Citrix Analytics for Security

SIEM用のCitrix Analyticsデータエクスポート形式

Citrix Analytics for Securityでは、セキュリティ情報およびイベント管理(SIEM)サービスと統合できます。この統合により、Citrix Analytics for SecurityがSIEMサービスにデータを送信できるようになり、組織のセキュリティリスク状況に関する洞察を得るのに役立ちます。

現在、セキュリティ向けCitrix Analytics を次のSIEMサービスと統合できます。

[ データエクスポート] オプションが [設定]でグローバルに利用できるようになりました。データソースイベントを表示するには、[ 設定] > [データエクスポート] > [データソースイベント] に移動します。

データのエクスポート

Citrix Analytics for SecurityからSIEMサービスに送信されるリスクインサイトデータには、次の2つのタイプがあります。

  • リスクインサイトイベント (デフォルトエクスポート)
  • データソースイベント (オプションのエクスポート)

    データエクスポート

SIEMのリスクインサイトデータ

アカウント設定とSIEM設定が完了すると、デフォルトデータ(リスクインサイトイベント)がSIEM導入環境に流れ始めます。リスクインサイトデータには、ユーザーリスクスコア、ユーザープロファイル、およびリスク指標アラートが含まれます。これらは、Citrix Analyticsの機械学習アルゴリズム、ユーザー行動分析によって生成され、ユーザーイベントに基づいて生成されます。

ユーザーのリスクインサイトデータには次のものが含まれます。

  • リスクスコアの変更 -ユーザーの現在のリスクスコアと以前のリスクスコアの差。ユーザーのリスクスコアの変更が 3 以上で、この変更が任意の割合で増加するか 10% を超えると、データはSIEMサービスに送信されます。
  • リスク指標の概要 -ユーザーに関連付けられているリスク指標の詳細。
  • リスク指標イベントの詳細 -リスク指標に関連付けられているユーザーイベントの詳細。Citrix Analytics は、リスク指標の発生ごとに最大1000個のイベント詳細をSIEMサービスに送信します。これらのイベントは発生順に送信され、最初の1000件のリスク指標イベントの詳細が送信されます。
  • ユーザーリスクスコア — ユーザーの現在のリスクスコア。Citrix Analytics for Securityは、12時間ごとにこのデータをSIEMサービスに送信します。
  • ユーザープロファイル -ユーザープロファイルデータは次のように分類できます。

    • ユーザーアプリ -ユーザーが起動して使用したアプリケーション。Citrix Analytics for Securityは、このデータをCitrix Virtual Apps から取得し、12時間ごとにSIEMサービスに送信します。
    • ユーザーデバイス -ユーザーに関連付けられているデバイス。Citrix Analytics for Securityは、Citrix Virtual Apps とCitrix Endpoint Managementからこのデータを取得し、12時間ごとにSIEMサービスに送信します。
    • ユーザーの場所 -ユーザーが最後に検出された都市。Citrix Analytics for Securityは、このデータをシトリックスVirtual Apps and Desktops から取得します。Citrix Analytics for Securityは、この情報を12時間ごとにSIEMサービスに送信します。

表示のみ可能で構成できない場合は、すべてのアクセス権限がなく、アカウントが無効になっています。次の例では、[変更を保存] ボタンは無効になっています。ただし、一連のデフォルトイベントがSIEM環境とRisk Insightsに送信されるという詳細情報を取得することはできます。リスクインサイトイベントはデフォルトで有効になっています。

リスクインサイトデータ

リスクインサイトイベントのスキーマ詳細

次のセクションでは、Citrix Analytics for Securityによって生成される処理されたデータのスキーマについて説明します。

次のスキーマサンプルに示すフィールド値は、表現目的のみを目的としています。実際のフィールドの値は、ユーザープロファイル、ユーザーイベント、およびリスク指標によって異なります。

次の表では、すべてのユーザープロファイルデータ、ユーザーリスクスコア、およびリスクスコアの変更について、スキーマ全体で共通するフィールド名を示します。

フィールド名 説明
entity_id エンティティに関連付けられている ID。この場合、エンティティはユーザーです。
entity_type リスクにさらされているエンティティ。この場合、エンティティはユーザーです。
event_type SIEM サービスに送信されるデータのタイプ。たとえば、ユーザーの場所、ユーザーのデータ使用状況、ユーザーのデバイスアクセス情報などです。
tenant_id 顧客の一意のアイデンティティ。
timestamp 最近のユーザーアクティビティの日時。
version 処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。

ユーザープロファイルデータスキーマ

ユーザーロケーションスキーマ


{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}

<!--NeedCopy-->

ユーザーロケーションのフィールドの説明

フィールド名 説明
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのロケーションです。
country ユーザーがログインした国。
city ユーザーがログインした市区町村。
cnt 過去 12 時間内にロケーションにアクセスされた回数。

ユーザーデータ使用スキーマ


{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}

<!--NeedCopy-->

ユーザーデータの使用に関するフィールドの説明

フィールド名 説明
data_usage_bytes ユーザーが使用するデータの量 (バイト単位)。これは、ユーザーのダウンロードおよびアップロードされたボリュームの集合体です。
deleted_file_cnt ユーザーが削除したファイルの数。
downloaded_bytes ユーザーがダウンロードしたデータの量。
downloaded_file_count ユーザーがダウンロードしたファイルの数。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーの使用プロファイルです。
shared_file_count ユーザーが共有するファイルの数。
uploaded_bytes ユーザーがアップロードしたデータの量。
uploaded_file_cnt ユーザーがアップロードしたファイルの数。

ユーザーデバイススキーマ


{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}

<!--NeedCopy-->

ユーザーデバイスのフィールドの説明。

フィールド名 説明
cnt 過去 12 時間以内にデバイスにアクセスされた回数。
device デバイスの名前。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのデバイスアクセス情報です。

ユーザーアプリスキーマ


{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}

<!--NeedCopy-->

ユーザーアプリのフィールドの説明。

フィールド名 説明
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのデバイスアクセス情報です。
session_domain ユーザーがログオンしたセッションの ID。
user_samaccountname Windows NT 4.0、Windows 95、Windows 98、および LAN マネージャなど、以前のバージョンの Windows からのクライアントおよびサーバのログオン名。この名前は、Citrix StoreFront にログオンし、リモートのWindowsマシンにもログオンするために使用されます。
app ユーザーがアクセスするアプリケーションの名前。
cnt 過去 12 時間内にアプリケーションにアクセスされた回数。

ユーザリスクスコアスキーマ


{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}

<!--NeedCopy-->

ユーザーリスクスコアのフィールドの説明。

フィールド名 説明
cur_riskscore ユーザーに割り当てられている現在のリスクスコア。リスクスコアは、ユーザーのアクティビティに関連する脅威の重要度に応じて、0 ~ 100 の範囲で変化します。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのリスクスコアです。
last_update_timestamp ユーザーのリスクスコアが最後に更新された時刻。
timestamp ユーザーリスクスコアイベントが収集され、SIEM サービスに送信される時刻。このイベントは 12 時間ごとにSIEMサービスに送信されます。

リスクスコア変更スキーマ

サンプル 1:


{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}

<!--NeedCopy-->

サンプル 2:


{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}

<!--NeedCopy-->

リスクスコア変更のフィールドの説明。

フィールド名 説明
alert_message リスクスコアの変更に対して表示されるメッセージ。
alert_type アラートがリスクスコアの増加またはリスクスコアの割合の大幅な低下を示すかどうかを示します。ユーザーのリスクスコアの変更が 3 以上で、この変更が任意の割合で増加するか 10% を超えると、データはSIEMサービスに送信されます。
alert_value リスクスコアの変更に割り当てられる数値。リスクスコアの変更は、ユーザーの現在のリスクスコアと以前のリスクスコアの差です。アラートの値は -100 から 100 まで変化します。
cur_riskscore ユーザーに割り当てられている現在のリスクスコア。リスクスコアは、ユーザーのアクティビティに関連する脅威の重要度に応じて、0 ~ 100 の範囲で変化します。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのリスクスコアの変化です。
timestamp ユーザーのリスクスコアの最新の変化が検出された日時。

リスク指標スキーマ

リスク指標スキーマは、指標サマリースキーマと指標イベント詳細スキーマの 2 つの部分で構成されています。リスク指標に基づいて、スキーマのフィールドとその値がそれに応じて変化します。

次の表に、すべてのインディケータサマリースキーマに共通するフィールド名を示します。

フィールド名 説明
data source Citrix Analytics のセキュリティにデータを送信する製品。例:Citrix Secure Private Access、NetScaler Gateway、およびCitrixアプリとデスクトップ。
data_source_id データソースに関連付けられた ID。ID 1 = シトリックスゲートウェイ、ID 2 = シトリックスEndpoint Management、ID 3 = シトリックスアプリとデスクトップ、ID 4 = Citrix Secure Private Access
entity_type リスクにさらされているエンティティ。ユーザーでもかまいません。
entity_id リスクのあるエンティティに関連付けられている ID。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標の要約です。
indicator_category リスク指標のカテゴリを示します。リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データの漏えい、またはインサイダー脅威などのリスクカテゴリに分類されます。
indicator_id リスク指標に関連付けられている一意の ID。
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
indicator_name リスク指標の名前。カスタムリスク指標の場合、この名前は指標の作成時に定義されます。
indicator_type リスク指標がデフォルト(組み込み)かカスタムかを示します。
indicator_uuid リスク指標インスタンスに関連付けられている一意の ID。
indicator_vector_name リスク指標に関連付けられているリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。
indicator_vector_id リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できない
occurrence_details リスク指標のトリガー条件に関する詳細。
risk_probability ユーザーイベントに関連するリスクの可能性を示します。値は 0 から 1.0 まで変化します。カスタムリスク指標の場合、risk_probablabity はポリシーベースの指標であるため、常に 1.0 になります。
severity リスクの重大度を示します。低、中、高のいずれかになります。
tenant_id 顧客の一意のアイデンティティ。
timestamp リスク指標がトリガーされる日付と時刻。
ui_link Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。

次の表では、すべてのインジケータイベントの詳細スキーマに共通するフィールド名を示します。

フィールド名 説明
data_source_id データソースに関連付けられた ID。ID 1 = シトリックスゲートウェイ、ID 2 = シトリックスEndpoint Management、ID 3 = シトリックスアプリとデスクトップ、ID 4 = Citrix Secure Private Access
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクにさらされているエンティティ。ユーザーでもかまいません。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標イベントの詳細です。
indicator_id リスク指標に関連付けられている一意の ID。
indicator_uuid リスク指標インスタンスに関連付けられている一意の ID。
indicator_vector_name リスク指標に関連付けられているリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。
indicator_vector_id リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できない
tenant_id 顧客の一意のアイデンティティ。
timestamp リスク指標がトリガーされる日付と時刻。
version 処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。
client_ip ユーザーのデバイスの IP アドレス。

  • 整数データ型のフィールド値が使用できない場合、割り当てられる値は -999です。たとえば、"latitude": -999"longitude": -999

  • 文字列データ型のフィールド値が使用できない場合、割り当てられる値は NAになります。たとえば、"city": "NA""region": "NA"

Citrix Secure Private Access リスク指標スキーマ

ブラックリストに登録された URL リスクインジケータスキーマにアクセスしようとしました

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:58Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Attempt to access blacklisted URL",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:44:59Z",
    "relevant_event_type": "Blacklisted External Resource Access"
  }

<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:57:21Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "googleads.g.doubleclick.net",
  "executed_action": "blocked",
  "reason_for_action": "URL Category match",
  "client_ip": "157.xx.xxx.xxx"
}

<!--NeedCopy-->

次の表に、ブラックリストに登録された URL にアクセスする試行のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
executed_action ブラックリストに登録された URL に適用されるアクション。アクションには、[許可]、[ブロック] が含まれます。
reason_for_action URL のアクションを適用する理由。

過剰なデータダウンロードリスク指標スキーマ

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive data download",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "client_ip": "157.xx.xxx.xxx",
  "downloaded_bytes": 24000
}

<!--NeedCopy-->

次の表では、過剰なデータダウンロードのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
data_volume_in_bytes ダウンロードされるデータの量 (バイト単位)。
relevant_event_type ユーザーイベントのタイプを示します。
domain_name データのダウンロード元のドメインの名前。
downloaded_bytes ダウンロードされるデータの量 (バイト単位)。

異常なアップロードボリュームリスク指標スキーマ

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Unusual upload volume",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "client_ip": "157.xx.xxx.xxx",
  "uploaded_bytes": 24000
}

<!--NeedCopy-->

次の表では、異常なアップロードボリュームのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
data_volume_in_bytes アップロードされるデータの量 (バイト単位)。
relevant_event_type ユーザーイベントのタイプを示します。
domain_name データがアップロードされるドメインの名前。
uploaded_bytes アップロードされるデータの量 (バイト単位)。

Citrix Endpoint Management のリスク指標スキーマ

ジェイルブレイクまたはルートデバイス検出インジケータースキーマ

インジケータサマリースキーマ

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 200,
  "indicator_name": "Jailbroken / Rooted Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:05Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
  "indicator_id": 200,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:35Z",
  "version": 2
}

<!--NeedCopy-->

ブラックリストに登録されたアプリが検出されたデバイス

インジケータサマリースキーマ
{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 201,
  "indicator_name": "Device with Blacklisted Apps Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:23Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
  "indicator_id": 201,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:39Z",
  "version": 2
}

<!--NeedCopy-->

管理対象外のデバイスが検出されました

インジケータサマリースキーマ
{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 203,
  "indicator_name": "Unmanaged Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T12:56:30Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
  "indicator_id": 203,
  "client_ip": "127.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T18:41:30Z",
  "version": 2
}

<!--NeedCopy-->

NetScaler Gateway リスク指標スキー

EPA スキャン失敗リスク指標スキーマ

インジケータサマリースキーマ
{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "EPA scan failure",
  "severity": "low",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "event_description": "Post auth failed, no quarantine",
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "EPA Scan Failure at Logon"
  }
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:12:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Post auth failed, no quarantine",
  "gateway_domain_name": "10.102.xx.xx",
  "gateway_ip": "56.xx.xxx.xx",
  "policy_name": "postauth_act_1",
  "client_ip": "210.91.xx.xxx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "cs_vserver_name": "demo_vserver",
  "device_os": "Windows OS",
  "security_expression": "CLIENT.OS(Win12) EXISTS",
  "vpn_vserver_name": "demo_vpn_vserver",
  "vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->

次の表に、EPA スキャン障害リスクインジケータのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
event_description ポスト認証が失敗し、検疫グループがないなど、EPA スキャンが失敗した理由について説明します。
relevant_event_type EPA スキャン失敗イベントのタイプを示します。
gateway_domain_name NetScaler Gateway のドメイン名。
gateway_ip NetScaler Gateway のIPアドレス。
policy_name NetScaler Gateway で構成されたEPAスキャンポリシー名。
country ユーザーアクティビティが検出された国。
city ユーザーアクティビティが検出された市区町村。
region ユーザーアクティビティが検出されたリージョン。
cs_vserver_name コンテンツスイッチ仮想サーバの名前。
device_os ユーザーのデバイスのオペレーティングシステム。
security_expression NetScaler Gateway で構成されたセキュリティ式。
vpn_vserver_name NetScaler Gateway 仮想サーバーの名前。
vserver_fqdn NetScaler Gateway 仮想サーバーの FQDN。

過剰な認証失敗リスクインジケータスキーマ

インジケータサマリースキーマ
{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Excessive authentication failures",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "Logon Failure"
  }
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:10:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo-user",
  "version": 2,
  "event_description": "Bad (format) password passed to nsaaad",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "auth_server_ip": "10.xxx.x.xx",
  "client_ip": "24.xxx.xxx.xx",
  "gateway_ip": "24.xxx.xxx.xx",
  "vserver_fqdn": "demo-fqdn.citrix.com",
  "vpn_vserver_name": "demo_vpn_vserver",
  "cs_vserver_name": "demo_cs_vserver",
  "gateway_domain_name": "xyz",
  "country": "United States",
  "region": "California",
  "city": "San Jose",
  "nth_failure": 5
}

<!--NeedCopy-->

次の表では、過剰な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
relevant_event_type ログオン失敗などのイベントのタイプを示します。
event_description 誤ったパスワードなど、過剰な認証失敗イベントの理由について説明します。
authentication_stage 認証ステージがプライマリ、セカンダリ、ターシャリのどちらであるかを示します。
authentication_type LDAP、ローカル、OAuth などの認証のタイプを示します。
auth_server_ip 認証サーバの IP アドレス。
gateway_domain_name NetScaler Gateway のドメイン名。
gateway_ip NetScaler Gateway のIPアドレス。
cs_vserver_name コンテンツスイッチ仮想サーバの名前。
vpn_vserver_name NetScaler Gateway 仮想サーバーの名前。
vserver_fqdn NetScaler Gateway 仮想サーバーの FQDN。
nth_failure ユーザー認証が失敗した回数。
country ユーザーアクティビティが検出された国。
city ユーザーアクティビティが検出された市区町村。
region ユーザーアクティビティが検出されたリージョン。

あり得ない移動リスクインジケータ

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": "111",
  "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": "111",
  "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 1,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "client_ip": "95.xxx.xx.xx",
  “ip_organization”: “global telecom ltd”,
  “ip_routing_type”: “mobile gateway”,
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "device_os": "Linux OS",
  "device_browser": "Chrome 62.0.3202.94"
}

<!--NeedCopy-->

次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
distance あり得ない移動に関連するイベント間の距離 (km)。
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
device_browser ユーザーが使用する Web ブラウザ。
device_os ユーザーのデバイスのオペレーティングシステム。
ip_organization クライアントIPアドレスの組織を登録する
ip_routing_type クライアント IP ルーティングタイプ

疑わしい IP リスク指標スキーマからログオン

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.91,
  "indicator_category": "Compromised users",
  "indicator_name": "Logon from suspicious IP",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon",
    "client_ip": "1.0.xxx.xx",
    "observation_start_time": "2019-10-10T10:00:00Z",
    "suspicion_reasons": "brute_force|external_threat"
  }
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:11:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "suspicion_reasons": "external_threat",
  "gateway_ip": "gIP1",
  "client_ip": "128.0.xxx.xxx",
  "country": "Sweden",
  "city": "Stockholm",
  "region": "Stockholm",
  "webroot_reputation": 14,
  "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
  "device_os": "Windows OS",
  "device_browser": "Chrome"
}

<!--NeedCopy-->

次の表では、不審な IP からのログインのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
suspicious_reasons IP アドレスが疑わしいと識別される理由。
webroot_reputation 脅威インテリジェンスプロバイダ Webroot によって提供される IP レピュテーションインデックス。
webroot_threat_categories 脅威インテリジェンスプロバイダ Webroot によって疑わしい IP で識別される脅威カテゴリ。
device_os ユーザーデバイスのオペレーティングシステム。
device_browser 使用した Web ブラウザ。
country ユーザーアクティビティが検出された国。
city ユーザーアクティビティが検出された市区町村。
region ユーザーアクティビティが検出されたリージョン。

異常な認証失敗リスクインジケータスキーマ

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:44:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2020-04-01T05:45:00Z"
  }
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:42:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Success",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "client_ip": "99.xxx.xx.xx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "is_risky": "false"
}

<!--NeedCopy-->

次の表に、異常な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
relevant_event_type ログオン失敗などのイベントのタイプを示します。
event_description ログオンが成功したか失敗したかを示します
authentication_stage 認証ステージがプライマリ、セカンダリ、ターシャリのどちらであるかを示します。
authentication_type LDAP、ローカル、OAuth などの認証のタイプを示します。
is_risky ログオンが成功した場合、is_risky の値は false になります。ログオンに失敗した場合、is_risky の値は true になります。
device_os ユーザーデバイスのオペレーティングシステム。
device_browser ユーザーが使用する Web ブラウザ。
country ユーザーアクティビティが検出された国。
city ユーザーアクティビティが検出された市区町村。
region ユーザーアクティビティが検出されたリージョン。

不審なログオンリスク指標

インジケータサマリースキーマ
{
  "tenant_id": "demo_tenant",
  "indicator_id": "110",
  "indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.71,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2020-06-06T12:00:00Z",
    "relevant_event_type": "Logon",
    "event_count": 1,
    "historical_observation_period_in_days": 30,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
    "user_location_risk": 75,
    "device_id": "",
    "device_os": "Windows OS",
    "device_browser": "Chrome",
    "user_device_risk": 0,
    "client_ip": "99.xxx.xx.xx",
    "user_network_risk": 75,
    "webroot_threat_categories": "Phishing",
    "suspicious_network_risk": 89
  }
}


<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
  "tenant_id": "demo_tenant",
  "indicator_id": "110",
  "indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:08:40Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "region": "Florida",
  "city": "Miami",
  "latitude": 25.7617,
  "longitude": -80.1918,
  "device_browser": "Chrome",
  "device_os": "Windows OS",
  "device_id": "NA",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
occurrence_event_type アカウントログオンなどのユーザーイベントタイプを示します。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
device_browser ユーザーが使用する Web ブラウザ。
device_os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用するデバイスの名前。
user_location_risk ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_device_risk ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_network_risk ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
suspicious_network_risk Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100
webroot_threat_categories Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。

Citrix DaaS とCitrix Virtual Apps and Desktopsのリスク指標スキーマ

あり得ない移動リスクインジケータ

インジケータサマリースキーマ
{
  "tenant_id": "demo_tenant",
  "indicator_id": "313",
  "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": "313",
  "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 3,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "client_ip": "95.xxx.xx.xx",
  “ip_organization”: “global telecom ltd”,
  “ip_routing_type”: “mobile gateway”,
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "device_id": "device1",
  "receiver_type": "XA.Receiver.Linux",
  "os": "Linux OS",
  "browser": "Chrome 62.0.3202.94"
}

<!--NeedCopy-->

次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
distance あり得ない移動に関連するイベント間の距離 (km)。
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
browser ユーザーが使用する Web ブラウザ。
os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用するデバイスの名前。
receiver_type ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver タイプ。
ip_organization クライアントIPアドレスの組織を登録する
ip_routing_type クライアント IP ルーティングタイプ

潜在的なデータ漏洩リスク指標

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Potential data exfiltration",
  "severity": "low",
  "data_source": "Citrix Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download/Print/Copy",
    "observation_start_time": "2018-04-02T10:00:00Z",
    "exfil_data_volume_in_bytes": 1172000
  }
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:57:36Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "App.SaaS.Clipboard",
  "file_size_in_bytes": 98000,
  "file_type": "text",
  "device_id": "dvc5",
  "receiver_type": "XA.Receiver.Windows",
  "app_url": "https://www.citrix.com",
  "client_ip": "10.xxx.xx.xxx",
  "entity_time_zone": "Pacific Standard Time"
}

<!--NeedCopy-->

次の表では、潜在的なデータ漏出のサマリースキーマおよびイベント詳細スキーマに固有のフィールドについて説明します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
relevant_event_type データのダウンロード、印刷、コピーなどのユーザーアクティビティを示します。
exfil_data_volume_in_bytes データの流出量。
occurrence_event_type SaaS アプリでのクリップボード操作など、データの流出がどのように発生したかを示します。
file_size_in_bytes ファイルのサイズ。
file_type ファイルのタイプ。
device_id ユーザーデバイスの ID。
receiver_type ユーザーデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiverです。
app_url ユーザーがアクセスするアプリケーションの URL。
entity_time_zone ユーザーのタイムゾーン。

疑わしいログオンリスク指標スキーマ

インジケータサマリースキーマ
{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "risk_probability": 0.78,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details":
  {
    "user_location_risk": 0,
    "city": "Some_city",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "event_count": 1,
    "user_device_risk": 75,
    "country": "United States",
    "device_id": "device2",
    "region": "Some_Region",
    "client_ip": "99.xx.xx.xx",
    "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
    "historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
    "relevant_event_type": "Logon",
    "user_network_risk": 100,
    "historical_observation_period_in_days": 30,
    "suspicious_network_risk": 0
  }
}

<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06 12:02:30",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "Some_city",
  "country": "United States",
  "region": "Some_Region",
  "latitude": 37.751,
  "longitude": -97.822,
  "browser": "Firefox 1.3",
  "os": "Windows OS",
  "device_id": "device2",
  "receiver_type": "XA.Receiver.Chrome",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
occurrence_event_type アカウントログオンなどのユーザーイベントタイプを示します。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
browser ユーザーが使用する Web ブラウザ。
os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用するデバイスの名前。
receiver_type ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver タイプ。
user_location_risk ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_device_risk ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_network_risk ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
suspicious_network_risk Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100
webroot_threat_categories Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。

Microsoft Active Directory インジケータ

インジケータサマリースキーマ

{
  "data_source": "Microsoft Graph Security",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_id": 1000,
  "indicator_name": "MS Active Directory Indicator",
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_type": "builtin",
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "ui_link": "https://analytics-daily.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_id": 1000,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "version": 2
}

<!--NeedCopy-->

カスタムリスク指標スキーマ

次のセクションでは、カスタムリスク指標のスキーマについて説明します。

現在、Citrix Analytics は、Citrix DaaSおよびCitrix Virtual Apps and Desktopsのカスタムリスク指標に関連するデータをSIEMサービスに送信します。

次の表に、カスタムリスク指標サマリスキーマのフィールド名を示します。

フィールド名 説明
data source Citrix Analytics のセキュリティにデータを送信する製品。例:Citrix Secure Private Access、NetScaler Gateway、およびCitrixアプリとデスクトップ。
data_source_id データソースに関連付けられた ID。ID 1 = シトリックスゲートウェイ、ID 2 = シトリックスEndpoint Management、ID 3 = シトリックスアプリとデスクトップ、ID 4 = Citrix Secure Private Access
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクにさらされているエンティティ。この場合、エンティティはユーザーです。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標の要約です。
indicator_category リスク指標のカテゴリを示します。リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データの漏えい、またはインサイダー脅威などのリスクカテゴリに分類されます。
indicator_id リスク指標に関連付けられている一意の ID。
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
indicator_name リスク指標の名前。カスタムリスク指標の場合、この名前は指標の作成時に定義されます。
indicator_type リスク指標がデフォルト(組み込み)かカスタムかを示します。
indicator_uuid リスク指標インスタンスに関連付けられている一意の ID。
occurrence_details リスク指標のトリガー条件に関する詳細。
pre_configured カスタムリスク指標が事前構成されているかどうかを示します。
risk_probability ユーザーイベントに関連するリスクの可能性を示します。値は 0 から 1.0 まで変化します。カスタムリスク指標の場合、risk_probablabity はポリシーベースの指標であるため、常に 1.0 になります。
severity リスクの重大度を示します。低、中、高のいずれかになります。
tenant_id 顧客の一意のアイデンティティ。
timestamp リスク指標がトリガーされる日付と時刻。
ui_link Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。
version 処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。

次の表に、カスタムリスク指標イベント詳細スキーマで共通のフィールド名を示します。

フィールド名 説明
data_source_id データソースに関連付けられた ID。ID 1 = シトリックスゲートウェイ、ID 2 = シトリックスEndpoint Management、ID 3 = シトリックスアプリとデスクトップ、ID 4 = Citrix Secure Private Access
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標イベントの詳細です。
tenant_id 顧客の一意のアイデンティティ。
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクにさらされているエンティティ。この場合は、ユーザーです。
indicator_id リスク指標に関連付けられている一意の ID。
indicator_uuid リスク指標インスタンスに関連付けられている一意の ID。
timestamp リスク指標がトリガーされる日付と時刻。
version 処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。
event_id ユーザーイベントに関連付けられた ID。
occurrence_event_type セッションログオン、セッション起動、アカウントログオンなど、ユーザーイベントの種類を示します。
product Windows向けCitrix Workspace アプリなど、Citrix Workspace アプリの種類を示します。
client_ip ユーザーのデバイスの IP アドレス。
session_user_name Citrix Apps and Desktopsセッションに関連付けられたユーザー名。
city ユーザーアクティビティが検出された都市の名前。
country ユーザーアクティビティが検出された国の名前。
device_id ユーザーが使用するデバイスの名前。
os_name ユーザーのデバイスにインストールされているオペレーティングシステム。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。
os_version ユーザーのデバイスにインストールされているオペレーティングシステムのバージョン。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。
os_extra_info ユーザーのデバイスにインストールされているオペレーティングシステムに関連する追加情報。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

Citrix DaaS およびCitrix Virtual Apps and Desktopsのカスタムリスクインジケータ

インジケータサマリースキーマ

{
  "data_source": " Citrix Apps and Desktops",
  "data_source_id": 3,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_category_id": 3,
  "indicator_id": "ca97a656ab0442b78f3514052d595936",
  "indicator_name": "Demo_user_usage",
  "indicator_type": "custom",
  "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
  "occurrence_details": {
    "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
  "pre_configured": "N",
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-02-10T14:47:25Z",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "version": 2
}

<!--NeedCopy-->
セッションログオンイベントのインジケータイベント詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "SYD04-MS1-S102",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

次の表に、セッションログオンイベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
セッション起動イベントのインジケータイベント詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
}

<!--NeedCopy-->

次の表に、セッション起動イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
アカウントログオンイベントのインジケータイベント詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Account.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
}

<!--NeedCopy-->

次の表では、アカウントログオンイベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
セッション終了イベントのインジケータイベント詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

次の表に、セッション終了イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
アプリ開始イベントのインジケーターイベントの詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.Start",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

次の表に、アプリ開始イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
module_file_path 使用されているアプリケーションのパス。
アプリ終了イベントのインジケータイベント詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

次の表に、アプリ終了イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
module_file_path 使用されているアプリケーションのパス。
Indicator イベントの詳細ファイルダウンロードイベントのスキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "File.Download",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "file_download_file_name": "File5.txt",
  "file_download_file_path": "/root/folder1/folder2/folder3",
  "file_size_in_bytes": 278,
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "device_type": "USB"
}

<!--NeedCopy-->

次の表に、ファイルダウンロードイベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
file_download_file_name ダウンロードファイルの名前。
file_download_file_path ファイルがダウンロードされる宛先パス。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
device_type ファイルがダウンロードされるデバイスのタイプを示します。
印刷イベントのインジケータイベント詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Printing",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "printer_name": "Test-printer",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "job_details_size_in_bytes": 454,
  "job_details_filename": "file1.pdf",
  "job_details_format": "PDF"
}

<!--NeedCopy-->

次の表に、印刷イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
printer_name 印刷ジョブに使用されるプリンタの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
job_details_size_in_bytes ファイルまたはフォルダなどの印刷ジョブのサイズ。
job_details_filename 印刷されるファイルの名前。
job_details_format 印刷ジョブの形式。
アプリの SaaS 起動イベントのインジケータイベント詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

次の表に、アプリの SaaS 起動イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
launch_type アプリケーションまたはデスクトップのいずれかを示します。
アプリの SaaS 終了イベントのインジケータイベント詳細スキーマ
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

次の表では、App SaaS 終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
launch_type アプリケーションまたはデスクトップのいずれかを示します。

データソースイベント

さらに、Citrix Analytics for Security対応製品のデータソースからユーザーイベントをエクスポートするようにデータエクスポート機能を構成できます。Citrix 環境で何らかのアクティビティを実行すると、データソースイベントが生成されます。エクスポートされたイベントは、セルフサービスビューで利用できる未処理のリアルタイムのユーザーおよび製品使用データです。これらのイベントに含まれるメタデータは、さらに詳細な脅威分析や新しいダッシュボードの作成に使用したり、セキュリティやITインフラストラクチャ全体でCitrix以外のデータソースイベントと連携させたりすることができます。

現在、Citrix Analytics for Securityは、CitrixVirtual Apps and Desktops データソースのユーザーイベントをSIEMに送信しています。

データソースイベントのスキーマ詳細

CitrixVirtual Apps and Desktops イベント

ユーザーが仮想アプリまたは仮想デスクトップを使用すると、ユーザーイベントはCitrix Analytics for Securityでリアルタイムで受信されます。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。SIEMでは、Citrix Virtual Apps and Desktops に関連する次のユーザーイベントを表示できます。

  • すべてのイベントタイプ
  • アカウントログオン
  • アプリ (開始、起動、終了)
  • クリップボード
  • ファイル (印刷、ダウンロード)
  • ファイルダウンロード (SaaS)
  • HDX セッションソース
  • 印刷
  • セッション (ログオン、起動、終了、終了)
  • Url
  • VDA データ
  • VDAプロセス作成

イベントとその属性の詳細については、「 Virtual Apps and Desktops のセルフサービス検索」を参照してください。

どのイベントタイプが有効で SIEM に流れているかを確認できます。テナントに適用できるイベントタイプを設定または削除し、[変更を保存] ボタンをクリックして設定を保存できます。

データソースイベント

SIEM用のCitrix Analyticsデータエクスポート形式