SIEM用のCitrix Analyticsデータエクスポート形式
Citrix Analytics for Securityでは、セキュリティ情報およびイベント管理(SIEM)サービスと統合できます。この統合により、Citrix Analytics for SecurityはデータをSIEMサービスに送信できるようになり、組織のセキュリティリスク態勢を把握できるようになります。
現在、セキュリティ向けCitrix Analytics を次のSIEMサービスと統合できます。
[ データエクスポート] オプションが [設定]でグローバルに利用できるようになりました。データソースイベントを表示するには、[ 設定] > [データエクスポート] > [データソースイベント] に移動します。
Citrix Analytics for SecurityからSIEMサービスに送信されるリスクインサイトデータには、次の2つのタイプがあります。
- リスクインサイトイベント (デフォルトエクスポート)
-
データソースイベント (オプションのエクスポート)
SIEMのリスクインサイトデータ
アカウントの設定と SIEM の設定が完了すると、デフォルトデータ (リスクインサイトイベント) が SIEM デプロイメントに流れ始めます。リスクインサイトデータには、ユーザーリスクスコア、ユーザープロファイル、およびリスク指標アラートが含まれます。これらは、Citrix Analyticsの機械学習アルゴリズム、ユーザー行動分析によって生成され、ユーザーイベントに基づいて生成されます。
ユーザーのリスクインサイトデータには次のものが含まれます。
- リスクスコアの変更 -ユーザーの現在のリスクスコアと以前のリスクスコアの差。ユーザーのリスクスコアの変更が 3 以上で、この変更が任意の割合で増加するか 10% を超えると、データはSIEMサービスに送信されます。
- リスク指標の概要 -ユーザーに関連付けられているリスク指標の詳細。
- リスク指標イベントの詳細 -リスク指標に関連付けられているユーザーイベントの詳細。Citrix Analytics は、リスク指標の発生ごとに最大1000個のイベント詳細をSIEMサービスに送信します。これらのイベントは、発生の年代順に送信され、最初の 1000 のリスク指標イベントの詳細が送信されます。
- ユーザーリスクスコア — ユーザーの現在のリスクスコア。Citrix Analytics for Securityは、12時間ごとにこのデータをSIEMサービスに送信します。
-
ユーザープロファイル -ユーザープロファイルデータは次のように分類できます。
- ユーザーアプリ -ユーザーが起動して使用したアプリケーション。Citrix Analytics for Securityは、このデータをCitrix Virtual Apps から取得し、12時間ごとにSIEMサービスに送信します。
- ユーザーデータ使用量 — Citrix Content Collaborationを通じてユーザーがアップロードおよびダウンロードしたデータ。Citrix Analytics for Securityは、12時間ごとにこのデータをSIEMサービスに送信します。
- ユーザーデバイス -ユーザーに関連付けられているデバイス。Citrix Analytics for Securityは、Citrix Virtual Apps とCitrix Endpoint Managementからこのデータを取得し、12時間ごとにSIEMサービスに送信します。
- ユーザーの場所 -ユーザーが最後に検出された都市。セキュリティ向け Citrix Analytics は、このデータを Citrix Content Collaboration から取得します。Citrix Analytics for Securityは、この情報を12時間ごとにSIEMサービスに送信します。
表示のみ可能で設定できない場合は、すべてのアクセス権限を持っているわけではなく、アカウントは自動的に無効になります。次の例では、[変更を保存] ボタンは無効になっています。ただし、SIEM環境とリスクインサイトに送信されるデフォルトイベントのセットがあるという詳細な情報を得ることができます。リスクインサイトイベントはデフォルトで有効になっています。
リスクインサイトイベントのスキーマ詳細
次のセクションでは、Citrix Analytics for Securityによって生成される処理されたデータのスキーマについて説明します。
注
次のスキーマサンプルに示すフィールド値は、表現目的のみを目的としています。実際のフィールドの値は、ユーザープロファイル、ユーザーイベント、およびリスク指標によって異なります。
次の表では、すべてのユーザープロファイルデータ、ユーザーリスクスコア、およびリスクスコアの変更について、スキーマ全体で共通するフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
entity_id |
エンティティに関連付けられている ID。この場合、エンティティはユーザーです。 |
entity_type |
リスクにさらされているエンティティ。この場合、エンティティはユーザーです。 |
event_type |
SIEM サービスに送信されるデータのタイプ。たとえば、ユーザーの場所、ユーザーのデータ使用状況、ユーザーのデバイスアクセス情報などです。 |
tenant_id |
顧客の一意のアイデンティティ。 |
timestamp |
最近のユーザーアクティビティの日時。 |
version |
処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。 |
ユーザープロファイルデータスキーマ
ユーザーロケーションスキーマ
{"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2}
<!--NeedCopy-->
ユーザーロケーションのフィールドの説明
| フィールド名 | 説明 |
|---|---|
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのロケーションです。 |
country |
ユーザーがログインした国。 |
city |
ユーザーがログインした市区町村。 |
cnt |
過去 12 時間内にロケーションにアクセスされた回数。 |
ユーザーデータ使用スキーマ
{"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2}
<!--NeedCopy-->
ユーザーデータの使用に関するフィールドの説明
| フィールド名 | 説明 |
|---|---|
data_usage_bytes |
ユーザーが使用するデータの量 (バイト単位)。これは、ユーザーのダウンロードおよびアップロードされたボリュームの集合体です。 |
deleted_file_cnt |
ユーザーが削除したファイルの数。 |
downloaded_bytes |
ユーザーがダウンロードしたデータの量。 |
downloaded_file_count |
ユーザーがダウンロードしたファイルの数。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーの使用プロファイルです。 |
shared_file_count |
ユーザーが共有するファイルの数。 |
uploaded_bytes |
ユーザーがアップロードしたデータの量。 |
uploaded_file_cnt |
ユーザーがアップロードしたファイルの数。 |
ユーザーデバイススキーマ
{"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2}
<!--NeedCopy-->
ユーザーデバイスのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
cnt |
過去 12 時間以内にデバイスにアクセスされた回数。 |
device |
デバイスの名前。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのデバイスアクセス情報です。 |
ユーザーアプリスキーマ
{"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189}
<!--NeedCopy-->
ユーザーアプリのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのデバイスアクセス情報です。 |
session_domain |
ユーザーがログオンしたセッションの ID。 |
user_samaccountname |
Windows NT 4.0、Windows 95、Windows 98、および LAN マネージャなど、以前のバージョンの Windows からのクライアントおよびサーバのログオン名。この名前は、Citrix StoreFront にログオンし、リモートのWindowsマシンにもログオンするために使用されます。 |
app |
ユーザーがアクセスするアプリケーションの名前。 |
cnt |
過去 12 時間内にアプリケーションにアクセスされた回数。 |
ユーザリスクスコアスキーマ
{"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2}
<!--NeedCopy-->
ユーザーリスクスコアのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
cur_riskscore |
ユーザーに割り当てられている現在のリスクスコア。リスクスコアは、ユーザーのアクティビティに関連する脅威の重要度に応じて、0 ~ 100 の範囲で変化します。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのリスクスコアです。 |
last_update_timestamp |
ユーザーのリスクスコアが最後に更新された時刻。 |
timestamp |
ユーザーリスクスコアイベントが収集され、SIEM サービスに送信される時刻。このイベントは 12 時間ごとにSIEMサービスに送信されます。 |
リスクスコア変更スキーマ
サンプル 1:
{"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2}
<!--NeedCopy-->
サンプル 2:
{"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2}
<!--NeedCopy-->
リスクスコア変更のフィールドの説明。
| フィールド名 | 説明 |
|---|---|
alert_message |
リスクスコアの変更に対して表示されるメッセージ。 |
alert_type |
アラートがリスクスコアの増加またはリスクスコアの割合の大幅な低下を示すかどうかを示します。ユーザーのリスクスコアの変更が 3 以上で、この変更が任意の割合で増加するか 10% を超えると、データはSIEMサービスに送信されます。 |
alert_value |
リスクスコアの変更に割り当てられる数値。リスクスコアの変更は、ユーザーの現在のリスクスコアと以前のリスクスコアの差です。アラートの値は -100 から 100 まで変化します。 |
cur_riskscore |
ユーザーに割り当てられている現在のリスクスコア。リスクスコアは、ユーザーのアクティビティに関連する脅威の重要度に応じて、0 ~ 100 の範囲で変化します。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはユーザーのリスクスコアの変化です。 |
timestamp |
ユーザーのリスクスコアの最新の変化が検出された日時。 |
リスク指標スキーマ
リスク指標スキーマは、指標サマリースキーマと指標イベント詳細スキーマの 2 つの部分で構成されています。リスク指標に基づいて、スキーマのフィールドとその値がそれに応じて変化します。
次の表に、すべてのインディケータサマリースキーマに共通するフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
data source |
Citrix Analytics のセキュリティにデータを送信する製品。例:Citrix Secure Private Access、Citrix Gateway、およびCitrixアプリとデスクトップ。 |
data_source_id |
データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix アプリケーションおよびデスクトップ、ID 4 = Citrix Secure Private Access |
entity_type |
リスクにさらされているエンティティ。ユーザーまたは共有リンクを使用できます。 |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標の要約です。 |
indicator_category |
リスク指標のカテゴリを示します。リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データの漏えい、またはインサイダー脅威などのリスクカテゴリに分類されます。 |
indicator_id |
リスク指標に関連付けられている一意の ID。 |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
indicator_name |
リスク指標の名前。カスタムリスク指標の場合、この名前は指標の作成時に定義されます。 |
indicator_type |
リスク指標がデフォルト(組み込み)かカスタムかを示します。 |
indicator_uuid |
リスク指標インスタンスに関連付けられている一意の ID。 |
indicator_vector_name |
リスク指標に関連付けられているリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。 |
indicator_vector_id |
リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できない |
occurrence_details |
リスク指標のトリガー条件に関する詳細。 |
risk_probability |
ユーザーイベントに関連するリスクの可能性を示します。値は 0 から 1.0 まで変化します。カスタムリスク指標の場合、risk_probablabity はポリシーベースの指標であるため、常に 1.0 になります。 |
severity |
リスクの重大度を示します。低、中、高のいずれかになります。 |
tenant_id |
顧客の一意のアイデンティティ。 |
timestamp |
リスク指標がトリガーされる日付と時刻。 |
ui_link |
Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
次の表では、すべてのインジケータイベントの詳細スキーマに共通するフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
data_source_id |
データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix アプリケーションおよびデスクトップ、ID 4 = Citrix Secure Private Access |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。ID 1 = データの漏出し、ID 2 = 内部者の脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクにさらされているエンティティ。ユーザーリンクでも共有リンクでもかまいません。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標イベントの詳細です。 |
indicator_id |
リスク指標に関連付けられている一意の ID。 |
indicator_uuid |
リスク指標インスタンスに関連付けられている一意の ID。 |
indicator_vector_name |
リスク指標に関連付けられているリスクベクトルを示します。リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。 |
indicator_vector_id |
リスクベクトルに関連付けられた ID。ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスクインジケータ、ID 999 = 利用できない |
tenant_id |
顧客の一意のアイデンティティ。 |
timestamp |
リスク指標がトリガーされる日付と時刻。 |
version |
処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。 |
client_ip |
ユーザーのデバイスの IP アドレス。 |
注
整数データ型のフィールド値が使用できない場合、割り当てられる値は -999です。たとえば、
"latitude": -999、"longitude": -999。文字列データ型のフィールド値が使用できない場合、割り当てられる値は NAになります。たとえば、
"city": "NA"、"region": "NA"。
Citrix Secure Private Access リスク指標スキーマ
ブラックリストに登録された URL リスクインジケータスキーマにアクセスしようとしました
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:59:58Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Attempt to access blacklisted URL",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-15T10:44:59Z",
"relevant_event_type": "Blacklisted External Resource Access"
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:57:21Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "googleads.g.doubleclick.net",
"executed_action": "blocked",
"reason_for_action": "URL Category match",
"client_ip": "157.xx.xxx.xxx"
}
<!--NeedCopy-->
次の表に、ブラックリストに登録された URL にアクセスする試行のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
executed_action |
ブラックリストに登録された URL に適用されるアクション。アクションには、[許可]、[ブロック] が含まれます。 |
reason_for_action |
URL のアクションを適用する理由。 |
過剰なデータダウンロードリスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Excessive data download",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"downloaded_bytes": 24000
}
<!--NeedCopy-->
次の表では、過剰なデータダウンロードのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
data_volume_in_bytes |
ダウンロードされるデータの量 (バイト単位)。 |
relevant_event_type |
ユーザーイベントのタイプを示します。 |
domain_name |
データのダウンロード元のドメインの名前。 |
downloaded_bytes |
ダウンロードされるデータの量 (バイト単位)。 |
異常なアップロードボリュームリスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Unusual upload volume",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"uploaded_bytes": 24000
}
<!--NeedCopy-->
次の表では、異常なアップロードボリュームのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
data_volume_in_bytes |
アップロードされるデータの量 (バイト単位)。 |
relevant_event_type |
ユーザーイベントのタイプを示します。 |
domain_name |
データがアップロードされるドメインの名前。 |
uploaded_bytes |
アップロードされるデータの量 (バイト単位)。 |
Citrix Content Collaboration のリスク指標スキーマ
機密ファイルへの過剰なアクセス (DLP アラート)
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": 3,
"indicator_category_id": 1,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
"timestamp": "2021-03-22T09:46:11Z",
"indicator_name": "Excessive access to sensitive files (DLP alert)",
"indicator_category": "Data exfiltration",
"risk_probability": 1.0,
"version": 2,
"severity": "low",
"indicator_type": "builtin",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"occurrence_details": {
"relevant_event_type": "Download",
"event_count": 1,
"observation_start_time": "2021-03-22T09:31:11Z"
},
"event_type": "indicatorSummary",
"cas_consumer_debug_details": {"partition": 1, "offset":179528, "enqueued_timestamp": 1616406412459}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"version": 2,
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": 3,
"indicator_uuid": "3847a1bb-666b-4f25-9aec-2307daf8d56c",
"timestamp": "2021-03-22T09:46:11Z",
"indicator_category_id": 1,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"client_ip": "210.91.xx.xxx",
"file_name": "filename.xls",
"file_size_in_bytes": 178690,
"event_type": "indicatorEventDetails",
}
<!--NeedCopy-->
次の表では、機密ファイルへの過剰なアクセス(DLP アラート)のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ダウンロードなどのイベントのタイプ。 |
event_count |
検出されたダウンロードイベントの数。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
file_name |
ダウンロードしたファイルの名前。 |
file_size_in_bytes |
ダウンロードされたファイルのサイズ (バイト単位)。 |
ファイルやフォルダの過度な削除リスクインジケータのスキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 5,
"indicator_uuid": "28c4bbab-f3ad-5886-81cd-26fef200d9d7",
"indicator_category_id": 2,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2017-12-18T11:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Excessive file / folder deletion",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"cumulative_event_count_day": 11,
"relevant_event_type": "File and/or Folder Delete",
"observation_start_time": "2017-12-18T11:00:00Z"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 5,
"indicator_uuid": "be9af43f-29d2-51cd-81d6-c1d48b392bbb",
"indicator_category_id": 2,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2017-12-18T01:45:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"client_ip": "210.91.xx.xxx",
"version": 2,
"resource_type": "File",
"resource_name": "Filename21",
"component_name": "Platform"
"connector_type": "GFIS",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74
}
<!--NeedCopy-->
次の表では、サマリスキーマに固有のフィールド名と、ファイルまたはフォルダの過剰削除に関するイベント詳細スキーマについて説明します。
| フィールド名 | 説明 |
|---|---|
cumulative_event_count_day |
当日の一意のファイルまたはフォルダの削除イベントの数。 |
relevant_event_type |
ファイルやフォルダの削除などのイベントの種類を示します。 |
resource_type |
リソースがファイルかフォルダかを示します。 |
resource_name |
リソースの名前。 |
component_name |
ShareFile コンポーネント (プラットフォームまたはコネクタ) を示します。ユーザーがShareFile管理クラウドストレージからファイルを削除すると、コンポーネントは「Platform」として表示されます。ユーザーがストレージゾーンからファイルを削除すると、コンポーネントが「Connector」として表示されます。 |
connector_type |
使用されるストレージゾーンコネクタのタイプ。 |
city |
ユーザーがログオンした市区町村。 |
country |
ユーザーがログオンした国。 |
region |
ユーザーがログオンしたリージョン。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
過剰なファイル共有リスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 6,
"indicator_uuid": "3d421659-ef4d-5434-94b8-90f792e81989",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 0,
"timestamp": "2018-01-03T06:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.19621421,
"indicator_category": "Data exfiltration",
"indicator_name": "Excessive file sharing",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-01-03T06:00:00Z",
"relevant_event_type": "Share Create and/or Send",
"cumulative_event_count_day": 15
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 6,
"indicator_uuid": "c5ea0b26-ce4c-55ad-b8ba-d562f128a2fb",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 0,
"timestamp": "2018-01-03T02:22:04Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_tenant",
"version": 2,
"share_id": "share110",
"operation_name": "Create",
"tool_name": "SFWebApp",
"component_name": "Platform",
"client_ip": "99.xxx.xx.xx",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74
}
<!--NeedCopy-->
次の表では、過剰なファイル共有のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
cumulative_event_count_day |
日中に共有される一意のファイルの数。 |
relevant_event_type |
共有リンクなどのイベントのタイプを示します。 |
share_id |
共有リンクに関連付けられている ID。 |
operation_name |
共有リンクの作成、共有リンクの削除などのユーザーアクティビティを示します。 |
tool_name |
ファイルを共有するために使用されるツールまたはアプリケーション。 |
component_name |
ShareFile コンポーネント (プラットフォームまたはコネクタ) を示します。ユーザーがShareFile管理クラウドストレージからファイルを共有する場合、コンポーネントは「プラットフォーム」として表示されます。ユーザーがストレージゾーンからファイルを共有する場合、コンポーネントは「Connector」として表示されます。 |
city |
ユーザーがログオンした市区町村。 |
country |
ユーザーがログオンした国。 |
region |
ユーザーがログオンしたリージョン。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
ファイルのアップロードが過剰になるリスクインジケータスキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 4,
"indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 0,
"timestamp": "2018-01-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.64705884,
"indicator_category": "Insider threats",
"indicator_name": "Excessive file uploads",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"tool_name": "tool3",
"relevant_event_type": "Upload",
"observation_start_time": "2018-01-02T10:00:00Z"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 4,
"indicator_uuid": "e15ddbb3-f885-514b-81a1-ab84f4e542f1",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 0,
"timestamp": "2018-01-02T10:37:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"file_name": "File5.txt",
"component_name": "Connector",
"client_ip": "99.xxx.xx.xx",
"connector_type": "GFIS",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74
}
<!--NeedCopy-->
次の表では、過剰なファイルアップロードのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
tool_name |
ファイルを共有するために使用されるツールまたはアプリケーション。 |
relevant_event_type |
アップロードなどのユーザーイベントのタイプを示します。 |
file_name |
アップロードされたファイルの名前。 |
component_name |
ShareFile コンポーネント (プラットフォームまたはコネクタ) を示します。ユーザーがShareFile管理クラウドストレージにファイルをアップロードすると、コンポーネントは「Platform」として表示されます。ユーザーがストレージゾーンにファイルをアップロードすると、コンポーネントは「Connector」として表示されます。 |
connector_type |
使用されるストレージゾーンコネクタのタイプ。 |
city |
ユーザーがログオンした市区町村。 |
country |
ユーザーがログオンした国。 |
region |
ユーザーがログオンしたリージョン。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
あり得ない移動リスクインジケータ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "13",
"indicator_uuid": "f6974562-592f-5328-a2ac-adf7122a3qr7",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 0,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"pair_id": 2,
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "tenant_1",
"indicator_id": "13",
"indicator_uuid": "f6974562-592f-5328-a2ac-adf7122b8ac7",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 0,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "user1",
"version": 2,
"client_ip": "95.xxx.xx.xx",
"ip_organization": "global telecom ltd",
"ip_routing_type": "mobile gateway",
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"os": "NA",
"tool_name": "SF_FTP"
}
<!--NeedCopy-->
次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
distance |
あり得ない移動に関連するイベント間の距離 (km)。 |
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
tool_name |
ログオンに使用するツールまたはアプリケーション。 |
os |
ユーザーのデバイスのオペレーティングシステム。 |
ip_organization |
クライアントIPアドレスの組織を登録する |
ip_routing_type |
クライアント IP ルーティングタイプ |
異常な認証失敗リスクインジケータスキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 10,
"indicator_uuid": "274cedc0-a404-5abe-b95b-317c0209c9e8",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 0,
"timestamp": "2018-01-26T01:29:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Unusual authentication failure",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon Failure",
"observation_start_time": "2018-01-26T00:30:00Z"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 10,
"indicator_uuid": "e1bf5b91-b0e1-5145-aa5b-7731f31b56ac",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 0,
"timestamp": "2018-01-26T01:01:01Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"operation_name": "LoginFailure",
"tool_name": "webapp",
"client_ip": "128.x.x.x",
"os": "Android"
}
<!--NeedCopy-->
次の表に、異常な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ログオン失敗などのユーザーイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
tool_name |
ファイルを共有するために使用されるツールまたはアプリケーション。 |
os |
ユーザーデバイスのオペレーティングシステム。 |
マルウェアファイルが検出されたリスク指標
インジケータサマリースキーマ
{
"data_source": "Citrix Content Collaboration",
"data_source_id": 0,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Insider threats",
"indicator_category_id": 2,
"indicator_id": "12",
"indicator_name": "Malware file(s) detected",
"indicator_type": "builtin",
"indicator_uuid": "549f0dc6-2421-5d21-bafa-6180",
"indicator_vector":
{
"id": 6,
"name": "File-Based Risk Indicators",
},
"occurrence_details":
{
"event_count": 2,
"file_hash": "ce59df8709e882e3f84",
"observation_start_time": "2021-11-15T16:00:00Z",
"relevant_event_type": "Malware Infected File Detected",
"virus_name": " Win.Malware.Generic-9873973-0",
},
"risk_probability": 1.0,
"severity": "high",
"tenant_id": "demo_tenant",
"timestamp": "2021-11-15T16:14:59Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"data_source_id": 0,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"file_hash": "ce59df8709e882e3f84",
"file_name": "test-file.exe",
"file_path": "/abc@citrix.com/source/repos/test-folder/test-file.exe",
"folder_name": "test-folder",
"indicator_category_id": 2,
"indicator_id": "12",
"indicator_uuid": "549f0dc6-2421-5d21-bafa-6180",
"indicator_vector":
{
"id": 6,
"name": "File-Based Risk Indicators",
},
"tenant_id": "demo_tenant",
"timestamp": "2021-11-15T16:01:51Z",
"version": 2,
"virus_name": " Win.Malware.Generic-9873973-0"
}
<!--NeedCopy-->
次の表に、検出されたマルウェアファイルのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
| ファイルハッシュ | 感染したファイルのハッシュ値。 |
| ファイル名 | Content Collaboration ユーザによってアップロードされた感染ファイルの名前。 |
| ファイルパス | 感染ファイルがアップロードされた Content Collaboration サービス内のフォルダーの絶対パス。 |
| [フォルダ名] | 感染ファイルがアップロードされた Content Collaboration サービス内のフォルダーの名前。 |
| 関連するイベントタイプ | 検出されたマルウェアファイルなどのイベントのタイプ。 |
| ウイルス名 | ファイルに感染したウイルスの名前。 |
ランサムウェアのアクティビティが疑われる(ファイル交換)リスクインジケータ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 8,
"indicator_uuid": "0afaa694-59ec-5a44-84df-3afcefad7b50",
"indicator_category_id": 3,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-29T11:04:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Ransomware activity suspected (files replaced)",
"severity": "high",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-01-29T10:50:00Z",
"relevant_event_type": "Delete & Upload"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 8,
"indicator_uuid": "580f8f03-c02b-5d0f-b707-1a0577ca2fec",
"indicator_category_id": 3,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-29T11:00:06Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"file_name": "file1",
"client_ip": "99.xxx.xx.xx",
"operation_name": "Upload",
"file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
次の表に、サマリスキーマに固有のフィールド名と、ランサムウェアアクティビティの疑い (ファイルの置き換え) のイベント詳細スキーマについて説明します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ファイルを削除したり、別のファイルをアップロードしたりするなど、ユーザーイベントの種類を示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
file_name |
置換されたファイルの名前。 |
operation_name |
アップロードや削除などのユーザーアクティビティ。 |
file_path |
置換されたファイルのパス。 |
匿名の機密共有リンクのダウンロードリスク指標
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 50,
"indicator_uuid": "93a32d22-d14b-5413-94fc-47c44fe7c07f",
"indicator_category_id": 1,
"indicator_vector": {
"name": "NA",
"id": 999 },
"data_source_id": 0,
"timestamp": "2018-01-27T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "share",
"entity_id": "62795698",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Anonymous sensitive share link download",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/share-timeline/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-01-27T12:00:00Z",
"relevant_event_type": "Download"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 50,
"indicator_uuid": "11562a63-9761-55b8-8966-3ac81bc1d043",
"indicator_category_id": 1,
"indicator_vector": {
"name": "NA",
"id": 999 },
"data_source_id": 0,
"timestamp": "2018-01-27T12:02:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "share",
"entity_id": "46268753",
"version": 2,
"file_name": "file1.mp4",
"file_size_in_bytes": 278,
"city": "Miami",
"country": "USA",
"client_ip": "166.xxx.xxx.xxx",
"device_type": "iPhone X"
}
<!--NeedCopy-->
次の表に、匿名の機密共有リンクのダウンロードのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
relevant_event_type |
ファイルを削除したり、別のファイルをアップロードしたりするなど、ユーザーイベントの種類を示します。 |
file_name |
ダウンロードされる機密ファイルの名前。 |
file_size_in_bytes |
ダウンロードされるファイルサイズ (バイト単位)。 |
city |
ユーザーアクティビティが検出された市区町村。 |
country |
ユーザーアクティビティが検出された国。 |
device_type |
ファイルのダウンロードに使用されるデバイスのタイプ。 |
過剰な共有リンクのダウンロードリスク指標
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 51,
"indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
"indicator_category_id": 1,
"indicator_vector": {
"name": "NA",
"id": 999 },
"data_source_id": 0,
"timestamp": "2018-01-28T18:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "share",
"entity_id": "29510000",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Excessive share link downloads",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/share-timeline/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Download",
"lifetime_users_downloaded": 6,
"observation_start_time": "2018-01-27T19:00:00Z",
"lifetime_download_volume_in_bytes": 2718,
"lifetime_download_count": 6,
"link_first_downloaded": "2018-01-27T11:12:00Z"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 51,
"indicator_uuid": "ed292b9c-622e-5904-9017-92632827bd22",
"indicator_category_id": 1,
"indicator_vector": {
"name": "NA",
"id": 999 },
"data_source_id": 0,
"timestamp": "2018-01-28T18:47:50Z",
"event_type": "indicatorEventDetails",
"entity_type": "share",
"entity_id": "29510000",
"version": 2,
"file_name": "anom20.jep",
"file_size_in_bytes": 106,
"client_ip": "99.xxx.xx.xx",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74,
"user_email": "new-user61@citrix.com",
"lifetime_unique_user_emails": "new-user62@citrix.com user6e@citrix.com user6f@citrix.com new-user63@citrix.com new-user64@citrix.com new-user61@citrix.com",
"lifetime_unique_user_count": 6,
"lifetime_num_times_downloaded": 6,
"lifetime_total_download_size_in_bytes": 2718,
"lifetime_first_event_time": "2018-01-27T11:12:00Z"
}
<!--NeedCopy-->
次の表に、共有リンクダウンロードのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
共有リンクの過剰なダウンロードなど、イベントの種類を示します。 |
lifetime_users_downloaded |
リンクの作成後に共有リンクをダウンロードしたユーザーの総数を示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
lifetime_download_volume_in_bytes |
共有リンクが作成されてからのダウンロードの総量をバイト単位で示します。 |
lifetime_download_count |
共有リンクが作成されてからのダウンロードの総数を示します。 |
link_first_downloaded |
共有リンクが最初にダウンロードされた日付と時刻を示します。 |
file_name |
リンクを介して共有されるファイル名を示します。 |
file_size_in_bytes |
共有ファイルのサイズを示します。 |
user_email |
共有リンクからファイルを過度にダウンロードした現在のユーザーの電子メール ID を示します。 |
lifetime_unique_user_emails |
リンクの作成後にファイルをダウンロードした現在のユーザーを含む、すべてのユーザーの電子メール ID を示します。 |
lifetime_unique_user_count |
リンクの作成後にファイルをダウンロードしたユニークユーザーの総数を示します。 |
lifetime_num_times_downloaded |
リンクが作成されてからファイルがダウンロードされた合計回数を示します。 |
lifetime_total_download_size_in_bytes |
リンクが作成されてからダウンロードされた合計ファイルサイズを示します。 |
lifetime_first_event_time |
リンクが作成されてからの最初のダウンロードイベントの日時を示します。 |
city |
ユーザーがログオンした市区町村。 |
country |
ユーザーがログオンした国。 |
region |
ユーザーがログオンしたリージョン。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
過剰なファイルのダウンロードのリスクインジケータ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 0,
"indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
"indicator_category_id": 1,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Excessive file downloads",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"exfiltrated_data_volume_in_bytes": 24000,
"relevant_event_type": "Download",
"observation_start_time": "2018-01-02T10:00:00Z"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 0,
"indicator_uuid": "ebf19ac0-19a5-53cf-b8fa-e3c71858fef6",
"indicator_category_id": 1,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": "0",
"timestamp": "2018-01-02T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"client_ip": "99.xxx.xx.xx",
"version": 2,
"file_name": "File1.txt",
"file_size_in_bytes": 24000,
"component_name": "Platform",
"connector_type": "NA",
"city": "some_city",
"country": "some_country",
"region": "some_region",
"latitude": 12.29,
"longitude": -34.74
}
<!--NeedCopy-->
次の表では、過剰なファイルのダウンロードのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
exfiltrated_data_volume_in_bytes |
ダウンロードされるデータの量 (バイト単位)。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
file_name |
ダウンロードされるファイルの名前。 |
file_size_in_bytes |
ダウンロードされるファイルサイズ (バイト単位)。 |
component_name |
ShareFile コンポーネント (プラットフォームまたはコネクタ) を示します。ユーザーがShareFile管理クラウドストレージからファイルをダウンロードすると、コンポーネントは「プラットフォーム」として表示されます。ユーザーがストレージゾーンからファイルをダウンロードすると、コンポーネントは「Connector」として表示されます。 |
city |
ユーザーがログオンした市区町村。 |
country |
ユーザーがログオンした国。 |
region |
ユーザーがログオンしたリージョン。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
ランサムウェアアクティビティが疑われる(ファイルが更新された)リスク指標
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 9,
"indicator_uuid": "f21ef9c8-c379-5a96-ae90-e750d31a728c",
"indicator_category_id": 3,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-29T11:04:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Ransomware activity suspected (files updated)",
"severity": "high",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Update/Upload",
"observation_start_time": "2018-01-29T10:50:00Z"
}
}
<!--NeedCopy-->
インジケータイベントの詳細
{
"tenant_id": "demo_tenant",
"indicator_id": 9,
"indicator_uuid": "0509e432-527e-5c84-abb4-f397f2a5e02b",
"indicator_category_id": 3,
"indicator_vector": {
"name": "File-Based Risk Indicators",
"id": 6 },
"data_source_id": 0,
"timestamp": "2018-01-29T11:00:05Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"file_name": "file1",
"operation_name": "Update",
"stream_id": "someid37",
"client_ip": "11.xx.xx.xx",
"file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
次の表では、サマリスキーマに固有のフィールド名と、ランサムウェアアクティビティの疑い(ファイルが更新された)イベント詳細スキーマについて説明します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ファイルの更新やアップロードなどのユーザーイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
file_name |
更新されたファイルの名前。 |
operation_name |
アップロード、更新、削除などのユーザーアクティビティ。 |
file_path |
ユーザーによって更新されるファイルのパス。 |
stream_id |
アイテムストリームの ID。アイテムは、ファイルシステムオブジェクトの単一バージョンを表します。ストリームは、同じファイルシステムオブジェクトのすべてのバージョンを識別します。たとえば、ユーザーが既存のファイルをアップロードまたは変更すると、同じストリーム ID で新しいアイテムが作成されます。 |
不審なログオンリスク指標
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "11",
"indicator_uuid": "42aac530-b589-5338-8cbe-3a940921fce6",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 0,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.71,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Content Collaboration",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2020-06-06T12:00:00Z",
"relevant_event_type": "Logon",
"event_count": 1,
"historical_observation_period_in_days": 30,
"country": "United States",
"region": "Florida",
"city": "Miami",
"historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
"user_location_risk": 75,
"device_id": "",
"os": "Windows 10",
"tool_name": "SFWebApp",
"user_device_risk": 0,
"client_ip": "99.xxx.xx.xx",
"webroot_threat_categories": "Phishing",
"user_network_risk": 75,
"suspicious_network_risk": 89
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "11",
"indicator_uuid": "42aac530-b589-5338-8cbe-3a940921fce6",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 0,
"timestamp": "2020-06-06T12:08:40Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"country": "United States",
"region": "Florida",
"city": "Miami",
"latitude": 25.7617,
"longitude": -80.1918,
"tool_name": "SFWebApp",
"os": "Windows 10",
"device_id": "NA",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
occurrence_event_type |
アカウントログオンなどのユーザーイベントタイプを示します。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
tool_name |
ログオンに使用するツールまたはアプリケーション。 |
os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用するデバイスの名前。 |
user_location_risk |
ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_device_risk |
ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_network_risk |
ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
suspicious_network_risk |
Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100 |
webroot_threat_categories |
Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。 |
Citrix Endpoint Management のリスク指標スキーマ
ジェイルブレイクまたはルートデバイス検出インジケータースキーマ
インジケータサマリースキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 200,
"indicator_name": "Jailbroken / Rooted Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:05Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"indicator_id": 200,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:35Z",
"version": 2
}
<!--NeedCopy-->
ブラックリストに登録されたアプリが検出されたデバイス
インジケータサマリースキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 201,
"indicator_name": "Device with Blacklisted Apps Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:23Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"indicator_id": 201,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:39Z",
"version": 2
}
<!--NeedCopy-->
管理対象外のデバイスが検出されました
インジケータサマリースキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 203,
"indicator_name": "Unmanaged Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T12:56:30Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"indicator_id": 203,
"client_ip": "127.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T18:41:30Z",
"version": 2
}
<!--NeedCopy-->
Citrix Gateway リスク指標スキー
EPA スキャン失敗リスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "EPA scan failure",
"severity": "low",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"event_description": "Post auth failed, no quarantine",
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "EPA Scan Failure at Logon"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:12:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Post auth failed, no quarantine",
"gateway_domain_name": "10.102.xx.xx",
"gateway_ip": "56.xx.xxx.xx",
"policy_name": "postauth_act_1",
"client_ip": "210.91.xx.xxx",
"country": "United States",
"city": "San Jose",
"region": "California",
"cs_vserver_name": "demo_vserver",
"device_os": "Windows OS",
"security_expression": "CLIENT.OS(Win12) EXISTS",
"vpn_vserver_name": "demo_vpn_vserver",
"vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->
次の表に、EPA スキャン障害リスクインジケータのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
event_description |
ポスト認証が失敗し、検疫グループがないなど、EPA スキャンが失敗した理由について説明します。 |
relevant_event_type |
EPA スキャン失敗イベントのタイプを示します。 |
gateway_domain_name |
Citrix Gateway のドメイン名。 |
gateway_ip |
Citrix Gateway のIPアドレス。 |
policy_name |
Citrix Gateway で構成されたEPAスキャンポリシー名。 |
country |
ユーザーアクティビティが検出された国。 |
city |
ユーザーアクティビティが検出された市区町村。 |
region |
ユーザーアクティビティが検出されたリージョン。 |
cs_vserver_name |
コンテンツスイッチ仮想サーバの名前。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
security_expression |
Citrix Gateway で構成されたセキュリティ式。 |
vpn_vserver_name |
Citrix Gateway 仮想サーバーの名前。 |
vserver_fqdn |
Citrix Gateway 仮想サーバーの FQDN。 |
過剰な認証失敗リスクインジケータスキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Excessive authentication failures",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/”,
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "Logon Failure"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:10:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo-user",
"version": 2,
"event_description": "Bad (format) password passed to nsaaad",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"auth_server_ip": "10.xxx.x.xx",
"client_ip": "24.xxx.xxx.xx",
"gateway_ip": "24.xxx.xxx.xx",
"vserver_fqdn": "demo-fqdn.citrix.com",
"vpn_vserver_name": "demo_vpn_vserver",
"cs_vserver_name": "demo_cs_vserver",
"gateway_domain_name": "xyz",
"country": "United States",
"region": "California",
"city": "San Jose",
"nth_failure": 5
}
<!--NeedCopy-->
次の表では、過剰な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ログオン失敗などのイベントのタイプを示します。 |
event_description |
誤ったパスワードなど、過剰な認証失敗イベントの理由について説明します。 |
authentication_stage |
認証ステージがプライマリ、セカンダリ、ターシャリのどちらであるかを示します。 |
authentication_type |
LDAP、ローカル、OAuth などの認証のタイプを示します。 |
auth_server_ip |
認証サーバの IP アドレス。 |
gateway_domain_name |
Citrix Gateway のドメイン名。 |
gateway_ip |
Citrix Gateway のIPアドレス。 |
cs_vserver_name |
コンテンツスイッチ仮想サーバの名前。 |
vpn_vserver_name |
Citrix Gateway 仮想サーバーの名前。 |
vserver_fqdn |
Citrix Gateway 仮想サーバーの FQDN。 |
nth_failure |
ユーザー認証が失敗した回数。 |
country |
ユーザーアクティビティが検出された国。 |
city |
ユーザーアクティビティが検出された市区町村。 |
region |
ユーザーアクティビティが検出されたリージョン。 |
あり得ない移動リスクインジケータ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_os": "Linux OS",
"device_browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
distance |
あり得ない移動に関連するイベント間の距離 (km)。 |
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
device_browser |
ユーザーが使用する Web ブラウザ。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
ip_organization |
クライアントIPアドレスの組織を登録する |
ip_routing_type |
クライアント IP ルーティングタイプ |
疑わしい IP リスク指標スキーマからログオン
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.91,
"indicator_category": "Compromised users",
"indicator_name": "Logon from suspicious IP",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon",
"client_ip": "1.0.xxx.xx",
"observation_start_time": "2019-10-10T10:00:00Z",
"suspicion_reasons": "brute_force|external_threat"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:11:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"suspicion_reasons": "external_threat",
"gateway_ip": "gIP1",
"client_ip": "128.0.xxx.xxx",
"country": "Sweden",
"city": "Stockholm",
"region": "Stockholm",
"webroot_reputation": 14,
"webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
"device_os": "Windows OS",
"device_browser": "Chrome"
}
<!--NeedCopy-->
次の表では、不審な IP からのログインのサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
suspicious_reasons |
IP アドレスが疑わしいと識別される理由。 |
webroot_reputation |
脅威インテリジェンスプロバイダ Webroot によって提供される IP レピュテーションインデックス。 |
webroot_threat_categories |
脅威インテリジェンスプロバイダ Webroot によって疑わしい IP で識別される脅威カテゴリ。 |
device_os |
ユーザーデバイスのオペレーティングシステム。 |
device_browser |
使用した Web ブラウザ。 |
country |
ユーザーアクティビティが検出された国。 |
city |
ユーザーアクティビティが検出された市区町村。 |
region |
ユーザーアクティビティが検出されたリージョン。 |
異常な認証失敗リスクインジケータスキーマ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:44:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Unusual authentication failure",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon Failure",
"observation_start_time": "2020-04-01T05:45:00Z"
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:42:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Success",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"client_ip": "99.xxx.xx.xx",
"country": "United States",
"city": "San Jose",
"region": "California",
"device_os": "Windows OS ",
"device_browser": "Chrome",
"is_risky": "false"
}
<!--NeedCopy-->
次の表に、異常な認証失敗のサマリスキーマおよびイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ログオン失敗などのイベントのタイプを示します。 |
event_description |
ログオンが成功したか失敗したかを示します |
authentication_stage |
認証ステージがプライマリ、セカンダリ、ターシャリのどちらであるかを示します。 |
authentication_type |
LDAP、ローカル、OAuth などの認証のタイプを示します。 |
is_risky |
ログオンが成功した場合、is_risky の値は false になります。ログオンに失敗した場合、is_risky の値は true になります。 |
device_os |
ユーザーデバイスのオペレーティングシステム。 |
device_browser |
ユーザーが使用する Web ブラウザ。 |
country |
ユーザーアクティビティが検出された国。 |
city |
ユーザーアクティビティが検出された市区町村。 |
region |
ユーザーアクティビティが検出されたリージョン。 |
不審なログオンリスク指標
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.71,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2020-06-06T12:00:00Z",
"relevant_event_type": "Logon",
"event_count": 1,
"historical_observation_period_in_days": 30,
"country": "United States",
"region": "Florida",
"city": "Miami",
"historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
"user_location_risk": 75,
"device_id": "",
"device_os": "Windows OS",
"device_browser": "Chrome",
"user_device_risk": 0,
"client_ip": "99.xxx.xx.xx",
"user_network_risk": 75,
"webroot_threat_categories": "Phishing",
"suspicious_network_risk": 89
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:08:40Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"country": "United States",
"region": "Florida",
"city": "Miami",
"latitude": 25.7617,
"longitude": -80.1918,
"device_browser": "Chrome",
"device_os": "Windows OS",
"device_id": "NA",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
occurrence_event_type |
アカウントログオンなどのユーザーイベントタイプを示します。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
device_browser |
ユーザーが使用する Web ブラウザ。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用するデバイスの名前。 |
user_location_risk |
ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_device_risk |
ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_network_risk |
ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
suspicious_network_risk |
Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100 |
webroot_threat_categories |
Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。 |
Citrix DaaS とCitrix Virtual Apps and Desktopsのリスク指標スキーマ
あり得ない移動リスクインジケータ
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "Account.Logon",
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_id": "device1",
"receiver_type": "XA.Receiver.Linux",
"os": "Linux OS",
"browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
次の表に、インポッシブルトラベルのサマリースキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
distance |
あり得ない移動に関連するイベント間の距離 (km)。 |
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
browser |
ユーザーが使用する Web ブラウザ。 |
os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用するデバイスの名前。 |
receiver_type |
ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver タイプ。 |
ip_organization |
クライアントIPアドレスの組織を登録する |
ip_routing_type |
クライアント IP ルーティングタイプ |
潜在的なデータ漏洩リスク指標
インジケータサマリースキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Potential data exfiltration",
"severity": "low",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Download/Print/Copy",
"observation_start_time": "2018-04-02T10:00:00Z",
"exfil_data_volume_in_bytes": 1172000
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:57:36Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "App.SaaS.Clipboard",
"file_size_in_bytes": 98000,
"file_type": "text",
"device_id": "dvc5",
"receiver_type": "XA.Receiver.Windows",
"app_url": "https://www.citrix.com",
"client_ip": "10.xxx.xx.xxx",
"entity_time_zone": "Pacific Standard Time"
}
<!--NeedCopy-->
次の表では、潜在的なデータ漏出のサマリースキーマおよびイベント詳細スキーマに固有のフィールドについて説明します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
relevant_event_type |
データのダウンロード、印刷、コピーなどのユーザーアクティビティを示します。 |
exfil_data_volume_in_bytes |
データの流出量。 |
occurrence_event_type |
SaaS アプリでのクリップボード操作など、データの流出がどのように発生したかを示します。 |
file_size_in_bytes |
ファイルのサイズ。 |
file_type |
ファイルのタイプ。 |
device_id |
ユーザーデバイスの ID。 |
receiver_type |
ユーザーデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiverです。 |
app_url |
ユーザーがアクセスするアプリケーションの URL。 |
entity_time_zone |
ユーザーのタイムゾーン。 |
疑わしいログオンリスク指標スキーマ
インジケータサマリースキーマ
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"risk_probability": 0.78,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details":
{
"user_location_risk": 0,
"city": "Some_city",
"observation_start_time": "2020-06-06T12:00:00Z",
"event_count": 1,
"user_device_risk": 75,
"country": "United States",
"device_id": "device2",
"region": "Some_Region",
"client_ip": "99.xx.xx.xx",
"webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
"historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
"relevant_event_type": "Logon",
"user_network_risk": 100,
"historical_observation_period_in_days": 30,
"suspicious_network_risk": 0
}
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06 12:02:30",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"occurrence_event_type": "Account.Logon",
"city": "Some_city",
"country": "United States",
"region": "Some_Region",
"latitude": 37.751,
"longitude": -97.822,
"browser": "Firefox 1.3",
"os": "Windows OS",
"device_id": "device2",
"receiver_type": "XA.Receiver.Chrome",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
次の表に、不審なログオンのサマリスキーマとイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
historical_logon_locations |
ユーザーがアクセスした場所と、観測期間中に各場所にアクセスした回数。 |
historical_observation_period_in_days |
各場所は 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントのタイプを示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始してからタイムスタンプまでの時間。この期間に異常行動が検出された場合、リスク指標がトリガーされます。 |
occurrence_event_type |
アカウントログオンなどのユーザーイベントタイプを示します。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした市区町村。 |
region |
ユーザーがログオンしたリージョンを示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
browser |
ユーザーが使用する Web ブラウザ。 |
os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用するデバイスの名前。 |
receiver_type |
ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver タイプ。 |
user_location_risk |
ユーザーがログオンした場所の疑わしいレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_device_risk |
ユーザーがログオンしたデバイスの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
user_network_risk |
ユーザーがログオンしたネットワークまたはサブネットの疑いレベルを示します。低い疑いレベル:0—69、中程度の疑いレベル:70—89、高い疑いレベル:90—100 |
suspicious_network_risk |
Webroot IP 脅威インテリジェンスフィードに基づく IP 脅威レベルを示します。低脅威レベル:0—69、中脅威レベル:70—89、高脅威レベル:90—100 |
webroot_threat_categories |
Webroot IP 脅威インテリジェンスフィードに基づいて、IP アドレスから検出された脅威のタイプを示します。脅威カテゴリには、スパムソース、Windows エクスプロイト、Web攻撃、ボットネット、スキャナ、サービス拒否、レピュテーション、フィッシング、プロキシ、不特定、モバイル脅威、Torプロキシがあります。 |
Microsoft Active Directory インジケータ
インジケータサマリースキーマ
{
"data_source": "Microsoft Graph Security",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_id": 1000,
"indicator_name": "MS Active Directory Indicator",
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_type": "builtin",
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"ui_link": "https://analytics-daily.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケータイベント詳細スキーマ
{
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_id": 1000,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"version": 2
}
<!--NeedCopy-->
カスタムリスク指標スキーマ
次のセクションでは、カスタムリスク指標のスキーマについて説明します。
注
現在、Citrix Analytics は、Citrix DaaSおよびCitrix Virtual Apps and Desktopsのカスタムリスク指標に関連するデータをSIEMサービスに送信します。
次の表に、カスタムリスク指標サマリスキーマのフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
data source |
Citrix Analytics のセキュリティにデータを送信する製品。例:Citrix Secure Private Access、Citrix Gateway、およびCitrixアプリとデスクトップ。 |
data_source_id |
データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix アプリケーションおよびデスクトップ、ID 4 = Citrix Secure Private Access |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクにさらされているエンティティ。この場合、エンティティはユーザーです。 |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標の要約です。 |
indicator_category |
リスク指標のカテゴリを示します。リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データの漏えい、またはインサイダー脅威などのリスクカテゴリに分類されます。 |
indicator_id |
リスク指標に関連付けられている一意の ID。 |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
indicator_name |
リスク指標の名前。カスタムリスク指標の場合、この名前は指標の作成時に定義されます。 |
indicator_type |
リスク指標がデフォルト(組み込み)かカスタムかを示します。 |
indicator_uuid |
リスク指標インスタンスに関連付けられている一意の ID。 |
occurrence_details |
リスク指標のトリガー条件に関する詳細。 |
pre_configured |
カスタムリスク指標が事前構成されているかどうかを示します。 |
risk_probability |
ユーザーイベントに関連するリスクの可能性を示します。値は 0 から 1.0 まで変化します。カスタムリスク指標の場合、risk_probablabity はポリシーベースの指標であるため、常に 1.0 になります。 |
severity |
リスクの重大度を示します。低、中、高のいずれかになります。 |
tenant_id |
顧客の一意のアイデンティティ。 |
timestamp |
リスク指標がトリガーされる日付と時刻。 |
ui_link |
Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。 |
version |
処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。 |
次の表に、カスタムリスク指標イベント詳細スキーマで共通のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
data_source_id |
データソースに関連付けられた ID。ID 0 = Citrix Content Collaboration、ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix アプリケーションおよびデスクトップ、ID 4 = Citrix Secure Private Access |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
event_type |
SIEM サービスに送信されるデータのタイプ。この場合、イベントタイプはリスク指標イベントの詳細です。 |
tenant_id |
顧客の一意のアイデンティティ。 |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクにさらされているエンティティ。この場合は、ユーザーです。 |
indicator_id |
リスク指標に関連付けられている一意の ID。 |
indicator_uuid |
リスク指標インスタンスに関連付けられている一意の ID。 |
timestamp |
リスク指標がトリガーされる日付と時刻。 |
version |
処理されたデータのスキーマのバージョン。現在のスキーマのバージョンは 2 です。 |
event_id |
ユーザーイベントに関連付けられた ID。 |
occurrence_event_type |
セッションログオン、セッション起動、アカウントログオンなど、ユーザーイベントの種類を示します。 |
product |
Windows向けCitrix Workspace アプリなど、Citrix Workspace アプリの種類を示します。 |
client_ip |
ユーザーのデバイスの IP アドレス。 |
session_user_name |
Citrix Apps and Desktopsセッションに関連付けられたユーザー名。 |
city |
ユーザーアクティビティが検出された都市の名前。 |
country |
ユーザーアクティビティが検出された国の名前。 |
device_id |
ユーザーが使用するデバイスの名前。 |
os_name |
ユーザーのデバイスにインストールされているオペレーティングシステム。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。 |
os_version |
ユーザーのデバイスにインストールされているオペレーティングシステムのバージョン。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。 |
os_extra_info |
ユーザーのデバイスにインストールされているオペレーティングシステムに関連する追加情報。詳しくは、「 アプリとデスクトップのセルフサービス検索」を参照してください。 |
Citrix DaaS およびCitrix Virtual Apps and Desktopsのカスタムリスクインジケータ
インジケータサマリースキーマ
{
"data_source": " Citrix Apps and Desktops",
"data_source_id": 3,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_category_id": 3,
"indicator_id": "ca97a656ab0442b78f3514052d595936",
"indicator_name": "Demo_user_usage",
"indicator_type": "custom",
"indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
"occurrence_details": {
"condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
"pre_configured": "N",
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-02-10T14:47:25Z",
"ui_link": "https://analytics.cloud.com/user/ ",
"version": 2
}
<!--NeedCopy-->
セッションログオンイベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "SYD04-MS1-S102",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
次の表に、セッションログオンイベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
セッション起動イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
}
<!--NeedCopy-->
次の表に、セッション起動イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
アカウントログオンイベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Account.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
}
<!--NeedCopy-->
次の表では、アカウントログオンイベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
セッション終了イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
次の表に、セッション終了イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
アプリ開始イベントのインジケーターイベントの詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.Start",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
次の表に、アプリ開始イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
module_file_path |
使用されているアプリケーションのパス。 |
アプリ終了イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
次の表に、アプリ終了イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動されたアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
module_file_path |
使用されているアプリケーションのパス。 |
Indicator イベントの詳細ファイルダウンロードイベントのスキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "File.Download",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"file_download_file_name": "File5.txt",
"file_download_file_path": "/root/folder1/folder2/folder3",
"file_size_in_bytes": 278,
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"device_type": "USB"
}
<!--NeedCopy-->
次の表に、ファイルダウンロードイベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
file_download_file_name |
ダウンロードファイルの名前。 |
file_download_file_path |
ファイルがダウンロードされる宛先パス。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
device_type |
ファイルがダウンロードされるデバイスのタイプを示します。 |
印刷イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Printing",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"printer_name": "Test-printer",
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"job_details_size_in_bytes": 454,
"job_details_filename": "file1.pdf",
"job_details_format": "PDF"
}
<!--NeedCopy-->
次の表に、印刷イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
printer_name |
印刷ジョブに使用されるプリンタの名前。 |
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
domain |
リクエストを送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
job_details_size_in_bytes |
ファイルまたはフォルダなどの印刷ジョブのサイズ。 |
job_details_filename |
印刷されるファイルの名前。 |
job_details_format |
印刷ジョブの形式。 |
アプリの SaaS 起動イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
次の表に、アプリの SaaS 起動イベントのイベント詳細スキーマに固有のフィールド名を示します。
| フィールド名 | 説明 |
|---|---|
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
アプリの SaaS 終了イベントのインジケータイベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
次の表では、App SaaS 終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
launch_type |
アプリケーションまたはデスクトップのいずれかを示します。 |
データソースイベント
さらに、Citrix Analytics for Security対応製品のデータソースからユーザーイベントをエクスポートするようにデータエクスポート機能を構成できます。Citrix 環境で何らかのアクティビティを実行すると、データソースイベントが生成されます。エクスポートされたイベントは、セルフサービスビューで利用できる未処理のリアルタイムのユーザーおよび製品使用データです。これらのイベントに含まれるメタデータは、さらに詳細な脅威分析や新しいダッシュボードの作成に使用したり、セキュリティやITインフラストラクチャ全体でCitrix以外のデータソースイベントと連携させたりすることができます。
現在、Citrix Analytics for Securityは、次のデータソースに関するユーザーイベントをSIEMに送信しています。
- Citrix Content Collaboration
- Citrix Virtual Apps and Desktops
データソースイベントのスキーマ詳細
Citrix Content Collaborationイベント
Citrix Analyticsは、Citrix Content Collaboration サービスを使用してユーザーイベント(ログ)をリアルタイムで受信します。ユーザーイベントは、セキュリティ上の脅威を検出するために処理されます。詳しくは、「 Citrix Content Collaboration データソース」を参照してください。Citrix Content Collaboration に関連する次のユーザーイベントは、SIEMで表示できます。
- すべてのイベントタイプ
- 配布グループ (作成、削除、更新)
- DLP ポリシー更新
- DLP アップデート
- ファイル (削除、ダウンロード、ダウンロード開始、アップロード、アップロード開始、ウイルス感染)
- ログインセキュリティポリシーの更新
- レポート (作成、削除、更新)
- セッションログイン
- SSO 設定の更新
イベントとその属性の詳細については、「 Content Collaboration のセルフサービス検索」を参照してください。
CitrixVirtual Apps and Desktops イベント
ユーザーが仮想アプリまたは仮想デスクトップを使用すると、Citrix Analytics for Securityでユーザーイベントがリアルタイムで受信されます。詳しくは、「 Citrix Virtual Apps and Desktops」および「Citrix DaaS データソース」を参照してください。SIEMでは、Citrix Virtual Apps and Desktops に関連する次のユーザーイベントを表示できます。
- すべてのイベントタイプ
- アカウントログオン
- アプリ (開始、起動、終了)
- クリップボード
- ファイル (印刷、ダウンロード)
- ファイルダウンロード (SaaS)
- HDX セッションソース
- 印刷
- セッション (ログオン、起動、終了、終了)
- Url
- VDA データ
- VDAプロセス作成
イベントとその属性の詳細については、「 Virtual Apps and Desktops のセルフサービス検索」を参照してください。
どのイベントタイプが有効で SIEM に流れているかを確認できます。テナントに適用できるイベントタイプを設定または削除し、[変更を保存] ボタンをクリックして設定を保存できます。
SIEM用のCitrix Analyticsデータエクスポート形式
コピー完了
コピー失敗