Format d’exportation de données Citrix Analytics pour SIEM
Citrix Analytics for Security vous permet d’intégrer vos services SIEM (Security Information and Event Management). Cette intégration permet à Citrix Analytics for Security d’envoyer des données à vos services SIEM et vous aide à mieux comprendre le niveau de risque de sécurité de votre entreprise.
Actuellement, vous pouvez intégrer Citrix Analytics for Security aux services SIEM suivants :
L’ option Exportations de données est désormais disponible dans le monde entier sous Paramètres. Pour afficher les événements de la source de données, accédez à Paramètres > Exportations de données > Événements de la source de données.
Les données d’analyse des risques envoyées par Citrix Analytics for Security à votre service SIEM sont de deux types :
- Événements d’analyse des risques (exportations par défaut)
-
Événements relatifs aux sources de données (exportations facultatives)
Données d’analyse des risques pour le SIEM
Une fois que vous avez terminé la configuration du compte et la configuration du SIEM, les données par défaut (événements liés aux informations sur les risques) commencent à être transférées vers votre déploiement SIEM. Les données d’analyse des risques contiennent le score de risque des utilisateurs, le profil utilisateur et les alertes relatives aux indicateurs de risque Ils sont générés par l’algorithme d’apprentissage automatique Citrix Analytics, l’analyse du comportement des utilisateurs et en fonction des événements des utilisateurs.
Les données d’analyse des risques d’un utilisateur incluent les éléments suivants :
- Changement du score de risque - Différence entre le score de risque actuel et le score de risque précédent d’un utilisateur. Lorsque la variation du score de risque d’un utilisateur est égale ou supérieure à trois et que cette modification augmente à tout rythme ou diminue de plus de 10 %, les données sont envoyées au service SIEM.
- Résumé de l’indicateur de risque - Les détails de l’indicateur de risque associé à un utilisateur.
- Détails des événements de l’indicateur de risque : détails des événements utilisateur associés à un indicateur de risque. Citrix Analytics envoie un maximum de 1000 détails d’événements pour chaque occurrence d’indicateur de risque à votre service SIEM. Ces événements sont envoyés dans l’ordre chronologique d’occurrence, où les 1000 premiers détails des événements d’indicateur de risque sont envoyés.
- Score de risque utilisateur : score de risque actuel d’un utilisateur. Citrix Analytics for Security envoie ces données au service SIEM toutes les 12 heures.
-
Profil utilisateur - Les données du profil utilisateur peuvent être classées dans les catégories suivantes :
- Applications utilisateur : applications lancées et utilisées par un utilisateur. Citrix Analytics for Security récupère ces données de Citrix Virtual Apps et les envoie au service SIEM toutes les 12 heures.
- Utilisation des données utilisateur : données téléchargées et téléchargées par un utilisateur via Citrix Content Collaboration. Citrix Analytics for Security envoie ces données au service SIEM toutes les 12 heures.
- Appareil utilisateur : appareils associés à un utilisateur. Citrix Analytics for Security récupère ces données depuis Citrix Virtual Apps et Citrix Endpoint Management et les envoie au service SIEM toutes les 12 heures.
- Emplacement de l’utilisateur : ville dans laquelle un utilisateur a été détecté pour la dernière fois. Citrix Analytics for Security récupère ces données à partir de Citrix Content Collaboration. Citrix Analytics for Security envoie ces informations à votre service SIEM toutes les 12 heures.
Si vous êtes uniquement capable de visualiser mais que vous ne pouvez pas configurer, cela signifie que vous ne disposez pas de toutes les autorisations d’accès et que le compte est désactivé pour vous. Dans l’exemple suivant, le bouton Enregistrer les modifications est désactivé. Vous pouvez toutefois obtenir des informations détaillées indiquant qu’il existe un ensemble d’événements par défaut qui sont transmis à l’environnement SIEM et à Risk Insights. Les événements d’analyse des risques sont activés par défaut.
Détails du schéma des événements liés aux informations sur les risques
La section suivante décrit le schéma des données traitées générées par Citrix Analytics for Security.
Remarque
Les valeurs de champ affichées dans les exemples de schéma suivants sont uniquement à des fins de représentation. Les valeurs de champ réelles varient en fonction du profil utilisateur, des événements utilisateur et de l’indicateur de risque.
Le tableau suivant décrit les noms de champs communs dans le schéma pour toutes les données de profil utilisateur, le score de risque utilisateur et la modification du score de risque.
| Nom du champ | Description |
|---|---|
entity_id |
Identité associée à l’entité. Dans ce cas, l’entité est l’utilisateur. |
entity_type |
L’entité à risque. Dans ce cas, l’entité est l’utilisateur. |
event_type |
Type de données envoyées à votre service SIEM. Par exemple : l’emplacement de l’utilisateur, l’utilisation des données de l’utilisateur ou les informations d’accès à l’appareil de l’utilisateur. |
tenant_id |
L’identité unique du client. |
timestamp |
La date et l’heure de l’activité récente de l’utilisateur. |
version |
Version du schéma des données traitées. La version actuelle du schéma est 2. |
Schéma de données de profil utilisateur
Schéma de localisation de l’utilisateur
{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}
<!--NeedCopy-->
Description du champ pour l’emplacement de l’utilisateur
| Nom du champ | Description |
|---|---|
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement est l’emplacement de l’utilisateur. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
cnt |
Nombre de fois où l’emplacement a été consulté au cours des 12 dernières heures. |
Schéma d’utilisation des données utilisateur
{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}
<!--NeedCopy-->
Description du champ pour l’utilisation des données utilisateur
| Nom du champ | Description |
|---|---|
data_usage_bytes |
Quantité de données (en octets) utilisée par l’utilisateur. Il s’agit de l’agrégat du volume téléchargé et téléchargé pour un utilisateur. |
deleted_file_cnt |
Nombre de fichiers supprimés par l’utilisateur. |
downloaded_bytes |
La quantité de données téléchargées par l’utilisateur. |
downloaded_file_count |
Nombre de fichiers téléchargés par l’utilisateur. |
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement est le profil d’utilisation de l’utilisateur. |
shared_file_count |
Nombre de fichiers partagés par l’utilisateur. |
uploaded_bytes |
La quantité de données téléchargées par l’utilisateur. |
uploaded_file_cnt |
Nombre de fichiers téléchargés par l’utilisateur. |
Schéma de la machine utilisateur
{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}
<!--NeedCopy-->
Description du champ de la machine utilisateur.
| Nom du champ | Description |
|---|---|
cnt |
Nombre d’accès à l’appareil au cours des 12 dernières heures. |
device |
Le nom de l’appareil. |
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond aux informations d’accès à l’appareil de l’utilisateur. |
Schéma de l’application utilisateur
{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}
<!--NeedCopy-->
Description du champ pour l’application utilisateur.
| Nom du champ | Description |
|---|---|
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond aux informations d’accès à l’appareil de l’utilisateur. |
session_domain |
ID de la session à laquelle l’utilisateur s’est connecté. |
user_samaccountname |
Nom d’ouverture de session pour les clients et les serveurs d’une version précédente de Windows, telle que Windows NT 4.0, Windows 95, Windows 98 et LAN Manager. Ce nom est utilisé pour ouvrir une session sur Citrix StoreFront et également sur une machine Windows distante. |
app |
Le nom de l’application à laquelle l’utilisateur a accédé. |
cnt |
Nombre d’accès à l’application au cours des 12 dernières heures. |
Schéma de score de risque utilisateur
{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}
<!--NeedCopy-->
Description du champ pour le score de risque de l’utilisateur.
| Nom du champ | Description |
|---|---|
cur_riskscore |
Le score de risque actuel attribué à l’utilisateur. Le score de risque varie de 0 à 100 en fonction de la gravité de la menace associée à l’activité de l’utilisateur. |
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement est le score de risque de l’utilisateur. |
last_update_timestamp |
Heure de la dernière mise à jour du score de risque pour un utilisateur. |
timestamp |
Heure à laquelle l’événement de score de risque utilisateur est collecté et envoyé à votre service SIEM. Cet événement est envoyé à votre service SIEM toutes les 12 heures. |
Schéma de changement du score de risque
Échantillon 1 :
{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}
<!--NeedCopy-->
Échantillon 2 :
{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}
<!--NeedCopy-->
Description du champ pour la modification du score de risque.
| Nom du champ | Description |
|---|---|
alert_message |
Le message affiché pour la modification du score de risque. |
alert_type |
Indique si l’alerte concerne une augmentation du score de risque ou une baisse significative du pourcentage de score de risque. Lorsque la variation du score de risque d’un utilisateur est égale ou supérieure à trois et que cette modification augmente à tout rythme ou diminue de plus de 10 %, les données sont envoyées au service SIEM. |
alert_value |
Une valeur numérique attribuée à la modification du score de risque. La modification du score de risque est la différence entre le score de risque actuel et le score de risque précédent pour un utilisateur. La valeur de l’alerte varie de -100 à 100. |
cur_riskscore |
Le score de risque actuel attribué à l’utilisateur. Le score de risque varie de 0 à 100 en fonction de la gravité de la menace associée à l’activité de l’utilisateur. |
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement est la modification du score de risque de l’utilisateur. |
timestamp |
Date et heure auxquelles la dernière modification du score de risque est détectée pour l’utilisateur. |
Schéma des indicateurs de risque
Le schéma de l’indicateur de risque se compose de deux parties : le schéma récapitulatif de l’indicateur et le schéma des détails des événements de l’indicateur. En fonction de l’indicateur de risque, les champs et leurs valeurs dans le schéma changent en conséquence.
Le tableau suivant décrit les noms de champs communs à tous les schémas récapitulatifs des indicateurs.
| Nom du champ | Description |
|---|---|
data source |
Les produits qui envoient des données à Citrix Analytics for Security. Par exemple : Citrix Secure Private Access, Citrix Gateway et Citrix Apps and Desktops. |
data_source_id |
ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access |
entity_type |
L’entité à risque. Il peut s’agir d’un utilisateur ou d’un lien de partage. |
entity_id |
ID associé à l’entité à risque. |
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement est le résumé de l’indicateur de risque. |
indicator_category |
Indique les catégories d’indicateurs de risque. Les indicateurs de risque sont regroupés dans l’une des catégories de risque : point de terminaison compromis, utilisateurs compromis, exfiltration de données ou menaces internes. |
indicator_id |
ID unique associé à l’indicateur de risque. |
indicator_category_id |
ID associé à une catégorie d’indicateurs de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis, ID 4 = point de terminaison compromis |
indicator_name |
Le nom de l’indicateur de risque. Pour un indicateur de risque personnalisé, ce nom est défini lors de la création de l’indicateur. |
indicator_type |
Indique si l’indicateur de risque est par défaut (intégré) ou personnalisé. |
indicator_uuid |
ID unique associé à l’instance de l’indicateur de risque. |
indicator_vector_name |
Indique le vecteur de risque associé à un indicateur de risque. Les vecteurs de risque sont les indicateurs de risque basés sur l’appareil, les indicateurs de risque basés sur l’emplacement, les indicateurs de risque basés sur les échecs de connexion, les indicateurs de risque basés sur IP, les indicateurs de risque basés sur les données, les indicateurs de risque basés sur les fichiers et d’autres indicateurs de risque. |
indicator_vector_id |
ID associé à un vecteur de risque. ID 1 = Indicateurs de risque basés sur l’appareil, ID 2 = Indicateurs de risque basés sur la localisation, ID 3 = Indicateurs de risque basés sur l’échec de la connexion, ID 4 = Indicateurs de risque basés sur IP, ID 5 = Indicateurs de risque basés sur les données, ID 6 = Indicateurs de risque basés sur les fichiers, ID 7 = Autres indicateurs de risque et ID 999 = Non disponible |
occurrence_details |
Les détails sur la condition de déclenchement de l’indicateur de risque. |
risk_probability |
Indique les chances de risque associées à l’événement utilisateur. La valeur varie de 0 à 1,0. Pour un indicateur de risque personnalisé, la valeur risk_probability est toujours de 1,0 car il s’agit d’un indicateur basé sur une stratégie. |
severity |
Indique la gravité du risque. Il peut être faible, moyen ou élevé. |
tenant_id |
L’identité unique du client. |
timestamp |
La date et l’heure de déclenchement de l’indicateur de risque. |
ui_link |
Le lien vers la vue chronologique de l’utilisateur sur l’interface utilisateur de Citrix Analytics. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
Le tableau suivant décrit les noms de champs communs à l’ensemble du schéma des détails des événements de l’indicateur.
| Nom du champ | Description |
|---|---|
data_source_id |
ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access |
indicator_category_id |
ID associé à une catégorie d’indicateurs de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis, ID 4 = point de terminaison compromis |
entity_id |
ID associé à l’entité à risque. |
entity_type |
L’entité à risque. Il peut s’agir d’un lien utilisateur ou d’un lien de partage. |
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond aux détails de l’événement indicateur de risque. |
indicator_id |
ID unique associé à l’indicateur de risque. |
indicator_uuid |
ID unique associé à l’instance de l’indicateur de risque. |
indicator_vector_name |
Indique le vecteur de risque associé à un indicateur de risque. Les vecteurs de risque sont les indicateurs de risque basés sur l’appareil, les indicateurs de risque basés sur l’emplacement, les indicateurs de risque basés sur les échecs de connexion, les indicateurs de risque basés sur IP, les indicateurs de risque basés sur les données, les indicateurs de risque basés sur les fichiers et d’autres indicateurs de risque. |
indicator_vector_id |
ID associé à un vecteur de risque. ID 1 = Indicateurs de risque basés sur l’appareil, ID 2 = Indicateurs de risque basés sur la localisation, ID 3 = Indicateurs de risque basés sur l’échec de la connexion, ID 4 = Indicateurs de risque basés sur IP, ID 5 = Indicateurs de risque basés sur les données, ID 6 = Indicateurs de risque basés sur les fichiers, ID 7 = Autres indicateurs de risque et ID 999 = Non disponible |
tenant_id |
L’identité unique du client. |
timestamp |
La date et l’heure de déclenchement de l’indicateur de risque. |
version |
Version du schéma des données traitées. La version actuelle du schéma est 2. |
client_ip |
L’adresse IP de l’appareil de l’utilisateur. |
Remarque
Si une valeur de champ de type de données entier n’est pas disponible, la valeur attribuée est -999. Par exemple
"latitude": -999,"longitude": -999.Si une valeur de champ de type de données de chaîne n’est pas disponible, la valeur attribuée est NA. Par exemple
"city": "NA","region": "NA".
Schéma des indicateurs de risque Citrix Secure Private Access
Tentative d’accès au schéma d’indicateur de risque d’URL sur liste noire
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:59:58Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Attempt to access blacklisted URL",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-15T10:44:59Z",
"relevant_event_type": "Blacklisted External Resource Access"
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:57:21Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "googleads.g.doubleclick.net",
"executed_action": "blocked",
"reason_for_action": "URL Category match",
"client_ip": "157.xx.xxx.xxx"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour la tentative d’accès à l’URL de liste noire.
| Nom du champ | Description |
|---|---|
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
executed_action |
L’action appliquée sur l’URL de la liste noire. L’action inclut Autoriser, Bloquer. |
reason_for_action |
Raison de l’application de l’action pour l’URL. |
Schéma d’indicateur de risque de téléchargements de données excessifs
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Excessive data download",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"downloaded_bytes": 24000
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour les téléchargements de données excessifs.
| Nom du champ | Description |
|---|---|
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
data_volume_in_bytes |
Quantité de données en octets téléchargée. |
relevant_event_type |
Indique le type de l’événement utilisateur. |
domain_name |
Nom du domaine à partir duquel les données sont téléchargées. |
downloaded_bytes |
Quantité de données en octets téléchargée. |
Schéma d’indicateur de risque de volume de téléchargement inhabituel
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Unusual upload volume",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"uploaded_bytes": 24000
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour le volume de téléchargement inhabituel.
| Noms de champs | Description |
|---|---|
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
data_volume_in_bytes |
Quantité de données en octets qui est téléchargée. |
relevant_event_type |
Indique le type de l’événement utilisateur. |
domain_name |
Nom du domaine dans lequel les données sont téléchargées. |
uploaded_bytes |
Quantité de données en octets qui est téléchargée. |
Schéma des indicateurs de risque Citrix Content Collaboration
Accès excessif aux fichiers sensibles (alerte DLP)
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": 3,
"indicator_category_id": 1,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
"timestamp": "2021-03-22T09:46:11Z",
"indicator_name": "Excessive access to sensitive files (DLP alert)",
"indicator_category": "Data exfiltration",
"risk_probability": 1.0,
"version": 2,
"severity": "low",
"indicator_type": "builtin",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"occurrence_details": {
"relevant_event_type": "Download",
"event_count": 1,
"observation_start_time": "2021-03-22T09:31:11Z"
},
"event_type": "indicatorSummary",
"cas_consumer_debug_details": {"partition": 1, "offset":179528, "enqueued_timestamp": 1616406412459}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"version": 2,
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": 3,
"indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
"timestamp": "2021-03-22T09:46:11Z",
"indicator_category_id": 1,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"client_ip": "210.91.xx.xxx",
"file_name": "filename.xls",
"file_size_in_bytes": 178690,
"event_type": "indicatorEventDetails",
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour l’accès excessif aux fichiers sensibles (alerte DLP).
| Nom du champ | Description |
|---|---|
relevant_event_type |
Type d’événement, tel que le téléchargement. |
event_count |
Nombre d’événements de téléchargement détectés. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
file_name |
Le nom du fichier téléchargé. |
file_size_in_bytes |
La taille du fichier téléchargé en octets. |
Schéma d’indicateur de risque de suppression excessive de fichiers ou de dossiers
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 5,
"indicator_uuid": "28c4bbab-f3ad-5886-81cd-26fef200d9d7",
"indicator_category_id": 2,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2017-12-18T11:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Excessive file / folder deletion",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"cumulative_event_count_day": 11,
"relevant_event_type": "File and/or Folder Delete",
"observation_start_time": "2017-12-18T11:00:00Z"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 5,
"indicator_uuid": "be9af43f-29d2-51cd-81d6-c1d48b392bbb",
"indicator_category_id": 2,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2017-12-18T01:45:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"client_ip": "210.91.xx.xxx",
"version": 2,
"resource_type": "File",
"resource_name": "Filename21",
"component_name": "Platform"
"connector_type": "GFIS",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour la suppression excessive de fichiers ou de dossiers.
| Noms de champs | Description |
|---|---|
cumulative_event_count_day |
Nombre d’événements de suppression de fichiers ou de dossiers uniques pour la journée en cours. |
relevant_event_type |
Indique le type d’événement, tel que la suppression d’un fichier ou d’un dossier. |
resource_type |
Indique si la ressource est un fichier ou un dossier. |
resource_name |
Le nom de la ressource. |
component_name |
Indique le composant ShareFile : Platform ou Connector. Si un utilisateur supprime des fichiers du stockage cloud géré par ShareFile, le composant apparaît sous la forme « Plateforme ». Si un utilisateur supprime des fichiers d’une zone de stockage, le composant apparaît en tant que « Connecteur ». |
connector_type |
Type de connecteur de zone de stockage utilisé. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
region |
La région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
Schéma d’indicateur de risque de partage de fichiers excessif
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 6,
"indicator_uuid": "3d421659-ef4d-5434-94b8-90f792e81989",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 0,
"timestamp": "2018-01-03T06:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.19621421,
"indicator_category": "Data exfiltration",
"indicator_name": "Excessive file sharing",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-01-03T06:00:00Z",
"relevant_event_type": "Share Create and/or Send",
"cumulative_event_count_day": 15
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 6,
"indicator_uuid": "c5ea0b26-ce4c-55ad-b8ba-d562f128a2fb",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 0,
"timestamp": "2018-01-03T02:22:04Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_tenant",
"version": 2,
"share_id": "share110",
"operation_name": "Create",
"tool_name": "SFWebApp",
"component_name": "Platform",
"client_ip": "99.xxx.xx.xx",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour le partage de fichiers excessif.
| Nom du champ | Description |
|---|---|
cumulative_event_count_day |
Nombre de fichiers uniques partagés au cours de la journée. |
relevant_event_type |
Indique le type d’événement, tel que les liens de partage. |
share_id |
ID associé au lien de partage. |
operation_name |
Indique les activités de l’utilisateur telles que la création d’un lien de partage, la suppression du lien de partage. |
tool_name |
Outil ou application utilisé pour partager les fichiers. |
component_name |
Indique le composant ShareFile : Platform ou Connector. Si un utilisateur partage des fichiers à partir du stockage cloud géré par ShareFile, le composant s’affiche sous la forme « Plateforme ». Si un utilisateur partage des fichiers à partir d’une zone de stockage, le composant apparaît sous la forme « Connecteur » |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
region |
La région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
Schéma d’indicateur de risque pour les téléchargements de fichiers excessifs
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 4,
"indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 0,
"timestamp": "2018-01-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.64705884,
"indicator_category": "Insider threats",
"indicator_name": "Excessive file uploads",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"tool_name": "tool3",
"relevant_event_type": "Upload",
"observation_start_time": "2018-01-02T10:00:00Z"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 4,
"indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 0,
"timestamp": "2018-01-02T10:37:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"file_name": "File5.txt",
"component_name": "Connector",
"client_ip": "99.xxx.xx.xx",
"connector_type": "GFIS",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour les téléchargements de fichiers excessifs.
| Nom du champ | Description |
|---|---|
tool_name |
Outil ou application utilisé pour partager les fichiers. |
relevant_event_type |
Indique le type d’événement utilisateur, tel que le téléchargement. |
file_name |
Le nom du fichier téléchargé. |
component_name |
Indique le composant ShareFile : Platform ou Connector. Si un utilisateur télécharge des fichiers sur le stockage cloud géré par ShareFile, le composant apparaît sous la forme « Plateforme ». Si un utilisateur télécharge des fichiers vers une zone de stockage, le composant apparaît sous la forme « Connecteur ». |
connector_type |
Type de connecteur de zone de stockage utilisé. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
region |
La région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
Indicateur de risque de voyage impossible
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": "13",
"indicator_uuid": "f6974562-592f-5328-a2ac-adf7122a3qr7",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 0,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"pair_id": 2,
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "tenant_1",
"indicator_id": "13",
"indicator_uuid": "f6974562-592f-5328-a2ac-adf7122b8ac7",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 0,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "user1",
"version": 2,
"client_ip": "95.xxx.xx.xx",
"ip_organization": "global telecom ltd",
"ip_routing_type": "mobile gateway",
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"os": "NA",
"tool_name": "SF_FTP"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour Impossible travel.
| Nom du champ | Description |
|---|---|
distance |
La distance (km) entre les événements associés à un voyage impossible. |
historical_logon_locations |
Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation. |
historical_observation_period_in_days |
Chaque site est surveillé pendant 30 jours. |
relevant_event_type |
Indique le type d’événement, tel que l’ouverture de session. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
region |
Indique la région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
tool_name |
L’outil ou l’application qui est utilisé pour ouvrir une session. |
os |
Le système d’exploitation de l’appareil de l’utilisateur. |
ip_organization |
Enregistrement de l’organisation de l’adresse IP du client |
ip_routing_type |
Type de routage IP du client |
Schéma d’indicateur de risque d’échec d’authentification inhabituel
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 10,
"indicator_uuid": "274cedc0-a404-5abe-b95b-317c0209c9e8",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 0,
"timestamp": "2018-01-26T01:29:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Unusual authentication failure",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon Failure",
"observation_start_time": "2018-01-26T00:30:00Z"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 10,
"indicator_uuid": "e1bf5b91-b0e1-5145-aa5b-7731f31b56ac",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 0,
"timestamp": "2018-01-26T01:01:01Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"operation_name": "LoginFailure",
"tool_name": "webapp",
"client_ip": "128.x.x.x",
"os": "Android"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement en cas d’échec d’authentification inhabituel.
| Nom du champ | Description |
|---|---|
relevant_event_type |
Indique le type d’événement utilisateur, tel qu’un échec de connexion. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
tool_name |
Outil ou application utilisé pour partager les fichiers. |
os |
Le système d’exploitation de la machine utilisateur. |
Indicateur de risque détecté des fichiers malveillants
Schéma récapitulatif des indicateurs
{
"data_source": "Citrix Content Collaboration",
"data_source_id": 0,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Insider threats",
"indicator_category_id": 2,
"indicator_id": "12",
"indicator_name": "Malware file(s) detected",
"indicator_type": "builtin",
"indicator_uuid": "549f0dc6-2421-5d21-bafa-6180",
"indicator_vector":
{
"id": 6,
"name": "File-Based Risk Indicators",
},
"occurrence_details":
{
"event_count": 2,
"file_hash": "ce59df8709e882e3f84",
"observation_start_time": "2021-11-15T16:00:00Z",
"relevant_event_type": "Malware Infected File Detected",
"virus_name": " Win.Malware.Generic-9873973-0",
},
"risk_probability": 1.0,
"severity": "high",
"tenant_id": "demo_tenant",
"timestamp": "2021-11-15T16:14:59Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"data_source_id": 0,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"file_hash": "ce59df8709e882e3f84",
"file_name": "test-file.exe",
"file_path": "/abc@citrix.com/source/repos/test-folder/test-file.exe",
"folder_name": "test-folder",
"indicator_category_id": 2,
"indicator_id": "12",
"indicator_uuid": "549f0dc6-2421-5d21-bafa-6180",
"indicator_vector":
{
"id": 6,
"name": "File-Based Risk Indicators",
},
"tenant_id": "demo_tenant",
"timestamp": "2021-11-15T16:01:51Z",
"version": 2,
"virus_name": " Win.Malware.Generic-9873973-0"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour les fichiers de programmes malveillants détectés.
| Nom du champ | Description |
|---|---|
| Hash de fichier | La valeur de hachage du fichier infecté. |
| Nom du fichier | Nom du fichier infecté chargé par l’utilisateur de Content Collaboration. |
| Chemin du fichier | Chemin d’accès complet du dossier dans le service Content Collaboration dans lequel le fichier infecté est chargé. |
| Nom du dossier | Nom du dossier dans le service Content Collaboration dans lequel le fichier infecté est chargé. |
| Type d’événement pertinent | Type d’événement tel qu’un fichier malveillant détecté. |
| Nom du virus | Nom du virus qui a infecté le fichier. |
Indicateur de risque de suspicion d’activité de ransomware (fichier remplacé)
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 8,
"indicator_uuid": "0afaa694-59ec-5a44-84df-3afcefad7b50",
"indicator_category_id": 3,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-29T11:04:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Ransomware activity suspected (files replaced)",
"severity": "high",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-01-29T10:50:00Z",
"relevant_event_type": "Delete & Upload"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 8,
"indicator_uuid": "580f8f03-c02b-5d0f-b707-1a0577ca2fec",
"indicator_category_id": 3,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-29T11:00:06Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"file_name": "file1",
"client_ip": "99.xxx.xx.xx",
"operation_name": "Upload",
"file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour l’activité de ransomware suspectée (fichier remplacé).
| Nom du champ | Description |
|---|---|
relevant_event_type |
Indique le type d’événement utilisateur, tel que la suppression du fichier et le téléchargement d’un autre fichier. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
file_name |
Le nom du fichier remplacé. |
operation_name |
L’activité de l’utilisateur, telle que le téléchargement ou la suppression. |
file_path |
Chemin d’accès du fichier remplacé. |
Indicateur de risque de téléchargement de lien de partage anonyme
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 50,
"indicator_uuid": "93a32d22-d14b-5413-94fc-47c44fe7c07f",
"indicator_category_id": 1,
"indicator_vector": {
"name": "NA",
"id": 999 },
"data_source_id": 0,
"timestamp": "2018-01-27T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "share",
"entity_id": "62795698",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Anonymous sensitive share link download",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/share-timeline/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-01-27T12:00:00Z",
"relevant_event_type": "Download"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 50,
"indicator_uuid": "11562a63-9761-55b8-8966-3ac81bc1d043",
"indicator_category_id": 1,
"indicator_vector": {
"name": "NA",
"id": 999 },
"data_source_id": 0,
"timestamp": "2018-01-27T12:02:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "share",
"entity_id": "46268753",
"version": 2,
"file_name": "file1.mp4",
"file_size_in_bytes": 278,
"city": "Miami",
"country": "USA",
"client_ip": "166.xxx.xxx.xxx",
"device_type": "iPhone X"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour le téléchargement du lien de partage sensible anonyme.
| Noms de champs | Description |
|---|---|
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
relevant_event_type |
Indique le type d’événement utilisateur, tel que la suppression du fichier et le téléchargement d’un autre fichier. |
file_name |
Le nom du fichier sensible qui est téléchargé. |
file_size_in_bytes |
Taille du fichier en octets qui est téléchargé. |
city |
Ville à partir de laquelle l’activité de l’utilisateur a été détectée. |
country |
Le pays à partir duquel l’activité de l’utilisateur a été détectée. |
device_type |
Type de périphérique utilisé pour télécharger le fichier. |
Indicateur de risque de téléchargements excessifs de liens
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 51,
"indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
"indicator_category_id": 1,
"indicator_vector": {
"name": "NA",
"id": 999 },
"data_source_id": 0,
"timestamp": "2018-01-28T18:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "share",
"entity_id": "29510000",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Excessive share link downloads",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/share-timeline/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Download",
"lifetime_users_downloaded": 6,
"observation_start_time": "2018-01-27T19:00:00Z",
"lifetime_download_volume_in_bytes": 2718,
"lifetime_download_count": 6,
"link_first_downloaded": "2018-01-27T11:12:00Z"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 51,
"indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
"indicator_category_id": 1,
"indicator_vector": {
"name": "NA",
"id": 999 },
"data_source_id": 0,
"timestamp": "2018-01-28T18:47:50Z",
"event_type": "indicatorEventDetails",
"entity_type": "share",
"entity_id": "29510000",
"version": 2,
"file_name": "anom20.jep",
"file_size_in_bytes": 106,
"client_ip": "99.xxx.xx.xx",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74,
"user_email": "new-user61@citrix.com",
"lifetime_unique_user_emails": "new-user62@citrix.com user6e@citrix.com user6f@citrix.com new-user63@citrix.com new-user64@citrix.com new-user61@citrix.com",
"lifetime_unique_user_count": 6,
"lifetime_num_times_downloaded": 6,
"lifetime_total_download_size_in_bytes": 2718,
"lifetime_first_event_time": "2018-01-27T11:12:00Z"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour les téléchargements de liens de partage excessifs.
| Noms de champs | Description |
|---|---|
relevant_event_type |
Indique le type d’événement, tel qu’un téléchargement excessif d’un lien de partage. |
lifetime_users_downloaded |
Indique le nombre total d’utilisateurs qui ont téléchargé le lien de partage depuis la création du lien. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
lifetime_download_volume_in_bytes |
Indique le volume total de téléchargements en octets depuis la création du lien de partage. |
lifetime_download_count |
Indique le nombre total de téléchargements depuis la création du lien de partage. |
link_first_downloaded |
Indique la date et l’heure auxquelles le lien de partage a été téléchargé pour la première fois. |
file_name |
Indique le nom du fichier partagé via le lien. |
file_size_in_bytes |
Indique la taille du fichier partagé. |
user_email |
Indique l’ID de messagerie de l’utilisateur actuel qui a trop téléchargé le fichier via le lien de partage. |
lifetime_unique_user_emails |
Indique les ID de messagerie de tous les utilisateurs, y compris l’utilisateur actuel qui a téléchargé le fichier depuis la création du lien. |
lifetime_unique_user_count |
Indique le nombre total d’utilisateurs uniques qui ont téléchargé le fichier depuis la création du lien. |
lifetime_num_times_downloaded |
Indique le nombre total de fois que le fichier a été téléchargé depuis la création du lien. |
lifetime_total_download_size_in_bytes |
Indique la taille totale du fichier téléchargé depuis la création du lien. |
lifetime_first_event_time |
Indique la date et l’heure du premier événement de téléchargements depuis la création du lien. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
region |
La région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
Indicateur de risque lié aux téléchargements de fichiers
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 0,
"indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
"indicator_category_id": 1,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Excessive file downloads",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"exfiltrated_data_volume_in_bytes": 24000,
"relevant_event_type": "Download",
"observation_start_time": "2018-01-02T10:00:00Z"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 0,
"indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
"indicator_category_id": 1,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": "0",
"timestamp": "2018-01-02T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"client_ip": "99.xxx.xx.xx",
"version": 2,
"file_name": "File1.txt",
"file_size_in_bytes": 24000,
"component_name": "Platform",
"connector_type": "NA",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour les téléchargements de fichiers excessifs.
| Nom du champ | Description |
|---|---|
exfiltrated_data_volume_in_bytes |
Quantité de données en octets téléchargée. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
file_name |
Le nom du fichier téléchargé. |
file_size_in_bytes |
Taille du fichier en octets qui est téléchargé. |
component_name |
Indique le composant ShareFile : Platform ou Connector. Si un utilisateur télécharge des fichiers à partir du stockage cloud géré par ShareFile, le composant apparaît sous la forme « Plateforme ». Si un utilisateur télécharge des fichiers depuis une zone de stockage, le composant s’affiche sous la forme « Connecteur ». |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
region |
La région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
Indicateur de risque de suspicion d’activité de ransomware (mise à jour du fichier)
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 9,
"indicator_uuid": "f21ef9c8-c379-5a96-ae90-e750d31a728c",
"indicator_category_id": 3,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-29T11:04:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Ransomware activity suspected (files updated)",
"severity": "high",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Update/Upload",
"observation_start_time": "2018-01-29T10:50:00Z"
}
}
<!--NeedCopy-->
Détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 9,
"indicator_uuid": "0509e432-527e-5c84-abb4-f397f2a5e02b",
"indicator_category_id": 3,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-29T11:00:05Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"file_name": "file1",
"operation_name": "Update",
"stream_id": "someid37",
"client_ip": "11.xx.xx.xx",
"file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour l’activité de ransomware suspectée (fichier mis à jour).
| Nom du champ | Description |
|---|---|
relevant_event_type |
Indique le type d’événement utilisateur, tel que la mise à jour ou le chargement d’un fichier. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
file_name |
Le nom du fichier mis à jour. |
operation_name |
L’activité de l’utilisateur, telle que le téléchargement, la mise à jour ou la suppression. |
file_path |
Chemin d’accès au fichier mis à jour par l’utilisateur. |
stream_id |
ID du flux d’éléments. Un élément représente une version unique d’un objet de système de fichiers. Le flux identifie toutes les versions du même objet de système de fichiers. Par exemple, lorsqu’un utilisateur charge ou modifie un fichier existant, un nouvel élément est créé avec le même ID de flux. |
Indicateur de risque de connexion suspect
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": "11",
"indicator_uuid": "42aac530-b589-5338-8cbe-3a940921fce6",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 0,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.71,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2020-06-06T12:00:00Z",
"relevant_event_type": "Logon",
"event_count": 1,
"historical_observation_period_in_days": 30,
"country": "United States",
"region": "Florida",
"city": "Miami",
"historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
"user_location_risk": 75,
"device_id": "",
"os": "Windows 10",
"tool_name": "SFWebApp",
"user_device_risk": 0,
"client_ip": "99.xxx.xx.xx",
"webroot_threat_categories": "Phishing",
"user_network_risk": 75,
"suspicious_network_risk": 89
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": "11",
"indicator_uuid": "42aac530-b589-5338-8cbe-3a940921fce6",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 0,
"timestamp": "2020-06-06T12:08:40Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"country": "United States",
"region": "Florida",
"city": "Miami",
"latitude": 25.7617,
"longitude": -80.1918,
"tool_name": "SFWebApp",
"os": "Windows 10",
"device_id": "NA",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour l’ouverture de session suspecte.
| Nom du champ | Description |
|---|---|
historical_logon_locations |
Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation. |
historical_observation_period_in_days |
Chaque site est surveillé pendant 30 jours. |
relevant_event_type |
Indique le type d’événement, tel que l’ouverture de session. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
occurrence_event_type |
Indique le type d’événement utilisateur, tel que la connexion au compte. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
region |
Indique la région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
tool_name |
L’outil ou l’application qui est utilisé pour ouvrir une session. |
os |
Le système d’exploitation de l’appareil de l’utilisateur. |
device_id |
Le nom de l’appareil utilisé par l’utilisateur. |
user_location_risk |
Indique le niveau de suspicion de l’emplacement à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
user_device_risk |
Indique le niveau de suspicion de l’appareil à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
user_network_risk |
Indique le niveau de suspicion du réseau ou du sous-réseau à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
suspicious_network_risk |
Indique le niveau de menace IP en fonction du flux Webroot IP Threat Intelligence. Niveau de menace faible : 0—69, niveau de menace moyen : 70—89 et niveau de menace élevé : 90-100 |
webroot_threat_categories |
Indique les types de menaces détectés à partir de l’adresse IP en fonction du flux Webroot IP Threat Intelligence. Les catégories de menaces peuvent être les sources de spam, les exploits Windows, les attaques Web, les réseaux de zombies, les scanners, le déni de service, la réputation, l’hameçonnage, le proxy, les menaces non spécifiées, les menaces mobiles et le proxy Tor |
Schéma des indicateurs de risque Citrix Endpoint Management
Schéma des indicateurs détectés par un périphérique jailbreaké ou rooté
Schéma récapitulatif des indicateurs
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 200,
"indicator_name": "Jailbroken / Rooted Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:05Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"indicator_id": 200,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:35Z",
"version": 2
}
<!--NeedCopy-->
Appareil avec des applications sur la liste noire détectées
Schéma récapitulatif des indicateurs
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 201,
"indicator_name": "Device with Blacklisted Apps Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:23Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"indicator_id": 201,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:39Z",
"version": 2
}
<!--NeedCopy-->
Périphérique non géré détecté
Schéma récapitulatif des indicateurs
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 203,
"indicator_name": "Unmanaged Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T12:56:30Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"indicator_id": 203,
"client_ip": "127.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T18:41:30Z",
"version": 2
}
<!--NeedCopy-->
Schéma des indicateurs de risque Citrix Gateway
Schéma de l’indicateur de risque d’échec de l’analyse EPA
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "EPA scan failure",
"severity": "low",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"event_description": "Post auth failed, no quarantine",
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "EPA Scan Failure at Logon"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:12:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Post auth failed, no quarantine",
"gateway_domain_name": "10.102.xx.xx",
"gateway_ip": "56.xx.xxx.xx",
"policy_name": "postauth_act_1",
"client_ip": "210.91.xx.xxx",
"country": "United States",
"city": "San Jose",
"region": "California",
"cs_vserver_name": "demo_vserver",
"device_os": "Windows OS",
"security_expression": "CLIENT.OS(Win12) EXISTS",
"vpn_vserver_name": "demo_vpn_vserver",
"vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->
Le tableau décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour l’indicateur de risque d’échec de l’analyse EPA.
| Noms de champs | Description |
|---|---|
event_description |
Décrit les raisons de l’échec de l’analyse EPA, telles que l’échec de la post-authentification et l’absence de groupe de quarantaine. |
relevant_event_type |
Indique le type de l’événement d’échec de l’analyse EPA. |
gateway_domain_name |
Le nom de domaine de Citrix Gateway. |
gateway_ip |
L’adresse IP de Citrix Gateway. |
policy_name |
Nom de la stratégie d’analyse EPA configuré sur Citrix Gateway. |
country |
Le pays à partir duquel l’activité de l’utilisateur a été détectée. |
city |
Ville à partir de laquelle l’activité de l’utilisateur a été détectée. |
region |
La région à partir de laquelle l’activité de l’utilisateur a été détectée. |
cs_vserver_name |
Le nom du serveur virtuel de commutateur de contenu. |
device_os |
Le système d’exploitation de l’appareil de l’utilisateur. |
security_expression |
Expression de sécurité configurée sur Citrix Gateway. |
vpn_vserver_name |
Le nom du serveur virtuel Citrix Gateway. |
vserver_fqdn |
Le nom de domaine complet du serveur virtuel Citrix Gateway. |
Schéma d’indicateur de risque d’échec d’authentification excessif
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Excessive authentication failures",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/”,
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "Logon Failure"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:10:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo-user",
"version": 2,
"event_description": "Bad (format) password passed to nsaaad",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"auth_server_ip": "10.xxx.x.xx",
"client_ip": "24.xxx.xxx.xx",
"gateway_ip": "24.xxx.xxx.xx",
"vserver_fqdn": "demo-fqdn.citrix.com",
"vpn_vserver_name": "demo_vpn_vserver",
"cs_vserver_name": "demo_cs_vserver",
"gateway_domain_name": "xyz",
"country": "United States",
"region": "California",
"city": "San Jose",
"nth_failure": 5
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement en cas d’échec d’authentification excessif.
| Noms de champs | Description |
|---|---|
relevant_event_type |
Indique le type d’événement, tel qu’un échec de connexion. |
event_description |
Décrit la raison de l’événement d’échec d’authentification excessif, tel qu’un mot de passe incorrect. |
authentication_stage |
Indique si la phase d’authentification est principale, secondaire ou tertiaire. |
authentication_type |
Indique les types d’authentification tels que LDAP, Local ou OAuth. |
auth_server_ip |
L’adresse IP du serveur d’authentification. |
gateway_domain_name |
Le nom de domaine de Citrix Gateway. |
gateway_ip |
L’adresse IP de Citrix Gateway. |
cs_vserver_name |
Le nom du serveur virtuel de commutateur de contenu. |
vpn_vserver_name |
Le nom du serveur virtuel Citrix Gateway. |
vserver_fqdn |
Le nom de domaine complet du serveur virtuel Citrix Gateway. |
nth_failure |
Nombre de fois où l’authentification de l’utilisateur a échoué. |
country |
Le pays à partir duquel l’activité de l’utilisateur a été détectée. |
city |
Ville à partir de laquelle l’activité de l’utilisateur a été détectée. |
region |
La région à partir de laquelle l’activité de l’utilisateur a été détectée. |
Indicateur de risque de voyage impossible
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_os": "Linux OS",
"device_browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour Impossible travel.
| Nom du champ | Description |
|---|---|
distance |
La distance (km) entre les événements associés à un voyage impossible. |
historical_logon_locations |
Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation. |
historical_observation_period_in_days |
Chaque site est surveillé pendant 30 jours. |
relevant_event_type |
Indique le type d’événement, tel que l’ouverture de session. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
region |
Indique la région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
device_browser |
Le navigateur Web utilisé par l’utilisateur. |
device_os |
Le système d’exploitation de l’appareil de l’utilisateur. |
ip_organization |
Enregistrement de l’organisation de l’adresse IP du client |
ip_routing_type |
Type de routage IP du client |
Ouverture de session à partir d’un schéma d’indicateur de risque IP suspect
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.91,
"indicator_category": "Compromised users",
"indicator_name": "Logon from suspicious IP",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon",
"client_ip": "1.0.xxx.xx",
"observation_start_time": "2019-10-10T10:00:00Z",
"suspicion_reasons": "brute_force|external_threat"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:11:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"suspicion_reasons": "external_threat",
"gateway_ip": "gIP1",
"client_ip": "128.0.xxx.xxx",
"country": "Sweden",
"city": "Stockholm",
"region": "Stockholm",
"webroot_reputation": 14,
"webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
"device_os": "Windows OS",
"device_browser": "Chrome"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour Connexion à partir d’une adresse IP suspecte.
| Nom du champ | Description |
|---|---|
suspicious_reasons |
La raison pour laquelle l’adresse IP a été identifiée comme suspecte. |
webroot_reputation |
L’indice de réputation IP fourni par le fournisseur de renseignements sur les menaces Webroot. |
webroot_threat_categories |
Catégorie de menace identifiée pour l’adresse IP suspecte par le fournisseur de renseignements sur les menaces Webroot. |
device_os |
Le système d’exploitation de la machine utilisateur. |
device_browser |
Le navigateur Web utilisé. |
country |
Le pays à partir duquel l’activité de l’utilisateur a été détectée. |
city |
Ville à partir de laquelle l’activité de l’utilisateur a été détectée. |
region |
La région à partir de laquelle l’activité de l’utilisateur a été détectée. |
Schéma d’indicateur de risque d’échec d’authentification inhabituel
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:44:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Unusual authentication failure",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon Failure",
"observation_start_time": "2020-04-01T05:45:00Z"
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:42:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Success",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"client_ip": "99.xxx.xx.xx",
"country": "United States",
"city": "San Jose",
"region": "California",
"device_os": "Windows OS ",
"device_browser": "Chrome",
"is_risky": "false"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement en cas d’échec d’authentification inhabituel.
| Noms de champs | Description |
|---|---|
relevant_event_type |
Indique le type d’événement, tel qu’un échec de connexion. |
event_description |
Indique si la connexion a réussi ou échoué |
authentication_stage |
Indique si la phase d’authentification est principale, secondaire ou tertiaire. |
authentication_type |
Indique les types d’authentification tels que LDAP, Local ou OAuth. |
is_risky |
Pour une ouverture de session réussie, la valeur is_risky est false. En cas d’ouverture de session infructueuse, la valeur is_risky est true. |
device_os |
Le système d’exploitation de la machine utilisateur. |
device_browser |
Le navigateur Web utilisé par l’utilisateur. |
country |
Le pays à partir duquel l’activité de l’utilisateur a été détectée. |
city |
Ville à partir de laquelle l’activité de l’utilisateur a été détectée. |
region |
La région à partir de laquelle l’activité de l’utilisateur a été détectée. |
Indicateur de risque de connexion suspect
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.71,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2020-06-06T12:00:00Z",
"relevant_event_type": "Logon",
"event_count": 1,
"historical_observation_period_in_days": 30,
"country": "United States",
"region": "Florida",
"city": "Miami",
"historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
"user_location_risk": 75,
"device_id": "",
"device_os": "Windows OS",
"device_browser": "Chrome",
"user_device_risk": 0,
"client_ip": "99.xxx.xx.xx",
"user_network_risk": 75,
"webroot_threat_categories": "Phishing",
"suspicious_network_risk": 89
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:08:40Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"country": "United States",
"region": "Florida",
"city": "Miami",
"latitude": 25.7617,
"longitude": -80.1918,
"device_browser": "Chrome",
"device_os": "Windows OS",
"device_id": "NA",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour l’ouverture de session suspecte.
| Nom du champ | Description |
|---|---|
historical_logon_locations |
Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation. |
historical_observation_period_in_days |
Chaque site est surveillé pendant 30 jours. |
relevant_event_type |
Indique le type d’événement, tel que l’ouverture de session. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
occurrence_event_type |
Indique le type d’événement utilisateur, tel que la connexion au compte. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
region |
Indique la région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
device_browser |
Le navigateur Web utilisé par l’utilisateur. |
device_os |
Le système d’exploitation de l’appareil de l’utilisateur. |
device_id |
Le nom de l’appareil utilisé par l’utilisateur. |
user_location_risk |
Indique le niveau de suspicion de l’emplacement à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
user_device_risk |
Indique le niveau de suspicion de l’appareil à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
user_network_risk |
Indique le niveau de suspicion du réseau ou du sous-réseau à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
suspicious_network_risk |
Indique le niveau de menace IP en fonction du flux Webroot IP Threat Intelligence. Niveau de menace faible : 0—69, niveau de menace moyen : 70—89 et niveau de menace élevé : 90-100 |
webroot_threat_categories |
Indique les types de menaces détectés à partir de l’adresse IP en fonction du flux Webroot IP Threat Intelligence. Les catégories de menaces peuvent être les sources de spam, les exploits Windows, les attaques Web, les réseaux de zombies, les scanners, le déni de service, la réputation, l’hameçonnage, le proxy, les menaces non spécifiées, les menaces mobiles et le proxy Tor |
Schéma des indicateurs de risque Citrix DaaS et Citrix Virtual Apps and Desktops
Indicateur de risque de voyage impossible
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "Account.Logon",
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_id": "device1",
"receiver_type": "XA.Receiver.Linux",
"os": "Linux OS",
"browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour Impossible travel.
| Nom du champ | Description |
|---|---|
distance |
La distance (km) entre les événements associés à un voyage impossible. |
historical_logon_locations |
Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation. |
historical_observation_period_in_days |
Chaque site est surveillé pendant 30 jours. |
relevant_event_type |
Indique le type d’événement, tel que l’ouverture de session. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
region |
Indique la région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
browser |
Le navigateur Web utilisé par l’utilisateur. |
os |
Le système d’exploitation de l’appareil de l’utilisateur. |
device_id |
Le nom de l’appareil utilisé par l’utilisateur. |
receiver_type |
Type d’application Citrix Workspace ou de Citrix Receiver installé sur la machine de l’utilisateur. |
ip_organization |
Enregistrement de l’organisation de l’adresse IP du client |
ip_routing_type |
Type de routage IP du client |
Indicateur de risque potentiel d’exfiltration de données
Schéma récapitulatif des indicateurs
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Potential data exfiltration",
"severity": "low",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Download/Print/Copy",
"observation_start_time": "2018-04-02T10:00:00Z",
"exfil_data_volume_in_bytes": 1172000
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:57:36Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "App.SaaS.Clipboard",
"file_size_in_bytes": 98000,
"file_type": "text",
"device_id": "dvc5",
"receiver_type": "XA.Receiver.Windows",
"app_url": "https://www.citrix.com",
"client_ip": "10.xxx.xx.xxx",
"entity_time_zone": "Pacific Standard Time"
}
<!--NeedCopy-->
Le tableau suivant décrit les champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour l’exfiltration de données potentielle.
| Nom du champ | Description |
|---|---|
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
relevant_event_type |
Indique l’activité de l’utilisateur, telle que le téléchargement, l’impression ou la copie des données. |
exfil_data_volume_in_bytes |
Quantité d’exfiltration de données. |
occurrence_event_type |
Indique comment l’exfiltration des données s’est produite, comme l’opération de presse-papiers dans une application SaaS. |
file_size_in_bytes |
La taille du fichier. |
file_type |
Type de fichier. |
device_id |
ID de la machine utilisateur. |
receiver_type |
L’application Citrix Workspace ou Citrix Receiver est installée sur la machine utilisateur. |
app_url |
URL de l’application à laquelle l’utilisateur accède. |
entity_time_zone |
Le fuseau horaire de l’utilisateur. |
Schéma d’indicateur de risque d’ouverture de session suspecte
Schéma récapitulatif des indicateurs
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"risk_probability": 0.78,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details":
{
"user_location_risk": 0,
"city": "Some_city",
"observation_start_time": "2020-06-06T12:00:00Z",
"event_count": 1,
"user_device_risk": 75,
"country": "United States",
"device_id": "device2",
"region": "Some_Region",
"client_ip": "99.xx.xx.xx",
"webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
"historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
"relevant_event_type": "Logon",
"user_network_risk": 100,
"historical_observation_period_in_days": 30,
"suspicious_network_risk": 0
}
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06 12:02:30",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"occurrence_event_type": "Account.Logon",
"city": "Some_city",
"country": "United States",
"region": "Some_Region",
"latitude": 37.751,
"longitude": -97.822,
"browser": "Firefox 1.3",
"os": "Windows OS",
"device_id": "device2",
"receiver_type": "XA.Receiver.Chrome",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et au schéma des détails de l’événement pour l’ouverture de session suspecte.
| Nom du champ | Description |
|---|---|
historical_logon_locations |
Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation. |
historical_observation_period_in_days |
Chaque site est surveillé pendant 30 jours. |
relevant_event_type |
Indique le type d’événement, tel que l’ouverture de session. |
observation_start_time |
Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité des utilisateurs jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché. |
occurrence_event_type |
Indique le type d’événement utilisateur, tel que la connexion au compte. |
country |
Le pays depuis lequel l’utilisateur s’est connecté. |
city |
Ville depuis laquelle l’utilisateur s’est connecté. |
region |
Indique la région à partir de laquelle l’utilisateur s’est connecté. |
latitude |
Indique la latitude de l’emplacement depuis lequel l’utilisateur s’est connecté. |
longitude |
Indique la longitude de l’emplacement à partir duquel l’utilisateur s’est connecté. |
browser |
Le navigateur Web utilisé par l’utilisateur. |
os |
Le système d’exploitation de l’appareil de l’utilisateur. |
device_id |
Le nom de l’appareil utilisé par l’utilisateur. |
receiver_type |
Type d’application Citrix Workspace ou de Citrix Receiver installé sur la machine de l’utilisateur. |
user_location_risk |
Indique le niveau de suspicion de l’emplacement à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
user_device_risk |
Indique le niveau de suspicion de l’appareil à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
user_network_risk |
Indique le niveau de suspicion du réseau ou du sous-réseau à partir duquel l’utilisateur s’est connecté. Niveau de suspicion faible : 0—69, niveau de suspicion moyen : 70—89 et niveau de suspicion élevé : 90—100 |
suspicious_network_risk |
Indique le niveau de menace IP en fonction du flux Webroot IP Threat Intelligence. Niveau de menace faible : 0—69, niveau de menace moyen : 70—89 et niveau de menace élevé : 90-100 |
webroot_threat_categories |
Indique les types de menaces détectés à partir de l’adresse IP en fonction du flux Webroot IP Threat Intelligence. Les catégories de menaces peuvent être les sources de spam, les exploits Windows, les attaques Web, les réseaux de zombies, les scanners, le déni de service, la réputation, l’hameçonnage, le proxy, les menaces non spécifiées, les menaces mobiles et le proxy Tor |
Indicateur Microsoft Active Directory
Schéma récapitulatif des indicateurs
{
"data_source": "Microsoft Graph Security",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_id": 1000,
"indicator_name": "MS Active Directory Indicator",
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_type": "builtin",
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"ui_link": "https://analytics-daily.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Schéma des détails de l’événement indicateur
{
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_id": 1000,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"version": 2
}
<!--NeedCopy-->
Schéma d’indicateur de risque personnalisé
La section suivante décrit le schéma de l’indicateur de risque personnalisé.
Remarque
Actuellement, Citrix Analytics envoie les données relatives aux indicateurs de risque personnalisés de Citrix DaaS et de Citrix Virtual Apps and Desktops à votre service SIEM.
Le tableau suivant décrit les noms des champs du schéma récapitulatif des indicateurs de risque personnalisés.
| Nom du champ | Description |
|---|---|
data source |
Les produits qui envoient des données à Citrix Analytics for Security. Par exemple : Citrix Secure Private Access, Citrix Gateway et Citrix Apps and Desktops. |
data_source_id |
ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access |
entity_id |
ID associé à l’entité à risque. |
entity_type |
L’entité à risque. Dans ce cas, l’entité est un utilisateur. |
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement est le résumé de l’indicateur de risque. |
indicator_category |
Indique les catégories d’indicateurs de risque. Les indicateurs de risque sont regroupés dans l’une des catégories de risque : point de terminaison compromis, utilisateurs compromis, exfiltration de données ou menaces internes. |
indicator_id |
ID unique associé à l’indicateur de risque. |
indicator_category_id |
ID associé à la catégorie d’indicateur de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis, ID 4 = points de terminaison compromis |
indicator_name |
Le nom de l’indicateur de risque. Pour un indicateur de risque personnalisé, ce nom est défini lors de la création de l’indicateur. |
indicator_type |
Indique si l’indicateur de risque est par défaut (intégré) ou personnalisé. |
indicator_uuid |
ID unique associé à l’instance de l’indicateur de risque. |
occurrence_details |
Les détails sur la condition de déclenchement de l’indicateur de risque. |
pre_configured |
Indique si l’indicateur de risque personnalisé est préconfiguré. |
risk_probability |
Indique les chances de risque associées à l’événement utilisateur. La valeur varie de 0 à 1,0. Pour un indicateur de risque personnalisé, la valeur risk_probability est toujours de 1,0 car il s’agit d’un indicateur basé sur une stratégie. |
severity |
Indique la gravité du risque. Il peut être faible, moyen ou élevé. |
tenant_id |
L’identité unique du client. |
timestamp |
La date et l’heure de déclenchement de l’indicateur de risque. |
ui_link |
Le lien vers la vue chronologique de l’utilisateur sur l’interface utilisateur de Citrix Analytics. |
version |
Version du schéma des données traitées. La version actuelle du schéma est 2. |
Le tableau suivant décrit les noms de champs communs dans le schéma de détails d’événement d’indicateur de risque personnalisé.
| Nom du champ | Description |
|---|---|
data_source_id |
ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access |
indicator_category_id |
ID associé à la catégorie d’indicateur de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis, ID 4 = points de terminaison compromis |
event_type |
Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond aux détails de l’événement indicateur de risque. |
tenant_id |
L’identité unique du client. |
entity_id |
ID associé à l’entité à risque. |
entity_type |
L’entité à risque. Dans ce cas, il s’agit de l’utilisateur. |
indicator_id |
ID unique associé à l’indicateur de risque. |
indicator_uuid |
ID unique associé à l’instance de l’indicateur de risque. |
timestamp |
La date et l’heure de déclenchement de l’indicateur de risque. |
version |
Version du schéma des données traitées. La version actuelle du schéma est 2. |
event_id |
ID associé à l’événement utilisateur. |
occurrence_event_type |
Indique le type d’événement utilisateur tel que l’ouverture de session, le lancement de session et la connexion au compte. |
product |
Indique le type d’application Citrix Workspace, telle que l’application Citrix Workspace pour Windows. |
client_ip |
L’adresse IP de l’appareil de l’utilisateur. |
session_user_name |
Nom d’utilisateur associé à la session Citrix Apps and Desktops. |
city |
Le nom de la ville à partir de laquelle l’activité de l’utilisateur est détectée. |
country |
Le nom du pays à partir duquel l’activité de l’utilisateur est détectée. |
device_id |
Le nom de l’appareil utilisé par l’utilisateur. |
os_name |
Système d’exploitation installé sur l’appareil de l’utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux. |
os_version |
Version du système d’exploitation qui est installée sur l’appareil de l’utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux. |
os_extra_info |
Les détails supplémentaires associés au système d’exploitation installé sur l’appareil de l’utilisateur. Pour plus d’informations, consultez la section Recherche en libre-service d’applications et de bureaux. |
Indicateur de risque personnalisé pour Citrix DaaS et Citrix Virtual Apps and Desktops
Schéma récapitulatif des indicateurs
{
"data_source": " Citrix Apps and Desktops",
"data_source_id": 3,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_category_id": 3,
"indicator_id": "ca97a656ab0442b78f3514052d595936",
"indicator_name": "Demo_user_usage",
"indicator_type": "custom",
"indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
"occurrence_details": {
"condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
"pre_configured": "N",
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-02-10T14:47:25Z",
"ui_link": "https://analytics.cloud.com/user/ ",
"version": 2
}
<!--NeedCopy-->
Schéma des détails de l’événement d’indicateur pour l’événement d’ouverture de session
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "SYD04-MS1-S102",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement d’ouverture de session.
| Nom du champ | Description |
|---|---|
app_name |
Nom d’une application ou d’un bureau lancé. |
launch_type |
Indique une application ou un bureau. |
domain |
Le nom de domaine du serveur qui a envoyé la demande. |
server_name |
Nom du serveur. |
session_guid |
Le GUID de la session active. |
Schéma des détails de l’événement indicateur pour l’événement de lancement de session
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement de lancement de session.
| Nom du champ | Description |
|---|---|
app_name |
Nom d’une application ou d’un bureau lancé. |
launch_type |
Indique une application ou un bureau. |
Schéma des détails de l’événement indicateur pour l’événement d’ouverture de session de compte
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Account.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement d’ouverture de session de compte.
| Nom du champ | Description |
|---|---|
app_name |
Nom d’une application ou d’un bureau lancé. |
Schéma des détails de l’événement indicateur pour l’événement de fin de session
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement de fin de session.
| Nom du champ | Description |
|---|---|
app_name |
Nom d’une application ou d’un bureau lancé. |
launch_type |
Indique une application ou un bureau. |
domain |
Le nom de domaine du serveur qui a envoyé la demande. |
server_name |
Nom du serveur. |
session_guid |
Le GUID de la session active. |
Schéma des détails de l’événement indicateur pour l’événement de démarrage de l’application
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.Start",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement de démarrage de l’application.
| Nom du champ | Description |
|---|---|
app_name |
Nom d’une application ou d’un bureau lancé. |
launch_type |
Indique une application ou un bureau. |
domain |
Le nom de domaine du serveur qui a envoyé la demande. |
server_name |
Nom du serveur. |
session_guid |
Le GUID de la session active. |
module_file_path |
Chemin d’accès de l’application utilisée. |
Schéma des détails de l’événement indicateur pour l’événement de fin d’application
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement de fin d’application.
| Nom du champ | Description |
|---|---|
app_name |
Nom d’une application ou d’un bureau lancé. |
launch_type |
Indique une application ou un bureau. |
domain |
Le nom de domaine du serveur qui a envoyé la demande. |
server_name |
Nom du serveur. |
session_guid |
Le GUID de la session active. |
module_file_path |
Chemin d’accès de l’application utilisée. |
Schéma des détails de l’événement Indicateur pour l’événement de téléchargement de fichiers
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "File.Download",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"file_download_file_name": "File5.txt",
"file_download_file_path": "/root/folder1/folder2/folder3",
"file_size_in_bytes": 278,
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"device_type": "USB"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement de téléchargement de fichiers.
| Nom du champ | Description |
|---|---|
file_download_file_name |
Nom du fichier de téléchargement. |
file_download_file_path |
Chemin d’accès de destination dans lequel le fichier est téléchargé. |
launch_type |
Indique une application ou un bureau. |
domain |
Le nom de domaine du serveur qui a envoyé la demande. |
server_name |
Nom du serveur. |
session_guid |
Le GUID de la session active. |
device_type |
Indique le type de périphérique sur lequel le fichier est téléchargé. |
Schéma des détails de l’événement indicateur pour l’événement d’impression
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Printing",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"printer_name": "Test-printer",
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"job_details_size_in_bytes": 454,
"job_details_filename": "file1.pdf",
"job_details_format": "PDF"
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement d’impression.
| Nom du champ | Description |
|---|---|
printer_name |
Nom de l’imprimante utilisée pour la tâche d’impression. |
launch_type |
Indique une application ou un bureau. |
domain |
Le nom de domaine du serveur qui a envoyé la demande. |
server_name |
Nom du serveur. |
session_guid |
Le GUID de la session active. |
job_details_size_in_bytes |
Taille de la tâche d’impression (fichier ou dossier). |
job_details_filename |
Nom du fichier imprimé. |
job_details_format |
Format de la tâche d’impression. |
Schéma des détails de l’événement indicateur pour l’événement de lancement SaaS de l’application
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement de lancement SaaS de l’application.
| Nom du champ | Description |
|---|---|
launch_type |
Indique une application ou un bureau. |
Schéma des détails de l’événement indicateur pour l’événement de fin SaaS de l’application
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
Le tableau suivant décrit les noms de champ spécifiques au schéma des détails de l’événement pour l’événement de fin SaaS de l’application.
| Nom du champ | Description |
|---|---|
launch_type |
Indique une application ou un bureau. |
Événements de source de données
En outre, vous pouvez configurer la fonctionnalité d’exportation de données pour exporter les événements utilisateur à partir de vos sources de données de produits compatibles avec Citrix Analytics for Security. Lorsque vous effectuez une activité dans l’environnement Citrix, les événements de la source de données sont générés. Les événements exportés sont des données d’utilisation des utilisateurs et des produits non traitées en temps réel, disponibles dans l’affichage en libre-service. Les métadonnées contenues dans ces événements peuvent également être utilisées pour une analyse plus approfondie des menaces, pour créer de nouveaux tableaux de bord et pour établir des liens avec d’autres événements liés à des sources de données autres que Citrix concernant votre infrastructure informatique et de sécurité.
Actuellement, Citrix Analytics for Security envoie des événements utilisateur à votre SIEM pour les sources de données suivantes :
- Citrix Content Collaboration
- Citrix Virtual Apps and Desktops
Détails du schéma des événements de la source de données
Événements de Citrix Content Collaboration
Citrix Analytics reçoit les événements utilisateur (journaux) en temps réel à l’aide du service Citrix Content Collaboration. Les événements utilisateur sont traités pour détecter les éventuelles menaces à la sécurité. Pour plus d’informations, consultez la source de données Citrix Content Collaboration. Vous pouvez consulter les événements utilisateur suivants associés à Citrix Content Collaboration dans votre SIEM :
- Tous les types d’événements
- Groupe de distribution (création, suppression, mise à jour)
- Mise à jour des stratégies DLP
- Mise à jour DLP
- Fichier (supprimer, télécharger, démarrer le téléchargement, charger, démarrer le chargement, virus infecté)
- Mise à jour des règles de sécurité
- Rapport (création, suppression, mise à jour)
- Connexion à la session
- Mise à jour des paramètres SSO
Pour plus d’informations sur les événements et leurs attributs, voir Recherche en libre-service pour Content Collaboration.
Événements Citrix Virtual Apps and Desktops
Les événements utilisateur sont reçus en temps réel dans Citrix Analytics for Security lorsque les utilisateurs utilisent des applications virtuelles ou des bureaux virtuels. Pour plus d’informations, consultez Citrix Virtual Apps and Desktops et Source de données Citrix DaaS. Vous pouvez consulter les événements utilisateur suivants associés à Citrix Virtual Apps and Desktops dans votre SIEM :
- Tous les types d’événements
- Connexion au compte
- Application (début, lancement, fin)
- Presse-papiers
- Fichier (impression, téléchargement)
- Téléchargement de fichiers (SaaS)
- Source de session HDX
- Impression
- Session (ouverture de session, lancement, fin, fin)
- Url
- Données VDA
- Création de processus VDA
Pour plus d’informations sur les événements et leurs attributs, voir Recherche en libre-service pour les Virtual Apps and Desktops.
Vous pouvez vérifier quels types d’événements sont activés et transmis au SIEM. Vous pouvez configurer ou supprimer le type d’événement applicable à un locataire et cliquer sur le bouton Enregistrer les modifications pour enregistrer vos paramètres.
Format d’exportation de données Citrix Analytics pour SIEM
Copié !
Échec !