Citrix Analytics for Security

アプリとデスクトップのセルフサービス検索

セルフサービス検索を使用すると、Citrix Virtual Apps and DesktopsデータソースとCitrix DaaS(旧Citrix Virtual Apps and Desktops サービス)データソースから受信したユーザーイベントに関する洞察を得ることができます。ユーザーが仮想アプリケーションまたは仮想デスクトップを使用すると、ユーザーのアクティビティとアクションに対応するイベントが生成されます。ユーザーイベントの例としては、ファイルのダウンロード、アカウントログオン、アプリの起動などがあります。Citrix Analytics for Securityは、これらのユーザーイベントを受信し、セルフサービスページに表示します。ユーザーとそのアクティビティを追跡できます。

検索機能の詳細については、「 セルフサービス検索」を参照してください。

[アプリとデスクトップ] データソースを選択します

Citrix Virtual Apps and Desktops またはCitrix DaaSからのイベントを表示するには、リストから[ アプリとデスクトップ ]を選択します。デフォルトでは、セルフサービスページには過去 1 日のイベントが表示されます。また、イベントを表示する期間を選択することもできます。

[Citrix Virtual Apps and Desktops]を選択します。

デフォルトでは、セルフサービスページには過去 1 か月のイベントが表示されます。このページには、いくつかのファセットと、必要なイベントをフィルタリングしてフォーカスするための検索ボックスも用意されています。

イベントをフィルタリングするファセットを選択します

アプリとデスクトップのイベントに関連付けられている次のファセットを使用します。

Virtual Apps and Desktops ファセット

  • イベントタイプ-アカウントログオン、アプリ終了、セッション終了などのイベントタイプに基づいてイベントを検索します。

  • ドメイン-citrate.netなどのドメインに基づいてイベントを検索します。

  • OS-ユーザーのデバイスで使用されている Chrome、iOS、Windows などのオペレーティングシステムに基づいてイベントを検索します。イベントをフィルタリングするオペレーティングシステムの名前とバージョンを選択します。オペレーティングシステムのバージョンの詳細については、「 検索クエリでサポートされる値」を参照してください。

イベントをフィルタリングする検索クエリを指定する

検索ボックスにカーソルを置くと、アプリとデスクトップのイベントのディメンションの一覧が表示されます。 ディメンションと演算子を使用してクエリを指定し 、必要なイベントを検索します。

Virtual Apps and Desktops のディメンション

たとえば、Windows オペレーティングシステムを使用しているユーザー「John Doe」のイベントを検索するとします。

  1. 検索ボックスに「U」と入力すると、関連する候補が表示されます。

    仮想アプリとデスクトップ検索クエリ1

  2. [ ユーザー名 ] をクリックし、等号演算子を使用して値「John」を入力します。

    仮想アプリとデスクトップ検索クエリ2

  3. AND 演算子とOS 名ディメンションを選択します 。等号演算子を使用して、値「Windows 7」を割り当てます。

    仮想アプリとデスクトップ検索クエリ3

  4. 期間を選択し、[検索] をクリックして、 DATA テーブルに基づいてイベントを表示します。

イベントタイプとサポートされているフィールド

次のフィールドは、VDA.Printを除くすべてのイベントタイプで使用できます。

  • 市区町村

  • クライアント IP

  • デバイス ID

  • OS名

  • OSのバージョン

  • OS 追加情報

  • 時間

  • ユーザー名

  • Workspace Appバージョン

次の表は、Apps and Desktops データソースで使用できるイベントタイプと、各イベントタイプに固有のフィールドを示しています。

説明 フィールド
Account.Logon Citrix Workspace アプリからストアにログオンしたときにトリガーされます。 :アカウントログオンは HTML5 クライアントでは使用できません。 上記で説明したように、共通フィールドを確認してください。
Session.Logon 仮想セッションにログオンしたときにトリガーされます。 アプリ保護ポリシー、ドメイン、セッション起動タイプ、セッションサーバー名、セッションユーザー名
Session.End 仮想セッションを終了するとトリガーされます。 ドメイン、セッション起動タイプ、セッションサーバー名、セッションユーザー名
App.Start 仮想アプリセッションを開始するとトリガーされます。:このイベントタイプは、デスクトップセッション内でアプリケーションを起動した場合には適用されません。 アプリ名、ドメイン、セッション起動タイプ、セッションサーバー名、セッションユーザー名
App.End 仮想アプリセッションを終了するとトリガーされます。:このイベントタイプは、デスクトップセッション内でアプリケーションを起動した場合には適用されません。 アプリ名、ドメイン、セッション起動タイプ、セッションサーバー名、セッションユーザー名
File.Download ユーザーがリモート仮想セッションからクライアントデバイスにファイルをコピーするとトリガーされます。仮想セッション内で行われるファイル転送ではトリガーされません。:このイベントタイプは、サーバーがファイルのリダイレクトを許可していて (詳細については、「 ファイルリダイレクト設定 」を参照)、クライアントワークスペースの「 ファイルアクセス 」プリファレンスが「 読み取りと書き込み」に設定されている場合にのみ送信されます。 ドメイン、ダウンロードデバイスタイプ、ダウンロードファイル名、ダウンロードファイルパス、ダウンロードファイルサイズ、セッションサーバー名、セッションユーザー名
Printing Citrix Workspaceアプリを起動したセッションでクライアントプリンター経由でファイルを印刷するとトリガーされます。:Citrix Workspaceアプリには、印刷イベントに影響する2つの技術的な制限があります。まず、すべてのプラットフォームに共通する既知の問題のため、Printment Document Name のテレメトリは印刷イベントに含まれていません。2 つ目の理由は、もう 1 つの既知の技術的制限のため、印刷ファイルサイズのテレメトリが Windows の印刷イベントに含まれていないことです。これらのデータセット (ファイル名/ファイルサイズ) を収集するには、VDA.Print イベントを使用します。詳しくは、「 Citrix DaaS 印刷テレメトリーの有効化」を参照してください。 ブラウザ名、ブラウザバージョン、ドメイン、プリンタ名、印刷ファイル形式、印刷ファイルサイズ、セッションサーバ名、セッションユーザー名
AppProtection.ScreenCapture 保護されたセッションでユーザーがスクリーンショットをキャプチャしようとしたときにトリガーされます。:詳細については、「 アプリ保護」を参照してください。 保護対象アプリタイトル、画面キャプチャツール名、画面キャプチャツールパス
App.SaaS.Launch Citrix Workspace アプリが Citrix Enterprise Browser で SaaS アプリケーションを起動したときにトリガーされます。 ブラウザ名、ブラウザバージョン、SaaS アプリケーション名、SaaS アプリケーション URL
App.SaaS.End Citrix Workspace アプリが Citrix Enterprise Browser ーの SaaS アプリを閉じるとトリガーされます。 ブラウザ名、ブラウザバージョン、SaaS アプリケーション URL
App.SaaS.Clipboard Citrix Enterprise Browserでクリップボード操作が実行されるとトリガーされます。 ブラウザ名、ブラウザバージョン、クリップボード詳細フォーマットサイズ、クリップボード詳細フォーマットタイプ、クリップボード詳細イニシエータ、クリップボード詳細結果、クリップボード操作、SaaS アプリURL
App.SaaS.File.Download Citrix Enterprise Browser でファイルがダウンロードされるとトリガーされます。 ブラウザ名、ブラウザバージョン、ダウンロードデバイスタイプ、ダウンロードファイルパス、ダウンロードファイルサイズ
App.SaaS.File.Print Citrix Enterprise Browser で印刷が開始されたときにトリガーされます。 ブラウザ名、ブラウザバージョン、印刷ファイル名、SaaS アプリケーション名、SaaS アプリケーション URL
App.SaaS.Url.Navigate Citrix Enterprise Browser が URL をナビゲートしたときにトリガーされます。 ブラウザ名、ブラウザバージョン、SaaS アプリケーション名、SaaS アプリケーション URL
Citrix.EventMonitor.AppStart Session Recordingサーバーのアプリ監視リストに追加されたアプリケーションが仮想デスクトップセッション内で起動したときにトリガーされます アプリ名
Citrix.EventMonitor.AppEnd Session Recordingサーバーのアプリ監視リストに追加されたアプリケーションが仮想デスクトップセッション内で停止したときにトリガーされます アプリ名
Citrix.EventMonitor.Clipboard セッション記録内でクリップボードアクションが実行されたときにトリガーされます。 クリップボードデータ形式タイプ、プロセス名、ウィンドウタイトル
Citrix.EventMonitor.FileTransfer ユーザーが仮想デスクトップセッションとユーザーのマシン間でファイルを転送するとトリガーされます。 ファイルサイズ、操作方向 (ホストからクライアント、クライアントからホスト)、ソースパス、デスティネーションパス
Citrix.EventMonitor.RegistryChange レジストリ操作が実行されるとトリガーされます。可能なレジストリ操作は、作成、削除、名前の変更、値の設定、および値の削除です。 レジストリ操作、レジストリ名、レジストリパス、プロセス ID、プロセスファイルパス
Citrix.EventMonitor.SessionEnd セッションの記録が終了するとトリガーされます。 説明
Citrix.EventMonitor.SessionLaunch セッションの記録が開始されたときにトリガーされます。 セッション記録タイプ
Citrix.EventMonitor.TopMost 一番上のウィンドウが変更されたときにトリガーされます。 アプリ名
Citrix.EventMonitor.IdleStart セッションがアイドル状態になるとトリガーされます。 上記で説明したように、共通フィールドを確認してください。
Citrix.EventMonitor.IdleEnd アイドルセッションが終了するとトリガーされます。 上記で説明したように、共通フィールドを確認してください。
Citrix.EventMonitor.WebBrowsing ユーザーが仮想デスクトップセッション内でブラウザ上の Web ページを操作したときにトリガーされます。 アプリ名、URL
Citrix.EventMonitor.FileCreate 監視対象のファイルシステムパス内の仮想デスクトップセッションでファイルまたはフォルダーが作成されるとトリガーされます。 ファイル名、ファイルパス、ファイルサイズ
Citrix.EventMonitor.FileRename 監視対象のファイルシステムパス内の仮想デスクトップセッションでファイルまたはフォルダーの名前が変更されたときにトリガーされます。 上記で説明したように、共通フィールドを確認してください。
Citrix.EventMonitor.FileMove 監視対象のファイルシステムパスにあるファイルまたはフォルダーが仮想デスクトップセッションで、またはセッションホスト(VDA)とクライアントデバイス間で移動されたときにトリガーされます。 上記で説明したように、共通フィールドを確認してください。
Citrix.EventMonitor.FileDelete 監視対象のファイルシステムパス内のファイルまたはフォルダーが仮想デスクトップセッションで削除されたときにトリガーされます。 ファイル名、ファイルパス、ファイルサイズ
Citrix.EventMonitor.CDMUSBDriveAttach 仮想アプリとデスクトップセッションが接続されているクライアントに、クライアントドライブマッピング (CDM) でマッピングされた USB 大容量記憶装置が挿入されたときにトリガーされます。 上記で説明したように、共通フィールドを確認してください。
Citrix.EventMonitor.GenericUSBDriveAttach 仮想アプリとデスクトップセッションが接続されているクライアントに、汎用リダイレクトされた USB 大容量記憶装置が挿入されたときにトリガーされます。 上記で説明したように、共通フィールドを確認してください。
Citrix.EventMonitor.RDPConnection ユーザーがVDAマシン内でリモートデスクトップ接続を作成するとトリガーされます。 送信先 IP、プロセス ID
Citrix.EventMonitor.UserAccountModification アカウントの作成、有効化、無効化、削除、名前の変更、パスワードの変更など、あらゆる種類のユーザーアカウント操作のトリガーです。 説明、ターゲットユーザー名
VDA.Print アプリとデスクトップで印刷ジョブが開始されるとトリガーされます。:このイベントは Citrix DaaS データソースにのみ適用されます。詳しくは、「 Citrix DaaS 印刷テレメトリーの有効化」を参照してください。 ドキュメントユーザー名、マシン名、印刷ファイル名、印刷ファイルサイズ、プリンタ名、時間、印刷総部数、印刷ページ総数
VDA.Clipboard アプリとデスクトップでクリップボード操作が実行されるとトリガーされます。:このイベントは Citrix DaaS データソースにのみ適用されます。詳しくは、「 Citrix DaaSのクリップボードテレメトリの有効化」を参照してください。 クリップボードフォーマットタイプ、クリップボード操作、クリップボード操作方向、クリップボード操作許可、クリップボードサイズ、マシン名

すべてのセッション記録イベントでは、そのイベントを記録するポリシーをSession Recordingサーバーで有効にする必要があります。詳しくは、「カスタムイベント検出ポリシーの作成」を参照してください。

検索クエリでサポートされる値

ディメンションに次の値を入力して、検索クエリを定義します。

ディメンション 種類 説明
App-Name アプリケーションセッションまたはデスクトップセッション。 文字列 起動されたアプリケーションまたはデスクトップの名前。
  アプリケーションセッションの例:ファーム名のないセッション: #Cloud - Excel 2016 およびファーム名のセッション: XA65PROD#Concur    
  デスクトップセッションの例:ファーム名のないセッション: #SINXIAP0616 $S1-1 およびファーム名のセッション: XA65PROD#SINXIAP0616 $S1-1    
App-Protection-Policies 例:AntiScreenCaptureEnabled 文字列 セッションのアクティブなアプリケーション保護ポリシー。
Browser-Name 例:Google Chrome、Citrix Enterprise Browser、Microsoft Edge、FIREFOX、SAFARI 文字列 ブラウザー名
Browser-Version 例:80.0.3987.122、101.0.9999.0 文字列 ブラウザーのバージョン
City 例:サンタクララ、ヒューストン、シカゴ 文字列 ユーザーの都市名。
Client-IP IP アドレス。例:10.10.10 文字列 ユーザーエンドポイントの IP アドレス。
Client-Type Android、Windows、Macintosh、Chrome、HTML5、Unix/Linux、iOS、SessionRecording、Monitor 文字列 オペレーティングシステムまたは元のデータソースに基づいて、さまざまなタイプのCitrix Workspaceアプリを示します。
Clipboard-Format-Type 例:テキスト、HTML、CF_UNICODETEXT 文字列 クリップボードにコピーされたデータ形式。
Clipboard-Initiator 例:キーボード、コンテキストメニュー、javascript 文字列 クリップボードの操作が開始された方法を示します。:SaaS アプリケーションでのみサポートされます。
Clipboard-Operation コピー、切り取り、貼り付け、配置 文字列 どのクリップボード操作が実行されるかを示します。: 配置操作は 、データがクリップボードに配置されていることを示します。これは、クリップボード内のデータがクライアントによって貼り付けられたか使用されたかを保証するものではありません。この操作はVDA.Clipboardイベントでのみサポートされています。
Clipboard-Operation-Direction クライアントからホスト、ホストからクライアント 文字列 クリップボード操作の方向を示します。:アプリとデスクトップ(Citrix DaaS)のクリップボード操作でのみサポートされます。
Clipboard-Operation-Permitted 許可または拒否 文字列 アプリとデスクトップセッションでクリップボード操作が許可されているかどうかを示します。:アプリとデスクトップ(Citrix DaaS)のクリップボード操作でのみサポートされます。
Clipboard-Result 成功またはブロック 文字列 クリップボード操作の結果を示します。:SaaS アプリケーションでのみサポートされます。
Clipboard-Size 例:10、20 クリップボードに現在保存されているデータのサイズ (バイト単位)。
Country 例:アメリカ、インド 文字列 ユーザーの国名。
Description Citrix.EventMonitor.UserAccountModification イベントの場合:ユーザーアカウントが作成され、ユーザーアカウントが有効になり、アカウントのパスワードのリセットが試みられました。 文字列 アカウントの作成、削除、名前の変更、パスワードのリセットが試みられたなど、ユーザーアカウントの変更ステータスについて説明します。
  Citrix.EventMonitor.SessionEnd イベントの場合:不明、ログオフ、ロールオーバー、トリガー、未完了   セッションの記録が終了した理由を説明します。
Destination-IP 例:10.60.110.xxx 文字列 リモートデスクトップの IP アドレス。
Destination-Path 例:\ H$\ デスクトップ\ フォルダ\ example.txt 文字列 転送が完了した後のファイルの最終パス。
Device-ID 例:cb781185-18ad-4f45-B75f 文字列 ライセンスに使用されるデバイスID、クライアント名、またはオペレーティングシステムのハードウェアID。
Domain 例:example.com 構造 リクエストを送信したサーバーのドメイン名。
Download-Device-Type 例:USB、ハードディスクドライブ、リモートドライブ、CDROM、またはブラウザのダウンロード。 文字列 ファイルがダウンロードまたは転送されるデバイスタイプ。
Download-File-Format 例:テキスト、PDF、XLSX、docx 文字列 ダウンロードされたファイルの形式。
Download-File-Name 例:example-file.txt 文字列 ダウンロードしたファイルの名前。
Download-File-Path 例:C:\Users\admin\Desktop 文字列 ダウンロードしたファイルのパス。
Download-File-Size 例:8.05 ダウンロードしたファイルのサイズ (キロバイト単位)。
Event-Type アカウント.ログオン、セッション.ログオン、セッション終了、アプリ開始、アプリ終了、ファイル。ダウンロード、印刷、アプリ保護。画面キャプチャ、app.SaaS.Launch、app.saas.file.end、app.saas.Clipboard、app.saas.file.Download、app.saas.url.Navigate、Citrix.EventMonitor AppStart、Citrix.EventMonitor.Append、Citrix.EventMonitor.TopMove、Citrix.EventMonitor.Webブラウジング、Citrix.EventMonitor.FileCreate、Citrix.EventMonitor.FileName、Citrix.EventMonitor.FileMove、Citrix.EventMonitor.FileDelete、Citrix.EventMonitor または.cdUSB ドライブ接続、Citrix。Event Monitor。汎用 USB ドライブ接続、シトリックス.EventMonitor.RDP接続、Citrix.EventMonitor.ユーザーアカウント変更、VDA.Print、VDA.Clipboard、Citrix.EventMonitor.RegistryChange、Citrix.EventMonitor.SessionLaunch、Citrix.EventMonitor.SessionEnd、Citrix.EventMonitor.Clipboard、Citrix.EventMonitor. ファイル転送 文字列 詳細については、「 イベントタイプとサポートされるフィールド」を参照してください。
Jail-Broken はいまたはいいえ 文字列 デバイスがRoot化されているかどうかを示します。:このディメンションがない場合、デバイスはルート化されません。このキーは、iOSおよびAndroidデバイス用のCitrix Workspaceアプリに適用されます。
Operation-Direction ホストからクライアント/クライアントからホスト 文字列 ファイル転送の方向を示します。
OS-Extra-Info 例:20G80、サービスパック 1、19043 文字列 ビルド番号、サービスパック、パッチなど、オペレーティングシステムの追加情報を示します。
OS-Name 例:macOS 11、Windows 7、Android 8.1、Windows 10 Enterprise 文字列 オペレーティングシステムの名前を示します。
OS-Version 例:11.5.1、14.7.1、2009 文字列 オペレーティングシステムのバージョンを示します
Print-File-Format 例:PDF、PS、DOCX 文字列 印刷ファイルの形式。
Print-File-Name 例:example-file.pdf 文字列 印刷されるファイルの名前。
Print-File-Size 例:10、20 文字列 印刷ファイルのサイズ (バイト単位)。
Printer-Name 例:テストプリンタ-1 文字列 使用するプリンタの名前。
Process-ID 例:11248 文字列 **新しいプロセスの作成とリモートデスクトップ接続の確立という 2 つのアクションを実行する特定のプロセスを識別するために使用されるプロセス**ID を指します。プロセスIDは現在、Citrix.EventMonitor.RDPConnectionイベントにのみ関連付けられています。
Protected-App-Titles 例:管理デスクトップ-Citrix Workspace 文字列 保護されたセッションで実行されているアプリケーションの名前。
Registry-Name 変更されたレジストリの名前 文字列 変更されたレジストリの名前。
Registry-Operation 名前の変更、作成、削除、値の設定、値の削除 文字列 どのレジストリ操作が実行されたかを示します。
Registry-Path 変更されたレジストリのパス 文字列 変更されたレジストリのパス。
SaaS-App-Name 例: Workday 文字列 SaaS アプリケーションの名前。
SaaS-App-URL 例:https://xyz.com|String 文字列 SaaS アプリケーションの URL またはゲートウェイ/プロキシ URL。:ゲートウェイ/プロキシ URL は、SaaS アプリケーションが最初に起動されたときに App.SaaS.Launch イベントに表示されます。
Screen-Capture-Tool-Name 例:ScreenShotTool.exe 文字列 画面キャプチャツールの名前。
Screen-Capture-Tool-Path 例:c:\Program ファイル (x86)\ スクリーンコンテンツクライアント 文字列 画面キャプチャツールのパス。
Session-Launch-Type アプリケーションまたはデスクトップ 文字列 起動したセッションがアプリケーションタイプかデスクトップタイプかを示します。
Session-Recording-Type 従来の録音/イベントのみの録画 文字列 起動されたセッションレコーディングのタイプを示します。
Session-Server-Name 例:ホスト型デスクトップ、クラウドVDA-1 文字列 サーバーから受信した接続先のアプリケーションまたはデスクトップの名前。
Session-User-Name 例:デモユーザー、テストユーザー 文字列 サーバーから受信したユーザー名。
Source-Path 例:C:\Users\admin\Desktop\example.txt 文字列 転送前のファイルの初期パス。
Target-User-Name 例:ユーザー 01 文字列 現在、ターゲットユーザー名はCitrix.EventMonitor.UserAccountModification イベントにのみ使用されます。このイベントでは、変更されたのはユーザーアカウントです。
Total-Copies-Printed 例:1、2 ユーザーが印刷した部数の合計。
Total-Pages-Printed 例:1,2 ユーザーが印刷した文書ページの総数。
User-Name ユーザー名またはドメイン\ ユーザー名 文字列 ユーザー名またはドメイン\ ユーザー名。StoreFront のログインに使用されます。StoreFront ログオンがHTML5またはChrome用のCitrix Workspaceアプリを経由しない場合、この値はサーバーから受信した値と同じです。
VDA-Name 例: TSVDA-19-01.xd.local 文字列 VDAマシンの名前を示します。
Window-Title 例:管理者-01 コマンドプロンプト 文字列 クリップボード操作が実行されたウィンドウのタイトルを示します。
Workspace-App-Version 例:20.8.0.3(2008年) 文字列 Citrix WorkspaceアプリまたはCitrix Receiverバージョンがユーザーのデバイスにインストールされ、リモート仮想アプリおよびデスクトップセッションの起動に使用されます。

オペレーティングシステムの名前付け形式

Citrix Analytics は、ユーザーデバイスのオペレーティングシステム(OS)の詳細を受信し、それらをOS名、OSバージョン、およびOS追加情報に変換します。

  • [OS 名 ] は、オペレーティングシステムの名前を示します。

  • OS Version は、オペレーティングシステムのリリース ID またはリリースバージョンを示します。

  • OS Extra Info は、ビルド番号、サービスパック、パッチなど、オペレーティングシステムの追加情報を示します。

次の表に、オペレーティングシステムのバージョン番号付けフォーマットの例をいくつか示します。

OS名 OSのバージョン OS 追加情報
macOS 11 11.5.1 20G80
iOS 14 14.7.1 利用できない
Windows 10 Enterprise 2009 19043
Windows 7 6.1 Service Pack 1
Android 8.1 8.1.0 利用できない

メモ

  • Macバージョン11.x以降のOSの詳細を取得するには、Mac 2108以降のCitrix Workspace アプリをお勧めします。

  • Windows 10 の OS の詳細は現在利用できません。

アプリとデスクトップのセルフサービス検索