Formato de exportación de datos de Citrix Analytics para SIEM
Citrix Analytics for Security le permite integrarse con sus servicios de administración de eventos e información de seguridad (SIEM). Esta integración permite que Citrix Analytics for Security envíe datos a sus servicios SIEM y le ayuda a obtener información sobre la postura de riesgo de seguridad de su organización.
Actualmente, puede integrar Citrix Analytics for Security con los siguientes servicios SIEM:
El Opción de exportación de datos ya está disponible en todo el mundo bajo Configuración. Para ver los eventos de la fuente de datos, vaya a Configuración > Exportación de datos > Eventos de origen de datos.
Los datos de información sobre riesgos enviados por Citrix Analytics for Security a su servicio SIEM son de dos tipos:
- Eventos de información de riesgos (exportaciones predeterminadas)
-
Eventos de origen de datos (exportaciones opcionales)
Datos de información de riesgos para SIEM
Una vez que haya completado la configuración de la cuenta y la configuración de SIEM, los conjuntos de datos predeterminados (eventos de información de riesgos) comienzan a fluir hacia su implementación de SIEM. Los conjuntos de datos de información de riesgos incluyen eventos de puntuación de riesgo de usuario, eventos de perfil de usuario y alertas de indicadores de riesgo. Estos son generados por los algoritmos de aprendizaje automático de Citrix Analytics y el análisis del comportamiento del usuario, aprovechando los eventos de usuario.
Los conjuntos de datos de información de riesgos de un usuario incluyen lo siguiente:
- Cambio en la puntuación de riesgo: Indica un cambio en la puntuación de riesgo del usuario. Cuando el cambio en la puntuación de riesgo de un usuario es igual o superior a 3 y este cambio aumenta a cualquier ritmo o disminuye en más de un 10%, los datos se envían al servicio SIEM.
- Resumen del indicador de riesgo: Los detalles del indicador de riesgo activado para un usuario.
- Detalles del evento del indicador de riesgo: Los eventos de usuario asociados con un indicador de riesgo. Citrix Analytics envía un máximo de 1000 detalles de eventos para cada ocurrencia de indicador de riesgo a su servicio SIEM. Estos eventos se envían en orden cronológico de ocurrencia.
- Evento de puntuación de riesgo del usuario: La puntuación de riesgo actual de un usuario. Citrix Analytics for Security envía estos datos al servicio SIEM cada 12 horas.
-
Perfil de usuario: Los datos del perfil de usuario se pueden clasificar en:
- Aplicaciones de usuario: Las aplicaciones que un usuario ha iniciado y utilizado. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps y los envía al servicio SIEM cada 12 horas.
- Dispositivo de usuario: Los dispositivos asociados a un usuario. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps y Citrix Endpoint Management y los envía al servicio SIEM cada 12 horas.
- Ubicación del usuario: La ciudad en la que se detectó un usuario por última vez. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps and Desktops y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service). Citrix Analytics for Security envía esta información a su servicio SIEM cada 12 horas.
- IP del cliente de usuario: La dirección IP del cliente del dispositivo del usuario. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps and Desktops y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) y envía esta información a su servicio SIEM cada 12 horas.
Si solo puede ver, pero no puede configurar las preferencias de eventos de origen de datos, no tiene los permisos de administrador necesarios. Para obtener más información, consulte Administrar roles de administrador para Security Analytics.
En el siguiente ejemplo, el método Guardar cambios está desactivado. Los eventos de información de riesgo están habilitados de forma predeterminada.
Detalles del esquema de los eventos de Risk Insights
En la siguiente sección se describe el esquema de los datos procesados generados por Citrix Analytics for Security.
Nota
Los valores de campo que se muestran en los siguientes ejemplos de esquema son solo para fines representativos. Los valores reales de los campos varían en función del perfil de usuario, los eventos de usuario y el indicador de riesgo.
En la tabla siguiente se describen los nombres de campo que son comunes en todo el esquema para todos los datos de perfil de usuario, la puntuación de riesgo del usuario y el cambio de puntuación de riesgo.
Nombre del campo | Descripción |
---|---|
entity_id |
La identidad asociada a la entidad. En este caso, la entidad es el usuario. |
entity_type |
La entidad en riesgo. En este caso, la entidad es el usuario. |
event_type |
El tipo de datos enviados a su servicio SIEM. Por ejemplo: la ubicación del usuario, el uso de datos del usuario o la información de acceso al dispositivo del usuario. |
tenant_id |
La identidad única del cliente. |
timestamp |
La fecha y hora de la actividad reciente del usuario. |
version |
La versión del esquema de los datos procesados. La versión actual del esquema es la 2. |
Esquema de datos de perfil de usuario
Esquema de ubicación de usuario
{
"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2
}
<!--NeedCopy-->
Descripción del campo para la ubicación del usuario
Nombre del campo | Descripción |
---|---|
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la ubicación del usuario. |
country |
El país desde el que el usuario ha iniciado sesión. |
city |
La ciudad desde la que el usuario ha iniciado sesión. |
cnt |
El número de veces que se ha accedido a la ubicación en las últimas 12 horas. |
Esquema de IP de cliente de usuario
{
"client_ip": "149.147.136.10",
"cnt": 3,
"entity_id": "r2_up_user_1",
"entity_type": "user",
"event_type": "userProfileClientIps",
"tenant_id": "xaxddaily1",
"timestamp": "2023-09-18T10:45:00Z",
"version": 2
}
<!--NeedCopy-->
Descripción del campo para la IP del cliente
Nombre del campo | Descripción |
---|---|
client_ip |
La dirección IP del dispositivo del usuario. |
cnt |
El número de veces que el usuario ha accedido al dispositivo en las últimas 12 horas. |
entity_id |
La identidad asociada a la entidad. En este caso, la entidad es el usuario. |
entity_type |
La entidad en riesgo. En este caso, el tipo de evento es la IP de cliente del usuario. |
event_type |
El tipo de datos enviados a su servicio SIEM. Por ejemplo: la ubicación del usuario, el uso de datos del usuario o la información de acceso al dispositivo del usuario. |
tenant_id |
La identidad única del cliente. |
timestamp |
La fecha y hora de la actividad reciente del usuario. |
version |
La versión del esquema de los datos procesados. La versión actual del esquema es la 2. |
Esquema de uso de datos de usuario
{
"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2
}
<!--NeedCopy-->
Descripción del campo para el uso de datos de usuario
Nombre del campo | Descripción |
---|---|
data_usage_bytes |
La cantidad de datos (en bytes) utilizados por el usuario. Es la suma del volumen descargado y cargado de un usuario. |
deleted_file_cnt |
El número de archivos eliminados por el usuario. |
downloaded_bytes |
La cantidad de datos descargados por el usuario. |
downloaded_file_count |
El número de archivos descargados por el usuario. |
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el perfil de uso del usuario. |
shared_file_count |
El número de archivos compartidos por el usuario. |
uploaded_bytes |
La cantidad de datos cargados por el usuario. |
uploaded_file_cnt |
El número de archivos cargados por el usuario. |
Esquema de dispositivo de usuario
{
"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2
}
<!--NeedCopy-->
Descripción del campo para el dispositivo del usuario.
Nombre del campo | Descripción |
---|---|
cnt |
El número de veces que se accede al dispositivo en las últimas 12 horas. |
device |
El nombre del dispositivo. |
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la información de acceso al dispositivo del usuario. |
Esquema de la aplicación de usuario
{
"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189
}
<!--NeedCopy-->
Descripción del campo para la aplicación de usuario.
Nombre del campo | Descripción |
---|---|
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la información de acceso al dispositivo del usuario. |
session_domain |
El ID de la sesión en la que el usuario ha iniciado sesión. |
user_samaccountname |
El nombre de inicio de sesión de clientes y servidores de una versión anterior de Windows, como Windows NT 4.0, Windows 95, Windows 98 y LAN Manager. Este nombre se utiliza para iniciar sesión en Citrix StoreFront y también para iniciar sesión en una máquina Windows remota. |
app |
El nombre de la aplicación a la que accede el usuario. |
cnt |
El número de veces que se accede a la aplicación en las últimas 12 horas. |
Esquema de puntuación de riesgo de usuario
{
"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2
}
<!--NeedCopy-->
Descripción del campo para la puntuación de riesgo del usuario.
Nombre del campo | Descripción |
---|---|
cur_riskscore |
La puntuación de riesgo actual asignada al usuario. La puntuación de riesgo varía de 0 a 100 en función de la gravedad de la amenaza asociada a la actividad del usuario. |
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la puntuación de riesgo del usuario. |
last_update_timestamp |
La hora a la que se actualizó por última vez la puntuación de riesgo para un usuario. |
timestamp |
La hora en que el evento de puntuación de riesgo del usuario se recopila y se envía a su servicio SIEM. Este evento se envía a su servicio SIEM cada 12 horas. |
Esquema de cambio de puntuación de riesgo
Ejemplo 1:
{
"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2
}
<!--NeedCopy-->
Ejemplo 2:
{
"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2
}
<!--NeedCopy-->
Descripción del campo para el cambio de puntuación de riesgo.
Nombre del campo | Descripción |
---|---|
alert_message |
El mensaje que se muestra para el cambio de puntuación de riesgo. |
alert_type |
Indica si la alerta es para un aumento en la puntuación de riesgo o una caída significativa en el porcentaje de puntuación de riesgo. Cuando el cambio en la puntuación de riesgo de un usuario es igual o superior a tres y este cambio aumenta a cualquier ritmo o disminuye en más de un 10%, los datos se envían al servicio SIEM. |
alert_value |
Valor numérico asignado para el cambio de puntuación de riesgo. El cambio en la puntuación de riesgo es la diferencia entre la puntuación de riesgo actual y la puntuación de riesgo anterior de un usuario. El valor de alerta varía de -100 a 100. |
cur_riskscore |
La puntuación de riesgo actual asignada al usuario. La puntuación de riesgo varía de 0 a 100 en función de la gravedad de la amenaza asociada a la actividad del usuario. |
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el cambio en la puntuación de riesgo del usuario. |
timestamp |
La fecha y hora en que se detecta el último cambio en la puntuación de riesgo para el usuario. |
Esquema de indicadores de riesgo
El esquema del indicador de riesgo consta de dos partes: el esquema de resumen del indicador y el esquema de detalles del evento del indicador. En función del indicador de riesgo, los campos y sus valores en el esquema cambian en consecuencia.
En la tabla siguiente se describen los nombres de campo comunes a todos los esquemas de resumen de indicadores.
Nombre del campo | Descripción |
---|---|
data source |
Los productos que envían datos a Citrix Analytics for Security. Por ejemplo: Citrix Secure Private Access, Citrix Gateway y Citrix Apps and Desktops. |
data_source_id |
El ID asociado a una fuente de datos. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access |
entity_type |
La entidad en riesgo. Puede ser un usuario. |
entity_id |
El ID asociado a la entidad en riesgo. |
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el resumen del indicador de riesgo. |
indicator_category |
Indica las categorías de indicadores de riesgo. Los indicadores de riesgo se agrupan en una de las categorías de riesgo: punto final comprometido, usuarios comprometidos, exfiltración de datos o amenazas internas. |
indicator_id |
El ID único asociado con el indicador de riesgo. |
indicator_category_id |
El ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos, ID 4 = Endpoint comprometido |
indicator_name |
El nombre del indicador de riesgo. En el caso de un indicador de riesgo personalizado, este nombre se define al crear el indicador. |
indicator_type |
Indica si el indicador de riesgo es predeterminado (incorporado) o personalizado. |
indicator_uuid |
El ID único asociado a la instancia del indicador de riesgo. |
indicator_vector_name |
Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son los indicadores de riesgo basados en dispositivos, los indicadores de riesgo basados en la ubicación, los indicadores de riesgo basados en errores de inicio de sesión, los indicadores de riesgo basados en IP, los indicadores de riesgo basados en datos, los indicadores de riesgo basados en archivos y otros indicadores de riesgo. |
indicator_vector_id |
El ID asociado a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en errores de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en datos, ID 6 = Indicadores de riesgo basados en archivos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible |
occurrence_details |
Los detalles sobre la condición de activación del indicador de riesgo. |
risk_probability |
Indica las posibilidades de riesgo asociadas con el evento de usuario. El valor varía de 0 a 1,0. En el caso de un indicador de riesgo personalizado, el risk_probability siempre es 1,0 porque se trata de un indicador basado en políticas. |
severity |
Indica la gravedad del riesgo. Puede ser bajo, medio o alto. |
tenant_id |
La identidad única del cliente. |
timestamp |
La fecha y la hora en que se activa el indicador de riesgo. |
ui_link |
El enlace a la vista de la línea de tiempo del usuario en la interfaz de usuario de Citrix Analytics. |
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
En la tabla siguiente se describen los nombres de campo comunes a todos los esquemas de detalles de eventos del indicador.
Nombre del campo | Descripción |
---|---|
data_source_id |
El ID asociado a una fuente de datos. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access |
indicator_category_id |
El ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos, ID 4 = Endpoint comprometido |
entity_id |
El ID asociado a la entidad en riesgo. |
entity_type |
La entidad que está en riesgo. Puede ser el usuario. |
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento son los detalles del evento del indicador de riesgo. |
indicator_id |
El ID único asociado con el indicador de riesgo. |
indicator_uuid |
El ID único asociado a la instancia del indicador de riesgo. |
indicator_vector_name |
Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son los indicadores de riesgo basados en dispositivos, los indicadores de riesgo basados en la ubicación, los indicadores de riesgo basados en errores de inicio de sesión, los indicadores de riesgo basados en IP, los indicadores de riesgo basados en datos, los indicadores de riesgo basados en archivos y otros indicadores de riesgo. |
indicator_vector_id |
El ID asociado a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en errores de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en datos, ID 6 = Indicadores de riesgo basados en archivos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible |
tenant_id |
La identidad única del cliente. |
timestamp |
La fecha y la hora en que se activa el indicador de riesgo. |
version |
La versión del esquema de los datos procesados. La versión actual del esquema es la 2. |
client_ip |
La dirección IP del dispositivo del usuario. |
Nota
Si un valor de campo de tipo de datos enteros no está disponible, el valor asignado es -999. Por ejemplo
"latitud": -999
,"longitud": -999
.Si un valor de campo de tipo de datos de cadena no está disponible, el valor asignado es NA. Por ejemplo
"ciudad": "NA"
,"region": "NA"
.
Esquema de indicadores de riesgo de Citrix Secure Private Access
Intento de acceder al esquema del indicador de riesgo de URL en la lista negra
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:59:58Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Attempt to access blacklisted URL",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-15T10:44:59Z",
"relevant_event_type": "Blacklisted External Resource Access"
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:57:21Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "googleads.g.doubleclick.net",
"executed_action": "blocked",
"reason_for_action": "URL Category match",
"client_ip": "157.xx.xxx.xxx"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para intentar acceder a la dirección URL de la lista negra.
Nombre del campo | Descripción |
---|---|
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
executed_action |
La acción aplicada en la URL incluida en la lista negra. La acción incluye Permitir y Bloquear. |
reason_for_action |
El motivo por el que se aplica la acción para la URL. |
Esquema de indicadores de riesgo de descargas excesivas de datos
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Excessive data download",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"downloaded_bytes": 24000
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para las descargas de datos excesivas.
Nombre del campo | Descripción |
---|---|
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
data_volume_in_bytes |
La cantidad de datos en bytes que se descargan. |
relevant_event_type |
Indica el tipo de evento de usuario. |
domain_name |
El nombre del dominio desde el que se descargan los datos. |
downloaded_bytes |
La cantidad de datos en bytes que se descargan. |
Esquema de indicador de riesgo de volumen de carga inusual
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Unusual upload volume",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"uploaded_bytes": 24000
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles de eventos para el volumen de carga inusual.
Nombres de campo | Descripción |
---|---|
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
data_volume_in_bytes |
La cantidad de datos en bytes que se cargan. |
relevant_event_type |
Indica el tipo de evento de usuario. |
domain_name |
El nombre del dominio en el que se cargan los datos. |
uploaded_bytes |
La cantidad de datos en bytes que se cargan. |
Esquema de indicadores de riesgo de Citrix Endpoint Management
Esquema de indicadores de dispositivos detectados con jailbreak o rooteados
Esquema de resumen del indicador
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 200,
"indicator_name": "Jailbroken / Rooted Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:05Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"indicator_id": 200,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:35Z",
"version": 2
}
<!--NeedCopy-->
Dispositivo con aplicaciones en la lista negra detectadas
Esquema de resumen del indicador
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 201,
"indicator_name": "Device with Blacklisted Apps Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:23Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"indicator_id": 201,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:39Z",
"version": 2
}
<!--NeedCopy-->
Dispositivo no administrado detectado
Esquema de resumen del indicador
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 203,
"indicator_name": "Unmanaged Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T12:56:30Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"indicator_id": 203,
"client_ip": "127.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T18:41:30Z",
"version": 2
}
<!--NeedCopy-->
Esquema de indicadores de riesgo de Citrix Gateway
Esquema del indicador de riesgo de falla de escaneo de la EPA
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "EPA scan failure",
"severity": "low",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"event_description": "Post auth failed, no quarantine",
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "EPA Scan Failure at Logon"
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:12:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Post auth failed, no quarantine",
"gateway_domain_name": "10.102.xx.xx",
"gateway_ip": "56.xx.xxx.xx",
"policy_name": "postauth_act_1",
"client_ip": "210.91.xx.xxx",
"country": "United States",
"city": "San Jose",
"region": "California",
"cs_vserver_name": "demo_vserver",
"device_os": "Windows OS",
"security_expression": "CLIENT.OS(Win12) EXISTS",
"vpn_vserver_name": "demo_vpn_vserver",
"vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->
En la tabla se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles de eventos para el indicador de riesgo de error de escaneo de la EPA.
Nombres de campo | Descripción |
---|---|
event_description |
Describe los motivos del error de examen de la EPA, como el error de autenticación posterior y la ausencia de grupo de cuarentena. |
relevant_event_type |
Indica el tipo de evento de error de escaneo de la EPA. |
gateway_domain_name |
El nombre de dominio de Citrix Gateway. |
gateway_ip |
La dirección IP de Citrix Gateway. |
policy_name |
El nombre de la directiva de análisis de la EPA configurado en Citrix Gateway. |
country |
El país desde el que se ha detectado la actividad del usuario. |
city |
La ciudad desde la que se ha detectado la actividad del usuario. |
region |
La región desde la que se ha detectado la actividad del usuario. |
cs_vserver_name |
El nombre del servidor virtual del conmutador de contenido. |
device_os |
El sistema operativo del dispositivo del usuario. |
security_expression |
La expresión de seguridad configurada en Citrix Gateway. |
vpn_vserver_name |
El nombre del servidor virtual de Citrix Gateway. |
vserver_fqdn |
El FQDN del servidor virtual Citrix Gateway. |
Esquema de indicador de riesgo de error de autenticación excesivo
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Excessive authentication failures",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/”,
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "Logon Failure"
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:10:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo-user",
"version": 2,
"event_description": "Bad (format) password passed to nsaaad",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"auth_server_ip": "10.xxx.x.xx",
"client_ip": "24.xxx.xxx.xx",
"gateway_ip": "24.xxx.xxx.xx",
"vserver_fqdn": "demo-fqdn.citrix.com",
"vpn_vserver_name": "demo_vpn_vserver",
"cs_vserver_name": "demo_cs_vserver",
"gateway_domain_name": "xyz",
"country": "United States",
"region": "California",
"city": "San Jose",
"nth_failure": 5
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el error de autenticación excesivo.
Nombres de campo | Descripción |
---|---|
relevant_event_type |
Indica el tipo de evento, como un error de inicio de sesión. |
event_description |
Describe el motivo del evento de error de autenticación excesivo, como una contraseña incorrecta. |
authentication_stage |
Indica si la fase de autenticación es primaria, secundaria o terciaria. |
authentication_type |
Indica los tipos de autenticación, como LDAP, Local u OAuth. |
auth_server_ip |
La dirección IP del servidor de autenticación. |
gateway_domain_name |
El nombre de dominio de Citrix Gateway. |
gateway_ip |
La dirección IP de Citrix Gateway. |
cs_vserver_name |
El nombre del servidor virtual del conmutador de contenido. |
vpn_vserver_name |
El nombre del servidor virtual de Citrix Gateway. |
vserver_fqdn |
El FQDN del servidor virtual Citrix Gateway. |
nth_failure |
El número de veces que ha fallado la autenticación del usuario. |
country |
El país desde el que se ha detectado la actividad del usuario. |
city |
La ciudad desde la que se ha detectado la actividad del usuario. |
region |
La región desde la que se ha detectado la actividad del usuario. |
Indicador de riesgo de viaje imposible
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_os": "Linux OS",
"device_browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para Impossible travel.
Nombre del campo | Descripción |
---|---|
distance |
La distancia (km) entre los eventos asociados con el viaje imposible. |
historical_logon_locations |
Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación. |
historical_observation_period_in_days |
Cada ubicación es monitoreada durante 30 días. |
relevant_event_type |
Indica el tipo de evento, como el inicio de sesión. |
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
country |
El país desde el que el usuario ha iniciado sesión. |
city |
La ciudad desde la que el usuario ha iniciado sesión. |
region |
Indica la región desde la que el usuario ha iniciado sesión. |
latitude |
Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión. |
longitude |
Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión. |
device_browser |
El navegador web utilizado por el usuario. |
device_os |
El sistema operativo del dispositivo del usuario. |
ip_organization |
Registro de la organización de la dirección IP del cliente |
ip_routing_type |
Tipo de enrutamiento de IP de cliente |
Inicio de sesión desde un esquema de indicador de riesgo de IP sospechosa
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.91,
"indicator_category": "Compromised users",
"indicator_name": "Logon from suspicious IP",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon",
"client_ip": "1.0.xxx.xx",
"observation_start_time": "2019-10-10T10:00:00Z",
"suspicion_reasons": "brute_force|external_threat"
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:11:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"suspicion_reasons": "external_threat",
"gateway_ip": "gIP1",
"client_ip": "128.0.xxx.xxx",
"country": "Sweden",
"city": "Stockholm",
"region": "Stockholm",
"webroot_reputation": 14,
"webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
"device_os": "Windows OS",
"device_browser": "Chrome"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el inicio de sesión desde una IP sospechosa.
Nombre del campo | Descripción |
---|---|
suspicious_reasons |
El motivo por el que la dirección IP se identifica como sospechosa. |
webroot_reputation |
El índice de reputación de IP proporcionado por el proveedor de inteligencia de amenazas: Webroot. |
webroot_threat_categories |
La categoría de amenaza identificada para la IP sospechosa por el proveedor de inteligencia de amenazas: Webroot. |
device_os |
El sistema operativo del dispositivo del usuario. |
device_browser |
El navegador web utilizado. |
country |
El país desde el que se ha detectado la actividad del usuario. |
city |
La ciudad desde la que se ha detectado la actividad del usuario. |
region |
La región desde la que se ha detectado la actividad del usuario. |
Esquema de indicador de riesgo de error de autenticación inusual
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:44:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Unusual authentication failure",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon Failure",
"observation_start_time": "2020-04-01T05:45:00Z"
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:42:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Success",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"client_ip": "99.xxx.xx.xx",
"country": "United States",
"city": "San Jose",
"region": "California",
"device_os": "Windows OS ",
"device_browser": "Chrome",
"is_risky": "false"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el error de autenticación inusual.
Nombres de campo | Descripción |
---|---|
relevant_event_type |
Indica el tipo de evento, como un error de inicio de sesión. |
event_description |
Indica si el inicio de sesión se ha realizado correctamente o no |
authentication_stage |
Indica si la fase de autenticación es primaria, secundaria o terciaria. |
authentication_type |
Indica los tipos de autenticación, como LDAP, Local u OAuth. |
is_risky |
Para que el inicio de sesión se realice correctamente, el valor is_risky es false. En el caso de un inicio de sesión incorrecto, el valor is_risky es true. |
device_os |
El sistema operativo del dispositivo del usuario. |
device_browser |
El navegador web utilizado por el usuario. |
country |
El país desde el que se ha detectado la actividad del usuario. |
city |
La ciudad desde la que se ha detectado la actividad del usuario. |
region |
La región desde la que se ha detectado la actividad del usuario. |
Indicador de riesgo de inicio de sesión sospechoso
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.71,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2020-06-06T12:00:00Z",
"relevant_event_type": "Logon",
"event_count": 1,
"historical_observation_period_in_days": 30,
"country": "United States",
"region": "Florida",
"city": "Miami",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"New York\",\"city\":\"New York City\",\"latitude\":40.7128,\"longitude\":-74.0060,\"count\":9}]",
"user_location_risk": 75,
"device_id": "",
"device_os": "Windows OS",
"device_browser": "Chrome",
"user_device_risk": 0,
"client_ip": "99.xxx.xx.xx",
"user_network_risk": 75,
"webroot_threat_categories": "Phishing",
"suspicious_network_risk": 89
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:08:40Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"country": "United States",
"region": "Florida",
"city": "Miami",
"latitude": 25.7617,
"longitude": -80.1918,
"device_browser": "Chrome",
"device_os": "Windows OS",
"device_id": "NA",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el inicio de sesión sospechoso.
Nombre del campo | Descripción |
---|---|
historical_logon_locations |
Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación. |
historical_observation_period_in_days |
Cada ubicación es monitoreada durante 30 días. |
relevant_event_type |
Indica el tipo de evento, como el inicio de sesión. |
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
occurrence_event_type |
Indica el tipo de evento de usuario, como el inicio de sesión de la cuenta. |
country |
El país desde el que el usuario ha iniciado sesión. |
city |
La ciudad desde la que el usuario ha iniciado sesión. |
region |
Indica la región desde la que el usuario ha iniciado sesión. |
latitude |
Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión. |
longitude |
Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión. |
device_browser |
El navegador web utilizado por el usuario. |
device_os |
El sistema operativo del dispositivo del usuario. |
device_id |
El nombre del dispositivo utilizado por el usuario. |
user_location_risk |
Indica el nivel de sospecha de la ubicación desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100 |
user_device_risk |
Indica el nivel de sospecha del dispositivo desde el que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100 |
user_network_risk |
Indica el nivel de sospecha de la red o la subred desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100 |
suspicious_network_risk |
Indica el nivel de amenaza IP basado en la fuente de inteligencia de amenazas IP de Webroot. Nivel de amenaza bajo: 0–69, Nivel de amenaza medio: 70–89 y Nivel de amenaza alto: 90–100 |
webroot_threat_categories |
Indica los tipos de amenazas detectadas desde la dirección IP en función de la fuente de inteligencia de amenazas IP de Webroot. Las categorías de amenazas pueden ser Fuentes de spam, Exploits de Windows, Ataques web, Botnets, Escáneres, Denegación de servicio, Reputación, Phishing, Proxy, No especificado, Amenazas móviles y Proxy Tor |
Esquema de indicadores de riesgo de Citrix DaaS y Citrix Virtual Apps and Desktops
Indicador de riesgo de viaje imposible
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "Account.Logon",
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_id": "device1",
"receiver_type": "XA.Receiver.Linux",
"os": "Linux OS",
"browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para Impossible travel.
Nombre del campo | Descripción |
---|---|
distance |
La distancia (km) entre los eventos asociados con el viaje imposible. |
historical_logon_locations |
Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación. |
historical_observation_period_in_days |
Cada ubicación es monitoreada durante 30 días. |
relevant_event_type |
Indica el tipo de evento, como el inicio de sesión. |
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
country |
El país desde el que el usuario ha iniciado sesión. |
city |
La ciudad desde la que el usuario ha iniciado sesión. |
region |
Indica la región desde la que el usuario ha iniciado sesión. |
latitude |
Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión. |
longitude |
Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión. |
browser |
El navegador web utilizado por el usuario. |
os |
El sistema operativo del dispositivo del usuario. |
device_id |
El nombre del dispositivo utilizado por el usuario. |
receiver_type |
El tipo de aplicación Citrix Workspace o Citrix Receiver instalado en el dispositivo del usuario. |
ip_organization |
Registro de la organización de la dirección IP del cliente |
ip_routing_type |
Tipo de enrutamiento de IP de cliente |
Indicador de riesgo potencial de exfiltración de datos
Esquema de resumen del indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Potential data exfiltration",
"severity": "low",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Download/Print/Copy",
"observation_start_time": "2018-04-02T10:00:00Z",
"exfil_data_volume_in_bytes": 1172000
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:57:36Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "App.SaaS.Clipboard",
"file_size_in_bytes": 98000,
"file_type": "text",
"device_id": "dvc5",
"receiver_type": "XA.Receiver.Windows",
"app_url": "https://www.citrix.com",
"client_ip": "10.xxx.xx.xxx",
"entity_time_zone": "Pacific Standard Time"
}
<!--NeedCopy-->
En la tabla siguiente se describen los campos específicos del esquema de resumen y el esquema de detalles del evento para la posible filtración de datos.
Nombre del campo | Descripción |
---|---|
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
relevant_event_type |
Indica la actividad del usuario, como descargar, imprimir o copiar los datos. |
exfil_data_volume_in_bytes |
La cantidad de exfiltración de datos. |
occurrence_event_type |
Indica cómo se ha producido la filtración de datos, como la operación del portapapeles en una aplicación SaaS. |
file_size_in_bytes |
El tamaño del archivo. |
file_type |
El tipo de archivo. |
device_id |
El ID del dispositivo del usuario. |
receiver_type |
La aplicación Citrix Workspace o Citrix Receiver instalado en el dispositivo del usuario. |
app_url |
La dirección URL de la aplicación a la que accede el usuario. |
entity_time_zone |
La zona horaria del usuario. |
Esquema de indicador de riesgo de inicio de sesión sospechoso
Esquema de resumen del indicador
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"risk_probability": 0.78,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details":
{
"user_location_risk": 0,
"city": "Some_city",
"observation_start_time": "2020-06-06T12:00:00Z",
"event_count": 1,
"user_device_risk": 75,
"country": "United States",
"device_id": "device2",
"region": "Some_Region",
"client_ip": "99.xx.xx.xx",
"webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
"historical_logon_locations": "[{\"country\":\"United States\",\"latitude\":45.0,\"longitude\":45.0,\"count\":12},{\"country\":\"United States\",\"region\":\"Some_Region_A\",\"city\":\"Some_City_A\",\"latitude\":0.0,\"longitude\":0.0,\"count\":8}]",
"relevant_event_type": "Logon",
"user_network_risk": 100,
"historical_observation_period_in_days": 30,
"suspicious_network_risk": 0
}
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06 12:02:30",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"occurrence_event_type": "Account.Logon",
"city": "Some_city",
"country": "United States",
"region": "Some_Region",
"latitude": 37.751,
"longitude": -97.822,
"browser": "Firefox 1.3",
"os": "Windows OS",
"device_id": "device2",
"receiver_type": "XA.Receiver.Chrome",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el inicio de sesión sospechoso.
Nombre del campo | Descripción |
---|---|
historical_logon_locations |
Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación. |
historical_observation_period_in_days |
Cada ubicación es monitoreada durante 30 días. |
relevant_event_type |
Indica el tipo de evento, como el inicio de sesión. |
observation_start_time |
La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo. |
occurrence_event_type |
Indica el tipo de evento de usuario, como el inicio de sesión de la cuenta. |
country |
El país desde el que el usuario ha iniciado sesión. |
city |
La ciudad desde la que el usuario ha iniciado sesión. |
region |
Indica la región desde la que el usuario ha iniciado sesión. |
latitude |
Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión. |
longitude |
Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión. |
browser |
El navegador web utilizado por el usuario. |
os |
El sistema operativo del dispositivo del usuario. |
device_id |
El nombre del dispositivo utilizado por el usuario. |
receiver_type |
El tipo de aplicación Citrix Workspace o Citrix Receiver instalado en el dispositivo del usuario. |
user_location_risk |
Indica el nivel de sospecha de la ubicación desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100 |
user_device_risk |
Indica el nivel de sospecha del dispositivo desde el que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100 |
user_network_risk |
Indica el nivel de sospecha de la red o la subred desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100 |
suspicious_network_risk |
Indica el nivel de amenaza IP basado en la fuente de inteligencia de amenazas IP de Webroot. Nivel de amenaza bajo: 0–69, Nivel de amenaza medio: 70–89 y Nivel de amenaza alto: 90–100 |
webroot_threat_categories |
Indica los tipos de amenazas detectadas desde la dirección IP en función de la fuente de inteligencia de amenazas IP de Webroot. Las categorías de amenazas pueden ser Fuentes de spam, Exploits de Windows, Ataques web, Botnets, Escáneres, Denegación de servicio, Reputación, Phishing, Proxy, No especificado, Amenazas móviles y Proxy Tor |
Indicador de Microsoft Active Directory
Esquema de resumen del indicador
{
"data_source": "Microsoft Graph Security",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_id": 1000,
"indicator_name": "MS Active Directory Indicator",
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_type": "builtin",
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"ui_link": "https://analytics-daily.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
Esquema de detalles de evento de indicador
{
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_id": 1000,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"version": 2
}
<!--NeedCopy-->
Esquema de indicador de riesgo personalizado
En la siguiente sección se describe el esquema del indicador de riesgo personalizado.
Nota
Actualmente, Citrix Analytics envía los datos relacionados con los indicadores de riesgo personalizados de Citrix DaaS y Citrix Virtual Apps and Desktops a su servicio SIEM.
En la tabla siguiente se describen los nombres de campo para el esquema de resumen del indicador de riesgo personalizado.
Nombre del campo | Descripción |
---|---|
data source |
Los productos que envían datos a Citrix Analytics for Security. Por ejemplo: Citrix Secure Private Access, Citrix Gateway y Citrix Apps and Desktops. |
data_source_id |
El ID asociado a una fuente de datos. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access |
entity_id |
El ID asociado a la entidad en riesgo. |
entity_type |
La entidad en riesgo. En este caso, la entidad es un usuario. |
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el resumen del indicador de riesgo. |
indicator_category |
Indica las categorías de indicadores de riesgo. Los indicadores de riesgo se agrupan en una de las categorías de riesgo: punto final comprometido, usuarios comprometidos, exfiltración de datos o amenazas internas. |
indicator_id |
El ID único asociado con el indicador de riesgo. |
indicator_category_id |
El ID asociado con la categoría del indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos, ID 4 = Puntos de conexión comprometidos |
indicator_name |
El nombre del indicador de riesgo. En el caso de un indicador de riesgo personalizado, este nombre se define al crear el indicador. |
indicator_type |
Indica si el indicador de riesgo es predeterminado (incorporado) o personalizado. |
indicator_uuid |
El ID único asociado a la instancia del indicador de riesgo. |
occurrence_details |
Los detalles sobre la condición de activación del indicador de riesgo. |
pre_configured |
Indica si el indicador de riesgo personalizado está preconfigurado. |
risk_probability |
Indica las posibilidades de riesgo asociadas con el evento de usuario. El valor varía de 0 a 1,0. En el caso de un indicador de riesgo personalizado, el risk_probability siempre es 1,0 porque se trata de un indicador basado en políticas. |
severity |
Indica la gravedad del riesgo. Puede ser bajo, medio o alto. |
tenant_id |
La identidad única del cliente. |
timestamp |
La fecha y la hora en que se activa el indicador de riesgo. |
ui_link |
El enlace a la vista de la línea de tiempo del usuario en la interfaz de usuario de Citrix Analytics. |
version |
La versión del esquema de los datos procesados. La versión actual del esquema es la 2. |
En la tabla siguiente se describen los nombres de campo comunes en el esquema de detalles del evento del indicador de riesgo personalizado.
Nombre del campo | Descripción |
---|---|
data_source_id |
El ID asociado a una fuente de datos. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access |
indicator_category_id |
El ID asociado con la categoría del indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos, ID 4 = Puntos de conexión comprometidos |
event_type |
El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento son los detalles del evento del indicador de riesgo. |
tenant_id |
La identidad única del cliente. |
entity_id |
El ID asociado a la entidad en riesgo. |
entity_type |
La entidad que está en riesgo. En este caso, es el usuario. |
indicator_id |
El ID único asociado con el indicador de riesgo. |
indicator_uuid |
El ID único asociado a la instancia del indicador de riesgo. |
timestamp |
La fecha y la hora en que se activa el indicador de riesgo. |
version |
La versión del esquema de los datos procesados. La versión actual del esquema es la 2. |
event_id |
El ID asociado con el evento de usuario. |
occurrence_event_type |
Indica el tipo de evento de usuario, como el inicio de sesión, el inicio de sesión y el inicio de sesión de cuenta. |
product |
Indica el tipo de aplicación Citrix Workspace, como la aplicación Citrix Workspace para Windows. |
client_ip |
La dirección IP del dispositivo del usuario. |
session_user_name |
El nombre de usuario asociado a la sesión de Citrix Apps and Desktops. |
city |
El nombre de la ciudad desde la que se detecta la actividad del usuario. |
country |
El nombre del país desde el que se detecta la actividad del usuario. |
device_id |
El nombre del dispositivo utilizado por el usuario. |
os_name |
El sistema operativo que está instalado en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio para aplicaciones y escritorios. |
os_version |
La versión del sistema operativo que está instalada en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio para aplicaciones y escritorios. |
os_extra_info |
Los detalles adicionales asociados con el sistema operativo que está instalado en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio para aplicaciones y escritorios. |
Indicador de riesgo personalizado para Citrix DaaS y Citrix Virtual Apps and Desktops
Esquema de resumen del indicador
{
"data_source": " Citrix Apps and Desktops",
"data_source_id": 3,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_category_id": 3,
"indicator_id": "ca97a656ab0442b78f3514052d595936",
"indicator_name": "Demo_user_usage",
"indicator_type": "custom",
"indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
"occurrence_details": {
"condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
"pre_configured": "N",
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-02-10T14:47:25Z",
"ui_link": "https://analytics.cloud.com/user/ ",
"version": 2
}
<!--NeedCopy-->
Esquema de detalles del evento de indicador para el evento de inicio de sesión
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "SYD04-MS1-S102",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de inicio de sesión de sesión.
Nombre del campo | Descripción |
---|---|
app_name |
Nombre de una aplicación o escritorio iniciado. |
launch_type |
Indica aplicación o escritorio. |
domain |
El nombre de dominio del servidor que envió la solicitud. |
server_name |
Nombre del servidor. |
session_guid |
El GUID de la sesión activa. |
Esquema de detalles del evento de indicador para el evento de inicio de sesión
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de inicio de sesión.
Nombre del campo | Descripción |
---|---|
app_name |
Nombre de una aplicación o escritorio iniciado. |
launch_type |
Indica aplicación o escritorio. |
Esquema de detalles del evento de indicador para el evento de inicio de sesión de cuenta
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Account.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de inicio de sesión de cuenta.
Nombre del campo | Descripción |
---|---|
app_name |
Nombre de una aplicación o escritorio iniciado. |
Esquema de detalles del evento de indicador para el evento de fin de sesión
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de fin de sesión.
Nombre del campo | Descripción |
---|---|
app_name |
Nombre de una aplicación o escritorio iniciado. |
launch_type |
Indica aplicación o escritorio. |
domain |
El nombre de dominio del servidor que envió la solicitud. |
server_name |
Nombre del servidor. |
session_guid |
El GUID de la sesión activa. |
Esquema de detalles del evento de indicador para el evento de inicio de la aplicación
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.Start",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de inicio de la aplicación.
Nombre del campo | Descripción |
---|---|
app_name |
Nombre de una aplicación o escritorio iniciado. |
launch_type |
Indica aplicación o escritorio. |
domain |
El nombre de dominio del servidor que envió la solicitud. |
server_name |
Nombre del servidor. |
session_guid |
El GUID de la sesión activa. |
module_file_path |
La ruta de acceso de la aplicación que se está utilizando. |
Esquema de detalles del evento de indicador para el evento de finalización de la aplicación
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de finalización de la aplicación.
Nombre del campo | Descripción |
---|---|
app_name |
Nombre de una aplicación o escritorio iniciado. |
launch_type |
Indica aplicación o escritorio. |
domain |
El nombre de dominio del servidor que envió la solicitud. |
server_name |
Nombre del servidor. |
session_guid |
El GUID de la sesión activa. |
module_file_path |
La ruta de acceso de la aplicación que se está utilizando. |
Esquema de detalles del evento de indicador para el evento de descarga de archivos
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "File.Download",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"file_download_file_name": "File5.txt",
"file_download_file_path": "/root/folder1/folder2/folder3",
"file_size_in_bytes": 278,
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"device_type": "USB"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de descarga de archivos.
Nombre del campo | Descripción |
---|---|
file_download_file_name |
Nombre del archivo de descarga. |
file_download_file_path |
La ruta de destino donde se descarga el archivo. |
launch_type |
Indica aplicación o escritorio. |
domain |
El nombre de dominio del servidor que envió la solicitud. |
server_name |
Nombre del servidor. |
session_guid |
El GUID de la sesión activa. |
device_type |
Indica el tipo de dispositivo donde se descarga el archivo. |
Esquema de detalles del evento de indicador para el evento de impresión
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Printing",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"printer_name": "Test-printer",
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"job_details_size_in_bytes": 454,
"job_details_filename": "file1.pdf",
"job_details_format": "PDF"
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de impresión.
Nombre del campo | Descripción |
---|---|
printer_name |
Nombre de la impresora utilizada para el trabajo de impresión. |
launch_type |
Indica aplicación o escritorio. |
domain |
El nombre de dominio del servidor que envió la solicitud. |
server_name |
Nombre del servidor. |
session_guid |
El GUID de la sesión activa. |
job_details_size_in_bytes |
El tamaño del trabajo impreso, como un archivo o una carpeta. |
job_details_filename |
Nombre del archivo impreso. |
job_details_format |
El formato del trabajo impreso. |
Esquema de detalles del evento de indicador para el evento de lanzamiento de SaaS de la aplicación
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de lanzamiento de SaaS de la aplicación.
Nombre del campo | Descripción |
---|---|
launch_type |
Indica aplicación o escritorio. |
Esquema de detalles del evento de indicador para el evento final de SaaS de la aplicación
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento final de SaaS de la aplicación.
Nombre del campo | Descripción |
---|---|
launch_type |
Indica aplicación o escritorio. |
Eventos de origen de datos
Además, puede configurar la función Exportaciones de datos para exportar eventos de usuario desde los orígenes de datos de productos habilitados para Citrix Analytics for Security. Al realizar cualquier actividad en el entorno Citrix, se generan los eventos de la fuente de datos. Los eventos exportados son datos de uso de usuarios y productos en tiempo real sin procesar, tal y como están disponibles en la vista de autoservicio. Los metadatos contenidos en estos eventos se pueden utilizar aún más para un análisis más profundo de las amenazas, la creación de nuevos paneles y la correlación con otros eventos de origen de datos que no son de Citrix en su infraestructura de seguridad y TI.
Actualmente, Citrix Analytics for Security envía eventos de usuario a su SIEM para el origen de datos de Citrix Virtual Apps and Desktops.
Detalles del esquema de los eventos de origen de datos
Eventos de Citrix Virtual Apps and Desktops
Los eventos de usuario se reciben en tiempo real en Citrix Analytics for Security cuando los usuarios utilizan aplicaciones virtuales o escritorios virtuales. Para obtener más información, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS. Puede ver los siguientes eventos de usuario asociados con Citrix Virtual Apps and Desktops en su SIEM:
- Todos los tipos de eventos
- Inicio de sesión de la cuenta
- Aplicación (inicio, inicio, fin)
- Portapapeles
- Archivo (imprimir, descargar)
- Origen de sesión HDX
- Impresión
- Sesión (inicio de sesión, inicio, finalización, finalización)
- Datos de VDA
- Creación de procesos de VDA
Para obtener más información sobre los eventos y sus atributos, consulte Búsqueda de autoservicio para aplicaciones y escritorios virtuales.
Puede revisar qué tipos de eventos están habilitados y fluyen a SIEM. Puede configurar o quitar el tipo de evento aplicable a un inquilino y hacer clic en el botón Guardar cambios para guardar la configuración.
Eventos de acceso privado seguro
Los eventos de usuario se reciben en tiempo real en Citrix Analytics for Security cuando los usuarios acceden a aplicaciones a través de Citrix Secure Private Access, como la aplicación Citrix Workspace, los clientes de Citrix Secure Access o Citrix Enterprise Browser. Puede ver los siguientes eventos de usuario asociados con Secure Private Access en su SIEM:
- Todos los tipos de eventos
- Inicio de sesión de la cuenta
- Aplicación (conexión, inicio, finalización, error)
- Archivo (imprimir, descargar)
- Evaluación de políticas
- Portapapeles
- Sesión (conectar, iniciar)
- URL
- Inicio de sesión de usuario
- Registros de servicio de SPA
Eventos de servicio de posición del dispositivo
Los eventos de usuario se generan cuando el cliente de Citrix Endpoint Analysis (EPA) realiza una comprobación de estado en un dispositivo que intenta acceder a los recursos de Citrix Virtual Apps and Desktops o Citrix Secure Private Access. Puede ver los siguientes eventos de usuario asociados con el servicio Device Posture en su SIEM:
- Todos los tipos de eventos
- Evaluación de la postura del dispositivo
Puede revisar los tipos de eventos habilitados para el inquilino y asegurarse de que fluyen al SIEM. Puede configurar o eliminar los tipos de eventos aplicables y hacer clic en el botón Guardar cambios para aplicar la configuración.