Statut utilisateur
La surveillance en temps réel de UserLock propose un indicateur de risque appelé 'Statut utilisateur' pour identifier plus facilement les comportements d'accès inappropriés ou suspicieux ainsi que les menaces potentielles de sécurité interne sur le réseaux. En corrélant l'activité des événements d'accès de chaque utilisateur à leurs règles personnalisées associées à l'authentification de leur compte, le 'Statut utilisateur' permet d'obtenir une vue plus exhaustive de l'activité réseau et des risques de sécurité.
Un statut est assigné à chaque utilisateur et évolue en fonction de leurs actions lors des accès ou tentatives d'accès sur le réseau. Une activité jugée comme présentant un risque ou un risque élevé est clairement signalée dans la vue 'Sessions utilisateur' et permet d'alerter les administrateurs et les opérateurs UserLock en temps réel de tout événement de session sur le réseau considéré comme suspect, anormal ou inhabituel.
Le statut de l'utilisateur est mis à jour toutes les minutes, après chaque connexion et après que les paramètres d'état de l'utilisateur changent. Pour revenir à l'état Protégé / Non protégé, il faut que la condition qui a déclenché le changement d'état ne soit plus respectée et qu'un événement de connexion se produise.
Cette section vous offre la possibilité de personnaliser en fonction de votre politique de contrôle d'accès utilisateur les différents paramètres basculant l'indicateur de risque d'un statut à un autre.
Statut Risque élevé
Un utilisateur est considéré comme ayant potentiellement un comportement à haut risque lorsque :
- La fréquence des ouvertures de sessions refusées par UserLock et/ou Active Directory au delà de la fréquence tolérée.
- Deux points d'accès initiaux simultanés sont détectés, l'un depuis l'intérieur du réseau, l'autre depuis l’extérieur du réseau (l'utilisateur est connecté à la fois depuis l'intérieur et l’extérieur du réseau en même temps). Cette option est désactivée par défaut.
- Des sessions illégitimes sont détectées suite à un changement des règles ou un incident réseau.
Par défaut la fréquence tolérée des ouvertures de sessions refusées
par UserLock et Active Directory est définie à 5 tentatives pour une période de
30 minutes.
Il est possible de personnaliser ces chiffres en fonction de votre politique
de sécurité interne.
Toutes les adresses IP en dehors des tranches suivantes seront considérées comme des connexions depuis l’extérieur du réseau:
- 10.0.0.0 - 10.255.255.255
- 172.16.0.0 - 172.31.255.255
- 192.168.0.0 - 192.168.255.255
- fc00::/7
- fe80::/10
Statut Risque
Un utilisateur est considéré comme ayant potentiellement un comportement présentant un risque lorsque :
- Le nombre de sessions ouvertes est au delà d'une valeur définie par l'administrateur UserLock. Il est possible de configurées des valeurs pour un type ou un groupe de types de session audités par UserLock.
- Le nombre de points d'accès initiaux ouverts est au delà d'une valeur définie par l'administrateur UserLock.
- Un utilisateur essaie d'ouvrir une session alors que son compte est verrouillé au sein de Active Directory.
- Un utilisateur essaie d'ouvrir une session alors que son compte est désactivé au sein de Active Directory.
- Un utilisateur essaie d'ouvrir une nouvelle session depuis une session existante en utilisant des identifiants différents. Cette option est désactivée par défaut.
Aucune valeur n'est définie par défaut pour ce statut. Pour configurer une valeur, il suffit de cliquer sur 'Ajouter'.
Puis de saisir la valeur souhaitée et déclarer les types de sessions à comptabiliser pour cette valeur.
Vous pouvez définir autant de valeur que souhaitée pour différents types ou groupes de types de session en réitérant les actions précédemment décrites.
De la même manière, vous pouvez définir la limite (non bloquante) de points d'accès initiaux qui déclenchera ce changement de statut en basculant l'option sur 'Limité à' et en saisissant la valeur désirée.
Note: Ce statut peut être utilisé pour simuler des restrictions si vous ne souhaitez pas définir des règles bloquantes à l'aide des comptes protégés. Ce statut est affiché en temps réel dans la vue 'Sessions utilisateur' et des notifications peuvent être configurées pour vous alerter (voir fin de section). Des rapports sont aussi disponibles.
Statut Non protégé
Ce statut est assigné à :
- tout utilisateur dont le compte n'est pas soumis à une règle de 'Compte protégé' UserLock et qui n'est pas non plus éligible à un autre statut.
- tout utilisateur local aux machines/serveurs.
Le statut 'Non protégé' est un statut automatique qui n'offre pas de personnalisation de paramétrage.
Statut Protégé
Ce statut est assigné à tout utilisateur dont le compte est soumis à une règle de 'Compte protégé', qu'elle soit bloquante ou non, et qui n'est pas éligible à un autre statut.
Le statut 'Protégé' est un statut automatique qui n'offre pas de personnalisation de paramétrage.
Statut Nouveau
Un utilisateur 'Nouveau' est un utilisateur ouvrant une session sur le réseau pour la première fois.
UserLock considère un utilisateur comme 'Nouveau' lorsque :
- Son compte ne possède aucun historique d'activité session au sein de l'application à l'ouverture de sa session.
- Aucune activité de session n'a été détectée pour une période de temps définie précédant son ouverture de session.
La période de temps sans activité après laquelle un utilisateur sera considéré comme 'Nouveau' est définie par défaut à 15 jours et peut être personnalisée.
Statut Inactif
Un utilisateur sans session ouverte, dont le compte est connu par UserLock et référencé au sein de sa base de donnée, est considéré comme 'Inactif' après une période temps en jour durant laquelle aucune activité n'est détectée sur le réseau.
Cette période de temps est définie par défaut à 15 jours et peut être personnalisée.
Notifications
Des alertes Popup et E-mail peuvent également être définies pour avertir les administrateurs et les opérateurs UserLock d'un changement de 'Statut utilisateur'.
Il suffit de cocher les cases correspondantes aux statuts pour lesquels vous souhaitez l'émission d'une notification et de saisir les destinataires E-mail ou/et les noms de machines cibles des popups.