Citrix Analytics for Security

Content Collaboration のセルフサービス検索

セルフサービス検索を使用して、Content Collaboration データソースから受信したユーザイベントに関するインサイトを取得します。ユーザが Content Collaboration サービスを使用すると、ログイン、削除、ダウンロード、アップロードなどのイベントが生成されます。Citrix Analytics for Securityはこれらのイベントを受信し、セルフサービス検索ページに表示します。ユーザーとそのアクティビティを追跡できます。

検索機能の詳細については、「 セルフサービス検索」を参照してください。

Content Collaboration データソースを選択します

コンテンツコラボレーションイベントを表示するには、リストから [ Content Collaboration ] を選択します。デフォルトでは、セルフサービスページには過去 1 日のイベントが表示されます。また、イベントを表示する期間を選択することもできます。

コンテンツコラボレーションの選択

イベントをフィルタリングするファセットを選択します

Content Collaboration イベントに関連付けられている次のファセットを使用します。

  • ダウンロードファイルサイズ-Content Collaboration からダウンロードしたファイルのサイズを示します。

  • イベントタイプ-ファイルのアップロード、ファイルのダウンロード、共有リンクの作成、セッションログイン、フォルダの作成、共有リンクの削除などのユーザーアクティビティのタイプを示します。

    Content Collaborationファセット

イベントをフィルタリングする検索クエリを指定する

検索ボックスにカーソルを置くと、Content Collaboration イベントのディメンションのリストが表示されます。 ディメンションと演算子を使用してクエリを指定し 、必要なイベントを検索します。

コンテンツコラボレーションディメンション

たとえば、インド発のイベントを検索し、ファイルサイズが 900,000 バイトを超えているとします。図に示すように、次のクエリを指定します。

  1. 検索ボックスに「Co」と入力すると、関連する候補が表示されます。

    コンテンツコラボレーション検索クエリ 1

  2. [ ] を選択し、等号演算子を使用して値「India」を入力します。

    コンテンツコラボレーション検索クエリ 2

    コンテンツコラボレーション検索クエリ 3

  3. AND 演算子を選択しFile-Size ディメンションを選択します。 ** 演算子を選択し、ファイルサイズの値をバイト単位で入力します。

    コンテンツコラボレーション検索クエリ 4

  4. 期間を選択し、[検索] をクリックして、 DATA テーブルのイベントを表示します。

監査ログ

監査ログは、Content Collaboration 管理者がユーザーアカウントに適用した権限とアクションに関する洞察を提供します。これらのデータを使用して、Content Collaboration 管理者がユーザーアカウントに対して有効なアクションを実行したかどうかを確認できます。

セルフサービス検索では、次の監査ログを表示できます。

Citrix Analytics でこれらのログを受信するには、Citrix Content CollaborationサービスをCitrix Workspace と統合する必要があります。

イベント 属性
配布グループの作成 グループ ID、グループ共有、クライアント OS、クライアント IP、グループ名、所有者 ID、ユーザーの電子メール
配布グループの削除 グループ ID、グループ名
配布グループの更新 グループ ID、共有
DLP アップデート、DLP ポリシーアップデート DLP 有効、クライアント OS、クライアント IP、保存形式、匿名ユーザーの場合はダウンロード有効、クライアントユーザーにはダウンロード有効、従業員ユーザーに対してはダウンロード有効、クライアントユーザーには共有が有効、従業員ユーザーに対しては共有が有効
ログインとセキュリティポリシーの更新 信頼済みドメイン、ユーザー名、クライアント OS、クライアント IP、アクティビティ後のユーザーのログアウト、ログイン失敗の最大数、ロックアウト期間、ユーザーの 2 要素認証の有効化、従業員の 2 要素認証の有効化、2 要素認証の有効化、ユーザーメール
レポート作成、レポートの更新、レポートの削除 作成日、終了日、レポートタイトル、繰り返しの頻度、含まれるサブフォルダー、繰り返し、レポートのスケジュール、最終実行日、レポートの種類、保存形式、保存フォルダー、開始日
SSO 設定の更新 アクティブプロファイル Cookie、クライアント OS、クライアント IP、IP 制限、アクティブ化された SSO、ログイン URL、ログアウト URL、IdP タイプ、SP 開始認証コンテキスト、SP 開始認証方式、ユーザメール、SP 開始リダイレクト方式、有効な Web 認証

マルウェアのログ

マルウェアイベントFile.VirusInfectedは、Content Collaboration ユーザーがアップロードしたファイルがマルウェアに感染したときにトリガーされます。マルウェアイベントに固有のログを次に示します。

イベント 属性
File.VirusInfected ファイル作成者名、ファイル所有者名、ファイル作成者メールアドレス、ファイル所有者のメールアドレス、ファイルサイズ、共有フォルダー名、ファイルパス、ファイル作成日、ファイルハッシュ、ファイル ID、ウイルス名

検索クエリでサポートされるディメンション

次の表に、セルフサービス検索イベントで表示できるディメンションを示します。これらのディメンションは、検索クエリの定義に使用できます。

|ディメンション | 説明 | 値の種類 | 例 | |——|——-|———|———-| | Account-ID | ユーザーのアカウント ID を示します。 | 文字列 | adb8477a-6bf1-2108-fa4b-55dea0b8c44c | | Active-Account| ユーザーアカウントがアクティブであるかどうかを示します。 | ブーリアン型 | 「真」または「偽」 | | Active-Profile-Cookies | モバイルクライアント、同期エンジン、Outlook プラグインなど、Content Collaboration のアクティブなクライアントによって詳細設定が使用されるかどうかを示します。このパラメーターは、特定の IdP 構成で選択を自動化するために必要になる場合があります。 | 文字列 | | Alias-ID | ユーザーのエイリアス ID を示します。 | 文字列 | testuser1 | | Bytes-Total | ダウンロードされるファイルの合計サイズ (KB) を示します。複数のファイルが同時にダウンロードされる場合(バッチダウンロード)、合計バイト数はダウンロードされたすべてのファイルの合計サイズを示します。 | 数 | 105 | | City | ユーザーがContent Collaboration サービスにログオンした都市を示します。 | 文字列 | シカゴ | | Client-IP | ユーザーのネットワークの IP アドレスを示します。 | 文字列 | 172.xxx.xxx.xx | | Client-OS | ユーザーのデバイスのオペレーティングシステムを示します。 | 文字列 | Windows 10 | | Company-Name | ユーザーアカウントの会社名を示します。 | 文字列 | Citrix | | Copy ID | Content Collaboration におけるファイルコピー操作の ID を示します。 | 文字列 | eif8c79f-fa87-0440-87b2-a0994eb029 | | Country | ユーザーがContent Collaboration サービスにログオンした国を示します。 | 文字列 | 米国 | | Create-Date | レポートが作成された日付と時刻を示します。 | 文字列 | 2021-05-25T13:54:36.167 | | Created-By | レポートを作成したユーザーを示します。 | 文字列 | user1 | | Creation-Date | イベントが発生した日付を示します。 | 文字列 | 2021-08-20T14:44:46.6161227+00:00 | | Creator-ID | レポートを作成したユーザーの ID を示します。 | 文字列 | 77f300f8-8d89-4891-bb58 | | Delete-Single-Version | 1 つのファイルバージョンが削除されるかどうかを示します。 | ブーリアン型 | 「真」または「偽」 | | Destination-File-Path | ファイルの移動先またはコピー先のパスを示します。 | 文字列 | /0106-copy/123.xlsx | | Destination-Parent-Folder-ID| ファイルがコピーまたは移動されるコピー先の場所にある親フォルダの ID を示します。| 文字列 | fo674450-087d-42a0-8d26-de8838a04dae | | Destination-Path-ID| ファイルがコピーまたは移動される宛先パスの ID を示します。 | 文字列 | /accountID/folderId/folderID/ItemId | | Destination-Zone-ID | ファイルがコピーまたは移動される宛先パスのゾーン ID を示します。 | 文字列 | zp16ffd530-c756-44ca-9f59-7ed3376e37 | | Device-ID | 2 要素認証イベントに関連付けられているデバイスの ID を示します。 | 文字列 | 450-087d-42a0-8d26-de88 | | Disable-User-Account | ユーザーアカウントが無効になっているかどうかを示します。 | ブーリアン型 | 「真」または「偽」 | |Download-Enabled-for-Anonymous-User|情報漏えい防止 (DLP) スキャンの結果に基づいて、匿名ユーザーがストレージゾーンからファイルをダウンロードできるかどうかを示します。 | ブーリアン型| 「真」または「偽」| |Download-Enabled-for-Client-User | データ損失防止 (DLP) スキャンの結果に基づいて、サードパーティのクライアントユーザーがストレージゾーンからファイルをダウンロードできるかどうかを示します。 | ブーリアン型 | 「真」または「偽」 | |Download-Enabled-for-Employee-User| データ損失防止 (DLP) スキャンの結果に基づいて、従業員ユーザーがストレージゾーンからファイルをダウンロードできるかどうかを示します。 |ブーリアン型 | 「真」または「偽」| | Download-File-Size | ユーザーがダウンロードしたファイルのサイズ (KB) を示します。 | 数 | 10.8 KB | | Enabled-Web-Authentication | SAML IdP が Web ベース認証用に構成されており、ユーザーアカウントが Windows の場合は ShareFile Sync、Mac の場合は ShareFile Sync、または ShareFile Outlook プラグインを使用しているかどうかを示します。 | 文字列 | 「真」または「偽」 | | Enabled-Two-Factor-Auth | 2 要素認証機能が従業員ユーザーまたはクライアントユーザーに対して有効になっているかどうかを示します。 | 文字列 | 「真」または「偽」 | | Enabled-Two-Factor-Auth-for-Employees | 従業員ユーザーに対して 2 要素認証が有効になっているかどうかを示します。 | 文字列 | 「真」または「偽」 | | Enabled-Two-Factor-Auth-for-Users | クライアントユーザーに対して 2 要素認証が有効になっているかどうかを示します。 | 文字列 | 「真」または「偽」 | | End-Date| Content Collaboration アカウントのレポートが生成されない日付を示します。| “2021-05-23T 04:00:00 + 00:00” | Event-ID | ユーザーイベントに関連付けられた一意の ID を示します。| 文字列 | 77f300f8-8d8d89-4891-bb58-53b05c44766d | | Event-Type | ファイルのアップロード、ファイルのダウンロード、共有リンクの作成、セッションログインなどのユーザーアクティビティの種類を示します。、フォルダ作成、共有リンクの削除。| 文字列 | File.UploadSession.Login, Share.Create | Event-User-ID | | イベントをトリガーしたユーザーの ID を示します。| 文字列 | 8d89-4891-bb58-53b05 Expiration-Date | | イベントの有効期限を示します。| 文字列 | 2022-01-10T 13:35:22。313236Z File-Creation-Date | | | 感染ファイルが作成された日付を示します。| 文字列 | 2021-05-25T 13:54:36 .16 File-Creator-Email-Address | | | マルウェアに感染したファイルを最初に作成したユーザーの電子メール ID を示します。| 文字列 | user1@citrix.com | File-Creator-Name | マルウェアに感染したファイルを最初に作成したユーザー名を示します。| 文字列 | User1 | File-Download-ID | ファイルダウンロードイベントの ID を示します。| 文字列 | dta152b49ddc7542a0a9fe2e File-Format | | 共有されるファイルの形式を示しますまたはダウンロードされます。| 文字列 | .csv、.png、.jpeg、.txt File-Hash| | アップロードされるファイルの MD5 ハッシュを示します。| 文字列 | 88e300f8-8d8d89-4891-bb58 | File-ID | | 感染ファイルの一意の ID を示します。| 文字列 | fib0257-1bd802-0707-44c12 | File-Name |ユーザーが共有、アップロード、またはダウンロードしたファイルの名前を示します。| 文字列 | 使用状況レポート 2021 File-Owner-Name | | 感染ファイルの現在の所有者を示します。| 文字列 | User2 File-Owner-Email-Address | | | 感染ファイルの現在の所有者の電子メール ID を示します。| 文字列 |user2@citrix.com | | File-Path | Content Collaboration における感染ファイルのパスを示します。| 文字列 | /testfolder/test-file.pdf File-Size | | | 感染ファイルのサイズをバイト単位で示します。| 数値 | 10 B | | | First-Name |最初の名前を示します。ユーザーアカウントの作成時に指定されたユーザー。| 文字列 | Joe | Folder-ID | | Content Collaboration で作成されたフォルダの ID を示します。| 文字列 | 8d89-4891-bb58-53b05c Folder-Name | | | アーカイブ、作成、削除、またはupdated。| 文字列 | test-folder | Folder-Path | フォルダーが作成されるパスを示します。| 文字列 | /analytics/security/sharefile/2022/new フォルダー | Frequency| | Content Collaboration アカウントに対して生成されるレポートの繰り返し頻度を示します。| 文字列|「毎日」、「毎週」、「毎月」 Group-ID| | 配布グループの ID を示します。| 文字列 |g0183f52-f219-4816-9b8e-9584e504a083 Group-Name| | 配布グループの名前を示します。| 文字列| テストグループ 1 | IdP-Type |ユーザーに設定されている ID プロバイダーの種類を示します。| 文字列 | | IP | ユーザーの IP アドレスを示します。| 文字列 | 172.xx.xxx.xxx | | IP-Restrictions | ユーザーのContent Collaboration へのサインインが制限されている IP アドレスを示します。accounts. | | | Inactive-Logout-Duration | | 非アクティブなユーザーがアカウントからログアウトされるまでの非アクティブ期間を示します。所要時間は分単位で測定されます。既定では、この期間は 1 時間 (60 分) に設定されています。| 数値 | 60 Include-Sub Folders| | | 選択したフォルダとそのサブフォルダに対してレポートが作成されるかどうかを示します。|ブール値 |「True」または「False」 Infected-File-Hash | | 感染ファイルのハッシュ値を示します。| 文字列 | 88e300f8-8d89-4891-bb58 | |Is-Active| IdP を使用する管理者以外の従業員に対してシングルサインオンが有効になっているかどうかを示します。|ブール値 |「True」または「False」 | Is-Employee | | ユーザーが組織の従業員かどうかを示します。| 文字列 |「True」または「False」| | Is-Enabled | Content Collaboration アカウントで情報漏えい対策が有効になっているかどうかを示します。|ブール|「True」または「False」 |Is-Recurring| | レポートが一定の間隔で生成されるかどうかを示します。| ブール値 |「True」または「False」| |Is-Scheduled|レポートがスケジュールされているかどうかを示します。|ブール値 | “True」または「False」 Is-Shared | | | すべての従業員に対して配布グループの共有が有効になっているかどうかを示します。| 文字列 |「True」または「False」 Last-Name | | ユーザーの作成時に指定したユーザーの姓を示します。アカウント。| 文字列 | Smith Last-Run-Date| | レポートが最後に生成された日時を示します。| 文字列 |「0001-01-01T 00:00:00「 Lock-ID | | ファイルロックイベントの ID を示します。| 文字列 | cb36113c468a8c29c48 Lock-Type | | ファイルロックの種類を示します。|文字列 | Coauth Lock: 複数のユーザーが指定した方法でロックファイルを使用できます。| | | | |ハードロック:排他ロック Locked-Out-Duration | | | ユーザーがログオンに失敗し、許可されている最大ログオン試行回数を超えた場合に、ユーザーがアカウントからロックアウトされる期間を示します。期間は秒単位で測定されます。| 数値 | 120 | | Login-URL | ユーザーの IdP アサーションコンシューマサービスの URL を示します。| 文字列 https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=fa7a185d-d748-459| | Logout-URL | | ユーザーがシングルサインオンセッションからログアウトするときにContent Collaboration が使用する URL を示します。| 文字列 | https://secure.sharefiletest.com | Maximum-Failed-Attempts| | 特定の期間、アカウントからロックアウトされるまでに無効なパスワードを入力できる最大試行回数を示します。| 数値 | 5 | | | Maximum-Download-per-User | ユーザーごとに共有から許可される最大ダウンロード数を示しますlink. | 1, 2, 3 | Notify Sender | | ファイル共有通知を送信者に送信するかどうかを示します。| ブール値 |「True」または「False」| OAuth-Client-ID | 認証サーバーを使用するユーザーの一意の ID を示します。| 文字列 |dzi4upuAg5l8bekjioECDCHMHUTWWLN9| | Operation-Name | Content Collaboration で実行される操作の種類を示します。| 文字列 | 作成、削除、アップロード、ダウンロード、共有、ログイン、コピー、更新 Owner-ID | | 配布グループの所有者 ID を示します。| 文字列 | 10812e09-ab02-4115-8405-8uas5e71258f | |Parent-Folder-ID | ファイルのコピーまたは移動元の場所にある親フォルダの ID を示します | 文字列 | fo674450-087d-42a0-8d26-de8838a04dae| Path ID | | ファイルのコピーまたは移動元のソースパスの ID を示します。| 文字列 |/accountID/folderID/folderID/itemID | |Permanently-Delete | ファイルが完全に削除されるかどうかを示します。| ブール型 |「True」または「False」 Primary-Email | | | イベントをトリガーしたユーザーの電子メールを示します | 文字列 | testuser@citrix.com | Recipient-ID | | 最初のファイルの ID を示します共有イベントの受信者ユーザー。| 文字列 | Report-Type10812e09-ab02-4115-8405| | | 作成されるレポートの種類を示します。レポートの種類と対応する ID を次に示します。| 数値 | 0, 2, 10 | | |0-アクセスレポート | | | |1-アクティビティレポート | | | | |2-記憶域レポート | | | |3-メッセージングレポート | | | |4-帯域幅詳細レポート | | | | |5-帯域幅サマリーレポート | | | | |6-暗号化された電子メールレポート | | | | |7-ストレージサマリーレポート | | | |8-ユーザーサマリーレポート | | | | |9-アクセス変更レポート | | | |10-共有送信レポート | | | | |11-共有リクエストレポート | | | Require-Login | 共有リンクにアクセスするためにユーザーログインが必要かどうかを示します。| ブール型 |「True」または「False」 | Require-User-Info | 共有リンクにアクセスするためにユーザー情報が必要かどうかを示します。| ブール型 |「True」または「False」| | Resource-ID | リソースの ID を示します。| 文字列 | 6bf1-2108-fa4b-55dea0b Resource-Type | | | 操作が実行されるリソースを示します。|文字列 | ファイル、ユーザ、セッション、アカウント Shared-Folder-Name | | | 感染ファイルがアップロードされた共有フォルダを示します。| 文字列 | テストフォルダ | SP-Initiated Auth Context | | 認証コンテキストの比較レベルを示します。「Exact」比較を使用する場合、IdP は選択した認証方式と一致する必要があります。または、「最小」比較を使用する場合は、相対強度が高いメソッドを指定します。| 文字列 |「最小」または「正確」 SP-Initiated-Auth-Method | | 認証コンテキストのメソッドを示します。[未指定]、[ユーザー名とパスワード]、[パスワードで保護されたトランスポート]、[トランスポート層セキュリティクライアント]、[X.509 証明書]、[統合 Windows 認証]、または [Kerberos] のいずれかを選択できます。| 文字列 | urn: oasis: names: TC: SAML: 2.0: AC: Password SP-Initiated-Redirect-Method | | のメソッドを示しますSP は、Content Collaboration によって提供された証明書のサイズに基づいてリダイレクトを開始しました。| 文字列 |「デフォルト」、「HTTP」、または「POST」 Save-Format| | 保存されたレポートの形式を示します。|文字列 | “Excel」または「CSV” Save-To-Folder| | レポートを特定のフォルダーに保存するかどうかを示します。| ブール値 |「True」または「False」 | Server-Name | | ファイルのダウンロードまたは共有元のサーバーを示します。| 文字列 | Citrix-szc | | Share-Type | 共有リンクの種類を示します。タイプは「送信」または「要求」のいずれかです。[共有の送信] は、指定したユーザーにファイルやフォルダーを送信するために使用されます。共有のリクエストは、共有の所有者が指定した場所にファイルをアップロードできるようにするために使用されます。| 0: 要求、1: 送信 Shared-Folder-Name | 0, 1 | | |Sharing-Enabled-for-Client User共有フォルダの名前を示します。 | 文字列 | テストフォルダ | | |サードパーティのクライアントユーザーが情報漏えい対策 (DLP) スキャンの結果に基づくストレージゾーン。| ブール値 |「True」または「False」 | |Sharing-Enabled-for-Employee-User |データ損失防止 (DLP) スキャンの結果に基づいて、従業員ユーザーがストレージゾーンのファイルを共有できるかどうかを示します。|ブール値 |「True」または「False」 | |Start-Date |Content Collaboration アカウントのレポートが生成された日付を示します。|文字列 | “2021-05-23T 04:00:00 + 00:00” | | Storage-Center-Server|ファイルのダウンロード元のクライアントサーバーのホスト名を示します。|文字列 |sf-downloadstreamer-sharefile-us.test.com Stream-ID | | アイテムストリームの ID を示します。アイテムは、ファイルシステムオブジェクトの単一バージョンを表します。ストリームは、同じファイルシステムオブジェクトのすべてのバージョンを識別します。たとえば、ユーザーが既存のファイルをアップロードまたは変更すると、同じ Stream ID を持つ新しいアイテムが作成されます。すべての項目列挙は、指定したストリームの最新バージョンのみを返します。| 文字列 | st279e5d-cahg-4f8-824f-34a3704840c Support-File-Versioning | | | アップロードされたファイルのバージョンが複数あるかどうかを示します。| ブール値 |「True」または「False」 | Template-Based-Folder |フォルダが定義済みのフォルダテンプレートから作成されているかどうかを示します。| ブール型 |「True」または「False」| |Title | Content Collaboration アカウント用に生成されたレポートのタイトルを示します。|String | Test report| | | iframeTrusted-Domains の埋め込みとオリジン間のリソース共有が許可されているドメインを示します。|文字列 |citrix.com | Upload-File-Size | ユーザーがアップロードしたファイルのサイズ(キロバイト単位)を示します。| 数値 | 10 KB | Upload-ID | ファイルのアップロード操作の ID を示します。| 文字列 | st279e5d-cahg-4f8-824f-34a3704840c User-Email | | 電子メールを示しますCitrix Analytics アカウントに関連付けられているアドレス。 testuser@citrix.com | 文字列 | | | User-ID |ファイルを共有したユーザーのIDを示します。| 文字列 | テストユーザー User-Name | | イベントをトリガーしたユーザーの名前を示します。| 文字列 kevin.smith@citrix.com | | View-only | ダウンロードファイルが読み取り専用モードかどうかを示します。| ブール型 |「True」または「False」 | Virus-Name | ファイルに感染したマルウェアの名前を示します。| 文字列 | {HEX} EICAR.TEST.3.UNOFFICAL Watermark | |ダウンロードファイルにウォーターマークが含まれています。| ブール値 |「True」または「False」 | Zone-ID | フォルダーが配置されているストレージゾーンの ID を示します | 文字列 | zpb65440AE-4FBC-4405-BE2F-2b9CDE962C82 |

Content Collaboration のセルフサービス検索