Citrix Analytics for Security

Citrix AnalyticsのSIEM用のデータ形式

Citrix Analytics for Securityでは、セキュリティ情報およびイベント管理(SIEM)サービスと統合できます。この統合により、Citrix Analytics for Securityは処理されたデータをSIEMサービスに送信し、組織のセキュリティリスクの状況に関する洞察を得るのに役立ちます。

現在、セキュリティ向けCitrix Analytics を次のSIEMサービスと統合できます。

SIEM用 の処理済みデータ

Citrix Analytics for SecurityがSIEMサービスに送信する処理されたデータには、以下が含まれます。

  • リスクスコアの変更 -ユーザーの現在のリスクスコアと以前のリスクスコアの差。ユーザーのリスクスコアの変更が 3 以上で、この変更が任意の割合で増加するか 10% を超えると、データはSIEMサービスに送信されます。

  • リスク指標の概要 -ユーザーに関連付けられているリスク指標の詳細。

  • リスク指標イベントの詳細 -リスク指標に関連付けられているユーザーイベントの詳細。Citrix Analytics は、リスク指標の発生ごとに最大1000個のイベント詳細をSIEMサービスに送信します。これらのイベントは、発生の年代順に送信され、最初の 1000 のリスク指標イベントの詳細が送信されます。

  • ユーザーリスクスコア — ユーザーの現在のリスクスコア。Citrix Analytics for Securityは、12時間ごとにこのデータをSIEMサービスに送信します。

  • ユーザープロファイル - ユーザープロファイルデータは、次のカテゴリに分類できます。

    • ユーザーアプリ -ユーザーが起動して使用したアプリケーション。Citrix Analytics for Securityは、このデータをCitrix Virtual Apps から取得し、12時間ごとにSIEMサービスに送信します。

    • ユーザーデータ使用量 — Citrix Content Collaborationを通じてユーザーがアップロードおよびダウンロードしたデータ。Citrix Analytics for Securityは、12時間ごとにこのデータをSIEMサービスに送信します。

    • ユーザーデバイス - ユーザーに関連付けられているデバイス。Citrix Analytics for Securityは、Citrix Virtual Apps とCitrix Endpoint Managementからこのデータを取得し、12時間ごとにSIEMサービスに送信します。

    • ユーザーの場所 -ユーザーが最後に検出された都市。セキュリティ向け Citrix Analytics は、このデータを Citrix Content Collaboration から取得します。Citrix Analytics for Securityは、この情報を12時間ごとにSIEMサービスに送信します。

処理されたデータのスキーマの詳細

次のセクションでは、Citrix Analytics for Securityによって生成される処理されたデータのスキーマについて説明します。

次のスキーマサンプルに示すフィールド値は、表現目的のみを目的としています。実際のフィールドの値は、ユーザープロファイル、ユーザーイベント、およびリスク指標によって異なります。

次の表では、すべてのユーザープロファイルデータ、ユーザーリスクスコア、およびリスクスコアの変更について、スキーマ全体で共通するフィールド名を示します。

フィールド名 説明
entity_id エンティティに関連付けられている ID。この場合、エンティティはユーザーです。
entity_type リスクにさらされているエンティティ。この場合、エンティティはユーザーです。
event_type SIEM サービスに送信されるデータのタイプ。たとえば、ユーザーの場所、ユーザーのデータ使用状況、ユーザーのデバイスアクセス情報などです。
tenant_id 顧客の一意のアイデンティティ。
timestamp 最近のユーザーアクティビティの日時。
version 処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。

ユーザープロファイルデータスキーマ

ユーザーロケーションスキーマ


{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}

<!--NeedCopy-->

ユーザーロケーションのフィールドの説明

フィールド名 説明
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのロケーションです。
country ユーザーがログインした国。
city ユーザーがログインした市区町村。
cnt 過去 12 時間内にロケーションにアクセスされた回数。

ユーザーデータ使用スキーマ


{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}

<!--NeedCopy-->

ユーザーデータの使用に関するフィールドの説明

フィールド名 説明
data_usage_bytes ユーザーが使用するデータの量 (バイト単位)。これは、ユーザーのダウンロードおよびアップロードされたボリュームの集合体です。
deleted_file_cnt ユーザーが削除したファイルの数。
downloaded_bytes ユーザーがダウンロードしたデータの量。
downloaded_file_count ユーザーがダウンロードしたファイルの数。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーの使用プロファイルです。
shared_file_count ユーザーが共有するファイルの数。
uploaded_bytes ユーザーがアップロードしたデータの量。
uploaded_file_cnt ユーザーがアップロードしたファイルの数。

ユーザーデバイススキーマ


{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}

<!--NeedCopy-->

ユーザーデバイスのフィールドの説明。

フィールド名 説明
cnt 過去 12 時間以内にデバイスにアクセスされた回数。
device デバイスの名前。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのデバイスアクセス情報です。

ユーザーアプリスキーマ


{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}

<!--NeedCopy-->

ユーザーアプリのフィールドの説明。

フィールド名 説明
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのデバイスアクセス情報です。
session_domain ユーザーがログオンしたセッションの ID。
user_samaccountname Windows NT 4.0、Windows 95、Windows 98、および LAN マネージャなど、以前のバージョンの Windows からのクライアントおよびサーバのログオン名。この名前は、Citrix StoreFront にログオンし、リモートのWindowsマシンにもログオンするために使用されます。
app ユーザーがアクセスするアプリケーションの名前。
cnt 過去 12 時間内にアプリケーションにアクセスされた回数。

ユーザリスクスコアスキーマ


{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}

<!--NeedCopy-->

ユーザーリスクスコアのフィールドの説明。

フィールド名 説明
cur_riskscore ユーザーに割り当てられている現在のリスクスコア。リスクスコアは、ユーザーのアクティビティに関連する脅威の重要度に応じて、0 ~ 100 の範囲で変化します。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのリスクスコアです。
last_update_timestamp ユーザーのリスクスコアが最後に更新された時刻。
timestamp ユーザーリスクスコアイベントが収集され、SIEM サービスに送信される時刻。このイベントは 12 時間ごとにSIEMサービスに送信されます。

リスクスコア変更スキーマ

サンプル 1:


{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}

<!--NeedCopy-->

サンプル 2:


{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}

<!--NeedCopy-->

リスクスコア変更のフィールドの説明。

フィールド名 説明
alert_message リスクスコアの変更に対して表示されるメッセージ。
alert_type アラートがリスクスコアの増加またはリスクスコアの割合の大幅な低下を示すかどうかを示します。ユーザーのリスクスコアの変更が 3 以上で、この変更が任意の割合で増加するか 10% を超えると、データはSIEMサービスに送信されます。
alert_value リスクスコアの変更に割り当てられる数値。リスクスコアの変更は、ユーザーの現在のリスクスコアと以前のリスクスコアの差です。アラートの値は -100 から 100 まで変化します。
cur_riskscore ユーザーに割り当てられている現在のリスクスコア。リスクスコアは、ユーザーのアクティビティに関連する脅威の重要度に応じて、0 ~ 100 の範囲で変化します。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのリスクスコアの変化です。
timestamp ユーザーのリスクスコアの最新の変化が検出された日時。

リスク指標スキーマ

リスク指標スキーマは、指標サマリースキーマと指標イベント詳細スキーマの 2 つの部分で構成されています。リスク指標に基づいて、スキーマのフィールドとその値がそれに応じて変化します。

次の表に、すべてのインディケータサマリースキーマに共通するフィールド名を示します。

フィールド名 説明
data source Citrix Analytics のセキュリティにデータを送信する製品。例:Citrix Secure Private Access、Citrix Gateway、およびCitrixアプリとデスクトップ。
data_source_id データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix アプリケーションおよびデスクトップ、ID 4 = Citrix Secure Private Access
entity_type リスクにさらされているエンティティ。ユーザーまたは共有リンクを使用できます。
entity_id リスクのあるエンティティに関連付けられている ID。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標の要約です。
indicator_category リスク指標のカテゴリを示します。リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データの漏えい、またはインサイダー脅威などのリスクカテゴリに分類されます。
indicator_id リスク指標に関連付けられている一意の ID。
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
indicator_name リスク指標の名前。カスタムリスク指標の場合、この名前は指標の作成時に定義されます。
indicator_type リスク指標がデフォルト(組み込み)かカスタムかを示します。
indicator_uuid リスク指標インスタンスに関連付けられている一意の ID。
indicator_vector_name リスク指標に関連付けられているリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。
indicator_vector_id リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できない
occurrence_details リスク指標のトリガー条件に関する詳細。
risk_probability ユーザーイベントに関連するリスクの可能性を示します。値は 0 から 1.0 まで変化します。カスタムリスク指標の場合、risk_probablabity はポリシーベースの指標であるため、常に 1.0 になります。
severity リスクの重大度を示します。低、中、高のいずれかになります。
tenant_id 顧客の一意のアイデンティティ。
timestamp リスク指標がトリガーされる日付と時刻。
ui_link Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。

次の表では、すべてのインジケータイベントの詳細スキーマに共通するフィールド名を示します。

フィールド名 説明
data_source_id データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix アプリケーションおよびデスクトップ、ID 4 = Citrix Secure Private Access
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクにさらされているエンティティ。ユーザーリンクでも共有リンクでもかまいません。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標イベントの詳細です。
indicator_id リスク指標に関連付けられている一意の ID。
indicator_uuid リスク指標インスタンスに関連付けられている一意の ID。
indicator_vector_name リスク指標に関連付けられているリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。
indicator_vector_id リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できない
tenant_id 顧客の一意のアイデンティティ。
timestamp リスク指標がトリガーされる日付と時刻。
version 処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。
client_ip ユーザーのデバイスの IP アドレス。

  • 整数データ型のフィールド値が使用できない場合、割り当てられる値は -999です。たとえば、"latitude": -999"longitude": -999

  • 文字列データ型のフィールド値が使用できない場合、割り当てられる値は NAになります。たとえば、"city": "NA""region": "NA"

Citrix Secure Private Access リスク指標スキーマ

ブラックリストに登録された URL リスクインジケータスキーマにアクセスしようとしました

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:58Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Attempt to access blacklisted URL",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:44:59Z",
    "risky_domain_category_list": [
      "YouTube"
    ],
    "relevant_event_type": "Blacklisted External Resource Access"
  }

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:57:21Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "googleads.g.doubleclick.net",
  "domain_category": "Advertisements/Banners",
  "domain_category_group": "Computing and Internet",
  "executed_action": "blocked",
  "reason_for_action": "URL Category match",
  "domain_reputation": 3,
  "client_ip": "157.xx.xxx.xxx"
}

<!--NeedCopy-->

次の表に、ブラックリストに登録された URL にアクセスする試行のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
risky_domain_category_list Citrix Secure Private Access で使用できるカテゴリ情報。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
domain_category Citrix Secure Private Access で使用できるドメインカテゴリ。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
domain_category_group Citrix Secure Private Accessで使用できるドメインカテゴリグループ。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
executed_action ブラックリストに登録された URL に適用されるアクション。アクションには、[許可]、[ブロック] が含まれます。
reason_for_action URL のアクションを適用する理由。
domain_reputation ブラックリストに登録された URL のレピュテーションインデックス。

危険な Web サイトアクセスリスク指標スキーマ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 400,
  "indicator_uuid": "26cc7ddf-101a-5776-b5de-df501189e8cd",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.075,
  "indicator_category": "Insider threats",
  "indicator_name": "Risky website access",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:45:00Z",
    "risky_domain_category_list": [
      "Advertisements/Banners",
      "Streaming Media"
    ],
    "relevant_event_type": "Risky External Resource Access"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 400,
  "indicator_uuid": "26cc7ddf-101a-5776-b5de-df501189e8cd",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:50:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "abc.googlevideo.com",
  "domain_category": "Streaming Media",
  "domain_category_group": "News/Entertainment/Society",
  "domain_reputation": 3,
  "client_ip": "157.xx.xxx.xxx",
  "transaction_count": 2
}

<!--NeedCopy-->

次の表では、Risky Web サイトアクセスのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
risky_domain_category_list Citrix Secure Private Access で使用できるカテゴリ情報。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
domain_name ユーザーがアクセスするドメインの名前。
domain_category Citrix Secure Private Access で使用できるカテゴリ情報。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
domain_category_group Citrix Secure Private Accessで使用できるドメインカテゴリグループ。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
domain_reputation 危険なドメインのレピュテーションインデックス。
transaction_count ユーザーがその日中にドメインにアクセスする回数。

過剰なデータダウンロードリスク指標スキーマ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive data download",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "domain_category": "Facebook",
  "domain_category_group": "Social Networking",
  "client_ip": "157.xx.xxx.xxx",
  "downloaded_bytes": 24000
}

<!--NeedCopy-->

次の表では、過剰なデータダウンロードのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
data_volume_in_bytes ダウンロードされるデータの量 (バイト単位)。
relevant_event_type ユーザーイベントのタイプを示します。
domain_name データのダウンロード元のドメインの名前。
domain_category Citrix Secure Private Access で使用できるカテゴリ情報。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
domain_category_group Citrix Secure Private Accessで使用できるドメインカテゴリグループ。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
downloaded_bytes ダウンロードされるデータの量 (バイト単位)。

異常なアップロードボリュームリスク指標スキーマ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Unusual upload volume",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "domain_category": "Facebook",
  "domain_category_group": "Social Networking",
  "client_ip": "157.xx.xxx.xxx",
  "uploaded_bytes": 24000
}

<!--NeedCopy-->

次の表では、異常なアップロードボリュームのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
data_volume_in_bytes アップロードされるデータの量 (バイト単位)。
relevant_event_type ユーザーイベントのタイプを示します。
domain_name データがアップロードされるドメインの名前。
domain_category Citrix Secure Private Access で使用できるカテゴリ情報。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
domain_category_group Citrix Secure Private Accessで使用できるドメインカテゴリグループ。詳しくは、「 Citrix Secure Private Access で使用可能なカテゴリの一覧」を参照してください。
uploaded_bytes アップロードされるデータの量 (バイト単位)。

Citrix Content Collaboration のリスク指標スキーマ

機密ファイルへの過剰なアクセス (DLP アラート)

インジケータサマリースキーマ

{
  
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_name": "Excessive access to sensitive files (DLP alert)",
  "indicator_category": "Data exfiltration",
  "risk_probability": 1.0,
  "version": 2,
  "severity": "low",
  "indicator_type": "builtin",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "event_count": 1,
    "observation_start_time": "2021-03-22T09:31:11Z"
    },
  "event_type": "indicatorSummary",
  "cas_consumer_debug_details": {"partition": 1, "offset":179528, "enqueued_timestamp": 1616406412459}
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  
  "tenant_id": "demo_tenant",
  "version": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": 3,
  "indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
  "timestamp": "2021-03-22T09:46:11Z",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "client_ip": "210.91.xx.xxx",
  "file_name": "filename.xls",
  "file_size_in_bytes": 178690,
  "event_type": "indicatorEventDetails",
}
<!--NeedCopy-->

次の表では、機密ファイルへの過剰なアクセス(DLP アラート)のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
relevant_event_type ダウンロードなどのイベントのタイプ。
event_count 検出されたダウンロードイベントの数。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
file_name ダウンロードしたファイルの名前。
file_size_in_bytes ダウンロードされたファイルのサイズ (バイト単位)。

ファイルやフォルダの過度な削除リスクインジケータのスキーマ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "28c4bbab-f3ad-5886-81cd-26fef200d9d7",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T11:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file / folder deletion",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "cumulative_event_count_day": 11,
    "relevant_event_type": "File and/or Folder Delete",
    "observation_start_time": "2017-12-18T11:00:00Z"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 5,
  "indicator_uuid": "be9af43f-29d2-51cd-81d6-c1d48b392bbb",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2017-12-18T01:45:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "210.91.xx.xxx",
  "version": 2,
  "resource_type": "File",
  "resource_name": "Filename21",
  "component_name": "Platform"
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

次の表では、サマリスキーマに固有のフィールド名と、ファイルまたはフォルダの過剰削除に関するイベント詳細スキーマについて説明します。

フィールド名 説明
cumulative_event_count_day 当日の一意のファイルまたはフォルダの削除イベントの数。
relevant_event_type ファイルやフォルダの削除などのイベントの種類を示します。
resource_type リソースがファイルかフォルダかを示します。
resource_name リソースの名前。
component_name ShareFile コンポーネント (プラットフォームまたはコネクタ) を示します。ユーザーがShareFile管理クラウドストレージからファイルを削除すると、コンポーネントは「Platform」として表示されます。ユーザーがストレージゾーンからファイルを削除すると、コンポーネントが「Connector」として表示されます。
connector_type 使用されるストレージゾーンコネクタのタイプ。
city ユーザーがログオンした市区町村。
country ユーザーがログオンした国。
region ユーザーがログオンしたリージョン。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。

過剰なファイル共有リスク指標スキーマ

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "3d421659-ef4d-5434-94b8-90f792e81989",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T06:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.19621421,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file sharing",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-03T06:00:00Z",
    "relevant_event_type": "Share Create and/or Send",
    "cumulative_event_count_day": 15
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 6,
  "indicator_uuid": "c5ea0b26-ce4c-55ad-b8ba-d562f128a2fb",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-03T02:22:04Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_tenant",
  "version": 2,
  "share_id": "share110",
  "operation_name": "Create",
  "tool_name": "SFWebApp",
  "component_name": "Platform",
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

次の表では、過剰なファイル共有のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
cumulative_event_count_day 日中に共有される一意のファイルの数。
relevant_event_type 共有リンクなどのイベントのタイプを示します。
share_id 共有リンクに関連付けられている ID。
operation_name 共有リンクの作成、共有リンクの削除などのユーザーアクティビティを示します。
tool_name ファイルを共有するために使用されるツールまたはアプリケーション。
component_name ShareFile コンポーネント (プラットフォームまたはコネクタ) を示します。ユーザーがShareFile管理クラウドストレージからファイルを共有する場合、コンポーネントは「プラットフォーム」として表示されます。ユーザーがストレージゾーンからファイルを共有する場合、コンポーネントは「Connector」として表示されます。
city ユーザーがログオンした市区町村。
country ユーザーがログオンした国。
region ユーザーがログオンしたリージョン。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。

ファイルのアップロードが過剰になるリスクインジケータスキーマ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.64705884,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive file uploads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "tool_name": "tool3",
    "relevant_event_type": "Upload",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 4,
  "indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:37:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "File5.txt",
  "component_name": "Connector",
  "client_ip": "99.xxx.xx.xx",
  "connector_type": "GFIS",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

次の表では、過剰なファイルアップロードのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
tool_name ファイルを共有するために使用されるツールまたはアプリケーション。
relevant_event_type アップロードなどのユーザーイベントのタイプを示します。
file_name アップロードされたファイルの名前。
component_name ShareFile コンポーネント (プラットフォームまたはコネクタ) を示します。ユーザーがShareFile管理クラウドストレージにファイルをアップロードすると、コンポーネントは「Platform」として表示されます。ユーザーがストレージゾーンにファイルをアップロードすると、コンポーネントは「Connector」として表示されます。
connector_type 使用されるストレージゾーンコネクタのタイプ。
city ユーザーがログオンした市区町村。
country ユーザーがログオンした国。
region ユーザーがログオンしたリージョン。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。

あり得ない移動リスクインジケータ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": "13",
  "indicator_uuid": "f6974562-592f-5328-a2ac-adf7122a3qr7",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 0,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "pair_id": 2,
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "tenant_1",
  "indicator_id": "13",
  "indicator_uuid": "f6974562-592f-5328-a2ac-adf7122b8ac7",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 0,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "user1",
  "version": 2,
  "client_ip": "95.xxx.xx.xx",
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "os": "NA",
  "tool_name": "SF_FTP"
}

<!--NeedCopy-->

次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
distance あり得ない移動に関連するイベント間の距離 (km)。
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
tool_name ログオンに使用するツールまたはアプリケーション。
os ユーザーのデバイスのオペレーティングシステム。

異常な認証失敗リスクインジケータスキーマ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "274cedc0-a404-5abe-b95b-317c0209c9e8",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:29:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2018-01-26T00:30:00Z"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 10,
  "indicator_uuid": "e1bf5b91-b0e1-5145-aa5b-7731f31b56ac",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 0,
  "timestamp": "2018-01-26T01:01:01Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "operation_name": "LoginFailure",
  "tool_name": "webapp",
  "client_ip": "128.x.x.x",
  "os": "Android"
}

<!--NeedCopy-->

次の表に、異常な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
relevant_event_type ログオン失敗などのユーザーイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
tool_name ファイルを共有するために使用されるツールまたはアプリケーション。
os ユーザーデバイスのオペレーティングシステム。

マルウェアファイルが検出されたリスク指標

インジケータサマリースキーマ

{
  "data_source": "Citrix Content Collaboration",
  "data_source_id": 0,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Insider threats",
  "indicator_category_id": 2,
  "indicator_id": "12",
  "indicator_name": "Malware file(s) detected",
  "indicator_type": "builtin",
  "indicator_uuid": "549f0dc6-2421-5d21-bafa-6180",
  "indicator_vector":
    {
      "id": 6,
      "name": "File-Based Risk Indicators",
    },
  "occurrence_details":
    {
      "event_count": 2,
      "file_hash": "ce59df8709e882e3f84",
      "observation_start_time": "2021-11-15T16:00:00Z",
      "relevant_event_type": "Malware Infected File Detected",
      "virus_name": " Win.Malware.Generic-9873973-0",
    },
  "risk_probability": 1.0,
  "severity": "high",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-11-15T16:14:59Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "data_source_id": 0,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "file_hash": "ce59df8709e882e3f84",
  "file_name": "test-file.exe",
  "file_path": "/abc@citrix.com/source/repos/test-folder/test-file.exe",
  "folder_name": "test-folder",
  "indicator_category_id": 2,
  "indicator_id": "12",
  "indicator_uuid": "549f0dc6-2421-5d21-bafa-6180",
  "indicator_vector":
    {
      "id": 6,
      "name": "File-Based Risk Indicators",
    },
  "tenant_id": "demo_tenant",
  "timestamp": "2021-11-15T16:01:51Z",
  "version": 2,
  "virus_name": " Win.Malware.Generic-9873973-0"
}

<!--NeedCopy-->

次の表に、検出されたマルウェアファイルのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
ファイルハッシュ 感染したファイルのハッシュ値。
ファイル名 Content Collaboration ユーザによってアップロードされた感染ファイルの名前。
ファイルパス 感染ファイルがアップロードされた Content Collaboration サービス内のフォルダーの絶対パス。
[フォルダ名] 感染ファイルがアップロードされた Content Collaboration サービス内のフォルダーの名前。
関連するイベントタイプ 検出されたマルウェアファイルなどのイベントのタイプ。
ウイルス名 ファイルに感染したウイルスの名前。

ランサムウェアのアクティビティが疑われる(ファイル交換)リスクインジケータ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "0afaa694-59ec-5a44-84df-3afcefad7b50",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files replaced)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-29T10:50:00Z",
    "relevant_event_type": "Delete & Upload"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 8,
  "indicator_uuid": "580f8f03-c02b-5d0f-b707-1a0577ca2fec",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:06Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "client_ip": "99.xxx.xx.xx",
  "operation_name": "Upload",
  "file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

次の表に、サマリスキーマに固有のフィールド名と、ランサムウェアアクティビティの疑い (ファイルの置き換え) のイベント詳細スキーマについて説明します。

フィールド名 説明
relevant_event_type ファイルを削除したり、別のファイルをアップロードしたりするなど、ユーザーイベントの種類を示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
file_name 置換されたファイルの名前。
operation_name アップロードや削除などのユーザーアクティビティ。
file_path 置換されたファイルのパス。

匿名の機密共有リンクのダウンロードリスク指標

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "93a32d22-d14b-5413-94fc-47c44fe7c07f",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "62795698",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Anonymous sensitive share link download",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-01-27T12:00:00Z",
    "relevant_event_type": "Download"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 50,
  "indicator_uuid": "11562a63-9761-55b8-8966-3ac81bc1d043",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-27T12:02:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "46268753",
  "version": 2,
  "file_name": "file1.mp4",
  "file_size_in_bytes": 278,
  "city": "Miami",
  "country": "USA",
  "client_ip": "166.xxx.xxx.xxx",
  "device_type": "iPhone X"
}

<!--NeedCopy-->

次の表に、匿名の機密共有リンクのダウンロードのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
relevant_event_type ファイルを削除したり、別のファイルをアップロードしたりするなど、ユーザーイベントの種類を示します。
file_name ダウンロードされる機密ファイルの名前。
file_size_in_bytes ダウンロードされるファイルサイズ (バイト単位)。
city ユーザーアクティビティが検出された市区町村。
country ユーザーアクティビティが検出された国。
device_type ファイルのダウンロードに使用されるデバイスのタイプ。

過剰な共有リンクのダウンロードリスク指標

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive share link downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/share-timeline/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download",
    "lifetime_users_downloaded": 6,
    "observation_start_time": "2018-01-27T19:00:00Z",
    "lifetime_download_volume_in_bytes": 2718,
    "lifetime_download_count": 6,
    "link_first_downloaded": "2018-01-27T11:12:00Z"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 51,
  "indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "NA",
    "id": 999 },
  "data_source_id": 0,
  "timestamp": "2018-01-28T18:47:50Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "share",
  "entity_id": "29510000",
  "version": 2,
  "file_name": "anom20.jep",
  "file_size_in_bytes": 106,
  "client_ip": "99.xxx.xx.xx",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74,
  "user_email": "new-user61@citrix.com",
  "lifetime_unique_user_emails": "new-user62@citrix.com user6e@citrix.com user6f@citrix.com new-user63@citrix.com new-user64@citrix.com new-user61@citrix.com",
  "lifetime_unique_user_count": 6,
  "lifetime_num_times_downloaded": 6,
  "lifetime_total_download_size_in_bytes": 2718,
  "lifetime_first_event_time": "2018-01-27T11:12:00Z"
}

<!--NeedCopy-->

次の表に、共有リンクダウンロードのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
relevant_event_type 共有リンクの過剰なダウンロードなど、イベントの種類を示します。
lifetime_users_downloaded リンクの作成後に共有リンクをダウンロードしたユーザーの総数を示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
lifetime_download_volume_in_bytes 共有リンクが作成されてからのダウンロードの総量をバイト単位で示します。
lifetime_download_count 共有リンクが作成されてからのダウンロードの総数を示します。
link_first_downloaded 共有リンクが最初にダウンロードされた日付と時刻を示します。
file_name リンクを介して共有されるファイル名を示します。
file_size_in_bytes 共有ファイルのサイズを示します。
user_email 共有リンクからファイルを過度にダウンロードした現在のユーザーの電子メール ID を示します。
lifetime_unique_user_emails リンクの作成後にファイルをダウンロードした現在のユーザーを含む、すべてのユーザーの電子メール ID を示します。
lifetime_unique_user_count リンクの作成後にファイルをダウンロードしたユニークユーザーの総数を示します。
lifetime_num_times_downloaded リンクが作成されてからファイルがダウンロードされた合計回数を示します。
lifetime_total_download_size_in_bytes リンクが作成されてからダウンロードされた合計ファイルサイズを示します。
lifetime_first_event_time リンクが作成されてからの最初のダウンロードイベントの日時を示します。
city ユーザーがログオンした市区町村。
country ユーザーがログオンした国。
region ユーザーがログオンしたリージョン。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。

過剰なファイルのダウンロードのリスクインジケータ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Excessive file downloads",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "exfiltrated_data_volume_in_bytes": 24000,
    "relevant_event_type": "Download",
    "observation_start_time": "2018-01-02T10:00:00Z"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 0,
  "indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": "0",
  "timestamp": "2018-01-02T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "client_ip": "99.xxx.xx.xx",
  "version": 2,
  "file_name": "File1.txt",
  "file_size_in_bytes": 24000,
  "component_name": "Platform",
  "connector_type": "NA",
  "city": "some_city",
  "country": "some_country",
  "region": "some_region",
  "latitude": 12.29,
  "longitude": -34.74
}

<!--NeedCopy-->

次の表では、過剰なファイルのダウンロードのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
exfiltrated_data_volume_in_bytes ダウンロードされるデータの量 (バイト単位)。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
file_name ダウンロードされるファイルの名前。
file_size_in_bytes ダウンロードされるファイルサイズ (バイト単位)。
component_name ShareFile コンポーネント (プラットフォームまたはコネクタ) を示します。ユーザーがShareFile管理クラウドストレージからファイルをダウンロードすると、コンポーネントは「プラットフォーム」として表示されます。ユーザーがストレージゾーンからファイルをダウンロードすると、コンポーネントは「Connector」として表示されます。
city ユーザーがログオンした市区町村。
country ユーザーがログオンした国。
region ユーザーがログオンしたリージョン。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。

ランサムウェアアクティビティが疑われる(ファイルが更新された)リスク指標

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "f21ef9c8-c379-5a96-ae90-e750d31a728c",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:04:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Ransomware activity suspected (files updated)",
  "severity": "high",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Update/Upload",
    "observation_start_time": "2018-01-29T10:50:00Z"
  }
}

<!--NeedCopy-->

インジケータイベントの詳細


{
  "tenant_id": "demo_tenant",
  "indicator_id": 9,
  "indicator_uuid": "0509e432-527e-5c84-abb4-f397f2a5e02b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "File-Based Risk Indicators",
    "id": 6 },
  "data_source_id": 0,
  "timestamp": "2018-01-29T11:00:05Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "file_name": "file1",
  "operation_name": "Update",
  "stream_id": "someid37",
  "client_ip": "11.xx.xx.xx",
  "file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

次の表では、サマリスキーマに固有のフィールド名と、ランサムウェアアクティビティの疑い(ファイルが更新された)イベント詳細スキーマについて説明します。

フィールド名 説明
relevant_event_type ファイルの更新やアップロードなどのユーザーイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
file_name 更新されたファイルの名前。
operation_name アップロード、更新、削除などのユーザーアクティビティ。
file_path ユーザーによって更新されるファイルのパス。
stream_id アイテムストリームの ID。アイテムは、ファイルシステムオブジェクトの単一バージョンを表します。ストリームは、同じファイルシステムオブジェクトのすべてのバージョンを識別します。たとえば、ユーザーが既存のファイルをアップロードまたは変更すると、同じストリーム ID で新しいアイテムが作成されます。

不審なログオンリスク指標

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": "11",
  "indicator_uuid": "42aac530-b589-5338-8cbe-3a940921fce6",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 0,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.71,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Content Collaboration",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2020-06-06T12:00:00Z",
    "relevant_event_type": "Logon",
    "event_count": 1,
    "historical_observation_period_in_days": 30,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
    "user_location_risk": 75,
    "device_id": "",
    "os": "Windows 10",
    "tool_name": "SFWebApp",
    "user_device_risk": 0,
    "client_ip": "99.xxx.xx.xx",
    "webroot_threat_categories": "Phishing",
    "user_network_risk": 75,
    "suspicious_network_risk": 89
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": "11",
  "indicator_uuid": "42aac530-b589-5338-8cbe-3a940921fce6",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 0,
  "timestamp": "2020-06-06T12:08:40Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "region": "Florida",
  "city": "Miami",
  "latitude": 25.7617,
  "longitude": -80.1918,
  "tool_name": "SFWebApp",
  "os": "Windows 10",
  "device_id": "NA",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
occurrence_event_type アカウントログオンなどのユーザーイベントタイプを示します。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
tool_name ログオンに使用するツールまたはアプリケーション。
os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用するデバイスの名前。
user_location_risk ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_device_risk ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_network_risk ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
suspicious_network_risk Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100
webroot_threat_categories Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。

Citrix Endpoint Management のリスク指標スキーマ

ジェイルブレイクまたはルートデバイス検出インジケータースキーマ

インジケータサマリースキーマ


{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 200,
  "indicator_name": "Jailbroken / Rooted Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:05Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "indicator_id": 200,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:35Z",
  "version": 2
}

<!--NeedCopy-->

ブラックリストに登録されたアプリが検出されたデバイス

インジケータサマリースキーマ

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 201,
  "indicator_name": "Device with Blacklisted Apps Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:23Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "indicator_id": 201,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:39Z",
  "version": 2
}

<!--NeedCopy-->

管理対象外のデバイスが検出されました

インジケータサマリースキーマ

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 203,
  "indicator_name": "Unmanaged Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T12:56:30Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "indicator_id": 203,
  "client_ip": "127.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T18:41:30Z",
  "version": 2
}

<!--NeedCopy-->

Citrix Gateway リスク指標スキー

EPA スキャン失敗リスク指標スキーマ

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "EPA scan failure",
  "severity": "low",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "event_description": "Post auth failed, no quarantine",
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "EPA Scan Failure at Logon"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:12:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Post auth failed, no quarantine",
  "gateway_domain_name": "10.102.xx.xx",
  "gateway_ip": "56.xx.xxx.xx",
  "policy_name": "postauth_act_1",
  "client_ip": "210.91.xx.xxx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "cs_vserver_name": "demo_vserver",
  "device_os": "Windows OS",
  "security_expression": "CLIENT.OS(Win12) EXISTS",
  "vpn_vserver_name": "demo_vpn_vserver",
  "vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->

次の表に、EPA スキャン障害リスクインジケータのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
event_description ポスト認証が失敗し、検疫グループがないなど、EPA スキャンが失敗した理由について説明します。
relevant_event_type EPA スキャン失敗イベントのタイプを示します。
gateway_domain_name Citrix Gateway のドメイン名。
gateway_ip Citrix Gateway のIPアドレス。
policy_name Citrix Gateway で構成されたEPAスキャンポリシー名。
country ユーザーアクティビティが検出された国。
city ユーザーアクティビティが検出された市区町村。
region ユーザーアクティビティが検出されたリージョン。
cs_vserver_name コンテンツスイッチ仮想サーバの名前。
device_os ユーザーのデバイスのオペレーティングシステム。
security_expression Citrix Gateway で構成されたセキュリティ式。
vpn_vserver_name Citrix Gateway 仮想サーバーの名前。
vserver_fqdn Citrix Gateway 仮想サーバーの FQDN。

過剰な認証失敗リスクインジケータスキーマ

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Excessive authentication failures",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "Logon Failure"
  }
}
<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:10:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo-user",
  "version": 2,
  "event_description": "Bad (format) password passed to nsaaad",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "auth_server_ip": "10.xxx.x.xx",
  "client_ip": "24.xxx.xxx.xx",
  "gateway_ip": "24.xxx.xxx.xx",
  "vserver_fqdn": "demo-fqdn.citrix.com",
  "vpn_vserver_name": "demo_vpn_vserver",
  "cs_vserver_name": "demo_cs_vserver",
  "gateway_domain_name": "xyz",
  "country": "United States",
  "region": "California",
  "city": "San Jose",
  "nth_failure": 5
}

<!--NeedCopy-->

次の表では、過剰な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
relevant_event_type ログオン失敗などのイベントのタイプを示します。
event_description 誤ったパスワードなど、過剰な認証失敗イベントの理由について説明します。
authentication_stage 認証ステージがプライマリ、セカンダリ、ターシャリのどちらであるかを示します。
authentication_type LDAP、ローカル、OAuth などの認証のタイプを示します。
auth_server_ip 認証サーバの IP アドレス。
gateway_domain_name Citrix Gateway のドメイン名。
gateway_ip Citrix Gateway のIPアドレス。
cs_vserver_name コンテンツスイッチ仮想サーバの名前。
vpn_vserver_name Citrix Gateway 仮想サーバーの名前。
vserver_fqdn Citrix Gateway 仮想サーバーの FQDN。
nth_failure ユーザー認証が失敗した回数。
country ユーザーアクティビティが検出された国。
city ユーザーアクティビティが検出された市区町村。
region ユーザーアクティビティが検出されたリージョン。

あり得ない移動リスクインジケータ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": "111",
  "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": "111",
  "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 1,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "client_ip": "95.xxx.xx.xx",
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "device_os": "Linux OS",
  "device_browser": "Chrome 62.0.3202.94"
}

<!--NeedCopy-->

次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
distance あり得ない移動に関連するイベント間の距離 (km)。
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
device_browser ユーザーが使用する Web ブラウザ。
device_os ユーザーのデバイスのオペレーティングシステム。

疑わしい IP リスク指標スキーマからログオン

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.91,
  "indicator_category": "Compromised users",
  "indicator_name": "Logon from suspicious IP",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon",
    "client_ip": "1.0.xxx.xx",
    "observation_start_time": "2019-10-10T10:00:00Z",
    "suspicion_reasons": "brute_force|external_threat"
  }
}
<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:11:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "suspicion_reasons": "external_threat",
  "gateway_ip": "gIP1",
  "client_ip": "128.0.xxx.xxx",
  "country": "Sweden",
  "city": "Stockholm",
  "region": "Stockholm",
  "webroot_reputation": 14,
  "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
  "device_os": "Windows OS",
  "device_browser": "Chrome"
}

<!--NeedCopy-->

次の表では、不審な IP からのログインのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
suspicious_reasons IP アドレスが疑わしいと識別される理由。
webroot_reputation 脅威インテリジェンスプロバイダ Webroot によって提供される IP レピュテーションインデックス。
webroot_threat_categories 脅威インテリジェンスプロバイダ Webroot によって疑わしい IP で識別される脅威カテゴリ。
device_os ユーザーデバイスのオペレーティングシステム。
device_browser 使用した Web ブラウザ。
country ユーザーアクティビティが検出された国。
city ユーザーアクティビティが検出された市区町村。
region ユーザーアクティビティが検出されたリージョン。

異常な認証失敗リスクインジケータスキーマ

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:44:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2020-04-01T05:45:00Z"
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:42:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Success",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "client_ip": "99.xxx.xx.xx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "is_risky": "false"
}

<!--NeedCopy-->

次の表に、異常な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
relevant_event_type ログオン失敗などのイベントのタイプを示します。
event_description ログオンが成功したか失敗したかを示します
authentication_stage 認証ステージがプライマリ、セカンダリ、ターシャリのどちらであるかを示します。
authentication_type LDAP、ローカル、OAuth などの認証のタイプを示します。
is_risky ログオンが成功した場合、is_risky の値は false になります。ログオンに失敗した場合、is_risky の値は true になります。
device_os ユーザーデバイスのオペレーティングシステム。
device_browser ユーザーが使用する Web ブラウザ。
country ユーザーアクティビティが検出された国。
city ユーザーアクティビティが検出された市区町村。
region ユーザーアクティビティが検出されたリージョン。

不審なログオンリスク指標

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": "110",
  "indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.71,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2020-06-06T12:00:00Z",
    "relevant_event_type": "Logon",
    "event_count": 1,
    "historical_observation_period_in_days": 30,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
    "user_location_risk": 75,
    "device_id": "",
    "device_os": "Windows OS",
    "device_browser": "Chrome",
    "user_device_risk": 0,
    "client_ip": "99.xxx.xx.xx",
    "user_network_risk": 75,
    "webroot_threat_categories": "Phishing",
    "suspicious_network_risk": 89
  }
}


<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": "110",
  "indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:08:40Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "region": "Florida",
  "city": "Miami",
  "latitude": 25.7617,
  "longitude": -80.1918,
  "device_browser": "Chrome",
  "device_os": "Windows OS",
  "device_id": "NA",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
occurrence_event_type アカウントログオンなどのユーザーイベントタイプを示します。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
device_browser ユーザーが使用する Web ブラウザ。
device_os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用するデバイスの名前。
user_location_risk ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_device_risk ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_network_risk ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
suspicious_network_risk Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100
webroot_threat_categories Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。

Citrix DaaS とCitrix Virtual Apps and Desktopsのリスク指標スキーマ

あり得ない移動リスクインジケータ

インジケータサマリースキーマ

{
  "tenant_id": "demo_tenant",
  "indicator_id": "313",
  "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": "313",
  "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 3,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "client_ip": "95.xxx.xx.xx",
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "device_id": "device1",
  "receiver_type": "XA.Receiver.Linux",
  "os": "Linux OS",
  "browser": "Chrome 62.0.3202.94"
}

<!--NeedCopy-->

次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
distance あり得ない移動に関連するイベント間の距離 (km)。
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
browser ユーザーが使用する Web ブラウザ。
os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用するデバイスの名前。
receiver_type ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver タイプ。

潜在的なデータ漏洩リスク指標

インジケータサマリースキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Potential data exfiltration",
  "severity": "low",
  "data_source": "Citrix Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download/Print/Copy",
    "observation_start_time": "2018-04-02T10:00:00Z",
    "exfil_data_volume_in_bytes": 1172000
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ


{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:57:36Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "App.SaaS.Clipboard",
  "file_size_in_bytes": 98000,
  "file_type": "text",
  "device_id": "dvc5",
  "receiver_type": "XA.Receiver.Windows",
  "app_url": "https://www.citrix.com",
  "client_ip": "10.xxx.xx.xxx",
  "entity_time_zone": "Pacific Standard Time"
}

<!--NeedCopy-->

次の表では、潜在的なデータ漏出のサマリースキーマおよびイベント詳細スキーマに固有のフィールドについて説明します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
relevant_event_type データのダウンロード、印刷、コピーなどのユーザーアクティビティを示します。
exfil_data_volume_in_bytes データの流出量。
occurrence_event_type SaaS アプリでのクリップボード操作など、データの流出がどのように発生したかを示します。
file_size_in_bytes ファイルのサイズ。
file_type ファイルのタイプ。
device_id ユーザーデバイスの ID。
receiver_type ユーザーデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiverです。
app_url ユーザーがアクセスするアプリケーションの URL。
entity_time_zone ユーザーのタイムゾーン。

疑わしいログオンリスク指標スキーマ

インジケータサマリースキーマ

{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "risk_probability": 0.78,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details":
  {
    "user_location_risk": 0,
    "city": "Some_city",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "event_count": 1,
    "user_device_risk": 75,
    "country": "United States",
    "device_id": "device2",
    "region": "Some_Region",
    "client_ip": "99.xx.xx.xx",
    "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
    "historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
    "relevant_event_type": "Logon",
    "user_network_risk": 100,
    "historical_observation_period_in_days": 30,
    "suspicious_network_risk": 0
  }
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06 12:02:30",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "Some_city",
  "country": "United States",
  "region": "Some_Region",
  "latitude": 37.751,
  "longitude": -97.822,
  "browser": "Firefox 1.3",
  "os": "Windows OS",
  "device_id": "device2",
  "receiver_type": "XA.Receiver.Chrome",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
historical_logon_locations ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。
historical_observation_period_in_days 各場所は 30 日間監視されます。
relevant_event_type ログオンなどのイベントのタイプを示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。
occurrence_event_type アカウントログオンなどのユーザーイベントタイプを示します。
country ユーザーがログオンした国。
city ユーザーがログオンした市区町村。
region ユーザーがログオンしたリージョンを示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
browser ユーザーが使用する Web ブラウザ。
os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用するデバイスの名前。
receiver_type ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver タイプ。
user_location_risk ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_device_risk ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
user_network_risk ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100
suspicious_network_risk Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100
webroot_threat_categories Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。

Microsoft Active Directory インジケータ

インジケータサマリースキーマ

{
  "data_source": "Microsoft Graph Security",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_id": 1000,
  "indicator_name": "MS Active Directory Indicator",
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_type": "builtin",
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "ui_link": "https://analytics-daily.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

インジケータイベント詳細スキーマ

{
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_id": 1000,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "version": 2
}

<!--NeedCopy-->

カスタムリスク指標スキーマ

次のセクションでは、カスタムリスク指標のスキーマについて説明します。

現在、Citrix Analytics は、Citrix DaaSおよびCitrix Virtual Apps and Desktopsのカスタムリスク指標に関連するデータをSIEMサービスに送信します。

次の表に、カスタムリスク指標サマリスキーマのフィールド名を示します。

フィールド名 説明
data source Citrix Analytics のセキュリティにデータを送信する製品。例:Citrix Secure Private Access、Citrix Gateway、およびCitrixアプリとデスクトップ。
data_source_id データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix アプリケーションおよびデスクトップ、ID 4 = Citrix Secure Private Access
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクにさらされているエンティティ。この場合、エンティティはユーザーです。
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標の要約です。
indicator_category リスク指標のカテゴリを示します。リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データの漏えい、またはインサイダー脅威などのリスクカテゴリに分類されます。
indicator_id リスク指標に関連付けられている一意の ID。
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
indicator_name リスク指標の名前。カスタムリスク指標の場合、この名前は指標の作成時に定義されます。
indicator_type リスク指標がデフォルト(組み込み)かカスタムかを示します。
indicator_uuid リスク指標インスタンスに関連付けられている一意の ID。
occurrence_details リスク指標のトリガー条件に関する詳細。
pre_configured カスタムリスク指標が事前構成されているかどうかを示します。
risk_probability ユーザーイベントに関連するリスクの可能性を示します。値は 0 から 1.0 まで変化します。カスタムリスク指標の場合、risk_probablabity はポリシーベースの指標であるため、常に 1.0 になります。
severity リスクの重大度を示します。低、中、高のいずれかになります。
tenant_id 顧客の一意のアイデンティティ。
timestamp リスク指標がトリガーされる日付と時刻。
ui_link Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。
version 処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。

次の表に、カスタムリスク指標イベント詳細スキーマで共通のフィールド名を示します。

フィールド名 説明
data_source_id データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix アプリケーションおよびデスクトップ、ID 4 = Citrix Secure Private Access
indicator_category_id リスク指標カテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
event_type SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標イベントの詳細です。
tenant_id 顧客の一意のアイデンティティ。
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクにさらされているエンティティ。この場合は、ユーザーです。
indicator_id リスク指標に関連付けられている一意の ID。
indicator_uuid リスク指標インスタンスに関連付けられている一意の ID。
timestamp リスク指標がトリガーされる日付と時刻。
version 処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。
event_id ユーザーイベントに関連付けられた ID。
occurrence_event_type セッションログオン、セッション起動、アカウントログオンなど、ユーザーイベントの種類を示します。
product Windows向けCitrix Workspace アプリなど、Citrix Workspace アプリの種類を示します。
client_ip ユーザーのデバイスの IP アドレス。
session_user_name Citrix Apps and Desktopsセッションに関連付けられたユーザー名。
city ユーザーアクティビティが検出された都市の名前。
country ユーザーアクティビティが検出された国の名前。
device_id ユーザーが使用するデバイスの名前。
os_name ユーザーのデバイスにインストールされているオペレーティングシステム。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。
os_version ユーザーのデバイスにインストールされているオペレーティングシステムのバージョン。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。
os_extra_info ユーザーのデバイスにインストールされているオペレーティングシステムに関連する追加情報。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。

Citrix DaaS およびCitrix Virtual Apps and Desktopsのカスタムリスクインジケータ

インジケータサマリースキーマ


{
  "data_source": " Citrix Apps and Desktops",
  "data_source_id": 3,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_category_id": 3,
  "indicator_id": "ca97a656ab0442b78f3514052d595936",
  "indicator_name": "Demo_user_usage",
  "indicator_type": "custom",
  "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
  "occurrence_details": {
    "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
  "pre_configured": "N",
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-02-10T14:47:25Z",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "version": 2
}

<!--NeedCopy-->

セッションログオンイベントのインジケータイベント詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "SYD04-MS1-S102",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

次の表に、セッションログオンイベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。

セッション起動イベントのインジケータイベント詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
}

<!--NeedCopy-->

次の表に、セッション起動イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。

アカウントログオンイベントのインジケータイベント詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Account.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
}

<!--NeedCopy-->

次の表では、アカウントログオンイベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。

セッション終了イベントのインジケータイベント詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

次の表に、セッション終了イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。

アプリ開始イベントのインジケーターイベントの詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.Start",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

次の表に、アプリ開始イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
module_file_path 使用されているアプリケーションのパス。

アプリ終了イベントのインジケータイベント詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

次の表に、アプリ終了イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
app_name 起動されたアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
module_file_path 使用されているアプリケーションのパス。

Indicator イベントの詳細ファイルダウンロードイベントのスキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "File.Download",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "file_download_file_name": "File5.txt",
  "file_download_file_path": "/root/folder1/folder2/folder3",
  "file_size_in_bytes": 278,
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "device_type": "USB"
}

<!--NeedCopy-->

次の表に、ファイルダウンロードイベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
file_download_file_name ダウンロードファイルの名前。
file_download_file_path ファイルがダウンロードされる宛先パス。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
device_type ファイルがダウンロードされるデバイスのタイプを示します。

印刷イベントのインジケータイベント詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Printing",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "printer_name": "Test-printer",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "job_details_size_in_bytes": 454,
  "job_details_filename": "file1.pdf",
  "job_details_format": "PDF"
}

<!--NeedCopy-->

次の表に、印刷イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
printer_name 印刷ジョブに使用されるプリンタの名前。
launch_type アプリケーションまたはデスクトップのいずれかを示します。
domain リクエストを送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
job_details_size_in_bytes ファイルまたはフォルダなどの印刷ジョブのサイズ。
job_details_filename 印刷されるファイルの名前。
job_details_format 印刷ジョブの形式。

アプリの SaaS 起動イベントのインジケータイベント詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

次の表に、アプリの SaaS 起動イベントのイベント詳細スキーマに固有のフィールド名を示します。

フィールド名 説明
launch_type アプリケーションまたはデスクトップのいずれかを示します。

アプリの SaaS 終了イベントのインジケータイベント詳細スキーマ

{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

次の表では、App SaaS 終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
launch_type アプリケーションまたはデスクトップのいずれかを示します。