Citrix Analytics for Security

自助搜索 Content Collaboration

使用自助搜索可深入了解从 Content Collaboration 数据源接收的用户事件。当用户使用 Content Collaboration 服务时,会生成登录、删除、下载和上传等事件。Citrix Analytics for Security 接收这些事件并将其显示在自助搜索页面上。您可以跟踪用户及其事件。

有关搜索功能的详细信息,请参阅 自助搜索

选择 Content Collaboration 数据源

要查看 Content Collaboration 事件,请从列表中选择 C ontent Collaboration 。默认情况下,自助服务页面显示最近一天的事件。您还可以选择要查看事件的时间段。

Content Collaboration 选择

选择要过滤事件的平面

使用与 Content Collaboration 事件关联的以下方面。

  • 下载文件大小-表示从 Content Collaboration 下载的文件的大小。

  • 事件类型-指示用户事件的类型,例如文件上传、文件下载、共享链接创建、会话登录、文件夹创建和共享链接删除。

    Content Collaboration 方面

指定搜索查询以筛选事件

将光标置于搜索框中可查看 Content Collaboration 事件的维度列表。使用维度和 运算符 指定查询并搜索所需的事件。

Content Collaboration 维度

例如,您想要搜索源自印度且文件大小大于 900,000 字节的事件。如图所示,指定以下查询。

  1. 在搜索框中输入 “Co” 以获取相关建议。

    Content Collaboration 搜索查询 1

  2. 选择 国家/地区 ,然后使用等于运算符输入值 “印度”。

    Content Collaboration 搜索查询 2

    Content Collaboration 搜索查询 3

  3. 选择 AND 运算符,然后选择 “文 件大小 ” 维度。选择 ** 运算符,然后输入文件大小值(以字节为单位)。

    Content Collaboration 搜索查询 4

  4. 选择时间段,然后单击“搜索”以查看 数据 表上的事件。

审核日志

审核日志提供了有关 Content Collaboration 管理员对用户帐户应用的权限和操作的见解。使用这些数据,您可以验证 Content Collaboration 管理员是否对用户帐户采取了有效的操作。

您可以在自助搜索中查看以下审核日志。

注意

要在 Citrix Analytics 上接收这些日志,您必须将 Citrix Content Collaboration 服务与 Citrix Workspace 集成。

事件 属性
通讯组创建 组 ID、群组共享、客户端操作系统、客户端 IP、组名称、所有者 ID、用户电子邮件
通讯组删除 组 ID、组名
通讯组更新 群组 ID,已共享
DLP 更新、DLP 政策更新 已启用 DLP、客户端操作系统、客户端 IP、保存的格式、匿名用户启用下载、为客户端用户启用下载、为员工用户启用下载、为客户端用户启用共享、为员工用户启用共享
登录和安全策略更新 受信任的域、用户名、客户端操作系统、客户端 IP、事件后注销用户、最大失败登录、锁定持续时间、为用户启用双重身份验证、为员工启用双重身份验证、启用双重身份验证、用户电子邮件
报告创建、报告更新、报告删除 创建日期、结束日期、报告标题、循环频率、包含的子文件夹、循环、计划报告、上次运行日期、报告类型、保存的格式、保存的文件夹、开始日期
SSO 设置更新 事件配置文件 Cookie、客户端操作系统、客户端 IP、IP 限制、激活的 SSO、登录 URL、注销 URL、IdP 类型、SP 启动的身份验证上下文、SP 启动的身份验证方法、用户电子邮件、SP 启动的重定向方法、启用的 Web 身份验证

恶意软件日

当 Content Collaboration 用户上传的文件感染了恶意软件时,将触发恶意软件事件 File.VirusInfected。以下日志特定于恶意软件事件。

事件 属性
File.VirusInfected 文件创建者名称、文件所有者姓名、文件创建者电子邮件地址、文件所有者电子邮件地址、文件大小、共享文件夹名称、文件路径、文件创建日期、文件哈希、文件 ID、病毒名

搜索查询支持的尺寸

下表介绍了您可以在自助搜索事件中查看的维度。您可以使用这些维度来定义搜索查询。

|维度 | 说明 | 值类型 | 示例 | |——|——-|———|———-| | Account-ID | 表示用户的帐户 ID。 | 字符串 | adb8477a-6bf1-2108-fa4b-55dea0b8c44c | | Active-Profile-Cookies | 指示 Content Collaboration 事件客户端(如移动客户端、同步引擎和 Outlook 插件)是否使用高级设置。在某些 IdP 配置中自动进行选择时,可能需要使用此参数。 | 字符串 | | Alias-ID | 表示用户的别名 ID。 | 字符串 | testuser1 | | Bytes-Total | 表示所下载文件的总大小 (KB)。如果同时下载多个文件(批量下载),则总字节数表示所有下载文件的总大小。 | 数量 | 105 | | City | 表示用户登录 Content Collaboration 服务的所在城市。 | 字符串 | 芝加哥 | | Client-IP | 表示用户网络的 IP 地址。 | 字符串 | 172.xxx.xxx.xx | | Client-OS | 表示用户设备的操作系统。 | 字符串 | Windows 10 | | Country | 表示用户登录 Content Collaboration 服务所在的国家/地区。 | 字符串 | 美国 | | Create-Date | 指示创建报告的日期和时间。 | 字符串 | 2021-05-25T13:54:36.167 | | Created-By | 指示创建报告的用户。 | 字符串 | user1 | | Creator-ID | 指示创建报告的用户的 ID。 | 字符串 | 77f300f8-8d89-4891-bb58 | |Download-Enabled-for-Anonymous-User|指示匿名用户是否可以根据数据丢失防护 (DLP) 扫描的结果从存储区域下载文件。 | 布尔值| “True” 或 “False”| |Download-Enabled-for-Client-User | 指示第三方客户端用户是否可以根据数据丢失防护 (DLP) 扫描的结果从存储区域下载文件。 | 布尔值 | “True” 或 “False” | |Download-Enabled-for-Employee-User| 指示员工用户是否可以根据数据丢失防护 (DLP) 扫描的结果从存储区域下载文件。 |布尔值 | “True” 或 “False”| | Download-File-Size | 表示用户下载的文件的大小(以 KB 为单位) | 数量 | 10.8 KB | | Enabled-Web-Authentication | 指示是将 SAML IdP 配置为基于 Web 的身份验证,并且用户帐户正在使用适用于 Windows 的 ShareFile Sync、适用于 Mac 的 ShareFile Sync 还是 ShareFile Outlook 插件。 | 字符串 | “True” 或 “False” | | Enabled-Two-Factor-Auth | 指示是为员工用户还是为客户端用户启用双重身份验证功能。 | 字符串 | “True” 或 “False” | | Enabled-Two-Factor-Auth-for-Employees | 指示是否为员工用户启用了双重身份验证。 | 字符串 | “True” 或 “False” | | Enabled-Two-Factor-Auth-for-Users | 指示是否为客户端用户启用了双重身份验证。 | 字符串 | “True” 或 “False” | | End-Date| 指示您的 Content Collaboration 帐户在此日期之后不会生成报告。 |“2021-05-23T04:00:00+00:00” | | Event-ID | 指示与用户事件关联的唯一身份。 | 字符串 | 77f300f8-8d89-4891-bb58-53b05c44766d | | Event-Type | 指示用户活动类型,例如文件上载、文件下载、共享链接创建、会话登录、文件夹创建和共享链接删除。 | 字符串 | File.Upload, Session.Login, Share.Create | | Event-User-ID | 指示触发了事件的用户的 ID。 | 字符串 | 8d89-4891-bb58-53b05 | | File-Creation-Date | 指示受感染的文件的创建日期。 | 字符串 | 2021-05-25T13:54:36.16 | | File-Creator-Email-Address | 最初创建感染了恶意软件的文件的用户的电子邮件 ID。 | 字符串 | user1@citrix.com | | File-Creator-Name | 指示最初创建感染了恶意软件的文件的用户名。 | 字符串 | User1 | | File-Hash| 表示受感染文件的哈希值。 | 字符串 | 88e300f8-8d89-4891-bb58 | | File-ID | 指示受感染文件的唯一 ID。 | String | fib0257-1bd802-0707-44c12 | | File-Name | 指示共享、上载或用户下载的文件的名称。 | 字符串 | Usage Report 2021 | | File-Owner-Name | 指示受感染文件的当前所有者。 | 字符串 | User2 | | File-Owner-Email-Address | 指示受感染文件的当前所有者的电子邮件 ID。 | 字符串 | user2@citrix.com | | File-Path | 指示 Content Collaboration 中受感染文件的路径。 | 字符串 | /testfolder/test-file.pdf | | File-Size | 指示受感染文件的大小(以字节为单位)。 | 数值 | 10 B | | Folder-ID | 指示在 Content Collaboration 中创建的文件夹的 ID。| 字符串 | 8d89-4891-bb58-53b05c | | Frequency| 指示为您的 Content Collaboration 帐户生成的报告的重复频率。 | 字符串 | “Daily”, “Weekly”, or “Monthly” | |Group-ID| 指示通讯组的 ID。| 字符串 |g0183f52-f219-4816-9b8e-9584e504a083 | |Group-Name| 指示通讯组的名称。 | 字符串| Test group 1 | | IdP-Type | 指示为用户配置的身份提供程序的类型。 | 字符串 | | | IP-Restrictions | 指示来自哪个 IP 地址限制用户登录其 Content Collaboration 帐户。 | | | | Inactive-Logout-Duration | 指示非活动状态的持续时间,在此期间,非活动用户将从其帐户中注销。持续时间以分钟为单位。默认情况下,此持续时间设置为 1 小时(60 分钟)。| 数值 | 60 | | Include-Sub Folders|表示是否为选定的文件夹及其子文件夹创建报告。| 布尔值 | “True” 或 “False” | |Is-Active| 表示是否为使用 IdP 的非管理员员工启用了单点登录。| 布尔值 | “True” 或 “False” | | Is-Employee | 表示用户是否是组织的员工。| 字符串 | “True” 或 “False” | | Is-Enabled | 表示是否为您的 Content Collaboration帐户启用数据丢失防护。| 布尔值| “True” or “False” | |Is-Recurring| 表示报告是否在固定时间间隔后生成 | 布尔值 | “True” 或 “False”| |Is-Scheduled| 表示报告是否已计划。| 布尔值 | “True” 或 “False” | | Is-Shared | 表示是否为所有员工启用了通讯组共享。| 字符串 | “True” 或 “False” | |Last-Run-Date| 表示上次生成报告的时间。| 字符串 | “0001-01-01T00:00:00”| | Locked-Out-Duration | 表示当用户登录失败且超过允许的最大登录尝试次数时,他们被锁定在帐户之外的持续时间。持续时间以秒为单位。| 数字 | 120 | | Login-URL | 表示用户的 IdP 断言使用者服务的 URL。| 字符串 https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=fa7a185d-d748-459| | Logout-URL |表示 Content Collaboration 在用户注销其单点登录会话时使用的 URL。| 字符串 | https://secure.sharefiletest.com | | Maximum-Failed-Attempts|表示允许用户在特定时间段内被锁定在帐户之外之前输入无效密码的最大尝试次数。| 数字 | 5 | | OAuth-Client-ID | 表示使用授权服务器的用户的唯一 ID。|字符串 |Dzi4UPUAg5l8beKjioecdchmHUTWWln9 | | Operation-Name |表示对 Content Collaboration 执行的操作类型。| 字符串 | 创建、删除、上传、下载、共享、登录、复制、更新 | | Owner-ID |表示通讯组的所有者 ID。| 字符串 | 10812e09-ab02-4115-8405-8uas5e71258f | |Report-Type| 表示创建的报告的类型。下面是报告类型及其相应的 ID。| 数字 | 0, 2, 10 | | |0- 访问报告 | | | | |1- 活动报告 | | | | |2- 存储报告 | | | | |3- 消息传输报告 | | | | |4- 带宽详细信息报告 | | | | |5- 带宽汇总报告 | | | | |6- 加密的电子邮件报告 | | | | |7- 存储汇总报告 | | | | |8- 用户汇总报告 | | | | |9- 接受更改报告 | | | | |10- 共享发送报告 | | | | |11- 共享请求报告 | | | | Resource-ID | 指示资源的 ID。| 字符串 | 6bf1-2108-fa4b-55dea0b | | Resource-Type | 指示执行操作时所在的资源。 |字符串 | File, Users, Session, Account | | Shared-Folder-Name | 指示上载了受感染的文件所在的共享文件夹。| 字符串 | testfolder | | SP-Initiated Auth Context | 指示身份验证环境的比较级别。使用 “精确” 比较时,IdP 需要与选定的身份验证方法匹配。或者在使用 “最小值” 比较时使用更高的相对强度方法。| String | “最小值” 或 “精确”| | SP-Initiated-Auth-Method | 表示身份验证上下文的方法。根据选择,它可以是 “未指定”、“用户名和密码”、“密码保护传输”、“传输层安全客户端”、“X.509 证书”、“集成 Windows 身份验证” 或 Kerberos。| 字符串 | URN: Oasis: name: TC: samL: 2.0: AC: Classes: Password | | SP-Initiated-Redirect-Method | 表示方法SP 根据 Content Collaboration 提供的证书的大小启动重定向。| 字符串 | “默认”、“HTTP” 或 “POST”| |Save-Format|表示已保存报告的格式。| String | “Excel” 或 “CSV” | | Save-To-Folder| 表示报告是否应保存在特定文件夹中。| 布尔值 | “True” 或 “False” | |Sharing-Enabled-for-Client User|表示第三方客户端用户是否可以基于数据丢失防护 (DLP) 扫描的结果。| Boolean | “True” 或 “False” | |Sharing-Enabled-for-Employee-User |表示员工用户是否可以根据数据丢失防护 (DLP) 扫描的结果共享存储区域中的文件。| 布尔值 | “True” 或 “False” 、| |Start-Date |表示为您的 Content Collaboration 帐户生成报告的起始日期。| 字符串 | “2021-05-23T 04:00:00 + 00:00” | |Title |表示为您的 Content Collaboration 账户生成的报告的标题。|String | 测试报告| |Trusted-Domains | 表示允许用于 iframe 嵌入和跨源资源共享的域。|String |citrix.com | | | Upload-File-Size |表示用户上传的文件的大小(以千字节为单位)。| 数字 | 10 KB | | User-Email | 表示触发事件的用户的电子邮件地址。| 字符串 | testuser@citrix.com | | User-Name | 表示触发事件的用户。| 字符串 | kevin.smith@citrix.com | | Virus-Name | 表示感染文件的恶意软件的名称。| 字符串 | {HEX}EICAR.TEST.3.UNOFFICIAL |

自助搜索 Content Collaboration