Citrix Analytics para la seguridad

Búsqueda de autoservicio de Content Collaboration

Utilice la búsqueda de autoservicio para obtener información sobre los eventos de usuario recibidos del origen de datos de Content Collaboration. Cuando los usuarios utilizan el servicio Content Collaboration, se generan eventos como inicio de sesión, eliminación, descarga y carga. Citrix Analytics for Security recibe estos eventos y los muestra en la página de búsqueda de autoservicio. Puede hacer un seguimiento de los usuarios y sus actividades.

Para obtener más información sobre las funcionalidades de búsqueda, consulte Búsqueda de autoservicio.

Seleccione el origen de datos Content Collaboration

Para ver los eventos de Content Collaboration, seleccione Content Collaboration en la lista. De forma predeterminada, la página de autoservicio muestra los eventos del último día. También puede seleccionar el período de tiempo para el que quieres ver los eventos.

La colaboración de contenido selecciona

Seleccione las facetas para filtrar los eventos

Utilice las siguientes facetas asociadas a los eventos de Content Collaboration.

  • Tamaño del archivo de descarga: indica el tamaño del archivo descargado de Content Collaboration.

  • Tipo de evento: indica los tipos de actividades de los usuarios, como la carga de archivos, la descarga de archivos, la creación de vínculos para compartir, el inicio de sesión, la creación de carpetas y la eliminación de vínculos compartidos.

    Facetas de colaboración de contenido

Especificar consulta de búsqueda para filtrar eventos

Coloque el cursor en el cuadro de búsqueda para ver la lista de dimensiones de los eventos de Content Collaboration. Utilice las dimensiones y los operadores para especificar la consulta y buscar los eventos necesarios.

Dimensiones de colaboración de contenido

Por ejemplo, quiere buscar los eventos originados en la India y el tamaño del archivo es superior a 900.000 bytes. Especifique la siguiente consulta como se muestra en la ilustración.

  1. Introduzca “Co” en el cuadro de búsqueda para obtener las sugerencias relacionadas.

    Consulta de búsqueda de colaboración de contenido 1

  2. Seleccione País e introduzca el valor “India” con el operador igual.

    Consulta de búsqueda de colaboración de contenido 2

    Consulta de búsqueda de colaboración de contenido 3

  3. Seleccione el operador AND y, a continuación, seleccione la dimensión Tamaño de archivo. Seleccione el operador > e introduzca el valor del tamaño del archivo en bytes.

    Consulta de búsqueda de colaboración de contenido 4

  4. Seleccione el período de tiempo y haga clic en Buscar para ver los eventos en la tabla DATA.

Registros de auditoría

Los registros de auditoría proporcionan información sobre los permisos y las acciones que los administradores de Content Collaboration aplican a las cuentas de usuario. Con estos datos, puede verificar si los administradores de Content Collaboration han tomado medidas válidas en las cuentas de usuario.

Puede ver los siguientes registros de auditoría en la búsqueda de autoservicio.

Nota

Para recibir estos registros en Citrix Analytics, debe integrar el servicio Citrix Content Collaboration con Citrix Workspace.

Evento atributos
Creación de grupos de distribución ID de grupo, grupo compartido, SO de cliente, IP del cliente, nombre del grupo, ID de propietario, correo electrónico del usuario
Eliminar grupo de distribución ID de grupo, nombre del grupo
Actualización del grupo de distribución ID de grupo, se comparte
Actualización de DLP, actualización de la directiva de DLP DLP habilitado, SO cliente, IP del cliente, formato guardado, descarga habilitada para usuario anónimo, descarga habilitada para el usuario cliente, descarga habilitada para el usuario empleado, uso compartido habilitado para el usuario del cliente, uso compartido habilitado para el usuario empleado
Actualización de la directiva de inicio de sesión y seguridad Dominios de confianza, nombre de usuario, SO cliente, IP del cliente, usuarios de cierre de sesión después de la actividad, inicios de sesión fallidos máximos, duración bloqueada, autenticación de dos factores habilitada para los usuarios, autenticación de dos factores habilitada para los empleados, autenticación de dos factores habilitada, correo electrónico del usuario
Creación de informes, actualización de informes, eliminación de informes Fecha de creación, fecha de finalización, título del informe, frecuencia recurrente, subcarpetas incluidas, recurrente, informe programado, fecha de última ejecución, tipo de informe, formato guardado, carpeta guardada, fecha de inicio
Actualización de la configuración de SSO Cookies de perfil activo, SO cliente, IP del cliente, restricciones de IP, SSO activado, URL de inicio de sesión, URL de cierre de sesión, tipo de IdP, contexto de autenticación iniciado por SP, método de autenticación iniciado por SP, correo electrónico de usuario, método de redireccionamiento iniciado por SP, autenticación web habilitada

Registros de malware

El evento de malware File.VirusInfected se desencadena cuando un archivo cargado por un usuario de Content Collaboration se infecta con un malware. Los siguientes registros son específicos del evento de malware.

Evento atributos
File.VirusInfected Nombre del creador del archivo, nombre del propietario del archivo, dirección de correo electrónico del creador del archivo, dirección de correo electrónico del propietario del archivo, tamaño del archivo, nombre de la carpeta compartida, ruta del archivo, fecha de creación del archivo, hash del archivo, ID del archivo, nombre del virus

Dimensiones admitidas para la consulta de búsqueda

En la tabla siguiente se describen las dimensiones que se pueden ver en los eventos de búsqueda de autoservicio. Puede utilizar estas dimensiones para definir la consulta de búsqueda.

|Dimensión | Descripción | Tipo de valor | Ejemplo | |——|——-|———|———-| | Account-ID | Indica el ID de cuenta del usuario. | Cadena | adb8477a-6bf1-2108-fa4b-55dea0b8c44c | | Active-Profile-Cookies | Indica si los clientes activos de Content Collaboration, como los clientes móviles, el motor de sincronización y el complemento de Outlook, utilizan la configuración avanzada. Este parámetro puede ser necesario para automatizar la selección en ciertas configuraciones de IdP. | Cadena | | Alias-ID | Indica el identificador de alias del usuario. | Cadena | testuser1 | | Bytes-Total | Indica el tamaño total (KB) del archivo descargado. Si se descargan varios archivos simultáneamente (descarga por lotes), el total de bytes indica el tamaño total de todos los archivos descargados. | Número | 105 | | City | Indica la ciudad desde la que el usuario ha iniciado sesión en el servicio Content Collaboration. | Cadena | Chicago | | Client-IP | Indica la dirección IP de la red del usuario. | Cadena | 172.xxx.xxx.xx | | Client-OS | Indica el sistema operativo del dispositivo del usuario. | Cadena | Windows 10 | | Country | Indica el país desde el que el usuario ha iniciado sesión en el servicio Content Collaboration. | Cadena | Estados Unidos | | Create-Date | Indica la fecha y la hora de creación del informe. | Cadena | 2021-05-25T13:54:36.167 | | Created-By | Indica el usuario que creó el informe. | Cadena | user1 | | Creator-ID | Indica el ID del usuario que creó el informe. | Cadena | 77f300f8-8d89-4891-bb58 | |Download-Enabled-for-Anonymous-User|Indica si un usuario anónimo puede descargar un archivo de una zona de almacenamiento en función del resultado del análisis de Prevención de pérdida de datos (DLP). | Booleano| “True” o “False”| |Download-Enabled-for-Client-User | Indica si un usuario de cliente externo puede descargar un archivo de una zona de almacenamiento en función del resultado de la exploración de Prevención de pérdida de datos (DLP). | Booleano | “True” o “False” | |Download-Enabled-for-Employee-User| Indica si un usuario empleado puede descargar un archivo de una zona de almacenamiento en función del resultado del análisis de Prevención de pérdida de datos (DLP). |Booleano | “True” o “False”| | Download-File-Size | Indica el tamaño (en KB) del archivo descargado por el usuario | Número | 10,8 KB | | Enabled-Web-Authentication | Indica si el IdP SAML está configurado para la autenticación basada en web y la cuenta de usuario utiliza ShareFile Sync. para Windows, ShareFile Sync para Mac o el complemento de Outlook de ShareFile. | Cadena | “True” o “False” | | Enabled-Two-Factor-Auth | Indica si la función de autenticación de dos factores está habilitada para los usuarios empleados o para los usuarios del cliente. | Cadena | “True” o “False” | | Enabled-Two-Factor-Auth-for-Employees | Indica si la autenticación de dos factores está habilitada para los usuarios empleados. | Cadena | “True” o “False” | | Enabled-Two-Factor-Auth-for-Users | Indica si la autenticación de dos factores está habilitada para los usuarios del cliente. | Cadena | “True” o “False” | | End-Date| Indica la fecha a partir de la cual no se genera el informe para su cuenta de Content Collaboration. |“2021-05-23T04:00:00+00:00” | | Event-ID | Indica la identidad única asociada a un evento de usuario. | Cadena | 77f300f8-8d89-4891-bb58-53b05c44766d | | Event-Type | Indica los tipos de actividades del usuario, como carga de archivos, descarga de archivos, creación de enlaces compartidos, inicio de sesión, crear carpeta y eliminar enlaces compartidos. | Cadena | File.Upload, Session.Login, Share.Create | | Event-User-ID | Indica el ID del usuario que desencadenó el evento. | Cadena | 8d89-4891-bb58-53b05 | | File-Creation-Date | Indica la fecha en que se creó el archivo infectado. | Cadena | 2021-05- 25T13:54:36.16 | | File-Creator-Email-Address | Indica el identificador de correo electrónico del usuario que creó originalmente el archivo infectado con un malware. | Cadena | usuario1@citrix.com | | File-Creator-Name | Indica el nombre de usuario que creó originalmente el archivo que está infectado con un malware. | Cadena | Usuario1 | | File-Hash| Indica el valor hash del archivo infectado. | Cadena | 88e300f8-8d89-4891-bb58 | | File-ID | Indica el identificador único del archivo infectado. | Cadena| fib0257-1bd802-0707-44c12 | | File-Name | Indica el nombre del archivo compartido, cargado o descargado por el usuario. | Cadena | Informe de uso 2021 | | File-Owner-Name | Indica el propietario actual del archivo infectado. | Cadena | Usuario2 | | File-Owner-Email-Address | Indica el ID de correo electrónico del propietario actual del archivo infectado. | Cadena | usuario2@citrix.com | | File-Path | Indica la ruta del archivo infectado en Content Collaboration. | Cadena | /testfolder/test-file.pdf | | File-Size | Indica el tamaño del archivo infectado en bytes. | Número | 10 B | | Folder-ID | Indica el ID de la carpeta creada en Content Collaboration. | Cadena | 8d89- 4891-bb58-53b05c | | Frequency| Indica la frecuencia recurrente del informe que se genera para su cuenta de Content Collaboration. | Cadena | “Diaria”, “Semanal” o “Mensual” | |Group-ID| Indica el ID del grupo de distribución.| Cadena |g0183f52-f219-4816-9b8e-9584e504a083 | |Group-Name| Indica el nombre del grupo de distribución. | Cadena| Grupo de prueba 1 | | IdP-Type | Indica el tipo de proveedor de identidades configurado para el usuario. | Cadena | | | IP-Restrictions | Indica las direcciones IP desde las que los usuarios no pueden iniciar sesión en sus cuentas de Content Collaboration. | | | | Inactive-Logout-Duration | Indica la duración de la inactividad tras la cual los usuarios inactivos ciñen a su cuenta. La duración se mide en minutos. De forma predeterminada, esta duración se establece en 1 hora (60 minutos).| Número | 60 | | Include-Sub Folders| Indica si el informe se crea para una carpeta seleccionada y sus subcarpetas. |Booleano | “True” o “False” | | |Is-Active| Indica si el inicio de sesión único está habilitado para los empleados que no son administradores que utilizan su IdP. |Booleano | “True” o “False” | | Is-Employee | Indica si el usuario es un empleado de su organización. | Cadena | “True” o “False” | | Is-Enabled | Indica si la prevención de pérdida de datos está habilitada en su cuenta de Content Collaboration. | Booleano| “True” o “False” | |Is-Recurring| Indica si el informe se genera después de un intervalo regular. | Booleano | “True” o “False”| |Is-Scheduled|Indica si el informe está programado. |Booleano |“True” o “False” | | Is-Shared | Indica si el uso compartido del grupo de distribución está habilitado para todos los empleados. | Cadena | “True” o “False” | |Last-Run-Date| Indica cuándo se generó el informe por última vez.| Cadena | “0001-01-01T00:00:00”| | Locked-Out-Duration | Indica el tiempo durante el cual el usuario está bloqueado de su cuenta cuando no pudo iniciar sesión y superó el número máximo de intentos de inicio de sesión permitidos. La duración se mide en segundos. | Número | 120 | | Login-URL | Indica la URL del servicio al consumidor de afirmaciones de IdP del usuario. | Cadena | https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=fa7a185d-d748-459| | Logout-URL | Indica la URL que utiliza Content Collaboration cuando un usuario cierra sesión en su sesión de inicio de sesión único. | Cadena | https://secure.sharefiletest.com | | Maximum-Failed-Attempts| Indica el número máximo de intentos que un usuario puede introducir una contraseña no válida antes de que se le bloquee la cuenta durante un período de tiempo específico. | Número | 5 | | OAuth-Client-ID | Indica el identificador único del usuario que utiliza el servidor de autorizaciones. | Cadena |Dzi4UPUAg5l8beKjioecdchmHUTWWln9 | | Operation-Name | Indica los tipos de operaciones realizadas en Content Collaboration. | Cadena | Crear, eliminar, cargar, descargar, compartir, iniciar sesión, copiar, actualizar | | Owner-ID | Indica el ID de propietario del grupo de distribución. | Cadena | 10812e09-ab02-4115-8405-8uas5e71258f | |Report-Type| Indica el tipo de informe que se crea. Esto es el tipo de informe y su ID correspondiente. | Número | 0, 2, 10 | | |0- Informe de acceso | | | | |1- Informe de actividad | | | | |2- Informe de almacenamiento | | | | |3- Informe de mensajería | | | | |4- Informe detallado de ancho de banda | | | | |5- Informe resumido de ancho de banda | | | | |6- Informe de correos cifrados | | | | |7- Informe resumido de almacenamiento | | | | |8- Informe resumido de usuarios | | | | |9- Informe de cambios de acceso | | | | |10- Compartir informe de envíos | | | | |11- Compartir informe de solicitudes | | | | Resource-ID | Indica el ID del recurso. | Cadena | 6bf1-2108-fa4b-55dea0b | | Resource-Type | Indica los recursos en que se efectúan las operaciones. |Cadena | Archivo, usuarios, sesión, cuenta | | Shared-Folder-Name | Indica la carpeta compartida en que se carga el archivo infectado. | Cadena | testfolder | | SP-Initiated Auth Context | Indica el nivel de comparación del contexto de autenticación. El IdP debe coincidir con el método de autenticación seleccionado cuando se utiliza la comparación “exacta”. O un método de mayor fuerza relativa cuando se utiliza la comparación “Mínima”. | Cadena | “Mínima” o “Exacta” | | SP-Initiated-Auth-Method | Indica el método para el contexto de autenticación. Según la selección, puede ser Sin especificar, nombre de usuario y contraseña, transporte protegido con contraseña, cliente de seguridad de la capa de transporte, certificado X.509, autenticación integrada de Windows o Kerberos. | Cadena | urn:oasis:names:tc:SAML:2.0:ac:classes:Password | | SP-Initiated-Redirect-Method | Indica el método de El SP inició la redirección en función del tamaño del certificado proporcionado por Content Collaboration. | Cadena | “Predeterminado”, “HTTP” o “POST” | |Save-Format|Indica el formato del informe guardado. |Cadena |“Excel” o “CSV”| | Save-To-Folder| Indica si el informe debe guardarse en una carpeta concreta. | Booleano | “True” o “False” | |Sharing-Enabled-for-Client User|Indica si un usuario cliente externo puede compartir un archivo desde una zona de almacenamiento en función de la resultado del análisis de Prevención de pérdida de datos (DLP). | Booleano | “True” o “False”| |Sharing-Enabled-for-Employee-User |Indica si un usuario empleado puede compartir un archivo desde una zona de almacenamiento en función del resultado de la exploración de Prevención de pérdida de datos (DLP). |Booleano | “True” o “False”| |Start-Date |Indica la fecha a partir de la cual se genera el informe para su cuenta de Content Collaboration. |Cadena |“2021-05-23T04:00:00+00:00” | |Title |Indica el título del informe generado para su cuenta de Content Collaboration. |Cadena | Informe de pruebas| |Trusted-Domains |Indica los dominios que están permitidos para la incrustación de iframe y el uso compartido de recursos entre orígenes. |Cadena |citrix.com | | Upload-File-Size | Indica el tamaño (en kilobytes) del archivo subido por el usuario. | Número | 10 KB | | User-Email | Indica la dirección de correo electrónico del usuario que desencadenó el evento. | Cadena | testuser@citrix.com | | User-Name | Indica el nombre de el usuario que desencadenó el evento. | Cadena | kevin.smith@citrix.com | | Virus-Name | Indica el nombre del malware que ha infectado el archivo. | Cadena | {HEX}EICAR.TEST.3.UNOFFICIAL |

Búsqueda de autoservicio de Content Collaboration