Citrix Analytics for Security

SIEM 的 Citrix Analytics 数据导出格式

Citrix Analytics for Security 允许您与 Security Information and Event Management (SIEM) 服务集成。这种集成使得 Citrix Analytics for Security 能够向您的 SIEM 服务发送数据,并帮助您深入了解组织的安全风险状况。

目前,您可以将 Citrix Analytics for Security 与以下 SIEM 服务集成:

现在,“设置”下的“数据导出”选项在全球范围内可用。要查看数据源事件,请导航到 设置 > 数据导出 > 数据源事件

数据导出

Citrix Analytics for Security 向您的 SIEM 服务发送的风险洞察数据有两种类型:

  • 风险洞察事件(默认导出)
  • 数据源事件(可选导出)

    数据导出

SIEM 的风险洞察数据

完成帐户配置和 SIEM 设置后,默认数据集(风险洞察事件)开始流入您的 SIEM 部署。风险洞察数据集包括用户风险评分事件、用户资料事件和风险指标警报。它们由 Citrix Analytics 机器学习算法和用户行为分析通过利用用户事件生成。

用户的风险洞察数据集包括以下内容:

  • 风险评分变化:表示用户风险评分的变化。当用户的风险评分变化等于或大于 3,并且这种变化以任何速度增加或下降超过 10% 时,数据将发送到 SIEM 服务。
  • 风险指标摘要:为用户触发的风险指标的详细信息。
  • 风险指标事件详细信息:与风险指标相关的用户事件。Citrix Analytics 向 SIEM 服务发送每个风险指标发生情况的最多 1000 个事件详细信息。这些事件按发生的时间顺序发送。
  • 用户风险评分事件:用户当前的风险分数。Citrix Analytics for Security 每 12 小时向 SIEM 服务发送一次此数据。
  • 用户配置文件:用户配置文件数据可以分为:

    • 用户应用程序:用户启动和使用的应用程序。Citrix Analytics for Security 从 Citrix Virtual Apps 检索这些数据,并每 12 小时将其发送到 SIEM 服务。
    • 用户设备:与用户关联的设备。Citrix Analytics for Security 会从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,并每 12 小时将其发送到 SIEM 服务。
    • 用户位置:上次检测到用户所在的城市。Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 和 Citrix DaaS(前身为 Citrix Virtual Apps and Desktops 服务)检索这些数据。Citrix Analytics for Security 每 12 小时将此信息发送到您的 SIEM 服务。
    • 用户客户端 IP:用户设备的客户端 IP 地址。Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 和 Citrix DaaS(前身为 Citrix Virtual Apps and Desktops 服务)检索这些数据,并每 12 小时将这些信息发送到您的 SIEM 服务。

如果您只能查看但无法配置数据源事件首选项,则您没有必要的管理员权限。 要了解更多信息,请参阅管理 Security Analytics 的管理员角色

在以下示例中,“保存更改”按钮被禁用。默认情况下,风险洞察事件处于启用状态。

风险洞察数据

风险洞察事件的架构详情

以下部分介绍 Citrix Analytics for Security 生成的已处理数据的架构。

注意

以下架构示例中显示的字段值仅用于表示目的。实际字段值因用户配置文件、用户事件和风险指标而异。

下表描述了整个架构中所有用户配置文件数据、用户风险评分和风险评分更改的常见字段名称。

字段名称 说明
entity_id 与实体关联的身份。在这种情况下,实体是用户。
entity_type 面临风险的实体。在这种情况下,实体是用户。
event_type 发送到 SIEM 服务的数据类型。例如:用户的位置、用户的数据使用情况或用户的设备访问信息。
tenant_id 客户的独特身份。
timestamp 最近用户事件的日期和时间。
version 已处理数据的模式版本。当前模式版本为 2。

用户配置文件数据架

用户位置模式


{
  "tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2
  }

<!--NeedCopy-->

用户位置的字段描述

字段名称 说明
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是用户的位置。
country 用户登录的国家/地区。
city 用户登录的城市。
cnt 过去 12 小时内访问该位置的次数。

用户客户端 IP 架构


{
  "client_ip": "149.147.136.10",
  "cnt": 3,
  "entity_id": "r2_up_user_1",
  "entity_type": "user",
  "event_type": "userProfileClientIps",
  "tenant_id": "xaxddaily1",
  "timestamp": "2023-09-18T10:45:00Z",
  "version": 2
}


<!--NeedCopy-->

客户端 IP 的字段描述

字段名称 说明
client_ip 用户设备的 IP 地址。
cnt 用户在过去 12 小时内访问设备的次数。
entity_id 与实体关联的身份。在这种情况下,实体是用户。
entity_type 面临风险的实体。在这种情况下,事件类型是用户的客户端 IP。
event_type 发送到 SIEM 服务的数据类型。例如:用户的位置、用户的数据使用情况或用户的设备访问信息。
tenant_id 客户的独特身份。
timestamp 最近用户活动的日期和时间。
version 已处理数据的模式版本。当前模式版本为 2。

用户数据使用模式


{
  "data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2
  }

<!--NeedCopy-->

用户数据使用情况的字段描述

字段名称 说明
data_usage_bytes 用户使用的数据量(以字节为单位)。它是用户下载和上载卷的汇总。
deleted_file_cnt 用户删除的文件数。
downloaded_bytes 用户下载的数据量。
downloaded_file_count 用户下载的文件数。
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是用户的使用情况配置文件。
shared_file_count 用户共享的文件数。
uploaded_bytes 用户上载的数据量。
uploaded_file_cnt 用户上载的文件数。

用户设备模式


{
  "cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2
  }

<!--NeedCopy-->

用户设备的字段描述。

字段名称 说明
cnt 过去 12 小时内设备的访问次数。
device 设备的名称。
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是用户的设备访问信息。

用户应用模式


{
  "tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189
  }

<!--NeedCopy-->

用户应用的字段描述。

字段名称 说明
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是用户的设备访问信息。
session_domain 用户已登录的会话的 ID。
user_samaccountname 以前版本的 Windows(例如 Windows NT 4.0、Windows 95、Windows 98 和局域网管理器)的客户端和服务器的登录名称。此名称用于登录 Citrix StoreFront 并登录远程 Windows 计算机。
app 用户访问的应用程序的名称。
cnt 过去 12 小时内应用程序被访问的次数。

用户风险评分模式


{
  "cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2
  }

<!--NeedCopy-->

用户风险评分的字段描述。

字段名称 说明
cur_riskscore 分配给用户的当前风险评分。风险评分从 0 到 100 不等,具体取决于与用户事件相关的威胁严重程度。
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是用户的风险评分。
last_update_timestamp 上次为用户更新风险评分的时间。
timestamp 收集用户风险评分事件并发送到 SIEM 服务的时间。此事件将在每 12 小时后发送至您的 SIEM 服务。

风险评分变更模式

示例 1


{
  "alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2
  }

<!--NeedCopy-->

示例 2


{
  "alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2
  }

<!--NeedCopy-->

风险评分变化的字段描述。

字段名称 说明
alert_message 显示的风险评分变化的消息。
alert_type 指示警报是针对风险评分的提高还是风险评分百分比显著下降。如果用户的风险评分变化等于或超过 3,且此变化以任何速度增加或下降超过 10%,则数据将发送到 SIEM 服务。
alert_value 为风险评分变化分配的数值。风险评分变化是指用户当前风险评分与之前的风险评分之间的差异。警报值从 -100 到 100 不等。
cur_riskscore 分配给用户的当前风险评分。风险评分从 0 到 100 不等,具体取决于与用户事件相关的威胁严重程度。
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是用户风险评分的变化。
timestamp 为用户检测到风险评分的最新更改的日期和时间。

风险指标架构

风险指标架构由两部分组成:指标摘要架构和指标事件详细信息架构。根据风险指标,模式中的字段及其值会相应地发生变化。

下表描述了所有指标摘要架构中通用的字段名称。

字段名称 说明
data source 向 Citrix Analytics for Security 发送数据的产品。例如:Citrix Secure Private Access、Citrix Gateway 以及 Citrix Apps and Desktops。
data_source_id 与数据源关联的 ID。ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access
entity_type 面临风险的实体。它可以是用户。
entity_id 与面临风险的实体关联的 ID。
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是风险指标的摘要。
indicator_category 表示风险指标的类别。风险指标分为风险类别之一,即受到破坏的终端、受损的用户、数据泄露或内部威胁。
indicator_id 与风险指标关联的唯一 ID。
indicator_category_id 与风险指示器类别关联的 ID。ID 1 = 数据泄露,ID 2 = 内幕威胁,ID 3 = 受到攻击的用户,ID 4 = 受威胁的终端
indicator_name 风险指标的名称。对于自定义风险指标,此名称是在创建指标时定义的。
indicator_type 指示风险指标是默认的(内置)还是自定义指示器。
indicator_uuid 与风险指标实例关联的唯一 ID。
indicator_vector_name 表示与风险指标关联的风险向量。风险载体包括基于设备的风险指示器、基于位置的风险指示器、基于登录故障的风险指示器、基于 IP 的风险指示器、基于数据的风险指示器、基于文件的风险指示器和其他风险指示器。
indicator_vector_id 与风险载体关联的 ID。ID 1 = 基于设备的风险指标,ID 2 = 基于位置的风险指标,ID 3 = 基于登录失败的风险指标,ID 4 = 基于 IP 的风险指标,ID 5 = 基于数据的风险指标,ID 6 = 基于文件的风险指标,ID 7 = 其他风险指标,ID 999 = 不可用
occurrence_details 有关风险指标触发条件的详细信息。
risk_probability 表示与用户事件相关的风险的可能性。该值从 0 到 1.0 不等。对于自定义风险指标,risk _概率始终为 1.0,因为它是基于策略的指标。
severity 表示风险的严重程度。它可以是低、中或高。
tenant_id 客户的独特身份。
timestamp 触发风险指标的日期和时间。
ui_link 在 Citrix Analytics 用户界面上指向用户时间轴视图的链接。
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。

下表描述了所有指标事件详细信息架构中通用的字段名称。

字段名称 说明
data_source_id 与数据源关联的 ID。ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access
indicator_category_id 与风险指示器类别关联的 ID。ID 1 = 数据泄露,ID 2 = 内幕威胁,ID 3 = 受到攻击的用户,ID 4 = 受威胁的终端
entity_id 与面临风险的实体关联的 ID。
entity_type 面临风险的实体。它可以是用户。
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是风险指标事件的详细信息。
indicator_id 与风险指标关联的唯一 ID。
indicator_uuid 与风险指标实例关联的唯一 ID。
indicator_vector_name 表示与风险指标关联的风险向量。风险载体包括基于设备的风险指示器、基于位置的风险指示器、基于登录故障的风险指示器、基于 IP 的风险指示器、基于数据的风险指示器、基于文件的风险指示器和其他风险指示器。
indicator_vector_id 与风险载体关联的 ID。ID 1 = 基于设备的风险指标,ID 2 = 基于位置的风险指标,ID 3 = 基于登录失败的风险指标,ID 4 = 基于 IP 的风险指标,ID 5 = 基于数据的风险指标,ID 6 = 基于文件的风险指标,ID 7 = 其他风险指标,ID 999 = 不可用
tenant_id 客户的独特身份。
timestamp 触发风险指标的日期和时间。
version 已处理数据的模式版本。当前模式版本为 2。
client_ip 用户设备的 IP 地址。

注意

  • 如果整数数据类型字段值不可用,则分配的值为 -999。例如, "latitude": -999"longitude": -999

  • 如果字符串数据类型字段值不可用,则分配的值为 NA。例如, "city": "NA""region": "NA"

Citrix Secure Private Access 风险指标架构

尝试访问列入黑名单的 URL 风险指标架构

指标摘要架构

{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:59:58Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Attempt to access blacklisted URL",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-15T10:44:59Z",
    "relevant_event_type": "Blacklisted External Resource Access"
  }
}

<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": 401,
  "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-15T10:57:21Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "googleads.g.doubleclick.net",
  "executed_action": "blocked",
  "reason_for_action": "URL Category match",
  "client_ip": "157.xx.xxx.xxx"
}

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及尝试访问列入黑名单的 URL 的事件详细信息架构。

字段名称 说明
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。
executed_action 在列入黑名单的 URL 上应用的操作。该操作包括“允许”和“阻止”。
reason_for_action 为 URL 应用操作的原因。

数据下载过多的风险指标架构

指标摘要架构

{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Excessive data download",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": 403,
  "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "client_ip": "157.xx.xxx.xxx",
  "downloaded_bytes": 24000
}

<!--NeedCopy-->

下表介绍了特定于摘要架构的字段名称以及用于下载过多数据的事件详细信息架构。

字段名称 说明
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。
data_volume_in_bytes 下载的数据量(以字节为单位)。
relevant_event_type 指示用户事件的类型。
domain_name 从中下载数据的域的名称。
downloaded_bytes 下载的数据量(以字节为单位)。

异常的上载量风险指标架构

指标摘要架构

{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Insider threats",
  "indicator_name": "Unusual upload volume",
  "severity": "low",
  "data_source": "Citrix Secure Private Access",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2018-03-16T10:00:00Z",
    "data_volume_in_bytes": 24000,
    "relevant_event_type": "External Resource Access"
  }
}

<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": 402,
  "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
  "indicator_category_id": 2,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 4,
  "timestamp": "2018-03-16T10:30:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "domain_name": "www.facebook.com",
  "client_ip": "157.xx.xxx.xxx",
  "uploaded_bytes": 24000
}

<!--NeedCopy-->

下表介绍了特定于摘要架构的字段名称以及异常上载卷的事件详细信息架构。

字段名 说明
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。
data_volume_in_bytes 上载的数据量(以字节为单位)。
relevant_event_type 指示用户事件的类型。
domain_name 上载数据的域名。
uploaded_bytes 上载的数据量(以字节为单位)。

Citrix Endpoint Management 风险指标架构

越狱或根设备检测到的指标模式

指标摘要架构

{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 200,
  "indicator_name": "Jailbroken / Rooted Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:05Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->
指标事件详情模式
{
  "indicator_id": 200,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:35Z",
  "version": 2
}

<!--NeedCopy-->

检测到已列入黑名单的应用

指标摘要架构
{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 201,
  "indicator_name": "Device with Blacklisted Apps Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T17:49:23Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->
指标事件详情模式
{
  "indicator_id": 201,
  "client_ip": "122.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T17:50:39Z",
  "version": 2
}

<!--NeedCopy-->

检测到非托管设备

指标摘要架构
{
  "data_source": "Citrix Endpoint Management",
  "data_source_id": 2,
  "indicator_id": 203,
  "indicator_name": "Unmanaged Device Detected",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised endpoints",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_type": "builtin",
  "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-13T12:56:30Z",
  "ui_link": "https://analytics.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->
指标事件详情模式
{
  "indicator_id": 203,
  "client_ip": "127.xx.xx.xxx",
  "data_source_id": 2,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_category_id": 4,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-04-09T18:41:30Z",
  "version": 2
}

<!--NeedCopy-->

Citrix Gateway 风险指标架构

EPA 扫描失败风险指标架构

指标摘要架构
{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "EPA scan failure",
  "severity": "low",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "event_description": "Post auth failed, no quarantine",
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "EPA Scan Failure at Logon"
  }
}

<!--NeedCopy-->
指标事件详情模式
{
  "tenant_id": "demo_tenant",
  "indicator_id": 100,
  "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Other Risk Indicators",
    "id": 7 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:12:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Post auth failed, no quarantine",
  "gateway_domain_name": "10.102.xx.xx",
  "gateway_ip": "56.xx.xxx.xx",
  "policy_name": "postauth_act_1",
  "client_ip": "210.91.xx.xxx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "cs_vserver_name": "demo_vserver",
  "device_os": "Windows OS",
  "security_expression": "CLIENT.OS(Win12) EXISTS",
  "vpn_vserver_name": "demo_vpn_vserver",
  "vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->

该表描述了摘要架构特定的字段名称以及 EPA 扫描失败风险指标的事件详细信息架构。

字段名 说明
event_description 描述 EPA 扫描失败的原因,例如身份验证后失败和没有隔离组。
relevant_event_type 指示 EPA 扫描失败事件的类型。
gateway_domain_name Citrix Gateway 的域名。
gateway_ip Citrix Gateway 的 IP 地址。
policy_name Citrix Gateway 上配置的 EPA 扫描策略名称。
country 检测到用户事件的国家/地区。
city 检测到用户事件的城市。
region 检测到用户事件的区域。
cs_vserver_name 内容交换机虚拟服务器的名称。
device_os 用户设备的操作系统。
security_expression Citrix Gateway 上配置的安全表达式。
vpn_vserver_name Citrix Gateway 虚拟服务器的名称。
vserver_fqdn Citrix Gateway 虚拟服务器的 FQDN。

过度验证失败风险指标架构

指标摘要架构
{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Excessive authentication failures",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/”,
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2017-12-21T07:00:00Z",
    "relevant_event_type": "Logon Failure"
  }
}
<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": 101,
  "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2017-12-21T07:10:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo-user",
  "version": 2,
  "event_description": "Bad (format) password passed to nsaaad",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "auth_server_ip": "10.xxx.x.xx",
  "client_ip": "24.xxx.xxx.xx",
  "gateway_ip": "24.xxx.xxx.xx",
  "vserver_fqdn": "demo-fqdn.citrix.com",
  "vpn_vserver_name": "demo_vpn_vserver",
  "cs_vserver_name": "demo_cs_vserver",
  "gateway_domain_name": "xyz",
  "country": "United States",
  "region": "California",
  "city": "San Jose",
  "nth_failure": 5
}

<!--NeedCopy-->

下表介绍了特定于摘要架构的字段名称以及过度身份验证失败的事件详细信息架构。

字段名 说明
relevant_event_type 指示事件的类型,例如登录失败。
event_description 描述身份验证失败事件过多的原因,例如密码不正确。
authentication_stage 指示身份验证阶段是主要、次要还是第三阶段。
authentication_type 指示身份验证的类型,例如 LDAP、本地或 OAuth。
auth_server_ip 身份验证服务器的 IP 地址。
gateway_domain_name Citrix Gateway 的域名。
gateway_ip Citrix Gateway 的 IP 地址。
cs_vserver_name 内容交换机虚拟服务器的名称。
vpn_vserver_name Citrix Gateway 虚拟服务器的名称。
vserver_fqdn Citrix Gateway 虚拟服务器的 FQDN。
nth_failure 用户身份验证失败的次数。
country 检测到用户事件的国家/地区。
city 检测到用户事件的城市。
region 检测到用户事件的区域。

不可能旅行风险指标

指标摘要架构

{
  "tenant_id": "demo_tenant",
  "indicator_id": "111",
  "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": "111",
  "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 1,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "client_ip": "95.xxx.xx.xx",
  “ip_organization”: “global telecom ltd”,
  “ip_routing_type”: “mobile gateway”,
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "device_os": "Linux OS",
  "device_browser": "Chrome 62.0.3202.94"
}

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称和不可能旅行的事件详细信息架构。

字段名称 说明
distance 与不可能行驶相关的事件之间的距离 (km)。
historical_logon_locations 在观察期间,用户访问的位置以及每个位置的访问次数。
historical_observation_period_in_days 每个地点都被监视 30 天。
relevant_event_type 指示事件的类型,例如登录。
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。
country 用户登录的国家/地区。
city 用户登录的城市。
region 表示用户登录的区域。
latitude 指示用户登录的位置的纬度。
longitude 表示用户登录的位置的经度。
device_browser 用户使用的 Web 浏览器。
device_os 用户设备的操作系统。
ip_organization 注册客户端 IP 地址的组织
ip_routing_type 客户端 IP 路由类型

从可疑的 IP 风险指标架构登录

指标摘要架构

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.91,
  "indicator_category": "Compromised users",
  "indicator_name": "Logon from suspicious IP",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon",
    "client_ip": "1.0.xxx.xx",
    "observation_start_time": "2019-10-10T10:00:00Z",
    "suspicion_reasons": "brute_force|external_threat"
  }
}
<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": 102,
  "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "data_source_id": 1,
  "timestamp": "2019-10-10T10:11:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "suspicion_reasons": "external_threat",
  "gateway_ip": "gIP1",
  "client_ip": "128.0.xxx.xxx",
  "country": "Sweden",
  "city": "Stockholm",
  "region": "Stockholm",
  "webroot_reputation": 14,
  "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
  "device_os": "Windows OS",
  "device_browser": "Chrome"
}

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及从可疑 IP 登录的事件详细信息架构。

字段名称 说明
suspicious_reasons 识别 IP 地址为可疑的原因。
webroot_reputation 威胁情报提供商 Webroot 提供的 IP 信誉指数。
webroot_threat_categories 威胁情报提供商 Webroot 为可疑 IP 确定的威胁类别。
device_os 用户设备的操作系统。
device_browser 使用的 Web 浏览器。
country 检测到用户事件的国家/地区。
city 检测到用户事件的城市。
region 检测到用户事件的区域。

异常身份验证失败风险指标

指标摘要架构

{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:44:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Unusual authentication failure",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Logon Failure",
    "observation_start_time": "2020-04-01T05:45:00Z"
  }
}

<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": 109,
  "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Logon-Failure-Based Risk Indicators",
    "id": 3 },
  "data_source_id": 1,
  "timestamp": "2020-04-01T06:42:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "event_description": "Success",
  "authentication_stage": "Secondary",
  "authentication_type": "LDAP",
  "client_ip": "99.xxx.xx.xx",
  "country": "United States",
  "city": "San Jose",
  "region": "California",
  "device_os": "Windows OS ",
  "device_browser": "Chrome",
  "is_risky": "false"
}

<!--NeedCopy-->

下表介绍了特定于摘要架构的字段名称以及异常身份验证失败的事件详细信息架构。

字段名 说明
relevant_event_type 指示事件的类型,例如登录失败。
event_description 指示登录是成功还是失败
authentication_stage 指示身份验证阶段是主要、次要还是第三阶段。
authentication_type 指示身份验证的类型,例如 LDAP、本地或 OAuth。
is_risky 对于成功登录,is_冒险值为假。对于登录失败,is_冒险值为真。
device_os 用户设备的操作系统。
device_browser 用户使用的 Web 浏览器。
country 检测到用户事件的国家/地区。
city 检测到用户事件的城市。
region 检测到用户事件的区域。

可疑登录风险指标

指标摘要架构
{
  "tenant_id": "demo_tenant",
  "indicator_id": "110",
  "indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 0.71,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Gateway",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "observation_start_time": "2020-06-06T12:00:00Z",
    "relevant_event_type": "Logon",
    "event_count": 1,
    "historical_observation_period_in_days": 30,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "historical_logon_locations": "[{"country":"United States","region":"New York","city":"New York City","latitude":40.7128,"longitude":-74.0060,"count":9}]",
    "user_location_risk": 75,
    "device_id": "",
    "device_os": "Windows OS",
    "device_browser": "Chrome",
    "user_device_risk": 0,
    "client_ip": "99.xxx.xx.xx",
    "user_network_risk": 75,
    "webroot_threat_categories": "Phishing",
    "suspicious_network_risk": 89
  }
}


<!--NeedCopy-->
指标事件详情模式
{
  "tenant_id": "demo_tenant",
  "indicator_id": "110",
  "indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
  "indicator_category_id": 3,
  "indicator_vector": [
    {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    {
      "name": "IP-Based Risk Indicators",
      "id": 4
    },
    {
      "name": "Other Risk Indicators",
      "id": 7
    }
  ],
  "data_source_id": 1,
  "timestamp": "2020-06-06T12:08:40Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "country": "United States",
  "region": "Florida",
  "city": "Miami",
  "latitude": 25.7617,
  "longitude": -80.1918,
  "device_browser": "Chrome",
  "device_os": "Windows OS",
  "device_id": "NA",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称和可疑登录的事件详细信息架构。

字段名称 说明
historical_logon_locations 在观察期间,用户访问的位置以及每个位置的访问次数。
historical_observation_period_in_days 每个地点都被监视 30 天。
relevant_event_type 指示事件的类型,例如登录。
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。
occurrence_event_type 指示用户事件类型,例如帐户登录。
country 用户登录的国家/地区。
city 用户登录的城市。
region 表示用户登录的区域。
latitude 指示用户登录的位置的纬度。
longitude 表示用户登录的位置的经度。
device_browser 用户使用的 Web 浏览器。
device_os 用户设备的操作系统。
device_id 用户使用的设备的名称。
user_location_risk 表示用户登录的位置的可疑级别。低怀疑等级:0—69,中等怀疑等级:70—89,高怀疑等级:90—100
user_device_risk 表示用户从中登录的设备的可疑级别。低怀疑等级:0—69,中等怀疑等级:70—89,高怀疑等级:90—100
user_network_risk 表示用户登录的网络或子网的可疑级别。低怀疑等级:0—69,中等怀疑等级:70—89,高怀疑等级:90—100
suspicious_network_risk 表示基于 Webroot IP 威胁情报源的 IP 威胁级别。低威胁级别:0—69,中等威胁级别:70—89,高威胁级别:90—100
webroot_threat_categories 指示从基于 Webroot IP 威胁情报源的 IP 地址检测到的威胁类型。威胁类别可以是垃圾邮件源、Windows 漏洞利用、Web 攻击、僵尸网络、扫描程序、拒绝服务、信誉、网络钓鱼、代理、未指定、移动威胁和 Tor 代理

Citrix DaaS 和 Citrix Virtual Apps and Desktops 风险指标架构

不可能旅行风险指标

指标摘要架构
{
  "tenant_id": "demo_tenant",
  "indicator_id": "313",
  "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Compromised users",
  "indicator_name": "Impossible travel",
  "severity": "medium",
  "data_source": "Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Impossible travel",
    "distance": 7480.44718,
    "observation_start_time": "2020-06-06T12:00:00Z",
    "historical_logon_locations": "[{"country":"United States","region":"Florida","city":"Miami","latitude":25.7617,"longitude":-80.191,"count":28},{"country":"United States","latitude":37.0902,"longitude":-95.7129,"count":2}]",
    "historical_observation_period_in_days": 30
  }
}

<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": "313",
  "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
  "pair_id": 2,
  "indicator_category_id": 3,
  "indicator_vector": {
    "name": "Location-Based Risk Indicators",
    "id": 2
  },
  "data_source_id": 3,
  "timestamp": "2020-06-06T05:05:00Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "client_ip": "95.xxx.xx.xx",
  “ip_organization”: “global telecom ltd”,
  “ip_routing_type”: “mobile gateway”,
  "country": "Norway",
  "region": "Oslo",
  "city": "Oslo",
  "latitude": 59.9139,
  "longitude": 10.7522,
  "device_id": "device1",
  "receiver_type": "XA.Receiver.Linux",
  "os": "Linux OS",
  "browser": "Chrome 62.0.3202.94"
}

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称和不可能旅行的事件详细信息架构。

字段名称 说明
distance 与不可能行驶相关的事件之间的距离 (km)。
historical_logon_locations 在观察期间,用户访问的位置以及每个位置的访问次数。
historical_observation_period_in_days 每个地点都被监视 30 天。
relevant_event_type 指示事件的类型,例如登录。
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。
country 用户登录的国家/地区。
city 用户登录的城市。
region 表示用户登录的区域。
latitude 指示用户登录的位置的纬度。
longitude 表示用户登录的位置的经度。
browser 用户使用的 Web 浏览器。
os 用户设备的操作系统。
device_id 用户使用的设备的名称。
receiver_type 用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver 的类型。
ip_organization 注册客户端 IP 地址的组织
ip_routing_type 客户端 IP 路由类型

潜在的数据泄露风险指标

指标摘要架构

{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:59:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "risk_probability": 1,
  "indicator_category": "Data exfiltration",
  "indicator_name": "Potential data exfiltration",
  "severity": "low",
  "data_source": "Citrix Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details": {
    "relevant_event_type": "Download/Print/Copy",
    "observation_start_time": "2018-04-02T10:00:00Z",
    "exfil_data_volume_in_bytes": 1172000
  }
}

<!--NeedCopy-->
指标事件详情模式

{
  "tenant_id": "demo_tenant",
  "indicator_id": 303,
  "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
  "indicator_category_id": 1,
  "indicator_vector": {
    "name": "Data-Based Risk Indicators",
    "id": 5 },
  "data_source_id": 3,
  "timestamp": "2018-04-02T10:57:36Z",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "demo_user",
  "version": 2,
  "occurrence_event_type": "App.SaaS.Clipboard",
  "file_size_in_bytes": 98000,
  "file_type": "text",
  "device_id": "dvc5",
  "receiver_type": "XA.Receiver.Windows",
  "app_url": "https://www.citrix.com",
  "client_ip": "10.xxx.xx.xxx",
  "entity_time_zone": "Pacific Standard Time"
}

<!--NeedCopy-->

下表介绍了特定于摘要架构的字段和潜在数据泄露的事件详细信息架构。

字段名称 说明
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。
relevant_event_type 表示用户事件,例如下载、打印或复制数据。
exfil_data_volume_in_bytes 数据泄露的量。
occurrence_event_type 指示数据泄露的发生方式,例如 SaaS 应用程序中的剪贴板操作。
file_size_in_bytes 文件的大小。
file_type 文件的类型。
device_id 用户设备的 ID。
receiver_type 安装在用户设备上的 Citrix Workspace 应用程序或 Citrix Receiver。
app_url 用户访问的应用程序的 URL。
entity_time_zone 用户的时区。

可疑登录风险指标架构

指标摘要架构
{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06T12:14:59Z",
  "event_type": "indicatorSummary",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "risk_probability": 0.78,
  "indicator_category": "Compromised users",
  "indicator_name": "Suspicious logon",
  "severity": "medium",
  "data_source": "Citrix Apps and Desktops",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "indicator_type": "builtin",
  "occurrence_details":
  {
    "user_location_risk": 0,
    "city": "Some_city",
    "observation_start_time": "2020-06-06T12:00:00Z",
    "event_count": 1,
    "user_device_risk": 75,
    "country": "United States",
    "device_id": "device2",
    "region": "Some_Region",
    "client_ip": "99.xx.xx.xx",
    "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
    "historical_logon_locations": "[{"country":"United States","latitude":45.0,"longitude":45.0,"count":12},{"country":"United States","region":"Some_Region_A","city":"Some_City_A","latitude":0.0,"longitude":0.0,"count":8}]",
    "relevant_event_type": "Logon",
    "user_network_risk": 100,
    "historical_observation_period_in_days": 30,
    "suspicious_network_risk": 0
  }
}

<!--NeedCopy-->
指标事件详情模式
{
  "tenant_id": "tenant_1",
  "indicator_id": "312",
  "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
  "indicator_category_id": 3,
  "indicator_vector":
  [
    {
      "name": "Other Risk Indicators",
      "id": 7
    },
    {
      "name":"Location-Based Risk Indicators",
      "id":2
    },
    {
      "name":"IP-Based Risk Indicators",
      "id":4
    },
    {
      "name": "Device-Based Risk Indicators",
      "id": 1
    },
  ],
  "data_source_id": 3,
  "timestamp": "2020-06-06 12:02:30",
  "event_type": "indicatorEventDetails",
  "entity_type": "user",
  "entity_id": "user2",
  "version": 2,
  "occurrence_event_type": "Account.Logon",
  "city": "Some_city",
  "country": "United States",
  "region": "Some_Region",
  "latitude": 37.751,
  "longitude": -97.822,
  "browser": "Firefox 1.3",
  "os": "Windows OS",
  "device_id": "device2",
  "receiver_type": "XA.Receiver.Chrome",
  "client_ip": "99.xxx.xx.xx"
}

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称和可疑登录的事件详细信息架构。

字段名称 说明
historical_logon_locations 在观察期间,用户访问的位置以及每个位置的访问次数。
historical_observation_period_in_days 每个地点都被监视 30 天。
relevant_event_type 指示事件的类型,例如登录。
observation_start_time Citrix Analytics 开始监视用户事件直到时间戳的时间。如果在此时间段内检测到任何异常行为,则会触发风险指标。
occurrence_event_type 指示用户事件类型,例如帐户登录。
country 用户登录的国家/地区。
city 用户登录的城市。
region 表示用户登录的区域。
latitude 指示用户登录的位置的纬度。
longitude 表示用户登录的位置的经度。
browser 用户使用的 Web 浏览器。
os 用户设备的操作系统。
device_id 用户使用的设备的名称。
receiver_type 用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver 的类型。
user_location_risk 表示用户登录的位置的可疑级别。低怀疑等级:0—69,中等怀疑等级:70—89,高怀疑等级:90—100
user_device_risk 表示用户从中登录的设备的可疑级别。低怀疑等级:0—69,中等怀疑等级:70—89,高怀疑等级:90—100
user_network_risk 表示用户登录的网络或子网的可疑级别。低怀疑等级:0—69,中等怀疑等级:70—89,高怀疑等级:90—100
suspicious_network_risk 表示基于 Webroot IP 威胁情报源的 IP 威胁级别。低威胁级别:0—69,中等威胁级别:70—89,高威胁级别:90—100
webroot_threat_categories 指示从基于 Webroot IP 威胁情报源的 IP 地址检测到的威胁类型。威胁类别可以是垃圾邮件源、Windows 漏洞利用、Web 攻击、僵尸网络、扫描程序、拒绝服务、信誉、网络钓鱼、代理、未指定、移动威胁和 Tor 代理

Microsoft Active Directory 指示器

指标摘要架构

{
  "data_source": "Microsoft Graph Security",
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_id": 1000,
  "indicator_name": "MS Active Directory Indicator",
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_type": "builtin",
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "occurrence_details": {},
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "ui_link": "https://analytics-daily.cloud.com/user/",
  "version": 2
}

<!--NeedCopy-->

指标事件详情模式

{
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorEventDetails",
  "indicator_id": 1000,
  "indicator_vector": {
    "name": "IP-Based Risk Indicators",
    "id": 4 },
  "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-01-27T16:03:46Z",
  "version": 2
}

<!--NeedCopy-->

自定义风险指标架构

下一节描述了自定义风险指标的架构。

注意

目前,Citrix Analytics 会将与 Citrix DaaS 和 Citrix Virtual Apps and Desktops 的自定义风险指标相关的数据发送到您的 SIEM 服务。

下表描述了自定义风险指标摘要架构的字段名称。

字段名称 说明
data source 向 Citrix Analytics for Security 发送数据的产品。例如:Citrix Secure Private Access、Citrix Gateway 以及 Citrix Apps and Desktops。
data_source_id 与数据源关联的 ID。ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access
entity_id 与面临风险的实体关联的 ID。
entity_type 面临风险的实体。在这种情况下,实体是用户。
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是风险指标的摘要。
indicator_category 表示风险指标的类别。风险指标分为风险类别之一,即受到破坏的终端、受损的用户、数据泄露或内部威胁。
indicator_id 与风险指标关联的唯一 ID。
indicator_category_id 与风险指标类别关联的 ID。ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受感染的用户,ID 4 = 受感染的终端
indicator_name 风险指标的名称。对于自定义风险指标,此名称是在创建指标时定义的。
indicator_type 指示风险指标是默认的(内置)还是自定义指示器。
indicator_uuid 与风险指标实例关联的唯一 ID。
occurrence_details 有关风险指标触发条件的详细信息。
pre_configured 指示自定义风险指标是否已预配置。
risk_probability 表示与用户事件相关的风险的可能性。该值从 0 到 1.0 不等。对于自定义风险指标,risk _概率始终为 1.0,因为它是基于策略的指标。
severity 表示风险的严重程度。它可以是低、中或高。
tenant_id 客户的独特身份。
timestamp 触发风险指标的日期和时间。
ui_link 在 Citrix Analytics 用户界面上指向用户时间轴视图的链接。
version 已处理数据的模式版本。当前模式版本为 2。

下表描述了自定义风险指标事件详细信息架构中通用的字段名称。

字段名称 说明
data_source_id 与数据源关联的 ID。ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access
indicator_category_id 与风险指标类别关联的 ID。ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受感染的用户,ID 4 = 受感染的终端
event_type 发送到 SIEM 服务的数据类型。在这种情况下,事件类型是风险指标事件的详细信息。
tenant_id 客户的独特身份。
entity_id 与面临风险的实体关联的 ID。
entity_type 面临风险的实体。在这种情况下,它是用户。
indicator_id 与风险指标关联的唯一 ID。
indicator_uuid 与风险指标实例关联的唯一 ID。
timestamp 触发风险指标的日期和时间。
version 已处理数据的模式版本。当前模式版本为 2。
event_id 与用户事件关联的 ID。
occurrence_event_type 指示用户事件的类型,例如会话登录、会话启动和帐户登录。
product 指示 Citrix Workspace 应用程序的类型,例如适用于 Windows 的 Citrix Workspace 应用程序
client_ip 用户设备的 IP 地址。
session_user_name 与 Citrix Apps and Desktops 会话关联的用户名。
city 从中检测到用户事件的城市的名称。
country 从中检测到用户事件的国家/地区的名称。
device_id 用户使用的设备的名称。
os_name 用户设备上安装的操作系统。有关详细信息,请参阅应用程序和桌面的自助式搜索
os_version 用户设备上安装的操作系统的版本。有关详细信息,请参阅应用程序和桌面的自助式搜索
os_extra_info 与用户设备上安装的操作系统相关的额外详细信息。有关详细信息,请参阅应用程序和桌面的自助式搜索

Citrix DaaS 和 Citrix Virtual Apps and Desktops 的自定义风险指标

指标摘要架构

{
  "data_source": " Citrix Apps and Desktops",
  "data_source_id": 3,
  "entity_id": "demo_user",
  "entity_type": "user",
  "event_type": "indicatorSummary",
  "indicator_category": "Compromised users",
  "indicator_category_id": 3,
  "indicator_id": "ca97a656ab0442b78f3514052d595936",
  "indicator_name": "Demo_user_usage",
  "indicator_type": "custom",
  "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
  "occurrence_details": {
    "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
  "pre_configured": "N",
  "risk_probability": 1.0,
  "severity": "low",
  "tenant_id": "demo_tenant",
  "timestamp": "2021-02-10T14:47:25Z",
  "ui_link": "https://analytics.cloud.com/user/ ",
  "version": 2
}

<!--NeedCopy-->
会话登录事件的指示器事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "SYD04-MS1-S102",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

下表描述了特定于会话登录事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 启动的应用程序或桌面的名称。
launch_type 表示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 事件会话的 GUID。
会话启动事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
}

<!--NeedCopy-->

下表描述了特定于会话启动事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 启动的应用程序或桌面的名称。
launch_type 表示应用程序或桌面。
帐户登录事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Account.Logon",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
}

<!--NeedCopy-->

下表描述了特定于帐户登录事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 启动的应用程序或桌面的名称。
会话结束事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Session.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}

<!--NeedCopy-->

下表描述了特定于会话结束事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 启动的应用程序或桌面的名称。
launch_type 表示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 事件会话的 GUID。
应用启动事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.Start",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

下表介绍了特定于应用程序启动事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 启动的应用程序或桌面的名称。
launch_type 表示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 事件会话的 GUID。
module_file_path 正在使用的应用程序的路径。
应用结束事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "app_name": "notepad",
  "launch_type": "Application",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "module_file_path": "/root/folder1/folder2/folder3"
}

<!--NeedCopy-->

下表介绍了特定于应用程序结束事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 启动的应用程序或桌面的名称。
launch_type 表示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 事件会话的 GUID。
module_file_path 正在使用的应用程序的路径。
文件下载事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "File.Download",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "file_download_file_name": "File5.txt",
  "file_download_file_path": "/root/folder1/folder2/folder3",
  "file_size_in_bytes": 278,
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "device_type": "USB"
}

<!--NeedCopy-->

下表描述了特定于文件下载事件的事件详细信息架构的字段名称。

字段名称 说明
file_download_file_name 下载文件的名称。
file_download_file_path 下载文件的目标路径。
launch_type 表示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 事件会话的 GUID。
device_type 指示下载文件的设备的类型。
打印事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "Printing",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "printer_name": "Test-printer",
  "launch_type": "Desktop",
  "domain": "test_domain",
  "server_name": "test_server",
  "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  "job_details_size_in_bytes": 454,
  "job_details_filename": "file1.pdf",
  "job_details_format": "PDF"
}

<!--NeedCopy-->

下表描述了特定于打印事件的事件详细信息架构的字段名称。

字段名称 说明
printer_name 用于打印作业的打印机的名称。
launch_type 表示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 事件会话的 GUID。
job_details_size_in_bytes 打印作业(例如文件或文件夹)的大小。
job_details_filename 打印文件的名称。
job_details_format 打印作业的格式。
应用程序 SaaS 启动事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.Launch",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

下表介绍了特定于应用程序 SaaS 启动事件的事件详细信息架构的字段名称。

字段名称 说明
launch_type 表示应用程序或桌面。
应用程序 SaaS 结束事件的指标事件详细信息架构
{
  "event_type": "indicatorEventDetails",
  "data_source_id": 3,
  "indicator_category_id": 3,
  "tenant_id": "demo_tenant",
  "entity_id": "demo_user",
  "entity_type": "user",
  "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
  "timestamp": "2021-03-19T10:08:05Z",
  "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
  "version": 2,
  "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
  "occurrence_event_type": "App.SaaS.End",
  "product": "XA.Receiver.Windows",
  "client_ip": "103.xx.xxx.xxx",
  "session_user_name": "user01",
  "city": "Mumbai",
  "country": "India",
  "device_id": "5-Synthetic_device",
  "os_name": "Windows NT 6.1",
  "os_version": "7601",
  "os_extra_info": "Service Pack 1",
  "launch_type": "Desktop",
}

<!--NeedCopy-->

下表介绍了特定于应用程序 SaaS 结束事件的事件详细信息架构的字段名称。

字段名称 说明
launch_type 表示应用程序或桌面。

数据源事件

此外,您可以配置数据导出功能,从启用 Citrix Analytics for Security 的产品数据源中导出用户事件。在 Citrix 环境中执行任何活动时,都会生成数据源事件。导出的事件是未经处理的实时用户和产品使用数据,可在自助服务视图中找到。这些事件中包含的元数据可以进一步用于更深入的威胁分析、创建新的控制板,并与安全和 IT 基础设施中的其他非 Citrix 数据源事件相关联。

目前,Citrix Analytics for Security 会向您的 SIEM 发送针对 Citrix Virtual Apps and Desktops 数据源的用户事件。

数据源事件的架构详细信息

Citrix Virtual Apps and Desktops 事件

当用户使用虚拟应用程序或虚拟桌面时,Citrix Analytics for Security 会实时接收用户事件。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源。您可以在 SIEM 中查看以下与 Citrix Virtual Apps and Desktops 相关的用户事件:

  • 所有事件类型
  • 帐户登录
  • 应用程序(开始、启动、结束)
  • 剪贴板
  • 文件(打印、下载)
  • 文件下载 (SaaS)
  • HDX 会话源
  • 打印
  • 会话(登录、启动、结束、终止)
  • Url
  • VDA 数据
  • 创建 VDA 进程

有关事件及其属性的更多信息,请参阅 Virtual Apps and Desktops 自助搜索

您可以查看哪些事件类型已启用并流向 SIEM。您可以配置或删除适用于租户的事件类型,然后单击“保存更改”按钮以保存您的设置。

数据源事件

SIEM 的 Citrix Analytics 数据导出格式