Citrix Analytics for Security

Recherche en libre-service pour Content Collaboration

Utilisez la recherche en libre-service pour obtenir des informations sur les événements utilisateur reçus de la source de données Content Collaboration. Lorsque les utilisateurs utilisent le service Content Collaboration, des événements tels que la connexion, la suppression, le téléchargement et le téléchargement sont générés. Citrix Analytics for Security reçoit ces événements et les affiche sur la page de recherche en libre-service. Vous pouvez suivre les utilisateurs et leurs activités.

Pour plus d’informations sur les fonctionnalités de recherche, consultez la rubrique Recherche en libre-service.

Sélectionnez la source de données Content Collaboration

Pour afficher les événements Content Collaboration, sélectionnez Content Collaboration dans la liste. Par défaut, la page en libre-service affiche les événements du dernier jour. Vous pouvez également sélectionner la période pendant laquelle vous souhaitez afficher les événements.

Collaboration de contenu sélectionne

Sélectionnez les facettes pour filtrer les événements

Utilisez les facettes suivantes associées aux événements Content Collaboration.

  • Taille du fichier de téléchargement : indique la taille du fichier téléchargé depuis Content Collaboration.

  • Type d’événement :indique les types d’activités utilisateur telles que le téléchargement de fichiers, le téléchargement de fichiers, la création de liens de partage, la connexion à une session, la création de dossiers et la suppression du lien de partage.

    Facettes de collaboration de contenu

Spécifier la requête de recherche pour filtrer les événements

Placez votre curseur dans la zone de recherche pour afficher la liste des dimensions des événements Content Collaboration. Utilisez les dimensions et les opérateurs pour spécifier votre requête et rechercher les événements requis.

Dimensions de la collaboration de contenu

Par exemple, vous souhaitez rechercher les événements provenant de l’Inde et la taille du fichier est supérieure à 900 000 octets. Spécifiez la requête suivante, comme illustré dans la figure.

  1. Entrez « Co » dans le champ de recherche pour obtenir les suggestions correspondantes.

    Requête de recherche de collaboration de contenu 1

  2. Sélectionnez Pays et saisissez la valeur « Inde » à l’aide de l’opérateur égal.

    Requête de recherche de collaboration de contenu 2

    Requête de recherche de collaboration de contenu 3

  3. Sélectionnez l’opérateur AND, puis sélectionnez la dimension Taille de fichier . Sélectionnez l’opérateur ** et saisissez la valeur de la taille du fichier en octets.

    Requête de recherche de collaboration de contenu 4

  4. Sélectionnez la période et cliquez sur Rechercher pour afficher les événements dans la table DATA.

Journaux d’audit

Les journaux d’audit fournissent des informations sur les autorisations et les actions appliquées aux comptes d’utilisateurs par les administrateurs de Content Collaboration. À l’aide de ces données, vous pouvez vérifier si les administrateurs de Content Collaboration ont pris des mesures valides sur les comptes d’utilisateurs.

Vous pouvez consulter les journaux d’audit suivants dans la recherche en libre-service.

Remarque

Pour recevoir ces journaux sur Citrix Analytics, vous devez intégrer le service Citrix Content Collaboration à Citrix Workspace.

Événement Attributs
Création de groupes de distribution ID de groupe, partage de groupe, système d’exploitation client, adresse IP du client, nom du groupe, identifiant du propriétaire, e-mail de l’utilisateur
Supprimer un groupe de distribution ID du groupe, nom du groupe
Mise à jour du groupe ID de groupe, est partagé
Mise à jour DLP, mise à jour de stratégie DLP DLP activé, SE client, IP client, format enregistré, téléchargement activé pour l’utilisateur anonyme, téléchargement activé pour l’utilisateur client, téléchargement activé pour l’utilisateur employé, partage activé pour l’utilisateur client, partage activé pour l’utilisateur employé
Mise à jour de la politique de sécurité Domaines de confiance, nom d’utilisateur, système d’exploitation client, adresse IP du client, déconnexion des utilisateurs après l’activité, nombre maximal d’échecs de connexion, durée verrouillée, authentification à deux facteurs activée pour les utilisateurs, authentification à deux facteurs activée pour les employés, authentification à deux facteurs activée, e-mail de l’utilisateur
Création de rapport, mise à jour de rapport, suppression de rapport Date de création, date de fin, titre du rapport, fréquence récurrente, sous-dossiers inclus, récurrent, rapport de planification, date de dernière exécution, type de rapport, format enregistré, dossier enregistré, date de début
Mise à jour des paramètres SSO Cookies de profil actif, système d’exploitation client, IP client, restrictions IP, SSO activé, URL de connexion, URL de déconnexion, type d’IdP, contexte d’authentification initié par le SP, méthode d’authentification initiée par le SP, e-mail de l’utilisateur, méthode de redirection initiée par le SP, authentification Web activée

Journaux de logiciels malveillants

L’événement malveillant File.VirusInfected est déclenché lorsqu’un fichier chargé par un utilisateur de Content Collaboration est infecté par un logiciel malveillant. Les journaux suivants sont spécifiques à l’événement malveillant.

Événement Attributs
File.VirusInfected Nom du créateur de fichier, nom du propriétaire du fichier, adresse e-mail du créateur de fichier, adresse e-mail du propriétaire du fichier, taille du fichier, nom du dossier partagé, chemin d’accès au fichier, date de création du fichier, hachage du fichier, identifiant du fichier, nom du virus

Dimensions prises en charge pour votre requête de recherche

Le tableau suivant décrit les dimensions que vous pouvez afficher dans les événements de recherche en libre-service. Vous pouvez utiliser ces dimensions pour définir votre requête de recherche.

|Dimension | Description | Type de valeur | Exemple | |——|——-|———|———-| | Account-ID | Indique l’ID de compte de l’utilisateur. | Chaîne | adb8477a-6bf1-2108-fa4b-55dea0b8c44c | | Active-Account| Indique si le compte d’utilisateur est actif. | Booléen | « True » ou « False » | | Active-Profile-Cookies | Indique si les paramètres avancés sont utilisés par les clients actifs Content Collaboration tels que les clients mobiles, le moteur de synchronisation et le plug-in Outlook. Ce paramètre peut être nécessaire pour automatiser la sélection dans certaines configurations de fournisseur d’identité. | Chaîne | | Alias-ID | Indique l’ID d’alias de l’utilisateur. | Chaîne | testuser1 | | Bytes-Total | Indique la taille totale (Ko) du fichier téléchargé. Si plusieurs fichiers sont téléchargés simultanément (téléchargement par lots), le nombre total d’octets indique la taille totale de tous les fichiers téléchargés. | Nombre | 105 | | City | Indique la ville depuis laquelle l’utilisateur s’est connecté au service Content Collaboration. | Chaîne | Chicago | | Client-IP | Indique l’adresse IP du réseau de l’utilisateur. | Chaîne | 172.xxx.xxx.xx | | Client-OS | Indique le système d’exploitation de l’appareil de l’utilisateur. | Chaîne | Windows 10 | | Company-Name | Indique le nom de la société du compte utilisateur. | Chaîne | Citrix | | Copy ID | Indique l’identité de l’opération de copie de fichiers dans Content Collaboration. | Chaîne | eif8c79f-fa87-0440-87b2-a0994eb029 | | Country | Indique le pays depuis lequel l’utilisateur s’est connecté au service Content Collaboration. | Chaîne | États-Unis | | Create-Date | Indique la date et l’heure de création du rapport. | Chaîne | 2021-05-25T13:54:36.167 | | Created-By | Indique l’utilisateur qui a créé le rapport. | Chaîne | user1 | | Creation-Date | Indique la date à laquelle l’événement s’est produit. | Chaîne | 2021-08-20T14:44:46.6161227+00:00 | | Creator-ID | Indique l’ID de l’utilisateur qui a créé le rapport. | Chaîne | 77f300f8-8d89-4891-bb58 | | Delete-Single-Version | Indique si une seule version de fichier est supprimée. | Booléen | « True » ou « False » | | Destination-File-Path | Indique le chemin de destination où le fichier est déplacé ou copié. | Chaîne | /0106-copy/123.xlsx | | Destination-Parent-Folder-ID| Indique l’ID du dossier parent dans l’emplacement de destination où le fichier est copié ou déplacé.| Chaîne | fo674450-087d-42a0-8d26-de8838a04dae | | Destination-Path-ID| Indique l’ID du chemin de destination où le fichier est copié ou déplacé. | Chaîne | /accountID/folderID/folderID/itemID | | Destination-Zone-ID | Indique l’ID de zone du chemin de destination où le fichier est copié ou déplacé. | Chaîne | zp16ffd530-c756-44ca-9f59-7ed3376e37 | | Device-ID | Indique l’ID de l’appareil associé à l’événement d’authentification à deux facteurs. | Chaîne | 450-087d-42a0-8d26-de88 | | Disable-User-Account | Indique si le compte d’utilisateur est désactivé. | Booléen | « True » ou « False » | |Download-Enabled-for-Anonymous-User|Indique si un utilisateur anonyme peut télécharger un fichier à partir d’une zone de stockage en fonction du résultat de l’analyse DLP (Data Loss Prevention). | Booléen| « True » ou « False »| |Download-Enabled-for-Client-User | Indique si un utilisateur client tiers peut télécharger un fichier à partir d’une zone de stockage en fonction du résultat de l’analyse DLP (Data Loss Prevention). | Booléen | « True » ou « False » | |Download-Enabled-for-Employee-User| Indique si un utilisateur employé peut télécharger un fichier à partir d’une zone de stockage en fonction du résultat de l’analyse DLP (Data Loss Prevention). |Booléen | « True » ou « False »| | Download-File-Size | Indique la taille (en Ko) du fichier téléchargé par l’utilisateur | Nombre | 10,8 KO | | Enabled-Web-Authentication | Indique si le fournisseur d’identité SAML est configuré pour l’authentification Web et si le compte d’utilisateur utilise ShareFile Sync. pour Windows, ShareFile Sync pour Mac ou le plug-in ShareFile Outlook. | Chaîne | « True » ou « False » | | Enabled-Two-Factor-Auth | Indique si la fonctionnalité d’authentification à deux facteurs est activée soit pour les utilisateurs employés, soit pour les utilisateurs clients. | Chaîne | « True » ou « False » | | Enabled-Two-Factor-Auth-for-Employees | Indique si l’authentification à deux facteurs est activée pour les utilisateurs employés. | Chaîne | « True » ou « False » | | Enabled-Two-Factor-Auth-for-Users | Indique si l’authentification à deux facteurs est activée pour les utilisateurs clients. | Chaîne | « True » ou « False » | | End-Date| Indique la date après laquelle le rapport n’est pas généré pour votre compte Content Collaboration. |“2021-05-23T 04:00:00 + 00:00 “ | |Event-ID | Indique l’identité unique associée à un événement utilisateur. | Chaîne | 77f300f8-8d89-4891-bb58-53b05c44766d | |Event-Type | Indique les types d’activités utilisateur telles que le téléchargement de fichiers, le téléchargement de fichiers, la création de liens de partage, la connexion à la session , création de dossier et suppression du lien de partage. | Chaîne | File.Upload,Session.Login,Share.Create | | Event-User-ID | Indique l’ID de l’utilisateur qui a déclenché l’événement. | Chaîne | 8d89-4891-bb58-53b05 | | Expiration-Date | Indique la date d’expiration de l’événement. | Chaîne | 2022-01-10T 13:35:22. 313236Z | | File-Creation-Date | Indique la date à laquelle le fichier infecté est créé. | Chaîne | 2021-05-25T 13:54:36 .16 | | File-Creator-Email-Address | Indique l’adresse e-mail de l’utilisateur qui a initialement créé le fichier infecté par un logiciel malveillant. | Chaîne | user1@citrix.com | | File-Creator-Name | Indique le nom d’utilisateur à l’origine du fichier infecté par un logiciel malveillant. | Chaîne | Utilisateur1 | |File-Download-ID | Indique l’ID de l’événement de téléchargement de fichier. | Chaîne | dta152b49ddc7542a0a9fe2e | |File-Format | Indique le format du fichier partagé ou téléchargé. | Chaîne | .csv, .png, .jpeg, .txt | | File-Hash| Indique le hachage MD5 d’un fichier qui est téléchargé. | Chaîne | 88e300f8-8d89-4891-bb58 | File-ID | | Indique l’identifiant unique du fichier infecté. | Chaîne | fib0257-1bd802-0707-44c12 | | File-Name | Indique le nom du fichier partagé, chargé ou téléchargé par l’utilisateur. | Chaîne | Rapport d’utilisation 2021 | | File-Owner-Name | Indique le propriétaire actuel du fichier infecté. | Chaîne | Utilisateur2 | File-Owner-Email-Address | | Indique l’ID e-mail du propriétaire actuel du fichier infecté. | Chaîne | user2@citrix.com | | File-Path | Indique le chemin du fichier infecté dans Content Collaboration. | Chaîne | /testfolder/test-file.pdf File-Size | | | Indique la taille du fichier infecté en octets. | Nombre | 10 B | | First-Name |Indique le prénom du utilisateur spécifié lors de la création du compte utilisateur. | Chaîne | Joe | | Folder-ID | Indique l’ID du dossier créé dans Content Collaboration. | Chaîne | 8d89-4891-bb58-53b05c | | Folder-Name | Indique le nom du dossier en cours d’archivage, de création, de suppression ou mis à jour. | Chaîne | dossier-test | Folder-Path | | Indique le chemin d’accès où le dossier est créé. | String | /analytics/security/sharefile/2022/nouveau dossier | | Frequency| Indique la fréquence récurrente du rapport généré pour votre compte Content Collaboration. | String | « Quotidien », « Hebdomadaire » ou « Mensuel » Group-ID| | | Indique l’ID du groupe de distribution.| Chaîne |g0183f52-f219-4816-9b8e-9584e504a083 |Group-Name| | Indique le nom du groupe de distribution. | Chaîne | Groupe de test 1 | | IdP-Type | Indique le type de fournisseur d’identité configuré pour l’utilisateur. | Chaîne | | | IP | Indique l’adresse IP de l’utilisateur. | Chaîne | 172.xx.xxx.xxx | | IP-Restrictions | Indique les adresses IP à partir desquelles les utilisateurs ne peuvent pas se connecter à leur Content Collaboration comptes. | | | | Inactive-Logout-Duration | Indique la durée d’inactivité après laquelle les utilisateurs inactifs sont déconnectés de leur compte. La durée est mesurée en minutes. Par défaut, cette durée est définie sur 1 heure (60 minutes) .| Nombre | 60 | | Include-Sub Folders| Indique si le rapport est créé pour un dossier sélectionné et ses sous-dossiers. |Boolean | « True » or « False » | | Infected-File-Hash | Indique la valeur de hachage du fichier infecté. | String | 88e300f8-8d89-4891-bb58 | |Is-Active| Indique si l’authentification unique est activée pour les employés non administrateurs qui utilisent votre IdP. |Booléen | « Vrai » ou « Faux » | | Is-Employee | Indique si l’utilisateur est un employé de votre organisation. | Chaîne | « Vrai » ou « Faux » | | Is-Enabled | Indique si la prévention contre la perte de données est activée pour votre compte Content Collaboration. | Booléen| « Vrai » ou « Faux » | |Is-Recurring| Indique si le rapport est généré après un intervalle régulier. | Booléen | « Vrai » ou « False”| |Is-Scheduled| Indique si le rapport est planifié. |Booléen |“Vrai » ou « Faux » | | Is-Shared | Indique si le partage du groupe de distribution est activé pour tous les employés. | Chaîne | « Vrai » ou « Faux » | Last-Name | | Indique le nom de famille de l’utilisateur spécifié lors de la création de l’utilisateur account. | String | Smith | |Last-Run-Date| Indique quand le rapport a été généré pour la dernière fois.| Chaîne | « 0001-01-01T 00:00:00 «  | Lock-ID | | Indique l’ID de l’événement de verrouillage de fichiers. | Chaîne | cb36113c468a8c29c48 | | Lock-Type | Indique le type de verrouillage de fichier. | String | Coauth Lock : plusieurs utilisateurs peuvent utiliser le fichier de verrouillage de la manière spécifiée. | | | | |Verrouillage dur : verrouillageexclusif | |Locked-Out-Duration | Indique la durée pendant laquelle l’utilisateur est bloqué sur son compte lorsqu’il n’a pas réussi à se connecter et a dépassé le nombre maximum de tentatives d’ouverture de session autorisées. La durée est mesurée en secondes. | Nombre | 120 | | Login-URL | Indique l’URL du service consommateur d’assertion IdP de l’utilisateur. | Chaîne | https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=fa7a185d-d748-459| Logout-URL | Indique l’URL que Content Collaboration utilise lorsqu’un utilisateur se déconnecte de sa session d’authentification unique. | Chaîne | https://secure.sharefiletest.com | | Maximum-Failed-Attempts| Indique le nombre maximum de tentatives qu’un utilisateur est autorisé à saisir un mot de passe non valide avant d’être verrouillé du compte pendant une période spécifique. | Nombre | 5 | |Maximum-Download-per-User | Indique le nombre maximum de téléchargements autorisés par utilisateur à partir d’un partage lien. | 1, 2, 3 | | Notify Sender | Indique si la notification de partage de fichiers est envoyée à l’expéditeur. | Booléen | « Vrai » ou « Faux » OAuth-Client-ID | | | Indique l’ID unique de l’utilisateur qui utilise le serveur d’autorisation. | Chaîne |DZI4UPUAG5L8BEKJIOECDCHMHutWWLN9 | | Operation-Name | Indique les types d’opérations effectuées sur Content Collaboration. | Chaîne | Créer, supprimer, charger, télécharger, partager, se connecter, copier, mettre à jour| | Owner-ID | Indique l’ID du propriétaire du groupe de distribution. | Chaîne | 10812e09-ab02-4115-8405-8uas5e71258f | |Parent-Folder-ID | Indique l’ID du dossier parent dans l’emplacement source à partir duquel le fichier est copié ou déplacé | Chaîne | fo674450-087d-42a0-8d26-de8838a04dae| | Path ID | Indique l’ID du chemin source à partir duquel le fichier est copié ou déplacé. | Chaîne |/accountID/folderID/folderID/itemID | |Permanently-Delete | Indique si le fichier est définitivement supprimé. | Booléen | « Vrai » ou « Faux » | | Primary-Email | Indique l’e-mail de l’utilisateur qui a déclenché l’événement | Chaîne | testuser@citrix.com | Recipient-ID | | Indique l’ID du premier utilisateur destinataire dans un événement de partage. | Chaîne | |Report-Type10812e09-ab02-4115-8405 | Indique le type de rapport créé. Voici le type de rapport et son ID correspondant. | Numéro | 0, 2, 10 | | |0- Rapport d’accès | | | |1- Rapport d’activité | | | | |2- Rapport sur le stockage | | | | |3- Rapport de messagerie | | | | |4- Rapport détaillé sur la bande passante | | | | |5- Bande passante rapport récapitulatif | | | | |6- Rapport d’e-mail crypté | | | | |7- Rapport récapitulatif sur le stockage | | | | |8- Rapport récapitulatif utilisateur | | | | |9- Rapport de modification d’accès | | | | |10- Partager le rapport d’envoi | | | | |11- Rapport de demande de partage | | | | Require-Login | Indique si la connexion utilisateur est requise pour accéder au lien de partage. | Booléen | « Vrai » ou « Faux » | | Require-User-Info | Indique si des informations utilisateur sont requises pour accéder au lien de partage. | Booléen | « Vrai » ou « Faux » | | Resource-ID | Indique l’ID de la ressource. | Chaîne | 6bf1-2108-fa4b-55dea0b | | Resource-Type | Indique les ressources sur lesquelles les opérations sont effectuées. |Chaîne | Fichier, utilisateurs, session, compte | | Shared-Folder-Name | Indique le dossier partagé dans lequel le fichier infecté est téléchargé. | Chaîne | dossier de test | | SP-Initiated Auth Context | Indique le niveau de comparaison pour le contexte d’authentification. L’IdP doit correspondre à la méthode d’authentification sélectionnée lorsque la comparaison « Exact » est utilisée. Ou une méthode de force relative supérieure lorsque la comparaison « Minimum » est utilisée. | Chaîne | « Minimum » ou « Exact » | SP-Initiated-Auth-Method | Indique la méthode pour le contexte d’authentification. Selon la sélection, il peut s’agir de Non spécifié, Nom d’utilisateur et mot de passe, Transport protégé par mot de passe, Client de sécurité de la couche transport, Certificat X.509, Authentification Windows intégrée ou Kerberos. | String | urn:oasis:names:tc:saml:2.0:ac:classes:password | SP-Initiated-Redirect-Method | | Indique la méthode de Redirection initiée par le fournisseur de services en fonction de la taille du certificat fourni par Content Collaboration. | Chaîne | « Par défaut », « HTTP » ou « POST » | |Save-Format|Indique le format du rapport enregistré. |Chaîne |“Excel » ou « CSV » | | Save-To-Folder| Indique si le rapport doit être enregistré dans un dossier particulier. | Boolean | « True » or « False » | | Server-Name | Indique le serveur à partir duquel le fichier est téléchargé ou partagé. | Chaîne | Citrix-SZC | | Share-Type | Indique le type de lien de partage. Le type peut être « Envoyer » ou « Demande ». Les partages d’envoi sont utilisés pour envoyer des fichiers et des dossiers aux utilisateurs spécifiés. Les partages de demandes sont utilisés pour permettre aux utilisateurs de télécharger des fichiers vers un emplacement spécifié par le propriétaire du partage. | 0 : Demande, 1 : Envoyer | 0, 1 Shared-Folder-Name | | | Indique le nom du dossier partagé. | Chaîne | dossier de test | | |Sharing-Enabled-for-Client User|Indique si un utilisateur client tiers peut partager un fichier depuis une zone de stockage basée sur le résultat de l’analyse de prévention contre la perte de données (DLP). | Booléen | « Vrai » ou « False”| |Sharing-Enabled-for-Employee-User |Indique si un utilisateur employé peut partager un fichier à partir d’une zone de stockage en fonction du résultat de l’analyse de prévention contre la perte de données (DLP). |Boolean | « Vrai » ou « False”| |Start-Date |Indique la date à partir de laquelle le rapport est généré pour votre compte Content Collaboration. |String |“2021-05-23T 04:00:00 + 00:00 “| | Storage-Center-Server|Indique le nom d’hôte du serveur client à partir duquel le fichier est téléchargé. |String |sf-downloadstreamer-sharefile-us.test.com | | Stream-ID | Indique l’ID du flux d’éléments. Un élément représente une version unique d’un objet de système de fichiers. Le flux identifie toutes les versions du même objet de système de fichiers. Par exemple, lorsque les utilisateurs téléchargent ou modifient un fichier existant, un nouvel élément est créé avec le même ID de flux. Toutes les énumérations d’éléments renvoient uniquement la dernière version d’un flux donné. | String | st279e5d-cahg-4f8-824f-34a3704840c | Support-File-Versioning | | Indique s’il existe plusieurs versions du fichier qui a été téléchargé. | Boolean | « True » or « False » | | Template-Based-Folder | Indique si le dossier est créé à partir d’un modèle de dossier prédéfini. | Booléen | « Vrai » ou « Faux » | |Title |Indique le titre du rapport généré pour votre compte Content Collaboration. |Chaîne | Rapport de test| |Trusted-Domains |Indique les domaines qui sont autorisés pour l’intégration d’iframe et le partage de ressources inter-origines. |Chaîne |citrix.com | | Upload-File-Size | Indique la taille (en kilo-octets) du fichier téléchargé par l’utilisateur. | Nombre | 10 Ko | | Upload-ID | Indique l’ID de l’opération de téléchargement de fichier. | Chaîne | st279e5d-cahg-4f8-824f-34a3704840c | | User-Email | Indique l’e-mail adresse associée au compte Citrix Analytics. | Chaîne | | testuser@citrix.com | User-ID |Indique l’ID de l’utilisateur qui a partagé le fichier. | Chaîne | utilisateur de test | | User-Name | Indique le nom de l’utilisateur qui a déclenché l’événement. | Chaîne | kevin.smith@citrix.com | | View-only | Indique si le fichier de téléchargement est en mode lecture seule. | Booléen | « True » ou « False » | | Virus-Name | Indique le nom du programme malveillant qui a infecté le fichier. | String | {HEX} EICAR.TEST.3.UNOFFICIAL | | Watermark | Indique si le fichier de téléchargement contient un filigrane. | Booléen | « Vrai » ou « Faux » Zone-ID | | | Indique l’ID de la zone de stockage dans laquelle se trouve le dossier | Chaîne | Zpb65440AE-4FBC-4405-BE2F-2B9CDE962C82 |