Citrix Analytics for Security

Formato de datos de Citrix Analytics para SIEM

Citrix Analytics for Security le permite integrarse con sus servicios de administración de eventos e información de seguridad (SIEM). Esta integración permite a Citrix Analytics for Security enviar datos procesados a sus servicios SIEM y le ayuda a obtener información sobre el riesgo de seguridad de su organización.

Actualmente, puede integrar Citrix Analytics for Security con los siguientes servicios SIEM:

Datos procesados para SIEM

Los datos procesados que Citrix Analytics for Security envía a su servicio SIEM incluyen:

  • Cambio en la puntuación de riesgo : diferencia entre la puntuación de riesgo actual y la puntuación de riesgo anterior de un usuario. Cuando el cambio en la puntuación de riesgo de un usuario es igual o superior a tres y este cambio aumenta en cualquier caso o disminuye en más del 10%, los datos se envían al servicio SIEM.

  • Resumen del indicador de riesgo : detalles del indicador de riesgo asociado a un usuario.

  • Detalles del evento del indicador de riesgo : detalles de los eventos de usuario asociados a un indicador de riesgo. Citrix Analytics envía un máximo de 1000 detalles de eventos por cada aparición de indicador de riesgo a su servicio SIEM. Estos eventos se envían en el orden cronológico de ocurrencia, donde se envían los primeros 1000 datos del evento del indicador de riesgo.

  • Puntuación de riesgo del usuario : la puntuación de riesgo actual de un usuario. Citrix Analytics for Security envía estos datos al servicio SIEM cada 12 horas.

  • Perfil de usuario : los datos del perfil de usuario se pueden clasificar en:

    • Aplicaciones de usuario : las aplicaciones que un usuario ha iniciado y utilizado. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps y los envía al servicio SIEM cada 12 horas.

    • Uso de datos del usuario : los datos cargados y descargados por un usuario a través de Citrix Content Collaboration. Citrix Analytics for Security envía estos datos al servicio SIEM cada 12 horas.

    • Dispositivo de usuario : dispositivos asociados a un usuario. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps y Citrix Endpoint Management y los envía al servicio SIEM cada 12 horas.

    • Ubicación del usuario : la ciudad en la que se detectó por última vez a un usuario. Citrix Analytics for Security recupera estos datos de Citrix Content Collaboration. Citrix Analytics for Security envía esta información al servicio SIEM cada 12 horas.

Detalles del esquema de los datos procesados

En la siguiente sección se describe el esquema de los datos procesados generados por Citrix Analytics for Security.

Nota

Los valores de campo que se muestran en los siguientes ejemplos de esquemas son solo para fines representativos. Los valores de campo reales varían según el perfil del usuario, los eventos del usuario y el indicador de riesgo.

En la tabla siguiente se describen los nombres de campo comunes en todo el esquema para todos los datos de perfil de usuario, puntuación de riesgo del usuario y cambio de puntuación de riesgo.

Nombre del campo Descripción
entity_id Identidad asociada a la entidad. En este caso, la entidad es el usuario.
entity_type La entidad en riesgo. En este caso, la entidad es el usuario.
event_type Tipo de datos enviados a su servicio SIEM. Por ejemplo: ubicación del usuario, uso de datos del usuario o información de acceso al dispositivo del usuario.
tenant_id La identidad única del cliente.
timestamp Fecha y hora de la actividad reciente del usuario.
version Versión del esquema de los datos procesados. La versión actual del esquema es 2.

Esquema de datos de perfil de usuario

Esquema de ubicación del usuario


{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}

<!--NeedCopy-->

Descripción del campo de la ubicación del usuario

Nombre del campo Descripción
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la ubicación del usuario.
country El país desde el que el usuario ha iniciado sesión.
city Ciudad desde la que el usuario ha iniciado sesión.
cnt Número de veces que se ha accedido a la ubicación en las últimas 12 horas.

Esquema de uso de datos de usuario


{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}

<!--NeedCopy-->

Descripción del campo para uso de datos de usuario

Nombre del campo Descripción
data_usage_bytes Cantidad de datos (en bytes) que utiliza el usuario. Es el agregado del volumen descargado y cargado de un usuario.
deleted_file_cnt Número de archivos eliminados por el usuario.
downloaded_bytes Cantidad de datos descargados por el usuario.
downloaded_file_count Número de archivos descargados por el usuario.
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el perfil de uso del usuario.
shared_file_count Número de archivos compartidos por el usuario.
uploaded_bytes Cantidad de datos cargados por el usuario.
uploaded_file_cnt Número de archivos cargados por el usuario.

Esquema de dispositivo de usuario


{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}

<!--NeedCopy-->

Descripción del campo del dispositivo de usuario.

Nombre del campo Descripción
cnt Número de veces que se ha accedido al dispositivo en las últimas 12 horas.
device Nombre del dispositivo.
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la información de acceso al dispositivo del usuario.

Esquema de aplicación de usuario


{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}

<!--NeedCopy-->

Descripción del campo de la aplicación de usuario.

Nombre del campo Descripción
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la información de acceso al dispositivo del usuario.
session_domain Identificador de la sesión en la que el usuario ha iniciado sesión.
user_samaccountname Nombre de inicio de sesión de clientes y servidores de una versión anterior de Windows, como Windows NT 4.0, Windows 95, Windows 98 y LAN Manager. Este nombre se utiliza para iniciar sesión en Citrix StoreFront y también en una máquina Windows remota.
app Nombre de la aplicación a la que accede el usuario.
cnt Número de veces que se ha accedido a la aplicación en las últimas 12 horas.

Esquema de puntuación de riesgo del usuario


{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}

<!--NeedCopy-->

Descripción del campo para la puntuación de riesgo del usuario.

Nombre del campo Descripción
cur_riskscore La puntuación de riesgo actual asignada al usuario. La puntuación de riesgo varía de 0 a 100 en función de la gravedad de la amenaza asociada a la actividad del usuario.
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la puntuación de riesgo del usuario.
last_update_timestamp Hora en que se actualizó por última vez la puntuación de riesgo de un usuario.
timestamp Hora en que se recopila el evento de puntuación de riesgo del usuario y se envía a su servicio SIEM. Este evento se envía a su servicio SIEM cada 12 horas.

Esquema de cambio de puntuación de riesgo

Muestra 1:


{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}

<!--NeedCopy-->

Muestra 2:


{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}

<!--NeedCopy-->

Descripción del campo para el cambio de la puntuación de riesgo.

Nombre del campo Descripción
alert_message El mensaje mostrado para el cambio de la puntuación de riesgo.
alert_type Indica si la alerta es para un aumento de la puntuación de riesgo o una disminución significativa del porcentaje de puntuación de riesgo. Cuando el cambio en la puntuación de riesgo de un usuario es igual o superior a tres y este cambio aumenta en cualquier caso o disminuye en más del 10%, los datos se envían al servicio SIEM.
alert_value Valor numérico asignado para el cambio en la puntuación de riesgo. El cambio en la puntuación de riesgo es la diferencia entre la puntuación de riesgo actual y la puntuación de riesgo anterior de un usuario. El valor de alerta varía de -100 a 100.
cur_riskscore La puntuación de riesgo actual asignada al usuario. La puntuación de riesgo varía de 0 a 100 en función de la gravedad de la amenaza asociada a la actividad del usuario.
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el cambio en la puntuación de riesgo del usuario.
timestamp Fecha y hora en que se detecta el último cambio en la puntuación de riesgo para el usuario.

Esquema indicador de riesgo

El esquema del indicador de riesgo consta de dos partes: esquema de resumen del indicador y esquema de detalles de eventos del indicador. Según el indicador de riesgo, los campos y sus valores del esquema cambian en consecuencia.

En la tabla siguiente se describen los nombres de campo comunes en todos los esquemas de resumen de indicadores.

Nombre del campo Descripción
data source Los productos que envían datos a Citrix Analytics for Security. Por ejemplo: Citrix Access Control, Citrix Gateway y Citrix Virtual Apps and Desktops.
data_source_id Identificador asociado a un origen de datos. ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
entity_type La entidad en riesgo. Puede ser un usuario o un enlace para compartir.
entity_id Identificador asociado a la entidad en riesgo.
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el resumen del indicador de riesgo.
indicator_category Indica las categorías de indicadores de riesgo. Los indicadores de riesgo se agrupan en una de las categorías de riesgo: endpoint comprometido, usuarios comprometidos, exfiltración de datos o amenazas internas.
indicator_id Identificador exclusivo asociado al indicador de riesgo.
indicator_category_id ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = amenazas internas, ID 3 = usuarios comprometidos, ID 4 = endpoint comprometido
indicator_name Nombre del indicador de riesgo. Para un indicador de riesgo personalizado, este nombre se define al crear el indicador.
indicator_type Indica si el indicador de riesgo es predeterminado (integrado) o personalizado.
indicator_uuid Identificador exclusivo asociado a la instancia del indicador de riesgo.
indicator_vector_name Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en la ubicación, indicadores de riesgo basados en fallos de inicio de sesión, indicadores de riesgo basados en IP, indicadores de riesgo basados en datos, indicadores de riesgo basados en archivos y otros indicadores de riesgo.
indicator_vector_id Identificación asociada a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en fallos de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en datos, ID 6 = Indicadores de riesgo basados en archivos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible
occurrence_details Los detalles sobre la condición desencadenante del indicador de riesgo.
risk_probability Indica las posibilidades de riesgo asociadas al evento de usuario. El valor varía de 0 a 1,0. Para un indicador de riesgo personalizado, risk_probability siempre es 1.0 porque es un indicador basado en directivas.
severity Indica la gravedad del riesgo. Puede ser bajo, medio o alto.
tenant_id La identidad única del cliente.
timestamp Fecha y hora en que se activa el indicador de riesgo.
ui_link El vínculo a la vista de cronograma del usuario en la interfaz de usuario de Citrix Analytics.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.

En la tabla siguiente se describen los nombres de campo comunes en todo el esquema de detalles de eventos del indicador.

Nombre del campo Descripción
data_source_id Identificador asociado a un origen de datos. ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = amenazas internas, ID 3 = usuarios comprometidos, ID 4 = endpoint comprometido
entity_id Identificador asociado a la entidad en riesgo.
entity_type Entidad que está en riesgo. Puede ser un enlace de usuario o de compartir.
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento son los detalles del evento indicador de riesgo.
indicator_id Identificador exclusivo asociado al indicador de riesgo.
indicator_uuid Identificador exclusivo asociado a la instancia del indicador de riesgo.
indicator_vector_name Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son indicadores de riesgo basados en dispositivos, indicadores de riesgo basados en la ubicación, indicadores de riesgo basados en fallos de inicio de sesión, indicadores de riesgo basados en IP, indicadores de riesgo basados en datos, indicadores de riesgo basados en archivos y otros indicadores de riesgo.
indicator_vector_id Identificación asociada a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en fallos de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en datos, ID 6 = Indicadores de riesgo basados en archivos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible
tenant_id La identidad única del cliente.
timestamp Fecha y hora en que se activa el indicador de riesgo.
version Versión del esquema de los datos procesados. La versión actual del esquema es 2.
client_ip Dirección IP del dispositivo del usuario.

Nota

  • Si un valor de campo de tipo de datos enteros no está disponible, el valor asignado es -999. Por ejemplo, "latitude": -999, "longitude": -999.

  • Si un valor de campo de tipo de datos de cadena de caracteres no está disponible, el valor asignado es NA. Por ejemplo, "city": "NA", "region": "NA".

Esquema de indicadores de riesgo de Citrix Gateway

Esquema indicador de riesgo de fallo del escaneo de la EPA

Esquema resumen de indicadores

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "EPA scan failure",
  "severity": "low",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "event_description": "Post auth failed, no quarantine",
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "EPA Scan Failure at Logon"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:12:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Post auth failed, no quarantine",
  "gateway_domain_name": "10.102.xx.xx",
  "gateway_ip": "56.xx.xxx.xx",
  "policy_name": "postauth_act_1",
  "client_ip": "210.91.xx.xxx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "cs_vserver_name": "demo_vserver",
  "device_os": "Windows OS",
  "security_expression": "CLIENT.OS(Win12) EXISTS",
  "vpn_vserver_name": "demo_vpn_vserver",
  "vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->

En la tabla se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento del indicador de riesgo de fallo de la exploración de la EPA.

Nombres de campo Descripción
event_description Describe los motivos del error del análisis de la EPA, como un error posterior a la autenticación y la ausencia de grupos de cuarentena.
relevant_event_type Indica el tipo de suceso de error de exploración de la EPA.
gateway_domain_name Nombre de dominio de Citrix Gateway.
gateway_ip Dirección IP de Citrix Gateway.
policy_name El nombre de la directiva de análisis EPA configurado en Citrix Gateway.
country País desde el que se ha detectado la actividad del usuario.
city Ciudad desde la que se ha detectado la actividad del usuario.
region Región desde la que se ha detectado la actividad del usuario.
cs_vserver_name Nombre del servidor virtual del conmutador de contenido.
device_os El sistema operativo del dispositivo del usuario.
security_expression Expresión de seguridad configurada en Citrix Gateway.
vpn_vserver_name Nombre del servidor virtual de Citrix Gateway.
vserver_fqdn FQDN del servidor virtual de Citrix Gateway.

Esquema indicador de riesgo de fallo de autenticación excesivo

Esquema resumen de indicadores

{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Excessive authentication failures",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "Logon Failure"
  }
}
<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:10:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo-user",
  "version": 2,
  "event_description": "Bad (format) password passed to nsaaad",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "auth_server_ip": "10.xxx.x.xx",
  "client_ip": "24.xxx.xxx.xx",
  "gateway_ip": "24.xxx.xxx.xx",
  "vserver_fqdn": "demo-fqdn.citrix.com",
  "vpn_vserver_name": "demo_vpn_vserver",
  "cs_vserver_name": "demo_cs_vserver",
  "gateway_domain_name": "xyz",
  "country": "United States",
  "region": "California",
  "city": "San Jose",
  "nth_failure": 5
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para un error de autenticación excesivo.

Nombres de campo Descripción
relevant_event_type Indica el tipo de suceso, como un error de inicio de sesión.
event_description Describe el motivo del evento de error de autenticación excesivo, como una contraseña incorrecta.
authentication_stage Indica si la fase de autenticación es primaria, secundaria o terciaria.
authentication_type Indica los tipos de autenticación como LDAP, Local u OAuth.
auth_server_ip Dirección IP del servidor de autenticación.
gateway_domain_name Nombre de dominio de Citrix Gateway.
gateway_ip Dirección IP de Citrix Gateway.
cs_vserver_name Nombre del servidor virtual del conmutador de contenido.
vpn_vserver_name Nombre del servidor virtual de Citrix Gateway.
vserver_fqdn FQDN del servidor virtual de Citrix Gateway.
nth_failure Número de veces que se ha producido un error en la autenticación del usuario.
country País desde el que se ha detectado la actividad del usuario.
city Ciudad desde la que se ha detectado la actividad del usuario.
region Región desde la que se ha detectado la actividad del usuario.

Inicio de sesión desde un esquema de indicador de riesgo de IP sospechoso

Esquema resumen de indicadores

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.91,
  "indicator_category": "Compromised users",
  "indicator_name": "Logon from suspicious IP",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon",
    "client_ip": "1.0.xxx.xx",
    "observation_start_time": "2019-10-10T10:00:00Z",
    "suspicion_reasons": "brute_force|external_threat"
  }
}
<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:11:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "suspicion_reasons": "external_threat",
  "gateway_ip": "gIP1",
  "client_ip": "128.0.xxx.xxx",
  "country": "Sweden",
  "city": "Stockholm",
  "region": "Stockholm",
  "webroot_reputation": 14,
  "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
  "device_os": "Windows OS",
  "device_browser": "Chrome"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para Iniciar sesión desde una IP sospechosa.

Nombre del campo Descripción
suspicious_reasons El motivo por el que se identifica la dirección IP como sospechosa.
webroot_reputation El índice de reputación de IP proporcionado por el proveedor de inteligencia de amenazas Webroot.
webroot_threat_categories La categoría de amenaza identificada para la IP sospechosa por el proveedor de inteligencia de amenazas Webroot.
device_os El sistema operativo del dispositivo del usuario.
device_browser El explorador web utilizado.
country País desde el que se ha detectado la actividad del usuario.
city Ciudad desde la que se ha detectado la actividad del usuario.
region Región desde la que se ha detectado la actividad del usuario.

Acceso desde un esquema de ubicación inusual

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 104,
  "indicator_uuid": "56e0bdd8-e7c3-5c96-9950-c9f544520174",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 1,
  "timestamp": "2018-01-25T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "country": "India",
    "observation_start_time": "2018-01-25T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"","city":"","latitude":40.7,"longitude":-74.0,"count":7}]",
    "historical_observation_period_in_days": 30,
    "city": "NA",
    "region": "NA",
    "relevant_event_type": "Logon"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 104,
  "indicator_uuid": "56e0bdd8-e7c3-5c96-9950-c9f544520174",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 1,
  "timestamp": "2018-01-25T12:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "NA",
  "city": "NA",
  "region": "NA",
  "latitude": -999,
  "longitude": -999,
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "client_ip": "157.45.xxx.xxx"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento de Access desde una ubicación inusual.

Nombres de campo Descripción
historical_logon_location Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación.
historical_observation_period_in_days Cada ubicación se supervisa durante 30 días.
relevant_event_type Indica el tipo de suceso, como el inicio de sesión.
country Indica el país desde el que el usuario ha iniciado sesión.
city Indica la ciudad desde la que el usuario ha iniciado sesión.
region Indica la región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.
device_os El sistema operativo del dispositivo del usuario.
device_browser El explorador web utilizado por el usuario.

Nota

  • Si un valor de campo de tipo de datos enteros no está disponible, el valor asignado es -999. Por ejemplo, "latitude": -999, "longitude": -999.

  • Si un valor de campo de tipo de datos de cadena de caracteres no está disponible, el valor asignado es NA. Por ejemplo, "city": "NA", "region": "NA".

Esquema indicador de riesgo de fallo de autenticación inusual

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:44:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2020-04-01T05:45:00Z"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:42:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Success",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "client_ip": "99.xxx.xx.xx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "is_risky": "false"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para Error de autenticación inusual.

Nombres de campo Descripción
relevant_event_type Indica el tipo de suceso, como un error de inicio de sesión.
event_description Indica si el inicio de sesión se ha realizado correctamente o no.
authentication_stage Indica si la fase de autenticación es primaria, secundaria o terciaria.
authentication_type Indica los tipos de autenticación como LDAP, Local u OAuth.
is_risky Para un inicio de sesión correcto, el valor is_risky es false. Para un inicio de sesión fallido, el valor is_risky es true.
device_os El sistema operativo del dispositivo del usuario.
device_browser El explorador web utilizado por el usuario.
country País desde el que se ha detectado la actividad del usuario.
city Ciudad desde la que se ha detectado la actividad del usuario.
region Región desde la que se ha detectado la actividad del usuario.

Esquema de indicadores de riesgo de Citrix Content Collaboration

Acceso excesivo a archivos confidenciales (alerta DLP)

Esquema resumen de indicadores

{
  
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_name": "Excessive access to sensitive files (DLP alert)",
  "indicator_category": "Data exfiltration",
  "risk_probability": 1.0,
  "version": 2,
  "severity": "low",
  "indicator_type": "builtin",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "event_count": 1,
    "observation_start_time": "2021-03-22T09:31:11Z"
    },
  "event_type": "indicatorSummary",
  "cas_consumer_debug_details": {"partition": 1, "offset":179528, "enqueued_timestamp": 1616406412459}
}

<!--NeedCopy-->

Esquema de detalles del evento indicador

{
  
  "tenant_id": "demo_tenant",
  "version": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "client_ip": "210.91.xx.xxx",
  "file_name": "filename.xls",
  "file_size_in_bytes": 178690,
  "event_type": "indicatorEventDetails",
}
<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para Acceso excesivo a archivos confidenciales (alerta de DLP).

Nombre del campo Descripción
relevant_event_type El tipo de evento, como la descarga.
event_count Número de eventos de descarga detectados.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
file_name Nombre del archivo descargado.
file_size_in_bytes Tamaño del archivo descargado en bytes.

Esquema indicador de riesgo de eliminación excesiva de archivos o carpetas

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "28c4bbab-f3ad-5886-81cd-26fef200d9d7",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T11:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file / folder deletion",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "cumulative_event_count_day": 11,
    "relevant_event_type": "File and/or Folder Delete",
    "observation_start_time": "2017-12-18T11:00:00Z"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "be9af43f-29d2-51cd-81d6-c1d48b392bbb",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T01:45:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "210.91.xx.xxx",
  "version": 2,
  "resource_type": "File",
  "resource_name": "Filename21",
  "component_name": "Platform"
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para la eliminación excesiva de archivos o carpetas.

Nombres de campo Descripción
cumulative_event_count_day Número de eventos de eliminación de archivos o carpetas únicos del día actual.
relevant_event_type Indica el tipo de evento, como la eliminación de archivos o carpetas.
resource_type Indica si el recurso es un archivo o una carpeta.
resource_name Nombre del recurso.
component_name Indica el componente ShareFile: plataforma o conector. Si un usuario elimina archivos del almacenamiento en la nube administrado por ShareFile, el componente se muestra como “Plataforma”. Si un usuario elimina archivos de una zona de almacenamiento, el componente se muestra como “Conector”.
connector_type Tipo de conector de zona de almacenamiento utilizado.
city Ciudad desde la que el usuario ha iniciado sesión.
country El país desde el que el usuario ha iniciado sesión.
region Región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.

Esquema indicador de riesgo de uso compartido excesivo de archivos

Esquema resumen de indicadores

{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "3d421659-ef4d-5434-94b8-90f792e81989",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T06:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.19621421,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file sharing",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-03T06:00:00Z",
    "relevant_event_type": "Share Create and/or Send",
    "cumulative_event_count_day": 15
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "c5ea0b26-ce4c-55ad-b8ba-d562f128a2fb",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T02:22:04Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_tenant",
  "version": 2,
  "share_id": "share110",
  "operation_name": "Create",
  "tool_name": "SFWebApp",
  "component_name": "Platform",
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para uso compartido excesivo de archivos.

Nombre del campo Descripción
cumulative_event_count_day Número de archivos únicos compartidos durante el día.
relevant_event_type Indica el tipo de evento, como los vínculos para compartir.
share_id Identificador asociado al enlace para compartir.
operation_name Indica las actividades del usuario, como crear enlace para compartir, eliminar enlace para compartir.
tool_name Herramienta o aplicación utilizada para compartir los archivos.
component_name Indica el componente ShareFile: plataforma o conector. Si un usuario comparte archivos del almacenamiento en la nube administrado por ShareFile, el componente se muestra como “Plataforma”. Si un usuario comparte archivos de una zona de almacenamiento, el componente se muestra como “Conector”
city Ciudad desde la que el usuario ha iniciado sesión.
country El país desde el que el usuario ha iniciado sesión.
region Región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.

Esquema indicador de riesgo de subidas excesivas de archivos

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.64705884,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file uploads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "tool_name": "tool3",
    "relevant_event_type": "Upload",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:37:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "File5.txt",
  "component_name": "Connector",
  "client_ip": "99.xxx.xx.xx",
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para cargas excesivas de archivos.

Nombre del campo Descripción
tool_name Herramienta o aplicación utilizada para compartir los archivos.
relevant_event_type Indica el tipo de evento de usuario, como la carga.
file_name Nombre del archivo cargado.
component_name Indica el componente ShareFile: plataforma o conector. Si un usuario carga archivos en el almacenamiento en la nube administrado por ShareFile, el componente se muestra como “Plataforma”. Si un usuario carga archivos en una zona de almacenamiento, el componente se muestra como “Conector”.
connector_type Tipo de conector de zona de almacenamiento utilizado.
city Ciudad desde la que el usuario ha iniciado sesión.
country El país desde el que el usuario ha iniciado sesión.
region Región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.

Esquema indicador de riesgo de fallo de autenticación inusual

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "274cedc0-a404-5abe-b95b-317c0209c9e8",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:29:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2018-01-26T00:30:00Z"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "e1bf5b91-b0e1-5145-aa5b-7731f31b56ac",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:01:01Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "operation_name": "LoginFailure",
  "tool_name": "webapp",
  "client_ip": "128.x.x.x",
  "os": "Android"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para Error de autenticación inusual.

Nombre del campo Descripción
relevant_event_type Indica el tipo de suceso de usuario, como un error de inicio de sesión.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
tool_name Herramienta o aplicación utilizada para compartir los archivos.
os El sistema operativo del dispositivo del usuario.

Indicador de riesgo sospechoso de actividad de ransomware (archivo reemplazado)

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "0afaa694-59ec-5a44-84df-3afcefad7b50",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files replaced)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-29T10:50:00Z",
    "relevant_event_type": "Delete & Upload"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "580f8f03-c02b-5d0f-b707-1a0577ca2fec",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:06Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "client_ip": "99.xxx.xx.xx",
  "operation_name": "Upload",
  "file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para la actividad de Ransomware sospechosa (archivo reemplazado).

Nombre del campo Descripción
relevant_event_type Indica el tipo de evento de usuario, como eliminar el archivo y cargar otro archivo.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
file_name Nombre del archivo reemplazado.
operation_name La actividad del usuario, como cargar o eliminar.
file_path Ruta del archivo reemplazado.

Indicador de riesgo anónimo de descarga de acciones sensibles

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "93a32d22-d14b-5413-94fc-47c44fe7c07f",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "62795698",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Anonymous sensitive share download",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-27T12:00:00Z",
    "relevant_event_type": "Download"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "11562a63-9761-55b8-8966-3ac81bc1d043",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:02:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "46268753",
  "version": 2,
  "file_name": "file1.mp4",
  "file_size_in_bytes": 278,
  "city": "Miami",
  "country": "USA",
  "client_ip": "166.xxx.xxx.xxx",
  "device_type": "iPhone X"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para la descarga de recursos compartidos confidenciales anónimos.

Nombres de campo Descripción
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
relevant_event_type Indica el tipo de evento de usuario, como eliminar el archivo y cargar otro archivo.
file_name Nombre del archivo confidencial que se descarga.
file_size_in_bytes Tamaño del archivo en bytes que se descarga.
city Ciudad desde la que se ha detectado la actividad del usuario.
country País desde el que se ha detectado la actividad del usuario.
device_type Tipo de dispositivo utilizado para descargar el archivo.

Indicador de riesgo de descargas excesivas

Esquema resumen de indicadores

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "lifetime_users_downloaded": 6,
    "observation_start_time": "2018-01-27T19:00:00Z",
    "lifetime_download_volume_in_bytes": 2718,
    "lifetime_download_count": 6,
    "link_first_downloaded": "2018-01-27T11:12:00Z"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:47:50Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "file_name": "anom20.jep",
  "file_size_in_bytes": 106,
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74,
  "user_email": "new-user61@citrix.com",
  "lifetime_unique_user_emails": "new-user62@citrix.com user6e@citrix.com user6f@citrix.com new-user63@citrix.com new-user64@citrix.com new-user61@citrix.com",
  "lifetime_unique_user_count": 6,
  "lifetime_num_times_downloaded": 6,
  "lifetime_total_download_size_in_bytes": 2718,
  "lifetime_first_event_time": "2018-01-27T11:12:00Z"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para descargas excesivas.

Nombres de campo Descripción
relevant_event_type Indica el tipo de evento, como la descarga excesiva de un enlace para compartir.
lifetime_users_downloaded Indica el número total de usuarios que han descargado el enlace para compartir desde que se creó el enlace.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
lifetime_download_volume_in_bytes Indica el volumen total de descargas en bytes desde que se creó el enlace para compartir.
lifetime_download_count Indica el número total de descargas desde que se creó el enlace para compartir.
link_first_downloaded Indica la fecha y la hora en que se descargó por primera vez el enlace para compartir.
file_name Indica el nombre de archivo que se comparte a través del enlace.
file_size_in_bytes Indica el tamaño del archivo compartido.
user_email Indica el ID de correo electrónico del usuario actual que ha descargado excesivamente el archivo a través del enlace para compartir.
lifetime_unique_user_emails Indica los ID de correo electrónico de todos los usuarios, incluido el usuario actual que ha descargado el archivo desde que se creó el enlace.
lifetime_unique_user_count Indica el número total de usuarios únicos que han descargado el archivo desde que se creó el enlace.
lifetime_num_times_downloaded Indica el número total de veces que se ha descargado el archivo desde que se creó el enlace.
lifetime_total_download_size_in_bytes Indica el tamaño total del archivo descargado desde que se creó el enlace.
lifetime_first_event_time Indica la fecha y la hora del primer evento de descargas desde que se creó el enlace.
city Ciudad desde la que el usuario ha iniciado sesión.
country El país desde el que el usuario ha iniciado sesión.
region Región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.

Indicador de riesgo de descargas excesivas de archivos

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "exfiltrated_data_volume_in_bytes": 24000,
    "relevant_event_type": "Download",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": "0",
  "timestamp": "2018-01-02T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "99.xxx.xx.xx",
  "version": 2,
  "file_name": "File1.txt",
  "file_size_in_bytes": 24000,
  "component_name": "Platform",
  "connector_type": "NA",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para descargas excesivas de archivos.

Nombre del campo Descripción
exfiltrated_data_volume_in_bytes Cantidad de datos en bytes que se descargan.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
file_name Nombre del archivo que se descarga.
file_size_in_bytes Tamaño del archivo en bytes que se descarga.
component_name Indica el componente ShareFile: plataforma o conector. Si un usuario descarga archivos del almacenamiento en la nube administrado por ShareFile, el componente se muestra como “Plataforma”. Si un usuario descarga archivos de una zona de almacenamiento, el componente se muestra como “Conector”.
city Ciudad desde la que el usuario ha iniciado sesión.
country El país desde el que el usuario ha iniciado sesión.
region Región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.

Acceso desde un esquema indicador de riesgo de ubicación inusual

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 7,
  "indicator_uuid": "88002ccf-63bb-5c6e-9288-24e9c826d4b3",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 0,
  "timestamp": "2018-01-25T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-25T12:00:00Z",
    "city": "abc",
    "region": "xyz",
    "historical_observation_period_in_days": 30,
    "historical_logon_locations": "[{"country":"United States","region":"Some_State_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":5},{"country":"United States","region":"Some_State_B","city":"Some_City_B","latitude":45.0,"longitude":45.0,"count":5}]",
    "country": "United States",
    "relevant_event_type": "Logon"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 7,
  "indicator_uuid": "d31db7d2-cf60-570e-8785-e994862ba377",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 0,
  "timestamp": "2018-01-25T12:04:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "city": "NA",
  "region": "NA",
  "latitude": -999,
  "longitude": -999,
  "tool_name": "SFWebApp",
  "os": "WindowsOS",
  "client_ip": "11.xx.xx.xx"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento de Access desde una ubicación inusual.

Nombre del campo Descripción
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
historical_logon_location Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación.
historical_observation_period_in_days Cada ubicación se supervisa durante 30 días.
relevant_event_type Indica el tipo de suceso, como el inicio de sesión.
region Indica la región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.
os El sistema operativo del dispositivo del usuario.
tool_name Herramienta o aplicación que se utiliza para compartir el archivo.
country El país desde el que el usuario ha iniciado sesión.
city Ciudad desde la que el usuario ha iniciado sesión.
region Región desde la que el usuario ha iniciado sesión.

Nota

  • Si un valor de campo de tipo de datos enteros no está disponible, el valor asignado es -999. Por ejemplo, "latitude": -999, "longitude": -999.

  • Si un valor de campo de tipo de datos de cadena de caracteres no está disponible, el valor asignado es NA. Por ejemplo, "city": "NA", "region": "NA".

Indicador de riesgo sospechoso de actividad de ransomware (archivo actualizado)

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "f21ef9c8-c379-5a96-ae90-e750d31a728c",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files updated)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Update/Upload",
    "observation_start_time": "2018-01-29T10:50:00Z"
  }
}

<!--NeedCopy-->

Detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "0509e432-527e-5c84-abb4-f397f2a5e02b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:05Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "operation_name": "Update",
  "stream_id": "someid37",
  "client_ip": "11.xx.xx.xx",
  "file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para la actividad de Ransomware sospechosa (actualización del archivo).

Nombre del campo Descripción
relevant_event_type Indica el tipo de evento de usuario, como actualizar o cargar un archivo.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
file_name Nombre del archivo actualizado.
operation_name La actividad del usuario, como cargar, actualizar o eliminar.
file_path Ruta del archivo que actualiza el usuario.
stream_id Identificador del flujo de artículos. Un elemento representa una única versión de un objeto del sistema de archivos. La secuencia identifica todas las versiones del mismo objeto del sistema de archivos. Por ejemplo, cuando un usuario carga o modifica un archivo existente, se crea un nuevo elemento con el mismo ID de transmisión.

Esquema de indicadores de riesgo de Citrix Endpoint Management

Esquema de indicadores detectados de dispositivos con jailbreak o rooteado

Esquema resumen de indicadores


{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 200,
  "indicator_name": "Jailbroken / Rooted Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:05Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Esquema de detalles del evento indicador

{
  "indicator_id": 200,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:35Z",
  "version": 2
}

<!--NeedCopy-->

Dispositivo con aplicaciones en la lista de bloqueados detectado

Esquema resumen de indicadores

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 201,
  "indicator_name": "Device with Blacklisted Apps Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:23Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Esquema de detalles del evento indicador

{
  "indicator_id": 201,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:39Z",
  "version": 2
}

<!--NeedCopy-->

Dispositivo no administrado detectado

Esquema resumen de indicadores

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 203,
  "indicator_name": "Unmanaged Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T12:56:30Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Esquema de detalles del evento indicador

{
  "indicator_id": 203,
  "client_ip": "127.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T18:41:30Z",
  "version": 2
}

<!--NeedCopy-->

Esquema de indicadores de riesgo de Citrix Access Control

Intento de acceder al esquema de indicador de riesgo de URL incluido en la lista de bloqueados

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:58Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Attempt to access blacklisted URL",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:44:59Z",
    "risky_domain_category_list": [
      "YouTube"
    ],
    "relevant_event_type": "Blacklisted External Resource Access"
  }

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:57:21Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "googleads.g.doubleclick.net",
  "domain_category": "Advertisements/Banners",
  "domain_category_group": "Computing and Internet",
  "executed_action": "blocked",
  "reason_for_action": "URL Category match",
  "domain_reputation": 3,
  "client_ip": "157.xx.xxx.xxx"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento de Intento de acceder a una URL incluida en la lista de bloqueados.

Nombre del campo Descripción
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
risky_domain_category_list La información de categoría disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
domain_category La categoría de dominio disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
domain_category_group El grupo de categorías de dominios disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
executed_action Acción aplicada en la URL incluida en la lista de bloqueados. La acción incluye Permitir, Bloquear.
reason_for_action El motivo por el que se aplica la acción a la URL.
domain_reputation El índice de reputación de la URL incluida en la lista de bloqueados.

Esquema indicador de riesgo de acceso a sitios web riesgosos

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 400,
  "indicator_uuid": "26cc7ddf-101a-5776-b5de-df501189e8cd",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.075,
  "indicator_category": "Insider threats",
  "indicator_name": "Risky website access",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:45:00Z",
    "risky_domain_category_list": [
      "Advertisements/Banners",
      "Streaming Media"
    ],
    "relevant_event_type": "Risky External Resource Access"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 400,
  "indicator_uuid": "26cc7ddf-101a-5776-b5de-df501189e8cd",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:50:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "abc.googlevideo.com",
  "domain_category": "Streaming Media",
  "domain_category_group": "News/Entertainment/Society",
  "domain_reputation": 3,
  "client_ip": "157.xx.xxx.xxx",
  "transaction_count": 2
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el acceso a sitios web riesgosos.

Nombre del campo Descripción
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
risky_domain_category_list La información de categoría disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
domain_name Nombre del dominio al que accede el usuario.
domain_category La información de categoría disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
domain_category_group El grupo de categorías de dominios disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
domain_reputation El índice de reputación del dominio de riesgo.
transaction_count Número de veces que el usuario accede al dominio durante el día.

Esquema indicador de riesgo de descargas excesivas de datos

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive data download",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "domain_category": "Facebook",
  "domain_category_group": "Social Networking",
  "client_ip": "157.xx.xxx.xxx",
  "downloaded_bytes": 24000
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para descargas de datos excesivas.

Nombre del campo Descripción
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
data_volume_in_bytes Cantidad de datos en bytes que se descargan.
relevant_event_type Indica el tipo de evento de usuario.
domain_name Nombre del dominio del que se descargan los datos.
domain_category La información de categoría disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
domain_category_group El grupo de categorías de dominios disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
downloaded_bytes Cantidad de datos en bytes que se descargan.

Esquema indicador de riesgo de volumen de carga inusual

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Unusual upload volume",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "domain_category": "Facebook",
  "domain_category_group": "Social Networking",
  "client_ip": "157.xx.xxx.xxx",
  "uploaded_bytes": 24000
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento del volumen de carga inusual.

Nombres de campo Descripción
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
data_volume_in_bytes Cantidad de datos en bytes que se cargan.
relevant_event_type Indica el tipo de evento de usuario.
domain_name Nombre del dominio en el que se cargan los datos.
domain_category La información de categoría disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
domain_category_group El grupo de categorías de dominios disponible en Citrix Secure Workspace Access. Para obtener más información, consulte Lista de categorías disponibles para Citrix Secure Workspace Access.
uploaded_bytes Cantidad de datos en bytes que se cargan.

Esquema de indicadores de riesgo de Citrix Virtual Apps and Desktops

Indicador de riesgo potencial de exfiltración de datos

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Potential data exfiltration",
  "severity": "low",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download/Print/Copy",
    "observation_start_time": "2018-04-02T10:00:00Z",
    "exfil_data_volume_in_bytes": 1172000
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:57:36Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "App.SaaS.Clipboard",
  "file_size_in_bytes": 98000,
  "file_type": "text",
  "device_id": "dvc5",
  "receiver_type": "XA.Receiver.Windows",
  "app_url": "https://www.citrix.com",
  "client_ip": "10.xxx.xx.xxx",
  "entity_time_zone": "Pacific Standard Time"
}

<!--NeedCopy-->

En la tabla siguiente se describen los campos específicos del esquema de resumen y el esquema de detalles del evento de Potencial filtración de datos.

Nombre del campo Descripción
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
relevant_event_type Indica la actividad del usuario, como descargar, imprimir o copiar los datos.
exfil_data_volume_in_bytes La cantidad de filtración de datos.
occurrence_event_type Indica cómo se ha producido la filtración de datos, como la operación del portapapeles en una aplicación SaaS.
file_size_in_bytes Tamaño del archivo.
file_type Tipo de archivo.
device_id Identificador del dispositivo de usuario.
receiver_type La aplicación Citrix Workspace o Citrix Receiver instalada en el dispositivo del usuario.
app_url Dirección URL de la aplicación a la que accede el usuario.
entity_time_zone Zona horaria del usuario.

Esquema indicador de riesgo de inicio de sesión sospechoso

Esquema resumen de indicadores

{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "risk_probability": 0.78,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details":
  {
    "user_location_risk": 0,
    "city": "Some_city",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "event_count": 1,
    "user_device_risk": 75,
    "country": "United States",
    "device_id": "device2",
    "region": "Some_Region",
    "client_ip": "99.xx.xx.xx",
    "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
    "historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
    "relevant_event_type": "Logon",
    "user_network_risk": 100,
    "historical_observation_period_in_days": 30,
    "suspicious_network_risk": 0
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador

{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06 12:02:30",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "Some_city",
  "country": "United States",
  "region": "Some_Region",
  "latitude": 37.751,
  "longitude": -97.822,
  "browser": "Firefox 1.3",
  "os": "Windows OS",
  "device_id": "device2",
  "receiver_type": "XA.Receiver.Chrome",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para inicios de sesión sospechosos.

Nombre del campo Descripción
historical_logon_location Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación.
historical_observation_period_in_days Cada ubicación se supervisa durante 30 días.
relevant_event_type Indica el tipo de suceso, como el inicio de sesión.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
occurrence_event_type Indica el tipo de evento de usuario, como el inicio de sesión de la cuenta.
country El país desde el que el usuario ha iniciado sesión.
city Ciudad desde la que el usuario ha iniciado sesión.
region Indica la región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.
browser El explorador web utilizado por el usuario.
os El sistema operativo del dispositivo del usuario.
device_id Nombre del dispositivo utilizado por el usuario.
receiver_type Tipo de aplicación Citrix Workspace o Citrix Receiver instalada en el dispositivo del usuario.
user_location_risk Indica el nivel de sospecha de la ubicación desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0—69, nivel de sospecha medio: 70—89 y nivel de sospecha alto: 90—100
user_device_risk Indica el nivel de sospecha del dispositivo desde el que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0—69, nivel de sospecha medio: 70—89 y nivel de sospecha alto: 90—100
user_network_risk Indica el nivel de sospecha de la red o de la subred desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0—69, nivel de sospecha medio: 70—89 y nivel de sospecha alto: 90—100
suspicious_network_risk Indica el nivel de amenaza de IP según el feed de inteligencia de amenazas IP de Webroot. Nivel de amenaza bajo: 0 a 69, nivel de amenaza medio: 70 a 89 y nivel de amenaza alto: 90 a 100
webroot_threat_categories Indica los tipos de amenazas detectadas desde la dirección IP según la fuente de información sobre amenazas IP de Webroot. Las categorías de amenazas pueden ser fuentes de spam, vulnerabilidades de Windows, ataques web, botnets, escáneres, denegación de servicio, reputación, phishing, proxy, no especificado, amenazas móviles y proxy Tor

Indicador MS Active Directory

Esquema resumen de indicadores

{
  "data_source": "Microsoft Graph Security",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_id": 1000,
  "indicator_name": "MS Active Directory Indicator",
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_type": "builtin",
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "ui_link": "https://analytics-daily.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

Esquema de detalles del evento indicador

{
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_id": 1000,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "version": 2
}

<!--NeedCopy-->

Esquema indicador de riesgo personalizado

En la siguiente sección se describe el esquema del indicador de riesgo personalizado.

Nota

En la actualidad, Citrix Analytics envía los datos relacionados con los indicadores de riesgo personalizados de Citrix Virtual Apps and Desktops a su servicio SIEM.

En la tabla siguiente se describen los nombres de campo del esquema de resumen del indicador de riesgo personalizado.

Nombre del campo Descripción
data source Los productos que envían datos a Citrix Analytics for Security. Por ejemplo: Citrix Access Control, Citrix Gateway y Citrix Virtual Apps and Desktops.
data_source_id Identificador asociado a un origen de datos. ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
entity_id Identificador asociado a la entidad en riesgo.
entity_type La entidad en riesgo. En este caso, la entidad es un usuario.
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el resumen del indicador de riesgo.
indicator_category Indica las categorías de indicadores de riesgo. Los indicadores de riesgo se agrupan en una de las categorías de riesgo: endpoint comprometido, usuarios comprometidos, exfiltración de datos o amenazas internas.
indicator_id Identificador exclusivo asociado al indicador de riesgo.
indicator_category_id ID asociado a la categoría de indicadores de riesgo. ID 1 = Exfiltración de datos, ID 2 = amenazas internas, ID 3 = usuarios comprometidos, ID 4 = puntos finales comprometidos
indicator_name Nombre del indicador de riesgo. Para un indicador de riesgo personalizado, este nombre se define al crear el indicador.
indicator_type Indica si el indicador de riesgo es predeterminado (integrado) o personalizado.
indicator_uuid Identificador exclusivo asociado a la instancia del indicador de riesgo.
occurrence_details Los detalles sobre la condición desencadenante del indicador de riesgo.
pre_configured Indica si el indicador de riesgo personalizado está preconfigurado.
risk_probability Indica las posibilidades de riesgo asociadas al evento de usuario. El valor varía de 0 a 1,0. Para un indicador de riesgo personalizado, risk_probability siempre es 1.0 porque es un indicador basado en directivas.
severity Indica la gravedad del riesgo. Puede ser bajo, medio o alto.
tenant_id La identidad única del cliente.
timestamp Fecha y hora en que se activa el indicador de riesgo.
ui_link El vínculo a la vista de cronograma del usuario en la interfaz de usuario de Citrix Analytics.
version Versión del esquema de los datos procesados. La versión actual del esquema es 2.

En la tabla siguiente se describen los nombres de campo comunes en el esquema de detalles de eventos del indicador de riesgo personalizado.

Nombre del campo Descripción
data_source_id Identificador asociado a un origen de datos. ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id ID asociado a la categoría de indicadores de riesgo. ID 1 = Exfiltración de datos, ID 2 = amenazas internas, ID 3 = usuarios comprometidos, ID 4 = puntos finales comprometidos
event_type Tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento son los detalles del evento indicador de riesgo.
tenant_id La identidad única del cliente.
entity_id Identificador asociado a la entidad en riesgo.
entity_type Entidad que está en riesgo. En este caso, es el usuario.
indicator_id Identificador exclusivo asociado al indicador de riesgo.
indicator_uuid Identificador exclusivo asociado a la instancia del indicador de riesgo.
timestamp Fecha y hora en que se activa el indicador de riesgo.
version Versión del esquema de los datos procesados. La versión actual del esquema es 2.
event_id Identificador asociado al evento de usuario.
occurrence_event_type Indica el tipo de evento de usuario, como inicio de sesión, inicio de sesión e inicio de sesión de cuenta.
product Indica el tipo de aplicación Citrix Workspace, como la aplicación Citrix Workspace para Windows.
client_ip Dirección IP del dispositivo del usuario.
session_user_name Nombre de usuario asociado a la sesión de Citrix Virtual Apps and Desktops.
city Nombre de la ciudad desde la que se detecta la actividad del usuario.
country Nombre del país desde el que se detecta la actividad del usuario.
device_id Nombre del dispositivo utilizado por el usuario.
os_name Sistema operativo instalado en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de Virtual Apps and Desktops.
os_version Versión del sistema operativo instalada en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de Virtual Apps and Desktops.
os_extra_info Los detalles adicionales asociados al sistema operativo instalado en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio de Virtual Apps and Desktops.

Indicador de riesgo personalizado para Citrix Virtual Apps and Desktops

Esquema resumen de indicadores


{
  "data_source": "Citrix Virtual Apps and Desktops",
  "data_source_id": 3,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_category_id": 3,
  "indicator_id": "ca97a656ab0442b78f3514052d595936",
  "indicator_name": "Demo_user_usage",
  "indicator_type": "custom",
  "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
  "occurrence_details": {
    "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
  "pre_configured": "N",
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-02-10T14:47:25Z",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "version": 2
}

<!--NeedCopy-->

Esquema de detalles del evento indicador para el suceso de inicio de sesión

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "SYD04-MS1-S102",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles de sucesos para el inicio de sesión.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciados.
launch_type Indica la aplicación o el escritorio.
domain Nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid GUID de la sesión activa.

Esquema de detalles del evento indicador para el evento de inicio de sesión

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el inicio de sesión.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciados.
launch_type Indica la aplicación o el escritorio.

Esquema de detalles del evento indicador para el evento de inicio de sesión de cuenta

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Account.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles de sucesos para el inicio de sesión de cuenta.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciados.

Esquema de detalles del evento indicador para el evento de finalización de sesión

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para la finalización de la sesión.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciados.
launch_type Indica la aplicación o el escritorio.
domain Nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid GUID de la sesión activa.

Esquema de detalles del evento indicador para el evento de inicio de la aplicación

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.Start",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el inicio de la aplicación.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciados.
launch_type Indica la aplicación o el escritorio.
domain Nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid GUID de la sesión activa.
module_file_path Ruta de acceso de la aplicación que se está utilizando.

Esquema de detalles del evento indicador para el evento final de la aplicación

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento de fin de aplicación.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciados.
launch_type Indica la aplicación o el escritorio.
domain Nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid GUID de la sesión activa.
module_file_path Ruta de acceso de la aplicación que se está utilizando.

Esquema de detalles del evento indicador para el evento de descarga de archivos

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "File.Download",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "file_download_file_name": "File5.txt",
  "file_download_file_path": "/root/folder1/folder2/folder3",
  "file_size_in_bytes": 278,
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "device_type": "USB"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para la descarga de archivos.

Nombre del campo Descripción
file_download_file_name Nombre del archivo de descarga.
file_download_file_path Ruta de destino en la que se descarga el archivo.
launch_type Indica la aplicación o el escritorio.
domain Nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid GUID de la sesión activa.
device_type Indica el tipo de dispositivo en el que se descarga el archivo.

Esquema de detalles del evento indicador para el evento de impresión

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Printing",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "printer_name": "Test-printer",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "job_details_size_in_bytes": 454,
  "job_details_filename": "file1.pdf",
  "job_details_format": "PDF"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para imprimir.

Nombre del campo Descripción
printer_name Nombre de la impresora utilizada para el trabajo de impresión.
launch_type Indica la aplicación o el escritorio.
domain Nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid GUID de la sesión activa.
job_details_size_in_bytes El tamaño del trabajo impreso, como archivo o carpeta.
job_details_filename Nombre del archivo impreso.
job_details_format Formato del trabajo impreso.

Esquema de detalles del evento indicador para el evento de lanzamiento de SaaS de la aplicación

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el lanzamiento de SaaS de la aplicación.

Nombre del campo Descripción
launch_type Indica la aplicación o el escritorio.

Esquema de detalles del evento indicador para el evento final de SaaS de la aplicación

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el fin de SaaS de la aplicación.

Nombre del campo Descripción
launch_type Indica la aplicación o el escritorio.

<! —Acceso desde un esquema de indicador de riesgo de ubicación inusual

Esquema resumen de indicadores


{
  "tenant_id": "demo_tenant",
  "indicator_id": 311,
  "indicator_uuid": "ac651192-31b2-5a98-8a16-8574ce52d1bd",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "historical_observation_period_in_days": 30,
    "city": "new_city",
    "country": "some_country",
    "relevant_event_type": "Logon",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "region": "some_region",
    "historical_logon_locations": "[{"country":"some_country","region":"some_region","city":"some_city","latitude":40.7,"longitude":-74.0,"count":150}]"
  }
}

<!--NeedCopy-->

Esquema de detalles del evento indicador


{
  "tenant_id": "demo_tenant",
  "indicator_id": 311,
  "indicator_uuid": "104617f6-1459-530b-85e8-9a139ba630a8",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:01:02Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "new_city",
  "country": "new_country",
  "region": "new_region",
  "latitude": 60.7,
  "longitude": -74,
  "browser": "Chrome",
  "os": "Windows",
  "device_id": "some_device",
  "receiver_type": "XA.Receiver.Windows",
  "client_ip": "11.xx.xx.xx"
}

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento de Access desde una ubicación inusual.

Nombre del campo Descripción
historical_logon_location Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación.
historical_observation_period_in_days Cada ubicación se supervisa durante 30 días.
relevant_event_type Indica el tipo de suceso, como el inicio de sesión.
observation_start_time El momento desde el que Citrix Analytics comienza a supervisar la actividad del usuario hasta que se marca la hora. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
occurrence_event_type Indica el tipo de evento de usuario, como el inicio de sesión de la cuenta.
country El país desde el que el usuario ha iniciado sesión.
city Ciudad desde la que el usuario ha iniciado sesión.
region Indica la región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.
browser El explorador web utilizado por el usuario.
os El sistema operativo del dispositivo del usuario.
device_id Nombre del dispositivo utilizado por el usuario.
receiver_type Tipo de aplicación Citrix Workspace o Citrix Receiver instalada en el dispositivo del usuario.

–>