Citrix Analytics for Security

Formato de exportación de datos de Citrix Analytics para SIEM

Citrix Analytics for Security le permite integrarse con sus servicios de administración de eventos e información de seguridad (SIEM). Esta integración permite que Citrix Analytics for Security envíe datos a sus servicios SIEM y le ayuda a obtener información sobre la postura de riesgo de seguridad de su organización.

Actualmente, puede integrar Citrix Analytics for Security con los siguientes servicios SIEM:

El Opción de exportación de datos ya está disponible en todo el mundo bajo Configuración. Para ver los eventos de la fuente de datos, vaya a Configuración > Exportación de datos > Eventos de origen de datos.

Exportación de datos

Los datos de información sobre riesgos enviados por Citrix Analytics for Security a su servicio SIEM son de dos tipos:

  • Eventos de información de riesgos (exportaciones predeterminadas)
  • Eventos de origen de datos (exportaciones opcionales)

    Exportación de datos

Datos de información de riesgos para SIEM

Una vez que haya completado la configuración de la cuenta y la configuración de SIEM, los conjuntos de datos predeterminados (eventos de información de riesgos) comienzan a fluir hacia su implementación de SIEM. Los conjuntos de datos de información de riesgos incluyen eventos de puntuación de riesgo de usuario, eventos de perfil de usuario y alertas de indicadores de riesgo. Estos son generados por los algoritmos de aprendizaje automático de Citrix Analytics y el análisis del comportamiento del usuario, aprovechando los eventos de usuario.

Los conjuntos de datos de información de riesgos de un usuario incluyen lo siguiente:

  • Cambio en la puntuación de riesgo: Indica un cambio en la puntuación de riesgo del usuario. Cuando el cambio en la puntuación de riesgo de un usuario es igual o superior a 3 y este cambio aumenta a cualquier ritmo o disminuye en más de un 10%, los datos se envían al servicio SIEM.
  • Resumen del indicador de riesgo: Los detalles del indicador de riesgo activado para un usuario.
  • Detalles del evento del indicador de riesgo: Los eventos de usuario asociados con un indicador de riesgo. Citrix Analytics envía un máximo de 1000 detalles de eventos para cada ocurrencia de indicador de riesgo a su servicio SIEM. Estos eventos se envían en orden cronológico de ocurrencia.
  • Evento de puntuación de riesgo del usuario: La puntuación de riesgo actual de un usuario. Citrix Analytics for Security envía estos datos al servicio SIEM cada 12 horas.
  • Perfil de usuario: Los datos del perfil de usuario se pueden clasificar en:

    • Aplicaciones de usuario: Las aplicaciones que un usuario ha iniciado y utilizado. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps y los envía al servicio SIEM cada 12 horas.
    • Dispositivo de usuario: Los dispositivos asociados a un usuario. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps y Citrix Endpoint Management y los envía al servicio SIEM cada 12 horas.
    • Ubicación del usuario: La ciudad en la que se detectó un usuario por última vez. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps and Desktops y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service). Citrix Analytics for Security envía esta información a su servicio SIEM cada 12 horas.
    • IP del cliente de usuario: La dirección IP del cliente del dispositivo del usuario. Citrix Analytics for Security recupera estos datos de Citrix Virtual Apps and Desktops y Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) y envía esta información a su servicio SIEM cada 12 horas.

Si solo puede ver, pero no puede configurar las preferencias de eventos de origen de datos, no tiene los permisos de administrador necesarios. Para obtener más información, consulte Administrar roles de administrador para Security Analytics.

En el siguiente ejemplo, el método Guardar cambios está desactivado. Los eventos de información de riesgo están habilitados de forma predeterminada.

Datos de información sobre riesgos

Detalles del esquema de los eventos de Risk Insights

En la siguiente sección se describe el esquema de los datos procesados generados por Citrix Analytics for Security.

Nota

Los valores de campo que se muestran en los siguientes ejemplos de esquema son solo para fines representativos. Los valores reales de los campos varían en función del perfil de usuario, los eventos de usuario y el indicador de riesgo.

En la tabla siguiente se describen los nombres de campo que son comunes en todo el esquema para todos los datos de perfil de usuario, la puntuación de riesgo del usuario y el cambio de puntuación de riesgo.

Nombre del campo Descripción
entity_id La identidad asociada a la entidad. En este caso, la entidad es el usuario.
entity_type La entidad en riesgo. En este caso, la entidad es el usuario.
event_type El tipo de datos enviados a su servicio SIEM. Por ejemplo: la ubicación del usuario, el uso de datos del usuario o la información de acceso al dispositivo del usuario.
tenant_id La identidad única del cliente.
timestamp La fecha y hora de la actividad reciente del usuario.
version La versión del esquema de los datos procesados. La versión actual del esquema es la 2.

Esquema de datos de perfil de usuario

Esquema de ubicación de usuario


  {
    "tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2
    }

<!--NeedCopy-->

Descripción del campo para la ubicación del usuario

Nombre del campo Descripción
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la ubicación del usuario.
country El país desde el que el usuario ha iniciado sesión.
city La ciudad desde la que el usuario ha iniciado sesión.
cnt El número de veces que se ha accedido a la ubicación en las últimas 12 horas.

Esquema de IP de cliente de usuario


  {
    "client_ip": "149.147.136.10",
    "cnt": 3,
    "entity_id": "r2_up_user_1",
    "entity_type": "user",
    "event_type": "userProfileClientIps",
    "tenant_id": "xaxddaily1",
    "timestamp": "2023-09-18T10:45:00Z",
    "version": 2
  }


<!--NeedCopy-->

Descripción del campo para la IP del cliente

Nombre del campo Descripción
client_ip La dirección IP del dispositivo del usuario.
cnt El número de veces que el usuario ha accedido al dispositivo en las últimas 12 horas.
entity_id La identidad asociada a la entidad. En este caso, la entidad es el usuario.
entity_type La entidad en riesgo. En este caso, el tipo de evento es la IP de cliente del usuario.
event_type El tipo de datos enviados a su servicio SIEM. Por ejemplo: la ubicación del usuario, el uso de datos del usuario o la información de acceso al dispositivo del usuario.
tenant_id La identidad única del cliente.
timestamp La fecha y hora de la actividad reciente del usuario.
version La versión del esquema de los datos procesados. La versión actual del esquema es la 2.

Esquema de uso de datos de usuario


  {
    "data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2
    }

<!--NeedCopy-->

Descripción del campo para el uso de datos de usuario

Nombre del campo Descripción
data_usage_bytes La cantidad de datos (en bytes) utilizados por el usuario. Es la suma del volumen descargado y cargado de un usuario.
deleted_file_cnt El número de archivos eliminados por el usuario.
downloaded_bytes La cantidad de datos descargados por el usuario.
downloaded_file_count El número de archivos descargados por el usuario.
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el perfil de uso del usuario.
shared_file_count El número de archivos compartidos por el usuario.
uploaded_bytes La cantidad de datos cargados por el usuario.
uploaded_file_cnt El número de archivos cargados por el usuario.

Esquema de dispositivo de usuario


  {
    "cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2
    }

<!--NeedCopy-->

Descripción del campo para el dispositivo del usuario.

Nombre del campo Descripción
cnt El número de veces que se accede al dispositivo en las últimas 12 horas.
device El nombre del dispositivo.
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la información de acceso al dispositivo del usuario.

Esquema de la aplicación de usuario


  {
    "tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189
    }

<!--NeedCopy-->

Descripción del campo para la aplicación de usuario.

Nombre del campo Descripción
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la información de acceso al dispositivo del usuario.
session_domain El ID de la sesión en la que el usuario ha iniciado sesión.
user_samaccountname El nombre de inicio de sesión de clientes y servidores de una versión anterior de Windows, como Windows NT 4.0, Windows 95, Windows 98 y LAN Manager. Este nombre se utiliza para iniciar sesión en Citrix StoreFront y también para iniciar sesión en una máquina Windows remota.
app El nombre de la aplicación a la que accede el usuario.
cnt El número de veces que se accede a la aplicación en las últimas 12 horas.

Esquema de puntuación de riesgo de usuario


  {
    "cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2
    }

<!--NeedCopy-->

Descripción del campo para la puntuación de riesgo del usuario.

Nombre del campo Descripción
cur_riskscore La puntuación de riesgo actual asignada al usuario. La puntuación de riesgo varía de 0 a 100 en función de la gravedad de la amenaza asociada a la actividad del usuario.
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es la puntuación de riesgo del usuario.
last_update_timestamp La hora a la que se actualizó por última vez la puntuación de riesgo para un usuario.
timestamp La hora en que el evento de puntuación de riesgo del usuario se recopila y se envía a su servicio SIEM. Este evento se envía a su servicio SIEM cada 12 horas.

Esquema de cambio de puntuación de riesgo

Ejemplo 1:


  {
    "alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2
    }

<!--NeedCopy-->

Ejemplo 2:


  {
    "alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2
    }

<!--NeedCopy-->

Descripción del campo para el cambio de puntuación de riesgo.

Nombre del campo Descripción
alert_message El mensaje que se muestra para el cambio de puntuación de riesgo.
alert_type Indica si la alerta es para un aumento en la puntuación de riesgo o una caída significativa en el porcentaje de puntuación de riesgo. Cuando el cambio en la puntuación de riesgo de un usuario es igual o superior a tres y este cambio aumenta a cualquier ritmo o disminuye en más de un 10%, los datos se envían al servicio SIEM.
alert_value Valor numérico asignado para el cambio de puntuación de riesgo. El cambio en la puntuación de riesgo es la diferencia entre la puntuación de riesgo actual y la puntuación de riesgo anterior de un usuario. El valor de alerta varía de -100 a 100.
cur_riskscore La puntuación de riesgo actual asignada al usuario. La puntuación de riesgo varía de 0 a 100 en función de la gravedad de la amenaza asociada a la actividad del usuario.
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el cambio en la puntuación de riesgo del usuario.
timestamp La fecha y hora en que se detecta el último cambio en la puntuación de riesgo para el usuario.

Esquema de indicadores de riesgo

El esquema del indicador de riesgo consta de dos partes: el esquema de resumen del indicador y el esquema de detalles del evento del indicador. En función del indicador de riesgo, los campos y sus valores en el esquema cambian en consecuencia.

En la tabla siguiente se describen los nombres de campo comunes a todos los esquemas de resumen de indicadores.

Nombre del campo Descripción
data source Los productos que envían datos a Citrix Analytics for Security. Por ejemplo: Citrix Secure Private Access, Citrix Gateway y Citrix Apps and Desktops.
data_source_id El ID asociado a una fuente de datos. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access
entity_type La entidad en riesgo. Puede ser un usuario.
entity_id El ID asociado a la entidad en riesgo.
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el resumen del indicador de riesgo.
indicator_category Indica las categorías de indicadores de riesgo. Los indicadores de riesgo se agrupan en una de las categorías de riesgo: punto final comprometido, usuarios comprometidos, exfiltración de datos o amenazas internas.
indicator_id El ID único asociado con el indicador de riesgo.
indicator_category_id El ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos, ID 4 = Endpoint comprometido
indicator_name El nombre del indicador de riesgo. En el caso de un indicador de riesgo personalizado, este nombre se define al crear el indicador.
indicator_type Indica si el indicador de riesgo es predeterminado (incorporado) o personalizado.
indicator_uuid El ID único asociado a la instancia del indicador de riesgo.
indicator_vector_name Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son los indicadores de riesgo basados en dispositivos, los indicadores de riesgo basados en la ubicación, los indicadores de riesgo basados en errores de inicio de sesión, los indicadores de riesgo basados en IP, los indicadores de riesgo basados en datos, los indicadores de riesgo basados en archivos y otros indicadores de riesgo.
indicator_vector_id El ID asociado a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en errores de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en datos, ID 6 = Indicadores de riesgo basados en archivos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible
occurrence_details Los detalles sobre la condición de activación del indicador de riesgo.
risk_probability Indica las posibilidades de riesgo asociadas con el evento de usuario. El valor varía de 0 a 1,0. En el caso de un indicador de riesgo personalizado, el risk_probability siempre es 1,0 porque se trata de un indicador basado en políticas.
severity Indica la gravedad del riesgo. Puede ser bajo, medio o alto.
tenant_id La identidad única del cliente.
timestamp La fecha y la hora en que se activa el indicador de riesgo.
ui_link El enlace a la vista de la línea de tiempo del usuario en la interfaz de usuario de Citrix Analytics.
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.

En la tabla siguiente se describen los nombres de campo comunes a todos los esquemas de detalles de eventos del indicador.

Nombre del campo Descripción
data_source_id El ID asociado a una fuente de datos. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access
indicator_category_id El ID asociado a una categoría de indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos, ID 4 = Endpoint comprometido
entity_id El ID asociado a la entidad en riesgo.
entity_type La entidad que está en riesgo. Puede ser el usuario.
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento son los detalles del evento del indicador de riesgo.
indicator_id El ID único asociado con el indicador de riesgo.
indicator_uuid El ID único asociado a la instancia del indicador de riesgo.
indicator_vector_name Indica el vector de riesgo asociado a un indicador de riesgo. Los vectores de riesgo son los indicadores de riesgo basados en dispositivos, los indicadores de riesgo basados en la ubicación, los indicadores de riesgo basados en errores de inicio de sesión, los indicadores de riesgo basados en IP, los indicadores de riesgo basados en datos, los indicadores de riesgo basados en archivos y otros indicadores de riesgo.
indicator_vector_id El ID asociado a un vector de riesgo. ID 1 = Indicadores de riesgo basados en dispositivos, ID 2 = Indicadores de riesgo basados en la ubicación, ID 3 = Indicadores de riesgo basados en errores de inicio de sesión, ID 4 = Indicadores de riesgo basados en IP, ID 5 = Indicadores de riesgo basados en datos, ID 6 = Indicadores de riesgo basados en archivos, ID 7 = Otros indicadores de riesgo e ID 999 = No disponible
tenant_id La identidad única del cliente.
timestamp La fecha y la hora en que se activa el indicador de riesgo.
version La versión del esquema de los datos procesados. La versión actual del esquema es la 2.
client_ip La dirección IP del dispositivo del usuario.

Nota

  • Si un valor de campo de tipo de datos enteros no está disponible, el valor asignado es -999. Por ejemplo "latitud": -999, "longitud": -999.

  • Si un valor de campo de tipo de datos de cadena no está disponible, el valor asignado es NA. Por ejemplo "ciudad": "NA", "region": "NA".

Esquema de indicadores de riesgo de Citrix Secure Private Access

Intento de acceder al esquema del indicador de riesgo de URL en la lista negra

Esquema de resumen del indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 401,
    "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-15T10:59:58Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Attempt to access blacklisted URL",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-15T10:44:59Z",
      "relevant_event_type": "Blacklisted External Resource Access"
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 401,
    "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-15T10:57:21Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "googleads.g.doubleclick.net",
    "executed_action": "blocked",
    "reason_for_action": "URL Category match",
    "client_ip": "157.xx.xxx.xxx"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para intentar acceder a la dirección URL de la lista negra.

Nombre del campo Descripción
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
executed_action La acción aplicada en la URL incluida en la lista negra. La acción incluye Permitir y Bloquear.
reason_for_action El motivo por el que se aplica la acción para la URL.

Esquema de indicadores de riesgo de descargas excesivas de datos

Esquema de resumen del indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 403,
    "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Excessive data download",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-16T10:00:00Z",
      "data_volume_in_bytes": 24000,
      "relevant_event_type": "External Resource Access"
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 403,
    "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:30:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "www.facebook.com",
    "client_ip": "157.xx.xxx.xxx",
    "downloaded_bytes": 24000
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para las descargas de datos excesivas.

Nombre del campo Descripción
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
data_volume_in_bytes La cantidad de datos en bytes que se descargan.
relevant_event_type Indica el tipo de evento de usuario.
domain_name El nombre del dominio desde el que se descargan los datos.
downloaded_bytes La cantidad de datos en bytes que se descargan.

Esquema de indicador de riesgo de volumen de carga inusual

Esquema de resumen del indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 402,
    "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Unusual upload volume",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-16T10:00:00Z",
      "data_volume_in_bytes": 24000,
      "relevant_event_type": "External Resource Access"
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 402,
    "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:30:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "www.facebook.com",
    "client_ip": "157.xx.xxx.xxx",
    "uploaded_bytes": 24000
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles de eventos para el volumen de carga inusual.

Nombres de campo Descripción
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
data_volume_in_bytes La cantidad de datos en bytes que se cargan.
relevant_event_type Indica el tipo de evento de usuario.
domain_name El nombre del dominio en el que se cargan los datos.
uploaded_bytes La cantidad de datos en bytes que se cargan.

Esquema de indicadores de riesgo de Citrix Endpoint Management

Esquema de indicadores de dispositivos detectados con jailbreak o rooteados

Esquema de resumen del indicador

  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 200,
    "indicator_name": "Jailbroken / Rooted Device Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T17:49:05Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador
  {
    "indicator_id": 200,
    "client_ip": "122.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T17:50:35Z",
    "version": 2
  }

<!--NeedCopy-->

Dispositivo con aplicaciones en la lista negra detectadas

Esquema de resumen del indicador
  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 201,
    "indicator_name": "Device with Blacklisted Apps Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T17:49:23Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador
  {
    "indicator_id": 201,
    "client_ip": "122.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T17:50:39Z",
    "version": 2
  }

<!--NeedCopy-->

Dispositivo no administrado detectado

Esquema de resumen del indicador
  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 203,
    "indicator_name": "Unmanaged Device Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T12:56:30Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador
  {
    "indicator_id": 203,
    "client_ip": "127.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T18:41:30Z",
    "version": 2
  }

<!--NeedCopy-->

Esquema de indicadores de riesgo de Citrix Gateway

Esquema del indicador de riesgo de falla de escaneo de la EPA

Esquema de resumen del indicador
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 100,
    "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "EPA scan failure",
    "severity": "low",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "event_description": "Post auth failed, no quarantine",
      "observation_start_time": "2017-12-21T07:00:00Z",
      "relevant_event_type": "EPA Scan Failure at Logon"
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 100,
    "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:12:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "event_description": "Post auth failed, no quarantine",
    "gateway_domain_name": "10.102.xx.xx",
    "gateway_ip": "56.xx.xxx.xx",
    "policy_name": "postauth_act_1",
    "client_ip": "210.91.xx.xxx",
    "country": "United States",
    "city": "San Jose",
    "region": "California",
    "cs_vserver_name": "demo_vserver",
    "device_os": "Windows OS",
    "security_expression": "CLIENT.OS(Win12) EXISTS",
    "vpn_vserver_name": "demo_vpn_vserver",
    "vserver_fqdn": "10.xxx.xx.xx"
  }
<!--NeedCopy-->

En la tabla se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles de eventos para el indicador de riesgo de error de escaneo de la EPA.

Nombres de campo Descripción
event_description Describe los motivos del error de examen de la EPA, como el error de autenticación posterior y la ausencia de grupo de cuarentena.
relevant_event_type Indica el tipo de evento de error de escaneo de la EPA.
gateway_domain_name El nombre de dominio de Citrix Gateway.
gateway_ip La dirección IP de Citrix Gateway.
policy_name El nombre de la directiva de análisis de la EPA configurado en Citrix Gateway.
country El país desde el que se ha detectado la actividad del usuario.
city La ciudad desde la que se ha detectado la actividad del usuario.
region La región desde la que se ha detectado la actividad del usuario.
cs_vserver_name El nombre del servidor virtual del conmutador de contenido.
device_os El sistema operativo del dispositivo del usuario.
security_expression La expresión de seguridad configurada en Citrix Gateway.
vpn_vserver_name El nombre del servidor virtual de Citrix Gateway.
vserver_fqdn El FQDN del servidor virtual Citrix Gateway.

Esquema de indicador de riesgo de error de autenticación excesivo

Esquema de resumen del indicador
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 101,
    "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Excessive authentication failures",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/”,
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2017-12-21T07:00:00Z",
      "relevant_event_type": "Logon Failure"
    }
  }
<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 101,
    "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:10:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo-user",
    "version": 2,
    "event_description": "Bad (format) password passed to nsaaad",
    "authentication_stage": "Secondary",
    "authentication_type": "LDAP",
    "auth_server_ip": "10.xxx.x.xx",
    "client_ip": "24.xxx.xxx.xx",
    "gateway_ip": "24.xxx.xxx.xx",
    "vserver_fqdn": "demo-fqdn.citrix.com",
    "vpn_vserver_name": "demo_vpn_vserver",
    "cs_vserver_name": "demo_cs_vserver",
    "gateway_domain_name": "xyz",
    "country": "United States",
    "region": "California",
    "city": "San Jose",
    "nth_failure": 5
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el error de autenticación excesivo.

Nombres de campo Descripción
relevant_event_type Indica el tipo de evento, como un error de inicio de sesión.
event_description Describe el motivo del evento de error de autenticación excesivo, como una contraseña incorrecta.
authentication_stage Indica si la fase de autenticación es primaria, secundaria o terciaria.
authentication_type Indica los tipos de autenticación, como LDAP, Local u OAuth.
auth_server_ip La dirección IP del servidor de autenticación.
gateway_domain_name El nombre de dominio de Citrix Gateway.
gateway_ip La dirección IP de Citrix Gateway.
cs_vserver_name El nombre del servidor virtual del conmutador de contenido.
vpn_vserver_name El nombre del servidor virtual de Citrix Gateway.
vserver_fqdn El FQDN del servidor virtual Citrix Gateway.
nth_failure El número de veces que ha fallado la autenticación del usuario.
country El país desde el que se ha detectado la actividad del usuario.
city La ciudad desde la que se ha detectado la actividad del usuario.
region La región desde la que se ha detectado la actividad del usuario.

Indicador de riesgo de viaje imposible

Esquema de resumen del indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "111",
    "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Impossible travel",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Impossible travel",
      "distance": 7480.44718,
      "observation_start_time": "2020-06-06T12:00:00Z",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
      "historical_observation_period_in_days": 30
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "111",
    "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
    "pair_id": 2,
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 1,
    "timestamp": "2020-06-06T05:05:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "client_ip": "95.xxx.xx.xx",
    “ip_organization”: “global telecom ltd”,
    “ip_routing_type”: “mobile gateway”,
    "country": "Norway",
    "region": "Oslo",
    "city": "Oslo",
    "latitude": 59.9139,
    "longitude": 10.7522,
    "device_os": "Linux OS",
    "device_browser": "Chrome 62.0.3202.94"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para Impossible travel.

Nombre del campo Descripción
distance La distancia (km) entre los eventos asociados con el viaje imposible.
historical_logon_locations Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación.
historical_observation_period_in_days Cada ubicación es monitoreada durante 30 días.
relevant_event_type Indica el tipo de evento, como el inicio de sesión.
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
country El país desde el que el usuario ha iniciado sesión.
city La ciudad desde la que el usuario ha iniciado sesión.
region Indica la región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.
device_browser El navegador web utilizado por el usuario.
device_os El sistema operativo del dispositivo del usuario.
ip_organization Registro de la organización de la dirección IP del cliente
ip_routing_type Tipo de enrutamiento de IP de cliente

Inicio de sesión desde un esquema de indicador de riesgo de IP sospechosa

Esquema de resumen del indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 102,
    "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "data_source_id": 1,
    "timestamp": "2019-10-10T10:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 0.91,
    "indicator_category": "Compromised users",
    "indicator_name": "Logon from suspicious IP",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Logon",
      "client_ip": "1.0.xxx.xx",
      "observation_start_time": "2019-10-10T10:00:00Z",
      "suspicion_reasons": "brute_force|external_threat"
    }
  }
<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 102,
    "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "data_source_id": 1,
    "timestamp": "2019-10-10T10:11:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "suspicion_reasons": "external_threat",
    "gateway_ip": "gIP1",
    "client_ip": "128.0.xxx.xxx",
    "country": "Sweden",
    "city": "Stockholm",
    "region": "Stockholm",
    "webroot_reputation": 14,
    "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
    "device_os": "Windows OS",
    "device_browser": "Chrome"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el inicio de sesión desde una IP sospechosa.

Nombre del campo Descripción
suspicious_reasons El motivo por el que la dirección IP se identifica como sospechosa.
webroot_reputation El índice de reputación de IP proporcionado por el proveedor de inteligencia de amenazas: Webroot.
webroot_threat_categories La categoría de amenaza identificada para la IP sospechosa por el proveedor de inteligencia de amenazas: Webroot.
device_os El sistema operativo del dispositivo del usuario.
device_browser El navegador web utilizado.
country El país desde el que se ha detectado la actividad del usuario.
city La ciudad desde la que se ha detectado la actividad del usuario.
region La región desde la que se ha detectado la actividad del usuario.

Esquema de indicador de riesgo de error de autenticación inusual

Esquema de resumen del indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 109,
    "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2020-04-01T06:44:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Unusual authentication failure",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Logon Failure",
      "observation_start_time": "2020-04-01T05:45:00Z"
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 109,
    "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2020-04-01T06:42:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "event_description": "Success",
    "authentication_stage": "Secondary",
    "authentication_type": "LDAP",
    "client_ip": "99.xxx.xx.xx",
    "country": "United States",
    "city": "San Jose",
    "region": "California",
    "device_os": "Windows OS ",
    "device_browser": "Chrome",
    "is_risky": "false"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el error de autenticación inusual.

Nombres de campo Descripción
relevant_event_type Indica el tipo de evento, como un error de inicio de sesión.
event_description Indica si el inicio de sesión se ha realizado correctamente o no
authentication_stage Indica si la fase de autenticación es primaria, secundaria o terciaria.
authentication_type Indica los tipos de autenticación, como LDAP, Local u OAuth.
is_risky Para que el inicio de sesión se realice correctamente, el valor is_risky es false. En el caso de un inicio de sesión incorrecto, el valor is_risky es true.
device_os El sistema operativo del dispositivo del usuario.
device_browser El navegador web utilizado por el usuario.
country El país desde el que se ha detectado la actividad del usuario.
city La ciudad desde la que se ha detectado la actividad del usuario.
region La región desde la que se ha detectado la actividad del usuario.

Indicador de riesgo de inicio de sesión sospechoso

Esquema de resumen del indicador
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "110",
    "indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
    "indicator_category_id": 3,
    "indicator_vector": [
      {
        "name": "Location-Based Risk Indicators",
        "id": 2
      },
      {
        "name": "IP-Based Risk Indicators",
        "id": 4
      },
      {
        "name": "Other Risk Indicators",
        "id": 7
      }
    ],
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 0.71,
    "indicator_category": "Compromised users",
    "indicator_name": "Suspicious logon",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2020-06-06T12:00:00Z",
      "relevant_event_type": "Logon",
      "event_count": 1,
      "historical_observation_period_in_days": 30,
      "country": "United States",
      "region": "Florida",
      "city": "Miami",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"New York\",\"city\":\"New York City\",\"latitude\":40.7128,\"longitude\":-74.0060,\"count\":9}]",
      "user_location_risk": 75,
      "device_id": "",
      "device_os": "Windows OS",
      "device_browser": "Chrome",
      "user_device_risk": 0,
      "client_ip": "99.xxx.xx.xx",
      "user_network_risk": 75,
      "webroot_threat_categories": "Phishing",
      "suspicious_network_risk": 89
    }
  }


<!--NeedCopy-->
Esquema de detalles de evento de indicador
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "110",
    "indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
    "indicator_category_id": 3,
    "indicator_vector": [
      {
        "name": "Location-Based Risk Indicators",
        "id": 2
      },
      {
        "name": "IP-Based Risk Indicators",
        "id": 4
      },
      {
        "name": "Other Risk Indicators",
        "id": 7
      }
    ],
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:08:40Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "latitude": 25.7617,
    "longitude": -80.1918,
    "device_browser": "Chrome",
    "device_os": "Windows OS",
    "device_id": "NA",
    "client_ip": "99.xxx.xx.xx"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el inicio de sesión sospechoso.

Nombre del campo Descripción
historical_logon_locations Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación.
historical_observation_period_in_days Cada ubicación es monitoreada durante 30 días.
relevant_event_type Indica el tipo de evento, como el inicio de sesión.
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
occurrence_event_type Indica el tipo de evento de usuario, como el inicio de sesión de la cuenta.
country El país desde el que el usuario ha iniciado sesión.
city La ciudad desde la que el usuario ha iniciado sesión.
region Indica la región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.
device_browser El navegador web utilizado por el usuario.
device_os El sistema operativo del dispositivo del usuario.
device_id El nombre del dispositivo utilizado por el usuario.
user_location_risk Indica el nivel de sospecha de la ubicación desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100
user_device_risk Indica el nivel de sospecha del dispositivo desde el que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100
user_network_risk Indica el nivel de sospecha de la red o la subred desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100
suspicious_network_risk Indica el nivel de amenaza IP basado en la fuente de inteligencia de amenazas IP de Webroot. Nivel de amenaza bajo: 0–69, Nivel de amenaza medio: 70–89 y Nivel de amenaza alto: 90–100
webroot_threat_categories Indica los tipos de amenazas detectadas desde la dirección IP en función de la fuente de inteligencia de amenazas IP de Webroot. Las categorías de amenazas pueden ser Fuentes de spam, Exploits de Windows, Ataques web, Botnets, Escáneres, Denegación de servicio, Reputación, Phishing, Proxy, No especificado, Amenazas móviles y Proxy Tor

Esquema de indicadores de riesgo de Citrix DaaS y Citrix Virtual Apps and Desktops

Indicador de riesgo de viaje imposible

Esquema de resumen del indicador
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "313",
    "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 3,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Impossible travel",
    "severity": "medium",
    "data_source": "Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Impossible travel",
      "distance": 7480.44718,
      "observation_start_time": "2020-06-06T12:00:00Z",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
      "historical_observation_period_in_days": 30
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "313",
    "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
    "pair_id": 2,
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 3,
    "timestamp": "2020-06-06T05:05:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "occurrence_event_type": "Account.Logon",
    "client_ip": "95.xxx.xx.xx",
    “ip_organization”: “global telecom ltd”,
    “ip_routing_type”: “mobile gateway”,
    "country": "Norway",
    "region": "Oslo",
    "city": "Oslo",
    "latitude": 59.9139,
    "longitude": 10.7522,
    "device_id": "device1",
    "receiver_type": "XA.Receiver.Linux",
    "os": "Linux OS",
    "browser": "Chrome 62.0.3202.94"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para Impossible travel.

Nombre del campo Descripción
distance La distancia (km) entre los eventos asociados con el viaje imposible.
historical_logon_locations Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación.
historical_observation_period_in_days Cada ubicación es monitoreada durante 30 días.
relevant_event_type Indica el tipo de evento, como el inicio de sesión.
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
country El país desde el que el usuario ha iniciado sesión.
city La ciudad desde la que el usuario ha iniciado sesión.
region Indica la región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.
browser El navegador web utilizado por el usuario.
os El sistema operativo del dispositivo del usuario.
device_id El nombre del dispositivo utilizado por el usuario.
receiver_type El tipo de aplicación Citrix Workspace o Citrix Receiver instalado en el dispositivo del usuario.
ip_organization Registro de la organización de la dirección IP del cliente
ip_routing_type Tipo de enrutamiento de IP de cliente

Indicador de riesgo potencial de exfiltración de datos

Esquema de resumen del indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 303,
    "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
    "indicator_category_id": 1,
    "indicator_vector": {
      "name": "Data-Based Risk Indicators",
      "id": 5 },
    "data_source_id": 3,
    "timestamp": "2018-04-02T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Data exfiltration",
    "indicator_name": "Potential data exfiltration",
    "severity": "low",
    "data_source": "Citrix Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Download/Print/Copy",
      "observation_start_time": "2018-04-02T10:00:00Z",
      "exfil_data_volume_in_bytes": 1172000
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 303,
    "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
    "indicator_category_id": 1,
    "indicator_vector": {
      "name": "Data-Based Risk Indicators",
      "id": 5 },
    "data_source_id": 3,
    "timestamp": "2018-04-02T10:57:36Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "occurrence_event_type": "App.SaaS.Clipboard",
    "file_size_in_bytes": 98000,
    "file_type": "text",
    "device_id": "dvc5",
    "receiver_type": "XA.Receiver.Windows",
    "app_url": "https://www.citrix.com",
    "client_ip": "10.xxx.xx.xxx",
    "entity_time_zone": "Pacific Standard Time"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los campos específicos del esquema de resumen y el esquema de detalles del evento para la posible filtración de datos.

Nombre del campo Descripción
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
relevant_event_type Indica la actividad del usuario, como descargar, imprimir o copiar los datos.
exfil_data_volume_in_bytes La cantidad de exfiltración de datos.
occurrence_event_type Indica cómo se ha producido la filtración de datos, como la operación del portapapeles en una aplicación SaaS.
file_size_in_bytes El tamaño del archivo.
file_type El tipo de archivo.
device_id El ID del dispositivo del usuario.
receiver_type La aplicación Citrix Workspace o Citrix Receiver instalado en el dispositivo del usuario.
app_url La dirección URL de la aplicación a la que accede el usuario.
entity_time_zone La zona horaria del usuario.

Esquema de indicador de riesgo de inicio de sesión sospechoso

Esquema de resumen del indicador
  {
    "tenant_id": "tenant_1",
    "indicator_id": "312",
    "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
    "indicator_category_id": 3,
    "indicator_vector":
    [
      {
        "name": "Other Risk Indicators",
        "id": 7
      },
      {
        "name":"Location-Based Risk Indicators",
        "id":2
      },
      {
        "name":"IP-Based Risk Indicators",
        "id":4
      },
      {
        "name": "Device-Based Risk Indicators",
        "id": 1
      },
    ],
    "data_source_id": 3,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "user2",
    "version": 2,
    "risk_probability": 0.78,
    "indicator_category": "Compromised users",
    "indicator_name": "Suspicious logon",
    "severity": "medium",
    "data_source": "Citrix Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "indicator_type": "builtin",
    "occurrence_details":
    {
      "user_location_risk": 0,
      "city": "Some_city",
      "observation_start_time": "2020-06-06T12:00:00Z",
      "event_count": 1,
      "user_device_risk": 75,
      "country": "United States",
      "device_id": "device2",
      "region": "Some_Region",
      "client_ip": "99.xx.xx.xx",
      "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
      "historical_logon_locations": "[{\"country\":\"United States\",\"latitude\":45.0,\"longitude\":45.0,\"count\":12},{\"country\":\"United States\",\"region\":\"Some_Region_A\",\"city\":\"Some_City_A\",\"latitude\":0.0,\"longitude\":0.0,\"count\":8}]",
      "relevant_event_type": "Logon",
      "user_network_risk": 100,
      "historical_observation_period_in_days": 30,
      "suspicious_network_risk": 0
    }
  }

<!--NeedCopy-->
Esquema de detalles de evento de indicador
  {
    "tenant_id": "tenant_1",
    "indicator_id": "312",
    "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
    "indicator_category_id": 3,
    "indicator_vector":
    [
      {
        "name": "Other Risk Indicators",
        "id": 7
      },
      {
        "name":"Location-Based Risk Indicators",
        "id":2
      },
      {
        "name":"IP-Based Risk Indicators",
        "id":4
      },
      {
        "name": "Device-Based Risk Indicators",
        "id": 1
      },
    ],
    "data_source_id": 3,
    "timestamp": "2020-06-06 12:02:30",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "user2",
    "version": 2,
    "occurrence_event_type": "Account.Logon",
    "city": "Some_city",
    "country": "United States",
    "region": "Some_Region",
    "latitude": 37.751,
    "longitude": -97.822,
    "browser": "Firefox 1.3",
    "os": "Windows OS",
    "device_id": "device2",
    "receiver_type": "XA.Receiver.Chrome",
    "client_ip": "99.xxx.xx.xx"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de resumen y el esquema de detalles del evento para el inicio de sesión sospechoso.

Nombre del campo Descripción
historical_logon_locations Las ubicaciones a las que ha accedido el usuario y el número de veces que se ha accedido a cada ubicación durante el período de observación.
historical_observation_period_in_days Cada ubicación es monitoreada durante 30 días.
relevant_event_type Indica el tipo de evento, como el inicio de sesión.
observation_start_time La hora a partir de la cual Citrix Analytics comienza a supervisar la actividad del usuario hasta la marca de tiempo. Si se detecta algún comportamiento anómalo en este período de tiempo, se activa un indicador de riesgo.
occurrence_event_type Indica el tipo de evento de usuario, como el inicio de sesión de la cuenta.
country El país desde el que el usuario ha iniciado sesión.
city La ciudad desde la que el usuario ha iniciado sesión.
region Indica la región desde la que el usuario ha iniciado sesión.
latitude Indica la latitud de la ubicación desde la que el usuario ha iniciado sesión.
longitude Indica la longitud de la ubicación desde la que el usuario ha iniciado sesión.
browser El navegador web utilizado por el usuario.
os El sistema operativo del dispositivo del usuario.
device_id El nombre del dispositivo utilizado por el usuario.
receiver_type El tipo de aplicación Citrix Workspace o Citrix Receiver instalado en el dispositivo del usuario.
user_location_risk Indica el nivel de sospecha de la ubicación desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100
user_device_risk Indica el nivel de sospecha del dispositivo desde el que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100
user_network_risk Indica el nivel de sospecha de la red o la subred desde la que el usuario ha iniciado sesión. Nivel de sospecha bajo: 0-69, nivel de sospecha medio: 70-89 y nivel de sospecha alto: 90-100
suspicious_network_risk Indica el nivel de amenaza IP basado en la fuente de inteligencia de amenazas IP de Webroot. Nivel de amenaza bajo: 0–69, Nivel de amenaza medio: 70–89 y Nivel de amenaza alto: 90–100
webroot_threat_categories Indica los tipos de amenazas detectadas desde la dirección IP en función de la fuente de inteligencia de amenazas IP de Webroot. Las categorías de amenazas pueden ser Fuentes de spam, Exploits de Windows, Ataques web, Botnets, Escáneres, Denegación de servicio, Reputación, Phishing, Proxy, No especificado, Amenazas móviles y Proxy Tor

Indicador de Microsoft Active Directory

Esquema de resumen del indicador

  {
    "data_source": "Microsoft Graph Security",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised users",
    "indicator_id": 1000,
    "indicator_name": "MS Active Directory Indicator",
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "indicator_type": "builtin",
    "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-01-27T16:03:46Z",
    "ui_link": "https://analytics-daily.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->

Esquema de detalles de evento de indicador

  {
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_id": 1000,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-01-27T16:03:46Z",
    "version": 2
  }

<!--NeedCopy-->

Esquema de indicador de riesgo personalizado

En la siguiente sección se describe el esquema del indicador de riesgo personalizado.

Nota

Actualmente, Citrix Analytics envía los datos relacionados con los indicadores de riesgo personalizados de Citrix DaaS y Citrix Virtual Apps and Desktops a su servicio SIEM.

En la tabla siguiente se describen los nombres de campo para el esquema de resumen del indicador de riesgo personalizado.

Nombre del campo Descripción
data source Los productos que envían datos a Citrix Analytics for Security. Por ejemplo: Citrix Secure Private Access, Citrix Gateway y Citrix Apps and Desktops.
data_source_id El ID asociado a una fuente de datos. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access
entity_id El ID asociado a la entidad en riesgo.
entity_type La entidad en riesgo. En este caso, la entidad es un usuario.
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento es el resumen del indicador de riesgo.
indicator_category Indica las categorías de indicadores de riesgo. Los indicadores de riesgo se agrupan en una de las categorías de riesgo: punto final comprometido, usuarios comprometidos, exfiltración de datos o amenazas internas.
indicator_id El ID único asociado con el indicador de riesgo.
indicator_category_id El ID asociado con la categoría del indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos, ID 4 = Puntos de conexión comprometidos
indicator_name El nombre del indicador de riesgo. En el caso de un indicador de riesgo personalizado, este nombre se define al crear el indicador.
indicator_type Indica si el indicador de riesgo es predeterminado (incorporado) o personalizado.
indicator_uuid El ID único asociado a la instancia del indicador de riesgo.
occurrence_details Los detalles sobre la condición de activación del indicador de riesgo.
pre_configured Indica si el indicador de riesgo personalizado está preconfigurado.
risk_probability Indica las posibilidades de riesgo asociadas con el evento de usuario. El valor varía de 0 a 1,0. En el caso de un indicador de riesgo personalizado, el risk_probability siempre es 1,0 porque se trata de un indicador basado en políticas.
severity Indica la gravedad del riesgo. Puede ser bajo, medio o alto.
tenant_id La identidad única del cliente.
timestamp La fecha y la hora en que se activa el indicador de riesgo.
ui_link El enlace a la vista de la línea de tiempo del usuario en la interfaz de usuario de Citrix Analytics.
version La versión del esquema de los datos procesados. La versión actual del esquema es la 2.

En la tabla siguiente se describen los nombres de campo comunes en el esquema de detalles del evento del indicador de riesgo personalizado.

Nombre del campo Descripción
data_source_id El ID asociado a una fuente de datos. ID 1 = Citrix Gateway, ID 2 = Citrix Endpoint Management, ID 3 = Citrix Apps and Desktops, ID 4 = Citrix Secure Private Access
indicator_category_id El ID asociado con la categoría del indicador de riesgo. ID 1 = Exfiltración de datos, ID 2 = Amenazas internas, ID 3 = Usuarios comprometidos, ID 4 = Puntos de conexión comprometidos
event_type El tipo de datos enviados al servicio SIEM. En este caso, el tipo de evento son los detalles del evento del indicador de riesgo.
tenant_id La identidad única del cliente.
entity_id El ID asociado a la entidad en riesgo.
entity_type La entidad que está en riesgo. En este caso, es el usuario.
indicator_id El ID único asociado con el indicador de riesgo.
indicator_uuid El ID único asociado a la instancia del indicador de riesgo.
timestamp La fecha y la hora en que se activa el indicador de riesgo.
version La versión del esquema de los datos procesados. La versión actual del esquema es la 2.
event_id El ID asociado con el evento de usuario.
occurrence_event_type Indica el tipo de evento de usuario, como el inicio de sesión, el inicio de sesión y el inicio de sesión de cuenta.
product Indica el tipo de aplicación Citrix Workspace, como la aplicación Citrix Workspace para Windows.
client_ip La dirección IP del dispositivo del usuario.
session_user_name El nombre de usuario asociado a la sesión de Citrix Apps and Desktops.
city El nombre de la ciudad desde la que se detecta la actividad del usuario.
country El nombre del país desde el que se detecta la actividad del usuario.
device_id El nombre del dispositivo utilizado por el usuario.
os_name El sistema operativo que está instalado en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio para aplicaciones y escritorios.
os_version La versión del sistema operativo que está instalada en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio para aplicaciones y escritorios.
os_extra_info Los detalles adicionales asociados con el sistema operativo que está instalado en el dispositivo del usuario. Para obtener más información, consulte Búsqueda de autoservicio para aplicaciones y escritorios.

Indicador de riesgo personalizado para Citrix DaaS y Citrix Virtual Apps and Desktops

Esquema de resumen del indicador

  {
    "data_source": " Citrix Apps and Desktops",
    "data_source_id": 3,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised users",
    "indicator_category_id": 3,
    "indicator_id": "ca97a656ab0442b78f3514052d595936",
    "indicator_name": "Demo_user_usage",
    "indicator_type": "custom",
    "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
    "occurrence_details": {
      "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
    "pre_configured": "N",
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-02-10T14:47:25Z",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "version": 2
  }

<!--NeedCopy-->
Esquema de detalles del evento de indicador para el evento de inicio de sesión
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.Logon",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "SYD04-MS1-S102",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de inicio de sesión de sesión.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciado.
launch_type Indica aplicación o escritorio.
domain El nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid El GUID de la sesión activa.
Esquema de detalles del evento de indicador para el evento de inicio de sesión
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.Launch",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de inicio de sesión.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciado.
launch_type Indica aplicación o escritorio.
Esquema de detalles del evento de indicador para el evento de inicio de sesión de cuenta
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Account.Logon",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de inicio de sesión de cuenta.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciado.
Esquema de detalles del evento de indicador para el evento de fin de sesión
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de fin de sesión.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciado.
launch_type Indica aplicación o escritorio.
domain El nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid El GUID de la sesión activa.
Esquema de detalles del evento de indicador para el evento de inicio de la aplicación
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.Start",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "module_file_path": "/root/folder1/folder2/folder3"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de inicio de la aplicación.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciado.
launch_type Indica aplicación o escritorio.
domain El nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid El GUID de la sesión activa.
module_file_path La ruta de acceso de la aplicación que se está utilizando.
Esquema de detalles del evento de indicador para el evento de finalización de la aplicación
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "module_file_path": "/root/folder1/folder2/folder3"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de finalización de la aplicación.

Nombre del campo Descripción
app_name Nombre de una aplicación o escritorio iniciado.
launch_type Indica aplicación o escritorio.
domain El nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid El GUID de la sesión activa.
module_file_path La ruta de acceso de la aplicación que se está utilizando.
Esquema de detalles del evento de indicador para el evento de descarga de archivos
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "File.Download",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "file_download_file_name": "File5.txt",
    "file_download_file_path": "/root/folder1/folder2/folder3",
    "file_size_in_bytes": 278,
    "launch_type": "Desktop",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "device_type": "USB"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de descarga de archivos.

Nombre del campo Descripción
file_download_file_name Nombre del archivo de descarga.
file_download_file_path La ruta de destino donde se descarga el archivo.
launch_type Indica aplicación o escritorio.
domain El nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid El GUID de la sesión activa.
device_type Indica el tipo de dispositivo donde se descarga el archivo.
Esquema de detalles del evento de indicador para el evento de impresión
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Printing",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "printer_name": "Test-printer",
    "launch_type": "Desktop",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "job_details_size_in_bytes": 454,
    "job_details_filename": "file1.pdf",
    "job_details_format": "PDF"
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de impresión.

Nombre del campo Descripción
printer_name Nombre de la impresora utilizada para el trabajo de impresión.
launch_type Indica aplicación o escritorio.
domain El nombre de dominio del servidor que envió la solicitud.
server_name Nombre del servidor.
session_guid El GUID de la sesión activa.
job_details_size_in_bytes El tamaño del trabajo impreso, como un archivo o una carpeta.
job_details_filename Nombre del archivo impreso.
job_details_format El formato del trabajo impreso.
Esquema de detalles del evento de indicador para el evento de lanzamiento de SaaS de la aplicación
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.SaaS.Launch",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "launch_type": "Desktop",
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento de lanzamiento de SaaS de la aplicación.

Nombre del campo Descripción
launch_type Indica aplicación o escritorio.
Esquema de detalles del evento de indicador para el evento final de SaaS de la aplicación
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.SaaS.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "launch_type": "Desktop",
  }

<!--NeedCopy-->

En la tabla siguiente se describen los nombres de campo específicos del esquema de detalles del evento para el evento final de SaaS de la aplicación.

Nombre del campo Descripción
launch_type Indica aplicación o escritorio.

Eventos de origen de datos

Además, puede configurar la función Exportaciones de datos para exportar eventos de usuario desde los orígenes de datos de productos habilitados para Citrix Analytics for Security. Al realizar cualquier actividad en el entorno Citrix, se generan los eventos de la fuente de datos. Los eventos exportados son datos de uso de usuarios y productos en tiempo real sin procesar, tal y como están disponibles en la vista de autoservicio. Los metadatos contenidos en estos eventos se pueden utilizar aún más para un análisis más profundo de las amenazas, la creación de nuevos paneles y la correlación con otros eventos de origen de datos que no son de Citrix en su infraestructura de seguridad y TI.

Actualmente, Citrix Analytics for Security envía eventos de usuario a su SIEM para el origen de datos de Citrix Virtual Apps and Desktops.

Detalles del esquema de los eventos de origen de datos

Eventos de Citrix Virtual Apps and Desktops

Los eventos de usuario se reciben en tiempo real en Citrix Analytics for Security cuando los usuarios utilizan aplicaciones virtuales o escritorios virtuales. Para obtener más información, consulte Origen de datos de Citrix Virtual Apps and Desktops y Citrix DaaS. Puede ver los siguientes eventos de usuario asociados con Citrix Virtual Apps and Desktops en su SIEM:

  • Todos los tipos de eventos
  • Inicio de sesión de la cuenta
  • Aplicación (inicio, inicio, fin)
  • Portapapeles
  • Archivo (imprimir, descargar)
  • Origen de sesión HDX
  • Impresión
  • Sesión (inicio de sesión, inicio, finalización, finalización)
  • Datos de VDA
  • Creación de procesos de VDA

Para obtener más información sobre los eventos y sus atributos, consulte Búsqueda de autoservicio para aplicaciones y escritorios virtuales.

Puede revisar qué tipos de eventos están habilitados y fluyen a SIEM. Puede configurar o quitar el tipo de evento aplicable a un inquilino y hacer clic en el botón Guardar cambios para guardar la configuración.

Evento de origen de datos

Eventos de acceso privado seguro

Los eventos de usuario se reciben en tiempo real en Citrix Analytics for Security cuando los usuarios acceden a aplicaciones a través de Citrix Secure Private Access, como la aplicación Citrix Workspace, los clientes de Citrix Secure Access o Citrix Enterprise Browser. Puede ver los siguientes eventos de usuario asociados con Secure Private Access en su SIEM:

  • Todos los tipos de eventos
  • Inicio de sesión de la cuenta
  • Aplicación (conexión, inicio, finalización, error)
  • Archivo (imprimir, descargar)
  • Evaluación de políticas
  • Portapapeles
  • Sesión (conectar, iniciar)
  • URL
  • Inicio de sesión de usuario
  • Registros de servicio de SPA

Evento de acceso privado seguro

Eventos de servicio de posición del dispositivo

Los eventos de usuario se generan cuando el cliente de Citrix Endpoint Analysis (EPA) realiza una comprobación de estado en un dispositivo que intenta acceder a los recursos de Citrix Virtual Apps and Desktops o Citrix Secure Private Access. Puede ver los siguientes eventos de usuario asociados con el servicio Device Posture en su SIEM:

  • Todos los tipos de eventos
  • Evaluación de la postura del dispositivo

Evento de servicio de posición del dispositivo

Puede revisar los tipos de eventos habilitados para el inquilino y asegurarse de que fluyen al SIEM. Puede configurar o eliminar los tipos de eventos aplicables y hacer clic en el botón Guardar cambios para aplicar la configuración.

Formato de exportación de datos de Citrix Analytics para SIEM