Citrix Analytics für Sicherheit

Self-Service-Suche für Content Collaboration

Verwenden Sie die Self-Service-Suche, um Einblicke in die Benutzerereignisse zu erhalten, die von der Content Collaboration Wenn Benutzer den Content Collaboration Service verwenden, werden Ereignisse wie Anmelden, Löschen, Herunterladen und Hochladen generiert. Citrix Analytics for Security empfängt diese Ereignisse und zeigt sie auf der Self-Service-Suchseite an. Sie können die Benutzer und ihre Aktivitäten verfolgen.

Weitere Informationen zu den Suchfunktionen finden Sie unter Self-Service-Suche.

Wählen Sie die Datenquelle Content Collaboration

Um die Content Collaboration Events anzuzeigen, wählen Sie Content Collaboration aus der Liste. Standardmäßig zeigt die Self-Service-Seite die Ereignisse für den letzten Tag an. Sie können auch den Zeitraum auswählen, für den Sie die Ereignisse anzeigen möchten.

Content Collaboration wählt

Wählen Sie die Facetten aus, um Ereignisse zu filtern

Verwenden Sie die folgenden Facetten, die den Ereignissen Content Collaboration zugeordnet sind.

  • Dateigröße herunterladen- Gibt die Größe der von Content Collaboration heruntergeladenen Datei an.

  • Ereignisart- Zeigt die Arten von Benutzeraktivitäten an, z. B. Dateiupload, Dateidownload, Erstellen von Freigabelinken, Sitzungsanmeldung, Ordnererstellungen und Löschen von Freigabelinken.

    Facetten für die Inhaltszusammenarbeit

Angeben der Suchabfrage zum Filtern von Ereignissen

Platzieren Sie den Cursor in das Suchfeld, um die Liste der Dimensionen für die Content Collaboration Events anzuzeigen. Verwenden Sie die Dimensionen und die Operatoren, um Ihre Abfrage anzugeben und nach den erforderlichen Ereignissen zu suchen.

Dimensionen für die Zusammenarbeit

Sie möchten beispielsweise nach Ereignissen suchen, die aus Indien stammen, und die Dateigröße ist größer als 900.000 Byte. Geben Sie die folgende Abfrage wie in der Abbildung gezeigt an.

  1. Geben Sie “Co” in das Suchfeld ein, um die entsprechenden Vorschläge zu erhalten.

    Suchanfrage 1 zur Zusammenarbeit von Inhalten

  2. Wählen Sie Land und geben Sie mit dem Gleichheitsoperator den Wert “Indien” ein.

    Suchanfrage 2 zur Zusammenarbeit von Inhalten

    Suchanfrage zur Zusammenarbeit von Inhalten 3

  3. Wählen Sie den Operator UND und wählen Sie dann die Dimension Dateigröße aus. Wählen Sie den Operator ** und geben Sie den Wert für die Dateigröße in Byte ein.

    Suchanfrage zur Zusammenarbeit von Inhalten 4

  4. Wählen Sie den Zeitraum aus, und klicken Sie auf Suchen, um die Ereignisse in der Tabelle DATA anzuzeigen.

Überwachungsprotokolle

Die Überwachungsprotokolle bieten Einblicke in die Berechtigungen und Aktionen, die von den Content Collaboration Administratoren auf die Benutzerkonten angewendet werden Mithilfe dieser Daten können Sie überprüfen, ob die Content Collaboration-Administratoren gültige Maßnahmen für die Benutzerkonten ergriffen haben.

In der Self-Service-Suche können Sie die folgenden Überwachungsprotokolle anzeigen.

Hinweis

Um diese Protokolle in Citrix Analytics zu erhalten, müssen Sie den Citrix Content Collaboration Service in Citrix Workspace integrieren.

Ereignis Attribute
Verteilergruppe erstellen Gruppen-ID, Gruppe freigegeben, Clientbetriebssystem, Client-IP, Gruppenname, Besitzer-ID, Benutzer-E-Mail
Verteilergruppe löschen Gruppen-ID, Gruppenname
Update Verteilergruppe Gruppen-ID, wird geteilt
DLP-Update, DLP-Richtlinien-Update DLP aktiviert, Clientbetriebssystem, Client-IP, Gespeichertes Format, Download für anonymen Benutzer aktiviert, Download für Clientbenutzer aktiviert, Freigabe für Clientbenutzer aktiviert, Freigabe für Mitarbeiterbenutzer aktiviert, Freigabe für
Update der Anmelde- und Sicherheitsrichtlinie Vertrauenswürdige Domänen, Benutzername, Clientbetriebssystem, Client-IP, Benutzer nach Aktivität abmelden, Maximale fehlgeschlagene Anmeldungen, Sperrdauer, Zwei-Faktor-Authentifizierung für Benutzer aktiviert, Zwei-Faktor-Authentifizierung für Mitarbeiter aktiviert, Zwei-Faktor-Authentifizierung aktiviert, Benutzer-E-Mail
Bericht erstellen, Bericht aktualisieren, Bericht löschen Erstellungsdatum, Enddatum, Berichtstitel, Wiederkehrende Häufigkeit, enthaltene Unterordner, Wiederkehrend, Planbericht, Datum der letzten Ausführung, Berichtstyp, Gespeichertes Format, Gespeicherter Ordner, Startdatum
Aktualisierung der SSO-Einstellungen Aktive Profilcookies, Client-OS, Client-IP, IP-Einschränkungen, aktiviertes SSO, Anmelde-URL, Abmelde-URL, IdP-Typ, SP-initiierter Authentifizierungskontext, SP-initiierte Authentifizierungsmethode, Benutzer-E-Mail, SP-initiierte Umleitungsmethode, aktivierte Webauthentifizierung

Malware-Protokolle

Das Malware-Ereignis File.VirusInfected wird ausgelöst, wenn eine von einem Content Collaboration-Benutzer hochgeladene Datei mit einer Malware infiziert ist. Die folgenden Protokolle sind spezifisch für das Malware-Ereignis.

Ereignis Attribute
File.VirusInfected Name des Erstellers der Datei, Name des Dateibesitzers, E-Mail-Adresse des Dateierstellers, E-Mail-Adresse des Dateibesitzers, Dateigröße, Name des freigegebenen Ordners, Dateipfad, Erstellungsdatum der Datei, Datei-Hash, Datei-ID, Virenname

Unterstützte Dimensionen für Ihre Suchanfrage

In der folgenden Tabelle werden die Dimensionen beschrieben, die Sie in den Self-Service-Suchereignissen anzeigen können. Sie können diese Dimensionen für die Definition Ihrer Suchanfrage verwenden.

|Feld | Beschreibung | Werttyp | Beispiel | |——|——-|———|———-| | Account-ID | Zeigt die Konto-ID des Benutzers an. | Zeichenfolge | adb8477a-6bf1-2108-fa4b-55dea0b8c44c | | Active-Account| Zeigt an, ob das Benutzerkonto aktiv ist. | Boolesch | “Richtig” oder “falsch” | | Active-Profile-Cookies | Gibt an, ob die erweiterten Einstellungen von den aktiven Clients von Content Collaboration wie mobilen Clients, Sync Engine und Outlook Plug-In verwendet werden. Dieser Parameter kann erforderlich sein, um die Auswahl in bestimmten IdP-Konfigurationen zu automatisieren. | Zeichenfolge | | Alias-ID | Zeigt die Alias-ID des Benutzers an. | Zeichenfolge | testuser1 | | Bytes-Total | Gibt die Gesamtgröße (KB) der heruntergeladenen Datei an. Wenn mehrere Dateien gleichzeitig heruntergeladen werden (Batch-Download), gibt die Byte-Gesamtzahl die Gesamtgröße aller heruntergeladenen Dateien an. | Zahl | 105 | | City | Gibt die Stadt an, von der aus sich der Benutzer beim Content Collaboration Service angemeldet hat. | Zeichenfolge | Chicago | | Client-IP | Zeigt die IP-Adresse des Netzwerks des Benutzers an. | Zeichenfolge | 172.xxx.xxx.xx | | Client-OS | Zeigt das Betriebssystem des Geräts des Benutzers an. | Zeichenfolge | Windows 10 | | Company-Name | Zeigt den Unternehmensnamen des Benutzerkontos an. | Zeichenfolge | Citrix | | Copy ID | Zeigt die Identität des Dateikopiervorgangs in Content Collaboration an. | Zeichenfolge | eif8c79f-fa87-0440-87b2-a0994eb029 | | Country | Gibt das Land an, aus dem sich der Benutzer beim Content Collaboration Service angemeldet hat. | Zeichenfolge | Vereinigte Staaten | | Create-Date | Gibt das Datum und die Uhrzeit an, zu der der Bericht erstellt wird. | Zeichenfolge | 2021-05-25T13:54:36.167 | | Created-By | Gibt den Benutzer an, der den Bericht erstellt hat. | Zeichenfolge | user1 | | Creation-Date | Zeigt das Datum an, an dem das Ereignis stattgefunden hat. | Zeichenfolge | 2021-08-20T14:44:46.6161227+00:00 | | Creator-ID | Gibt die ID des Benutzers an, der den Bericht erstellt hat. | Zeichenfolge | 77f300f8-8d89-4891-bb58 | | Delete-Single-Version | Zeigt an, ob eine einzelne Dateiversion gelöscht wurde. | Boolesch | “Richtig” oder “falsch” | | Destination-File-Path | Zeigt den Zielpfad an, in den die Datei verschoben oder kopiert wurde. | Zeichenfolge | /0106-copy/123.xlsx | | Destination-Parent-Folder-ID| Zeigt die ID des übergeordneten Ordners am Zielspeicherort an, in den die Datei kopiert oder verschoben wurde.| Zeichenfolge | fo674450-087d-42a0-8d26-de8838a04dae | | Destination-Path-ID| Zeigt die ID des Zielpfads an, in den die Datei kopiert oder verschoben wurde. | Zeichenfolge | /accountID/folderID/folderID/itemId | | Destination-Zone-ID | Zeigt die Zonen-ID des Zielpfads an, in den die Datei kopiert oder verschoben wurde. | Zeichenfolge | zp16ffd530-c756-44ca-9f59-7ed3376e37 | | Device-ID | Zeigt die ID des Geräts an, das dem Zwei-Faktor-Authentifizierungsereignis zugeordnet ist | Zeichenfolge | 450-087d-42a0-8d26-de88 | | Disable-User-Account | Zeigt an, ob das Benutzerkonto deaktiviert ist. | Boolesch | “Richtig” oder “falsch” | |Download-Enabled-for-Anonymous-User|Gibt an, ob ein anonymer Benutzer eine Datei aus einer Speicherzone herunterladen kann, basierend auf dem Ergebnis des Data Loss Prevention (DLP) -Scans. | Boolesch| “Richtig” oder “falsch”| |Download-Enabled-for-Client-User | Gibt basierend auf dem Ergebnis des Data Loss Prevention (DLP) -Scans an, ob ein Clientbenutzer eines Drittanbieters eine Datei aus einer Speicherzone herunterladen kann. | Boolesch | “Richtig” oder “falsch” | |Download-Enabled-for-Employee-User| Gibt an, ob ein Mitarbeiterbenutzer eine Datei aus einer Speicherzone herunterladen kann, basierend auf dem Ergebnis des Data Loss Prevention (DLP) -Scans. |Boolesch | “Richtig” oder “falsch”| | Download-File-Size | Gibt die Größe (in KB) der vom Benutzer heruntergeladenen Datei an | Zahl | 10,8 KB | | Enabled-Web-Authentication | Gibt an, ob SAML IdP für die webbasierte Authentifizierung konfiguriert ist und das Benutzerkonto ShareFile Sync. für Windows, ShareFile Sync für Mac oder das ShareFile Outlook-Plug-In verwendet. | Zeichenfolge | “Richtig” oder “falsch” | | Enabled-Two-Factor-Auth | Gibt an, ob die Zwei-Faktor-Authentifizierungsfunktion entweder für Mitarbeiter- oder Clientbenutzer aktiviert ist. | Zeichenfolge | “Richtig” oder “falsch” | | Enabled-Two-Factor-Auth-for-Employees | Zeigt an, ob die Zwei-Faktor-Authentifizierung für Mitarbeiter aktiviert ist. | Zeichenfolge | “Richtig” oder “falsch” | | Enabled-Two-Factor-Auth-for-Users | Gibt an, ob Zwei-Faktor-Authentifizierung für Clientbenutzer aktiviert ist | Zeichenfolge | “Richtig” oder “falsch” | | End-Date| Indicates the date after which the report is not generated for your Content Collaboration account. |“2021-05-23T04:00:00+00:00” | | Event-ID | Indicates the unique identity associated with a user event. | String | 77f300f8-8d89-4891-bb58-53b05c44766d | | Event-Type | Indicates the types of user activities such as file upload, file download, share link create, session login, folder create, and share link delete. | String | File.Upload, Session.Login, Share.Create | | Event-User-ID | Indicates the ID of the user who triggered the event. | String | 8d89-4891-bb58-53b05 | | Expiration-Date | Indicates the expiry date of the event. | String | 2022-01-10T13:35:22.313236Z | | File-Creation-Date | Indicates the date when the infected file is created. | String | 2021-05-25T13:54:36.16 | | File-Creator-Email-Address | Indicates the email ID of the user who originally created the file that is infected with a malware. | String | user1@citrix.com | | File-Creator-Name | Indicates the user name who originally created the file that is infected with a malware. | String | User1 | | File-Download-ID | Indicates the ID of the file download event. | String | dta152b49ddc7542a0a9fe2e | | File-Format | Indicates the format of the file that is shared or downloaded. | String | .csv, .png, .jpeg, .txt | | File-Hash| Indicates the MD5 hash of a file that is uploaded. | String | 88e300f8-8d89-4891-bb58 | | File-ID | Indicates the unique ID of the infected file. | String | fib0257-1bd802-0707-44c12 | | File-Name | Indicates the name of the file shared, uploaded, or downloaded by the user. | String | Usage Report 2021 | | File-Owner-Name | Indicates the current owner of the infected file. | String | User2 | | File-Owner-Email-Address | Indicates the email ID of the current owner of the infected file. | String | user2@citrix.com | | File-Path | Indicates the path of the infected file in Content Collaboration. | String | /testfolder/test-file.pdf | | File-Size | Indicates the size of the infected file in bytes. | Number | 10 B | | First-Name |Indicates the first name of the user that is specified while creating the user account. | String | Joe | | Folder-ID | Indicates the ID of the folder created on Content Collaboration. | String | 8d89-4891-bb58-53b05c | | Folder-Name | Indicates the name of the folder that is being archived, created, deleted, or updated. | String | test-folder | | Folder-Path | Indicates the path where the folder is created. | String | /analytics/security/sharefile/2022/new folder | | Frequency| Indicates the recurring frequency of the report that is generated for your Content Collaboration account. | String | “Daily”, “Weekly”, or “Monthly” | |Group-ID| Indicates the ID of the Distribution Group.| String |g0183f52-f219-4816-9b8e-9584e504a083 | |Group-Name| Indicates the name of the Distribution Group. | String| Test group 1 | | IdP-Type | Indicates the type of identity provider configured for the user. | String | | | IP | Indicates the IP address of the user. | String | 172.xx.xxx.xxx | | IP-Restrictions | Indicates the IP addresses from which the users are restricted from signing in to their Content Collaboration accounts. | | | | Inactive-Logout-Duration | Indicates the duration of inactivity after which the inactive users are logged out of their account. Die Dauer wird in Minuten gemessen. By default, this duration is set to 1 hour (60 minutes).| Number | 60 | | Include-Sub Folders| Indicates whether the report is created for a selected folder and its sub folders. |Boolean | “True” or “False” | | Infected-File-Hash | Indicates the hash value of the infected file. | String | 88e300f8-8d89-4891-bb58 | |Is-Active| Indicates if single sign-on is enabled for non-administrator employees using your IdP. |Boolean | “True” or “False” | | Is-Employee | Indicates if the user is an employee of your organization. | String | “True” or “False” | | Is-Enabled | Indicates whether Data Loss Prevention is enabled for your Content Collaboration account. | Boolean| “True” or “False” | |Is-Recurring| Indicates whether the report generates after a regular interval. | Boolean | “True” or “False”| |Is-Scheduled|Indicates whether the report is scheduled. |Boolean |“True” or “False” | | Is-Shared | Indicates if the Distribution Group sharing is enabled for all employees. | String | “True” or “False” | | Last-Name | Indicates the last name of the user that is specified while creating the user account. | String | Smith | |Last-Run-Date| Indicates when the report was last generated.| String | “0001-01-01T00:00:00”| | Lock-ID | Indicates the ID of the file lock event. | String | cb36113c468a8c29c48 | | Lock-Type | Indicates the type of file lock. | String | Coauth Lock: Multiple users can use the lock file in the specified way.| | | | |Hard Lock: Exclusive lock | | Locked-Out-Duration | Indicates the duration for which the user is locked out of their account when they failed to log on and exceeded the maximum allowed logon attempts. The duration is measured in seconds. | Number | 120 | | Login-URL | Indicates the URL of the user’s IdP assertion consumer service. | String | https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=fa7a185d-d748-459| | Logout-URL | Indicates the URL that Content Collaboration use when a user logs out of their single sign-on session. | String | https://secure.sharefiletest.com | | Maximum-Failed-Attempts| Indicates the maximum number of attempts a user is allowed to enter an invalid password before being locked out of the account for a specific time period. | Number | 5 | | Maximum-Download-per-User | Indicates the maximum number of downloads allowed per user from a share link. | 1, 2, 3 | | Notify Sender | Indicates whether the file share notification is sent to the sender. | Boolean | “True” or “False” | | OAuth-Client-ID | Indicates the unique ID of the user that uses the authorization server. | String |Dzi4UPUAg5l8beKjioecdchmHUTWWln9 | | Operation-Name | Indicates the types of operations performed on Content Collaboration. | String | Create, Delete, Upload, Download, Share, Login, Copy, Update | | Owner-ID | Indicates the owner ID of the Distribution Group. | String | 10812e09-ab02-4115-8405-8uas5e71258f | |Parent-Folder-ID | Indicates the ID of the parent folder in the source location from where the file is copied or moved | String | fo674450-087d-42a0-8d26-de8838a04dae| | Path ID | Indicates the ID of the source path from where the file is copied or moved. | String |/accountID/folderID/folderID/itemID | |Permanently-Delete | Indicates whether the file is deleted permanently. | Boolean | “True” or “False” | | Primary-Email | Indicates the email of the user who triggered the event | String | testuser@citrix.com | | Recipient-ID | Indicates the ID of the first recipient user in a share event. | String | 10812e09-ab02-4115-8405| |Report-Type| Indicates the type of report that is created. The following are the report type and its corresponding ID. | Number | 0, 2, 10 | | |0- Access report | | | | |1- Activity report | | | | |2- Storage report | | | | |3- Messaging report | | | | |4- Bandwidth detail report | | | | |5- Bandwidth summary report | | | | |6- Encrypted email report | | | | |7- Storage summary report | | | | |8- User summary report | | | | |9- Access change report | | | | |10- Share send report | | | | |11- Share request report | | | | Require-Login | Indicates whether user login is required to access the share link. | Boolean | “True” or “False” | | Require-User-Info | Indicates whether user information is required to access the share link. | Boolean | “True” or “False” | | Resource-ID | Indicates the ID of the resource. | String | 6bf1-2108-fa4b-55dea0b | | Resource-Type | Indicates the resources on which operations are performed. |String | File, Users, Session, Account | | Shared-Folder-Name | Indicates the shared folder in which the infected file is uploaded. | String | test folder | | SP-Initiated Auth Context | Indicates the comparison level for the authentication context. Der IdP muss mit der ausgewählten Authentifizierungsmethode übereinstimmen, wenn der “exakte” Vergleich verwendet wird. Or a higher relative strength method when the “Minimum” comparison is used. | String | “Minimum” or “Exact” | | SP-Initiated-Auth-Method | Indicates the method for the authentication context. Based on the selection, it can be Unspecified, User Name and Password, Password Protected Transport, Transport Layer Security Client, X.509 Certificate, Integrated Windows Authentication, or Kerberos. | String | urn:oasis:names:tc:SAML:2.0:ac:classes:Password | | SP-Initiated-Redirect-Method | Indicates the method of SP initiated redirection based on the size of the certificate provided by Content Collaboration. | String | “Default”, “HTTP” or “POST” | |Save-Format|Indicates the format of the saved report. |String |“Excel” or “CSV”| | Save-To-Folder| Indicates whether the report should be saved in a particular folder. | Boolean | “True” or “False” | | Server-Name | Indicates the server from where the file is downloaded or shared. | String | Citrix-SZC | | Share-Type | Indicates the type of share link. Der Typ kann entweder “Senden” oder “Anfrage” sein. Send Shares werden verwendet, um Dateien und Ordner an die angegebenen Benutzer zu senden. Request shares are used to allow users to upload files to a location specified by the share owner. | 0: Request, 1: Send | 0, 1 | | Shared-Folder-Name | Indicates the name of the shared folder. | String | test folder | |Sharing-Enabled-for-Client User|Indicates whether a third party client user can share a file from a storage zone based on the result of the Data Loss Prevention (DLP) scan. | Boolean | “True” or “False”| |Sharing-Enabled-for-Employee-User |Indicates whether an employee user can share a file from a storage zone based on the result of the Data Loss Prevention (DLP) scan. |Boolean | “True” or “False”| |Start-Date |Indicates the date from which the report is generated for your Content Collaboration account. |String |“2021-05-23T04:00:00+00:00” | | Storage-Center-Server|Indicates the host name of the client server from where the file is downloaded. |String |sf-downloadstreamer-sharefile-us.test.com | | Stream-ID | Indicates the ID of the item stream. Ein Element repräsentiert eine einzelne Version eines Dateisystemobjekts. Der Stream identifiziert alle Versionen desselben Dateisystemobjekts. Wenn Benutzer beispielsweise eine vorhandene Datei hochladen oder ändern, wird ein neues Element mit derselben Stream-ID erstellt. All item enumerations return only the latest version of a given stream. | String | st279e5d-cahg-4f8-824f-34a3704840c | | Support-File-Versioning | Indicates whether there are multiple versions of the file that has been uploaded. | Boolean | “True” or “False” | | Template-Based-Folder | Indicates whether the folder is created from a predefined folder template. | Boolean | “True” or “False” | |Title |Indicates the title of the report generated for your Content Collaboration account. |String | Test report| |Trusted-Domains |Indicates the domains that are allowed for iframe embedding and Cross-Origin Resource Sharing. |String |citrix.com | | Upload-File-Size | Indicates the size (in Kilobytes) of the file uploaded by the user. | Number | 10 KB | | Upload-ID | Indicates the ID of the file upload operation. | String | st279e5d-cahg-4f8-824f-34a3704840c | | User-Email | Indicates the email address associated with the Citrix Analytics account. | String | testuser@citrix.com | | User-ID |Indicates the ID of the user who shared the file. | String | test user | | User-Name | Indicates the name of the user who triggered the event. | String | kevin.smith@citrix.com | | View-only | Indicates whether the download file is in the read-only mode. | Boolean | “True” or “False” | | Virus-Name | Indicates the name of the malware that has infected the file. | String | {HEX}EICAR.TEST.3.UNOFFICIAL | | Watermark | Indicates whether the download file contains a watermark. | Boolean | “True” or “False” | | Zone-ID | Indicates the ID of the storage zone where the folder is located | String | zpB65440AE-4FBC-4405-BE2F-2B9CDE962C82 |

Self-Service-Suche für Content Collaboration