Citrix Analytics para la seguridad

Búsqueda de autoservicio de Content Collaboration

Utilice la búsqueda de autoservicio para obtener información sobre los eventos de usuario recibidos del origen de datos de Content Collaboration. Cuando los usuarios utilizan el servicio Content Collaboration, se generan eventos como inicio de sesión, eliminación, descarga y carga. Citrix Analytics for Security recibe estos eventos y los muestra en la página de búsqueda de autoservicio. Puede hacer un seguimiento de los usuarios y sus actividades.

Para obtener más información sobre las funcionalidades de búsqueda, consulte Búsqueda de autoservicio.

Seleccione el origen de datos Content Collaboration

Para ver los eventos de Content Collaboration, seleccione Content Collaboration en la lista. De forma predeterminada, la página de autoservicio muestra los eventos del último día. También puede seleccionar el período de tiempo para el que quiere ver los eventos.

La colaboración de contenido selecciona

Seleccione las facetas para filtrar los eventos

Utilice las siguientes facetas asociadas a los eventos de Content Collaboration.

  • Tamaño del archivo de descarga: indica el tamaño del archivo descargado de Content Collaboration.

  • Tipo de evento: indica los tipos de actividades de los usuarios, como la carga de archivos, la descarga de archivos, la creación de vínculos para compartir, el inicio de sesión, la creación de carpetas y la eliminación de vínculos compartidos.

    Facetas de colaboración de contenido

Especificar consulta de búsqueda para filtrar eventos

Coloque el cursor en el cuadro de búsqueda para ver la lista de dimensiones de los eventos de Content Collaboration. Utilice las dimensiones y los operadores para especificar la consulta y buscar los eventos necesarios.

Dimensiones de colaboración de contenido

Por ejemplo, quiere buscar los eventos originados en la India y el tamaño del archivo es superior a 900.000 bytes. Especifique la siguiente consulta como se muestra en la ilustración.

  1. Introduzca “Co” en el cuadro de búsqueda para obtener las sugerencias relacionadas.

    Consulta de búsqueda de colaboración de contenido 1

  2. Seleccione País e introduzca el valor “India” con el operador igual.

    Consulta de búsqueda de colaboración de contenido 2

    Consulta de búsqueda de colaboración de contenido 3

  3. Seleccione el operador AND y, a continuación, seleccione la dimensión Tamaño de archivo. Seleccione el operador > e introduzca el valor del tamaño del archivo en bytes.

    Consulta de búsqueda de colaboración de contenido 4

  4. Seleccione el período de tiempo y haga clic en Buscar para ver los eventos en la tabla DATA.

Registros de auditoría

Los registros de auditoría proporcionan información sobre los permisos y las acciones que los administradores de Content Collaboration aplican a las cuentas de usuario. Con estos datos, puede verificar si los administradores de Content Collaboration han tomado medidas válidas en las cuentas de usuario.

Puede ver los siguientes registros de auditoría en la búsqueda de autoservicio.

Nota

Para recibir estos registros en Citrix Analytics, debe integrar el servicio Citrix Content Collaboration con Citrix Workspace.

Evento atributos
Creación de grupos de distribución ID de grupo, grupo compartido, SO de cliente, IP del cliente, nombre del grupo, ID de propietario, correo electrónico del usuario
Eliminar grupo de distribución ID de grupo, nombre del grupo
Actualización del grupo de distribución ID de grupo, se comparte
Actualización de DLP, actualización de la directiva de DLP DLP habilitado, SO cliente, IP del cliente, formato guardado, descarga habilitada para usuario anónimo, descarga habilitada para el usuario cliente, descarga habilitada para el usuario empleado, uso compartido habilitado para el usuario del cliente, uso compartido habilitado para el usuario empleado
Actualización de la directiva de inicio de sesión y seguridad Dominios de confianza, nombre de usuario, SO cliente, IP del cliente, usuarios de cierre de sesión después de la actividad, inicios de sesión fallidos máximos, duración bloqueada, autenticación de dos factores habilitada para los usuarios, autenticación de dos factores habilitada para los empleados, autenticación de dos factores habilitada, correo electrónico del usuario
Creación de informes, actualización de informes, eliminación de informes Fecha de creación, fecha de finalización, título del informe, frecuencia recurrente, subcarpetas incluidas, recurrente, informe programado, fecha de última ejecución, tipo de informe, formato guardado, carpeta guardada, fecha de inicio
Actualización de la configuración de SSO Cookies de perfil activo, SO cliente, IP del cliente, restricciones de IP, SSO activado, URL de inicio de sesión, URL de cierre de sesión, tipo de IdP, contexto de autenticación iniciado por SP, método de autenticación iniciado por SP, correo electrónico de usuario, método de redireccionamiento iniciado por SP, autenticación web habilitada

Registros de malware

El evento de malware File.VirusInfected se desencadena cuando un archivo cargado por un usuario de Content Collaboration se infecta con un malware. Los siguientes registros son específicos del evento de malware.

Evento atributos
File.VirusInfected Nombre del creador del archivo, nombre del propietario del archivo, dirección de correo electrónico del creador del archivo, dirección de correo electrónico del propietario del archivo, tamaño del archivo, nombre de la carpeta compartida, ruta del archivo, fecha de creación del archivo, hash del archivo, ID del archivo, nombre del virus

Dimensiones admitidas para la consulta de búsqueda

En la tabla siguiente se describen las dimensiones que se pueden ver en los eventos de búsqueda de autoservicio. Puede utilizar estas dimensiones para definir la consulta de búsqueda.

|Dimensión | Descripción | Tipo de valor | Ejemplo | |——|——-|———|———-| | Account-ID | Indica el ID de cuenta del usuario. | Cadena | adb8477a-6bf1-2108-fa4b-55dea0b8c44c | | Active-Account| Indica si la cuenta de usuario está activa. | Booleano | “True” o “False” | | Active-Profile-Cookies | Indica si los clientes activos de Content Collaboration, como los clientes móviles, el motor de sincronización y el complemento de Outlook, utilizan la configuración avanzada. Este parámetro puede ser necesario para automatizar la selección en ciertas configuraciones de IdP. | Cadena | | Alias-ID | Indica el identificador de alias del usuario. | Cadena | testuser1 | | Bytes-Total | Indica el tamaño total (KB) del archivo descargado. Si se descargan varios archivos simultáneamente (descarga por lotes), el total de bytes indica el tamaño total de todos los archivos descargados. | Número | 105 | | City | Indica la ciudad desde la que el usuario ha iniciado sesión en el servicio Content Collaboration. | Cadena | Chicago | | Client-IP | Indica la dirección IP de la red del usuario. | Cadena | 172.xxx.xxx.xx | | Client-OS | Indica el sistema operativo del dispositivo del usuario. | Cadena | Windows 10 | | Company-Name | Indica el nombre de la empresa de la cuenta de usuario. | Cadena | Citrix | | Copy ID | Indica la identidad de la operación de copia de archivos en Content Collaboration. | Cadena | eif8c79f-fa87-0440-87b2-a0994eb029 | | Country | Indica el país desde el que el usuario ha iniciado sesión en el servicio Content Collaboration. | Cadena | Estados Unidos | | Create-Date | Indica la fecha y la hora de creación del informe. | Cadena | 2021-05-25T13:54:36.167 | | Created-By | Indica el usuario que creó el informe. | Cadena | user1 | | Creation-Date | Indica la fecha en que se produjo el evento. | Cadena | 2021-08-20T14:44:46.6161227+00:00 | | Creator-ID | Indica el ID del usuario que creó el informe. | Cadena | 77f300f8-8d89-4891-bb58 | | Delete-Single-Version | Indica si se elimina una sola versión de archivo. | Booleano | “True” o “False” | | Destination-File-Path | Indica la ruta de destino a la que se mueve o copia el archivo. | Cadena | /0106-copy/123.xlsx | | Destination-Parent-Folder-ID| Indica el identificador de la carpeta principal en la ubicación de destino en la que se copia o mueve el archivo.| Cadena | fo674450-087d-42a0-8d26-de8838a04dae | | Destination-Path-ID| Indica el identificador de la ruta de destino en la que se copia o mueve el archivo. | Cadena | /accountID/folderId/folderId/itemID | | Destination-Zone-ID | Indica el identificador de zona de la ruta de destino en la que se copia o mueve el archivo. | Cadena | zp16ffd530-c756-44ca-9f59-7ed3376e37 | | Device-ID | Indica el identificador del dispositivo asociado al evento de autenticación de dos factores. | Cadena | 450-087d-42a0-8d26-de88 | | Disable-User-Account | Indica si la cuenta de usuario está deshabilitada. | Booleano | “True” o “False” | |Download-Enabled-for-Anonymous-User|Indica si un usuario anónimo puede descargar un archivo de una zona de almacenamiento en función del resultado del análisis de Prevención de pérdida de datos (DLP). | Booleano| “True” o “False”| |Download-Enabled-for-Client-User | Indica si un usuario de cliente externo puede descargar un archivo de una zona de almacenamiento en función del resultado de la exploración de Prevención de pérdida de datos (DLP). | Booleano | “True” o “False” | |Download-Enabled-for-Employee-User| Indica si un usuario empleado puede descargar un archivo de una zona de almacenamiento en función del resultado del análisis de Prevención de pérdida de datos (DLP). |Booleano | “True” o “False”| | Download-File-Size | Indica el tamaño (en KB) del archivo descargado por el usuario | Número | 10,8 KB | | Enabled-Web-Authentication | Indica si el IdP SAML está configurado para la autenticación basada en web y la cuenta de usuario utiliza ShareFile Sync. para Windows, ShareFile Sync para Mac o el complemento de Outlook de ShareFile. | Cadena | “True” o “False” | | Enabled-Two-Factor-Auth | Indica si la función de autenticación de dos factores está habilitada para los usuarios empleados o para los usuarios del cliente. | Cadena | “True” o “False” | | Enabled-Two-Factor-Auth-for-Employees | Indica si la autenticación de dos factores está habilitada para los usuarios empleados. | Cadena | “True” o “False” | | Enabled-Two-Factor-Auth-for-Users | Indica si la autenticación de dos factores está habilitada para los usuarios del cliente. | Cadena | “True” o “False” | | End-Date| Indica la fecha a partir de la cual no se genera el informe para su cuenta de Content Collaboration. |“2021-05-23T04:00:00+00:00” | | Event-ID | Indica la identidad única asociada a un evento de usuario. | Cadena | 77f300f8-8d89-4891-bb58-53b05c44766d | | Event-Type | Indica los tipos de actividades del usuario, como carga de archivos, creación de vínculos para compartir, inicio de sesión , creación de carpetas y eliminación de vínculos compartidos. | Cadena | File.Upload, Session.Login, Share.Create | | Event-User-ID | Indica el identificador del usuario que desencadenó el evento. | Cadena | 8d89-4891-bb58-53b05 | | Expiration-Date | Indica la fecha de caducidad del evento. | Cadena | 2022-01-10T13:35:22.313236Z | | File-Creation-Date | Indica la fecha en que se creó el archivo infectado. | Cadena | 2021-05-25T13:54:36.16 | | File-Creator-Email-Address | Indica el ID de correo electrónico del usuario que creó originalmente el archivo que está infectado con un malware. | Cadena | usuario1@citrix.com | | File-Creator-Name | Indica el nombre de usuario que creó originalmente el archivo que está infectado con un malware. | Cadena | Usuario1 | | File-Download-ID | Indica el identificador del evento de descarga de archivos. | Cadena | dta152b49ddc7542a0a9fe2e | | File-Format | Indica el formato del archivo que se comparte o descargado. | Cadena | .csv, .png, .jpeg, .txt | | File-Hash| Indica el hash MD5 de un archivo que se carga. | Cadena | 88e300f8-8d89-4891-bb58 | | File-ID | Indica el identificador único del archivo infectado. | Cadena | fib0257-1bd802-0707-44c12 | | File-Name | Indica el nombre del archivo compartido, cargado o descargado por el usuario. | Cadena | Informe de uso de 2021 | | File-Owner-Name | Indica el propietario actual del archivo infectado. | Cadena | Usuario2 | | File-Owner-Email-Address | Indica el identificador de correo electrónico del propietario actual del archivo infectado. | Cadena | usuario2@citrix.com | | File-Path | Indicates the path of the infected file in Content Collaboration. | Cadena | /testfolder/test-file.pdf | | File-Size | Indicates the size of the infected file in bytes. | Number | 10 B | | First-Name |Indicates the first name of the user that is specified while creating the user account. | Cadena | Joe | | Folder-ID | Indicates the ID of the folder created on Content Collaboration. | Cadena | 8d89-4891-bb58-53b05c | | Folder-Name | Indicates the name of the folder that is being archived, created, deleted, or updated. | Cadena | test-folder | | Folder-Path | Indicates the path where the folder is created. | Cadena | /analytics/security/sharefile/2022/new folder | | Frequency| Indicates the recurring frequency of the report that is generated for your Content Collaboration account. | Cadena | “Daily”, “Weekly”, or “Monthly” | |Group-ID| Indicates the ID of the Distribution Group.| Cadena |g0183f52-f219-4816-9b8e-9584e504a083 | |Group-Name| Indicates the name of the Distribution Group. | Cadena| Test group 1 | | IdP-Type | Indicates the type of identity provider configured for the user. | Cadena | | | IP | Indicates the IP address of the user. | Cadena | 172.xx.xxx.xxx | | IP-Restrictions | Indicates the IP addresses from which the users are restricted from signing in to their Content Collaboration accounts. | | | | Inactive-Logout-Duration | Indicates the duration of inactivity after which the inactive users are logged out of their account. La duración se mide en minutos. By default, this duration is set to 1 hour (60 minutes).| Number | 60 | | Include-Sub Folders| Indicates whether the report is created for a selected folder and its sub folders. |Booleano | “True” or “False” | | Infected-File-Hash | Indicates the hash value of the infected file. | Cadena | 88e300f8-8d89-4891-bb58 | |Is-Active| Indicates if single sign-on is enabled for non-administrator employees using your IdP. |Booleano | “True” or “False” | | Is-Employee | Indicates if the user is an employee of your organization. | Cadena | “True” or “False” | | Is-Enabled | Indicates whether Data Loss Prevention is enabled for your Content Collaboration account. | Booleano| “True” or “False” | |Is-Recurring| Indicates whether the report generates after a regular interval. | Booleano | “True” or “False”| |Is-Scheduled|Indicates whether the report is scheduled. |Booleano |“True” or “False” | | Is-Shared | Indicates if the Distribution Group sharing is enabled for all employees. | Cadena | “True” or “False” | | Last-Name | Indicates the last name of the user that is specified while creating the user account. | Cadena | Smith | |Last-Run-Date| Indicates when the report was last generated.| Cadena | “0001-01-01T00:00:00”| | Lock-ID | Indicates the ID of the file lock event. | Cadena | cb36113c468a8c29c48 | | Lock-Type | Indicates the type of file lock. | Cadena | Coauth Lock: Multiple users can use the lock file in the specified way.| | | | |Hard Lock: Exclusive lock | | Locked-Out-Duration | Indicates the duration for which the user is locked out of their account when they failed to log on and exceeded the maximum allowed logon attempts. The duration is measured in seconds. | Number | 120 | | Login-URL | Indicates the URL of the user’s IdP assertion consumer service. | Cadena | https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=fa7a185d-d748-459| | Logout-URL | Indicates the URL that Content Collaboration use when a user logs out of their single sign-on session. | Cadena | https://secure.sharefiletest.com | | Maximum-Failed-Attempts| Indicates the maximum number of attempts a user is allowed to enter an invalid password before being locked out of the account for a specific time period. | Number | 5 | | Maximum-Download-per-User | Indicates the maximum number of downloads allowed per user from a share link. | 1, 2, 3 | | Notify Sender | Indicates whether the file share notification is sent to the sender. | Booleano | “True” or “False” | | OAuth-Client-ID | Indicates the unique ID of the user that uses the authorization server. | Cadena |Dzi4UPUAg5l8beKjioecdchmHUTWWln9 | | Operation-Name | Indicates the types of operations performed on Content Collaboration. | Cadena | Create, Delete, Upload, Download, Share, Login, Copy, Update | | Owner-ID | Indicates the owner ID of the Distribution Group. | Cadena | 10812e09-ab02-4115-8405-8uas5e71258f | |Parent-Folder-ID | Indicates the ID of the parent folder in the source location from where the file is copied or moved | Cadena | fo674450-087d-42a0-8d26-de8838a04dae| | Path ID | Indicates the ID of the source path from where the file is copied or moved. | Cadena |/accountID/folderID/folderID/itemID | |Permanently-Delete | Indicates whether the file is deleted permanently. | Booleano | “True” or “False” | | Primary-Email | Indicates the email of the user who triggered the event | Cadena | testuser@citrix.com | | Recipient-ID | Indicates the ID of the first recipient user in a share event. | Cadena | 10812e09-ab02-4115-8405| |Report-Type| Indicates the type of report that is created. The following are the report type and its corresponding ID. | Number | 0, 2, 10 | | |0- Access report | | | | |1- Activity report | | | | |2- Storage report | | | | |3- Messaging report | | | | |4- Bandwidth detail report | | | | |5- Bandwidth summary report | | | | |6- Encrypted email report | | | | |7- Storage summary report | | | | |8- User summary report | | | | |9- Access change report | | | | |10- Share send report | | | | |11- Share request report | | | | Require-Login | Indicates whether user login is required to access the share link. | Booleano | “True” or “False” | | Require-User-Info | Indicates whether user information is required to access the share link. | Booleano | “True” or “False” | | Resource-ID | Indicates the ID of the resource. | Cadena | 6bf1-2108-fa4b-55dea0b | | Resource-Type | Indicates the resources on which operations are performed. |Cadena | File, Users, Session, Account | | Shared-Folder-Name | Indicates the shared folder in which the infected file is uploaded. | Cadena | test folder | | SP-Initiated Auth Context | Indicates the comparison level for the authentication context. El IdP debe coincidir con el método de autenticación seleccionado cuando se utiliza la comparación “exacta”. O un método de mayor fuerza relativa cuando se utiliza la comparación “Mínima”. | Cadena | “Mínima” o “Exacta” | | SP-Initiated-Auth-Method | Indica el método para el contexto de autenticación. Based on the selection, it can be Unspecified, User Name and Password, Password Protected Transport, Transport Layer Security Client, X.509 Certificate, Integrated Windows Authentication, or Kerberos. | Cadena | urn:oasis:names:tc:SAML:2.0:ac:classes:Password | | SP-Initiated-Redirect-Method | Indicates the method of SP initiated redirection based on the size of the certificate provided by Content Collaboration. | Cadena | “Default”, “HTTP” or “POST” | |Save-Format|Indicates the format of the saved report. |Cadena |“Excel” or “CSV”| | Save-To-Folder| Indicates whether the report should be saved in a particular folder. | Booleano | “True” or “False” | | Server-Name | Indicates the server from where the file is downloaded or shared. | Cadena | Citrix-SZC | | Share-Type | Indicates the type of share link. El tipo puede ser «Enviar» o «Solicitud». Los recursos compartidos de envío se utilizan para enviar archivos y carpetas a los usuarios especificados. Los recursos compartidos de solicitud se utilizan para permitir a los usuarios cargar archivos en una ubicación especificada por el propietario del recurso compartido. | 0: Solicitud, 1: Enviar | 0, 1 | | Shared-Folder-Name | Indica el nombre de la carpeta compartida. | Cadena | carpeta de prueba | |Sharing-Enabled-for-Client User|Indica si un usuario cliente de terceros puede compartir un archivo desde una zona de almacenamiento basada en el resultado del análisis de Prevención de pérdida de datos (DLP). | Booleano | «Verdadero» o «Falso» | |Sharing-Enabled-for-Employee-User |Indica si un usuario empleado puede compartir un archivo desde una zona de almacenamiento en función del resultado del análisis de Prevención de pérdida de datos (DLP). |Booleano | «Verdadero» o «Falso”| |Start-Date|Indica la fecha a partir de la cual se genera el informe para su cuenta de Content Collaboration. |Cadena |“2021-05-23T 04:00:00 + 00:00 “| | Storage-Center-Server|Indica el nombre de host del servidor cliente desde el que se descarga el archivo. |Cadena |sf-downloadstreamer-sharefile-us.test.com | | Stream-ID | Indica el identificador del flujo de elementos. Un elemento representa una única versión de un objeto del sistema de archivos. La secuencia identifica todas las versiones del mismo objeto del sistema de archivos. Por ejemplo, cuando los usuarios cargan o modifican un archivo existente, se crea un nuevo elemento con el mismo ID de transmisión. All item enumerations return only the latest version of a given stream. | Cadena | st279e5d-cahg-4f8-824f-34a3704840c | | Support-File-Versioning | Indicates whether there are multiple versions of the file that has been uploaded. | Booleano | “True” or “False” | | Template-Based-Folder | Indicates whether the folder is created from a predefined folder template. | Booleano | “True” or “False” | |Title |Indicates the title of the report generated for your Content Collaboration account. |Cadena | Test report| |Trusted-Domains |Indicates the domains that are allowed for iframe embedding and Cross-Origin Resource Sharing. |Cadena |citrix.com | | Upload-File-Size | Indicates the size (in Kilobytes) of the file uploaded by the user. | Number | 10 KB | | Upload-ID | Indicates the ID of the file upload operation. | Cadena | st279e5d-cahg-4f8-824f-34a3704840c | | User-Email | Indicates the email address associated with the Citrix Analytics account. | Cadena | testuser@citrix.com | | User-ID |Indicates the ID of the user who shared the file. | Cadena | test user | | User-Name | Indicates the name of the user who triggered the event. | Cadena | kevin.smith@citrix.com | | View-only | Indicates whether the download file is in the read-only mode. | Booleano | “True” or “False” | | Virus-Name | Indicates the name of the malware that has infected the file. | Cadena | {HEX}EICAR.TEST.3.UNOFFICIAL | | Watermark | Indicates whether the download file contains a watermark. | Booleano | “True” or “False” | | Zone-ID | Indicates the ID of the storage zone where the folder is located | Cadena | zpB65440AE-4FBC-4405-BE2F-2B9CDE962C82 |

Búsqueda de autoservicio de Content Collaboration