Citrix Analytics for Security

Format de données Citrix Analytics pour SIEM

Citrix Analytics for Security vous permet d’intégrer vos services SIEM (Security Information and Event Management). Cette intégration permet à Citrix Analytics for Security d’envoyer des données traitées à vos services SIEM et vous aide à mieux comprendre la posture de risque de sécurité de votre entreprise.

Actuellement, vous pouvez intégrer Citrix Analytics for Security aux services SIEM suivants :

Données traitées pour SIEM

Les données traitées envoyées par Citrix Analytics for Security à votre service SIEM comprennent :

  • Changement du score de risque - La différence entre le score de risque actuel et le score de risque précédent d’un utilisateur. Lorsque le changement du score de risque d’un utilisateur est égal ou supérieur à trois et que ce changement augmente à n’importe quel rythme ou diminue de plus de 10 %, les données sont envoyées au service SIEM.

  • Résumé de l’indicateur de risque - Les détails de l’indicateur de risque associé à un utilisateur.

  • Détails des événements de l’indicateur de risque - Détails des événements utilisateur associés à un indicateur de risque. Citrix Analytics envoie au maximum 1 000 détails d’événement pour chaque occurrence d’indicateur de risque à votre service SIEM. Ces événements sont envoyés dans l’ordre chronologique d’occurrence, où les 1000 premiers détails des événements de l’indicateur de risque sont envoyés.

  • Score de risque utilisateur — Le score de risque actuel d’un utilisateur. Citrix Analytics for Security envoie ces données au service SIEM toutes les 12 heures.

  • Profil utilisateur - Les données du profil utilisateur peuvent être classées en :

    • Applications utilisateur - Applications qu’un utilisateur a lancées et utilisées. Citrix Analytics for Security récupère ces données de Citrix Virtual Apps et les envoie au service SIEM toutes les 12 heures.

    • Utilisation des données utilisateur  : données téléchargées et téléchargées par un utilisateur via Citrix Content Collaboration. Citrix Analytics for Security envoie ces données au service SIEM toutes les 12 heures.

    • Appareil utilisateur  : appareils associés à un utilisateur. Citrix Analytics for Security extrait ces données de Citrix Virtual Apps et Citrix Endpoint Management et les envoie au service SIEM toutes les 12 heures.

    • Emplacement de l’utilisateur  : ville dans laquelle un utilisateur a été détecté pour la dernière fois. Citrix Analytics for Security récupère ces données à partir de Citrix Content Collaboration et de Citrix Virtual Apps and Desktops. Citrix Analytics for Security envoie ces informations à votre service SIEM toutes les 12 heures.

Détails du schéma des données traitées

La section suivante décrit le schéma des données traitées générées par Citrix Analytics for Security.

Remarque

Les valeurs de champ affichées dans les exemples de schéma suivants sont uniquement représentatives. Les valeurs réelles des champs varient en fonction du profil utilisateur, des événements utilisateur et de l’indicateur de risque.

Le tableau suivant décrit les noms de champs communs à l’ensemble du schéma pour toutes les données de profil utilisateur, le score de risque utilisateur et la modification du score de risque.

Nom du champ Description
entity_id L’identité associée à l’entité. Dans ce cas, l’entité est l’utilisateur.
entity_type L’entité à risque. Dans ce cas, l’entité est l’utilisateur.
event_type Type de données envoyées à votre service SIEM. Par exemple : l’emplacement de l’utilisateur, l’utilisation des données de l’utilisateur ou les informations d’accès à l’appareil de l’utilisateur.
tenant_id L’identité unique du client.
timestamp La date et l’heure de l’activité récente de l’utilisateur.
version Version de schéma des données traitées. La version actuelle du schéma est 2.

Schéma de données de profil utilisateur

Schéma de localisation de l’utilisateur


{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}

Description du champ pour l’emplacement de l’utilisateur

Nom du champ Description
event_type Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond à l’emplacement de l’utilisateur.
country Pays depuis lequel l’utilisateur s’est connecté.
city Ville depuis laquelle l’utilisateur s’est connecté.
cnt Nombre de fois où l’emplacement a été consulté au cours des 12 dernières heures.

Schéma d’utilisation des données utilisateur


{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}

Description du champ pour l’utilisation des données utilisateur

Nom du champ Description
data_usage_bytes Quantité de données (en octets) utilisée par l’utilisateur. Il s’agit de l’agrégat du volume téléchargé et téléchargé pour un utilisateur.
deleted_file_cnt Nombre de fichiers supprimés par l’utilisateur.
downloaded_bytes La quantité de données téléchargées par l’utilisateur.
downloaded_file_count Nombre de fichiers téléchargés par l’utilisateur.
event_type Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond au profil d’utilisation de l’utilisateur.
shared_file_count Nombre de fichiers partagés par l’utilisateur.
uploaded_bytes La quantité de données téléchargées par l’utilisateur.
uploaded_file_cnt Nombre de fichiers téléchargés par l’utilisateur.

Schéma de l’appareil utilisateur


{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}

Description du champ pour la machine utilisateur.

Nom du champ Description
cnt Nombre de fois où l’appareil est accédé au cours des 12 dernières heures.
device Le nom de l’appareil.
event_type Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond aux informations d’accès à l’appareil de l’utilisateur.

Schéma de l’application utilisateur


{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}

Description du champ pour l’application utilisateur.

Nom du champ Description
event_type Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond aux informations d’accès à l’appareil de l’utilisateur.
session_domain ID de la session sur laquelle l’utilisateur s’est connecté.
user_samaccountname Nom d’ouverture de session des clients et des serveurs d’une version précédente de Windows telle que Windows NT 4.0, Windows 95, Windows 98 et LAN Manager. Ce nom permet de se connecter à Citrix StoreFront et de se connecter à une machine Windows distante.
app Nom de l’application accessible par l’utilisateur.
cnt Nombre de fois où l’application est consultée au cours des 12 dernières heures.

Schéma de score de risque utilisateur


{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}

Description du champ pour le score de risque utilisateur.

Nom du champ Description
cur_riskscore Le score de risque actuel attribué à l’utilisateur. Le score de risque varie de 0 à 100 en fonction de la gravité de la menace associée à l’activité de l’utilisateur.
event_type Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond au score de risque de l’utilisateur.
last_update_timestamp Heure à laquelle le score de risque a été mis à jour pour la dernière fois pour un utilisateur.
timestamp Heure à laquelle l’événement de score de risque utilisateur est collecté et envoyé à votre service SIEM. Cet événement est envoyé à votre service SIEM toutes les 12 heures.

Schéma de changement de score de risque

Exemple 1 :


{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}

Exemple 2 :


{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}

Description du champ pour la modification du score de risque.

Nom du champ Description
alert_message Le message affiché pour la modification du score de risque.
alert_type Indique si l’alerte concerne une augmentation du score de risque ou une baisse significative du pourcentage de score de risque. Lorsque le changement du score de risque d’un utilisateur est égal ou supérieur à trois et que ce changement augmente à n’importe quel rythme ou diminue de plus de 10 %, les données sont envoyées au service SIEM.
alert_value Valeur numérique attribuée à la modification du score de risque. La modification du score de risque est la différence entre le score de risque actuel et le score de risque précédent pour un utilisateur. La valeur d’alerte varie de -100 à 100.
cur_riskscore Le score de risque actuel attribué à l’utilisateur. Le score de risque varie de 0 à 100 en fonction de la gravité de la menace associée à l’activité de l’utilisateur.
event_type Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond à la modification du score de risque de l’utilisateur.
timestamp Date et heure auxquelles la dernière modification du score de risque est détectée pour l’utilisateur.

Schéma des indicateurs de risque

Le schéma de l’indicateur de risque se compose de deux parties : le schéma récapitulatif de l’indicateur et le schéma de détails des événements de l’indicateur. En fonction de l’indicateur de risque, les champs et leurs valeurs dans le schéma changent en conséquence.

Le tableau suivant décrit les noms de champs communs à tous les schémas récapitulatifs des indicateurs.

Nom du champ Description
data source Les produits qui envoient des données à Citrix Analytics for Security. Par exemple : Citrix Access Control, Citrix Gateway et Citrix Virtual Apps and Desktops.
data_source_id ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
entity_type L’entité à risque. Il peut s’agir d’un utilisateur ou d’un lien de partage.
entity_id ID associé à l’entité à risque.
event_type Type de données envoyées au service SIEM. Dans ce cas, le type d’événement est le résumé de l’indicateur de risque.
indicator_category Indique les catégories d’indicateurs de risque. Les indicateurs de risque sont regroupés dans l’une des catégories de risque : terminaux compromis, utilisateurs compromis, exfiltration de données ou menaces internes.
indicator_id Identifiant unique associé à l’indicateur de risque.
indicator_category_id ID associé à une catégorie d’indicateurs de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis, ID 4 = point de terminaison compromis
indicator_name Nom de l’indicateur de risque. Pour un indicateur de risque personnalisé, ce nom est défini lors de la création de l’indicateur.
indicator_type Indique si l’indicateur de risque est par défaut (intégré) ou personnalisé.
indicator_uuid ID unique associé à l’instance d’indicateur de risque.
indicator_vector_name Indique le vecteur de risque associé à un indicateur de risque. Les vecteurs de risque sont les indicateurs de risque basés sur les appareils, les indicateurs de risque basés sur l’emplacement, les indicateurs de risque basés sur les défaillances de connexion, les indicateurs de risque basés sur les IP, les indicateurs de risque basés sur les données, les indicateurs de risque basés sur les fichiers et d’autres indicateurs de risque.
indicator_vector_id Identifiant associé à un vecteur de risque. ID 1 = Indicateurs de risque basés sur les appareils, ID 2 = indicateurs de risque basés sur l’emplacement, ID 3 = indicateurs de risque basés sur les défaillances de connexion, ID 4 = indicateurs de risque basés sur IP, ID 5 = indicateurs de risque basés sur IP, ID 6 = indicateurs de risque basés sur les données, ID 7 = autres indicateurs de risque, et ID 999 = Non disponible
occurrence_details Les détails sur l’état déclencheur de l’indicateur de risque.
risk_probability Indique les risques associés à l’événement utilisateur. La valeur varie de 0 à 1,0. Pour un indicateur de risque personnalisé, la probabilité risk_probability est toujours de 1,0 car il s’agit d’un indicateur basé sur des règles.
severity Indique la gravité du risque. Il peut être faible, moyen ou élevé.
tenant_id L’identité unique du client.
timestamp La date et l’heure auxquelles l’indicateur de risque est déclenché.
ui_link Lien vers la vue chronologique utilisateur sur l’interface utilisateur Citrix Analytics.
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.

Le tableau suivant décrit les noms de champs communs à tous les schémas de détails des événements de l’indicateur.

Nom du champ Description
data_source_id ID associé à une source de données. ID 0 = Citrix Content Collaboration, ID1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Virtual Apps and Desktops, ID 4 = Citrix Access Control
indicator_category_id ID associé à une catégorie d’indicateurs de risque. ID 1 = Exfiltration de données, ID 2 = menaces internes, ID 3 = utilisateurs compromis, ID 4 = point de terminaison compromis
entity_id ID associé à l’entité à risque.
entity_type L’entité à risque. Il peut s’agir d’un utilisateur ou d’un lien de partage.
event_type Type de données envoyées au service SIEM. Dans ce cas, le type d’événement correspond aux détails de l’événement indicateur de risque.
indicator_id Identifiant unique associé à l’indicateur de risque.
indicator_uuid ID unique associé à l’instance d’indicateur de risque.
indicator_vector_name Indique le vecteur de risque associé à un indicateur de risque. Les vecteurs de risque sont les indicateurs de risque basés sur les appareils, les indicateurs de risque basés sur l’emplacement, les indicateurs de risque basés sur les défaillances de connexion, les indicateurs de risque basés sur les IP, les indicateurs de risque basés sur les données, les indicateurs de risque basés sur les fichiers et d’autres indicateurs de risque.
indicator_vector_id Identifiant associé à un vecteur de risque. ID 1 = Indicateurs de risque basés sur les appareils, ID 2 = indicateurs de risque basés sur l’emplacement, ID 3 = indicateurs de risque basés sur les défaillances de connexion, ID 4 = indicateurs de risque basés sur IP, ID 5 = indicateurs de risque basés sur IP, ID 6 = indicateurs de risque basés sur les données, ID 7 = autres indicateurs de risque, et ID 999 = Non disponible
tenant_id L’identité unique du client.
timestamp La date et l’heure auxquelles l’indicateur de risque est déclenché.
version Version de schéma des données traitées. La version actuelle du schéma est 2.
client_ip Adresse IP de l’appareil de l’utilisateur.

Remarque

  • Si une valeur de champ de type de données entier n’est pas disponible, la valeur attribuée est -999. Par exemple "latitude": -999, "longitude": -999.

  • Si une valeur de champ de type de données de chaîne n’est pas disponible, la valeur attribuée est NA. Par exemple "city": "NA", "region": "NA".

Schéma des indicateurs de risque Citrix Gateway

Schéma de l’indicateur de risque d’échec de l’analyse EPA

Schéma de synthèse des indicateurs

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "EPA scan failure",
  "severity": "low",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "event_description": "Post auth failed, no quarantine",
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "EPA Scan Failure at Logon"
  }
}

Schéma des détails des événements de l’indicateur

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:12:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Post auth failed, no quarantine",
  "gateway_domain_name": "10.102.xx.xx",
  "gateway_ip": "56.xx.xxx.xx",
  "policy_name": "postauth_act_1",
  "client_ip": "210.91.xx.xxx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "cs_vserver_name": "demo_vserver",
  "device_os": "Windows OS",
  "security_expression": "CLIENT.OS(Win12) EXISTS",
  "vpn_vserver_name": "demo_vpn_vserver",
  "vserver_fqdn": "10.xxx.xx.xx"
}

Le tableau décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour l’indicateur de risque d’échec de l’analyse EPA.

Noms de champs Description
event_description Décrit les raisons de l’échec de l’analyse EPA, telles que l’échec de la post-authentification et l’absence de groupe de quarantaine.
relevant_event_type Indique le type d’événement d’échec de l’analyse EPA.
gateway_domain_name Le nom de domaine de Citrix Gateway.
gateway_ip Adresse IP de Citrix Gateway.
policy_name Nom de la stratégie d’analyse EPA configuré sur Citrix Gateway.
country Pays depuis lequel l’activité de l’utilisateur a été détectée.
city Ville à partir de laquelle l’activité utilisateur a été détectée.
region Région à partir de laquelle l’activité utilisateur a été détectée.
cs_vserver_name Nom du serveur virtuel Content Switch.
device_os Le système d’exploitation de l’appareil de l’utilisateur.
security_expression Expression de sécurité configurée sur Citrix Gateway.
vpn_vserver_name Nom du serveur virtuel Citrix Gateway.
vserver_fqdn Nom de domaine complet du serveur virtuel Citrix Gateway.

Schéma d’indicateur de risque d’échec d’authentification excessif

Schéma de synthèse des indicateurs

{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Excessive authentication failures",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "Logon Failure"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:10:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo-user",
  "version": 2,
  "event_description": "Bad (format) password passed to nsaaad",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "auth_server_ip": "10.xxx.x.xx",
  "client_ip": "24.xxx.xxx.xx",
  "gateway_ip": "24.xxx.xxx.xx",
  "vserver_fqdn": "demo-fqdn.citrix.com",
  "vpn_vserver_name": "demo_vpn_vserver",
  "cs_vserver_name": "demo_cs_vserver",
  "gateway_domain_name": "xyz",
  "country": "United States",
  "region": "California",
  "city": "San Jose",
  "nth_failure": 5
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement en cas d’échec d’authentification excessif.

Noms de champs Description
relevant_event_type Indique le type d’événement tel que l’échec de connexion.
event_description Décrit la raison de l’échec excessif de l’authentification, tel que le mot de passe incorrect.
authentication_stage Indique si l’étape d’authentification est primaire, secondaire ou tertiaire.
authentication_type Indique les types d’authentification tels que LDAP, Local ou OAuth.
auth_server_ip Adresse IP du serveur d’authentification.
gateway_domain_name Le nom de domaine de Citrix Gateway.
gateway_ip Adresse IP de Citrix Gateway.
cs_vserver_name Nom du serveur virtuel Content Switch.
vpn_vserver_name Nom du serveur virtuel Citrix Gateway.
vserver_fqdn Nom de domaine complet du serveur virtuel Citrix Gateway.
nth_failure Nombre de fois où l’authentification de l’utilisateur a échoué.
country Pays depuis lequel l’activité de l’utilisateur a été détectée.
city Ville à partir de laquelle l’activité utilisateur a été détectée.
region Région à partir de laquelle l’activité utilisateur a été détectée.

Connexion à partir d’un schéma d’indicateur de risque IP suspect

Schéma de synthèse des indicateurs

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.91,
  "indicator_category": "Compromised users",
  "indicator_name": "Logon from suspicious IP",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon",
    "client_ip": "1.0.xxx.xx",
    "observation_start_time": "2019-10-10T10:00:00Z",
    "suspicion_reasons": "brute_force|external_threat"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:11:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "suspicion_reasons": "external_threat",
  "gateway_ip": "gIP1",
  "client_ip": "128.0.xxx.xxx",
  "country": "Sweden",
  "city": "Stockholm",
  "region": "Stockholm",
  "webroot_reputation": 14,
  "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
  "device_os": "Windows OS",
  "device_browser": "Chrome"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour la connexion à partir d’une adresse IP suspecte.

Nom du champ Description
suspicious_reasons La raison pour laquelle l’adresse IP doit être identifiée comme suspecte.
webroot_reputation Indice de réputation IP fourni par le fournisseur de renseignements sur les menaces Webroot.
webroot_threat_categories La catégorie de menaces identifiée pour la propriété intellectuelle suspecte par le fournisseur de renseignements sur les menaces Webroot.
device_os Le système d’exploitation de la machine utilisateur.
device_browser Le navigateur Web utilisé.
country Pays depuis lequel l’activité de l’utilisateur a été détectée.
city Ville à partir de laquelle l’activité utilisateur a été détectée.
region Région à partir de laquelle l’activité utilisateur a été détectée.

Accès à partir d’un schéma de localisation inhabituel

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 104,
  "indicator_uuid": "56e0bdd8-e7c3-5c96-9950-c9f544520174",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 1,
  "timestamp": "2018-01-25T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "country": "India",
    "observation_start_time": "2018-01-25T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"","city":"","latitude":40.7,"longitude":-74.0,"count":7}]",
    "historical_observation_period_in_days": 30,
    "city": "NA",
    "region": "NA",
    "relevant_event_type": "Logon"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 104,
  "indicator_uuid": "56e0bdd8-e7c3-5c96-9950-c9f544520174",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 1,
  "timestamp": "2018-01-25T12:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "NA",
  "city": "NA",
  "region": "NA",
  "latitude": -999,
  "longitude": -999,
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "client_ip": "157.45.xxx.xxx"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour Access à partir d’un emplacement inhabituel.

Noms de champs Description
historical_logon_location Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation.
historical_observation_period_in_days Chaque emplacement est surveillé pendant 30 jours.
relevant_event_type Indique le type d’événement tel que l’ouverture de session.
country Indique le pays depuis lequel l’utilisateur s’est connecté.
city Indique la ville à partir de laquelle l’utilisateur s’est connecté.
region Indique la région à partir de laquelle l’utilisateur s’est connecté.
latitude Indique la latitude de l’emplacement à partir duquel l’utilisateur s’est connecté.
longitude Indique la longitude de l’emplacement depuis lequel l’utilisateur s’est connecté.
device_os Le système d’exploitation de l’appareil de l’utilisateur.
device_browser Le navigateur Web utilisé par l’utilisateur.

Remarque

  • Si une valeur de champ de type de données entier n’est pas disponible, la valeur attribuée est -999. Par exemple "latitude": -999, "longitude": -999.

  • Si une valeur de champ de type de données de chaîne n’est pas disponible, la valeur attribuée est NA. Par exemple "city": "NA", "region": "NA".

Schéma d’indicateur de risque d’échec d’authentification inhabituel

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:44:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2020-04-01T05:45:00Z"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:42:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Success",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "client_ip": "99.xxx.xx.xx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "is_risky": "false"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour l’échec de l’authentification inhabituelle.

Noms de champs Description
relevant_event_type Indique le type d’événement tel que l’échec de connexion.
event_description Indique si l’ouverture de session est réussie ou non.
authentication_stage Indique si l’étape d’authentification est primaire, secondaire ou tertiaire.
authentication_type Indique les types d’authentification tels que LDAP, Local ou OAuth.
is_risky Pour une ouverture de session réussie, la valeur is_risky est false. Pour une ouverture de session infructueuse, la valeur is_risky est vraie.
device_os Le système d’exploitation de la machine utilisateur.
device_browser Le navigateur Web utilisé par l’utilisateur.
country Pays depuis lequel l’activité de l’utilisateur a été détectée.
city Ville à partir de laquelle l’activité utilisateur a été détectée.
region Région à partir de laquelle l’activité utilisateur a été détectée.

Schéma des indicateurs de risque Citrix Content Collaboration

Accès excessif aux fichiers sensibles (alerte DLP)

Schéma de synthèse des indicateurs

{
  
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_category_id": 1,
  "data_source_id": 0,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_name": "Excessive access to sensitive files (DLP alert)",
  "indicator_category": "Data exfiltration",
  "risk_probability": 1.0,
  "version": 2,
  "severity": "low",
  "indicator_type": "builtin",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "event_count": 1,
    "observation_start_time": "2021-03-22T09:31:11Z"
    },
  "event_type": "indicatorSummary",
  "cas_consumer_debug_details": {"partition": 1, "offset":179528, "enqueued_timestamp": 1616406412459}
}

Schéma des détails des événements de l’indicateur

{
  
  "tenant_id": "demo_tenant",
  "version": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_category_id": 1,
  "data_source_id": 0,
  "client_ip": "210.91.xx.xxx",
  "file_name": "filename.xls",
  "file_size_in_bytes": 178690,
  "event_type": "indicatorEventDetails",
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour Accès excessif aux fichiers sensibles (alerte DLP).

Nom du champ Description
relevant_event_type Type d’événement tel que le téléchargement.
event_count Nombre d’événements de téléchargement détectés.
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
file_name Nom du fichier téléchargé.
file_size_in_bytes Taille du fichier téléchargé en octets.

Schéma d’indicateur de risque de suppression de fichiers ou de dossiers excessifs

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "28c4bbab-f3ad-5886-81cd-26fef200d9d7",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T11:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file / folder deletion",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "cumulative_event_count_day": 11,
    "relevant_event_type": "File and/or Folder Delete",
    "observation_start_time": "2017-12-18T11:00:00Z"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "be9af43f-29d2-51cd-81d6-c1d48b392bbb",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T01:45:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "210.91.xx.xxx",
  "version": 2,
  "resource_type": "File",
  "resource_name": "Filename21",
  "component_name": "Platform"
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour la suppression excessive de fichiers ou de dossiers.

Noms de champs Description
cumulative_event_count_day Nombre d’événements de suppression de fichiers ou de dossiers uniques pour la journée en cours.
relevant_event_type Indique le type d’événement tel que la suppression d’un fichier ou d’un dossier.
resource_type Indique si la ressource est un fichier ou un dossier.
resource_name Le nom de la ressource.
component_name Indique le composant ShareFile - Platform ou Connector. Si un utilisateur supprime des fichiers du stockage cloud géré par ShareFile, le composant s’affiche sous la forme « Platform ». Si un utilisateur supprime des fichiers d’une zone de stockage, le composant apparaît sous la forme « Connecteur ».
connector_type Type de connecteur de zone de stockage utilisé.
city Ville à partir de laquelle l’utilisateur s’est connecté.
country Pays depuis lequel l’utilisateur s’est connecté.
region Région à partir de laquelle l’utilisateur s’est connecté.
latitude Indique la latitude de l’emplacement à partir duquel l’utilisateur s’est connecté.
longitude Indique la longitude de l’emplacement depuis lequel l’utilisateur s’est connecté.

Schéma d’indicateur de risque de partage de fichiers excessif

Schéma de synthèse des indicateurs

{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "3d421659-ef4d-5434-94b8-90f792e81989",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T06:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.19621421,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file sharing",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-03T06:00:00Z",
    "relevant_event_type": "Share Create and/or Send",
    "cumulative_event_count_day": 15
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "c5ea0b26-ce4c-55ad-b8ba-d562f128a2fb",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T02:22:04Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_tenant",
  "version": 2,
  "share_id": "share110",
  "operation_name": "Create",
  "tool_name": "SFWebApp",
  "component_name": "Platform",
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour le partage excessif de fichiers.

Nom du champ Description
cumulative_event_count_day Nombre de fichiers uniques partagés pendant la journée.
relevant_event_type Indique le type d’événement tel que les liens de partage.
share_id ID associé au lien de partage.
operation_name Indique les activités de l’utilisateur telles que créer un lien de partage, supprimer un lien de partage.
tool_name Outil ou application utilisé pour partager les fichiers.
component_name Indique le composant ShareFile - Platform ou Connector. Si un utilisateur partage des fichiers depuis le stockage cloud géré par ShareFile, le composant s’affiche sous la forme « Platform ». Si un utilisateur partage des fichiers à partir d’une zone de stockage, le composant est affiché sous la forme « Connector »
city Ville à partir de laquelle l’utilisateur s’est connecté.
country Pays depuis lequel l’utilisateur s’est connecté.
region Région à partir de laquelle l’utilisateur s’est connecté.
latitude Indique la latitude de l’emplacement à partir duquel l’utilisateur s’est connecté.
longitude Indique la longitude de l’emplacement depuis lequel l’utilisateur s’est connecté.

Schéma d’indicateur de risque pour les téléchargements excessifs de fichiers

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.64705884,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file uploads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "tool_name": "tool3",
    "relevant_event_type": "Upload",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:37:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "File5.txt",
  "component_name": "Connector",
  "client_ip": "99.xxx.xx.xx",
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour les téléchargements excessifs de fichiers.

Nom du champ Description
tool_name Outil ou application utilisé pour partager les fichiers.
relevant_event_type Indique le type d’événement utilisateur tel que le téléchargement.
file_name Nom du fichier téléchargé.
component_name Indique le composant ShareFile - Platform ou Connector. Si un utilisateur télécharge des fichiers sur le stockage cloud géré par ShareFile, le composant s’affiche sous la forme « Platform ». Si un utilisateur télécharge des fichiers dans une zone de stockage, le composant apparaît sous la forme « Connecteur ».
connector_type Type de connecteur de zone de stockage utilisé.
city Ville à partir de laquelle l’utilisateur s’est connecté.
country Pays depuis lequel l’utilisateur s’est connecté.
region Région à partir de laquelle l’utilisateur s’est connecté.
latitude Indique la latitude de l’emplacement à partir duquel l’utilisateur s’est connecté.
longitude Indique la longitude de l’emplacement depuis lequel l’utilisateur s’est connecté.

Schéma d’indicateur de risque d’échec d’authentification inhabituel

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "274cedc0-a404-5abe-b95b-317c0209c9e8",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:29:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2018-01-26T00:30:00Z"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "e1bf5b91-b0e1-5145-aa5b-7731f31b56ac",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:01:01Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "operation_name": "LoginFailure",
  "tool_name": "webapp",
  "client_ip": "128.x.x.x",
  "os": "Android"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour l’échec de l’authentification inhabituelle.

Nom du champ Description
relevant_event_type Indique le type d’événement utilisateur, tel que l’échec de connexion.
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
tool_name Outil ou application utilisé pour partager les fichiers.
os Le système d’exploitation de la machine utilisateur.

Indicateur de risque suspecté d’activité de ransomware (fichier remplacé)

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "0afaa694-59ec-5a44-84df-3afcefad7b50",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files replaced)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-29T10:50:00Z",
    "relevant_event_type": "Delete & Upload"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "580f8f03-c02b-5d0f-b707-1a0577ca2fec",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:06Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "client_ip": "99.xxx.xx.xx",
  "operation_name": "Upload",
  "file_path": "/root/folder1/folder2/folder3"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour l’activité de ransomware suspectée (fichier remplacé).

Nom du champ Description
relevant_event_type Indique le type d’événement utilisateur, tel que supprimé le fichier et chargé un autre fichier.
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
file_name Nom du fichier remplacé.
operation_name L’activité de l’utilisateur, telle que le téléchargement ou la suppression.
file_path Chemin d’accès du fichier remplacé.

Indicateur de risque de téléchargement des partages sensibles

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "93a32d22-d14b-5413-94fc-47c44fe7c07f",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "62795698",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Anonymous sensitive share download",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-27T12:00:00Z",
    "relevant_event_type": "Download"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "11562a63-9761-55b8-8966-3ac81bc1d043",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:02:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "46268753",
  "version": 2,
  "file_name": "file1.mp4",
  "file_size_in_bytes": 278,
  "city": "Miami",
  "country": "USA",
  "client_ip": "166.xxx.xxx.xxx",
  "device_type": "iPhone X"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma des détails de l’événement pour le téléchargement du partage sensible anonyme.

Noms de champs Description
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
relevant_event_type Indique le type d’événement utilisateur, tel que supprimé le fichier et chargé un autre fichier.
file_name Nom du fichier sensible téléchargé.
file_size_in_bytes Taille du fichier en octets téléchargés.
city Ville à partir de laquelle l’activité utilisateur a été détectée.
country Pays depuis lequel l’activité de l’utilisateur a été détectée.
device_type Type d’appareil utilisé pour télécharger le fichier.

Indicateur de risque pour les téléchargements

Schéma de synthèse des indicateurs

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "lifetime_users_downloaded": 6,
    "observation_start_time": "2018-01-27T19:00:00Z",
    "lifetime_download_volume_in_bytes": 2718,
    "lifetime_download_count": 6,
    "link_first_downloaded": "2018-01-27T11:12:00Z"
  }
}

Schéma des détails des événements de l’indicateur

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:47:50Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "file_name": "anom20.jep",
  "file_size_in_bytes": 106,
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74,
  "user_email": "new-user61@citrix.com",
  "lifetime_unique_user_emails": "new-user62@citrix.com user6e@citrix.com user6f@citrix.com new-user63@citrix.com new-user64@citrix.com new-user61@citrix.com",
  "lifetime_unique_user_count": 6,
  "lifetime_num_times_downloaded": 6,
  "lifetime_total_download_size_in_bytes": 2718,
  "lifetime_first_event_time": "2018-01-27T11:12:00Z"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour les téléchargements excessifs.

Noms de champs Description
relevant_event_type Indique le type d’événement, tel que le téléchargement excessif d’un lien de partage.
lifetime_users_downloaded Indique le nombre total d’utilisateurs qui ont téléchargé le lien de partage depuis la création du lien.
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
lifetime_download_volume_in_bytes Indique le volume total de téléchargements en octets depuis la création du lien de partage.
lifetime_download_count Indique le nombre total de téléchargements depuis la création du lien de partage.
link_first_downloaded Indique la date et l’heure auxquelles le lien de partage a été téléchargé pour la première fois.
file_name Indique le nom de fichier partagé via le lien.
file_size_in_bytes Indique la taille du fichier partagé.
user_email Indique l’ID de messagerie de l’utilisateur actuel qui a excessivement téléchargé le fichier via le lien de partage.
lifetime_unique_user_emails Indique les identifiants de messagerie de tous les utilisateurs, y compris l’utilisateur actuel qui a téléchargé le fichier depuis la création du lien.
lifetime_unique_user_count Indique le nombre total d’utilisateurs uniques qui ont téléchargé le fichier depuis la création du lien.
lifetime_num_times_downloaded Indique le nombre total de fois où le fichier a été téléchargé depuis la création du lien.
lifetime_total_download_size_in_bytes Indique la taille totale du fichier téléchargé depuis la création du lien.
lifetime_first_event_time Indique la date et l’heure du premier événement de téléchargements depuis la création du lien.
city Ville à partir de laquelle l’utilisateur s’est connecté.
country Pays depuis lequel l’utilisateur s’est connecté.
region Région à partir de laquelle l’utilisateur s’est connecté.
latitude Indique la latitude de l’emplacement à partir duquel l’utilisateur s’est connecté.
longitude Indique la longitude de l’emplacement depuis lequel l’utilisateur s’est connecté.

Indicateur de risque de téléchargements excessifs

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "exfiltrated_data_volume_in_bytes": 24000,
    "relevant_event_type": "Download",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": "0",
  "timestamp": "2018-01-02T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "99.xxx.xx.xx",
  "version": 2,
  "file_name": "File1.txt",
  "file_size_in_bytes": 24000,
  "component_name": "Platform",
  "connector_type": "NA",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour les téléchargements excessifs de fichiers.

Nom du champ Description
exfiltrated_data_volume_in_bytes Quantité de données en octets téléchargées.
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
file_name Nom du fichier téléchargé.
file_size_in_bytes Taille du fichier en octets téléchargés.
component_name Indique le composant ShareFile - Platform ou Connector. Si un utilisateur télécharge des fichiers à partir du stockage cloud géré par ShareFile, le composant s’affiche sous la forme « Plateforme ». Si un utilisateur télécharge des fichiers depuis une zone de stockage, le composant s’affiche sous la forme « Connecteur ».
city Ville à partir de laquelle l’utilisateur s’est connecté.
country Pays depuis lequel l’utilisateur s’est connecté.
region Région à partir de laquelle l’utilisateur s’est connecté.
latitude Indique la latitude de l’emplacement à partir duquel l’utilisateur s’est connecté.
longitude Indique la longitude de l’emplacement depuis lequel l’utilisateur s’est connecté.

Accès à partir d’un schéma d’indicateur de risque de localisation inhabituel

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 7,
  "indicator_uuid": "88002ccf-63bb-5c6e-9288-24e9c826d4b3",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 0,
  "timestamp": "2018-01-25T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-25T12:00:00Z",
    "city": "abc",
    "region": "xyz",
    "historical_observation_period_in_days": 30,
    "historical_logon_locations": "[{"country":"United States","region":"Some_State_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":5},{"country":"United States","region":"Some_State_B","city":"Some_City_B","latitude":45.0,"longitude":45.0,"count":5}]",
    "country": "United States",
    "relevant_event_type": "Logon"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 7,
  "indicator_uuid": "d31db7d2-cf60-570e-8785-e994862ba377",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 0,
  "timestamp": "2018-01-25T12:04:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "city": "NA",
  "region": "NA",
  "latitude": -999,
  "longitude": -999,
  "tool_name": "SFWebApp",
  "os": "WindowsOS",
  "client_ip": "11.xx.xx.xx"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour Access à partir d’un emplacement inhabituel.

Nom du champ Description
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
historical_logon_location Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation.
historical_observation_period_in_days Chaque emplacement est surveillé pendant 30 jours.
relevant_event_type Indique le type d’événement tel que l’ouverture de session.
region Indique la région à partir de laquelle l’utilisateur s’est connecté.
latitude Indique la latitude de l’emplacement à partir duquel l’utilisateur s’est connecté.
longitude Indique la longitude de l’emplacement depuis lequel l’utilisateur s’est connecté.
os Le système d’exploitation de l’appareil de l’utilisateur.
tool_name L’outil ou l’application utilisé pour partager le fichier.
country Pays depuis lequel l’utilisateur s’est connecté.
city Ville à partir de laquelle l’utilisateur s’est connecté.
region Région à partir de laquelle l’utilisateur s’est connecté.

Remarque

  • Si une valeur de champ de type de données entier n’est pas disponible, la valeur attribuée est -999. Par exemple "latitude": -999, "longitude": -999.

  • Si une valeur de champ de type de données de chaîne n’est pas disponible, la valeur attribuée est NA. Par exemple "city": "NA", "region": "NA".

Indicateur de risque d’activité de ransomware suspectée (mise à jour du fichier)

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "f21ef9c8-c379-5a96-ae90-e750d31a728c",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files updated)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Update/Upload",
    "observation_start_time": "2018-01-29T10:50:00Z"
  }
}

Détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "0509e432-527e-5c84-abb4-f397f2a5e02b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:05Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "operation_name": "Update",
  "stream_id": "someid37",
  "client_ip": "11.xx.xx.xx",
  "file_path": "/root/folder1/folder2/folder3"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour l’activité de ransomware suspectée (fichier mis à jour).

Nom du champ Description
relevant_event_type Indique le type d’événement utilisateur tel que la mise à jour ou le téléchargement d’un fichier.
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
file_name Nom du fichier mis à jour.
operation_name L’activité de l’utilisateur, telle que le téléchargement, la mise à jour ou la suppression.
file_path Chemin d’accès du fichier mis à jour par l’utilisateur.
stream_id ID du flux d’éléments. Un élément représente une version unique d’un objet de système de fichiers. Le flux identifie toutes les versions du même objet de système de fichiers. Par exemple, lorsqu’un utilisateur télécharge ou modifie un fichier existant, un nouvel élément est créé avec le même ID de flux.

Schéma des indicateurs de risque Citrix Endpoint Management

Schéma des indicateurs détectés de périphériques jailbreakés ou enracinés

Schéma de synthèse des indicateurs


{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_id": 200,
  "indicator_name": "Jailbroken / Rooted Device Detected",
  "indicator_type": "builtin",
  "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:05Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

Schéma des détails des événements de l’indicateur

{
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_id": 200,
  "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:35Z",
  "version": 2
}

Appareil avec des applications sur la liste noire détectées

Schéma de synthèse des indicateurs

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_id": 201,
  "indicator_name": "Device with Blacklisted Apps Detected",
  "indicator_type": "builtin",
  "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:23Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

Schéma des détails des événements de l’indicateur

{
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_id": 201,
  "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:39Z",
  "version": 2
}

Périphérique non géré détecté

Schéma de synthèse des indicateurs

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_id": 203,
  "indicator_name": "Unmanaged Device Detected",
  "indicator_type": "builtin",
  "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T12:56:30Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

Schéma des détails des événements de l’indicateur

{
  "client_ip": "127.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_id": 203,
  "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T18:41:30Z",
  "version": 2
}

Schéma des indicateurs de risque Citrix Access Control

Tentative d’accès au schéma d’indicateur de risque d’URL sur liste noire

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:58Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Attempt to access blacklisted URL",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:44:59Z",
    "risky_domain_category_list": [
      "YouTube"
    ],
    "relevant_event_type": "Blacklisted External Resource Access"
  }

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:57:21Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "googleads.g.doubleclick.net",
  "domain_category": "Advertisements/Banners",
  "domain_category_group": "Computing and Internet",
  "executed_action": "blocked",
  "reason_for_action": "URL Category match",
  "domain_reputation": 3,
  "client_ip": "157.xx.xxx.xxx"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour Tentative d’accès à une URL sur liste noire.

Nom du champ Description
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
risky_domain_category_list Les informations de catégorie disponibles dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
domain_category Catégorie de domaine disponible dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
domain_category_group Le groupe de catégories de domaines disponible dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
executed_action L’action appliquée à l’URL de la liste noire. L’action inclut Autoriser, Bloquer.
reason_for_action La raison de l’application de l’action pour l’URL.
domain_reputation Indice de réputation de l’URL sur liste noire.

Schéma d’indicateur de risque d’accès à un site Web risqué

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 400,
  "indicator_uuid": "26cc7ddf-101a-5776-b5de-df501189e8cd",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.075,
  "indicator_category": "Insider threats",
  "indicator_name": "Risky website access",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:45:00Z",
    "risky_domain_category_list": [
      "Advertisements/Banners",
      "Streaming Media"
    ],
    "relevant_event_type": "Risky External Resource Access"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 400,
  "indicator_uuid": "26cc7ddf-101a-5776-b5de-df501189e8cd",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:50:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "abc.googlevideo.com",
  "domain_category": "Streaming Media",
  "domain_category_group": "News/Entertainment/Society",
  "domain_reputation": 3,
  "client_ip": "157.xx.xxx.xxx",
  "transaction_count": 2
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour l’accès au site Web risqué.

Nom du champ Description
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
risky_domain_category_list Les informations de catégorie disponibles dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
domain_name Nom du domaine auquel l’utilisateur accède.
domain_category Les informations de catégorie disponibles dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
domain_category_group Le groupe de catégories de domaines disponible dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
domain_reputation Indice de réputation du domaine à risque.
transaction_count Nombre de fois où l’utilisateur accède au domaine pendant la journée.

Schéma d’indicateur de risque pour téléchargements excessifs de données

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive data download",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "domain_category": "Facebook",
  "domain_category_group": "Social Networking",
  "client_ip": "157.xx.xxx.xxx",
  "downloaded_bytes": 24000
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour les téléchargements excessifs de données.

Nom du champ Description
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
data_volume_in_bytes Quantité de données en octets téléchargées.
relevant_event_type Indique le type d’événement utilisateur.
domain_name Nom du domaine à partir duquel les données sont téléchargées.
domain_category Les informations de catégorie disponibles dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
domain_category_group Le groupe de catégories de domaines disponible dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
downloaded_bytes Quantité de données en octets téléchargées.

Schéma d’indicateur de risque de volume de chargement inhabituel

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Unusual upload volume",
  "severity": "low",
  "data_source": "Citrix Access Control",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "domain_category": "Facebook",
  "domain_category_group": "Social Networking",
  "client_ip": "157.xx.xxx.xxx",
  "uploaded_bytes": 24000
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour le volume de chargement inhabituel.

Noms de champs Description
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
data_volume_in_bytes Quantité de données en octets téléchargées.
relevant_event_type Indique le type d’événement utilisateur.
domain_name Nom du domaine dans lequel les données sont chargées.
domain_category Les informations de catégorie disponibles dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
domain_category_group Le groupe de catégories de domaines disponible dans Citrix Secure Workspace Access. Pour de plus amples informations, consultez Liste des catégories disponibles pour Citrix Secure Workspace Access.
uploaded_bytes Quantité de données en octets téléchargées.

Schéma des indicateurs de risque Citrix Virtual Apps and Desktops

Indicateur de risque potentiel d’exfiltration de données

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Potential data exfiltration",
  "severity": "low",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download/Print/Copy",
    "observation_start_time": "2018-04-02T10:00:00Z",
    "exfil_data_volume_in_bytes": 1172000
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:57:36Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "App.SaaS.Clipboard",
  "file_size_in_bytes": 98000,
  "file_type": "text",
  "device_id": "dvc5",
  "receiver_type": "XA.Receiver.Windows",
  "app_url": "https://www.citrix.com",
  "client_ip": "10.xxx.xx.xxx",
  "entity_time_zone": "Pacific Standard Time"
}

Le tableau suivant décrit les champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour Exfiltration potentielle de données.

Nom du champ Description
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
relevant_event_type Indique l’activité de l’utilisateur, telle que le téléchargement, l’impression ou la copie des données.
exfil_data_volume_in_bytes La quantité d’exfiltration de données.
occurrence_event_type Indique comment l’exfiltration des données s’est produite, comme l’opération de presse-papiers dans une application SaaS.
file_size_in_bytes La taille du fichier.
file_type Type de fichier.
device_id ID de la machine utilisateur.
receiver_type L’application Citrix Workspace ou Citrix Receiver installée sur la machine utilisateur.
app_url URL de l’application à laquelle l’utilisateur accède.
entity_time_zone Le fuseau horaire de l’utilisateur.

Accès à partir d’un schéma d’indicateur de risque de localisation inhabituel

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 311,
  "indicator_uuid": "ac651192-31b2-5a98-8a16-8574ce52d1bd",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Access from an unusual location",
  "severity": "medium",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "historical_observation_period_in_days": 30,
    "city": "new_city",
    "country": "some_country",
    "relevant_event_type": "Logon",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "region": "some_region",
    "historical_logon_locations": "[{"country":"some_country","region":"some_region","city":"some_city","latitude":40.7,"longitude":-74.0,"count":150}]"
  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 311,
  "indicator_uuid": "104617f6-1459-530b-85e8-9a139ba630a8",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2 },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:01:02Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "new_city",
  "country": "new_country",
  "region": "new_region",
  "latitude": 60.7,
  "longitude": -74,
  "browser": "Chrome",
  "os": "Windows",
  "device_id": "some_device",
  "receiver_type": "XA.Receiver.Windows",
  "client_ip": "11.xx.xx.xx"
}

Le tableau suivant décrit les noms de champs spécifiques au schéma récapitulatif et le schéma de détails de l’événement pour Access à partir d’un emplacement inhabituel.

Nom du champ Description
historical_logon_location Les emplacements auxquels l’utilisateur a accédé et le nombre de fois où chaque emplacement a été consulté pendant la période d’observation.
historical_observation_period_in_days Chaque emplacement est surveillé pendant 30 jours.
relevant_event_type Indique le type d’événement tel que l’ouverture de session.
observation_start_time Heure à partir de laquelle Citrix Analytics commence à surveiller l’activité de l’utilisateur jusqu’à l’horodatage. Si un comportement anormal est détecté pendant cette période, un indicateur de risque est déclenché.
occurrence_event_type Indique le type d’événement utilisateur, tel que l’ouverture de session au compte.
country Pays depuis lequel l’utilisateur s’est connecté.
city Ville à partir de laquelle l’utilisateur s’est connecté.
region Indique la région à partir de laquelle l’utilisateur s’est connecté.
latitude Indique la latitude de l’emplacement à partir duquel l’utilisateur s’est connecté.
longitude Indique la longitude de l’emplacement depuis lequel l’utilisateur s’est connecté.
browser Le navigateur Web utilisé par l’utilisateur.
os Le système d’exploitation de l’appareil de l’utilisateur.
device_id Nom de l’appareil utilisé par l’utilisateur.
receiver_type Type de l’application Citrix Workspace ou Citrix Receiver installée sur l’appareil de l’utilisateur.

Indicateur MS Active Directory

Schéma de synthèse des indicateurs

{
  "data_source": "Microsoft Graph Security",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_id": 1000,
  "indicator_name": "MS Active Directory Indicator",
  "indicator_type": "builtin",
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "ui_link": "https://analytics-daily.cloud.com/user/",
  "version": 2
}

Schéma des détails des événements de l’indicateur

{
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_id": 1000,
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "version": 2
}

< ! —### Schéma d’indicateur de risque d’accès utilisateur compromis

Schéma de synthèse des indicateurs


{
  "tenant_id": "demo_tenant",
  "indicator_id": 312,
  "indicator_uuid": "3df003ba-4323-58c1-8c4c-c2935120b093",
  "indicator_category_id": 3,
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Compromised user access",
  "severity": "medium",
  "data_source": "Citrix Virtual Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "city": "new_city",
    "country": "some_country",
    "region": "some_region",
    "client_ip": "99.155.88.66",
    "device_id": "device2",
    "observation_start_time": "2020-06-06T12:00:00Z",

  }
}

Schéma des détails des événements de l’indicateur


{
  "tenant_id": "demo_tenant",
  "indicator_id": 312,
  "indicator_uuid": "3df003ba-4323-58c1-8c4c-c2935120b093",
  "indicator_category_id": "3",
  "data_source_id": "3",
  "timestamp": "2020-06-06T12:01:02Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "city": "new_city",
  "country": "new_country",
  "region": "new_region",
  "latitude": 60.7,
  "longitude": -74,
  "browser": "Chrome",
  "os": "Windows",
  "device_id": "some_device",
  "receiver_type": "XA.Receiver.Windows",
  "client_ip": "11.xx.xx.xx"
}

Schéma d’indicateur de risque personnalisé

La section suivante décrit le schéma de l’indicateur de risque personnalisé.

Remarque

Actuellement, Citrix Analytics envoie les indicateurs de risque personnalisés de Citrix Virtual Apps and Desktops à votre SIEM.

Indicateur de risque personnalisé pour Citrix Virtual Apps and Desktops

Schéma de synthèse des indicateurs


{
  "data_source": "Citrix Virtual Apps and Desktops",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_id": "ca97a656ab0442b78f3514052d595936",
  "indicator_name": "Demo_user_usage",
  "indicator_type": "custom",
  "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
  "occurrence_details": {
    "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
  "pre_configured": "N",
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-02-10T14:47:25Z",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "version": 2
}

Schéma détaillé des événements d’indicateur pour l’événement d’ouverture de session

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1"
  "app_name": "notepad",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "SYD04-MS1-S102",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

Schéma détaillé des événements d’indicateur pour l’événement de lancement de session

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1"
  "app_name": "notepad",
  "launch_type": "Desktop",
}

Schéma des détails des événements d’indicateur pour l’événement de connexion au compte

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Account.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1"
  "app_name": "notepad",
}

Schéma détaillé des événements d’indicateur pour l’événement de fin de session

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1"
  "app_name": "notepad",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server"
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

Schéma des détails des événements d’indicateur pour l’événement de démarrage de l’application

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.Start",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1"
  "app_name": "notepad",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path":
}

Schéma des détails des événements d’indicateur pour l’événement de fin d’application

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1"
  "app_name": "notepad",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path":
}

Schéma de détails des événements d’indicateur pour l’événement de téléchargement de fichiers

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "File.Download",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1",
  "file_download_file_name": "File5.txt",
  "file_download_file_path": "/root/folder1/folder2/folder3",
  "file_size_in_bytes": 278,
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "device_type": "USB"
}

Schéma détaillé des événements d’indicateur pour l’événement d’impression

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Printing",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1",
  "printer_name": "Test-printer",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "job_details_size_in_bytes": 454,
  "job_details_filename": "file1.pdf",
  "job_details_format": "PDF"
}

Schéma détaillé des événements d’indicateur pour l’événement de lancement SaaS de l’application

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1",
  "launch_type": "Desktop",
}

Schéma détaillé des événements d’indicateur pour l’événement final SaaS de l’application

{
  "event_type": "indicatorEventDetails",
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",  
  "device_id": "5-Synthetic_device",
  "os_major_version": "Windows NT 6.1",
  "os_minor_version": "7601",
  "os_extra_details": "Service Pack 1",
  "launch_type": "Desktop",
}

–>