Citrix Analytics für Sicherheit

Self-Service-Suche für Content Collaboration

Verwenden Sie die Self-Service-Suche, um Einblicke in die Benutzerereignisse zu erhalten, die von der Content Collaboration Wenn Benutzer den Content Collaboration Service verwenden, werden Ereignisse wie Anmelden, Löschen, Herunterladen und Hochladen generiert. Citrix Analytics for Security empfängt diese Ereignisse und zeigt sie auf der Self-Service-Suchseite an. Sie können die Benutzer und ihre Aktivitäten verfolgen.

Weitere Informationen zu den Suchfunktionen finden Sie unter Self-Service-Suche.

Wählen Sie die Datenquelle Content Collaboration

Um die Content Collaboration Events anzuzeigen, wählen Sie Content Collaboration aus der Liste. Standardmäßig zeigt die Self-Service-Seite die Ereignisse für den letzten Tag an. Sie können auch den Zeitraum auswählen, für den Sie die Ereignisse anzeigen möchten.

Content Collaboration wählt

Wählen Sie die Facetten aus, um Ereignisse zu filtern

Verwenden Sie die folgenden Facetten, die den Ereignissen Content Collaboration zugeordnet sind.

  • Dateigröße herunterladen- Gibt die Größe der von Content Collaboration heruntergeladenen Datei an.

  • Ereignisart- Zeigt die Arten von Benutzeraktivitäten an, z. B. Dateiupload, Dateidownload, Erstellen von Freigabelinken, Sitzungsanmeldung, Ordnererstellungen und Löschen von Freigabelinken.

    Facetten für die Inhaltszusammenarbeit

Angeben der Suchabfrage zum Filtern von Ereignissen

Platzieren Sie den Cursor in das Suchfeld, um die Liste der Dimensionen für die Content Collaboration Events anzuzeigen. Verwenden Sie die Dimensionen und die Operatoren, um Ihre Abfrage anzugeben und nach den erforderlichen Ereignissen zu suchen.

Dimensionen für die Zusammenarbeit

Sie möchten beispielsweise nach Ereignissen suchen, die aus Indien stammen, und die Dateigröße ist größer als 900.000 Byte. Geben Sie die folgende Abfrage wie in der Abbildung gezeigt an.

  1. Geben Sie “Co” in das Suchfeld ein, um die entsprechenden Vorschläge zu erhalten.

    Suchanfrage 1 zur Zusammenarbeit von Inhalten

  2. Wählen Sie Land und geben Sie mit dem Gleichheitsoperator den Wert “Indien” ein.

    Suchanfrage 2 zur Zusammenarbeit von Inhalten

    Suchanfrage zur Zusammenarbeit von Inhalten 3

  3. Wählen Sie den Operator UND und wählen Sie dann die Dimension Dateigröße aus. Wählen Sie den Operator ** und geben Sie den Wert für die Dateigröße in Byte ein.

    Suchanfrage zur Zusammenarbeit von Inhalten 4

  4. Wählen Sie den Zeitraum aus, und klicken Sie auf Suchen, um die Ereignisse in der Tabelle DATA anzuzeigen.

Überwachungsprotokolle

Die Überwachungsprotokolle bieten Einblicke in die Berechtigungen und Aktionen, die von den Content Collaboration Administratoren auf die Benutzerkonten angewendet werden Mithilfe dieser Daten können Sie überprüfen, ob die Content Collaboration-Administratoren gültige Maßnahmen für die Benutzerkonten ergriffen haben.

In der Self-Service-Suche können Sie die folgenden Überwachungsprotokolle anzeigen.

Hinweis

Um diese Protokolle in Citrix Analytics zu erhalten, müssen Sie den Citrix Content Collaboration Service in Citrix Workspace integrieren.

Ereignis Attribute
Verteilergruppe erstellen Gruppen-ID, Gruppe freigegeben, Clientbetriebssystem, Client-IP, Gruppenname, Besitzer-ID, Benutzer-E-Mail
Verteilergruppe löschen Gruppen-ID, Gruppenname
Update Verteilergruppe Gruppen-ID, wird geteilt
DLP-Update, DLP-Richtlinien-Update DLP aktiviert, Clientbetriebssystem, Client-IP, Gespeichertes Format, Download für anonymen Benutzer aktiviert, Download für Clientbenutzer aktiviert, Freigabe für Clientbenutzer aktiviert, Freigabe für Mitarbeiterbenutzer aktiviert, Freigabe für
Update der Anmelde- und Sicherheitsrichtlinie Vertrauenswürdige Domänen, Benutzername, Clientbetriebssystem, Client-IP, Benutzer nach Aktivität abmelden, Maximale fehlgeschlagene Anmeldungen, Sperrdauer, Zwei-Faktor-Authentifizierung für Benutzer aktiviert, Zwei-Faktor-Authentifizierung für Mitarbeiter aktiviert, Zwei-Faktor-Authentifizierung aktiviert, Benutzer-E-Mail
Bericht erstellen, Bericht aktualisieren, Bericht löschen Erstellungsdatum, Enddatum, Berichtstitel, Wiederkehrende Häufigkeit, enthaltene Unterordner, Wiederkehrend, Planbericht, Datum der letzten Ausführung, Berichtstyp, Gespeichertes Format, Gespeicherter Ordner, Startdatum
Aktualisierung der SSO-Einstellungen Aktive Profilcookies, Client-OS, Client-IP, IP-Einschränkungen, aktiviertes SSO, Anmelde-URL, Abmelde-URL, IdP-Typ, SP-initiierter Authentifizierungskontext, SP-initiierte Authentifizierungsmethode, Benutzer-E-Mail, SP-initiierte Umleitungsmethode, aktivierte Webauthentifizierung

Malware-Protokolle

Das Malware-Ereignis File.VirusInfected wird ausgelöst, wenn eine von einem Content Collaboration-Benutzer hochgeladene Datei mit einer Malware infiziert ist. Die folgenden Protokolle sind spezifisch für das Malware-Ereignis.

Ereignis Attribute
File.VirusInfected Name des Erstellers der Datei, Name des Dateibesitzers, E-Mail-Adresse des Dateierstellers, E-Mail-Adresse des Dateibesitzers, Dateigröße, Name des freigegebenen Ordners, Dateipfad, Erstellungsdatum der Datei, Datei-Hash, Datei-ID, Virenname

Unterstützte Dimensionen für Ihre Suchanfrage

In der folgenden Tabelle werden die Dimensionen beschrieben, die Sie in den Self-Service-Suchereignissen anzeigen können. Sie können diese Dimensionen für die Definition Ihrer Suchanfrage verwenden.

|Feld | Beschreibung | Werttyp | Beispiel | |——|——-|———|———-| | Account-ID | Zeigt die Konto-ID des Benutzers an. | Zeichenfolge | adb8477a-6bf1-2108-fa4b-55dea0b8c44c | | Active-Profile-Cookies | Gibt an, ob die erweiterten Einstellungen von den aktiven Clients von Content Collaboration wie mobilen Clients, Sync Engine und Outlook Plug-In verwendet werden. Dieser Parameter kann erforderlich sein, um die Auswahl in bestimmten IdP-Konfigurationen zu automatisieren. | Zeichenfolge | | Alias-ID | Zeigt die Alias-ID des Benutzers an. | Zeichenfolge | testuser1 | | Bytes-Total | Gibt die Gesamtgröße (KB) der heruntergeladenen Datei an. Wenn mehrere Dateien gleichzeitig heruntergeladen werden (Batch-Download), gibt die Byte-Gesamtzahl die Gesamtgröße aller heruntergeladenen Dateien an. | Zahl | 105 | | City | Gibt die Stadt an, von der aus sich der Benutzer beim Content Collaboration Service angemeldet hat. | Zeichenfolge | Chicago | | Client-IP | Zeigt die IP-Adresse des Netzwerks des Benutzers an. | Zeichenfolge | 172.xxx.xxx.xx | | Client-OS | Zeigt das Betriebssystem des Geräts des Benutzers an. | Zeichenfolge | Windows 10 | | Country | Gibt das Land an, aus dem sich der Benutzer beim Content Collaboration Service angemeldet hat. | Zeichenfolge | Vereinigte Staaten | | Create-Date | Gibt das Datum und die Uhrzeit an, zu der der Bericht erstellt wird. | Zeichenfolge | 2021-05-25T13:54:36.167 | | Created-By | Gibt den Benutzer an, der den Bericht erstellt hat. | Zeichenfolge | user1 | | Creator-ID | Gibt die ID des Benutzers an, der den Bericht erstellt hat. | Zeichenfolge | 77f300f8-8d89-4891-bb58 | |Download-Enabled-for-Anonymous-User|Gibt an, ob ein anonymer Benutzer eine Datei aus einer Speicherzone herunterladen kann, basierend auf dem Ergebnis des Data Loss Prevention (DLP) -Scans. | Boolesch| “Richtig” oder “falsch”| |Download-Enabled-for-Client-User | Gibt basierend auf dem Ergebnis des Data Loss Prevention (DLP) -Scans an, ob ein Clientbenutzer eines Drittanbieters eine Datei aus einer Speicherzone herunterladen kann. | Boolesch | “Richtig” oder “falsch” | |Download-Enabled-for-Employee-User| Gibt an, ob ein Mitarbeiterbenutzer eine Datei aus einer Speicherzone herunterladen kann, basierend auf dem Ergebnis des Data Loss Prevention (DLP) -Scans. |Boolesch | “Richtig” oder “falsch”| | Download-File-Size | Gibt die Größe (in KB) der vom Benutzer heruntergeladenen Datei an | Zahl | 10,8 KB | | Enabled-Web-Authentication | Gibt an, ob SAML IdP für die webbasierte Authentifizierung konfiguriert ist und das Benutzerkonto ShareFile Sync. für Windows, ShareFile Sync für Mac oder das ShareFile Outlook-Plug-In verwendet. | Zeichenfolge | “Richtig” oder “falsch” | | Enabled-Two-Factor-Auth | Gibt an, ob die Zwei-Faktor-Authentifizierungsfunktion entweder für Mitarbeiter- oder Clientbenutzer aktiviert ist. | Zeichenfolge | “Richtig” oder “falsch” | | Enabled-Two-Factor-Auth-for-Employees | Zeigt an, ob die Zwei-Faktor-Authentifizierung für Mitarbeiter aktiviert ist. | Zeichenfolge | “Richtig” oder “falsch” | | Enabled-Two-Factor-Auth-for-Users | Gibt an, ob Zwei-Faktor-Authentifizierung für Clientbenutzer aktiviert ist | Zeichenfolge | “Richtig” oder “falsch” | | End-Date| Indicates the date after which the report is not generated for your Content Collaboration account. |“2021-05-23T04:00:00+00:00” | | Event-ID | Indicates the unique identity associated with a user event. | String | 77f300f8-8d89-4891-bb58-53b05c44766d | | Event-Type | Indicates the types of user activities such as file upload, file download, share link create, session login, folder create, and share link delete. | String | File.Upload, Session.Login, Share.Create | | Event-User-ID | Indicates the ID of the user who triggered the event. | String | 8d89-4891-bb58-53b05 | | File-Creation-Date | Indicates the date when the infected file is created. | String | 2021-05-25T13:54:36.16 | | File-Creator-Email-Address | Indicates the email ID of the user who originally created the file that is infected with a malware. | String | user1@citrix.com | | File-Creator-Name | Indicates the user name who originally created the file that is infected with a malware. | String | User1 | | File-Hash| Indicates the hash value of the infected file. | String | 88e300f8-8d89-4891-bb58 | | File-ID | Indicates the unique ID of the infected file. | String | fib0257-1bd802-0707-44c12 | | File-Name | Indicates the name of the file shared, uploaded, or downloaded by the user. | String | Usage Report 2021 | | File-Owner-Name | Indicates the current owner of the infected file. | String | User2 | | File-Owner-Email-Address | Indicates the email ID of the current owner of the infected file. | String | user2@citrix.com | | File-Path | Indicates the path of the infected file in Content Collaboration. | String | /testfolder/test-file.pdf | | File-Size | Indicates the size of the infected file in bytes. | Number | 10 B | | Folder-ID | Indicates the ID of the folder created on Content Collaboration. | String | 8d89-4891-bb58-53b05c | | Frequency| Indicates the recurring frequency of the report that is generated for your Content Collaboration account. | String | “Daily”, “Weekly”, or “Monthly” | |Group-ID| Indicates the ID of the Distribution Group.| String |g0183f52-f219-4816-9b8e-9584e504a083 | |Group-Name| Indicates the name of the Distribution Group. | String| Test group 1 | | IdP-Type | Indicates the type of identity provider configured for the user. | String | | | IP-Restrictions | Indicates the IP addresses from which the users are restricted from signing in to their Content Collaboration accounts. | | | | Inactive-Logout-Duration | Indicates the duration of inactivity after which the inactive users are logged out of their account. Die Dauer wird in Minuten gemessen. By default, this duration is set to 1 hour (60 minutes).| Number | 60 | | Include-Sub Folders| Indicates whether the report is created for a selected folder and its sub folders. |Boolean | “True” or “False” | |Is-Active| Indicates if single sign-on is enabled for non-administrator employees using your IdP. |Boolean | “True” or “False” | | Is-Employee | Indicates if the user is an employee of your organization. | String | “True” or “False” | | Is-Enabled | Indicates whether Data Loss Prevention is enabled for your Content Collaboration account. | Boolean| “True” or “False” | |Is-Recurring| Indicates whether the report generates after a regular interval. | Boolean | “True” or “False”| |Is-Scheduled|Indicates whether the report is scheduled. |Boolean |“True” or “False” | | Is-Shared | Indicates if the Distribution Group sharing is enabled for all employees. | String | “True” or “False” | |Last-Run-Date| Indicates when the report was last generated.| String | “0001-01-01T00:00:00”| | Locked-Out-Duration | Indicates the duration for which the user is locked out of their account when they failed to log on and exceeded the maximum allowed logon attempts. The duration is measured in seconds. | Number | 120 | | Login-URL | Indicates the URL of the user’s IdP assertion consumer service. | String | https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=fa7a185d-d748-459| | Logout-URL | Indicates the URL that Content Collaboration use when a user logs out of their single sign-on session. | String | https://secure.sharefiletest.com | | Maximum-Failed-Attempts| Indicates the maximum number of attempts a user is allowed to enter an invalid password before being locked out of the account for a specific time period. | Number | 5 | | OAuth-Client-ID | Indicates the unique ID of the user that uses the authorization server. | String |Dzi4UPUAg5l8beKjioecdchmHUTWWln9 | | Operation-Name | Indicates the types of operations performed on Content Collaboration. | String | Create, Delete, Upload, Download, Share, Login, Copy, Update | | Owner-ID | Indicates the owner ID of the Distribution Group. | String | 10812e09-ab02-4115-8405-8uas5e71258f | |Report-Type| Indicates the type of report that is created. The following are the report type and its corresponding ID. | Number | 0, 2, 10 | | |0- Access report | | | | |1- Activity report | | | | |2- Storage report | | | | |3- Messaging report | | | | |4- Bandwidth detail report | | | | |5- Bandwidth summary report | | | | |6- Encrypted email report | | | | |7- Storage summary report | | | | |8- User summary report | | | | |9- Access change report | | | | |10- Share send report | | | | |11- Share request report | | | | Resource-ID | Indicates the ID of the resource. | String | 6bf1-2108-fa4b-55dea0b | | Resource-Type | Indicates the resources on which operations are performed. |String | File, Users, Session, Account | | Shared-Folder-Name | Indicates the shared folder in which the infected file is uploaded. | String | testfolder | | SP-Initiated Auth Context | Indicates the comparison level for the authentication context. Der IdP muss mit der ausgewählten Authentifizierungsmethode übereinstimmen, wenn der “exakte” Vergleich verwendet wird. Or a higher relative strength method when the “Minimum” comparison is used. | String | “Minimum” or “Exact” | | SP-Initiated-Auth-Method | Indicates the method for the authentication context. Based on the selection, it can be Unspecified, User Name and Password, Password Protected Transport, Transport Layer Security Client, X.509 Certificate, Integrated Windows Authentication, or Kerberos. | String | urn:oasis:names:tc:SAML:2.0:ac:classes:Password | | SP-Initiated-Redirect-Method | Indicates the method of SP initiated redirection based on the size of the certificate provided by Content Collaboration. | String | “Default”, “HTTP” or “POST” | |Save-Format|Indicates the format of the saved report. |String |“Excel” or “CSV”| | Save-To-Folder| Indicates whether the report should be saved in a particular folder. | Boolean | “True” or “False” | |Sharing-Enabled-for-Client User|Indicates whether a third party client user can share a file from a storage zone based on the result of the Data Loss Prevention (DLP) scan. | Boolean | “True” or “False”| |Sharing-Enabled-for-Employee-User |Indicates whether an employee user can share a file from a storage zone based on the result of the Data Loss Prevention (DLP) scan. |Boolean | “True” or “False”| |Start-Date |Indicates the date from which the report is generated for your Content Collaboration account. |String |“2021-05-23T04:00:00+00:00” | |Title |Indicates the title of the report generated for your Content Collaboration account. |String | Test report| |Trusted-Domains |Indicates the domains that are allowed for iframe embedding and Cross-Origin Resource Sharing. |String |citrix.com | | Upload-File-Size | Indicates the size (in Kilobytes) of the file uploaded by the user. | Number | 10 KB | | User-Email | Indicates the email address of the user who triggered the event. | String | testuser@citrix.com | | User-Name | Indicates the name of the user who triggered the event. | String | kevin.smith@citrix.com | | Virus-Name | Indicates the name of the malware that has infected the file. | String | {HEX}EICAR.TEST.3.UNOFFICIAL |

Self-Service-Suche für Content Collaboration