用的な洞察を生成し、ユーザーとアプリケーションのセキュリティの脅威をプロアクティブに処理し、アプリケーションのパフォーマンスを向上させ、継続的な運用をサポートできるようにします。Citrix Analytics は、Citrix Cloudを通じて提供されるCloudサービスとして利用できます。Citrix Analytics は、セキュリティ、パフォーマンス、使用状況の3つのカテゴリに分類できます。セキュリティ向けCitrix Analytics では、環境内で一貫性のないアクティビティや疑わしいアクティビティを監視して特定できます。使用状況分析では、ユーザーがさまざまなCitrix製品とどのようにやり取りするかを確認できます。Citrix Analytics for Performance は、高度な分析を通じて、ユーザー中心のエクスペリエンススコア、アプリケーション、インフラストラクチャのパフォーマンススコアを提供します。
Citrix Analytics for Security
Citrix Analytics for Securityは、Citrix製品とサードパーティ製品のデータを収集し、実用的な洞察を生成します。次のとの統合がサポートされています。
- Citrix Secure Private Access
- Citrix Content Collaboration
- Citrix Endpoint Management
- Citrix Gateway
- Citrix Virtual Apps and Desktops (オンプレミス)
- Citrix DaaS (Citrix Cloud サービス)
- Citrix Remote Browser Isolationサービス
- Microsoft Graph セキュリティ API
- Microsoft Active Directory(オンプレミス)
セキュリティ向けCitrix Analytics は、機械学習μサービスを通じて異常なユーザーの動作を検出します。これは、ユーザーにリスクスコアを割り当てます。リスクスコアは、ユーザーがリスクスコアリングμ-serviceを通じて提起するリスクの総レベルを示す値です。このスコアは、ユーザー行動分析 (UBA) に基づく動的な値です。管理者は、プロセスを自動化し、リスクインジケータに基づいてアクションを適用するためのポリシーを作成できます。セキュリティ向けCitrix Analytics はデータを13か月間保持します。管理者が特定のデータソースのデータ処理を無効にすると、すでに取得されたデータは 13 か月間保存されたままになります。データソースごとに収集される特定のログの詳細については、こちらをご覧ください。
セキュリティ向けCitrix Analytics は、次の方法で情報を受信します。Citrix Secure Private Access サービス、Citrix Content Collaboration、Citrix Endpoint Management、およびNetScaler Gateway サービス(クラウド)の場合、特定のデータソースのコントロールプレーンから直接情報を受信します。オンプレミスのNetScaler Gatewayでは、アプリケーション配信管理エージェントからデータを受信します。Citrix Virtual Apps およびデスクトップ(クラウドおよびオンプレミス)の場合、Citrix Workspace アプリを介して情報を受け取ります。アクティブディレクトリデータを取得するために、Citrix Analytics はクラウドコネクタと通信します。Microsoft Graph セキュリティについては、グラフ API を通じて Azure AD アイデンティティ保護と Windows Defender ATP から情報を取得できます。
開始するには、Citrix Cloudアカウントが必要です。Citrix Cloudにアクセスできれば、セキュリティ対策Citrix Analyticsトライアルへのアクセスを要求できます。次に、データ処理を有効にし、情報の受信を開始するオプションがあります。開始方法に関する詳細なガイドは、こちらにあります。
ユーザーダッシュボード
ユーザーダッシュボードを使用すると、組織内で危険と判断されたユーザーをすべて総合的に表示できます。ユーザーは、高、中、および低リスクユーザーに分類されます。管理者は、スコアの高いユーザー、スコア変更が最も高いユーザー、リスクインジケータユーザー、またはリスクインジケータの変更からビューを変更できます。また、リスクカテゴリも示しています。基本的に、リスクエクスポージャーの包括的なリストと、迅速な対応が必要なものを示します。ユーザーダッシュボードの詳細については、こちらをご覧ください。
これらのダッシュボードはすべて、をクリックして、より詳細な情報を取得できます。たとえば、[リスクカテゴリ] ダッシュボードの下の[詳細を表示] をクリックすると、各カテゴリの下にリスクインジケータの発生の概要が表示されます。
また、リスクの高いユーザーダッシュボードで特定のユーザーをクリックすると、ユーザーリスクタイムラインにリダイレクトされます。このタイムラインでは、ユーザーが行ったアクションに対してリスクの高いアクションについてより深い洞察を得ることができます。また、その特定のユーザーに対して自動化されたアクションが実行されたかどうかも表示されます。各イベントをクリックすると、イベントの発生時期とそのイベントのソースの場所に関する追加情報を得ることができます。ユーザーリスクダッシュボードでは、AD 情報 (電話、電子メール、タイトル) や、使用しているアプリケーション、デバイス、場所に関する情報などのユーザー情報を見つけることができます。リスクタイムラインの詳細については、こちらをご覧ください。
リスクスコアは、ポリシーベースの違反(管理者によって設定)、時間の経過に伴うユーザー行動モデリング、AI/ML異常動作検出、およびピアグループの正規化によって計算されます。 リスクスコアは、ユーザーが抱えるリスクの総レベルを示す値です。リスクインジケータは、疑わしいように見える、または組織にセキュリティ上の脅威を与える可能性があるユーザーアクティビティです。システムで使用されるデフォルトのリスクインジケータがありますが、管理者はカスタムリスクインジケータを作成することもできます。
ポリシーとアクション
ポリシーが定義されているため、条件が満たされると、アクションが実行されます。ポリシーには、1 つ以上の条件と 1 つのアクションが含まれます。使用可能なデフォルトポリシーがあります。これらのポリシーには事前定義された条件があり、対応するアクションがあります。これらのデフォルトポリシーは、そのまま使用することも、要件に基づいて変更することもできます。デフォルトのポリシーは次のとおりです。
- 認証情報の不正利用の成功
- データ流出の可能性
- 疑わしいIPからの異常なアクセス
- 通常の場所以外からの異常なアプリアクセス
- リスクの低いユーザー:新しいIPからの初回アクセス
- デバイスからの初回アクセス
アクションとは、不審なイベントに対する応答で、将来の異常イベントの発生を防止します。アクションは、Citrix Analytics 管理者が自動、または管理者が定義したルールに基づいてシステムによって自動的に呼び出すことができます。 現在、次のアクションを使用できます。
- グローバル
- エンドユーザーの応答をリクエスト
- ウォッチリストに追加
- 管理者に通知
- ウォッチリストから削除
- Citrix Content Collaboration
- ユーザーの無効化
- すべてのリンクを期限切れにする
- Citrix Virtual Apps and Desktops
- ユーザーのログオフ
- セッションの録画を開始
- セッションの録画を停止する
- Citrix Endpoint Management
- デバイスのロック
- 管理者に通知
- ユーザーに通知
現在、ポリシーの作成時には、次の条件を使用できます。
- リスクスコア
- リスクスコア (等しい、より大きい、より小さい)
- Citrix Gateway
- 過度の認証の失敗
- EPAスキャンの失敗
- 疑わしいIPからのログオン
- 新しいIPからの初回アクセス
- あり得ない移動
- 疑わしいログオン
- 異常な認証の失敗
- ジオフェンスクロッシング
- Citrix DaaS/仮想アプリケーションとデスクトップ
- データ流出の可能性
- あり得ない移動
- 不審なログオン
- クリップボード使用状況トラッカー
- 新しいデバイスからの初回アクセス
- セッションは米国ジオフェンスの外で開始されました
- 特定のプロセスを監視する-mstsc
- DaaS に対する潜在的なサービス拒否
- 潜在的な欠陥のあるエンドポイント
- Citrix Content Collaboration
- 過剰なファイルのダウンロード
- 過剰なファイル/フォルダの削除
- 過剰なファイル共有
- 過剰なファイルのアップロード
- 過剰な認証失敗
- あり得ない移動
- 異常な認証の失敗
- マルウェアファイルが検出されました
- ランサムウェアのアクティビティが疑われる (ファイルが置き換えられた)
- 機密ファイルへの過剰なアクセス (DLP アラート)
- 匿名の機密共有リンクのダウンロード
- 共有リンクのダウンロードが多すぎる
- 疑わしいログオン
- ランサムウェアのアクティビティが疑われる (ファイルのアップロード)
- ジオフェンシング
- Citrix Secure Private Access
- ブラックリストに登録された URL にアクセスしようとしました
- 危険なウェブサイトへのアクセス
- 過剰なデータのダウンロード
- データ盗難の可能性
- Citrix Endpoint Management
- ブラックリストに登録されたアプリが検出されたデバイス
- ジェイルブレイク/ルートデバイスが検出されました
- 管理対象外のデバイスが検出されました
ポリシーとアクションの設定方法の詳細については、こちらを参照してください。
ユーザーアクセスダッシュボード
[ ユーザアクセス (User Access)] ダッシュボードには、アクセスされた危険なドメインの数と、ネットワーク内のユーザがアップロードおよびダウンロードしたデータ量が要約されます。これは、次のメトリックを提供します。
- ユーザーがアクセスした悪意のあるドメインの数
- ユーザーがアクセスした危険なドメインの数
- ユーザーがアクセスした不明なドメインの数
- ユーザーがアクセスしたクリーンドメインの数
- ユーザーがアクセスしたブロックされたURLの数
アプリケーションアクセスダッシュボード
[アプリケーションアクセス] ダッシュボードには、ネットワーク内のユーザーがアクセスするドメイン、URL、およびアプリの詳細が要約されます。[アプリケーションアクセスの概要] セクションには、ネットワーク内の次のメトリックスの概要が表示されます。
- ユーザーがアクセスした悪意のあるドメインの数
- ユーザーがアクセスした危険なドメインの数
- ユーザーがアクセスした不明なドメインの数
- ユーザーがアクセスしたクリーンドメインの数
- 危険なドメインからアップロードまたはダウンロードされたデータの量
アクセス保証ロケーションダッシュボード
アクセス保証ロケーションダッシュボードには 、ユーザーが仮想アプリケーションまたは仮想デスクトップにアクセスしている場所の概要が表示されます。Citrix Analytics for Securityは、ユーザーのデバイスにインストールされているCitrix Workspace アプリからこれらのユーザーログオンイベントを受信します。位置情報は都市レベルおよび国レベルで提供され、正確な地理的位置情報を表すものではありません。[ユーザーログオンの概要]ページには、選択した期間の次の情報が表示されます。
- 複数の場所 (ワールドワイド) でログオンしたユーザーの総数
- ロケーション全体の一意のユーザーログオンの総数 (ワールドワイド)
- ユーザーがログオンした国の総数
- ジオフェンシングエリアの国と一意のユーザーログオンの総数
- 一意のユーザーログオンがある上位 10 の場所
共有リンクダッシュボード
共有リンクダッシュボードは 、共有イベントの分析と脅威防止の出発点です。組織全体での共有リンクのパターンに対する可視性を示します。
レポート
管理者は、データソースで受信したイベントからカスタムレポートを作成できます。現在、カスタムレポートでサポートされているデータソースには、セキュアプライベートアクセス、Content Collaboration、およびVirtual Apps and Desktops が含まれます。カスタムレポートの作成方法の詳細については、こちらを参照してください。
Citrix Analytics for Performance
Citrix Analytics for Performanceでは、ユーザーエクスペリエンスを数値化し、エンドユーザーエクスペリエンスの根本原因をエンドツーエンドで可視化できます。また、マルチサイトの集約とレポート作成機能も備えているため、複数のサイトを持つお客様は、複数のDirectorコンソールにログインすることなく、単一のウィンドウからデータを消費できます。最後に、インフラストラクチャのパフォーマンススコアが提供され、管理者はインフラストラクチャの正常性をまとめたビューを提供します。
ユーザーエクスペリエンススコアは、セッションの復元性、セッションの可用性、セッションログオン時間、セッションの応答性など、エンドユーザーエクスペリエンスに影響を与えるさまざまな要因を考慮して計算されます。管理者は、より深く分割し、サブファクタを調べて、問題の正確な根本原因を特定することができます。たとえば、セッションログオン時間の副要素には、GPO、プロファイルのロード、対話セッション、仲介、仮想マシンの開始、HDX接続、認証、ログオンスクリプトなどがあります。動的しきい値は、セッションログオン時間、およびセッション応答の要因とサブファクタのベンチマークに使用されます。これらの計算は、顧客ごとに行われ、過去 30 日間に基づいて計算されます。しきい値は、環境で行われた変更を反映するために 7 日ごとに再キャリブレーションされます。ユーザーエクスペリエンススコアの計算方法の詳細については、こちらを参照してください。
パフォーマンス向けのCitrix Analytics は、オンプレミスとクラウドの両方のユーザーに使用でき、Citrix Workspaceを利用する必要はありません。Citrix Analytics は、Directorの監視データベースから直接データを取得します。データは、HTTPSポート443を介してDirectorからCitrix Analytics に安全にプッシュされます。パフォーマンス向けのCitrix Analytics もNetScaler GatewayからHDXデータをキャプチャしますオンプレミスゲートウェイの場合、お客様は ADM サービスを使用する必要があります。ゲートウェイサービスの場合、HDXデータはCitrix Analytics に直接送信されます。Citrix Cloudからオンプレミス環境へのデータはありません。データ通信はアウトバウンドです。つまり、ポートを開く必要はなく、着信トラフィックも許可されません。Citrix DaaSを使用しているお客様の場合、Citrix Analytics Directorプラットフォームから直接データを取得します。これらのプラットフォームはすべてCitrix Cloud 内でホストされています。
ユーザーエクスペリエンススコアダッシュボード
ユーザーエクスペリエンススコアダッシュボードには、「優れた」、「公平」、「不良」のエクスペリエンスのユーザーについて総合的なビューが表示されます。Citrix Analytics for Performanceには、複数のサイト集約機能があり、すべての環境(クラウドまたはオンプレミス)の全体像を把握できます。マルチサイト集約により、管理者は環境全体を確認したり、特定のサイトごとにフィルタリングしたりする柔軟性が得られます。
Citrix Analytics 管理者は、ドリルダウンして、ユーザーが特定のエンドユーザーエクスペリエンススコアを取得した原因となっている要因を確認できます。Citrix Analytics for Performanceでは、ユーザーエクスペリエンスの問題の原因が考えられる根本原因について、管理者に洞察を提供します。ユーザーエクスペリエンスのサブファクターの詳細については、こちらをご覧ください。
また、このユーザーエクスペリエンスダッシュボード内で、管理者はユーザーセッションの傾向を確認できます。この傾向には、セッション総数と一意のユーザーの合計、およびセッションの失敗数が表示されます。合計セッションは、アプリまたはデスクトップを Workspace アプリから起動したときの、ユーザーセッションの合計数を示します。ユニークユーザーの合計は、指定された期間中にセッションを開始したか、またはアクティブなセッションを持っている一意のユーザーの数です。
インフラストラクチャダッシュボード
インフラストラクチャダッシュボードでは、管理者が環境のインフラストラクチャの状態の概要を確認できます。ダッシュボードには、すべてのサイトのVDA情報が表示されます。マルチセッションOSのVDAの場合、管理者は負荷評価基準のインデックスに基づいて、使用不能状態のVDAを確認できます。シングルセッションOSのVDAの場合、管理者は使用中および使用可能なVDAの数を確認できます。Infrastructure ダッシュボードで利用できるメトリクスの詳細については、こちらを参照してください。
Content Collaboration ダッシュボード
Content Collaboration ダッシュボードには、次の情報が表示されます。
- Content Collaborationサービスを使用しているユニークユーザーの数
- Content Collaboration の上位ユーザー
- Content Collaborationサービスにアップロードされたデータの量
- Content Collaboration サービスにダウンロードされたデータの量
- Content Collaborationサービスにアップロードされたファイルの数
- Content Collaboration サービスにダウンロードされたファイルの数
- ファイルに対してユーザーが実行したアクションの数
- ユーザーが作成した共有イベントの数
SaaS と Web アプリケーションダッシュボード
SaaSとWebアプリダッシュボードでは、Citrix Workspaceで公開されているSaaSとWebアプリに関するCitrix Analytics管理者への洞察が得られます。SaaS および Web Apps ダッシュボードには、次の情報が表示されます。
- SaaSおよびWebアプリケーションを使用しているユニークユーザーの数
- SaaS および Web アプリケーションの上位ユーザー
- 起動された SaaS および Web アプリケーションの数
- 上位の SaaS および Web アプリケーション
- ユーザーがアクセスしたトップドメイン
- ユーザー、アプリケーション、ドメイン間でアップロードおよびダウンロードされたデータの総量。
アーキテクチャとプロセスフロー
Citrix Analytics 概念アーキテクチャとプロセスフローを以下に示します。
