Citrix Analytics für Sicherheit

Citrix Analytics-Datenformat für SIEM

Mit Citrix Analytics for Security können Sie sich in Ihre Sicherheitsinformationen- und Ereignisverwaltungsdienste (SIEM) integrieren. Diese Integration ermöglicht es Citrix Analytics for Security, verarbeitete Daten an Ihre SIEM-Services zu senden und hilft Ihnen dabei, einen Einblick in die Position des Sicherheitsrisikos Ihres Unternehmens zu erhalten.

Derzeit können Sie Citrix Analytics for Security in die folgenden SIEM-Dienste integrieren:

Verarbeitete Daten für SIEM

Die von Citrix Analytics for Security an Ihren SIEM-Service gesendeten verarbeiteten Daten umfassen:

  • Änderung des Risiko-Scores - Die Differenz zwischen dem aktuellen Risiko-Score und dem vorherigen Risikowert eines Benutzers. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder mehr als drei ist und diese Änderung zunimmt oder um mehr als 10% sinkt, werden die Daten an den SIEM-Dienst gesendet.

  • Zusammenfassung des Risikoindikators - Die Details des Risikoindikators, der mit einem Benutzer verbunden ist.

  • Ereignisdetails des Risikoindikators - Die Details der Benutzerereignisse, die mit einem Risikoindikator verbunden sind. Citrix Analytics sendet maximal 1000 Ereignisdetails für jedes Auftreten von Risikoindikatoren an Ihren SIEM-Dienst. Diese Ereignisse werden in der chronologischen Reihenfolge des Auftretens gesendet, in die die ersten Ereignisdetails des Risikoindikators mit 1000 Risikoindikatoren gesendet werden.

  • Benutzerrisiko-Score — Der aktuelle Risikowert eines Benutzers. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an den SIEM-Dienst.

  • Benutzerprofil - Die Benutzerprofildaten können unterteilt werden in:

    • Benutzerapps - Die Anwendungen, die ein Benutzer gestartet und verwendet hat. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps ab und sendet sie alle 12 Stunden an den SIEM-Dienst.

    • Verwendung von Benutzerdaten — Die von einem Benutzer über Citrix Content Collaboration hochgeladenen und heruntergeladenen Daten. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an den SIEM-Dienst.

    • Benutzergerät - Die mit einem Benutzer verknüpften Geräte. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps und Citrix Endpoint Management ab und sendet sie alle 12 Stunden an den SIEM-Dienst.

    • Benutzerstandort - Die Stadt, in der ein Benutzer zuletzt erkannt wurde. Citrix Analytics for Security ruft diese Daten von Citrix Content Collaboration ab. Citrix Analytics for Security sendet diese Informationen alle 12 Stunden an Ihren SIEM-Service.

Schemadetails der verarbeiteten Daten

Im folgenden Abschnitt wird das Schema der verarbeiteten Daten beschrieben, die von Citrix Analytics for Security generiert werden.

Hinweis

Die in den folgenden Schemabeispielen angezeigten Feldwerte dienen nur zu repräsentativen Zwecken. Die tatsächlichen Feldwerte variieren je nach Benutzerprofil, Benutzerereignissen und dem Risikoindikator.

In der folgenden Tabelle werden die Feldnamen beschrieben, die im Schema für alle Benutzerprofildaten, den Benutzerrisikowert und die Änderung der Risikobewertung üblich sind.

Feldname Beschreibung
entity_id Die mit der Entität verbundene Identität. In diesem Fall ist die Entität der Benutzer.
entity_type Das Unternehmen in Gefahr. In diesem Fall ist die Entität der Benutzer.
event_type Die Art der Daten, die an Ihren SIEM-Dienst gesendet werden. Zum Beispiel: Standort des Benutzers, die Datennutzung des Benutzers oder die Gerätezugriffsinformationen des Benutzers.
tenant_id Die einzigartige Identität des Kunden.
timestamp Datum und Uhrzeit der letzten Benutzeraktivität.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.

Datenschema des Benutzerprofils

Benutzerstandortschema


{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}

<!--NeedCopy-->

Feldbeschreibung für Benutzerstandort

Feldname Beschreibung
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp der Standort des Benutzers.
country Das Land, aus dem sich der Benutzer angemeldet hat.
city Die Stadt, von der aus sich der Benutzer angemeldet hat.
cnt Die Häufigkeit, wie oft auf den Standort in den letzten 12 Stunden zugegriffen wurde.

Nutzungsschema für Benutzerdaten


{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}

<!--NeedCopy-->

Feldbeschreibung zur Verwendung von Benutzerdaten

Feldname Beschreibung
data_usage_bytes Die vom Benutzer verwendete Datenmenge (in Byte). Es ist das Aggregat des heruntergeladenen und hochgeladenen Volumes für einen Benutzer.
deleted_file_cnt Die Anzahl der vom Benutzer gelöschten Dateien.
downloaded_bytes Die vom Benutzer heruntergeladene Datenmenge.
downloaded_file_count Die Anzahl der vom Benutzer heruntergeladenen Dateien.
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp das Nutzungsprofil des Benutzers.
shared_file_count Die Anzahl der vom Benutzer freigegebenen Dateien.
uploaded_bytes Die vom Benutzer hochgeladene Datenmenge.
uploaded_file_cnt Die Anzahl der vom Benutzer hochgeladenen Dateien.

Schema des Benutzergeräts


{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}

<!--NeedCopy-->

Feldbeschreibung für Benutzergerät.

Feldname Beschreibung
cnt Die Häufigkeit, wie oft auf das Gerät in den letzten 12 Stunden zugegriffen wird.
device Der Name des Geräts.
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall sind der Ereignistyp die Gerätezugriffsinformationen des Benutzers.

Benutzer-App-Schema


{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}

<!--NeedCopy-->

Feldbeschreibung für Benutzer-App.

Feldname Beschreibung
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall sind der Ereignistyp die Gerätezugriffsinformationen des Benutzers.
session_domain Die ID der Sitzung, an der sich der Benutzer angemeldet hat.
user_samaccountname Der Anmeldename für Clients und Server einer früheren Version von Windows wie Windows NT 4.0, Windows 95, Windows 98 und LAN Manager. Dieser Name wird verwendet, um sich bei Citrix StoreFront anzumelden und sich auch bei einem Remote-Windows-Computer anzumelden.
app Der Name der Anwendung, auf die der Benutzer zugegriffen hat.
cnt Die Häufigkeit, wie oft auf die Anwendung in den letzten 12 Stunden zugegriffen wird.

Schema der Benutzerrisikobewertung


{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}

<!--NeedCopy-->

Feldbeschreibung für Benutzerrisiko-Score.

Feldname Beschreibung
cur_riskscore Der aktuelle Risikowert, der dem Benutzer zugewiesen wurde. Die Risikobewertung variiert je nach Bedrohungsschweregrad, der mit der Aktivität des Benutzers verbunden ist, zwischen 0 und 100.
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Risikobewertung des Benutzers.
last_update_timestamp Der Zeitpunkt, zu dem die Risikobewertung zuletzt für einen Benutzer aktualisiert wurde.
timestamp Der Zeitpunkt, zu dem das Benutzerrisiko-Score-Ereignis erfasst und an Ihren SIEM-Dienst gesendet wird. Dieses Ereignis wird alle 12 Stunden an Ihren SIEM-Service gesendet.

Schema der Risikobewertung ändern

Beispiel 1:


{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}

<!--NeedCopy-->

Beispiel 2:


{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}

<!--NeedCopy-->

Feldbeschreibung für die Änderung des Risiko-Scores.

Feldname Beschreibung
alert_message Die Meldung, die für die Änderung des Risiko-Scores angezeigt wird.
alert_type Gibt an, ob die Warnung auf eine Erhöhung der Risikobewertung oder einen signifikanten Rückgang des Risiko-Score-Prozentsatzes dient. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder mehr als drei ist und diese Änderung zunimmt oder um mehr als 10% sinkt, werden die Daten an den SIEM-Dienst gesendet.
alert_value Ein numerischer Wert, der für die Änderung des Risiko-Score zugewiesen wurde. Die Änderung der Risikobewertung ist die Differenz zwischen dem aktuellen Risiko-Score und dem vorherigen Risiko-Score für einen Benutzer. Der Alarmwert variiert zwischen -100 und 100.
cur_riskscore Der aktuelle Risikowert, der dem Benutzer zugewiesen wurde. Die Risikobewertung variiert je nach Bedrohungsschweregrad, der mit der Aktivität des Benutzers verbunden ist, zwischen 0 und 100.
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Änderung des Risiko-Score des Benutzers.
timestamp Das Datum und die Uhrzeit, zu der die letzte Änderung des Risiko-Score für den Benutzer erkannt wird.

Risikoindikator-Schema

Das Risikoindikatorschema besteht aus zwei Teilen- Indictor-Zusammenfassungsschema und einem Anzeigeereignis-Detailschema. Basierend auf dem Risikoindikator ändern sich die Felder und ihre Werte im Schema entsprechend.

In der folgenden Tabelle werden die Feldnamen beschrieben, die für alle Indikatorzusammenfassungsschemas häufig sind.

Feldname Beschreibung
data source Die Produkte, die Daten an Citrix Analytics for Security senden. Zum Beispiel: Citrix Access Control, Citrix Gateway und Citrix Virtual Apps and Desktops.
data_source_id Die mit einer Datenquelle verknüpfte ID. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
entity_type Das Unternehmen in Gefahr. Es kann ein Benutzer oder ein Freigabe-Link sein.
entity_id Die ID, die mit dem gefährdeten Unternehmen verknüpft ist.
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Zusammenfassung des Risikoindikators.
indicator_category Gibt die Kategorien von Risikoindikatoren an. Die Risikoindikatoren sind in eine der Risikokategorien unterteilt - kompromittierter Endpunkt, kompromittierte Benutzer, Datenexfiltration oder Insiderbedrohungen.
indicator_id Die mit dem Risikoindikator verknüpfte eindeutige ID.
indicator_category_id Die ID, die mit einer Risikoindikatorkategorie verknüpft ist. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierter Endpunkt
indicator_name Der Name des Risikoindikators. Für einen benutzerdefinierten Risikoindikator wird dieser Name beim Erstellen des Indikators definiert.
indicator_type Gibt an, ob der Risikoindikator Standard (eingebaut) oder benutzerdefiniert ist.
indicator_uuid Die eindeutige ID, die mit der Risikoindikatorinstanz verbunden ist.
indicator_vector_name Gibt den Risikovektor an, der einem Risikoindikator zugeordnet ist. Die Risikovektoren sind gerätebasierte Risikoindikatoren, standortbasierte Risikoindikatoren, Anmeldeausfallbasierte Risikoindikatoren, IP-basierte Risikoindikatoren, datenbasierte Risikoindikatoren, dateibasierte Risikoindikatoren und andere Risikoindikatoren.
indicator_vector_id Die mit einem Risikovektor verknüpfte ID. ID 1 = Gerätebasierte Risikoindikatoren, ID 2 = Standortbasierte Risikoindikatoren, ID 3 = Anmeldeausfall-basierte Risikoindikatoren, ID 4 = IP-basierte Risikoindikatoren, ID 5 = Datenbasierte Risikoindikatoren, ID 6 = Dateibasierte Risikoindikatoren, ID 7 = Andere Risikoindikatoren und ID 999 = Nicht verfügbar
occurrence_details Die Details über den Risikoindikator auslösenden Zustand.
risk_probability Gibt die Risikowahrscheinlichkeit an, die mit dem Benutzerereignis verbunden sind. Der Wert variiert zwischen 0 und 1,0. Für einen benutzerdefinierten Risikoindikator beträgt die risk_wahrscheinlichkeit immer 1,0, da es sich um einen richtlinienbasierten Indikator handelt.
severity Gibt den Schweregrad des Risikos an. Es kann niedrig, mittel oder hoch sein.
tenant_id Die einzigartige Identität des Kunden.
timestamp Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
ui_link Der Link zur Benutzer-Timeline-Ansicht auf der Citrix Analytics-Benutzeroberfläche.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.

In der folgenden Tabelle werden die Feldnamen beschrieben, die im gesamten Schema der Indikatorereignisse üblich sind.

Feldname Beschreibung
data_source_id Die mit einer Datenquelle verknüpfte ID. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id Die ID, die mit einer Risikoindikatorkategorie verknüpft ist. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierter Endpunkt
entity_id Die ID, die mit dem gefährdeten Unternehmen verknüpft ist.
entity_type Das Unternehmen, das gefährdet ist. Es kann ein Benutzer oder ein Freigabe-Link sein.
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Details des Risikoindikatorereignisses.
indicator_id Die mit dem Risikoindikator verknüpfte eindeutige ID.
indicator_uuid Die eindeutige ID, die mit der Risikoindikatorinstanz verbunden ist.
indicator_vector_name Gibt den Risikovektor an, der einem Risikoindikator zugeordnet ist. Die Risikovektoren sind gerätebasierte Risikoindikatoren, standortbasierte Risikoindikatoren, Anmeldeausfallbasierte Risikoindikatoren, IP-basierte Risikoindikatoren, datenbasierte Risikoindikatoren, dateibasierte Risikoindikatoren und andere Risikoindikatoren.
indicator_vector_id Die mit einem Risikovektor verknüpfte ID. ID 1 = Gerätebasierte Risikoindikatoren, ID 2 = Standortbasierte Risikoindikatoren, ID 3 = Anmeldeausfall-basierte Risikoindikatoren, ID 4 = IP-basierte Risikoindikatoren, ID 5 = Datenbasierte Risikoindikatoren, ID 6 = Dateibasierte Risikoindikatoren, ID 7 = Andere Risikoindikatoren und ID 999 = Nicht verfügbar
tenant_id Die einzigartige Identität des Kunden.
timestamp Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.
client_ip Die IP-Adresse des Geräts des Benutzers.

Hinweis

  • Wenn ein Feldwert für ganzzahlige Datentypen nicht verfügbar ist, ist der zugewiesene Wert -999. Zum Beispiel "latitude": -999, "longitude": -999.

  • Wenn ein Feldwert des Zeichenfolgendatentyps nicht verfügbar ist, ist der zugewiesene Wert NA. Zum Beispiel "city": "NA", "region": "NA".

Citrix Gateway-Risikoindikatoren

Risikoindikatorschema für EPA-Scanausfall

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "EPA scan failure",
  "severity": "low",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "event_description": "Post auth failed, no quarantine",
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "EPA Scan Failure at Logon"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:12:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Post auth failed, no quarantine",
  "gateway_domain_name": "10.102.xx.xx",
  "gateway_ip": "56.xx.xxx.xx",
  "policy_name": "postauth_act_1",
  "client_ip": "210.91.xx.xxx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "cs_vserver_name": "demo_vserver",
  "device_os": "Windows OS",
  "security_expression": "CLIENT.OS(Win12) EXISTS",
  "vpn_vserver_name": "demo_vpn_vserver",
  "vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->

In der Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für den Risikoindikator für den EPA-Scanausfall.

Namen von Feldern Beschreibung
event_description Beschreibt die Gründe für den Fehler des EPA-Scans wie die fehlgeschlagene Postauthentifizierung und keine Quarantänegruppe.
relevant_event_type Gibt den Typ des EPA-Scan-Fehlereignisses an.
gateway_domain_name Der Domänenname von Citrix Gateway.
gateway_ip Die IP-Adresse von Citrix Gateway.
policy_name Der auf dem Citrix Gateway konfigurierte EPA-Scanrichtlinienname.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
region Die Region, aus der die Benutzeraktivität erkannt wurde.
cs_vserver_name Der Name des virtuellen Content-Switch-Servers.
device_os Das Betriebssystem des Geräts des Benutzers.
security_expression Der auf Citrix Gateway konfigurierte Sicherheitsausdruck.
vpn_vserver_name Der Name des virtuellen Citrix Gateway-Servers.
vserver_fqdn Der FQDN des virtuellen Citrix Gateway-Servers.

Risikoindikatorschema für übermäßige Authentifizierung

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Excessive authentication failures",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "Logon Failure"
  }
}
<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:10:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo-user",
  "version": 2,
  "event_description": "Bad (format) password passed to nsaaad",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "auth_server_ip": "10.xxx.x.xx",
  "client_ip": "24.xxx.xxx.xx",
  "gateway_ip": "24.xxx.xxx.xx",
  "vserver_fqdn": "demo-fqdn.citrix.com",
  "vpn_vserver_name": "demo_vpn_vserver",
  "cs_vserver_name": "demo_cs_vserver",
  "gateway_domain_name": "xyz",
  "country": "United States",
  "region": "California",
  "city": "San Jose",
  "nth_failure": 5
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für einen übermäßigen Authentifizierungsfehler.

Namen von Feldern Beschreibung
relevant_event_type Gibt den Typ des Ereignisses an, z. B. ein Anmeldefehler.
event_description Beschreibt den Grund für das Ereignis eines übermäßigen Authentifizierungsfehlers, z. B. ein falsches Kennwort.
authentication_stage Gibt an, ob die Authentifizierungsphase primär, sekundär oder tertiär ist.
authentication_type Gibt die Authentifizierungstypen wie LDAP, Local oder OAuth an.
auth_server_ip Die IP-Adresse des Authentifizierungsservers.
gateway_domain_name Der Domänenname von Citrix Gateway.
gateway_ip Die IP-Adresse von Citrix Gateway.
cs_vserver_name Der Name des virtuellen Content-Switch-Servers.
vpn_vserver_name Der Name des virtuellen Citrix Gateway-Servers.
vserver_fqdn Der FQDN des virtuellen Citrix Gateway-Servers.
nth_failure Die Häufigkeit, mit der die Benutzerauthentifizierung fehlgeschlagen ist.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
region Die Region, aus der die Benutzeraktivität erkannt wurde.

Anmeldung von einem verdächtigen IP-Risikoindikator-Schema

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.91,
  "indicator_category": "Compromised users",
  "indicator_name": "Logon from suspicious IP",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon",
    "client_ip": "1.0.xxx.xx",
    "observation_start_time": "2019-10-10T10:00:00Z",
    "suspicion_reasons": "brute_force|external_threat"
  }
}
<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:11:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "suspicion_reasons": "external_threat",
  "gateway_ip": "gIP1",
  "client_ip": "128.0.xxx.xxx",
  "country": "Sweden",
  "city": "Stockholm",
  "region": "Stockholm",
  "webroot_reputation": 14,
  "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
  "device_os": "Windows OS",
  "device_browser": "Chrome"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für Anmeldung von verdächtiger IP spezifisch sind.

Feldname Beschreibung
suspicious_reasons Der Grund für die Identifizierung der IP-Adresse als verdächtig.
webroot_reputation Der IP-Reputationsindex, der vom Threat Intelligence Provider Webroot bereitgestellt wird.
webroot_threat_categories Die Bedrohungskategorie, die vom Threat Intelligence Provider Webroot für die verdächtige IP identifiziert wurde.
device_os Das Betriebssystem des Benutzergeräts.
device_browser Der verwendete Webbrowser.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
region Die Region, aus der die Benutzeraktivität erkannt wurde.

Zugriff von einem ungewöhnlichen Standortschema

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 104,
  "indicator_uuid": "56e0bdd8-e7c3-5c96-9950-c9f544520174",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 1,
  "timestamp": "2018-01-25T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "country": "India",
    "observation_start_time": "2018-01-25T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"","city":"","latitude":40.7,"longitude":-74.0,"count":7}]",
    "historical_observation_period_in_days": 30,
    "city": "NA",
    "region": "NA",
    "relevant_event_type": "Logon"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 104,
  "indicator_uuid": "56e0bdd8-e7c3-5c96-9950-c9f544520174",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 1,
  "timestamp": "2018-01-25T12:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "NA",
  "city": "NA",
  "region": "NA",
  "latitude": -999,
  "longitude": -999,
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "client_ip": "157.45.xxx.xxx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für Zugriff von einem ungewöhnlichen Speicherort aus.

Namen von Feldern Beschreibung
historical_logon_location Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
historical_observation_period_in_days Jeder Standort wird 30 Tage lang überwacht.
relevant_event_type Gibt den Typ des Ereignisses wie Anmeldung an.
country Gibt das Land an, aus dem sich der Benutzer angemeldet hat.
city Gibt die Stadt an, von der sich der Benutzer angemeldet hat.
region Gibt die Region an, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
device_os Das Betriebssystem des Geräts des Benutzers.
device_browser Der vom Benutzer verwendete Webbrowser.

Hinweis

  • Wenn ein Feldwert für ganzzahlige Datentypen nicht verfügbar ist, ist der zugewiesene Wert -999. Zum Beispiel "latitude": -999, "longitude": -999.

  • Wenn ein Feldwert des Zeichenfolgendatentyps nicht verfügbar ist, ist der zugewiesene Wert NA. Zum Beispiel "city": "NA", "region": "NA".

Ungewöhnliches Risikoindikator-Schema für

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:44:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2020-04-01T05:45:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:42:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Success",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "client_ip": "99.xxx.xx.xx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "is_risky": "false"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für einen ungewöhnlichen Authentifizierungsfehler beschrieben.

Namen von Feldern Beschreibung
relevant_event_type Gibt den Typ des Ereignisses an, z. B. ein Anmeldefehler.
event_description Zeigt an, ob die Anmeldung erfolgreich oder erfolglos ist
authentication_stage Gibt an, ob die Authentifizierungsphase primär, sekundär oder tertiär ist.
authentication_type Gibt die Authentifizierungstypen wie LDAP, Local oder OAuth an.
is_risky Für eine erfolgreiche Anmeldung ist der Wert is_risky false. Für eine erfolglose Anmeldung ist der Wert is_risky true.
device_os Das Betriebssystem des Benutzergeräts.
device_browser Der vom Benutzer verwendete Webbrowser.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
region Die Region, aus der die Benutzeraktivität erkannt wurde.

Risikoindikatoren für Citrix Content Collaboration

Übermäßiger Zugriff auf sensible Dateien (DLP-Warnung)

Zusammenfassungsschema des Indikators

{
  
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_name": "Excessive access to sensitive files (DLP alert)",
  "indicator_category": "Data exfiltration",
  "risk_probability": 1.0,
  "version": 2,
  "severity": "low",
  "indicator_type": "builtin",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "event_count": 1,
    "observation_start_time": "2021-03-22T09:31:11Z"
    },
  "event_type": "indicatorSummary",
  "cas_consumer_debug_details": {"partition": 1, "offset":179528, "enqueued_timestamp": 1616406412459}
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  
  "tenant_id": "demo_tenant",
  "version": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "client_ip": "210.91.xx.xxx",
  "file_name": "filename.xls",
  "file_size_in_bytes": 178690,
  "event_type": "indicatorEventDetails",
}
<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für übermäßigen Zugriff auf sensible Dateien (DLP-Warnung).

Feldname Beschreibung
relevant_event_type Die Art des Ereignisses wie Download.
event_count Die Anzahl der erkannten Download-Ereignisse.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
file_name Der Name der heruntergeladenen Datei.
file_size_in_bytes Die Größe der heruntergeladenen Datei in Byte.

Risikoindikatorschema für übermäßiges Löschen von Dateien oder Ordnern

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "28c4bbab-f3ad-5886-81cd-26fef200d9d7",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T11:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file / folder deletion",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "cumulative_event_count_day": 11,
    "relevant_event_type": "File and/or Folder Delete",
    "observation_start_time": "2017-12-18T11:00:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "be9af43f-29d2-51cd-81d6-c1d48b392bbb",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T01:45:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "210.91.xx.xxx",
  "version": 2,
  "resource_type": "File",
  "resource_name": "Filename21",
  "component_name": "Platform"
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für übermäßiges Löschen von Dateien oder Ordnern beschrieben.

Namen von Feldern Beschreibung
cumulative_event_count_day Die Anzahl der eindeutigen Löschereignisse für Dateien oder Ordner für den aktuellen Tag.
relevant_event_type Gibt den Typ des Ereignisses an, z. B. die Datei- oder Ordnerlöschung.
resource_type Gibt an, ob es sich bei der Ressource um eine Datei oder ein Ordner handelt.
resource_name Der Name der Ressource.
component_name Gibt die ShareFile-Komponente an - Plattform oder Connector. Wenn ein Benutzer Dateien aus dem von ShareFile verwalteten Cloud-Speicher löscht, wird die Komponente als “Plattform” angezeigt. Wenn ein Benutzer Dateien aus einer Speicherzone löscht, wird die Komponente als “Connector” angezeigt.
connector_type Der Typ des verwendeten StorageZone Connectors.
city Die Stadt, von der sich der Benutzer angemeldet hat.
country Das Land, aus dem sich der Benutzer angemeldet hat.
region Die Region, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Schema des Risikoindikators für übermäßige

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "3d421659-ef4d-5434-94b8-90f792e81989",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T06:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.19621421,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file sharing",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-03T06:00:00Z",
    "relevant_event_type": "Share Create and/or Send",
    "cumulative_event_count_day": 15
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "c5ea0b26-ce4c-55ad-b8ba-d562f128a2fb",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T02:22:04Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_tenant",
  "version": 2,
  "share_id": "share110",
  "operation_name": "Create",
  "tool_name": "SFWebApp",
  "component_name": "Platform",
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für übermäßige Dateifreigabe spezifisch sind.

Feldname Beschreibung
cumulative_event_count_day Die Anzahl eindeutiger Dateien, die tagsüber freigegeben wurden.
relevant_event_type Gibt die Art des Ereignisses an, z. B. Links freigeben.
share_id Die mit dem Freigabe-Link verknüpfte ID.
operation_name Zeigt die Benutzeraktivitäten an, wie zum Beispiel Freigabe-Link erstellen, Freigabe-Link löschen.
tool_name Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.
component_name Gibt die ShareFile-Komponente an - Plattform oder Connector. Wenn ein Benutzer Dateien aus dem von ShareFile verwalteten Cloud-Speicher teilt, wird die Komponente als “Plattform” angezeigt. Wenn ein Benutzer Dateien aus einer Speicherzone teilt, wird die Komponente als “Connector” angezeigt
city Die Stadt, von der sich der Benutzer angemeldet hat.
country Das Land, aus dem sich der Benutzer angemeldet hat.
region Die Region, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Übermäßiges Datei-Uploads Risikoindikatorschema

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.64705884,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file uploads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "tool_name": "tool3",
    "relevant_event_type": "Upload",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:37:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "File5.txt",
  "component_name": "Connector",
  "client_ip": "99.xxx.xx.xx",
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für übermäßige Datei-Uploads spezifisch sind.

Feldname Beschreibung
tool_name Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.
relevant_event_type Gibt den Typ des Benutzerereignisses wie Upload an.
file_name Der Name der hochgeladenen Datei.
component_name Gibt die ShareFile-Komponente an - Plattform oder Connector. Wenn ein Benutzer Dateien in den von ShareFile verwalteten Cloud-Speicher hochlädt, wird die Komponente als “Plattform” angezeigt. Wenn ein Benutzer Dateien in eine Speicherzone hochlädt, wird die Komponente als “Connector” angezeigt.
connector_type Der Typ des verwendeten StorageZone Connectors.
city Die Stadt, von der sich der Benutzer angemeldet hat.
country Das Land, aus dem sich der Benutzer angemeldet hat.
region Die Region, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Ungewöhnliches Risikoindikator-Schema für

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "274cedc0-a404-5abe-b95b-317c0209c9e8",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:29:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2018-01-26T00:30:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "e1bf5b91-b0e1-5145-aa5b-7731f31b56ac",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:01:01Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "operation_name": "LoginFailure",
  "tool_name": "webapp",
  "client_ip": "128.x.x.x",
  "os": "Android"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für einen ungewöhnlichen Authentifizierungsfehler beschrieben.

Feldname Beschreibung
relevant_event_type Gibt den Typ des Benutzerereignisses an, z. B. ein Anmeldefehler.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
tool_name Das Tool oder die Anwendung, mit der die Dateien freigegeben werden.
os Das Betriebssystem des Benutzergeräts.

Risikoindikator für Ransomware-Aktivität vermutet (Datei ersetzt)

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "0afaa694-59ec-5a44-84df-3afcefad7b50",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files replaced)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-29T10:50:00Z",
    "relevant_event_type": "Delete & Upload"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "580f8f03-c02b-5d0f-b707-1a0577ca2fec",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:06Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "client_ip": "99.xxx.xx.xx",
  "operation_name": "Upload",
  "file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für verdächtigte Ransomware-Aktivitäten (Datei ersetzt).

Feldname Beschreibung
relevant_event_type Gibt den Typ des Benutzerereignisses an, z. B. die Datei gelöscht und eine andere Datei hochgeladen.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
file_name Der Name der ersetzten Datei.
operation_name Die Benutzeraktivitäten wie Hochladen oder Löschen.
file_path Der Pfad der ersetzten Datei.

Risikoindikator für anonymen Download sensibler Freigaben

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "93a32d22-d14b-5413-94fc-47c44fe7c07f",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "62795698",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Anonymous sensitive share download",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-27T12:00:00Z",
    "relevant_event_type": "Download"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "11562a63-9761-55b8-8966-3ac81bc1d043",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:02:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "46268753",
  "version": 2,
  "file_name": "file1.mp4",
  "file_size_in_bytes": 278,
  "city": "Miami",
  "country": "USA",
  "client_ip": "166.xxx.xxx.xxx",
  "device_type": "iPhone X"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für den Download anonymer sensibler Freigaben spezifisch sind.

Namen von Feldern Beschreibung
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
relevant_event_type Gibt den Typ des Benutzerereignisses an, z. B. die Datei gelöscht und eine andere Datei hochgeladen.
file_name Der Name der sensiblen Datei, die heruntergeladen wird.
file_size_in_bytes Die Dateigröße in Byte, die heruntergeladen wird.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
device_type Der Gerätetyp, mit dem die Datei heruntergeladen wird.

Risiko für übermäßige Downloads

Zusammenfassungsschema des Indikators

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "lifetime_users_downloaded": 6,
    "observation_start_time": "2018-01-27T19:00:00Z",
    "lifetime_download_volume_in_bytes": 2718,
    "lifetime_download_count": 6,
    "link_first_downloaded": "2018-01-27T11:12:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:47:50Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "file_name": "anom20.jep",
  "file_size_in_bytes": 106,
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74,
  "user_email": "new-user61@citrix.com",
  "lifetime_unique_user_emails": "new-user62@citrix.com user6e@citrix.com user6f@citrix.com new-user63@citrix.com new-user64@citrix.com new-user61@citrix.com",
  "lifetime_unique_user_count": 6,
  "lifetime_num_times_downloaded": 6,
  "lifetime_total_download_size_in_bytes": 2718,
  "lifetime_first_event_time": "2018-01-27T11:12:00Z"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für übermäßige Downloads beschrieben.

Namen von Feldern Beschreibung
relevant_event_type Gibt die Art des Ereignisses an, z. B. übermäßiges Herunterladen eines Freigabe-Links.
lifetime_users_downloaded Gibt die Gesamtzahl der Benutzer an, die den Freigabe-Link seit der Erstellung des Links heruntergeladen haben.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
lifetime_download_volume_in_bytes Gibt das Gesamtvolumen der Downloads in Byte an, seit der Freigabe-Link erstellt wurde.
lifetime_download_count Gibt die Gesamtzahl der Downloads an, seit der Freigabe-Link erstellt wurde.
link_first_downloaded Gibt das Datum und die Uhrzeit an, zu der der Freigabe-Link zum ersten Mal heruntergeladen wurde.
file_name Gibt den Dateinamen an, der über den Link freigegeben wird.
file_size_in_bytes Gibt die Größe der freigegebenen Datei an.
user_email Gibt die E-Mail-ID des aktuellen Benutzers an, der die Datei über den Freigabe-Link übermäßig heruntergeladen hat.
lifetime_unique_user_emails Gibt die E-Mail-IDs aller Benutzer an, einschließlich des aktuellen Benutzers, der die Datei seit der Erstellung des Links heruntergeladen hat.
lifetime_unique_user_count Gibt die Gesamtzahl der eindeutigen Benutzer an, die die Datei seit der Erstellung des Links heruntergeladen haben.
lifetime_num_times_downloaded Gibt an, wie oft die Datei seit dem Erstellen des Links heruntergeladen wurde.
lifetime_total_download_size_in_bytes Gibt die gesamte Dateigröße an, die seit der Erstellung des Links heruntergeladen wird.
lifetime_first_event_time Gibt das Datum und die Uhrzeit des ersten Ereignisses von Downloads seit der Erstellung des Links an.
city Die Stadt, von der sich der Benutzer angemeldet hat.
country Das Land, aus dem sich der Benutzer angemeldet hat.
region Die Region, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Risikoindikator für übermäßige Dateidownloads

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "exfiltrated_data_volume_in_bytes": 24000,
    "relevant_event_type": "Download",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": "0",
  "timestamp": "2018-01-02T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "99.xxx.xx.xx",
  "version": 2,
  "file_name": "File1.txt",
  "file_size_in_bytes": 24000,
  "component_name": "Platform",
  "connector_type": "NA",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für übermäßige Dateidownloads spezifisch sind.

Feldname Beschreibung
exfiltrated_data_volume_in_bytes Die Menge der Daten in Bytes, die heruntergeladen wird.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
file_name Der Name der heruntergeladenen Datei.
file_size_in_bytes Die Dateigröße in Byte, die heruntergeladen wird.
component_name Gibt die ShareFile-Komponente an - Plattform oder Connector. Wenn ein Benutzer Dateien aus dem von ShareFile verwalteten Cloud-Speicher herunterlädt, wird die Komponente als “Plattform” angezeigt. Wenn ein Benutzer Dateien aus einer Speicherzone herunterlädt, wird die Komponente als “Connector” angezeigt.
city Die Stadt, von der sich der Benutzer angemeldet hat.
country Das Land, aus dem sich der Benutzer angemeldet hat.
region Die Region, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.

Zugriff von einem ungewöhnlichen Standortrisikoindikatorschema

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 7,
  "indicator_uuid": "88002ccf-63bb-5c6e-9288-24e9c826d4b3",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 0,
  "timestamp": "2018-01-25T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-25T12:00:00Z",
    "city": "abc",
    "region": "xyz",
    "historical_observation_period_in_days": 30,
    "historical_logon_locations": "[{"country":"United States","region":"Some_State_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":5},{"country":"United States","region":"Some_State_B","city":"Some_City_B","latitude":45.0,"longitude":45.0,"count":5}]",
    "country": "United States",
    "relevant_event_type": "Logon"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 7,
  "indicator_uuid": "d31db7d2-cf60-570e-8785-e994862ba377",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 0,
  "timestamp": "2018-01-25T12:04:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "city": "NA",
  "region": "NA",
  "latitude": -999,
  "longitude": -999,
  "tool_name": "SFWebApp",
  "os": "WindowsOS",
  "client_ip": "11.xx.xx.xx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für Zugriff von einem ungewöhnlichen Speicherort aus.

Feldname Beschreibung
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
historical_logon_location Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
historical_observation_period_in_days Jeder Standort wird 30 Tage lang überwacht.
relevant_event_type Gibt den Typ des Ereignisses wie Anmeldung an.
region Gibt die Region an, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
os Das Betriebssystem des Geräts des Benutzers.
tool_name Das Tool oder die Anwendung, mit der die Datei freigegeben wird.
country Das Land, aus dem sich der Benutzer angemeldet hat.
city Die Stadt, von der sich der Benutzer angemeldet hat.
region Die Region, aus der sich der Benutzer angemeldet hat.

Hinweis

  • Wenn ein Feldwert für ganzzahlige Datentypen nicht verfügbar ist, ist der zugewiesene Wert -999. Zum Beispiel "latitude": -999, "longitude": -999.

  • Wenn ein Feldwert des Zeichenfolgendatentyps nicht verfügbar ist, ist der zugewiesene Wert NA. Zum Beispiel "city": "NA", "region": "NA".

Risikoindikator für Ransomware-Aktivität (Datei aktualisiert)

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "f21ef9c8-c379-5a96-ae90-e750d31a728c",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files updated)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Update/Upload",
    "observation_start_time": "2018-01-29T10:50:00Z"
  }
}

<!--NeedCopy-->

Ereignisdetails des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "0509e432-527e-5c84-abb4-f397f2a5e02b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:05Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "operation_name": "Update",
  "stream_id": "someid37",
  "client_ip": "11.xx.xx.xx",
  "file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für verdächtigte Ransomware-Aktivitäten (Datei aktualisiert).

Feldname Beschreibung
relevant_event_type Gibt den Typ des Benutzerereignisses an, z. B. das Aktualisieren oder Hochladen einer Datei.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
file_name Der Name der aktualisierten Datei.
operation_name Die Benutzeraktivitäten wie Hochladen, Aktualisieren oder Löschen.
file_path Der Pfad der Datei, die vom Benutzer aktualisiert wird.
stream_id Die ID für den Artikelstream. Ein Element repräsentiert eine einzelne Version eines Dateisystemobjekts. Der Stream identifiziert alle Versionen desselben Dateisystemobjekts. Wenn ein Benutzer beispielsweise eine vorhandene Datei hochlädt oder ändert, wird ein neues Element mit derselben Stream-ID erstellt.

Citrix Endpoint Management-Risikoindikatoren Schema

Jailbroken oder gerootetes Gerät erkannt Indikatoren Schema

Zusammenfassungsschema des Indikators


{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 200,
  "indicator_name": "Jailbroken / Rooted Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:05Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "indicator_id": 200,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:35Z",
  "version": 2
}

<!--NeedCopy-->

Gerät mit Apps auf der Sperrliste erkannt

Zusammenfassungsschema des Indikators

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 201,
  "indicator_name": "Device with Blacklisted Apps Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:23Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "indicator_id": 201,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:39Z",
  "version": 2
}

<!--NeedCopy-->

Nicht verwaltetes Gerät erkannt

Zusammenfassungsschema des Indikators

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 203,
  "indicator_name": "Unmanaged Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T12:56:30Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "indicator_id": 203,
  "client_ip": "127.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T18:41:30Z",
  "version": 2
}

<!--NeedCopy-->

Risikokindikatoren für Citrix Access Control

Versuch, auf ein URL-Risikoindikatorschema auf der Sperrliste zuzugreifen

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:58Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Attempt to access blacklisted URL",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:44:59Z",
    "risky_domain_category_list": [
      "YouTube"
    ],
    "relevant_event_type": "Blacklisted External Resource Access"
  }

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:57:21Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "googleads.g.doubleclick.net",
  "domain_category": "Advertisements/Banners",
  "domain_category_group": "Computing and Internet",
  "executed_action": "blocked",
  "reason_for_action": "URL Category match",
  "domain_reputation": 3,
  "client_ip": "157.xx.xxx.xxx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für “Versuch, auf URLS auf der Sperrliste zuzugreifen”.

Feldname Beschreibung
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
risky_domain_category_list Die in Citrix Secure Workspace Access verfügbaren Kategorieinformationen. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
domain_category Die in Citrix Secure Workspace Access verfügbare Domänenkategorie. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
domain_category_group Die in Citrix Secure Workspace Access verfügbare Domänenkategoriegruppe. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
executed_action Die Aktion, die auf die URL auf der Sperrliste angewendet wurde. Die Aktion umfasst Zulassen, Blockieren.
reason_for_action Der Grund für das Anwenden der Aktion für die URL.
domain_reputation Der Reputationsindex der URL auf der Sperrliste.

Risikoindikatorschema für den riskanten Websitezugriff

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 400,
  "indicator_uuid": "26cc7ddf-101a-5776-b5de-df501189e8cd",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.075,
  "indicator_category": "Insider threats",
  "indicator_name": "Risky website access",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:45:00Z",
    "risky_domain_category_list": [
      "Advertisements/Banners",
      "Streaming Media"
    ],
    "relevant_event_type": "Risky External Resource Access"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 400,
  "indicator_uuid": "26cc7ddf-101a-5776-b5de-df501189e8cd",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:50:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "abc.googlevideo.com",
  "domain_category": "Streaming Media",
  "domain_category_group": "News/Entertainment/Society",
  "domain_reputation": 3,
  "client_ip": "157.xx.xxx.xxx",
  "transaction_count": 2
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für den riskanten Website-Zugriff beschrieben.

Feldname Beschreibung
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
risky_domain_category_list Die in Citrix Secure Workspace Access verfügbaren Kategorieinformationen. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
domain_name Der Name der Domäne, auf die der Benutzer zugreift.
domain_category Die in Citrix Secure Workspace Access verfügbaren Kategorieinformationen. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
domain_category_group Die in Citrix Secure Workspace Access verfügbare Domänenkategoriegruppe. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
domain_reputation Der Reputationsindex der riskanten Domäne.
transaction_count Die Häufigkeit, mit der der Benutzer tagsüber auf die Domäne zugegriffen wird.

Risikoindikatorschema für übermäßige Datendownloads

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive data download",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "domain_category": "Facebook",
  "domain_category_group": "Social Networking",
  "client_ip": "157.xx.xxx.xxx",
  "downloaded_bytes": 24000
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für übermäßige Datendownloads beschrieben.

Feldname Beschreibung
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
data_volume_in_bytes Die Menge der Daten in Bytes, die heruntergeladen wird.
relevant_event_type Gibt den Typ des Benutzerereignisses an.
domain_name Der Name der Domäne, von der Daten heruntergeladen werden.
domain_category Die in Citrix Secure Workspace Access verfügbaren Kategorieinformationen. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
domain_category_group Die in Citrix Secure Workspace Access verfügbare Domänenkategoriegruppe. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
downloaded_bytes Die Menge der Daten in Bytes, die heruntergeladen wird.

Ungewöhnliches Upload-Volumen-Risiko

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Unusual upload volume",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "domain_category": "Facebook",
  "domain_category_group": "Social Networking",
  "client_ip": "157.xx.xxx.xxx",
  "uploaded_bytes": 24000
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetailschema für Ungewöhnliches Upload-Volume beschrieben.

Namen von Feldern Beschreibung
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
data_volume_in_bytes Die Menge der Daten in Bytes, die hochgeladen wird.
relevant_event_type Gibt den Typ des Benutzerereignisses an.
domain_name Der Name der Domäne, in die Daten hochgeladen werden.
domain_category Die in Citrix Secure Workspace Access verfügbaren Kategorieinformationen. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
domain_category_group Die in Citrix Secure Workspace Access verfügbare Domänenkategoriegruppe. Weitere Informationen finden Sie unter Liste Verfügbare Kategorien für Citrix Secure Workspace Access.
uploaded_bytes Die Menge der Daten in Bytes, die hochgeladen wird.

Risikoindikatoren für Citrix Virtual Apps and Desktops

Indikator für potenzielle Datenexfiltrationsrisiken

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Potential data exfiltration",
  "severity": "low",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download/Print/Copy",
    "observation_start_time": "2018-04-02T10:00:00Z",
    "exfil_data_volume_in_bytes": 1172000
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:57:36Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "App.SaaS.Clipboard",
  "file_size_in_bytes": 98000,
  "file_type": "text",
  "device_id": "dvc5",
  "receiver_type": "XA.Receiver.Windows",
  "app_url": "https://www.citrix.com",
  "client_ip": "10.xxx.xx.xxx",
  "entity_time_zone": "Pacific Standard Time"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Felder beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für die potenzielle Datenexfiltration spezifisch sind.

Feldname Beschreibung
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
relevant_event_type Gibt die Benutzeraktivitäten wie Herunterladen, Drucken oder Kopieren der Daten an.
exfil_data_volume_in_bytes Die Menge der Datenexfiltration.
occurrence_event_type Gibt an, wie die Datenexfiltration stattgefunden hat, z. B. die Zwischenablage in einer SaaS-App.
file_size_in_bytes Die Größe der Datei.
file_type Der Typ der Datei.
device_id Die ID des Benutzergeräts.
receiver_type Die Citrix Workspace-App oder Citrix Receiver, die auf dem Benutzergerät installiert ist.
app_url Die URL der Anwendung, auf die der Benutzer zugreift.
entity_time_zone Die Zeitzone des Benutzers.

Verdächtiges Logon-Risikoindikator-Schema

Zusammenfassungsschema des Indikators

{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "risk_probability": 0.78,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details":
  {
    "user_location_risk": 0,
    "city": "Some_city",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "event_count": 1,
    "user_device_risk": 75,
    "country": "United States",
    "device_id": "device2",
    "region": "Some_Region",
    "client_ip": "99.xx.xx.xx",
    "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
    "historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
    "relevant_event_type": "Logon",
    "user_network_risk": 100,
    "historical_observation_period_in_days": 30,
    "suspicious_network_risk": 0
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06 12:02:30",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "Some_city",
  "country": "United States",
  "region": "Some_Region",
  "latitude": 37.751,
  "longitude": -97.822,
  "browser": "Firefox 1.3",
  "os": "Windows OS",
  "device_id": "device2",
  "receiver_type": "XA.Receiver.Chrome",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die für das Zusammenfassungsschema spezifischen Feldnamen und das Ereignisdetail-Schema für verdächtige Anmeldung beschrieben.

Feldname Beschreibung
historical_logon_location Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
historical_observation_period_in_days Jeder Standort wird 30 Tage lang überwacht.
relevant_event_type Gibt den Typ des Ereignisses wie Anmeldung an.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
occurrence_event_type Gibt den Benutzerereignistyp wie die Kontoanmeldung an.
country Das Land, aus dem sich der Benutzer angemeldet hat.
city Die Stadt, von der sich der Benutzer angemeldet hat.
region Gibt die Region an, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
browser Der vom Benutzer verwendete Webbrowser.
os Das Betriebssystem des Geräts des Benutzers.
device_id Der Name des vom Benutzer verwendeten Geräts.
receiver_type Der Typ der Citrix Workspace-App oder Citrix Receiver, die auf dem Gerät des Benutzers installiert ist.
user_location_risk Zeigt die Verdachtsstufe des Standorts an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
user_device_risk Zeigt die Verdachtsstufe des Geräts an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
user_network_risk Zeigt die Verdachtsstufe des Netzwerks oder des Subnetzes an, von dem aus sich der Benutzer angemeldet hat. Niedriger Verdacht: 0—69, mittlerer Verdacht: 70—89 und Hoher Verdacht: 90—100
suspicious_network_risk Gibt die IP-Bedrohungsstufe basierend auf dem Webroot IP-Bedrohungs-Intelligence-Feed an. Niedrige Bedrohungsstufe: 0—69, mittlere Bedrohungsstufe: 70—89 und hohe Bedrohungsstufe: 90—100
webroot_threat_categories Gibt die Arten von Bedrohungen an, die von der IP-Adresse basierend auf dem Webroot IP-Bedrohungsinfo-Feed erkannt wurden. Die Bedrohungskategorien können Spam-Quellen, Windows-Exploits, Webangriffe, Botnetze, Scanner, Denial of Service, Reputation, Phishing, Proxy, nicht spezifiziert, mobile Bedrohungen und Tor-Proxy sein

MS Active Directory-Indikator

Zusammenfassungsschema des Indikators

{
  "data_source": "Microsoft Graph Security",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_id": 1000,
  "indicator_name": "MS Active Directory Indicator",
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_type": "builtin",
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "ui_link": "https://analytics-daily.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Schema für die Ereignisdetails

{
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_id": 1000,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "version": 2
}

<!--NeedCopy-->

Benutzerdefinierte Risikoindikator-Schema

Im folgenden Abschnitt wird das Schema für den benutzerdefinierten Risikoindikator beschrieben.

Hinweis

Derzeit sendet Citrix Analytics die Daten zu den benutzerdefinierten Risikoindikatoren von Citrix Virtual Apps and Desktops an Ihren SIEM-Dienst.

In der folgenden Tabelle werden die Feldnamen für das zusammenfassende Schema für benutzerdefinierte Risikoindikatoren beschrieben.

Feldname Beschreibung
data source Die Produkte, die Daten an Citrix Analytics for Security senden. Zum Beispiel: Citrix Access Control, Citrix Gateway und Citrix Virtual Apps and Desktops.
data_source_id Die mit einer Datenquelle verknüpfte ID. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
entity_id Die ID, die mit dem gefährdeten Unternehmen verknüpft ist.
entity_type Das Unternehmen in Gefahr. In diesem Fall ist die Entität ein Benutzer.
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Zusammenfassung des Risikoindikators.
indicator_category Gibt die Kategorien von Risikoindikatoren an. Die Risikoindikatoren sind in eine der Risikokategorien unterteilt - kompromittierter Endpunkt, kompromittierte Benutzer, Datenexfiltration oder Insiderbedrohungen.
indicator_id Die mit dem Risikoindikator verknüpfte eindeutige ID.
indicator_category_id Die mit der Risikoindikatorkategorie verbundene ID. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierte Endpunkte
indicator_name Der Name des Risikoindikators. Für einen benutzerdefinierten Risikoindikator wird dieser Name beim Erstellen des Indikators definiert.
indicator_type Gibt an, ob der Risikoindikator Standard (eingebaut) oder benutzerdefiniert ist.
indicator_uuid Die eindeutige ID, die mit der Risikoindikatorinstanz verbunden ist.
occurrence_details Die Details über den Risikoindikator auslösenden Zustand.
pre_configured Zeigt an, ob der benutzerdefinierte Risikoindikator vorkonfiguriert ist.
risk_probability Gibt die Risikowahrscheinlichkeit an, die mit dem Benutzerereignis verbunden sind. Der Wert variiert zwischen 0 und 1,0. Für einen benutzerdefinierten Risikoindikator beträgt die risk_wahrscheinlichkeit immer 1,0, da es sich um einen richtlinienbasierten Indikator handelt.
severity Gibt den Schweregrad des Risikos an. Es kann niedrig, mittel oder hoch sein.
tenant_id Die einzigartige Identität des Kunden.
timestamp Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
ui_link Der Link zur Benutzer-Timeline-Ansicht auf der Citrix Analytics-Benutzeroberfläche.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.

In der folgenden Tabelle werden die Feldnamen beschrieben, die im Ereignisdetail-Schema für benutzerdefinierte Risikoindikatoren üblich sind.

Feldname Beschreibung
data_source_id Die mit einer Datenquelle verknüpfte ID. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id Die mit der Risikoindikatorkategorie verbundene ID. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierte Endpunkte
event_type Die Art der Daten, die an den SIEM-Dienst gesendet werden. In diesem Fall ist der Ereignistyp die Details des Risikoindikatorereignisses.
tenant_id Die einzigartige Identität des Kunden.
entity_id Die ID, die mit dem gefährdeten Unternehmen verknüpft ist.
entity_type Das Unternehmen, das gefährdet ist. In diesem Fall ist es der Benutzer.
indicator_id Die mit dem Risikoindikator verknüpfte eindeutige ID.
indicator_uuid Die eindeutige ID, die mit der Risikoindikatorinstanz verbunden ist.
timestamp Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.
event_id Die mit dem Benutzerereignis verknüpfte ID.
occurrence_event_type Gibt die Art des Benutzerereignisses wie Sitzungsanmeldung, Sitzungseinleitung und Kontoanmeldung an.
product Gibt den Typ der Citrix Workspace-App an, z. B. die Citrix Workspace-App für Windows.
client_ip Die IP-Adresse des Geräts des Benutzers.
session_user_name Der mit der Citrix Virtual Apps and Desktops-Sitzung verknüpfte Benutzername.
city Der Name der Stadt, von der aus die Benutzeraktivität erkannt wird.
country Der Name des Landes, aus dem die Benutzeraktivität erkannt wird.
device_id Der Name des vom Benutzer verwendeten Geräts.
os_name Das Betriebssystem, das auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Virtual Apps and Desktops.
os_version Die Version des Betriebssystems, die auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Virtual Apps and Desktops.
os_extra_info Die zusätzlichen Details im Zusammenhang mit dem Betriebssystem, das auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Virtual Apps and Desktops.

Benutzerdefinierter Risikoindikator für Citrix Virtual Apps and Desktops

Zusammenfassungsschema des Indikators


{
  "data_source": "Citrix Virtual Apps and Desktops",
  "data_source_id": 3,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_category_id": 3,
  "indicator_id": "ca97a656ab0442b78f3514052d595936",
  "indicator_name": "Demo_user_usage",
  "indicator_type": "custom",
  "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
  "occurrence_details": {
    "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
  "pre_configured": "N",
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-02-10T14:47:25Z",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "version": 2
}

<!--NeedCopy-->

Indicator Ereignisdetails Schema für das Sitzungsanmeldeereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "SYD04-MS1-S102",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für die Sitzungsanmeldung spezifisch sind.

Feldname Beschreibung
app_name Name einer gestarteten Anwendung oder eines Desktops.
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.
domain Der Domainname des Servers, der die Anfrage gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.

Indikator Ereignisdetails Schema für das Session-Start-Ereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für den Sitzungsstart spezifisch sind.

Feldname Beschreibung
app_name Name einer gestarteten Anwendung oder eines Desktops.
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.

Indicator Ereignisdetails Schema für das Kontoanmeldeereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Account.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für die Kontoanmeldung spezifisch sind.

Feldname Beschreibung
app_name Name einer gestarteten Anwendung oder eines Desktops.

Anzeigeereignisdetailschema für das Session-Endereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für das Sitzungsende spezifisch sind.

Feldname Beschreibung
app_name Name einer gestarteten Anwendung oder eines Desktops.
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.
domain Der Domainname des Servers, der die Anfrage gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.

Indikator Ereignisdetails Schema für das App-Startereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.Start",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für den App-Start spezifisch sind.

Feldname Beschreibung
app_name Name einer gestarteten Anwendung oder eines Desktops.
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.
domain Der Domainname des Servers, der die Anfrage gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
module_file_path Der Pfad der Anwendung, die verwendet wird.

Anzeigeereignisdetailschema für das App-Endereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für das App-Ende spezifisch sind.

Feldname Beschreibung
app_name Name einer gestarteten Anwendung oder eines Desktops.
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.
domain Der Domainname des Servers, der die Anfrage gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
module_file_path Der Pfad der Anwendung, die verwendet wird.

Indicator Ereignisdetails Schema für das Datei-Download-Ereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "File.Download",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "file_download_file_name": "File5.txt",
  "file_download_file_path": "/root/folder1/folder2/folder3",
  "file_size_in_bytes": 278,
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "device_type": "USB"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für den Dateidownload spezifisch sind.

Feldname Beschreibung
file_download_file_name Name der Download-Datei.
file_download_file_path Der Zielpfad, in den die Datei heruntergeladen wird.
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.
domain Der Domainname des Servers, der die Anfrage gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
device_type Gibt den Typ des Geräts an, auf das die Datei heruntergeladen wird.

Anzeigeereignisdetailschema für das Druckereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Printing",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "printer_name": "Test-printer",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "job_details_size_in_bytes": 454,
  "job_details_filename": "file1.pdf",
  "job_details_format": "PDF"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema zum Drucken spezifisch sind.

Feldname Beschreibung
printer_name Name des für den Druckauftrag verwendeten Druckers.
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.
domain Der Domainname des Servers, der die Anfrage gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
job_details_size_in_bytes Die Größe des gedruckten Auftrags wie Datei oder Ordner.
job_details_filename Name der gedruckten Datei.
job_details_format Das Format des gedruckten Auftrags.

Indicator Ereignisdetails Schema für das App SaaS Launch-Ereignis

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für den Start von App SaaS spezifisch sind.

Feldname Beschreibung
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.

Indikator Ereignisdetails Schema für das SaaS-Endereignis der App

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetail-Schema für App SaaS-Ende spezifisch sind.

Feldname Beschreibung
launch_type Zeigt entweder eine Anwendung oder einen Desktop an.

<! —Zugriff von einem ungewöhnlichen Standortrisikoindikatorschema

Zusammenfassungsschema des Indikators


{
  "tenant_id": "demo_tenant",
  "indicator_id": 311,
  "indicator_uuid": "ac651192-31b2-5a98-8a16-8574ce52d1bd",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "historical_observation_period_in_days": 30,
    "city": "new_city",
    "country": "some_country",
    "relevant_event_type": "Logon",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "region": "some_region",
    "historical_logon_locations": "[{"country":"some_country","region":"some_region","city":"some_city","latitude":40.7,"longitude":-74.0,"count":150}]"
  }
}

<!--NeedCopy-->

Schema für die Ereignisdetails


{
  "tenant_id": "demo_tenant",
  "indicator_id": 311,
  "indicator_uuid": "104617f6-1459-530b-85e8-9a139ba630a8",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:01:02Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "new_city",
  "country": "new_country",
  "region": "new_region",
  "latitude": 60.7,
  "longitude": -74,
  "browser": "Chrome",
  "os": "Windows",
  "device_id": "some_device",
  "receiver_type": "XA.Receiver.Windows",
  "client_ip": "11.xx.xx.xx"
}

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema spezifisch sind, und das Ereignisdetailschema für Zugriff von einem ungewöhnlichen Speicherort aus.

Feldname Beschreibung
historical_logon_location Die Standorte, auf die der Benutzer zugegriffen hat, und wie oft während des Beobachtungszeitraums auf jeden Standort zugegriffen wurde.
historical_observation_period_in_days Jeder Standort wird 30 Tage lang überwacht.
relevant_event_type Gibt den Typ des Ereignisses wie Anmeldung an.
observation_start_time Die Zeit, ab der Citrix Analytics beginnt, die Benutzeraktivität bis zum Zeitstempel zu überwachen. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
occurrence_event_type Gibt den Benutzerereignistyp wie die Kontoanmeldung an.
country Das Land, aus dem sich der Benutzer angemeldet hat.
city Die Stadt, von der sich der Benutzer angemeldet hat.
region Gibt die Region an, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Standorts an, von dem sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Ortes an, von dem sich der Benutzer angemeldet hat.
browser Der vom Benutzer verwendete Webbrowser.
os Das Betriebssystem des Geräts des Benutzers.
device_id Der Name des vom Benutzer verwendeten Geräts.
receiver_type Der Typ der Citrix Workspace-App oder Citrix Receiver, die auf dem Gerät des Benutzers installiert ist.

–>