Citrix Analytics für Sicherheit

Citrix Analytics-Datenexportformat für SIEM

February 3, 2023

Beitrag von:

Mit Citrix Analytics for Security können Sie sich in Ihre Sicherheitsinformationen- und Ereignisverwaltungsdienste (SIEM) integrieren. Diese Integration ermöglicht es Citrix Analytics for Security, Daten an Ihre SIEM-Services zu senden, und hilft Ihnen, Einblicke in die Sicherheitsrisikosituation Ihres Unternehmens zu erhalten.

Derzeit können Sie Citrix Analytics for Security in die folgenden SIEM-Dienste integrieren:

Die Option Datenexporte ist jetzt global unter Einstellungenverfügbar. Um die Datenquellenereignisse anzuzeigen, navigieren Sie zu Einstellungen > Datenexporte > Datenquellenereignisse.

Datenexport

Es gibt zwei Arten von Risk Insights-Daten, die von Citrix Analytics for Security an Ihren SIEM-Dienst gesendet werden:

Ereignisse mit Risikoeinblicken (Standardexporte)
Datenquellenereignisse (optionale Exporte)

Daten zu Risikoeinblicken für SIEM

Sobald Sie die Kontokonfiguration und SIEM-Einrichtung abgeschlossen haben, fließen Standarddaten (Risk Insights-Ereignisse) in Ihre SIEM-Bereitstellung. Risk Insights-Daten enthalten Benutzerrisikobewertungen, Benutzerprofile und Risikoindikatorwarnungen. Diese werden vom Citrix Analytics-Algorithmus für maschinelles Lernen, Benutzerverhaltensanalyse und basierend auf Benutzerereignissen generiert.

Die Risk Insights-Daten eines Benutzers umfassen Folgendes:

Änderung des Risiko-Scores - Die Differenz zwischen dem aktuellen Risiko-Score und dem vorherigen Risikowert eines Benutzers. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder mehr als drei ist und diese Änderung zunimmt oder um mehr als 10% sinkt, werden die Daten an den SIEM-Dienst gesendet.
Zusammenfassung des Risikoindikators - Die Details des Risikoindikators, der mit einem Benutzer verbunden ist.
Ereignisdetails des Risikoindikators - Die Details der Benutzerereignisse, die mit einem Risikoindikator verbunden sind. Citrix Analytics sendet maximal 1000 Ereignisdetails für jedes Auftreten von Risikoindikatoren an Ihren SIEM-Dienst. Diese Ereignisse werden in der chronologischen Reihenfolge des Auftretens gesendet, in die die ersten Ereignisdetails des Risikoindikators mit 1000 Risikoindikatoren gesendet werden.
Benutzerrisiko-Score — Der aktuelle Risikowert eines Benutzers. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an den SIEM-Dienst.
Benutzerprofil — Die Benutzerprofildaten können unterteilt werden in:
- Benutzerapps - Die Anwendungen, die ein Benutzer gestartet und verwendet hat. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps ab und sendet sie alle 12 Stunden an den SIEM-Dienst.
- Verwendung von Benutzerdaten — Die von einem Benutzer über Citrix Content Collaboration hochgeladenen und heruntergeladenen Daten. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an den SIEM-Dienst.
- Benutzergerät — Die Geräte, die einem Benutzer zugeordnet sind. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps und Citrix Endpoint Management ab und sendet sie alle 12 Stunden an den SIEM-Dienst.
- Benutzerstandort - Die Stadt, in der ein Benutzer zuletzt erkannt wurde. Citrix Analytics for Security ruft diese Daten von Citrix Content Collaboration ab. Citrix Analytics for Security sendet diese Informationen alle 12 Stunden an Ihren SIEM-Service.

Wenn Sie nur anzeigen, aber nicht konfigurieren können, verfügen Sie nicht über alle Zugriffsberechtigungen und das Konto ist für Sie deaktiviert. Im folgenden Beispiel ist die Schaltfläche “Änderungen speichern” deaktiviert. Sie können jedoch die detaillierten Informationen erhalten, dass es eine Reihe von Standardereignissen gibt, die an die SIEM-Umgebung und Risk Insights weitergeleitet werden. Die Risk Insight-Ereignisse sind standardmäßig aktiviert.

Daten zu Risikoeinblicken

Schemadetails der Risk Insights-Ereignisse

Im folgenden Abschnitt wird das Schema der verarbeiteten Daten beschrieben, die von Citrix Analytics for Security generiert werden.

Hinweis

Die in den folgenden Schemabeispielen angezeigten Feldwerte dienen nur zu repräsentativen Zwecken. Die tatsächlichen Feldwerte variieren je nach Benutzerprofil, Benutzerereignissen und dem Risikoindikator.

In der folgenden Tabelle werden die Feldnamen beschrieben, die im Schema für alle Benutzerprofildaten, den Benutzerrisikowert und die Änderung der Risikobewertung üblich sind.

Feldname	Beschreibung
`entity_id`	Die mit der Entität verbundene Identität. In diesem Fall ist die Entität der Benutzer.
`entity_type`	Das Unternehmen in Gefahr. In diesem Fall ist die Entität der Benutzer.
`event_type`	Die Art der Daten, die an Ihren SIEM-Dienst gesendet werden. Zum Beispiel: Standort des Benutzers, die Datennutzung des Benutzers oder die Gerätezugriffsinformationen des Benutzers.
`tenant_id`	Die einzigartige Identität des Kunden.
`timestamp`	Datum und Uhrzeit der letzten Benutzeraktivität.
`version`	Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.

Datenschema des Benutzerprofils

Benutzerstandortschema

{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}

<!--NeedCopy-->

Feldbeschreibung für Benutzerstandort

Feldname	Beschreibung
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp der Standort des Benutzers.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`city`	Die Stadt, von der aus sich der Benutzer angemeldet hat.
`cnt`	Die Häufigkeit, wie oft auf den Standort in den letzten 12 Stunden zugegriffen wurde.

Nutzungsschema für Benutzerdaten

{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}

<!--NeedCopy-->

Feldbeschreibung zur Verwendung von Benutzerdaten

Feldname	Beschreibung
`data_usage_bytes`	Die vom Benutzer verwendete Datenmenge (in Byte). Es ist das Aggregat des heruntergeladenen und hochgeladenen Volumes für einen Benutzer.
`deleted_file_cnt`	Die Anzahl der vom Benutzer gelöschten Dateien.
`downloaded_bytes`	Die vom Benutzer heruntergeladene Datenmenge.
`downloaded_file_count`	Die Anzahl der vom Benutzer heruntergeladenen Dateien.
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp das Nutzungsprofil des Benutzers.
`shared_file_count`	Die Anzahl der vom Benutzer freigegebenen Dateien.
`uploaded_bytes`	Die vom Benutzer hochgeladene Datenmenge.
`uploaded_file_cnt`	Die Anzahl der vom Benutzer hochgeladenen Dateien.

Schema des Benutzergeräts

{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}

<!--NeedCopy-->

Feldbeschreibung für Benutzergerät.

Feldname	Beschreibung
`cnt`	Die Häufigkeit, wie oft auf das Gerät in den letzten 12 Stunden zugegriffen wird.
`device`	Der Name des Geräts.
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall sind der Ereignistyp die Gerätezugriffsinformationen des Benutzers.

Benutzer-App-Schema

{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}

<!--NeedCopy-->

Feldbeschreibung für Benutzer-App.

Feldname	Beschreibung
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall sind der Ereignistyp die Gerätezugriffsinformationen des Benutzers.
`session_domain`	Die ID der Sitzung, an der sich der Benutzer angemeldet hat.
`user_samaccountname`	Der Anmeldename für Clients und Server einer früheren Version von Windows wie Windows NT 4.0, Windows 95, Windows 98 und LAN Manager. Dieser Name wird verwendet, um sich bei Citrix StoreFront anzumelden und sich auch bei einem Remote-Windows-Computer anzumelden.
`app`	Der Name der Anwendung, auf die der Benutzer zugegriffen hat.
`cnt`	Die Häufigkeit, wie oft auf die Anwendung in den letzten 12 Stunden zugegriffen wird.

Schema der Benutzerrisikobewertung

{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}

<!--NeedCopy-->

Feldbeschreibung für Benutzerrisiko-Score.

Feldname	Beschreibung
`cur_riskscore`	Der aktuelle Risikowert, der dem Benutzer zugewiesen wurde. Die Risikobewertung variiert je nach Bedrohungsschweregrad, der mit der Aktivität des Benutzers verbunden ist, zwischen 0 und 100.
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Risikobewertung des Benutzers.
`last_update_timestamp`	Der Zeitpunkt, zu dem die Risikobewertung zuletzt für einen Benutzer aktualisiert wurde.
`timestamp`	Der Zeitpunkt, zu dem das Benutzerrisiko-Score-Ereignis erfasst und an Ihren SIEM-Dienst gesendet wird. Dieses Ereignis wird alle 12 Stunden an Ihren SIEM-Service gesendet.

Schema der Risikobewertung ändern

Beispiel 1:

{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}

<!--NeedCopy-->

Beispiel 2:

{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}

<!--NeedCopy-->

Feldbeschreibung für die Änderung des Risiko-Scores.

Feldname	Beschreibung
`alert_message`	Die Meldung, die für die Änderung des Risiko-Scores angezeigt wird.
`alert_type`	Gibt an, ob die Warnung auf eine Erhöhung der Risikobewertung oder einen signifikanten Rückgang des Risiko-Score-Prozentsatzes dient. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder mehr als drei ist und diese Änderung zunimmt oder um mehr als 10% sinkt, werden die Daten an den SIEM-Dienst gesendet.
`alert_value`	Ein numerischer Wert, der für die Änderung des Risiko-Score zugewiesen wurde. Die Änderung der Risikobewertung ist die Differenz zwischen dem aktuellen Risiko-Score und dem vorherigen Risiko-Score für einen Benutzer. Der Alarmwert variiert zwischen -100 und 100.
`cur_riskscore`	Der aktuelle Risikowert, der dem Benutzer zugewiesen wurde. Die Risikobewertung variiert je nach Bedrohungsschweregrad, der mit der Aktivität des Benutzers verbunden ist, zwischen 0 und 100.
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Änderung des Risiko-Score des Benutzers.
`timestamp`	Das Datum und die Uhrzeit, zu der die letzte Änderung des Risiko-Score für den Benutzer erkannt wird.

Risikoindikator-Schema

Das Risikoindikatorschema besteht aus zwei Teilen: einem zusammenfassenden Indikatorschema und einem Detailschema für Indikator Basierend auf dem Risikoindikator ändern sich die Felder und ihre Werte im Schema entsprechend.

In der folgenden Tabelle werden die Feldnamen beschrieben, die für alle Indikatorzusammenfassungsschemas häufig sind.

Feldname	Beschreibung
`data source`	Die Produkte, die Daten an Citrix Analytics for Security senden. Zum Beispiel: Citrix Secure Private Access, Citrix Gateway und Citrix Apps and Desktops.
`data_source_id`	Die mit einer Datenquelle verknüpfte ID. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps und Desktops, ID 4 = Citrix Secure Private Access
`entity_type`	Das Unternehmen in Gefahr. Es kann ein Benutzer oder ein Freigabe-Link sein.
`entity_id`	Die ID, die mit dem gefährdeten Unternehmen verknüpft ist.
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Zusammenfassung des Risikoindikators.
`indicator_category`	Gibt die Kategorien von Risikoindikatoren an. Die Risikoindikatoren sind in eine der Risikokategorien unterteilt - kompromittierter Endpunkt, kompromittierte Benutzer, Datenexfiltration oder Insiderbedrohungen.
`indicator_id`	Die mit dem Risikoindikator verknüpfte eindeutige ID.
`indicator_category_id`	Die ID, die mit einer Risikoindikatorkategorie verknüpft ist. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierter Endpunkt
`indicator_name`	Der Name des Risikoindikators. Für einen benutzerdefinierten Risikoindikator wird dieser Name beim Erstellen des Indikators definiert.
`indicator_type`	Gibt an, ob der Risikoindikator Standard (eingebaut) oder benutzerdefiniert ist.
`indicator_uuid`	Die eindeutige ID, die mit der Risikoindikatorinstanz verbunden ist.
`indicator_vector_name`	Gibt den Risikovektor an, der einem Risikoindikator zugeordnet ist. Die Risikovektoren sind gerätebasierte Risikoindikatoren, standortbasierte Risikoindikatoren, Anmeldeausfallbasierte Risikoindikatoren, IP-basierte Risikoindikatoren, datenbasierte Risikoindikatoren, dateibasierte Risikoindikatoren und andere Risikoindikatoren.
`indicator_vector_id`	Die mit einem Risikovektor verknüpfte ID. ID 1 = Gerätebasierte Risikoindikatoren, ID 2 = Standortbasierte Risikoindikatoren, ID 3 = Anmeldeausfall-basierte Risikoindikatoren, ID 4 = IP-basierte Risikoindikatoren, ID 5 = Datenbasierte Risikoindikatoren, ID 6 = Dateibasierte Risikoindikatoren, ID 7 = Andere Risikoindikatoren und ID 999 = Nicht verfügbar
`occurrence_details`	Die Details über den Risikoindikator auslösenden Zustand.
`risk_probability`	Gibt die Risikowahrscheinlichkeit an, die mit dem Benutzerereignis verbunden sind. Der Wert variiert zwischen 0 und 1,0. Für einen benutzerdefinierten Risikoindikator beträgt die risk_wahrscheinlichkeit immer 1,0, da es sich um einen richtlinienbasierten Indikator handelt.
`severity`	Gibt den Schweregrad des Risikos an. Es kann niedrig, mittel oder hoch sein.
`tenant_id`	Die einzigartige Identität des Kunden.
`timestamp`	Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
`ui_link`	Der Link zur Benutzer-Timeline-Ansicht auf der Citrix Analytics-Benutzeroberfläche.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.

In der folgenden Tabelle werden die Feldnamen beschrieben, die im gesamten Schema der Indikatorereignisse üblich sind.

Feldname	Beschreibung
`data_source_id`	Die mit einer Datenquelle verknüpfte ID. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps und Desktops, ID 4 = Citrix Secure Private Access
`indicator_category_id`	Die ID, die mit einer Risikoindikatorkategorie verknüpft ist. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierter Endpunkt
`entity_id`	Die ID, die mit dem gefährdeten Unternehmen verknüpft ist.
`entity_type`	Das Unternehmen, das gefährdet ist. Es kann ein Benutzer oder ein Freigabe-Link sein.
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Details des Risikoindikatorereignisses.
`indicator_id`	Die mit dem Risikoindikator verknüpfte eindeutige ID.
`indicator_uuid`	Die eindeutige ID, die mit der Risikoindikatorinstanz verbunden ist.
`indicator_vector_name`	Gibt den Risikovektor an, der einem Risikoindikator zugeordnet ist. Die Risikovektoren sind gerätebasierte Risikoindikatoren, standortbasierte Risikoindikatoren, Anmeldeausfallbasierte Risikoindikatoren, IP-basierte Risikoindikatoren, datenbasierte Risikoindikatoren, dateibasierte Risikoindikatoren und andere Risikoindikatoren.
`indicator_vector_id`	Die mit einem Risikovektor verknüpfte ID. ID 1 = Gerätebasierte Risikoindikatoren, ID 2 = Standortbasierte Risikoindikatoren, ID 3 = Anmeldeausfall-basierte Risikoindikatoren, ID 4 = IP-basierte Risikoindikatoren, ID 5 = Datenbasierte Risikoindikatoren, ID 6 = Dateibasierte Risikoindikatoren, ID 7 = Andere Risikoindikatoren und ID 999 = Nicht verfügbar
`tenant_id`	Die einzigartige Identität des Kunden.
`timestamp`	Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
`version`	Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.
`client_ip`	Die IP-Adresse des Geräts des Benutzers.

Hinweis

Wenn ein Feldwert für ganzzahlige Datentypen nicht verfügbar ist, ist der zugewiesene Wert -999. Zum Beispiel "latitude": -999, "longitude": -999.

Wenn ein Feldwert des Zeichenfolgendatentyps nicht verfügbar ist, ist der zugewiesene Wert NA. Zum Beispiel "city": "NA", "region": "NA".

Citrix Secure Private Access-Risikoindikatorschema

Versuch, auf ein URL-Risikoindikatorschema auf der Sperrliste zuzugreifen

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:58Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Attempt to access blacklisted URL",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:44:59Z",
    "relevant_event_type": "Blacklisted External Resource Access"
  }

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:57:21Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "googleads.g.doubleclick.net",
  "executed_action": "blocked",
  "reason_for_action": "URL Category match",
  "client_ip": "157.xx.xxx.xxx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für “Versuch, auf URLS auf der Sperrliste zuzugreifen”.

Feldname	Beschreibung
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`executed_action`	Die Aktion, die auf die URL auf der Sperrliste angewendet wurde. Die Aktion umfasst Zulassen, Blockieren.
`reason_for_action`	Der Grund für das Anwenden der Aktion für die URL.

Risikoindikatorschema für übermäßige Datendownloads

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive data download",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "client_ip": "157.xx.xxx.xxx",
  "downloaded_bytes": 24000
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für übermäßige Datendownloads beschrieben.

Feldname	Beschreibung
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`data_volume_in_bytes`	Die Menge der Daten in Bytes, die heruntergeladen wird.
`relevant_event_type`	Gibt den Typ des Benutzerereignisses an.
`domain_name`	Der Name der Domäne, von der Daten heruntergeladen werden.
`downloaded_bytes`	Die Menge der Daten in Bytes, die heruntergeladen wird.

Ungewöhnliches Upload-Volumen-Risiko

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Unusual upload volume",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "client_ip": "157.xx.xxx.xxx",
  "uploaded_bytes": 24000
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für Ungewöhnliches Upload-Volume beschrieben.

Namen von Feldern	Beschreibung
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`data_volume_in_bytes`	Die Menge der Daten in Bytes, die hochgeladen wird.
`relevant_event_type`	Gibt den Typ des Benutzerereignisses an.
`domain_name`	Der Name der Domäne, in die Daten hochgeladen werden.
`uploaded_bytes`	Die Menge der Daten in Bytes, die hochgeladen wird.

Risikoindikatoren für Citrix Content Collaboration

Übermäßiger Zugriff auf sensible Dateien (DLP-Warnung)

Zusammenfassungsschema des Indikators

{
  
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_name": "Excessive access to sensitive files (DLP alert)",
  "indicator_category": "Data exfiltration",
  "risk_probability": 1.0,
  "version": 2,
  "severity": "low",
  "indicator_type": "builtin",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "event_count": 1,
    "observation_start_time": "2021-03-22T09:31:11Z"
    },
  "event_type": "indicatorSummary",
  "cas_consumer_debug_details": {"partition": 1, "offset":179528, "enqueued_timestamp": 1616406412459}
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  
  "tenant_id": "demo_tenant",
  "version": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "client_ip": "210.91.xx.xxx",
  "file_name": "filename.xls",
  "file_size_in_bytes": 178690,
  "event_type": "indicatorEventDetails",
}
<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für übermäßigen Zugriff auf sensible Dateien (DLP-Warnung).

Feldname	Beschreibung
`relevant_event_type`	Die Art des Ereignisses wie Download.
`event_count`	Die Anzahl der erkannten Download-Ereignisse.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`file_name`	Der Name der heruntergeladenen Datei.
`file_size_in_bytes`	Die Größe der heruntergeladenen Datei in Byte.

Risikoindikatorschema für übermäßiges Löschen von Dateien oder Ordnern

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "28c4bbab-f3ad-5886-81cd-26fef200d9d7",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T11:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file / folder deletion",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "cumulative_event_count_day": 11,
    "relevant_event_type": "File and/or Folder Delete",
    "observation_start_time": "2017-12-18T11:00:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "be9af43f-29d2-51cd-81d6-c1d48b392bbb",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T01:45:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "210.91.xx.xxx",
  "version": 2,
  "resource_type": "File",
  "resource_name": "Filename21",
  "component_name": "Platform"
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für übermäßiges Löschen von Dateien oder Ordnern beschrieben.

Namen von Feldern	Beschreibung
`cumulative_event_count_day`	Die Anzahl der eindeutigen Löschereignisse für Dateien oder Ordner für den aktuellen Tag.
`relevant_event_type`	Gibt den Typ des Ereignisses an, z. B. die Datei- oder Ordnerlöschung.
`resource_type`	Gibt an, ob es sich bei der Ressource um eine Datei oder ein Ordner handelt.
`resource_name`	Der Name der Ressource.
`component_name`	Gibt die ShareFile-Komponente an - Plattform oder Connector. Wenn ein Benutzer Dateien aus dem von ShareFile verwalteten Cloud-Speicher löscht, wird die Komponente als “Plattform” angezeigt. Wenn ein Benutzer Dateien aus einer Speicherzone löscht, wird die Komponente als “Connector” angezeigt.
`connector_type`	Der Typ des verwendeten StorageZone Connectors.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`region`	Die Region, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Schema des Risikoindikators für übermäßige

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "3d421659-ef4d-5434-94b8-90f792e81989",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T06:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.19621421,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file sharing",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-03T06:00:00Z",
    "relevant_event_type": "Share Create and/or Send",
    "cumulative_event_count_day": 15
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "c5ea0b26-ce4c-55ad-b8ba-d562f128a2fb",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T02:22:04Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_tenant",
  "version": 2,
  "share_id": "share110",
  "operation_name": "Create",
  "tool_name": "SFWebApp",
  "component_name": "Platform",
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für übermäßige Dateifreigabe spezifisch sind.

Feldname	Beschreibung
`cumulative_event_count_day`	Die Anzahl eindeutiger Dateien, die tagsüber freigegeben wurden.
`relevant_event_type`	Gibt die Art des Ereignisses an, z. B. Links freigeben.
`share_id`	Die mit dem Freigabe-Link verknüpfte ID.
`operation_name`	Zeigt die Benutzeraktivitäten an, wie zum Beispiel Freigabe-Link erstellen, Freigabe-Link löschen.
`tool_name`	Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.
`component_name`	Gibt die ShareFile-Komponente an - Plattform oder Connector. Wenn ein Benutzer Dateien aus dem von ShareFile verwalteten Cloud-Speicher teilt, wird die Komponente als “Plattform” angezeigt. Wenn ein Benutzer Dateien aus einer Speicherzone teilt, wird die Komponente als “Connector” angezeigt
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`region`	Die Region, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Übermäßiges Datei-Uploads Risikoindikatorschema

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.64705884,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file uploads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "tool_name": "tool3",
    "relevant_event_type": "Upload",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:37:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "File5.txt",
  "component_name": "Connector",
  "client_ip": "99.xxx.xx.xx",
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für übermäßige Datei-Uploads spezifisch sind.

Feldname	Beschreibung
`tool_name`	Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.
`relevant_event_type`	Gibt den Typ des Benutzerereignisses wie Upload an.
`file_name`	Der Name der hochgeladenen Datei.
`component_name`	Gibt die ShareFile-Komponente an - Plattform oder Connector. Wenn ein Benutzer Dateien in den von ShareFile verwalteten Cloud-Speicher hochlädt, wird die Komponente als “Plattform” angezeigt. Wenn ein Benutzer Dateien in eine Speicherzone hochlädt, wird die Komponente als “Connector” angezeigt.
`connector_type`	Der Typ des verwendeten StorageZone Connectors.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`region`	Die Region, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Risikoindikator für unmögliche Reise

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": "13",
  "indicator_uuid": "f6974562-592f-5328-a2ac-adf7122a3qr7",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 0,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "pair_id": 2,
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "tenant_1",
  "indicator_id": "13",
  "indicator_uuid": "f6974562-592f-5328-a2ac-adf7122b8ac7",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 0,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "user1",
  "version": 2,
  "client_ip": "95.xxx.xx.xx",
  "ip_organization": "global telecom ltd",
  "ip_routing_type": "mobile gateway",
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "os": "NA",
  "tool_name": "SF_FTP"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen für das Zusammenfassungsschema und das Ereignisdetailschema für Unmögliche Reisen beschrieben.

Feldname	Beschreibung
`distance`	Die Entfernung (km) zwischen den Ereignissen, die mit unmöglichem Reisen verbunden sind.
`historical_logon_locations`	Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
`historical_observation_period_in_days`	Jeder Standort wird 30 Tage lang überwacht.
`relevant_event_type`	Gibt den Typ des Ereignisses wie Anmeldung an.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`region`	Gibt die Region an, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
`tool_name`	Das Tool oder die Anwendung, die für die Anmeldung verwendet wird.
`os`	Das Betriebssystem des Geräts des Benutzers.
`ip_organization`	Registrierung der Organisation der Client-IP-Adresse
`ip_routing_type`	Client-IP-Routingtyp

Ungewöhnliches Risikoindikator-Schema für

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "274cedc0-a404-5abe-b95b-317c0209c9e8",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:29:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2018-01-26T00:30:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "e1bf5b91-b0e1-5145-aa5b-7731f31b56ac",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:01:01Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "operation_name": "LoginFailure",
  "tool_name": "webapp",
  "client_ip": "128.x.x.x",
  "os": "Android"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für einen ungewöhnlichen Authentifizierungsfehler beschrieben.

Feldname	Beschreibung
`relevant_event_type`	Gibt den Typ des Benutzerereignisses an, z. B. ein Anmeldefehler.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`tool_name`	Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.
`os`	Das Betriebssystem des Benutzergeräts.

Risikoindikator für Malware-Dateien erkannt

Zusammenfassungsschema des Indikators

{
  "data_source": "Citrix Content Collaboration",
  "data_source_id": 0,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Insider threats",
  "indicator_category_id": 2,
  "indicator_id": "12",
  "indicator_name": "Malware file(s) detected",
  "indicator_type": "builtin",
  "indicator_uuid": "549f0dc6-2421-5d21-bafa-6180",
  "indicator_vector":
    {
      "id": 6,
      "name": "File-Based Risk Indicators",
    },
  "occurrence_details":
    {
      "event_count": 2,
      "file_hash": "ce59df8709e882e3f84",
      "observation_start_time": "2021-11-15T16:00:00Z",
      "relevant_event_type": "Malware Infected File Detected",
      "virus_name": " Win.Malware.Generic-9873973-0",
    },
  "risk_probability": 1.0,
  "severity": "high",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-11-15T16:14:59Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "data_source_id": 0,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "file_hash": "ce59df8709e882e3f84",
  "file_name": "test-file.exe",
  "file_path": "/abc@citrix.com/source/repos/test-folder/test-file.exe",
  "folder_name": "test-folder",
  "indicator_category_id": 2,
  "indicator_id": "12",
  "indicator_uuid": "549f0dc6-2421-5d21-bafa-6180",
  "indicator_vector":
    {
      "id": 6,
      "name": "File-Based Risk Indicators",
    },
  "tenant_id": "demo_tenant",
  "timestamp": "2021-11-15T16:01:51Z",
  "version": 2,
  "virus_name": " Win.Malware.Generic-9873973-0"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen für das Zusammenfassungsschema und das Ereignisdetailschema für erkannte Malware-Dateien beschrieben.

Feldname	Beschreibung
Datei-Hash	Der Hashwert der infizierten Datei.
Dateiname	Der Name der infizierten Datei, die vom Content Collaboration Benutzer hochgeladen wurde.
Datei-Pfad	Der vollständige Pfad des Ordners im Content Collaboration Service, in den die infizierte Datei hochgeladen wurde.
Name des Ordners	Der Name des Ordners im Content Collaboration Service, in den die infizierte Datei hochgeladen wird.
Relevanter Ereignistyp	Die Art des Ereignisses, z. B. erkannte Malwaredatei.
Name des Virus	Der Name des Virus, der die Datei infiziert hat.

Risikoindikator für Ransomware-Aktivität vermutet (Datei ersetzt)

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "0afaa694-59ec-5a44-84df-3afcefad7b50",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files replaced)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-29T10:50:00Z",
    "relevant_event_type": "Delete & Upload"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "580f8f03-c02b-5d0f-b707-1a0577ca2fec",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:06Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "client_ip": "99.xxx.xx.xx",
  "operation_name": "Upload",
  "file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für verdächtigte Ransomware-Aktivitäten (Datei ersetzt).

Feldname	Beschreibung
`relevant_event_type`	Gibt den Typ des Benutzerereignisses an, z. B. die Datei gelöscht und eine andere Datei hochgeladen.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`file_name`	Der Name der ersetzten Datei.
`operation_name`	Die Benutzeraktivitäten wie Hochladen oder Löschen.
`file_path`	Der Pfad der ersetzten Datei.

Anonymer Risikoindikator für sensible Freigabelinks

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "93a32d22-d14b-5413-94fc-47c44fe7c07f",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "62795698",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Anonymous sensitive share link download",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-27T12:00:00Z",
    "relevant_event_type": "Download"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "11562a63-9761-55b8-8966-3ac81bc1d043",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:02:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "46268753",
  "version": 2,
  "file_name": "file1.mp4",
  "file_size_in_bytes": 278,
  "city": "Miami",
  "country": "USA",
  "client_ip": "166.xxx.xxx.xxx",
  "device_type": "iPhone X"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen für das Zusammenfassungsschema und das Ereignisdetailschema für den Download von anonymen vertraulichen Freigabelinks beschrieben.

Namen von Feldern	Beschreibung
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`relevant_event_type`	Gibt den Typ des Benutzerereignisses an, z. B. die Datei gelöscht und eine andere Datei hochgeladen.
`file_name`	Der Name der sensiblen Datei, die heruntergeladen wird.
`file_size_in_bytes`	Die Dateigröße in Byte, die heruntergeladen wird.
`city`	Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
`country`	Das Land, aus dem die Benutzeraktivität erkannt wurde.
`device_type`	Der Gerätetyp, mit dem die Datei heruntergeladen wird.

Risikoindikator für übermäßige Downloads von Freigabelinks

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive share link downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "lifetime_users_downloaded": 6,
    "observation_start_time": "2018-01-27T19:00:00Z",
    "lifetime_download_volume_in_bytes": 2718,
    "lifetime_download_count": 6,
    "link_first_downloaded": "2018-01-27T11:12:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:47:50Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "file_name": "anom20.jep",
  "file_size_in_bytes": 106,
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74,
  "user_email": "new-user61@citrix.com",
  "lifetime_unique_user_emails": "new-user62@citrix.com user6e@citrix.com user6f@citrix.com new-user63@citrix.com new-user64@citrix.com new-user61@citrix.com",
  "lifetime_unique_user_count": 6,
  "lifetime_num_times_downloaded": 6,
  "lifetime_total_download_size_in_bytes": 2718,
  "lifetime_first_event_time": "2018-01-27T11:12:00Z"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für das Herunterladen von übermäßigen Freigabelinks spezifisch sind.

Namen von Feldern	Beschreibung
`relevant_event_type`	Gibt die Art des Ereignisses an, z. B. übermäßiges Herunterladen eines Freigabe-Links.
`lifetime_users_downloaded`	Gibt die Gesamtzahl der Benutzer an, die den Freigabe-Link seit der Erstellung des Links heruntergeladen haben.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`lifetime_download_volume_in_bytes`	Gibt das Gesamtvolumen der Downloads in Byte an, seit der Freigabe-Link erstellt wurde.
`lifetime_download_count`	Gibt die Gesamtzahl der Downloads an, seit der Freigabe-Link erstellt wurde.
`link_first_downloaded`	Gibt das Datum und die Uhrzeit an, zu der der Freigabe-Link zum ersten Mal heruntergeladen wurde.
`file_name`	Gibt den Dateinamen an, der über den Link freigegeben wird.
`file_size_in_bytes`	Gibt die Größe der freigegebenen Datei an.
`user_email`	Gibt die E-Mail-ID des aktuellen Benutzers an, der die Datei über den Freigabe-Link übermäßig heruntergeladen hat.
`lifetime_unique_user_emails`	Gibt die E-Mail-IDs aller Benutzer an, einschließlich des aktuellen Benutzers, der die Datei seit der Erstellung des Links heruntergeladen hat.
`lifetime_unique_user_count`	Gibt die Gesamtzahl der eindeutigen Benutzer an, die die Datei seit der Erstellung des Links heruntergeladen haben.
`lifetime_num_times_downloaded`	Gibt an, wie oft die Datei seit dem Erstellen des Links heruntergeladen wurde.
`lifetime_total_download_size_in_bytes`	Gibt die gesamte Dateigröße an, die seit der Erstellung des Links heruntergeladen wird.
`lifetime_first_event_time`	Gibt das Datum und die Uhrzeit des ersten Ereignisses von Downloads seit der Erstellung des Links an.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`region`	Die Region, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Risikoindikator für übermäßige Dateidownloads

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "exfiltrated_data_volume_in_bytes": 24000,
    "relevant_event_type": "Download",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": "0",
  "timestamp": "2018-01-02T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "99.xxx.xx.xx",
  "version": 2,
  "file_name": "File1.txt",
  "file_size_in_bytes": 24000,
  "component_name": "Platform",
  "connector_type": "NA",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für übermäßige Dateidownloads spezifisch sind.

Feldname	Beschreibung
`exfiltrated_data_volume_in_bytes`	Die Menge der Daten in Bytes, die heruntergeladen wird.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`file_name`	Der Name der heruntergeladenen Datei.
`file_size_in_bytes`	Die Dateigröße in Byte, die heruntergeladen wird.
`component_name`	Gibt die ShareFile-Komponente an - Plattform oder Connector. Wenn ein Benutzer Dateien aus dem von ShareFile verwalteten Cloud-Speicher herunterlädt, wird die Komponente als “Plattform” angezeigt. Wenn ein Benutzer Dateien aus einer Speicherzone herunterlädt, wird die Komponente als “Connector” angezeigt.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`region`	Die Region, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Risikoindikator für Ransomware-Aktivität (Datei aktualisiert)

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "f21ef9c8-c379-5a96-ae90-e750d31a728c",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files updated)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Update/Upload",
    "observation_start_time": "2018-01-29T10:50:00Z"
  }
}

<!--NeedCopy-->

Ereignisdetails des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "0509e432-527e-5c84-abb4-f397f2a5e02b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:05Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "operation_name": "Update",
  "stream_id": "someid37",
  "client_ip": "11.xx.xx.xx",
  "file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

Feldname	Beschreibung
`relevant_event_type`	Gibt den Typ des Benutzerereignisses an, z. B. das Aktualisieren oder Hochladen einer Datei.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`file_name`	Der Name der aktualisierten Datei.
`operation_name`	Die Benutzeraktivitäten wie Hochladen, Aktualisieren oder Löschen.
`file_path`	Der Pfad der Datei, die vom Benutzer aktualisiert wird.
`stream_id`	Die ID für den Artikelstream. Ein Element repräsentiert eine einzelne Version eines Dateisystemobjekts. Der Stream identifiziert alle Versionen desselben Dateisystemobjekts. Wenn ein Benutzer beispielsweise eine vorhandene Datei hochlädt oder ändert, wird ein neues Element mit derselben Stream-ID erstellt.

Risikoanzeige für verdächtige Anmeldung

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": "11",
  "indicator_uuid": "42aac530-b589-5338-8cbe-3a940921fce6",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 0,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.71,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2020-06-06T12:00:00Z",
    "relevant_event_type": "Logon",
    "event_count": 1,
    "historical_observation_period_in_days": 30,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
    "user_location_risk": 75,
    "device_id": "",
    "os": "Windows 10",
    "tool_name": "SFWebApp",
    "user_device_risk": 0,
    "client_ip": "99.xxx.xx.xx",
    "webroot_threat_categories": "Phishing",
    "user_network_risk": 75,
    "suspicious_network_risk": 89
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": "11",
  "indicator_uuid": "42aac530-b589-5338-8cbe-3a940921fce6",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 0,
  "timestamp": "2020-06-06T12:08:40Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "region": "Florida",
  "city": "Miami",
  "latitude": 25.7617,
  "longitude": -80.1918,
  "tool_name": "SFWebApp",
  "os": "Windows 10",
  "device_id": "NA",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetail-Schema für verdächtige Anmeldung beschrieben.

Feldname	Beschreibung
`historical_logon_locations`	Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
`historical_observation_period_in_days`	Jeder Standort wird 30 Tage lang überwacht.
`relevant_event_type`	Gibt den Typ des Ereignisses wie Anmeldung an.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`occurrence_event_type`	Gibt den Benutzerereignistyp wie die Kontoanmeldung an.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`region`	Gibt die Region an, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
`tool_name`	Das Tool oder die Anwendung, die für die Anmeldung verwendet wird.
`os`	Das Betriebssystem des Geräts des Benutzers.
`device_id`	Der Name des vom Benutzer verwendeten Geräts.
`user_location_risk`	Zeigt die Verdachtsstufe des Standorts an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`user_device_risk`	Zeigt die Verdachtsstufe des Geräts an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`user_network_risk`	Zeigt die Verdachtsstufe des Netzwerks oder des Subnetzes an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`suspicious_network_risk`	Gibt die IP-Bedrohungsstufe basierend auf dem Webroot IP-Bedrohungs-Intelligence-Feed an. Niedrige Bedrohungsstufe: 0—69, mittlere Bedrohungsstufe: 70—89 und hohe Bedrohungsstufe: 90—100
`webroot_threat_categories`	Gibt die Arten von Bedrohungen an, die von der IP-Adresse basierend auf dem Webroot IP-Bedrohungsinfo-Feed erkannt wurden. Die Bedrohungskategorien können Spam-Quellen, Windows-Exploits, Webangriffe, Botnetze, Scanner, Denial of Service, Reputation, Phishing, Proxy, nicht spezifiziert, mobile Bedrohungen und Tor-Proxy sein

Citrix Endpoint Management-Risikoindikatoren Schema

Jailbroken oder gerootetes Gerät erkannt Indikatoren Schema

Zusammenfassungsschema des Indikators

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 200,
  "indicator_name": "Jailbroken / Rooted Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:05Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "indicator_id": 200,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:35Z",
  "version": 2
}

<!--NeedCopy-->

Gerät mit Apps auf der Sperrliste erkannt

Zusammenfassungsschema des Indikators

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 201,
  "indicator_name": "Device with Blacklisted Apps Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:23Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "indicator_id": 201,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:39Z",
  "version": 2
}

<!--NeedCopy-->

Nicht verwaltetes Gerät erkannt

Zusammenfassungsschema des Indikators

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 203,
  "indicator_name": "Unmanaged Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T12:56:30Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "indicator_id": 203,
  "client_ip": "127.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T18:41:30Z",
  "version": 2
}

<!--NeedCopy-->

Citrix Gateway-Risikoindikatoren

Risikoindikatorschema für EPA-Scanausfall

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "EPA scan failure",
  "severity": "low",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "event_description": "Post auth failed, no quarantine",
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "EPA Scan Failure at Logon"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:12:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Post auth failed, no quarantine",
  "gateway_domain_name": "10.102.xx.xx",
  "gateway_ip": "56.xx.xxx.xx",
  "policy_name": "postauth_act_1",
  "client_ip": "210.91.xx.xxx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "cs_vserver_name": "demo_vserver",
  "device_os": "Windows OS",
  "security_expression": "CLIENT.OS(Win12) EXISTS",
  "vpn_vserver_name": "demo_vpn_vserver",
  "vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->

In der Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für den Risikoindikator für den EPA-Scanausfall.

Namen von Feldern	Beschreibung
`event_description`	Beschreibt die Gründe für den Fehler des EPA-Scans wie die fehlgeschlagene Postauthentifizierung und keine Quarantänegruppe.
`relevant_event_type`	Gibt den Typ des EPA-Scan-Fehlereignisses an.
`gateway_domain_name`	Der Domänenname von Citrix Gateway.
`gateway_ip`	Die IP-Adresse von Citrix Gateway.
`policy_name`	Der auf dem Citrix Gateway konfigurierte EPA-Scanrichtlinienname.
`country`	Das Land, aus dem die Benutzeraktivität erkannt wurde.
`city`	Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
`region`	Die Region, aus der die Benutzeraktivität erkannt wurde.
`cs_vserver_name`	Der Name des virtuellen Content-Switch-Servers.
`device_os`	Das Betriebssystem des Geräts des Benutzers.
`security_expression`	Der auf Citrix Gateway konfigurierte Sicherheitsausdruck.
`vpn_vserver_name`	Der Name des virtuellen Citrix Gateway-Servers.
`vserver_fqdn`	Der FQDN des virtuellen Citrix Gateway-Servers.

Risikoindikatorschema für übermäßige Authentifizierung

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Excessive authentication failures",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "Logon Failure"
  }
}
<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:10:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo-user",
  "version": 2,
  "event_description": "Bad (format) password passed to nsaaad",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "auth_server_ip": "10.xxx.x.xx",
  "client_ip": "24.xxx.xxx.xx",
  "gateway_ip": "24.xxx.xxx.xx",
  "vserver_fqdn": "demo-fqdn.citrix.com",
  "vpn_vserver_name": "demo_vpn_vserver",
  "cs_vserver_name": "demo_cs_vserver",
  "gateway_domain_name": "xyz",
  "country": "United States",
  "region": "California",
  "city": "San Jose",
  "nth_failure": 5
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für einen übermäßigen Authentifizierungsfehler.

Namen von Feldern	Beschreibung
`relevant_event_type`	Gibt den Typ des Ereignisses an, z. B. ein Anmeldefehler.
`event_description`	Beschreibt den Grund für das Ereignis eines übermäßigen Authentifizierungsfehlers, z. B. ein falsches Kennwort.
`authentication_stage`	Gibt an, ob die Authentifizierungsphase primär, sekundär oder tertiär ist.
`authentication_type`	Gibt die Authentifizierungstypen wie LDAP, Local oder OAuth an.
`auth_server_ip`	Die IP-Adresse des Authentifizierungsservers.
`gateway_domain_name`	Der Domänenname von Citrix Gateway.
`gateway_ip`	Die IP-Adresse von Citrix Gateway.
`cs_vserver_name`	Der Name des virtuellen Content-Switch-Servers.
`vpn_vserver_name`	Der Name des virtuellen Citrix Gateway-Servers.
`vserver_fqdn`	Der FQDN des virtuellen Citrix Gateway-Servers.
`nth_failure`	Die Häufigkeit, mit der die Benutzerauthentifizierung fehlgeschlagen ist.
`country`	Das Land, aus dem die Benutzeraktivität erkannt wurde.
`city`	Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
`region`	Die Region, aus der die Benutzeraktivität erkannt wurde.

Risikoindikator für unmögliche Reise

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": "111",
  "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": "111",
  "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 1,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "client_ip": "95.xxx.xx.xx",
  “ip_organization”: “global telecom ltd”,
  “ip_routing_type”: “mobile gateway”,
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "device_os": "Linux OS",
  "device_browser": "Chrome 62.0.3202.94"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen für das Zusammenfassungsschema und das Ereignisdetailschema für Unmögliche Reisen beschrieben.

Feldname	Beschreibung
`distance`	Die Entfernung (km) zwischen den Ereignissen, die mit unmöglichem Reisen verbunden sind.
`historical_logon_locations`	Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
`historical_observation_period_in_days`	Jeder Standort wird 30 Tage lang überwacht.
`relevant_event_type`	Gibt den Typ des Ereignisses wie Anmeldung an.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`region`	Gibt die Region an, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
`device_browser`	Der vom Benutzer verwendete Webbrowser.
`device_os`	Das Betriebssystem des Geräts des Benutzers.
`ip_organization`	Registrierung der Organisation der Client-IP-Adresse
`ip_routing_type`	Client-IP-Routingtyp

Anmeldung von einem verdächtigen IP-Risikoindikator-Schema

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.91,
  "indicator_category": "Compromised users",
  "indicator_name": "Logon from suspicious IP",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon",
    "client_ip": "1.0.xxx.xx",
    "observation_start_time": "2019-10-10T10:00:00Z",
    "suspicion_reasons": "brute_force|external_threat"
  }
}
<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:11:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "suspicion_reasons": "external_threat",
  "gateway_ip": "gIP1",
  "client_ip": "128.0.xxx.xxx",
  "country": "Sweden",
  "city": "Stockholm",
  "region": "Stockholm",
  "webroot_reputation": 14,
  "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
  "device_os": "Windows OS",
  "device_browser": "Chrome"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für Anmeldung von verdächtiger IP spezifisch sind.

Feldname	Beschreibung
`suspicious_reasons`	Der Grund für die Identifizierung der IP-Adresse als verdächtig.
`webroot_reputation`	Der IP-Reputationsindex, der vom Threat Intelligence Provider Webroot bereitgestellt wird.
`webroot_threat_categories`	Die Bedrohungskategorie, die vom Threat Intelligence Provider Webroot für die verdächtige IP identifiziert wurde.
`device_os`	Das Betriebssystem des Benutzergeräts.
`device_browser`	Der verwendete Webbrowser.
`country`	Das Land, aus dem die Benutzeraktivität erkannt wurde.
`city`	Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
`region`	Die Region, aus der die Benutzeraktivität erkannt wurde.

Ungewöhnliches Risikoindikator-Schema für

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:44:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2020-04-01T05:45:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:42:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Success",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "client_ip": "99.xxx.xx.xx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "is_risky": "false"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für einen ungewöhnlichen Authentifizierungsfehler beschrieben.

Namen von Feldern	Beschreibung
`relevant_event_type`	Gibt den Typ des Ereignisses an, z. B. ein Anmeldefehler.
`event_description`	Zeigt an, ob die Anmeldung erfolgreich oder erfolglos ist
`authentication_stage`	Gibt an, ob die Authentifizierungsphase primär, sekundär oder tertiär ist.
`authentication_type`	Gibt die Authentifizierungstypen wie LDAP, Local oder OAuth an.
`is_risky`	Für eine erfolgreiche Anmeldung ist der Wert is_risky false. Für eine erfolglose Anmeldung ist der Wert is_risky true.
`device_os`	Das Betriebssystem des Benutzergeräts.
`device_browser`	Der vom Benutzer verwendete Webbrowser.
`country`	Das Land, aus dem die Benutzeraktivität erkannt wurde.
`city`	Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
`region`	Die Region, aus der die Benutzeraktivität erkannt wurde.

Risikoanzeige für verdächtige Anmeldung

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": "110",
  "indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.71,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2020-06-06T12:00:00Z",
    "relevant_event_type": "Logon",
    "event_count": 1,
    "historical_observation_period_in_days": 30,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
    "user_location_risk": 75,
    "device_id": "",
    "device_os": "Windows OS",
    "device_browser": "Chrome",
    "user_device_risk": 0,
    "client_ip": "99.xxx.xx.xx",
    "user_network_risk": 75,
    "webroot_threat_categories": "Phishing",
    "suspicious_network_risk": 89
  }
}


<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": "110",
  "indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:08:40Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "region": "Florida",
  "city": "Miami",
  "latitude": 25.7617,
  "longitude": -80.1918,
  "device_browser": "Chrome",
  "device_os": "Windows OS",
  "device_id": "NA",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetail-Schema für verdächtige Anmeldung beschrieben.

Feldname	Beschreibung
`historical_logon_locations`	Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
`historical_observation_period_in_days`	Jeder Standort wird 30 Tage lang überwacht.
`relevant_event_type`	Gibt den Typ des Ereignisses wie Anmeldung an.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`occurrence_event_type`	Gibt den Benutzerereignistyp wie die Kontoanmeldung an.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`region`	Gibt die Region an, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
`device_browser`	Der vom Benutzer verwendete Webbrowser.
`device_os`	Das Betriebssystem des Geräts des Benutzers.
`device_id`	Der Name des vom Benutzer verwendeten Geräts.
`user_location_risk`	Zeigt die Verdachtsstufe des Standorts an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`user_device_risk`	Zeigt die Verdachtsstufe des Geräts an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`user_network_risk`	Zeigt die Verdachtsstufe des Netzwerks oder des Subnetzes an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`suspicious_network_risk`	Gibt die IP-Bedrohungsstufe basierend auf dem Webroot IP-Bedrohungs-Intelligence-Feed an. Niedrige Bedrohungsstufe: 0—69, mittlere Bedrohungsstufe: 70—89 und hohe Bedrohungsstufe: 90—100
`webroot_threat_categories`	Gibt die Arten von Bedrohungen an, die von der IP-Adresse basierend auf dem Webroot IP-Bedrohungsinfo-Feed erkannt wurden. Die Bedrohungskategorien können Spam-Quellen, Windows-Exploits, Webangriffe, Botnetze, Scanner, Denial of Service, Reputation, Phishing, Proxy, nicht spezifiziert, mobile Bedrohungen und Tor-Proxy sein

Schema der Risikoindikatoren für Citrix DaaS und Citrix Virtual Apps and Desktops

Risikoindikator für unmögliche Reise

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": "313",
  "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": "313",
  "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 3,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "client_ip": "95.xxx.xx.xx",
  “ip_organization”: “global telecom ltd”,
  “ip_routing_type”: “mobile gateway”,
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "device_id": "device1",
  "receiver_type": "XA.Receiver.Linux",
  "os": "Linux OS",
  "browser": "Chrome 62.0.3202.94"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen für das Zusammenfassungsschema und das Ereignisdetailschema für Unmögliche Reisen beschrieben.

Feldname	Beschreibung
`distance`	Die Entfernung (km) zwischen den Ereignissen, die mit unmöglichem Reisen verbunden sind.
`historical_logon_locations`	Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
`historical_observation_period_in_days`	Jeder Standort wird 30 Tage lang überwacht.
`relevant_event_type`	Gibt den Typ des Ereignisses wie Anmeldung an.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`region`	Gibt die Region an, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
`browser`	Der vom Benutzer verwendete Webbrowser.
`os`	Das Betriebssystem des Geräts des Benutzers.
`device_id`	Der Name des vom Benutzer verwendeten Geräts.
`receiver_type`	Der Typ der Citrix Workspace-App oder Citrix Receiver, die auf dem Gerät des Benutzers installiert ist.
`ip_organization`	Registrierung der Organisation der Client-IP-Adresse
`ip_routing_type`	Client-IP-Routingtyp

Indikator für potenzielle Datenexfiltrationsrisiken

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Potential data exfiltration",
  "severity": "low",
  "data_source": "Citrix Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download/Print/Copy",
    "observation_start_time": "2018-04-02T10:00:00Z",
    "exfil_data_volume_in_bytes": 1172000
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:57:36Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "App.SaaS.Clipboard",
  "file_size_in_bytes": 98000,
  "file_type": "text",
  "device_id": "dvc5",
  "receiver_type": "XA.Receiver.Windows",
  "app_url": "https://www.citrix.com",
  "client_ip": "10.xxx.xx.xxx",
  "entity_time_zone": "Pacific Standard Time"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Felder beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für die potenzielle Datenexfiltration spezifisch sind.

Feldname	Beschreibung
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`relevant_event_type`	Gibt die Benutzeraktivitäten wie Herunterladen, Drucken oder Kopieren der Daten an.
`exfil_data_volume_in_bytes`	Die Menge der Datenexfiltration.
`occurrence_event_type`	Gibt an, wie die Datenexfiltration stattgefunden hat, z. B. die Zwischenablage in einer SaaS-App.
`file_size_in_bytes`	Die Größe der Datei.
`file_type`	Der Typ der Datei.
`device_id`	Die ID des Benutzergeräts.
`receiver_type`	Die Citrix Workspace-App oder Citrix Receiver, die auf dem Benutzergerät installiert ist.
`app_url`	Die URL der Anwendung, auf die der Benutzer zugreift.
`entity_time_zone`	Die Zeitzone des Benutzers.

Verdächtiges Logon-Risikoindikator-Schema

Zusammenfassungsschema des Indikators

{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "risk_probability": 0.78,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details":
  {
    "user_location_risk": 0,
    "city": "Some_city",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "event_count": 1,
    "user_device_risk": 75,
    "country": "United States",
    "device_id": "device2",
    "region": "Some_Region",
    "client_ip": "99.xx.xx.xx",
    "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
    "historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
    "relevant_event_type": "Logon",
    "user_network_risk": 100,
    "historical_observation_period_in_days": 30,
    "suspicious_network_risk": 0
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06 12:02:30",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "Some_city",
  "country": "United States",
  "region": "Some_Region",
  "latitude": 37.751,
  "longitude": -97.822,
  "browser": "Firefox 1.3",
  "os": "Windows OS",
  "device_id": "device2",
  "receiver_type": "XA.Receiver.Chrome",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetail-Schema für verdächtige Anmeldung beschrieben.

Feldname	Beschreibung
`historical_logon_locations`	Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
`historical_observation_period_in_days`	Jeder Standort wird 30 Tage lang überwacht.
`relevant_event_type`	Gibt den Typ des Ereignisses wie Anmeldung an.
`observation_start_time`	Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
`occurrence_event_type`	Gibt den Benutzerereignistyp wie die Kontoanmeldung an.
`country`	Das Land, aus dem sich der Benutzer angemeldet hat.
`city`	Die Stadt, von der sich der Benutzer angemeldet hat.
`region`	Gibt die Region an, aus der sich der Benutzer angemeldet hat.
`latitude`	Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
`longitude`	Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
`browser`	Der vom Benutzer verwendete Webbrowser.
`os`	Das Betriebssystem des Geräts des Benutzers.
`device_id`	Der Name des vom Benutzer verwendeten Geräts.
`receiver_type`	Der Typ der Citrix Workspace-App oder Citrix Receiver, die auf dem Gerät des Benutzers installiert ist.
`user_location_risk`	Zeigt die Verdachtsstufe des Standorts an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`user_device_risk`	Zeigt die Verdachtsstufe des Geräts an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`user_network_risk`	Zeigt die Verdachtsstufe des Netzwerks oder des Subnetzes an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
`suspicious_network_risk`	Gibt die IP-Bedrohungsstufe basierend auf dem Webroot IP-Bedrohungs-Intelligence-Feed an. Niedrige Bedrohungsstufe: 0—69, mittlere Bedrohungsstufe: 70—89 und hohe Bedrohungsstufe: 90—100
`webroot_threat_categories`	Gibt die Arten von Bedrohungen an, die von der IP-Adresse basierend auf dem Webroot IP-Bedrohungsinfo-Feed erkannt wurden. Die Bedrohungskategorien können Spam-Quellen, Windows-Exploits, Webangriffe, Botnetze, Scanner, Denial of Service, Reputation, Phishing, Proxy, nicht spezifiziert, mobile Bedrohungen und Tor-Proxy sein

Microsoft Active Directory-Indikator

Zusammenfassungsschema des Indikators

{
  "data_source": "Microsoft Graph Security",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_id": 1000,
  "indicator_name": "MS Active Directory Indicator",
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_type": "builtin",
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "ui_link": "https://analytics-daily.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_id": 1000,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "version": 2
}

<!--NeedCopy-->

Benutzerdefinierte Risikoindikator-Schema

Im folgenden Abschnitt wird das Schema für den benutzerdefinierten Risikoindikator beschrieben.

Hinweis

Derzeit sendet Citrix Analytics die Daten zu den benutzerdefinierten Risikoindikatoren von Citrix DaaS und Citrix Virtual Apps and Desktops an Ihren SIEM-Dienst.

In der folgenden Tabelle werden die Feldnamen für das zusammenfassende Schema für benutzerdefinierte Risikoindikatoren beschrieben.

Feldname	Beschreibung
`data source`	Die Produkte, die Daten an Citrix Analytics for Security senden. Zum Beispiel: Citrix Secure Private Access, Citrix Gateway und Citrix Apps and Desktops.
`data_source_id`	Die mit einer Datenquelle verknüpfte ID. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps und Desktops, ID 4 = Citrix Secure Private Access
`entity_id`	Die ID, die mit dem gefährdeten Unternehmen verknüpft ist.
`entity_type`	Das Unternehmen in Gefahr. In diesem Fall ist die Entität ein Benutzer.
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Zusammenfassung des Risikoindikators.
`indicator_category`	Gibt die Kategorien von Risikoindikatoren an. Die Risikoindikatoren sind in eine der Risikokategorien unterteilt - kompromittierter Endpunkt, kompromittierte Benutzer, Datenexfiltration oder Insiderbedrohungen.
`indicator_id`	Die mit dem Risikoindikator verknüpfte eindeutige ID.
`indicator_category_id`	Die mit der Risikoindikatorkategorie verbundene ID. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierte Endpunkte
`indicator_name`	Der Name des Risikoindikators. Für einen benutzerdefinierten Risikoindikator wird dieser Name beim Erstellen des Indikators definiert.
`indicator_type`	Gibt an, ob der Risikoindikator Standard (eingebaut) oder benutzerdefiniert ist.
`indicator_uuid`	Die eindeutige ID, die mit der Risikoindikatorinstanz verbunden ist.
`occurrence_details`	Die Details über den Risikoindikator auslösenden Zustand.
`pre_configured`	Zeigt an, ob der benutzerdefinierte Risikoindikator vorkonfiguriert ist.
`risk_probability`	Gibt die Risikowahrscheinlichkeit an, die mit dem Benutzerereignis verbunden sind. Der Wert variiert zwischen 0 und 1,0. Für einen benutzerdefinierten Risikoindikator beträgt die risk_wahrscheinlichkeit immer 1,0, da es sich um einen richtlinienbasierten Indikator handelt.
`severity`	Gibt den Schweregrad des Risikos an. Es kann niedrig, mittel oder hoch sein.
`tenant_id`	Die einzigartige Identität des Kunden.
`timestamp`	Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
`ui_link`	Der Link zur Benutzer-Timeline-Ansicht auf der Citrix Analytics-Benutzeroberfläche.
`version`	Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.

In der folgenden Tabelle werden die Feldnamen beschrieben, die im Ereignisdetail-Schema für benutzerdefinierte Risikoindikatoren üblich sind.

Feldname	Beschreibung
`data_source_id`	Die mit einer Datenquelle verknüpfte ID. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps und Desktops, ID 4 = Citrix Secure Private Access
`indicator_category_id`	Die mit der Risikoindikatorkategorie verbundene ID. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierte Endpunkte
`event_type`	Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Details des Risikoindikatorereignisses.
`tenant_id`	Die einzigartige Identität des Kunden.
`entity_id`	Die ID, die mit dem gefährdeten Unternehmen verknüpft ist.
`entity_type`	Das Unternehmen, das gefährdet ist. In diesem Fall ist es der Benutzer.
`indicator_id`	Die mit dem Risikoindikator verknüpfte eindeutige ID.
`indicator_uuid`	Die eindeutige ID, die mit der Risikoindikatorinstanz verbunden ist.
`timestamp`	Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
`version`	Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.
`event_id`	Die mit dem Benutzerereignis verknüpfte ID.
`occurrence_event_type`	Zeigt den Typ des Benutzerereignisses an, wie Sitzungsanmeldung, Sitzungsstart und Kontoanmeldung.
`product`	Gibt den Typ der Citrix Workspace-App an, z. B. die Citrix Workspace-App für Windows.
`client_ip`	Die IP-Adresse des Geräts des Benutzers.
`session_user_name`	Der Benutzername, der mit der Citrix Apps and Desktops-Sitzung verknüpft ist.
`city`	Der Name der Stadt, von der aus die Benutzeraktivität erkannt wird.
`country`	Der Name des Landes, aus dem die Benutzeraktivität erkannt wird.
`device_id`	Der Name des vom Benutzer verwendeten Geräts.
`os_name`	Das Betriebssystem, das auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.
`os_version`	Die Version des Betriebssystems, die auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.
`os_extra_info`	Die zusätzlichen Details im Zusammenhang mit dem Betriebssystem, das auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.

Benutzerdefinierter Risikoindikator für Citrix DaaS und Citrix Virtual Apps and Desktops

Zusammenfassungsschema des Indikators

{
  "data_source": " Citrix Apps and Desktops",
  "data_source_id": 3,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_category_id": 3,
  "indicator_id": "ca97a656ab0442b78f3514052d595936",
  "indicator_name": "Demo_user_usage",
  "indicator_type": "custom",
  "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
  "occurrence_details": {
    "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
  "pre_configured": "N",
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-02-10T14:47:25Z",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "version": 2
}

<!--NeedCopy-->

Indicator Ereignisdetails Schema für das Sitzungsanmeldeereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "SYD04-MS1-S102",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Sitzungsanmeldeereignis spezifisch sind.

Feldname	Beschreibung
`app_name`	Name einer gestarteten Anwendung oder eines Desktops.
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.
`domain`	Der Domainname des Servers, der die Anfrage gesendet hat.
`server_name`	Name des Servers.
`session_guid`	Die GUID der aktiven Sitzung.

Indikator Ereignisdetails Schema für das Session-Start-Ereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Sitzungsstartereignis spezifisch sind.

Feldname	Beschreibung
`app_name`	Name einer gestarteten Anwendung oder eines Desktops.
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.

Indicator Ereignisdetails Schema für das Kontoanmeldeereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Account.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Kontoanmeldeereignis spezifisch sind.

Feldname	Beschreibung
`app_name`	Name einer gestarteten Anwendung oder eines Desktops.

Indikatorereignisdetailsschema für das Sitzungsendereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Sitzungsendereignis spezifisch sind.

Feldname	Beschreibung
`app_name`	Name einer gestarteten Anwendung oder eines Desktops.
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.
`domain`	Der Domainname des Servers, der die Anfrage gesendet hat.
`server_name`	Name des Servers.
`session_guid`	Die GUID der aktiven Sitzung.

Indikator Ereignisdetails Schema für das App-Startereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.Start",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das App-Startereignis spezifisch sind.

Feldname	Beschreibung
`app_name`	Name einer gestarteten Anwendung oder eines Desktops.
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.
`domain`	Der Domainname des Servers, der die Anfrage gesendet hat.
`server_name`	Name des Servers.
`session_guid`	Die GUID der aktiven Sitzung.
`module_file_path`	Der Pfad der Anwendung, die verwendet wird.

Anzeigeereignisdetailschema für das App-Endereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das App-Endereignis spezifisch sind.

Feldname	Beschreibung
`app_name`	Name einer gestarteten Anwendung oder eines Desktops.
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.
`domain`	Der Domainname des Servers, der die Anfrage gesendet hat.
`server_name`	Name des Servers.
`session_guid`	Die GUID der aktiven Sitzung.
`module_file_path`	Der Pfad der Anwendung, die verwendet wird.

Indicator Ereignisdetails Schema für das Datei-Download-Ereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "File.Download",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "file_download_file_name": "File5.txt",
  "file_download_file_path": "/root/folder1/folder2/folder3",
  "file_size_in_bytes": 278,
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "device_type": "USB"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema des Datei-Download-Ereignisses spezifisch sind.

Feldname	Beschreibung
`file_download_file_name`	Name der Download-Datei.
`file_download_file_path`	Der Zielpfad, in den die Datei heruntergeladen wird.
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.
`domain`	Der Domainname des Servers, der die Anfrage gesendet hat.
`server_name`	Name des Servers.
`session_guid`	Die GUID der aktiven Sitzung.
`device_type`	Gibt den Typ des Geräts an, auf das die Datei heruntergeladen wird.

Anzeigeereignisdetailschema für das Druckereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Printing",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "printer_name": "Test-printer",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "job_details_size_in_bytes": 454,
  "job_details_filename": "file1.pdf",
  "job_details_format": "PDF"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Druckereignis spezifisch sind.

Feldname	Beschreibung
`printer_name`	Name des für den Druckauftrag verwendeten Druckers.
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.
`domain`	Der Domainname des Servers, der die Anfrage gesendet hat.
`server_name`	Name des Servers.
`session_guid`	Die GUID der aktiven Sitzung.
`job_details_size_in_bytes`	Die Größe des gedruckten Auftrags wie Datei oder Ordner.
`job_details_filename`	Name der gedruckten Datei.
`job_details_format`	Das Format des gedruckten Auftrags.

Indicator Ereignisdetails Schema für das App SaaS Launch-Ereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das SaaS-Startereignis der App spezifisch sind.

Feldname	Beschreibung
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.

Indikator Ereignisdetails Schema für das SaaS-Endereignis der App

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das SaaS-Endereignis der App spezifisch sind.

Feldname	Beschreibung
`launch_type`	Zeigt entweder eine Anwendung oder einen Desktop an.

Datenquellen-Ereignisse

Darüber hinaus können Sie die Datenexportfunktion so konfigurieren, dass Benutzerereignisse aus den Datenquellen Ihrer Citrix Analytics for Security-fähigen Produkte exportiert werden. Wenn Sie eine Aktivität in der Citrix-Umgebung ausführen, werden die Datenquellenereignisse generiert. Die exportierten Ereignisse sind unverarbeitete Benutzer- und Produktnutzungsdaten in Echtzeit, wie sie in der Self-Service-Ansicht verfügbar sind Die in diesen Ereignissen enthaltenen Metadaten können außerdem für eine tiefere Bedrohungsanalyse, das Erstellen neuer Dashboards und die Zusammenarbeit mit anderen Nicht-Citrix-Datenquellenereignissen in Ihrer Sicherheits- und IT-Infrastruktur verwendet werden.

Derzeit sendet Citrix Analytics for Security Benutzerereignisse für die folgenden Datenquellen an Ihr SIEM:

Citrix Content Collaboration
Citrix Virtual Apps and Desktops

Schemadetails der Datenquellenereignisse

Citrix Content Collaboration Ereignisse

Citrix Analytics empfängt die Benutzerereignisse (Protokolle) in Echtzeit mithilfe des Citrix Content Collaboration-Dienstes. Die Benutzerereignisse werden verarbeitet, um Sicherheitsbedrohungen zu erkennen. Weitere Informationen finden Sie unter Datenquelle für Citrix Content Collaboration. Sie können die folgenden Benutzerereignisse im Zusammenhang mit Citrix Content Collaboration in Ihrem SIEM anzeigen:

Alle Ereignistypen
Verteilergruppe (erstellen, löschen, aktualisieren)
Aktualisierung der DLP-Richtlinie
DLP-Update
Datei (löschen, herunterladen, Download starten, hochladen, Upload starten, mit Virus infiziert)
Update der Anmeldesicherheitsrichtlinie
Bericht (erstellen, löschen, aktualisieren)
Sitzungs-Login
Aktualisierung der SSO-Einstellungen

Weitere Informationen zu den Ereignissen und ihren Attributen finden Sie unter Self-Service-Suche nach Content Collaboration.

Ereignisse für Citrix Virtual Apps and Desktops

Die Benutzerereignisse werden in Citrix Analytics for Security in Echtzeit empfangen, wenn Benutzer virtuelle Apps oder virtuelle Desktops verwenden. Weitere Informationen finden Sie unter Citrix Virtual Apps and Desktops und Citrix DaaS-Datenquelle. Sie können die folgenden Benutzerereignisse anzeigen, die mit Citrix Virtual Apps and Desktops in Ihrem SIEM verknüpft sind:

Alle Ereignistypen
Account-Anmeldung
App (starten, starten, beenden)
Zwischenablage
Datei (drucken, herunterladen)
Dateidownload (SaaS)
HDX-Sitzungsquelle
Drucken
Sitzung (Anmelden, Starten, Beenden, Beenden)
URL
VDA-Daten
VDA-Prozesserstellung

Weitere Informationen zu den Ereignissen und ihren Attributen finden Sie unter Self-Service-Suche nach Virtual Apps and Desktops.

Sie können überprüfen, welche Ereignistypen aktiviert sind und an SIEM weitergeleitet werden. Sie können den für einen Mandanten geltenden Ereignistyp konfigurieren oder entfernen und auf die Schaltfläche Änderungen speichern klicken, um Ihre Einstellungen zu speichern.

Datenquellen-Ereignis

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Citrix Analytics-Datenexportformat für SIEM

February 3, 2023

Beitrag von:

February 3, 2023

Beitrag von:

In diesem Artikel

Daten zu Risikoeinblicken für SIEM
Schemadetails der Risk Insights-Ereignisse
Datenquellen-Ereignisse
Schemadetails der Datenquellenereignisse

War dieser Artikel hilfreich?