SIEM用のCitrix Analyticsデータエクスポート形式
Citrix Analytics for Securityでは、セキュリティ情報およびイベント管理(SIEM)サービスと統合できます。この統合により、Citrix Analytics for SecurityがSIEMサービスにデータを送信できるようになり、組織のセキュリティリスク状況に関する洞察を得るのに役立ちます。
現在、セキュリティ向けCitrix Analytics を次のSIEMサービスと統合できます。
[ データエクスポート] オプションが [設定]でグローバルに利用できるようになりました。データソースイベントを表示するには、[ 設定] > [データエクスポート] > [データソースイベント] に移動します。
Citrix Analytics for SecurityからSIEMサービスに送信されるリスクインサイトデータには、次の2つのタイプがあります。
- リスクインサイトイベント (デフォルトエクスポート)
-
データソースイベント (オプションのエクスポート)
SIEMのリスクインサイトデータ
アカウント設定とSIEM設定が完了すると、デフォルトデータ(リスクインサイトイベント)がSIEM導入環境に流れ始めます。リスクインサイトデータには、ユーザーリスクスコア、ユーザープロファイル、およびリスク指標アラートが含まれます。これらは、Citrix Analyticsの機械学習アルゴリズム、ユーザー行動分析によって生成され、ユーザーイベントに基づいて生成されます。
ユーザーのリスクインサイトデータには次のものが含まれます。
- リスクスコアの変更 -ユーザーの現在のリスクスコアと以前のリスクスコアの差。ユーザーのリスクスコアの変更が 3 以上で、この変更が任意の割合で増加するか 10% を超えると、データはSIEMサービスに送信されます。
- リスク指標の概要 -ユーザーに関連付けられているリスク指標の詳細。
- リスク指標イベントの詳細 -リスク指標に関連付けられているユーザーイベントの詳細。Citrix Analytics は、リスク指標の発生ごとに最大1000個のイベント詳細をSIEMサービスに送信します。これらのイベントは発生順に送信され、最初の1000件のリスク指標イベントの詳細が送信されます。
- ユーザーリスクスコア — ユーザーの現在のリスクスコア。Citrix Analytics for Securityは、12時間ごとにこのデータをSIEMサービスに送信します。
-
ユーザープロファイル -ユーザープロファイルデータは次のように分類できます。
- ユーザーアプリ -ユーザーが起動して使用したアプリケーション。Citrix Analytics for Securityは、このデータをCitrix Virtual Apps から取得し、12時間ごとにSIEMサービスに送信します。
- ユーザーデバイス -ユーザーに関連付けられているデバイス。Citrix Analytics for Securityは、Citrix Virtual Apps とCitrix Endpoint Managementからこのデータを取得し、12時間ごとにSIEMサービスに送信します。
- ユーザーの場所 -ユーザーが最後に検出された都市。Citrix Analytics for Securityは、このデータをシトリックスVirtual Apps and Desktops から取得します。Citrix Analytics for Securityは、この情報を12時間ごとにSIEMサービスに送信します。
表示のみ可能で構成できない場合は、すべてのアクセス権限がなく、アカウントが無効になっています。次の例では、[変更を保存] ボタンは無効になっています。ただし、一連のデフォルトイベントがSIEM環境とRisk Insightsに送信されるという詳細情報を取得することはできます。リスクインサイトイベントはデフォルトで有効になっています。
リスクインサイトイベントのスキーマ詳細
次のセクションでは、Citrix Analytics for Securityによって生成される処理されたデータのスキーマについて説明します。
注
次のスキーマサンプルに示すフィールド値は、表現目的のみを目的としています。実際のフィールドの値は、ユーザープロファイル、ユーザーイベント、およびリスク指標によって異なります。
次の表では、すべてのユーザープロファイルデータ、ユーザーリスクスコア、およびリスクスコアの変更について、スキーマ全体で共通するフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
entity_id |
エンティティに関連付けられている ID。この場合、エンティティはユーザーです。 |
entity_type |
リスクにさらされているエンティティ。この場合、エンティティはユーザーです。 |
event_type |
SIEM サービスに送信されるデータのタイプ。たとえば、ユーザーの場所、ユーザーのデータ使用状況、ユーザーのデバイスアクセス情報などです。 |
tenant_id |
顧客の一意のアイデンティティ。 |
timestamp |
最近のユーザーアクティビティの日時。 |
version |
処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。 |
ユーザープロファイルデータスキーマ
ユーザーロケーションスキーマ
{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}
<!--NeedCopy-->
ユーザーロケーションのフィールドの説明
| フィールド名 | 説明 |
|---|---|
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのロケーションです。 |
country |
ユーザーがログインした国。 |
city |
ユーザーがログインした市区町村。 |
cnt |
過去 12 時間内にロケーションにアクセスされた回数。 |
ユーザーデータ使用スキーマ
{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}
<!--NeedCopy-->
ユーザーデータの使用に関するフィールドの説明
| フィールド名 | 説明 |
|---|---|
data_usage_bytes |
ユーザーが使用するデータの量 (バイト単位)。これは、ユーザーのダウンロードおよびアップロードされたボリュームの集合体です。 |
deleted_file_cnt |
ユーザーが削除したファイルの数。 |
downloaded_bytes |
ユーザーがダウンロードしたデータの量。 |
downloaded_file_count |
ユーザーがダウンロードしたファイルの数。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーの使用プロファイルです。 |
shared_file_count |
ユーザーが共有するファイルの数。 |
uploaded_bytes |
ユーザーがアップロードしたデータの量。 |
uploaded_file_cnt |
ユーザーがアップロードしたファイルの数。 |
ユーザーデバイススキーマ
{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}
<!--NeedCopy-->
ユーザーデバイスのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
cnt |
過去 12 時間以内にデバイスにアクセスされた回数。 |
device |
デバイスの名前。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのデバイスアクセス情報です。 |
ユーザーアプリスキーマ
{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}
<!--NeedCopy-->
ユーザーアプリのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのデバイスアクセス情報です。 |
session_domain |
ユーザーがログオンしたセッションの ID。 |
user_samaccountname |
Windows NT 4.0、Windows 95、Windows 98、および LAN マネージャなど、以前のバージョンの Windows からのクライアントおよびサーバのログオン名。この名前は、Citrix StoreFront にログオンし、リモートのWindowsマシンにもログオンするために使用されます。 |
app |
ユーザーがアクセスするアプリケーションの名前。 |
cnt |
過去 12 時間内にアプリケーションにアクセスされた回数。 |
ユーザリスクスコアスキーマ
{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}
<!--NeedCopy-->
ユーザーリスクスコアのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
cur_riskscore |
ユーザーに割り当てられている現在のリスクスコア。リスクスコアは、ユーザーのアクティビティに関連する脅威の重要度に応じて、0 ~ 100 の範囲で変化します。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのリスクスコアです。 |
last_update_timestamp |
ユーザーのリスクスコアが最後に更新された時刻。 |
timestamp |
ユーザーリスクスコアイベントが収集され、SIEM サービスに送信される時刻。このイベントは 12 時間ごとにSIEMサービスに送信されます。 |
リスクスコア変更スキーマ
サンプル 1:
{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}
<!--NeedCopy-->
サンプル 2:
{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}
<!--NeedCopy-->
リスクスコア変更のフィールドの説明。
| フィールド名 | 説明 |
|---|---|
alert_message |
リスクスコアの変更に対して表示されるメッセージ。 |
alert_type |
アラートがリスクスコアの増加またはリスクスコアの割合の大幅な低下を示すかどうかを示します。ユーザーのリスクスコアの変更が 3 以上で、この変更が任意の割合で増加するか 10% を超えると、データはSIEMサービスに送信されます。 |
alert_value |
リスクスコアの変更に割り当てられる数値。リスクスコアの変更は、ユーザーの現在のリスクスコアと以前のリスクスコアの差です。アラートの値は -100 から 100 まで変化します。 |
cur_riskscore |
ユーザーに割り当てられている現在のリスクスコア。リスクスコアは、ユーザーのアクティビティに関連する脅威の重要度に応じて、0 ~ 100 の範囲で変化します。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのリスクスコアの変化です。 |
timestamp |
ユーザーのリスクスコアの最新の変化が検出された日時。 |
リスク指標スキーマ
リスク指標スキーマは、指標サマリースキーマと指標イベント詳細スキーマの 2 つの部分で構成されています。リスク指標に基づいて、スキーマのフィールドとその値がそれに応じて変化します。
次の表に、すべてのインディケータサマリースキーマに共通するフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
data source |
Citrix Analytics のセキュリティにデータを送信する製品。例:Citrix Secure Private Access、NetScaler Gateway、およびCitrixアプリとデスクトップ。 |
data_source_id |
データソースに関連付けられた ID。ID 1 = シトリックスゲートウェイ、ID 2 = シトリックスEndpoint Management、ID 3 = シトリックスアプリとデスクトップ、ID 4 = Citrix Secure Private Access |
entity_type |
リスクにさらされているエンティティ。ユーザーでもかまいません。 |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標の要約です。 |
indicator_category |
リスク指標のカテゴリを示します。リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データの漏えい、またはインサイダー脅威などのリスクカテゴリに分類されます。 |
indicator_id |
リスク指標に関連付けられている一意の ID。 |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
indicator_name |
リスク指標の名前。カスタムリスク指標の場合、この名前は指標の作成時に定義されます。 |
indicator_type |
リスク指標がデフォルト(組み込み)かカスタムかを示します。 |
indicator_uuid |
リスク指標インスタンスに関連付けられている一意の ID。 |
indicator_vector_name |
リスク指標に関連付けられているリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。 |
indicator_vector_id |
リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できない |
occurrence_details |
リスク指標のトリガー条件に関する詳細。 |
risk_probability |
ユーザーイベントに関連するリスクの可能性を示します。値は 0 から 1.0 まで変化します。カスタムリスク指標の場合、risk_probablabity はポリシーベースの指標であるため、常に 1.0 になります。 |
severity |
リスクの重大度を示します。低、中、高のいずれかになります。 |
tenant_id |
顧客の一意のアイデンティティ。 |
timestamp |
リスク指標がトリガーされる日付と時刻。 |
ui_link |
Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
次の表では、すべてのインジケータイベントの詳細スキーマに共通するフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
data_source_id |
データソースに関連付けられた ID。ID 1 = シトリックスゲートウェイ、ID 2 = シトリックスEndpoint Management、ID 3 = シトリックスアプリとデスクトップ、ID 4 = Citrix Secure Private Access |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクにさらされているエンティティ。ユーザーでもかまいません。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標イベントの詳細です。 |
indicator_id |
リスク指標に関連付けられている一意の ID。 |
indicator_uuid |
リスク指標インスタンスに関連付けられている一意の ID。 |
indicator_vector_name |
リスク指標に関連付けられているリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。 |
indicator_vector_id |
リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できない |
tenant_id |
顧客の一意のアイデンティティ。 |
timestamp |
リスク指標がトリガーされる日付と時刻。 |
version |
処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。 |
client_ip |
ユーザーのデバイスの IP アドレス。 |
注
整数データ型のフィールド値が使用できない場合、割り当てられる値は -999です。たとえば、
"latitude": -999、"longitude": -999。文字列データ型のフィールド値が使用できない場合、割り当てられる値は NAになります。たとえば、
"city": "NA"、"region": "NA"。
Citrix Secure Private Access リスク指標スキーマ
ブラックリストに登録された URL リスクインジケータスキーマにアクセスしようとしました
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:59:58Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Attempt to access blacklisted URL",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-15T10:44:59Z",
"relevant_event_type": "Blacklisted External Resource Access"
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:57:21Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "googleads.g.doubleclick.net",
"executed_action": "blocked",
"reason_for_action": "URL Category match",
"client_ip": "157.xx.xxx.xxx"
}
<!--NeedCopy-->
次の表に、ブラックリストに登録された URL にアクセスする試行のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
executed_action |
ブラックリストに登録された URL に適用されるアクション。アクションには、[許可]、[ブロック] が含まれます。 |
reason_for_action |
URL のアクションを適用する理由。 |
過剰なデータダウンロードリスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Excessive data download",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"downloaded_bytes": 24000
}
<!--NeedCopy-->
次の表では、過剰なデータダウンロードのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
data_volume_in_bytes |
ダウンロードされるデータの量 (バイト単位)。 |
relevant_event_type |
ユーザーイベントのタイプを示します。 |
domain_name |
データのダウンロード元のドメインの名前。 |
downloaded_bytes |
ダウンロードされるデータの量 (バイト単位)。 |
異常なアップロードボリュームリスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Unusual upload volume",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"uploaded_bytes": 24000
}
<!--NeedCopy-->
次の表では、異常なアップロードボリュームのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
data_volume_in_bytes |
アップロードされるデータの量 (バイト単位)。 |
relevant_event_type |
ユーザーイベントのタイプを示します。 |
domain_name |
データがアップロードされるドメインの名前。 |
uploaded_bytes |
アップロードされるデータの量 (バイト単位)。 |
Citrix Endpoint Management のリスク指標スキーマ
ジェイルブレイクまたはルートデバイス検出インジケータースキーマ
インジケータサマリースキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 200,
"indicator_name": "Jailbroken / Rooted Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:05Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"indicator_id": 200,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:35Z",
"version": 2
}
<!--NeedCopy-->
ブラックリストに登録されたアプリが検出されたデバイス
インジケータサマリースキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 201,
"indicator_name": "Device with Blacklisted Apps Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:23Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"indicator_id": 201,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:39Z",
"version": 2
}
<!--NeedCopy-->
管理対象外のデバイスが検出されました
インジケータサマリースキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 203,
"indicator_name": "Unmanaged Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T12:56:30Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"indicator_id": 203,
"client_ip": "127.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T18:41:30Z",
"version": 2
}
<!--NeedCopy-->
NetScaler Gateway リスク指標スキー
EPA スキャン失敗リスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "EPA scan failure",
"severity": "low",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"event_description": "Post auth failed, no quarantine",
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "EPA Scan Failure at Logon"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:12:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Post auth failed, no quarantine",
"gateway_domain_name": "10.102.xx.xx",
"gateway_ip": "56.xx.xxx.xx",
"policy_name": "postauth_act_1",
"client_ip": "210.91.xx.xxx",
"country": "United States",
"city": "San Jose",
"region": "California",
"cs_vserver_name": "demo_vserver",
"device_os": "Windows OS",
"security_expression": "CLIENT.OS(Win12) EXISTS",
"vpn_vserver_name": "demo_vpn_vserver",
"vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->
次の表に、EPA スキャン障害リスクインジケータのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
event_description |
ポスト認証が失敗し、検疫グループがないなど、EPA スキャンが失敗した理由について説明します。 |
relevant_event_type |
EPA スキャン失敗イベントのタイプを示します。 |
gateway_domain_name |
NetScaler Gateway のドメイン名。 |
gateway_ip |
NetScaler Gateway のIPアドレス。 |
policy_name |
NetScaler Gateway で構成されたEPAスキャンポリシー名。 |
country |
ユーザーアクティビティが検出された国。 |
city |
ユーザーアクティビティが検出された市区町村。 |
region |
ユーザーアクティビティが検出されたリージョン。 |
cs_vserver_name |
コンテンツスイッチ仮想サーバの名前。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
security_expression |
NetScaler Gateway で構成されたセキュリティ式。 |
vpn_vserver_name |
NetScaler Gateway 仮想サーバーの名前。 |
vserver_fqdn |
NetScaler Gateway 仮想サーバーの FQDN。 |
過剰な認証失敗リスクインジケータスキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Excessive authentication failures",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/”,
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "Logon Failure"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:10:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo-user",
"version": 2,
"event_description": "Bad (format) password passed to nsaaad",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"auth_server_ip": "10.xxx.x.xx",
"client_ip": "24.xxx.xxx.xx",
"gateway_ip": "24.xxx.xxx.xx",
"vserver_fqdn": "demo-fqdn.citrix.com",
"vpn_vserver_name": "demo_vpn_vserver",
"cs_vserver_name": "demo_cs_vserver",
"gateway_domain_name": "xyz",
"country": "United States",
"region": "California",
"city": "San Jose",
"nth_failure": 5
}
<!--NeedCopy-->
次の表では、過剰な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ログオン失敗などのイベントのタイプを示します。 |
event_description |
誤ったパスワードなど、過剰な認証失敗イベントの理由について説明します。 |
authentication_stage |
認証ステージがプライマリ、セカンダリ、ターシャリのどちらであるかを示します。 |
authentication_type |
LDAP、ローカル、OAuth などの認証のタイプを示します。 |
auth_server_ip |
認証サーバの IP アドレス。 |
gateway_domain_name |
NetScaler Gateway のドメイン名。 |
gateway_ip |
NetScaler Gateway のIPアドレス。 |
cs_vserver_name |
コンテンツスイッチ仮想サーバの名前。 |
vpn_vserver_name |
NetScaler Gateway 仮想サーバーの名前。 |
vserver_fqdn |
NetScaler Gateway 仮想サーバーの FQDN。 |
nth_failure |
ユーザー認証が失敗した回数。 |
country |
ユーザーアクティビティが検出された国。 |
city |
ユーザーアクティビティが検出された市区町村。 |
region |
ユーザーアクティビティが検出されたリージョン。 |
あり得ない移動リスクインジケータ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_os": "Linux OS",
"device_browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
distance |
あり得ない移動に関連するイベント間の距離 (km)。 |
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
device_browser |
ユーザーが使用する Web ブラウザ。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
ip_organization |
クライアントIPアドレスの組織を登録する |
ip_routing_type |
クライアント IP ルーティングタイプ |
疑わしい IP リスク指標スキーマからログオン
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.91,
"indicator_category": "Compromised users",
"indicator_name": "Logon from suspicious IP",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon",
"client_ip": "1.0.xxx.xx",
"observation_start_time": "2019-10-10T10:00:00Z",
"suspicion_reasons": "brute_force|external_threat"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:11:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"suspicion_reasons": "external_threat",
"gateway_ip": "gIP1",
"client_ip": "128.0.xxx.xxx",
"country": "Sweden",
"city": "Stockholm",
"region": "Stockholm",
"webroot_reputation": 14,
"webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
"device_os": "Windows OS",
"device_browser": "Chrome"
}
<!--NeedCopy-->
次の表では、不審な IP からのログインのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
suspicious_reasons |
IP アドレスが疑わしいと識別される理由。 |
webroot_reputation |
脅威インテリジェンスプロバイダ Webroot によって提供される IP レピュテーションインデックス。 |
webroot_threat_categories |
脅威インテリジェンスプロバイダ Webroot によって疑わしい IP で識別される脅威カテゴリ。 |
device_os |
ユーザーデバイスのオペレーティングシステム。 |
device_browser |
使用した Web ブラウザ。 |
country |
ユーザーアクティビティが検出された国。 |
city |
ユーザーアクティビティが検出された市区町村。 |
region |
ユーザーアクティビティが検出されたリージョン。 |
異常な認証失敗リスクインジケータスキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:44:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Unusual authentication failure",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon Failure",
"observation_start_time": "2020-04-01T05:45:00Z"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:42:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Success",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"client_ip": "99.xxx.xx.xx",
"country": "United States",
"city": "San Jose",
"region": "California",
"device_os": "Windows OS ",
"device_browser": "Chrome",
"is_risky": "false"
}
<!--NeedCopy-->
次の表に、異常な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ログオン失敗などのイベントのタイプを示します。 |
event_description |
ログオンが成功したか失敗したかを示します |
authentication_stage |
認証ステージがプライマリ、セカンダリ、ターシャリのどちらであるかを示します。 |
authentication_type |
LDAP、ローカル、OAuth などの認証のタイプを示します。 |
is_risky |
ログオンが成功した場合、is_risky の値は false になります。ログオンに失敗した場合、is_risky の値は true になります。 |
device_os |
ユーザーデバイスのオペレーティングシステム。 |
device_browser |
ユーザーが使用する Web ブラウザ。 |
country |
ユーザーアクティビティが検出された国。 |
city |
ユーザーアクティビティが検出された市区町村。 |
region |
ユーザーアクティビティが検出されたリージョン。 |
不審なログオンリスク指標
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.71,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2020-06-06T12:00:00Z",
"relevant_event_type": "Logon",
"event_count": 1,
"historical_observation_period_in_days": 30,
"country": "United States",
"region": "Florida",
"city": "Miami",
"historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
"user_location_risk": 75,
"device_id": "",
"device_os": "Windows OS",
"device_browser": "Chrome",
"user_device_risk": 0,
"client_ip": "99.xxx.xx.xx",
"user_network_risk": 75,
"webroot_threat_categories": "Phishing",
"suspicious_network_risk": 89
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:08:40Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"country": "United States",
"region": "Florida",
"city": "Miami",
"latitude": 25.7617,
"longitude": -80.1918,
"device_browser": "Chrome",
"device_os": "Windows OS",
"device_id": "NA",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
occurrence_event_type |
アカウントログオンなどのユーザーイベントタイプを示します。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
device_browser |
ユーザーが使用する Web ブラウザ。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用するデバイスの名前。 |
user_location_risk |
ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_device_risk |
ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_network_risk |
ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
suspicious_network_risk |
Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100 |
webroot_threat_categories |
Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。 |
Citrix DaaS とCitrix Virtual Apps and Desktopsのリスク指標スキーマ
あり得ない移動リスクインジケータ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "Account.Logon",
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_id": "device1",
"receiver_type": "XA.Receiver.Linux",
"os": "Linux OS",
"browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
distance |
あり得ない移動に関連するイベント間の距離 (km)。 |
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
browser |
ユーザーが使用する Web ブラウザ。 |
os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用するデバイスの名前。 |
receiver_type |
ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver タイプ。 |
ip_organization |
クライアントIPアドレスの組織を登録する |
ip_routing_type |
クライアント IP ルーティングタイプ |
潜在的なデータ漏洩リスク指標
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Potential data exfiltration",
"severity": "low",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Download/Print/Copy",
"observation_start_time": "2018-04-02T10:00:00Z",
"exfil_data_volume_in_bytes": 1172000
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:57:36Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "App.SaaS.Clipboard",
"file_size_in_bytes": 98000,
"file_type": "text",
"device_id": "dvc5",
"receiver_type": "XA.Receiver.Windows",
"app_url": "https://www.citrix.com",
"client_ip": "10.xxx.xx.xxx",
"entity_time_zone": "Pacific Standard Time"
}
<!--NeedCopy-->
次の表では、潜在的なデータ漏出のサマリースキーマおよびイベント詳細スキーマに固有のフィールドについて説明します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
relevant_event_type |
データのダウンロード、印刷、コピーなどのユーザーアクティビティを示します。 |
exfil_data_volume_in_bytes |
データの流出量。 |
occurrence_event_type |
SaaS アプリでのクリップボード操作など、データの流出がどのように発生したかを示します。 |
file_size_in_bytes |
ファイルのサイズ。 |
file_type |
ファイルのタイプ。 |
device_id |
ユーザーデバイスの ID。 |
receiver_type |
ユーザーデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiverです。 |
app_url |
ユーザーがアクセスするアプリケーションの URL。 |
entity_time_zone |
ユーザーのタイムゾーン。 |
疑わしいログオンリスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"risk_probability": 0.78,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details":
{
"user_location_risk": 0,
"city": "Some_city",
"observation_start_time": "2020-06-06T12:00:00Z",
"event_count": 1,
"user_device_risk": 75,
"country": "United States",
"device_id": "device2",
"region": "Some_Region",
"client_ip": "99.xx.xx.xx",
"webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
"historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
"relevant_event_type": "Logon",
"user_network_risk": 100,
"historical_observation_period_in_days": 30,
"suspicious_network_risk": 0
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06 12:02:30",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"occurrence_event_type": "Account.Logon",
"city": "Some_city",
"country": "United States",
"region": "Some_Region",
"latitude": 37.751,
"longitude": -97.822,
"browser": "Firefox 1.3",
"os": "Windows OS",
"device_id": "device2",
"receiver_type": "XA.Receiver.Chrome",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
occurrence_event_type |
アカウントログオンなどのユーザーイベントタイプを示します。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
browser |
ユーザーが使用する Web ブラウザ。 |
os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用するデバイスの名前。 |
receiver_type |
ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver タイプ。 |
user_location_risk |
ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_device_risk |
ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_network_risk |
ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
suspicious_network_risk |
Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100 |
webroot_threat_categories |
Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。 |
Microsoft Active Directory インジケータ
インジケータサマリースキーマ
{
"data_source": "Microsoft Graph Security",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_id": 1000,
"indicator_name": "MS Active Directory Indicator",
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_type": "builtin",
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"ui_link": "https://analytics-daily.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_id": 1000,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"version": 2
}
<!--NeedCopy-->
カスタムリスク指標スキーマ
次のセクションでは、カスタムリスク指標のスキーマについて説明します。
注
現在、Citrix Analytics は、Citrix DaaSおよびCitrix Virtual Apps and Desktopsのカスタムリスク指標に関連するデータをSIEMサービスに送信します。
次の表に、カスタムリスク指標サマリスキーマのフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
data source |
Citrix Analytics のセキュリティにデータを送信する製品。例:Citrix Secure Private Access、NetScaler Gateway、およびCitrixアプリとデスクトップ。 |
data_source_id |
データソースに関連付けられた ID。ID 1 = シトリックスゲートウェイ、ID 2 = シトリックスEndpoint Management、ID 3 = シトリックスアプリとデスクトップ、ID 4 = Citrix Secure Private Access |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクにさらされているエンティティ。この場合、エンティティはユーザーです。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標の要約です。 |
indicator_category |
リスク指標のカテゴリを示します。リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データの漏えい、またはインサイダー脅威などのリスクカテゴリに分類されます。 |
indicator_id |
リスク指標に関連付けられている一意の ID。 |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
indicator_name |
リスク指標の名前。カスタムリスク指標の場合、この名前は指標の作成時に定義されます。 |
indicator_type |
リスク指標がデフォルト(組み込み)かカスタムかを示します。 |
indicator_uuid |
リスク指標インスタンスに関連付けられている一意の ID。 |
occurrence_details |
リスク指標のトリガー条件に関する詳細。 |
pre_configured |
カスタムリスク指標が事前構成されているかどうかを示します。 |
risk_probability |
ユーザーイベントに関連するリスクの可能性を示します。値は 0 から 1.0 まで変化します。カスタムリスク指標の場合、risk_probablabity はポリシーベースの指標であるため、常に 1.0 になります。 |
severity |
リスクの重大度を示します。低、中、高のいずれかになります。 |
tenant_id |
顧客の一意のアイデンティティ。 |
timestamp |
リスク指標がトリガーされる日付と時刻。 |
ui_link |
Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。 |
version |
処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。 |
次の表に、カスタムリスク指標イベント詳細スキーマで共通のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
data_source_id |
データソースに関連付けられた ID。ID 1 = シトリックスゲートウェイ、ID 2 = シトリックスEndpoint Management、ID 3 = シトリックスアプリとデスクトップ、ID 4 = Citrix Secure Private Access |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標イベントの詳細です。 |
tenant_id |
顧客の一意のアイデンティティ。 |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクにさらされているエンティティ。この場合は、ユーザーです。 |
indicator_id |
リスク指標に関連付けられている一意の ID。 |
indicator_uuid |
リスク指標インスタンスに関連付けられている一意の ID。 |
timestamp |
リスク指標がトリガーされる日付と時刻。 |
version |
処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。 |
event_id |
ユーザーイベントに関連付けられた ID。 |
occurrence_event_type |
セッションログオン、セッション起動、アカウントログオンなど、ユーザーイベントの種類を示します。 |
product |
Windows向けCitrix Workspace アプリなど、Citrix Workspace アプリの種類を示します。 |
client_ip |
ユーザーのデバイスの IP アドレス。 |
session_user_name |
Citrix Apps and Desktopsセッションに関連付けられたユーザー名。 |
city |
ユーザーアクティビティが検出された都市の名前。 |
country |
ユーザーアクティビティが検出された国の名前。 |
device_id |
ユーザーが使用するデバイスの名前。 |
os_name |
ユーザーのデバイスにインストールされているオペレーティングシステム。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。 |
os_version |
ユーザーのデバイスにインストールされているオペレーティングシステムのバージョン。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。 |
os_extra_info |
ユーザーのデバイスにインストールされているオペレーティングシステムに関連する追加情報。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。 |
Citrix DaaS およびCitrix Virtual Apps and Desktopsのカスタムリスクインジケータ
インジケータサマリースキーマ
{
"data_source": " Citrix Apps and Desktops",
"data_source_id": 3,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_category_id": 3,
"indicator_id": "ca97a656ab0442b78f3514052d595936",
"indicator_name": "Demo_user_usage",
"indicator_type": "custom",
"indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
"occurrence_details": {
"condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
"pre_configured": "N",
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-02-10T14:47:25Z",
"ui_link": "https://analytics.cloud.com/user/ ",
"version": 2
}
<!--NeedCopy-->
セッションログオンイベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "SYD04-MS1-S102",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
次の表に、セッションログオンイベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
セッション起動イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
}
<!--NeedCopy-->
次の表に、セッション起動イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
アカウントログオンイベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Account.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
}
<!--NeedCopy-->
次の表では、アカウントログオンイベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
セッション終了イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
次の表に、セッション終了イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
アプリ開始イベントのインジケーターイベントの詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.Start",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
次の表に、アプリ開始イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
module_file_path |
使用されているアプリケーションのパス。 |
アプリ終了イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
次の表に、アプリ終了イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
module_file_path |
使用されているアプリケーションのパス。 |
Indicator イベントの詳細ファイルダウンロードイベントのスキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "File.Download",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"file_download_file_name": "File5.txt",
"file_download_file_path": "/root/folder1/folder2/folder3",
"file_size_in_bytes": 278,
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"device_type": "USB"
}
<!--NeedCopy-->
次の表に、ファイルダウンロードイベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
file_download_file_name |
ダウンロードファイルの名前。 |
file_download_file_path |
ファイルがダウンロードされる宛先パス。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
device_type |
ファイルがダウンロードされるデバイスのタイプを示します。 |
印刷イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Printing",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"printer_name": "Test-printer",
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"job_details_size_in_bytes": 454,
"job_details_filename": "file1.pdf",
"job_details_format": "PDF"
}
<!--NeedCopy-->
次の表に、印刷イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
printer_name |
印刷ジョブに使用されるプリンタの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
job_details_size_in_bytes |
ファイルまたはフォルダなどの印刷ジョブのサイズ。 |
job_details_filename |
印刷されるファイルの名前。 |
job_details_format |
印刷ジョブの形式。 |
アプリの SaaS 起動イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
次の表に、アプリの SaaS 起動イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
アプリの SaaS 終了イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
次の表では、App SaaS 終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
データソースイベント
さらに、Citrix Analytics for Security対応製品のデータソースからユーザーイベントをエクスポートするようにデータエクスポート機能を構成できます。Citrix 環境で何らかのアクティビティを実行すると、データソースイベントが生成されます。エクスポートされたイベントは、セルフサービスビューで利用できる未処理のリアルタイムのユーザーおよび製品使用データです。これらのイベントに含まれるメタデータは、さらに詳細な脅威分析や新しいダッシュボードの作成に使用したり、セキュリティやITインフラストラクチャ全体でCitrix以外のデータソースイベントと連携させたりすることができます。
現在、Citrix Analytics for Securityは、CitrixVirtual Apps and Desktops データソースのユーザーイベントをSIEMに送信しています。
データソースイベントのスキーマ詳細
CitrixVirtual Apps and Desktops イベント
ユーザーが仮想アプリまたは仮想デスクトップを使用すると、ユーザーイベントはCitrix Analytics for Securityでリアルタイムで受信されます。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。SIEMでは、Citrix Virtual Apps and Desktops に関連する次のユーザーイベントを表示できます。
- すべてのイベントタイプ
- アカウントログオン
- アプリ (開始、起動、終了)
- クリップボード
- ファイル (印刷、ダウンロード)
- ファイルダウンロード (SaaS)
- HDX セッションソース
- 印刷
- セッション (ログオン、起動、終了、終了)
- Url
- VDA データ
- VDAプロセス作成
イベントとその属性の詳細については、「 Virtual Apps and Desktops のセルフサービス検索」を参照してください。
どのイベントタイプが有効で SIEM に流れているかを確認できます。テナントに適用できるイベントタイプを設定または削除し、[変更を保存] ボタンをクリックして設定を保存できます。
SIEM用のCitrix Analyticsデータエクスポート形式
コピー完了
コピー失敗