Utilisez Workspace ONE Intelligence pour afficher les données collectées et identifier les risques associés aux scores. Workspace ONE Intelligence assure le suivi des actions et des comportements de l'utilisateur et du terminal, puis calcule le risque potentiel. Elle affiche ce potentiel avec des niveaux de risque et d'autres métadonnées afin que vous puissiez rapidement mesurer la vulnérabilité de votre déploiement Workspace ONE UEM. Vous pouvez également afficher les scores de risque de connexion de Workspace ONE Access ; ces scores ingèrent des informations à partir de l'emplacement de connexion d'un utilisateur et peuvent signaler si l'utilisateur présente un comportement anormal et à risque.
Le score de risque dans Workspace ONE Intelligence est une fonctionnalité d'analyse des risques qui effectue le suivi des actions et des comportements des utilisateurs et des terminaux. Elle affiche les scores sous forme de niveaux pour accélérer le processus d'approbation. Certains niveaux impliquent que vous pouvez faire confiance à un utilisateur ou un terminal, d'autres suggèrent une atténuation immédiate de la confiance à lui accorder. Le score de risque commence par une ligne de base ou un niveau de risque « normal ». Lorsque le comportement d'un utilisateur ou d'un terminal diffère de la normale, le score identifie cet écart comme suit : Élevé, Moyen et Faible.
Vous pouvez réagir par le biais de diverses actions en fonction du score et des politiques de sécurité de votre organisation. Par exemple, une organisation avec des stratégies de sécurité laxistes pourrait avertir les utilisateurs en cas de scores de risque élevés. Cependant, une autre organisation appliquant des stratégies de sécurité restrictives pourrait refuser des privilèges en cas de scores de risque moyens. Autres méthodes d'actions des organisations face aux scores de risque :
Le score de risque change en fonction des comportements que le système identifie quant à un terminal ou un utilisateur. Ces comportements sont également appelés indicateurs de risque. Les comportements positifs diminuent le score ou le rendent plus fiable. Les comportements négatifs augmentent le score ou le rendent moins fiable. Le système reconnaît et agrège plusieurs indicateurs de risque pour calculer les écarts de score de risque.
Indicateurs de risque | Description | Risque |
---|---|---|
Activité d'alerte anormale | Un terminal produit un nombre inhabituel, un type inhabituel ou une gravité inhabituelle d'alertes de sécurité. | Un nombre inhabituel, un type inhabituel ou une gravité inhabituelle d'alertes de menace indique qu'un terminal est potentiellement compromis. |
Collecteur d'applications | Personne qui installe un nombre anormalement élevé d'applications. | N'importe quelle application peut inclure des vulnérabilités connues ou non protégées. Ces vulnérabilités peuvent devenir des vecteurs d'attaque. La surface des cyberattaques augmente avec le nombre d'applications sur le terminal. |
Téléchargement d'applications de manière compulsive | Personne qui installe un nombre inhabituel d'applications dans un court laps de temps. | Les utilisateurs qui installent frénétiquement des applications inhabituelles sur leurs terminaux risquent davantage d'être victimes d'une activité malveillante. Certaines applications qui semblent utiles, conviviales ou divertissantes ont en réalité pour objectif de nuire à l'utilisateur. Les approches de Marketplace pour filtrer un contenu dangereux (programme malveillant) varient d'un fournisseur à l'autre. Un utilisateur peu attentif peut être suivi, piraté ou escroqué. |
CVE critiques excessives | Un terminal avec un nombre excessif de CVE (Common Vulnerabilities and Exposures) critiques non corrigées. | Plus le nombre de CVE critiques présentes sur un terminal est élevé, plus la surface d'attaque du terminal est grande. |
Mise à jour tardive | Personne qui tarde à mettre à jour le système d'exploitation du terminal ou qui refuse de le mettre à jour. | Ignorer les mises à jour logicielles peut rendre un terminal vulnérable aux attaques et augmente le risque d'être compromis. |
CVE critiques persistantes | Un terminal disposant d'une ou de plusieurs CVE (Common Vulnerability Exposure) critiques restées non corrigées lorsque la majorité des terminaux éligibles dans l'organisation ont été corrigés. | Plus le nombre de CVE critiques présentes sur un terminal est élevé, plus la surface d'attaque du terminal est grande. |
Collecteur d'applications rares | Personne qui installe un nombre anormalement élevé d'applications rares. | Contrairement aux applications largement utilisées, les applications rares sont d'origine douteuse et présentent un risque plus élevé d'exposition à des logiciels malveillants ou à des failles de sécurité. |
Paramètre de sécurité à risque | Personne qui possède un ou plusieurs terminaux et qui a explicitement désactivé les fonctionnalités de protection de sécurité ou a des terminaux déclarés perdus de manière explicite. | La désactivation des mesures de sécurité sur un terminal augmente le risque d'être compromis. |
Téléchargement d'applications inhabituelles | Personne qui a récemment installé des applications inhabituelles. | Les applications qui semblent utiles, conviviales ou divertissantes ont en réalité pour objectif de nuire à l'utilisateur. Les approches de Marketplace pour filtrer un contenu dangereux (programme malveillant) varient d'un fournisseur à l'autre. Un utilisateur peu attentif peut être suivi, piraté ou escroqué. |
La notation du score de risque fonctionne sur les plates-formes Android, iOS, macOS et Windows. Elle fonctionne également sur les terminaux dédiés aux entreprises, partagés par les entreprises, personnels (utilisation de terminaux personnels) et non définis.
Plateforme du terminal | Activité d'alerte anormale | Collecteur d'applications (applications non gérées et publiques) | Téléchargement d'applications de manière compulsive (applications non gérées et publiques) | CVE critiques excessives | Mise à jour tardive | CVE critiques persistantes | Collecteur d'applications rares (applications non gérées et publiques) | Paramètre à risque | Téléchargement d'applications inhabituelles (applications non gérées et publiques) |
---|---|---|---|---|---|---|---|---|---|
Mobile (iOS et Android) | ✕ | ✓ | ✓ | ✕ | ✓ | ✕ | ✓ | ✓ | ✓ |
Poste de travail (Windows et macOS) | ✓ | ✕ La fonctionnalité ne collecte pas les données de l'application. |
✕ La fonctionnalité ne collecte pas les données de l'application. |
✓ (Windows uniquement) | ✓ | ✓ (Windows uniquement) | ✕ La fonctionnalité ne collecte pas les données de l'application. |
✓ | ✕ La fonctionnalité ne collecte pas les données de l'application. |
Type de propriété du terminal | Activité d'alerte anormale | Collecteur d'applications (applications non gérées et publiques) | Téléchargement d'applications de manière compulsive (applications non gérées et publiques) | CVE critiques excessives | Mise à jour tardive | CVE critiques persistantes | Collecteur d'applications rares (applications non gérées et publiques) | Paramètre à risque | Téléchargement d'applications inhabituelles (applications non gérées et publiques) |
---|---|---|---|---|---|---|---|---|---|
Dédié à l'entreprise, partagé par l'entreprise, non défini | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Personnel (utilisation de terminaux personnels) | ✓ | ✕ Bien que les paramètres de confidentialité de Workspace ONE UEM par défaut empêchent la collecte des données d'application sur les terminaux BYOD, les administrateurs peuvent modifier les paramètres de confidentialité afin que Workspace ONE Intelligence puisse collecter les données d'application. Vérifiez la stratégie de confidentialité de votre organisation avant de modifier les configurations de confidentialité dans Workspace ONE UEM. |
✕ Bien que les paramètres de confidentialité de Workspace ONE UEM par défaut empêchent la collecte des données d'application sur les terminaux BYOD, les administrateurs peuvent modifier les paramètres de confidentialité afin que Workspace ONE Intelligence puisse collecter les données d'application. Vérifiez la stratégie de confidentialité de votre organisation avant de modifier les configurations de confidentialité dans Workspace ONE UEM. |
✓ | ✓ | ✓ | ✕ Bien que les paramètres de confidentialité de Workspace ONE UEM par défaut empêchent la collecte des données d'application sur les terminaux BYOD, les administrateurs peuvent modifier les paramètres de confidentialité afin que Workspace ONE Intelligence puisse collecter les données d'application. Vérifiez la stratégie de confidentialité de votre organisation avant de modifier les configurations de confidentialité dans Workspace ONE UEM. |
✓ | ✕ Bien que les paramètres de confidentialité de Workspace ONE UEM par défaut empêchent la collecte des données d'application sur les terminaux BYOD, les administrateurs peuvent modifier les paramètres de confidentialité afin que Workspace ONE Intelligence puisse collecter les données d'application. Vérifiez la stratégie de confidentialité de votre organisation avant de modifier les configurations de confidentialité dans Workspace ONE UEM. |
Pour utiliser l'analyse des risques, intégrez les systèmes suivants et suivez les restrictions répertoriées.
Workspace ONE Intelligence signale les scores de risque et d'autres données de risque dans différents tableaux de bord.
La notation de risque comporte des modules que vous pouvez utiliser dans vos tableaux de bord personnalisés. Utilisez la catégorie Workspace ONE UEM > Score de risque du terminal ou Score de risque de l'utilisateur pour accéder aux modules.
Vous pouvez agir sur les workflows dans Workspace ONE Intelligence.
Workspace ONE UEM s'intègre à Workspace ONE Intelligence pour les scores de risque afin d'obtenir des données pour les terminaux gérés dans votre déploiement Workspace ONE. Il utilise le compte d'enrôlement de l'utilisateur stocké dans Workspace ONE UEM pour reconnaître l'activité de l'utilisateur sur les terminaux gérés.
Les scores de risque sont exécutés quotidiennement et fournissent une mesure exploitable pour identifier et potentiellement isoler les utilisateurs qui ont des comportements de sécurité médiocres et qui présentent des risques pour l'organisation.
La notation de risque est semblable à la notation de crédit des consommateurs. Le système de notation de crédit ne vérifie pas le compte de carte de crédit d'un utilisateur pour voir le solde à un instant T. La notation de risque fonctionne de manière asynchrone et ne connaît pas nécessairement le statut actuel des terminaux. Elle est exécutée une fois par jour et analyse les données signalées sur le terminal jusqu'à ce que le processus de notation soit exécuté. Les modèles de notation utilisent des données historiques (par exemple, sur les 14 derniers jours) pour déterminer le risque des comportements de l'utilisateur.
Les scores de risque de connexion de Workspace ONE Intelligence font partie de la fonctionnalité d'analyse des risques dans Workspace ONE Intelligence, mais, actuellement, ils ne reposent pas sur les mêmes exigences que les autres scores de risque. Le système crée et affiche ces scores à partir des données de Workspace ONE Access où ils sont prêts à l'emploi dans les stratégies d'accès. Ces scores ingèrent des informations provenant de l'emplacement de connexion d'un utilisateur et peuvent signaler si l'utilisateur présente un comportement anormal et à risque. Le modèle apprend des modèles de connexion des utilisateurs. Si des changements de comportement à long terme se produisent, par exemple un employé se déplaçant dans une autre ville, le modèle s'ajuste pour considérer les informations de connexion à partir de la nouvelle ville comme étant les nouvelles informations normales.
Intelligence attribue un score de risque Faible, Moyen ou Élevé à chaque demande de connexion, comme d'autres scores de risque. Ce score est contrôlé par des modèles d'apprentissage automatique qui prennent en compte les demandes de connexion historiques et l'emplacement de l'utilisateur pour déterminer si une tentative est malveillante ou sûre. Ce score est mis à jour en temps réel, ce qui signifie que les dernières données de connexion sont toujours incluses pour chaque utilisateur. Pendant le premier mois de l'activité de connexion, tous les utilisateurs disposent d'une période de grâce pour établir leur modèle de connexion normal. Lorsque le système établit leur modèle de connexion, il renvoie un score de risque de connexion Faible pendant la période de grâce.
Vous pouvez utiliser les scores de risque de connexion dans Workspace ONE Access, les stratégies d'accès et dans Workspace ONE Intelligence, si vous avez intégré les deux systèmes. Ils peuvent également être utilisés dans les workflows, les tableaux de bord et les widgets.