Citrix Analytics für Sicherheit

Citrix Analytics-Datenexportformat für SIEM

Citrix Analytics for Security ermöglicht Ihnen die Integration in Ihre SIEM-Dienste (Security Information and Event Management). Diese Integration ermöglicht es Citrix Analytics for Security, Daten an Ihre SIEM-Dienste zu senden, und hilft Ihnen, Einblicke in die Sicherheitsrisikolage Ihres Unternehmens zu erhalten.

Derzeit können Sie Citrix Analytics for Security in die folgenden SIEM-Dienste integrieren:

Das Option “Datenexporte” ist jetzt weltweit verfügbar unter Einstellungen. Um die Datenquellenereignisse anzuzeigen, navigieren Sie zu Einstellungen > Datenexporte > Ereignisse aus der Datenquelle.

Datenexport

Es gibt zwei Arten von Risikoeinblicken, die von Citrix Analytics for Security an Ihren SIEM-Dienst gesendet werden:

  • Risk Insights-Ereignisse (Standardexporte)
  • Datenquellenereignisse (optionale Exporte)

    Datenexporte

Risiko-Insights-Daten für SIEM

Sobald Sie die Kontokonfiguration und die SIEM-Einrichtung abgeschlossen haben, fließen Standarddatasets (Risk Insights-Ereignisse) in Ihre SIEM-Bereitstellung. Zu den Risk Insights-Datasets gehören Benutzerrisikobewertungsereignisse, Benutzerprofilereignisse und Warnungen zu Risikoindikatoren. Diese werden von Citrix Analytics-Algorithmen für maschinelles Lernen und der Analyse des Benutzerverhaltens generiert, indem Benutzerereignisse genutzt werden.

Zu den Risiko-Insights-Datasets eines Benutzers gehören die folgenden:

  • Änderung der Risikobewertung: Gibt eine Änderung der Risikobewertung des Benutzers an. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder größer als 3 ist und diese Änderung auf jeden Fall zunimmt oder um mehr als 10 % abnimmt, werden die Daten an den SIEM-Dienst gesendet.
  • Zusammenfassung des Risikoindikators: Die Details des Risikoindikators, der für einen Benutzer ausgelöst wurde.
  • Details zum Risikoindikatorereignis: Die Benutzerereignisse, die mit einem Risikoindikator verknüpft sind. Citrix Analytics sendet maximal 1000 Ereignisdetails für jedes Auftreten eines Risikoindikators an Ihren SIEM-Dienst. Diese Ereignisse werden in chronologischer Reihenfolge ihres Auftretens gesendet.
  • Ereignis zur Risikobewertung des Benutzers: Die aktuelle Risikobewertung eines Benutzers. Citrix Analytics for Security sendet diese Daten alle 12 Stunden an den SIEM-Dienst.
  • Benutzerprofil: Die Benutzerprofildaten können kategorisiert werden in:

    • Benutzer-Apps: Die Anwendungen, die ein Benutzer gestartet und verwendet hat. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps ab und sendet sie alle 12 Stunden an den SIEM-Dienst.
    • Gerät des Nutzers: Die Geräte, die einem Benutzer zugeordnet sind. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps und Citrix Endpoint Management ab und sendet sie alle 12 Stunden an den SIEM-Dienst.
    • Standort des Benutzers: Die Stadt, in der ein Benutzer zuletzt erkannt wurde. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps and Desktops und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) ab. Citrix Analytics for Security sendet diese Informationen alle 12 Stunden an Ihren SIEM-Dienst.
    • Client-IP des Benutzers: Die Client-IP-Adresse des Benutzergeräts. Citrix Analytics for Security ruft diese Daten von Citrix Virtual Apps and Desktops und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) ab und sendet diese Informationen alle 12 Stunden an Ihren SIEM-Dienst.

Wenn Sie die Ereigniseinstellungen für Datenquellen nur anzeigen, aber nicht konfigurieren können, verfügen Sie nicht über die erforderlichen Administratorberechtigungen. Weitere Informationen finden Sie unter Verwalten von Administratorrollen für Security Analytics.

Im folgenden Beispiel wird die Änderungen speichern deaktiviert ist. Die Risk Insight-Ereignisse sind standardmäßig aktiviert.

Daten zu Risikoeinblicken

Schemadetails der Risk Insights-Ereignisse

Im folgenden Abschnitt wird das Schema der verarbeiteten Daten beschrieben, die von Citrix Analytics for Security generiert werden.

Hinweis

Die in den folgenden Schemabeispielen gezeigten Feldwerte dienen nur zu Darstellungszwecken. Die tatsächlichen Feldwerte variieren je nach Benutzerprofil, Benutzerereignissen und Risikoindikator.

In der folgenden Tabelle werden die Feldnamen beschrieben, die im gesamten Schema für alle Benutzerprofildaten, die Benutzerrisikobewertung und die Änderung der Risikobewertung gelten.

Feldname Beschreibung
entity_id Die Identität, die der Entität zugeordnet ist. In diesem Fall ist die Entität der Benutzer.
entity_type Das gefährdete Unternehmen. In diesem Fall ist die Entität der Benutzer.
event_type Der Datentyp, der an Ihren SIEM-Dienst gesendet wird. Beispiel: der Standort des Benutzers, die Datennutzung des Benutzers oder die Gerätezugriffsinformationen des Benutzers.
tenant_id Die einzigartige Identität des Kunden.
timestamp Das Datum und die Uhrzeit der letzten Benutzeraktivität.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.

Datenschema des Benutzerprofils

Schema des Benutzerstandorts


  {
    "tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2
    }

<!--NeedCopy-->

Feldbeschreibung für den Standort des Benutzers

Feldname Beschreibung
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall ist der Ereignistyp der Standort des Benutzers.
country Das Land, von dem aus sich der Benutzer angemeldet hat.
city Die Stadt, von der aus sich der Benutzer angemeldet hat.
cnt Die Häufigkeit, mit der in den letzten 12 Stunden auf den Standort zugegriffen wurde.

IP-Schema des Benutzerclients


  {
    "client_ip": "149.147.136.10",
    "cnt": 3,
    "entity_id": "r2_up_user_1",
    "entity_type": "user",
    "event_type": "userProfileClientIps",
    "tenant_id": "xaxddaily1",
    "timestamp": "2023-09-18T10:45:00Z",
    "version": 2
  }


<!--NeedCopy-->

Feldbeschreibung für Client-IP

Feldname Beschreibung
client_ip Die IP-Adresse des Endgeräts des Nutzers.
cnt Die Häufigkeit, mit der der Benutzer in den letzten 12 Stunden auf das Gerät zugegriffen hat.
entity_id Die Identität, die der Entität zugeordnet ist. In diesem Fall ist die Entität der Benutzer.
entity_type Das gefährdete Unternehmen. In diesem Fall ist der Ereignistyp die Client-IP-Adresse des Benutzers.
event_type Der Datentyp, der an Ihren SIEM-Dienst gesendet wird. Beispiel: der Standort des Benutzers, die Datennutzung des Benutzers oder die Gerätezugriffsinformationen des Benutzers.
tenant_id Die einzigartige Identität des Kunden.
timestamp Das Datum und die Uhrzeit der letzten Benutzeraktivität.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.

Schema zur Verwendung von Benutzerdaten


  {
    "data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2
    }

<!--NeedCopy-->

Feldbeschreibung für die Nutzung von Benutzerdaten

Feldname Beschreibung
data_usage_bytes Die Datenmenge (in Bytes), die vom Benutzer verwendet wird. Es handelt sich um die Summe des heruntergeladenen und hochgeladenen Volumes für einen Benutzer.
deleted_file_cnt Die Anzahl der Dateien, die vom Benutzer gelöscht wurden.
downloaded_bytes Die Menge der vom Benutzer heruntergeladenen Daten.
downloaded_file_count Die Anzahl der Dateien, die vom Benutzer heruntergeladen wurden.
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall ist der Ereignistyp das Nutzungsprofil des Benutzers.
shared_file_count Die Anzahl der Dateien, die vom Benutzer freigegeben wurden.
uploaded_bytes Die Menge der vom Benutzer hochgeladenen Daten.
uploaded_file_cnt Die Anzahl der Dateien, die vom Benutzer hochgeladen wurden.

Schema des Benutzergeräts


  {
    "cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2
    }

<!--NeedCopy-->

Feldbeschreibung für das Benutzergerät.

Feldname Beschreibung
cnt Die Häufigkeit, mit der in den letzten 12 Stunden auf das Gerät zugegriffen wurde.
device Der Name des Geräts.
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall handelt es sich bei dem Ereignistyp um die Gerätezugriffsinformationen des Benutzers.

Schema der Benutzer-App


  {
    "tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189
    }

<!--NeedCopy-->

Feldbeschreibung für die Benutzer-App.

Feldname Beschreibung
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall handelt es sich bei dem Ereignistyp um die Gerätezugriffsinformationen des Benutzers.
session_domain Die ID der Sitzung, bei der sich der Benutzer angemeldet hat.
user_samaccountname Der Anmeldename für Clients und Server aus einer früheren Version von Windows, z. B. Windows NT 4.0, Windows 95, Windows 98 und LAN Manager. Dieser Name wird für die Anmeldung bei Citrix StoreFront und auch für die Anmeldung an einer Windows-Remotemaschine verwendet.
app Der Name der Anwendung, auf die der Benutzer zugreift.
cnt Die Häufigkeit, mit der in den letzten 12 Stunden auf die Anwendung zugegriffen wurde.

Schema der Risikobewertung für Benutzer


  {
    "cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2
    }

<!--NeedCopy-->

Feldbeschreibung für die Risikobewertung des Benutzers.

Feldname Beschreibung
cur_riskscore Die aktuelle Risikobewertung, die dem Benutzer zugewiesen ist. Die Risikobewertung variiert zwischen 0 und 100, abhängig vom Schweregrad der Bedrohung, der mit der Aktivität des Benutzers verbunden ist.
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall ist der Ereignistyp die Risikobewertung des Benutzers.
last_update_timestamp Der Zeitpunkt, zu dem die Risikobewertung für einen Benutzer zuletzt aktualisiert wurde.
timestamp Der Zeitpunkt, zu dem das Ereignis der Benutzerrisikobewertung erfasst und an Ihren SIEM-Dienst gesendet wird. Dieses Ereignis wird alle 12 Stunden an Ihren SIEM-Dienst gesendet.

Schema zur Änderung der Risikobewertung

Beispiel 1:


  {
    "alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2
    }

<!--NeedCopy-->

Beispiel 2:


  {
    "alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2
    }

<!--NeedCopy-->

Feldbeschreibung für die Änderung der Risikobewertung.

Feldname Beschreibung
alert_message Die Meldung, die für die Änderung der Risikobewertung angezeigt wird.
alert_type Gibt an, ob es sich bei der Warnung um eine Erhöhung der Risikobewertung oder einen signifikanten Rückgang des Prozentsatzes der Risikobewertung handelt. Wenn die Änderung der Risikobewertung eines Benutzers gleich oder mehr als drei ist und diese Änderung auf jeden Fall zunimmt oder um mehr als 10 % abnimmt, werden die Daten an den SIEM-Dienst gesendet.
alert_value Ein numerischer Wert, der für die Änderung der Risikobewertung zugewiesen wird. Die Änderung der Risikobewertung ist die Differenz zwischen der aktuellen Risikobewertung und der vorherigen Risikobewertung für einen Benutzer. Der Alarmwert variiert zwischen -100 und 100.
cur_riskscore Die aktuelle Risikobewertung, die dem Benutzer zugewiesen ist. Die Risikobewertung variiert zwischen 0 und 100, abhängig vom Schweregrad der Bedrohung, der mit der Aktivität des Benutzers verbunden ist.
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall ist der Ereignistyp die Änderung der Risikobewertung des Benutzers.
timestamp Das Datum und die Uhrzeit, zu der die letzte Änderung der Risikobewertung für den Benutzer erkannt wird.

Schema der Risikoindikatoren

Das Risikoindikatorschema besteht aus zwei Teilen: dem Indikatorzusammenfassungsschema und dem Schema für Indikatorereignisdetails. Basierend auf dem Risikoindikator ändern sich die Felder und ihre Werte im Schema entsprechend.

In der folgenden Tabelle werden die Feldnamen beschrieben, die für alle Indikatorzusammenfassungsschemata gelten.

Feldname Beschreibung
data source Die Produkte, die Daten an Citrix Analytics for Security senden. Beispiel: Citrix Secure Private Access, Citrix Gateway und Citrix Apps and Desktops.
data_source_id Die ID, die einer Datenquelle zugeordnet ist. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access
entity_type Das gefährdete Unternehmen. Es kann ein Benutzer sein.
entity_id Die ID, die der gefährdeten Entität zugeordnet ist.
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall ist der Ereignistyp die Zusammenfassung des Risikoindikators.
indicator_category Gibt die Kategorien der Risikoindikatoren an. Die Risikoindikatoren sind in eine der Risikokategorien gruppiert: kompromittierter Endpunkt, kompromittierte Benutzer, Datenexfiltration oder Insider-Bedrohungen.
indicator_id Die eindeutige ID, die dem Risikoindikator zugeordnet ist.
indicator_category_id Die ID, die einer Risikoindikatorkategorie zugeordnet ist. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierter Endpunkt
indicator_name Der Name des Risikoindikators. Bei einem benutzerdefinierten Risikoindikator wird dieser Name bei der Erstellung des Indikators definiert.
indicator_type Gibt an, ob es sich bei dem Risikoindikator um einen Standardindikator (integriert) oder einen benutzerdefinierten Indikator handelt.
indicator_uuid Die eindeutige ID, die der Instanz des Risikoindikators zugeordnet ist.
indicator_vector_name Gibt den Risikovektor an, der einem Risikoindikator zugeordnet ist. Bei den Risikovektoren handelt es sich um gerätebasierte Risikoindikatoren, standortbasierte Risikoindikatoren, auf Anmeldefehlern basierende Risikoindikatoren, IP-basierte Risikoindikatoren, datenbasierte Risikoindikatoren, dateibasierte Risikoindikatoren und andere Risikoindikatoren.
indicator_vector_id Die ID, die einem Risikovektor zugeordnet ist. ID 1 = Gerätebasierte Risikoindikatoren, ID 2 = Standortbasierte Risikoindikatoren, ID 3 = Risikoindikatoren für Anmeldefehler, ID 4 = IP-basierte Risikoindikatoren, ID 5 = Datenbasierte Risikoindikatoren, ID 6 = Dateibasierte Risikoindikatoren, ID 7 = Andere Risikoindikatoren und ID 999 = Nicht verfügbar
occurrence_details Die Details zum Auslösen der Bedingung für den Risikoindikator.
risk_probability Gibt die Risikowahrscheinlichkeit an, die mit dem Benutzerereignis verbunden ist. Der Wert variiert zwischen 0 und 1,0. Bei einem benutzerdefinierten Risikoindikator beträgt der risk_probability immer 1,0, da es sich um einen richtlinienbasierten Indikator handelt.
severity Gibt den Schweregrad des Risikos an. Er kann niedrig, mittel oder hoch sein.
tenant_id Die einzigartige Identität des Kunden.
timestamp Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
ui_link Der Link zur Benutzerzeitachsenansicht auf der Citrix Analytics-Benutzeroberfläche.
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.

In der folgenden Tabelle werden die Feldnamen beschrieben, die für alle Schemata der Indikatorereignisdetails gelten.

Feldname Beschreibung
data_source_id Die ID, die einer Datenquelle zugeordnet ist. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access
indicator_category_id Die ID, die einer Risikoindikatorkategorie zugeordnet ist. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierter Endpunkt
entity_id Die ID, die der gefährdeten Entität zugeordnet ist.
entity_type Das Unternehmen, das gefährdet ist. Es kann Benutzer sein.
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall handelt es sich bei dem Ereignistyp um die Details des Risikoindikatorereignisses.
indicator_id Die eindeutige ID, die dem Risikoindikator zugeordnet ist.
indicator_uuid Die eindeutige ID, die der Instanz des Risikoindikators zugeordnet ist.
indicator_vector_name Gibt den Risikovektor an, der einem Risikoindikator zugeordnet ist. Bei den Risikovektoren handelt es sich um gerätebasierte Risikoindikatoren, standortbasierte Risikoindikatoren, auf Anmeldefehlern basierende Risikoindikatoren, IP-basierte Risikoindikatoren, datenbasierte Risikoindikatoren, dateibasierte Risikoindikatoren und andere Risikoindikatoren.
indicator_vector_id Die ID, die einem Risikovektor zugeordnet ist. ID 1 = Gerätebasierte Risikoindikatoren, ID 2 = Standortbasierte Risikoindikatoren, ID 3 = Risikoindikatoren für Anmeldefehler, ID 4 = IP-basierte Risikoindikatoren, ID 5 = Datenbasierte Risikoindikatoren, ID 6 = Dateibasierte Risikoindikatoren, ID 7 = Andere Risikoindikatoren und ID 999 = Nicht verfügbar
tenant_id Die einzigartige Identität des Kunden.
timestamp Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.
client_ip Die IP-Adresse des Geräts des Nutzers.

Hinweis

  • Wenn kein Feldwert für den Datentyp “Integer” verfügbar ist, wird der Wert -999 zugewiesen. Zum Beispiel "Breitengrad": -999, "Längengrad": -999.

  • Wenn ein Feldwert für den Datentyp Zeichenfolge nicht verfügbar ist, wird NA zugewiesen. Zum Beispiel "city": "NA", "region": "NA".

Schema der Risikoindikatoren für Citrix Secure Private Access

Versuch, auf das Schema des Risikoindikators für URLs auf der Blacklist zuzugreifen

Schema für die Zusammenfassung des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 401,
    "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-15T10:59:58Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Attempt to access blacklisted URL",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-15T10:44:59Z",
      "relevant_event_type": "Blacklisted External Resource Access"
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 401,
    "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-15T10:57:21Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "googleads.g.doubleclick.net",
    "executed_action": "blocked",
    "reason_for_action": "URL Category match",
    "client_ip": "157.xx.xxx.xxx"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für den Versuch, auf die URL auf der schwarzen Liste zuzugreifen, spezifisch sind.

Feldname Beschreibung
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
executed_action Die Aktion, die auf die URL auf der schwarzen Liste angewendet wird. Die Aktion umfasst Zulassen und Blockieren.
reason_for_action Der Grund für das Anwenden der Aktion auf die URL.

Schema des Risikoindikators für übermäßige Datendownloads

Schema für die Zusammenfassung des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 403,
    "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Excessive data download",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-16T10:00:00Z",
      "data_volume_in_bytes": 24000,
      "relevant_event_type": "External Resource Access"
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 403,
    "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:30:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "www.facebook.com",
    "client_ip": "157.xx.xxx.xxx",
    "downloaded_bytes": 24000
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für übermäßige Datendownloads spezifisch sind.

Feldname Beschreibung
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
data_volume_in_bytes Die Menge der Daten in Bytes, die heruntergeladen werden.
relevant_event_type Gibt den Typ des Benutzerereignisses an.
domain_name Der Name der Domäne, von der Daten heruntergeladen werden.
downloaded_bytes Die Menge der Daten in Bytes, die heruntergeladen werden.

Ungewöhnliches Schema des Risikoindikators für das Upload-Volumen

Schema für die Zusammenfassung des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 402,
    "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Unusual upload volume",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-16T10:00:00Z",
      "data_volume_in_bytes": 24000,
      "relevant_event_type": "External Resource Access"
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 402,
    "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:30:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "www.facebook.com",
    "client_ip": "157.xx.xxx.xxx",
    "uploaded_bytes": 24000
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für Ungewöhnliches Uploadvolumen spezifisch sind.

Feldnamen Beschreibung
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
data_volume_in_bytes Die Datenmenge in Bytes, die hochgeladen wird.
relevant_event_type Gibt den Typ des Benutzerereignisses an.
domain_name Der Name der Domäne, in die die Daten hochgeladen werden.
uploaded_bytes Die Datenmenge in Bytes, die hochgeladen wird.

Schema der Citrix Endpoint Management-Risikoindikatoren

Schema für erkannte Indikatoren für Geräte mit Jailbreak oder Rooting

Schema für die Zusammenfassung des Indikators

  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 200,
    "indicator_name": "Jailbroken / Rooted Device Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T17:49:05Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators
  {
    "indicator_id": 200,
    "client_ip": "122.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T17:50:35Z",
    "version": 2
  }

<!--NeedCopy-->

Gerät mit Apps auf der schwarzen Liste erkannt

Schema für die Zusammenfassung des Indikators
  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 201,
    "indicator_name": "Device with Blacklisted Apps Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T17:49:23Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators
  {
    "indicator_id": 201,
    "client_ip": "122.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T17:50:39Z",
    "version": 2
  }

<!--NeedCopy-->

Nicht verwaltetes Gerät erkannt

Schema für die Zusammenfassung des Indikators
  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 203,
    "indicator_name": "Unmanaged Device Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T12:56:30Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators
  {
    "indicator_id": 203,
    "client_ip": "127.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T18:41:30Z",
    "version": 2
  }

<!--NeedCopy-->

Schema der Citrix Gateway-Risikoindikatoren

Schema des EPA-Scan-Fehlerrisikoindikatorschemas

Schema für die Zusammenfassung des Indikators
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 100,
    "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "EPA scan failure",
    "severity": "low",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "event_description": "Post auth failed, no quarantine",
      "observation_start_time": "2017-12-21T07:00:00Z",
      "relevant_event_type": "EPA Scan Failure at Logon"
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 100,
    "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:12:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "event_description": "Post auth failed, no quarantine",
    "gateway_domain_name": "10.102.xx.xx",
    "gateway_ip": "56.xx.xxx.xx",
    "policy_name": "postauth_act_1",
    "client_ip": "210.91.xx.xxx",
    "country": "United States",
    "city": "San Jose",
    "region": "California",
    "cs_vserver_name": "demo_vserver",
    "device_os": "Windows OS",
    "security_expression": "CLIENT.OS(Win12) EXISTS",
    "vpn_vserver_name": "demo_vpn_vserver",
    "vserver_fqdn": "10.xxx.xx.xx"
  }
<!--NeedCopy-->

In der Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für den EPA-Indikator für das Ausfallrisiko der EPA-Untersuchung spezifisch sind.

Feldnamen Beschreibung
event_description Beschreibt die Gründe für den Fehler bei der EPA-Überprüfung, z. B. Fehler nach der Authentifizierung und keine Quarantänegruppe.
relevant_event_type Gibt den Typ des EPA-Scanfehlerereignisses an.
gateway_domain_name Der Domänenname von Citrix Gateway.
gateway_ip Die IP-Adresse von Citrix Gateway.
policy_name Der Name der EPA-Scanrichtlinie, der auf dem Citrix Gateway konfiguriert ist.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
region Die Region, aus der die Benutzeraktivität erkannt wurde.
cs_vserver_name Der Name des virtuellen Content Switch-Servers.
device_os Das Betriebssystem des Geräts des Benutzers.
security_expression Der auf dem Citrix Gateway konfigurierte Sicherheitsausdruck.
vpn_vserver_name Der Name des virtuellen Citrix Gateway-Servers.
vserver_fqdn Der FQDN des virtuellen Citrix Gateway-Servers.

Schema des Risikoindikators für übermäßige Authentifizierungsfehler

Schema für die Zusammenfassung des Indikators
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 101,
    "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Excessive authentication failures",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/”,
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2017-12-21T07:00:00Z",
      "relevant_event_type": "Logon Failure"
    }
  }
<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 101,
    "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:10:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo-user",
    "version": 2,
    "event_description": "Bad (format) password passed to nsaaad",
    "authentication_stage": "Secondary",
    "authentication_type": "LDAP",
    "auth_server_ip": "10.xxx.x.xx",
    "client_ip": "24.xxx.xxx.xx",
    "gateway_ip": "24.xxx.xxx.xx",
    "vserver_fqdn": "demo-fqdn.citrix.com",
    "vpn_vserver_name": "demo_vpn_vserver",
    "cs_vserver_name": "demo_cs_vserver",
    "gateway_domain_name": "xyz",
    "country": "United States",
    "region": "California",
    "city": "San Jose",
    "nth_failure": 5
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für einen übermäßigen Authentifizierungsfehler spezifisch sind.

Feldnamen Beschreibung
relevant_event_type Gibt den Typ des Ereignisses an, z. B. Anmeldefehler.
event_description Beschreibt die Ursache für das übermäßige Authentifizierungsfehlerereignis, z. B. ein falsches Kennwort.
authentication_stage Gibt an, ob es sich bei der Authentifizierungsphase um eine primäre, sekundäre oder tertiäre Authentifizierungsphase handelt.
authentication_type Gibt die Authentifizierungstypen an, z. B. LDAP, Lokal oder OAuth.
auth_server_ip Die IP-Adresse des Authentifizierungsservers.
gateway_domain_name Der Domänenname von Citrix Gateway.
gateway_ip Die IP-Adresse von Citrix Gateway.
cs_vserver_name Der Name des virtuellen Content Switch-Servers.
vpn_vserver_name Der Name des virtuellen Citrix Gateway-Servers.
vserver_fqdn Der FQDN des virtuellen Citrix Gateway-Servers.
nth_failure Die Häufigkeit, mit der die Benutzerauthentifizierung fehlgeschlagen ist.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
region Die Region, aus der die Benutzeraktivität erkannt wurde.

Indikator für unmögliches Reiserisiko

Schema für die Zusammenfassung des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "111",
    "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Impossible travel",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Impossible travel",
      "distance": 7480.44718,
      "observation_start_time": "2020-06-06T12:00:00Z",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
      "historical_observation_period_in_days": 30
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "111",
    "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
    "pair_id": 2,
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 1,
    "timestamp": "2020-06-06T05:05:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "client_ip": "95.xxx.xx.xx",
    “ip_organization”: “global telecom ltd”,
    “ip_routing_type”: “mobile gateway”,
    "country": "Norway",
    "region": "Oslo",
    "city": "Oslo",
    "latitude": 59.9139,
    "longitude": 10.7522,
    "device_os": "Linux OS",
    "device_browser": "Chrome 62.0.3202.94"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für Impossible Travel spezifisch sind.

Feldname Beschreibung
distance Die Entfernung (km) zwischen den Ereignissen, die mit einer unmöglichen Reise verbunden sind.
historical_logon_locations Die Positionen, auf die der Benutzer zugegriffen hat, und die Häufigkeit, mit der während des Beobachtungszeitraums auf die einzelnen Positionen zugegriffen wurde.
historical_observation_period_in_days Jeder Standort wird 30 Tage lang überwacht.
relevant_event_type Gibt den Typ des Ereignisses an, z. B. die Anmeldung.
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
country Das Land, aus dem sich der Benutzer angemeldet hat.
city Die Stadt, von der aus sich der Benutzer angemeldet hat.
region Gibt die Region an, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Speicherorts an, von dem aus sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Speicherorts an, von dem aus sich der Benutzer angemeldet hat.
device_browser Der vom Benutzer verwendete Webbrowser.
device_os Das Betriebssystem des Geräts des Benutzers.
ip_organization Registrieren der Organisation der Client-IP-Adresse
ip_routing_type Client-IP-Routingtyp

Anmelden über das Schema des verdächtigen IP-Risikoindikators

Schema für die Zusammenfassung des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 102,
    "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "data_source_id": 1,
    "timestamp": "2019-10-10T10:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 0.91,
    "indicator_category": "Compromised users",
    "indicator_name": "Logon from suspicious IP",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Logon",
      "client_ip": "1.0.xxx.xx",
      "observation_start_time": "2019-10-10T10:00:00Z",
      "suspicion_reasons": "brute_force|external_threat"
    }
  }
<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 102,
    "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "data_source_id": 1,
    "timestamp": "2019-10-10T10:11:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "suspicion_reasons": "external_threat",
    "gateway_ip": "gIP1",
    "client_ip": "128.0.xxx.xxx",
    "country": "Sweden",
    "city": "Stockholm",
    "region": "Stockholm",
    "webroot_reputation": 14,
    "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
    "device_os": "Windows OS",
    "device_browser": "Chrome"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für die Anmeldung von einer verdächtigen IP-Adresse spezifisch sind.

Feldname Beschreibung
suspicious_reasons Der Grund, warum die IP-Adresse als verdächtig identifiziert wird.
webroot_reputation Der IP-Reputationsindex, der vom Threat Intelligence Provider Webroot bereitgestellt wird.
webroot_threat_categories Die Bedrohungskategorie, die vom Threat Intelligence Provider Webroot für die verdächtige IP-Adresse identifiziert wurde.
device_os Das Betriebssystem des Benutzergeräts.
device_browser Der verwendete Webbrowser.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
region Die Region, aus der die Benutzeraktivität erkannt wurde.

Ungewöhnliches Schema für Authentifizierungsfehler-Risikoindikatoren

Schema für die Zusammenfassung des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 109,
    "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2020-04-01T06:44:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Unusual authentication failure",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Logon Failure",
      "observation_start_time": "2020-04-01T05:45:00Z"
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 109,
    "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2020-04-01T06:42:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "event_description": "Success",
    "authentication_stage": "Secondary",
    "authentication_type": "LDAP",
    "client_ip": "99.xxx.xx.xx",
    "country": "United States",
    "city": "San Jose",
    "region": "California",
    "device_os": "Windows OS ",
    "device_browser": "Chrome",
    "is_risky": "false"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für Ungewöhnlicher Authentifizierungsfehler spezifisch sind.

Feldnamen Beschreibung
relevant_event_type Gibt den Typ des Ereignisses an, z. B. Anmeldefehler.
event_description Gibt an, ob die Anmeldung erfolgreich oder nicht erfolgreich war
authentication_stage Gibt an, ob es sich bei der Authentifizierungsphase um eine primäre, sekundäre oder tertiäre Authentifizierungsphase handelt.
authentication_type Gibt die Authentifizierungstypen an, z. B. LDAP, Lokal oder OAuth.
is_risky Für eine erfolgreiche Anmeldung ist der Wert is_risky false. Bei einer fehlgeschlagenen Anmeldung ist der Wert is_risky true.
device_os Das Betriebssystem des Benutzergeräts.
device_browser Der vom Benutzer verwendete Webbrowser.
country Das Land, aus dem die Benutzeraktivität erkannt wurde.
city Die Stadt, von der aus die Benutzeraktivität erkannt wurde.
region Die Region, aus der die Benutzeraktivität erkannt wurde.

Indikator für das Risiko einer verdächtigen Anmeldung

Schema für die Zusammenfassung des Indikators
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "110",
    "indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
    "indicator_category_id": 3,
    "indicator_vector": [
      {
        "name": "Location-Based Risk Indicators",
        "id": 2
      },
      {
        "name": "IP-Based Risk Indicators",
        "id": 4
      },
      {
        "name": "Other Risk Indicators",
        "id": 7
      }
    ],
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 0.71,
    "indicator_category": "Compromised users",
    "indicator_name": "Suspicious logon",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2020-06-06T12:00:00Z",
      "relevant_event_type": "Logon",
      "event_count": 1,
      "historical_observation_period_in_days": 30,
      "country": "United States",
      "region": "Florida",
      "city": "Miami",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"New York\",\"city\":\"New York City\",\"latitude\":40.7128,\"longitude\":-74.0060,\"count\":9}]",
      "user_location_risk": 75,
      "device_id": "",
      "device_os": "Windows OS",
      "device_browser": "Chrome",
      "user_device_risk": 0,
      "client_ip": "99.xxx.xx.xx",
      "user_network_risk": 75,
      "webroot_threat_categories": "Phishing",
      "suspicious_network_risk": 89
    }
  }


<!--NeedCopy-->
Schema für Ereignisdetails des Indikators
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "110",
    "indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
    "indicator_category_id": 3,
    "indicator_vector": [
      {
        "name": "Location-Based Risk Indicators",
        "id": 2
      },
      {
        "name": "IP-Based Risk Indicators",
        "id": 4
      },
      {
        "name": "Other Risk Indicators",
        "id": 7
      }
    ],
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:08:40Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "latitude": 25.7617,
    "longitude": -80.1918,
    "device_browser": "Chrome",
    "device_os": "Windows OS",
    "device_id": "NA",
    "client_ip": "99.xxx.xx.xx"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für die verdächtige Anmeldung spezifisch sind.

Feldname Beschreibung
historical_logon_locations Die Positionen, auf die der Benutzer zugegriffen hat, und die Häufigkeit, mit der während des Beobachtungszeitraums auf die einzelnen Positionen zugegriffen wurde.
historical_observation_period_in_days Jeder Standort wird 30 Tage lang überwacht.
relevant_event_type Gibt den Typ des Ereignisses an, z. B. die Anmeldung.
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
occurrence_event_type Gibt den Benutzerereignistyp an, z. B. Kontoanmeldung.
country Das Land, aus dem sich der Benutzer angemeldet hat.
city Die Stadt, von der aus sich der Benutzer angemeldet hat.
region Gibt die Region an, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Speicherorts an, von dem aus sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Speicherorts an, von dem aus sich der Benutzer angemeldet hat.
device_browser Der vom Benutzer verwendete Webbrowser.
device_os Das Betriebssystem des Geräts des Benutzers.
device_id Der Name des Geräts, das vom Benutzer verwendet wird.
user_location_risk Gibt die Verdachtsstufe des Standorts an, von dem aus sich der Benutzer angemeldet hat. Niedrige Verdachtsstufe: 0–69, mittlere Verdachtsstufe: 70–89 und hohe Verdachtsstufe: 90–100
user_device_risk Gibt die Verdachtsstufe des Geräts an, von dem aus sich der Benutzer angemeldet hat. Niedrige Verdachtsstufe: 0–69, mittlere Verdachtsstufe: 70–89 und hohe Verdachtsstufe: 90–100
user_network_risk Gibt die Verdachtsstufe des Netzwerks oder des Subnetzes an, von dem aus sich der Benutzer angemeldet hat. Niedrige Verdachtsstufe: 0–69, mittlere Verdachtsstufe: 70–89 und hohe Verdachtsstufe: 90–100
suspicious_network_risk Gibt die IP-Bedrohungsstufe basierend auf dem Webroot-IP-Threat Intelligence-Feed an. Niedrige Bedrohungsstufe: 0–69, mittlere Bedrohungsstufe: 70–89 und hohe Bedrohungsstufe: 90–100
webroot_threat_categories Gibt die Arten von Bedrohungen an, die von der IP-Adresse basierend auf dem Webroot-IP-Threat Intelligence-Feed erkannt wurden. Die Bedrohungskategorien können Spam-Quellen, Windows-Exploits, Web-Angriffe, Botnets, Scanner, Denial-of-Service-, Reputations-, Phishing-, Proxy-, nicht spezifizierte, mobile Bedrohungen und Tor-Proxys sein

Schema der Risikoindikatoren für Citrix DaaS und Citrix Virtual Apps and Desktops

Indikator für unmögliches Reiserisiko

Schema für die Zusammenfassung des Indikators
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "313",
    "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 3,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Impossible travel",
    "severity": "medium",
    "data_source": "Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Impossible travel",
      "distance": 7480.44718,
      "observation_start_time": "2020-06-06T12:00:00Z",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
      "historical_observation_period_in_days": 30
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "313",
    "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
    "pair_id": 2,
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 3,
    "timestamp": "2020-06-06T05:05:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "occurrence_event_type": "Account.Logon",
    "client_ip": "95.xxx.xx.xx",
    “ip_organization”: “global telecom ltd”,
    “ip_routing_type”: “mobile gateway”,
    "country": "Norway",
    "region": "Oslo",
    "city": "Oslo",
    "latitude": 59.9139,
    "longitude": 10.7522,
    "device_id": "device1",
    "receiver_type": "XA.Receiver.Linux",
    "os": "Linux OS",
    "browser": "Chrome 62.0.3202.94"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für Impossible Travel spezifisch sind.

Feldname Beschreibung
distance Die Entfernung (km) zwischen den Ereignissen, die mit einer unmöglichen Reise verbunden sind.
historical_logon_locations Die Positionen, auf die der Benutzer zugegriffen hat, und die Häufigkeit, mit der während des Beobachtungszeitraums auf die einzelnen Positionen zugegriffen wurde.
historical_observation_period_in_days Jeder Standort wird 30 Tage lang überwacht.
relevant_event_type Gibt den Typ des Ereignisses an, z. B. die Anmeldung.
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
country Das Land, aus dem sich der Benutzer angemeldet hat.
city Die Stadt, von der aus sich der Benutzer angemeldet hat.
region Gibt die Region an, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Speicherorts an, von dem aus sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Speicherorts an, von dem aus sich der Benutzer angemeldet hat.
browser Der vom Benutzer verwendete Webbrowser.
os Das Betriebssystem des Geräts des Benutzers.
device_id Der Name des Geräts, das vom Benutzer verwendet wird.
receiver_type Der Typ der Citrix Workspace-App oder des Citrix Receivers, die auf dem Gerät des Benutzers installiert ist.
ip_organization Registrieren der Organisation der Client-IP-Adresse
ip_routing_type Client-IP-Routingtyp

Risikoindikator für potenzielle Datenexfiltration

Schema für die Zusammenfassung des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 303,
    "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
    "indicator_category_id": 1,
    "indicator_vector": {
      "name": "Data-Based Risk Indicators",
      "id": 5 },
    "data_source_id": 3,
    "timestamp": "2018-04-02T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Data exfiltration",
    "indicator_name": "Potential data exfiltration",
    "severity": "low",
    "data_source": "Citrix Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Download/Print/Copy",
      "observation_start_time": "2018-04-02T10:00:00Z",
      "exfil_data_volume_in_bytes": 1172000
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 303,
    "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
    "indicator_category_id": 1,
    "indicator_vector": {
      "name": "Data-Based Risk Indicators",
      "id": 5 },
    "data_source_id": 3,
    "timestamp": "2018-04-02T10:57:36Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "occurrence_event_type": "App.SaaS.Clipboard",
    "file_size_in_bytes": 98000,
    "file_type": "text",
    "device_id": "dvc5",
    "receiver_type": "XA.Receiver.Windows",
    "app_url": "https://www.citrix.com",
    "client_ip": "10.xxx.xx.xxx",
    "entity_time_zone": "Pacific Standard Time"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Felder beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für die potenzielle Datenexfiltration spezifisch sind.

Feldname Beschreibung
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
relevant_event_type Gibt die Benutzeraktivität an, z. B. das Herunterladen, Drucken oder Kopieren der Daten.
exfil_data_volume_in_bytes Die Menge der Datenexfiltration.
occurrence_event_type Gibt an, wie die Datenexfiltration erfolgt ist, z. B. der Zwischenablagevorgang in einer SaaS-App.
file_size_in_bytes Die Größe der Datei.
file_type Der Typ der Datei.
device_id Die ID des Benutzergeräts.
receiver_type Die Citrix Workspace-App oder Citrix Receiver, die auf dem Benutzergerät installiert ist.
app_url Die URL der Anwendung, auf die der Benutzer zugreift.
entity_time_zone Die Zeitzone des Benutzers.

Schema des Indikators für das Risiko einer verdächtigen Anmeldung

Schema für die Zusammenfassung des Indikators
  {
    "tenant_id": "tenant_1",
    "indicator_id": "312",
    "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
    "indicator_category_id": 3,
    "indicator_vector":
    [
      {
        "name": "Other Risk Indicators",
        "id": 7
      },
      {
        "name":"Location-Based Risk Indicators",
        "id":2
      },
      {
        "name":"IP-Based Risk Indicators",
        "id":4
      },
      {
        "name": "Device-Based Risk Indicators",
        "id": 1
      },
    ],
    "data_source_id": 3,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "user2",
    "version": 2,
    "risk_probability": 0.78,
    "indicator_category": "Compromised users",
    "indicator_name": "Suspicious logon",
    "severity": "medium",
    "data_source": "Citrix Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "indicator_type": "builtin",
    "occurrence_details":
    {
      "user_location_risk": 0,
      "city": "Some_city",
      "observation_start_time": "2020-06-06T12:00:00Z",
      "event_count": 1,
      "user_device_risk": 75,
      "country": "United States",
      "device_id": "device2",
      "region": "Some_Region",
      "client_ip": "99.xx.xx.xx",
      "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
      "historical_logon_locations": "[{\"country\":\"United States\",\"latitude\":45.0,\"longitude\":45.0,\"count\":12},{\"country\":\"United States\",\"region\":\"Some_Region_A\",\"city\":\"Some_City_A\",\"latitude\":0.0,\"longitude\":0.0,\"count\":8}]",
      "relevant_event_type": "Logon",
      "user_network_risk": 100,
      "historical_observation_period_in_days": 30,
      "suspicious_network_risk": 0
    }
  }

<!--NeedCopy-->
Schema für Ereignisdetails des Indikators
  {
    "tenant_id": "tenant_1",
    "indicator_id": "312",
    "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
    "indicator_category_id": 3,
    "indicator_vector":
    [
      {
        "name": "Other Risk Indicators",
        "id": 7
      },
      {
        "name":"Location-Based Risk Indicators",
        "id":2
      },
      {
        "name":"IP-Based Risk Indicators",
        "id":4
      },
      {
        "name": "Device-Based Risk Indicators",
        "id": 1
      },
    ],
    "data_source_id": 3,
    "timestamp": "2020-06-06 12:02:30",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "user2",
    "version": 2,
    "occurrence_event_type": "Account.Logon",
    "city": "Some_city",
    "country": "United States",
    "region": "Some_Region",
    "latitude": 37.751,
    "longitude": -97.822,
    "browser": "Firefox 1.3",
    "os": "Windows OS",
    "device_id": "device2",
    "receiver_type": "XA.Receiver.Chrome",
    "client_ip": "99.xxx.xx.xx"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Zusammenfassungsschema und das Ereignisdetailschema für die verdächtige Anmeldung spezifisch sind.

Feldname Beschreibung
historical_logon_locations Die Positionen, auf die der Benutzer zugegriffen hat, und die Häufigkeit, mit der während des Beobachtungszeitraums auf die einzelnen Positionen zugegriffen wurde.
historical_observation_period_in_days Jeder Standort wird 30 Tage lang überwacht.
relevant_event_type Gibt den Typ des Ereignisses an, z. B. die Anmeldung.
observation_start_time Der Zeitpunkt, ab dem Citrix Analytics mit der Überwachung der Benutzeraktivität bis zum Zeitstempel beginnt. Wenn in diesem Zeitraum ein anomales Verhalten festgestellt wird, wird ein Risikoindikator ausgelöst.
occurrence_event_type Gibt den Benutzerereignistyp an, z. B. Kontoanmeldung.
country Das Land, aus dem sich der Benutzer angemeldet hat.
city Die Stadt, von der aus sich der Benutzer angemeldet hat.
region Gibt die Region an, aus der sich der Benutzer angemeldet hat.
latitude Gibt den Breitengrad des Speicherorts an, von dem aus sich der Benutzer angemeldet hat.
longitude Gibt den Längengrad des Speicherorts an, von dem aus sich der Benutzer angemeldet hat.
browser Der vom Benutzer verwendete Webbrowser.
os Das Betriebssystem des Geräts des Benutzers.
device_id Der Name des Geräts, das vom Benutzer verwendet wird.
receiver_type Der Typ der Citrix Workspace-App oder des Citrix Receivers, die auf dem Gerät des Benutzers installiert ist.
user_location_risk Gibt die Verdachtsstufe des Standorts an, von dem aus sich der Benutzer angemeldet hat. Niedrige Verdachtsstufe: 0–69, mittlere Verdachtsstufe: 70–89 und hohe Verdachtsstufe: 90–100
user_device_risk Gibt die Verdachtsstufe des Geräts an, von dem aus sich der Benutzer angemeldet hat. Niedrige Verdachtsstufe: 0–69, mittlere Verdachtsstufe: 70–89 und hohe Verdachtsstufe: 90–100
user_network_risk Gibt die Verdachtsstufe des Netzwerks oder des Subnetzes an, von dem aus sich der Benutzer angemeldet hat. Niedrige Verdachtsstufe: 0–69, mittlere Verdachtsstufe: 70–89 und hohe Verdachtsstufe: 90–100
suspicious_network_risk Gibt die IP-Bedrohungsstufe basierend auf dem Webroot-IP-Threat Intelligence-Feed an. Niedrige Bedrohungsstufe: 0–69, mittlere Bedrohungsstufe: 70–89 und hohe Bedrohungsstufe: 90–100
webroot_threat_categories Gibt die Arten von Bedrohungen an, die von der IP-Adresse basierend auf dem Webroot-IP-Threat Intelligence-Feed erkannt wurden. Die Bedrohungskategorien können Spam-Quellen, Windows-Exploits, Web-Angriffe, Botnets, Scanner, Denial-of-Service-, Reputations-, Phishing-, Proxy-, nicht spezifizierte, mobile Bedrohungen und Tor-Proxys sein

Microsoft Active Directory-Indikator

Schema für die Zusammenfassung des Indikators

  {
    "data_source": "Microsoft Graph Security",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised users",
    "indicator_id": 1000,
    "indicator_name": "MS Active Directory Indicator",
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "indicator_type": "builtin",
    "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-01-27T16:03:46Z",
    "ui_link": "https://analytics-daily.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->

Schema für Ereignisdetails des Indikators

  {
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_id": 1000,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-01-27T16:03:46Z",
    "version": 2
  }

<!--NeedCopy-->

Benutzerdefiniertes Schema für Risikoindikatoren

Im folgenden Abschnitt wird das Schema für den benutzerdefinierten Risikoindikator beschrieben.

Hinweis

Derzeit sendet Citrix Analytics die Daten zu den benutzerdefinierten Risikoindikatoren von Citrix DaaS und Citrix Virtual Apps and Desktops an Ihren SIEM-Dienst.

In der folgenden Tabelle werden die Feldnamen für das Zusammenfassungsschema des benutzerdefinierten Risikoindikators beschrieben.

Feldname Beschreibung
data source Die Produkte, die Daten an Citrix Analytics for Security senden. Beispiel: Citrix Secure Private Access, Citrix Gateway und Citrix Apps and Desktops.
data_source_id Die ID, die einer Datenquelle zugeordnet ist. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access
entity_id Die ID, die der gefährdeten Entität zugeordnet ist.
entity_type Das gefährdete Unternehmen. In diesem Fall handelt es sich bei der Entität um einen Benutzer.
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall ist der Ereignistyp die Zusammenfassung des Risikoindikators.
indicator_category Gibt die Kategorien der Risikoindikatoren an. Die Risikoindikatoren sind in eine der Risikokategorien gruppiert: kompromittierter Endpunkt, kompromittierte Benutzer, Datenexfiltration oder Insider-Bedrohungen.
indicator_id Die eindeutige ID, die dem Risikoindikator zugeordnet ist.
indicator_category_id Die ID, die der Risikoindikatorkategorie zugeordnet ist. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierte Endpunkte
indicator_name Der Name des Risikoindikators. Bei einem benutzerdefinierten Risikoindikator wird dieser Name bei der Erstellung des Indikators definiert.
indicator_type Gibt an, ob es sich bei dem Risikoindikator um einen Standardindikator (integriert) oder einen benutzerdefinierten Indikator handelt.
indicator_uuid Die eindeutige ID, die der Instanz des Risikoindikators zugeordnet ist.
occurrence_details Die Details zum Auslösen der Bedingung für den Risikoindikator.
pre_configured Gibt an, ob der benutzerdefinierte Risikoindikator vorkonfiguriert ist.
risk_probability Gibt die Risikowahrscheinlichkeit an, die mit dem Benutzerereignis verbunden ist. Der Wert variiert zwischen 0 und 1,0. Bei einem benutzerdefinierten Risikoindikator beträgt der risk_probability immer 1,0, da es sich um einen richtlinienbasierten Indikator handelt.
severity Gibt den Schweregrad des Risikos an. Er kann niedrig, mittel oder hoch sein.
tenant_id Die einzigartige Identität des Kunden.
timestamp Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
ui_link Der Link zur Benutzerzeitachsenansicht auf der Citrix Analytics-Benutzeroberfläche.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.

In der folgenden Tabelle werden die Feldnamen beschrieben, die im benutzerdefinierten Ereignisdetailschema für Risikoindikatoren üblich sind.

Feldname Beschreibung
data_source_id Die ID, die einer Datenquelle zugeordnet ist. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access
indicator_category_id Die ID, die der Risikoindikatorkategorie zugeordnet ist. ID 1 = Datenexfiltration, ID 2 = Insider-Bedrohungen, ID 3 = Kompromittierte Benutzer, ID 4 = Kompromittierte Endpunkte
event_type Der Datentyp, der an den SIEM-Dienst gesendet wird. In diesem Fall handelt es sich bei dem Ereignistyp um die Details des Risikoindikatorereignisses.
tenant_id Die einzigartige Identität des Kunden.
entity_id Die ID, die der gefährdeten Entität zugeordnet ist.
entity_type Das Unternehmen, das gefährdet ist. In diesem Fall ist es der Benutzer.
indicator_id Die eindeutige ID, die dem Risikoindikator zugeordnet ist.
indicator_uuid Die eindeutige ID, die der Instanz des Risikoindikators zugeordnet ist.
timestamp Das Datum und die Uhrzeit, zu der der Risikoindikator ausgelöst wird.
version Die Schemaversion der verarbeiteten Daten. Die aktuelle Schemaversion ist 2.
event_id Die ID, die dem Benutzerereignis zugeordnet ist.
occurrence_event_type Gibt den Typ des Benutzerereignisses an, z. B. Sitzungsanmeldung, Sitzungsstart und Kontoanmeldung.
product Gibt den Typ der Citrix Workspace-App an, z. B. die Citrix Workspace-App für Windows.
client_ip Die IP-Adresse des Geräts des Nutzers.
session_user_name Der Benutzername, der der Citrix Apps and Desktops-Sitzung zugeordnet ist.
city Der Name der Stadt, aus der die Benutzeraktivität erkannt wird.
country Der Name des Landes, aus dem die Benutzeraktivität erkannt wird.
device_id Der Name des Geräts, das vom Benutzer verwendet wird.
os_name Das Betriebssystem, das auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.
os_version Die Version des Betriebssystems, die auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.
os_extra_info Die zusätzlichen Details, die mit dem Betriebssystem verknüpft sind, das auf dem Gerät des Benutzers installiert ist. Weitere Informationen finden Sie unter Self-Service-Suche nach Apps und Desktops.

Benutzerdefinierter Risikoindikator für Citrix DaaS und Citrix Virtual Apps and Desktops

Schema für die Zusammenfassung des Indikators

  {
    "data_source": " Citrix Apps and Desktops",
    "data_source_id": 3,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised users",
    "indicator_category_id": 3,
    "indicator_id": "ca97a656ab0442b78f3514052d595936",
    "indicator_name": "Demo_user_usage",
    "indicator_type": "custom",
    "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
    "occurrence_details": {
      "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
    "pre_configured": "N",
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-02-10T14:47:25Z",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "version": 2
  }

<!--NeedCopy-->
Schema für Indikatorereignisdetails für das Sitzungsanmeldeereignis
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.Logon",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "SYD04-MS1-S102",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Sitzungsanmeldeereignis spezifisch sind.

Feldname Beschreibung
app_name Name einer Anwendung oder eines Desktops, die gestartet wurden.
launch_type Gibt entweder die Anwendung oder den Desktop an.
domain Der Domänenname des Servers, der die Anforderung gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
Schema für Indikatorereignisdetails für das Sitzungsstartereignis
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.Launch",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Sitzungsstartereignis spezifisch sind.

Feldname Beschreibung
app_name Name einer Anwendung oder eines Desktops, die gestartet wurden.
launch_type Gibt entweder die Anwendung oder den Desktop an.
Schema für Indikatorereignisdetails für das Kontoanmeldeereignis
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Account.Logon",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Kontoanmeldeereignis spezifisch sind.

Feldname Beschreibung
app_name Name einer Anwendung oder eines Desktops, die gestartet wurden.
Schema für Indikatorereignisdetails für das Sitzungsendeereignis
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Sitzungsendereignis spezifisch sind.

Feldname Beschreibung
app_name Name einer Anwendung oder eines Desktops, die gestartet wurden.
launch_type Gibt entweder die Anwendung oder den Desktop an.
domain Der Domänenname des Servers, der die Anforderung gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
Schema für Indikatorereignisdetails für das App-Startereignis
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.Start",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "module_file_path": "/root/folder1/folder2/folder3"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das App-Startereignis spezifisch sind.

Feldname Beschreibung
app_name Name einer Anwendung oder eines Desktops, die gestartet wurden.
launch_type Gibt entweder die Anwendung oder den Desktop an.
domain Der Domänenname des Servers, der die Anforderung gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
module_file_path Der Pfad der Anwendung, die verwendet wird.
Schema für Indikatorereignisdetails für das App-Endereignis
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "module_file_path": "/root/folder1/folder2/folder3"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das App-Endereignis spezifisch sind.

Feldname Beschreibung
app_name Name einer Anwendung oder eines Desktops, die gestartet wurden.
launch_type Gibt entweder die Anwendung oder den Desktop an.
domain Der Domänenname des Servers, der die Anforderung gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
module_file_path Der Pfad der Anwendung, die verwendet wird.
Schema für Indikatorereignisdetails für das Dateidownloadereignis
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "File.Download",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "file_download_file_name": "File5.txt",
    "file_download_file_path": "/root/folder1/folder2/folder3",
    "file_size_in_bytes": 278,
    "launch_type": "Desktop",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "device_type": "USB"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Dateidownloadereignis spezifisch sind.

Feldname Beschreibung
file_download_file_name Name der Download-Datei.
file_download_file_path Der Zielpfad, in den die Datei heruntergeladen wird.
launch_type Gibt entweder die Anwendung oder den Desktop an.
domain Der Domänenname des Servers, der die Anforderung gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
device_type Gibt den Typ des Geräts an, auf das die Datei heruntergeladen wird.
Schema für Indikatorereignisdetails für das Druckereignis
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Printing",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "printer_name": "Test-printer",
    "launch_type": "Desktop",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "job_details_size_in_bytes": 454,
    "job_details_filename": "file1.pdf",
    "job_details_format": "PDF"
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das Druckereignis spezifisch sind.

Feldname Beschreibung
printer_name Name des Druckers, der für den Druckauftrag verwendet wird.
launch_type Gibt entweder die Anwendung oder den Desktop an.
domain Der Domänenname des Servers, der die Anforderung gesendet hat.
server_name Name des Servers.
session_guid Die GUID der aktiven Sitzung.
job_details_size_in_bytes Die Größe des gedruckten Auftrags, z. B. Datei oder Ordner.
job_details_filename Name der gedruckten Datei.
job_details_format Das Format des gedruckten Auftrags.
Schema für Indikatorereignisdetails für das SaaS-Startereignis der App
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.SaaS.Launch",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "launch_type": "Desktop",
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das SaaS-Startereignis der App spezifisch sind.

Feldname Beschreibung
launch_type Gibt entweder die Anwendung oder den Desktop an.
Schema für Indikatorereignisdetails für das SaaS-Endereignis der App
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.SaaS.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "launch_type": "Desktop",
  }

<!--NeedCopy-->

In der folgenden Tabelle werden die Feldnamen beschrieben, die für das Ereignisdetailschema für das SaaS-Endereignis der App spezifisch sind.

Feldname Beschreibung
launch_type Gibt entweder die Anwendung oder den Desktop an.

Ereignisse aus der Datenquelle

Darüber hinaus können Sie die Funktion Datenexporte konfigurieren, um Benutzerereignisse aus Ihren Citrix Analytics for Security-fähigen Produktdatenquellen zu exportieren. Wenn Sie eine Aktivität in der Citrix-Umgebung ausführen, werden die Datenquellenereignisse generiert. Bei den exportierten Ereignissen handelt es sich um unverarbeitete Echtzeit-Benutzer- und Produktnutzungsdaten, die in der Self-Service-Ansicht verfügbar sind. Die in diesen Ereignissen enthaltenen Metadaten können weiter für eine tiefere Bedrohungsanalyse, die Erstellung neuer Dashboards und die Verknüpfung mit anderen Nicht-Citrix-Datenquellenereignissen in Ihrer Sicherheits- und IT-Infrastruktur verwendet werden.

Derzeit sendet Citrix Analytics for Security Benutzerereignisse an Ihr SIEM für die Datenquelle Citrix Virtual Apps and Desktops.

Schemadetails der Datenquellenereignisse

Citrix Virtual Apps and Desktops-Veranstaltungen

Die Benutzerereignisse werden in Echtzeit in Citrix Analytics for Security empfangen, wenn Benutzer virtuelle Apps oder virtuelle Desktops verwenden. Weitere Informationen finden Sie unter Datenquelle für Citrix Virtual Apps and Desktops und Citrix DaaS. Sie können die folgenden Benutzerereignisse anzeigen, die Citrix Virtual Apps and Desktops in Ihrem SIEM zugeordnet sind:

  • Alle Veranstaltungsarten
  • Konto-Anmeldung
  • App (Start, Start, Ende)
  • Zwischenablage
  • Datei (Drucken, Download)
  • HDX-Sitzungsquelle
  • Drucken
  • Sitzung (Anmeldung, Start, Ende, Beendigung)
  • VDA-Daten
  • Erstellung von VDA-Prozessen

Weitere Informationen zu den Ereignissen und ihren Attributen finden Sie unter Self-Service-Suche nach Virtual Apps and Desktops.

Sie können überprüfen, welche Ereignistypen aktiviert sind und an SIEM weitergeleitet werden. Sie können den Ereignistyp, der für einen Mandanten gilt, konfigurieren oder entfernen und auf die Schaltfläche Änderungen speichern , um Ihre Einstellungen zu speichern.

Ereignis "Datenquelle"

Secure Private Access-Ereignisse

Die Benutzerereignisse werden in Echtzeit in Citrix Analytics for Security empfangen, wenn Benutzer über Citrix Secure Private Access auf Anwendungen zugreifen, z. B. Citrix Workspace App, Citrix Secure Access Clients oder Citrix Enterprise Browser. Sie können die folgenden Benutzerereignisse anzeigen, die Secure Private Access in Ihrem SIEM zugeordnet sind:

  • Alle Veranstaltungsarten
  • Konto-Anmeldung
  • App (Verbinden, Starten, Ende, Fehler)
  • Datei (Drucken, Download)
  • Politische Bewertung
  • Zwischenablage
  • Sitzung (Verbinden, Starten)
  • URL
  • Benutzer-Anmeldung
  • SPA-Dienstprotokolle

Sicheres privates Zugriffsereignis

Dienstereignisse für den Gerätestatus

Die Benutzerereignisse werden generiert, wenn der Citrix Endpoint Analysis (EPA)-Client eine Statusüberprüfung auf einem Gerät durchführt, das versucht, auf Citrix Virtual Apps and Desktops oder Citrix Secure Private Access-Ressourcen zuzugreifen. Sie können die folgenden Benutzerereignisse anzeigen, die dem Device Posture-Dienst in Ihrem SIEM zugeordnet sind:

  • Alle Veranstaltungsarten
  • Bewertung des Gerätestatus

Dienstereignis für den Gerätestatus

Sie können die für Ihren Mandanten aktivierten Ereignistypen überprüfen und sicherstellen, dass sie an das SIEM weitergeleitet werden. Sie können die entsprechenden Ereignistypen konfigurieren oder entfernen und dann auf die Schaltfläche Änderungen speichern , um Ihre Einstellungen zu übernehmen.

Citrix Analytics-Datenexportformat für SIEM