Citrix Analytics for Security

Citrix Analytics SIEMのデータエクスポート形式

Citrix Analytics for Securityを使用すると、セキュリティ情報およびイベント管理(SIEM)サービスと統合できます。 この統合により、Citrix Analytics for SecurityはSIEMサービスにデータを送信でき、組織のセキュリティリスク態勢に関する洞察を得ることができます。

現在、Citrix Analytics for Securityを次のSIEMサービスと統合できます。

データエクスポートオプション は、現在、世界中で利用可能です。 設定. データソースイベントを表示するには、 設定 > データのエクスポート > データ ソース イベント.

データのエクスポート

Citrix Analytics for SecurityからSIEMサービスに送信されるリスクインサイトデータには、次の2つのタイプがあります。

  • リスク分析情報イベント (既定のエクスポート)
  • データソースイベント(オプションのエクスポート)

    データのエクスポート

SIEM のリスク分析情報データ

アカウントの設定と SIEM の設定が完了すると、デフォルトのデータセット (リスクインサイトイベント) が SIEM デプロイメントに流れ始めます。 リスク分析情報データセットには、ユーザー リスク スコア イベント、ユーザー プロファイル イベント、リスク インジケーター アラートが含まれます。 これらは、ユーザーイベントを活用して、Citrix Analyticsの機械学習アルゴリズムとユーザー行動分析によって生成されます。

ユーザーのリスク分析情報データセットには、次のものが含まれます。

  • リスクスコアの変更: ユーザーのリスクスコアの変化を示します。 ユーザーのリスク スコアの変化が 3 以上で、この変化が何らかの割合で増加するか、10% 以上低下すると、データは SIEM サービスに送信されます。
  • リスク指標の概要: ユーザーに対してトリガーされたリスク指標の詳細。
  • リスク指標イベントの詳細: リスク指標に関連付けられたユーザーイベント。 Citrix Analytics は、リスク指標の発生ごとに最大 1000 件のイベント詳細を SIEM サービスに送信します。 これらのイベントは、発生の時系列で送信されます。
  • ユーザーリスクスコアイベント: ユーザーの現在のリスク スコア。 Citrix Analytics for Securityは、このデータを12時間ごとにSIEMサービスに送信します。
  • ユーザープロフィール: ユーザー プロファイル データは、次のように分類できます。

    • ユーザーアプリ: ユーザーが起動して使用したアプリケーション。 Citrix Analytics for Securityは、Citrix Virtual Appsからこのデータを取得し、12時間ごとにSIEMサービスに送信します。
    • ユーザーデバイス: ユーザーに関連付けられているデバイス。 Citrix Analytics for Securityは、Citrix Virtual AppsおよびCitrix Endpoint Managementからこのデータを取得し、12時間ごとにSIEMサービスに送信します。
    • ユーザーの場所: ユーザーが最後に検出された都市。 Citrix Analytics for Securityは、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)からこのデータを取得します。 Citrix Analytics for Securityは、この情報を12時間ごとにSIEMサービスに送信します。
    • ユーザー・クライアントIP: ユーザーデバイスのクライアントIPアドレス。 Citrix Analytics for Securityは、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)からこのデータを取得し、この情報を12時間ごとにSIEMサービスに送信します。

データ ソース イベントの設定を表示することはできても、構成できない場合は、必要な管理者権限がありません。 詳細については、以下を参照してください。 Security Analytics の管理者ロールを管理する.

次の例では、 変更を保存 ボタンが無効になります。 リスク・インサイト・イベントは、デフォルトで有効になっています。

リスクインサイトデータ

リスク分析情報イベントのスキーマの詳細

次のセクションでは、Citrix Analytics for Securityによって生成された処理済みデータのスキーマについて説明します。

(注)

次のスキーマ サンプルに示されているフィールド値は、表現のみを目的としています。 実際のフィールド値は、ユーザープロファイル、ユーザーイベント、およびリスク指標によって異なります。

次の表では、すべてのユーザー プロファイル データ、ユーザー リスク スコア、およびリスク スコアの変更について、スキーマ全体で共通のフィールド名について説明します。

フィールド名 説明
entity_id エンティティに関連付けられた ID。 この場合、エンティティはユーザーです。
entity_type リスクのあるエンティティ。 この場合、エンティティはユーザーです。
event_type SIEM サービスに送信されるデータの種類。 たとえば、ユーザーの位置情報、ユーザーのデータ使用量、ユーザーのデバイスアクセス情報などです。
tenant_id 顧客の一意の ID。
timestamp 最近のユーザー アクティビティの日時。
version 処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。

ユーザープロファイルデータスキーマ

ユーザーの場所スキーマ


  {
    "tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2
    }

<!--NeedCopy-->

ユーザーの場所のフィールドの説明

フィールド名 説明
event_type SIEM サービスに送信されるデータの種類。 この場合、イベントの種類はユーザーの場所です。
country ユーザーがログインした国。
city ユーザーがログインした都市。
cnt 過去 12 時間にロケーションがアクセスされた回数。

ユーザー・クライアントのIPスキーマ


  {
    "client_ip": "149.147.136.10",
    "cnt": 3,
    "entity_id": "r2_up_user_1",
    "entity_type": "user",
    "event_type": "userProfileClientIps",
    "tenant_id": "xaxddaily1",
    "timestamp": "2023-09-18T10:45:00Z",
    "version": 2
  }


<!--NeedCopy-->

クライアント IP のフィールドの説明

フィールド名 説明
client_ip ユーザーデバイスのIPアドレス。
cnt ユーザーが過去 12 時間にデバイスにアクセスした回数。
entity_id エンティティに関連付けられた ID。 この場合、エンティティはユーザーです。
entity_type リスクのあるエンティティ。 この場合、イベントの種類はユーザーのクライアント IP です。
event_type SIEM サービスに送信されるデータの種類。 たとえば、ユーザーの位置情報、ユーザーのデータ使用量、ユーザーのデバイスアクセス情報などです。
tenant_id 顧客の一意の ID。
timestamp 最近のユーザー アクティビティの日時。
version 処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。

ユーザーデータ使用スキーマ


  {
    "data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2
    }

<!--NeedCopy-->

ユーザーデータの使用に関するフィールドの説明

フィールド名 説明
data_usage_bytes ユーザーが使用したデータの量 (バイト単位)。 これは、ユーザーのダウンロードされたボリュームとアップロードされたボリュームの合計です。
deleted_file_cnt ユーザーが削除したファイルの数。
downloaded_bytes ユーザーがダウンロードしたデータの量。
downloaded_file_count ユーザーがダウンロードしたファイルの数。
event_type SIEM サービスに送信されるデータの種類。 この場合、イベントタイプはユーザーの使用プロファイルです。
shared_file_count ユーザーが共有しているファイルの数。
uploaded_bytes ユーザーがアップロードしたデータの量。
uploaded_file_cnt ユーザーがアップロードしたファイルの数。

ユーザーデバイススキーマ


  {
    "cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2
    }

<!--NeedCopy-->

ユーザーデバイスのフィールドの説明。

フィールド名 説明
cnt 過去 12 時間にデバイスにアクセスされた回数。
device デバイスの名前。
event_type SIEM サービスに送信されるデータの種類。 この場合、イベントの種類はユーザーのデバイス アクセス情報です。

ユーザーアプリのスキーマ


  {
    "tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189
    }

<!--NeedCopy-->

ユーザーアプリのフィールドの説明。

フィールド名 説明
event_type SIEM サービスに送信されるデータの種類。 この場合、イベントの種類はユーザーのデバイス アクセス情報です。
session_domain ユーザーがログオンしたセッションの ID。
user_samaccountname Windows NT 4.0、Windows 95、Windows 98、LAN Manager など、以前のバージョンの Windows のクライアントとサーバーのログオン名。 この名前は、Citrix StoreFrontへのログオンと、リモートのWindowsマシンへのログオンに使用されます。
app ユーザーがアクセスしたアプリケーションの名前。
cnt 過去 12 時間にアプリケーションがアクセスされた回数。

ユーザー リスク スコア スキーマ


  {
    "cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2
    }

<!--NeedCopy-->

ユーザー リスク スコアのフィールドの説明。

フィールド名 説明
cur_riskscore ユーザーに割り当てられている現在のリスク スコア。 リスクスコアは、ユーザーのアクティビティに関連付けられた脅威の重大度に応じて 0 から 100 まで変化します。
event_type SIEM サービスに送信されるデータの種類。 この場合、イベントタイプはユーザーのリスクスコアです。
last_update_timestamp ユーザーのリスクスコアが最後に更新された時刻。
timestamp ユーザー リスク スコア イベントが収集され、SIEM サービスに送信される時間。 このイベントは、12 時間ごとに SIEM サービスに送信されます。

リスク スコア変更スキーマ

サンプル1:


  {
    "alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2
    }

<!--NeedCopy-->

サンプル 2:


  {
    "alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2
    }

<!--NeedCopy-->

リスク・スコア変更のフィールドの説明。

フィールド名 説明
alert_message リスク・スコアの変更時に表示されるメッセージ。
alert_type アラートがリスク スコアの増加に対するものか、リスク スコアの割合の大幅な低下に対するものかを示します。 ユーザーのリスク スコアの変化が 3 以上で、この変化が何らかの割合で増加するか、10% 以上低下すると、データは SIEM サービスに送信されます。
alert_value リスクスコアの変更に割り当てられた数値。 リスクスコアの変更は、ユーザーの現在のリスクスコアと以前のリスクスコアの差です。 アラート値は -100 から 100 まで変化します。
cur_riskscore ユーザーに割り当てられている現在のリスク スコア。 リスクスコアは、ユーザーのアクティビティに関連付けられた脅威の重大度に応じて 0 から 100 まで変化します。
event_type SIEM サービスに送信されるデータの種類。 この場合、イベントタイプはユーザーのリスクスコアの変化です。
timestamp ユーザーのリスクスコアの最新の変更が検出された日時。

リスク指標スキーマ

リスク指標スキーマは、指標サマリースキーマと指標イベント詳細スキーマの 2 つの部分で構成されています。 リスク指標に基づいて、スキーマ内のフィールドとその値はそれに応じて変更されます。

次の表では、すべてのインジケーター サマリー スキーマに共通するフィールド名について説明します。

フィールド名 説明
data source Citrix Analytics for Securityにデータを送信する製品。 たとえば、Citrix Secure Private Access、Citrix Gateway、Citrix Apps and Desktopsなどです。
data_source_id データ ソースに関連付けられている ID。 ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access
entity_type リスクのあるエンティティ。 ユーザーでもかまいません。
entity_id リスクのあるエンティティに関連付けられている ID。
event_type SIEM サービスに送信されるデータの種類。 この場合、イベント・タイプはリスク・インディケータの要約です。
indicator_category リスク指標のカテゴリを示します。 リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データ流出、または内部脅威のいずれかのリスクカテゴリにグループ化されます。
indicator_id リスク指標に関連付けられた一意の ID。
indicator_category_id リスク指標カテゴリに関連付けられた ID。 ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
indicator_name リスク指標の名前。 カスタム・リスク・インディケータの場合、この名前はインディケータの作成時に定義されます。
indicator_type リスク指標がデフォルト (組み込み) かカスタムかを示します。
indicator_uuid リスク指標インスタンスに関連付けられた一意の ID。
indicator_vector_name リスク指標に関連付けられたリスクベクトルを示します。 リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。
indicator_vector_id リスクベクトルに関連付けられた ID。 ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスク指標、ID 999 = 使用不可
occurrence_details リスク指標のトリガー条件に関する詳細。
risk_probability ユーザーイベントに関連するリスクの可能性を示します。 値は 0 から 1.0 まで変化します。 カスタム・リスク・インディケータの場合、risk_probabilityは常に 1.0 です。これはポリシーベースのインジケータであるためです。
severity リスクの重大度を示します。 低、中、高のいずれかです。
tenant_id 顧客の一意の ID。
timestamp リスク指標がトリガーされた日時。
ui_link Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。

次の表では、すべてのインジケーター イベント詳細スキーマに共通するフィールド名について説明します。

フィールド名 説明
data_source_id データ ソースに関連付けられている ID。 ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access
indicator_category_id リスク指標カテゴリに関連付けられた ID。 ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクにさらされているエンティティ。 ユーザーにすることができます。
event_type SIEM サービスに送信されるデータの種類。 この場合、イベント・タイプはリスク・インディケータ・イベントの詳細です。
indicator_id リスク指標に関連付けられた一意の ID。
indicator_uuid リスク指標インスタンスに関連付けられた一意の ID。
indicator_vector_name リスク指標に関連付けられたリスクベクトルを示します。 リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。
indicator_vector_id リスクベクトルに関連付けられた ID。 ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスク指標、ID 999 = 使用不可
tenant_id 顧客の一意の ID。
timestamp リスク指標がトリガーされた日時。
version 処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。
client_ip ユーザーのデバイスの IP アドレス。

(注)

  • 整数データ型のフィールド値が使用できない場合、割り当てられる値は -999 です。 例えば 「緯度」:-999, 「経度」: -999.

  • 文字列データ型のフィールド値が使用できない場合、割り当てられる値は NA です。 例えば "city": "NA", "region": "NA".

Citrix Secure Private Accessリスク指標スキーマ

ブラックリストに登録された URL リスク指標スキーマへのアクセス試行

インジケーターのサマリー スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 401,
    "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-15T10:59:58Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Attempt to access blacklisted URL",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-15T10:44:59Z",
      "relevant_event_type": "Blacklisted External Resource Access"
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 401,
    "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-15T10:57:21Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "googleads.g.doubleclick.net",
    "executed_action": "blocked",
    "reason_for_action": "URL Category match",
    "client_ip": "157.xx.xxx.xxx"
  }

<!--NeedCopy-->

次の表では、ブラックリストに登録された URL へのアクセス試行の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。
executed_action ブラックリストに登録されたURLに適用されたアクション。 このアクションには、「許可」と「ブロック」が含まれます。
reason_for_action URL にアクションを適用する理由。

過剰なデータのダウンロード リスク指標スキーマ

インジケーターのサマリー スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 403,
    "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Excessive data download",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-16T10:00:00Z",
      "data_volume_in_bytes": 24000,
      "relevant_event_type": "External Resource Access"
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 403,
    "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:30:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "www.facebook.com",
    "client_ip": "157.xx.xxx.xxx",
    "downloaded_bytes": 24000
  }

<!--NeedCopy-->

次の表では、過剰なデータダウンロードの概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。
data_volume_in_bytes ダウンロードされるデータの量 (バイト単位)。
relevant_event_type ユーザー・イベントのタイプを示します。
domain_name データのダウンロード元のドメインの名前。
downloaded_bytes ダウンロードされるデータの量 (バイト単位)。

異常なアップロード・ボリューム・リスク・インディケータ・スキーマ

インジケーターのサマリー スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 402,
    "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Unusual upload volume",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-16T10:00:00Z",
      "data_volume_in_bytes": 24000,
      "relevant_event_type": "External Resource Access"
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 402,
    "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:30:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "www.facebook.com",
    "client_ip": "157.xx.xxx.xxx",
    "uploaded_bytes": 24000
  }

<!--NeedCopy-->

次の表では、通常とは異なるアップロードボリュームの概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。
data_volume_in_bytes アップロードされるデータの量 (バイト単位)。
relevant_event_type ユーザー・イベントのタイプを示します。
domain_name データがアップロードされるドメインの名前。
uploaded_bytes アップロードされるデータの量 (バイト単位)。

Citrix Endpoint Managementリスク指標スキーマ

ジェイルブレイクまたはルート化されたデバイスが検出したインジケーターのスキーマ

インジケーターのサマリー スキーマ

  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 200,
    "indicator_name": "Jailbroken / Rooted Device Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T17:49:05Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
  {
    "indicator_id": 200,
    "client_ip": "122.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T17:50:35Z",
    "version": 2
  }

<!--NeedCopy-->

ブラックリストに登録されたアプリが検出されたデバイス

インジケーターのサマリー スキーマ
  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 201,
    "indicator_name": "Device with Blacklisted Apps Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T17:49:23Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
  {
    "indicator_id": 201,
    "client_ip": "122.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T17:50:39Z",
    "version": 2
  }

<!--NeedCopy-->

管理されていないデバイスの検出

インジケーターのサマリー スキーマ
  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 203,
    "indicator_name": "Unmanaged Device Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T12:56:30Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
  {
    "indicator_id": 203,
    "client_ip": "127.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T18:41:30Z",
    "version": 2
  }

<!--NeedCopy-->

Citrix Gatewayリスク指標スキーマ

EPA スキャン失敗リスク指標スキーマ

インジケーターのサマリー スキーマ
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 100,
    "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "EPA scan failure",
    "severity": "low",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "event_description": "Post auth failed, no quarantine",
      "observation_start_time": "2017-12-21T07:00:00Z",
      "relevant_event_type": "EPA Scan Failure at Logon"
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 100,
    "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:12:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "event_description": "Post auth failed, no quarantine",
    "gateway_domain_name": "10.102.xx.xx",
    "gateway_ip": "56.xx.xxx.xx",
    "policy_name": "postauth_act_1",
    "client_ip": "210.91.xx.xxx",
    "country": "United States",
    "city": "San Jose",
    "region": "California",
    "cs_vserver_name": "demo_vserver",
    "device_os": "Windows OS",
    "security_expression": "CLIENT.OS(Win12) EXISTS",
    "vpn_vserver_name": "demo_vpn_vserver",
    "vserver_fqdn": "10.xxx.xx.xx"
  }
<!--NeedCopy-->

この表では、EPA スキャン失敗リスク指標のサマリースキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
event_description EPA スキャンの失敗の理由 (認証後の失敗、検疫グループがないなど) について説明します。
relevant_event_type EPA スキャン失敗イベントのタイプを示します。
gateway_domain_name Citrix Gatewayのドメイン名。
gateway_ip Citrix GatewayのIPアドレス。
policy_name Citrix Gatewayで構成されたEPAスキャンポリシー名。
country ユーザーのアクティビティが検出された国。
city ユーザーのアクティビティが検出された都市。
region ユーザー アクティビティが検出された地域。
cs_vserver_name コンテンツスイッチ仮想サーバーの名前。
device_os ユーザーのデバイスのオペレーティングシステム。
security_expression Citrix Gatewayで構成されたセキュリティ式。
vpn_vserver_name Citrix Gateway 仮想サーバーの名前。
vserver_fqdn Citrix Gateway仮想サーバーのFQDN。

過剰な認証失敗リスク指標スキーマ

インジケーターのサマリー スキーマ
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 101,
    "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Excessive authentication failures",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/”,
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2017-12-21T07:00:00Z",
      "relevant_event_type": "Logon Failure"
    }
  }
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 101,
    "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:10:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo-user",
    "version": 2,
    "event_description": "Bad (format) password passed to nsaaad",
    "authentication_stage": "Secondary",
    "authentication_type": "LDAP",
    "auth_server_ip": "10.xxx.x.xx",
    "client_ip": "24.xxx.xxx.xx",
    "gateway_ip": "24.xxx.xxx.xx",
    "vserver_fqdn": "demo-fqdn.citrix.com",
    "vpn_vserver_name": "demo_vpn_vserver",
    "cs_vserver_name": "demo_cs_vserver",
    "gateway_domain_name": "xyz",
    "country": "United States",
    "region": "California",
    "city": "San Jose",
    "nth_failure": 5
  }

<!--NeedCopy-->

次の表では、過剰な認証エラーの概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
relevant_event_type ログオン失敗などのイベントの種類を示します。
event_description パスワードが正しくないなど、過剰な認証失敗イベントの理由について説明します。
authentication_stage 認証ステージがプライマリ、セカンダリ、またはターシャリのいずれであるかを示します。
authentication_type 認証のタイプ (LDAP、ローカル、OAuth など) を示します。
auth_server_ip 認証サーバーの IP アドレス。
gateway_domain_name Citrix Gatewayのドメイン名。
gateway_ip Citrix GatewayのIPアドレス。
cs_vserver_name コンテンツスイッチ仮想サーバーの名前。
vpn_vserver_name Citrix Gateway 仮想サーバーの名前。
vserver_fqdn Citrix Gateway仮想サーバーのFQDN。
nth_failure ユーザー認証が失敗した回数。
country ユーザーのアクティビティが検出された国。
city ユーザーのアクティビティが検出された都市。
region ユーザー アクティビティが検出された地域。

あり得ない移動リスク指標

インジケーターのサマリー スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "111",
    "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Impossible travel",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Impossible travel",
      "distance": 7480.44718,
      "observation_start_time": "2020-06-06T12:00:00Z",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
      "historical_observation_period_in_days": 30
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "111",
    "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
    "pair_id": 2,
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 1,
    "timestamp": "2020-06-06T05:05:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "client_ip": "95.xxx.xx.xx",
    “ip_organization”: “global telecom ltd”,
    “ip_routing_type”: “mobile gateway”,
    "country": "Norway",
    "region": "Oslo",
    "city": "Oslo",
    "latitude": 59.9139,
    "longitude": 10.7522,
    "device_os": "Linux OS",
    "device_browser": "Chrome 62.0.3202.94"
  }

<!--NeedCopy-->

次の表では、Impossible travel の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
distance 不可能移動に関連付けられたイベント間の距離 (km)。
historical_logon_locations 観測期間中に利用者がアクセスした場所と、各場所がアクセスした回数。
historical_observation_period_in_days 各ロケーションは 30 日間監視されます。
relevant_event_type ログオンなどのイベントの種類を示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。
country ユーザーがログオンした国。
city ユーザーがログオンした都市。
region ユーザーがログオンした地域を示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
device_browser ユーザーが使用する Web ブラウザー。
device_os ユーザーのデバイスのオペレーティングシステム。
ip_organization クライアントIPアドレスの組織の登録
ip_routing_type クライアント IP ルーティングの種類

疑わしい IP リスク インジケーター スキーマからのログオン

インジケーターのサマリー スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 102,
    "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "data_source_id": 1,
    "timestamp": "2019-10-10T10:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 0.91,
    "indicator_category": "Compromised users",
    "indicator_name": "Logon from suspicious IP",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Logon",
      "client_ip": "1.0.xxx.xx",
      "observation_start_time": "2019-10-10T10:00:00Z",
      "suspicion_reasons": "brute_force|external_threat"
    }
  }
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 102,
    "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "data_source_id": 1,
    "timestamp": "2019-10-10T10:11:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "suspicion_reasons": "external_threat",
    "gateway_ip": "gIP1",
    "client_ip": "128.0.xxx.xxx",
    "country": "Sweden",
    "city": "Stockholm",
    "region": "Stockholm",
    "webroot_reputation": 14,
    "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
    "device_os": "Windows OS",
    "device_browser": "Chrome"
  }

<!--NeedCopy-->

次の表では、疑わしい IP からのログインの概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
suspicious_reasons IP アドレスが疑わしいと識別される理由。
webroot_reputation 脅威インテリジェンスプロバイダーである Webroot によって提供される IP レピュテーションインデックス。
webroot_threat_categories 脅威インテリジェンスプロバイダー (Webroot) によって疑わしい IP に対して特定された脅威カテゴリ。
device_os ユーザーデバイスのオペレーティングシステム。
device_browser 使用したWebブラウザ。
country ユーザーのアクティビティが検出された国。
city ユーザーのアクティビティが検出された都市。
region ユーザー アクティビティが検出された地域。

異常な認証失敗リスク指標スキーマ

インジケーターのサマリー スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 109,
    "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2020-04-01T06:44:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Unusual authentication failure",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Logon Failure",
      "observation_start_time": "2020-04-01T05:45:00Z"
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 109,
    "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2020-04-01T06:42:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "event_description": "Success",
    "authentication_stage": "Secondary",
    "authentication_type": "LDAP",
    "client_ip": "99.xxx.xx.xx",
    "country": "United States",
    "city": "San Jose",
    "region": "California",
    "device_os": "Windows OS ",
    "device_browser": "Chrome",
    "is_risky": "false"
  }

<!--NeedCopy-->

次の表では、Unusual authentication failure のサマリースキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
relevant_event_type ログオン失敗などのイベントの種類を示します。
event_description ログオンが成功したか失敗したかを示します
authentication_stage 認証ステージがプライマリ、セカンダリ、またはターシャリのいずれであるかを示します。
authentication_type 認証のタイプ (LDAP、ローカル、OAuth など) を示します。
is_risky ログオンが成功した場合、is_risky値は false です。 ログオンに失敗した場合、is_risky値は true です。
device_os ユーザーデバイスのオペレーティングシステム。
device_browser ユーザーが使用する Web ブラウザー。
country ユーザーのアクティビティが検出された国。
city ユーザーのアクティビティが検出された都市。
region ユーザー アクティビティが検出された地域。

疑わしいログオン リスク インジケーター

インジケーターのサマリー スキーマ
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "110",
    "indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
    "indicator_category_id": 3,
    "indicator_vector": [
      {
        "name": "Location-Based Risk Indicators",
        "id": 2
      },
      {
        "name": "IP-Based Risk Indicators",
        "id": 4
      },
      {
        "name": "Other Risk Indicators",
        "id": 7
      }
    ],
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 0.71,
    "indicator_category": "Compromised users",
    "indicator_name": "Suspicious logon",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2020-06-06T12:00:00Z",
      "relevant_event_type": "Logon",
      "event_count": 1,
      "historical_observation_period_in_days": 30,
      "country": "United States",
      "region": "Florida",
      "city": "Miami",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"New York\",\"city\":\"New York City\",\"latitude\":40.7128,\"longitude\":-74.0060,\"count\":9}]",
      "user_location_risk": 75,
      "device_id": "",
      "device_os": "Windows OS",
      "device_browser": "Chrome",
      "user_device_risk": 0,
      "client_ip": "99.xxx.xx.xx",
      "user_network_risk": 75,
      "webroot_threat_categories": "Phishing",
      "suspicious_network_risk": 89
    }
  }


<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "110",
    "indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
    "indicator_category_id": 3,
    "indicator_vector": [
      {
        "name": "Location-Based Risk Indicators",
        "id": 2
      },
      {
        "name": "IP-Based Risk Indicators",
        "id": 4
      },
      {
        "name": "Other Risk Indicators",
        "id": 7
      }
    ],
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:08:40Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "latitude": 25.7617,
    "longitude": -80.1918,
    "device_browser": "Chrome",
    "device_os": "Windows OS",
    "device_id": "NA",
    "client_ip": "99.xxx.xx.xx"
  }

<!--NeedCopy-->

次の表では、Suspicious logon の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
historical_logon_locations 観測期間中に利用者がアクセスした場所と、各場所がアクセスした回数。
historical_observation_period_in_days 各ロケーションは 30 日間監視されます。
relevant_event_type ログオンなどのイベントの種類を示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。
occurrence_event_type アカウント ログオンなどのユーザー イベントの種類を示します。
country ユーザーがログオンした国。
city ユーザーがログオンした都市。
region ユーザーがログオンした地域を示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
device_browser ユーザーが使用する Web ブラウザー。
device_os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用したデバイスの名前。
user_location_risk ユーザーがログオンした場所の疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100
user_device_risk ユーザーがログオンしたデバイスの疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100
user_network_risk ユーザーがログオンしたネットワークまたはサブネットの疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100
suspicious_network_risk Webroot IP 脅威インテリジェンス フィードに基づく IP 脅威レベルを示します。 脅威レベル低: 0–69、脅威レベル中: 70–89、脅威レベル: 90–100
webroot_threat_categories Webroot IP 脅威インテリジェンス フィードに基づいて、IP アドレスから検出された脅威の種類を示します。 脅威のカテゴリは、スパムソース、Windowsエクスプロイト、Web攻撃、ボットネット、スキャナー、サービス拒否、レピュテーション、フィッシング、プロキシ、未指定、モバイル脅威、およびTorプロキシです

Citrix DaaSおよびCitrix Virtual Apps and Desktopsのリスク指標スキーマ

あり得ない移動リスク指標

インジケーターのサマリー スキーマ
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "313",
    "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 3,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Impossible travel",
    "severity": "medium",
    "data_source": "Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Impossible travel",
      "distance": 7480.44718,
      "observation_start_time": "2020-06-06T12:00:00Z",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
      "historical_observation_period_in_days": 30
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "313",
    "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
    "pair_id": 2,
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 3,
    "timestamp": "2020-06-06T05:05:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "occurrence_event_type": "Account.Logon",
    "client_ip": "95.xxx.xx.xx",
    “ip_organization”: “global telecom ltd”,
    “ip_routing_type”: “mobile gateway”,
    "country": "Norway",
    "region": "Oslo",
    "city": "Oslo",
    "latitude": 59.9139,
    "longitude": 10.7522,
    "device_id": "device1",
    "receiver_type": "XA.Receiver.Linux",
    "os": "Linux OS",
    "browser": "Chrome 62.0.3202.94"
  }

<!--NeedCopy-->

次の表では、Impossible travel の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
distance 不可能移動に関連付けられたイベント間の距離 (km)。
historical_logon_locations 観測期間中に利用者がアクセスした場所と、各場所がアクセスした回数。
historical_observation_period_in_days 各ロケーションは 30 日間監視されます。
relevant_event_type ログオンなどのイベントの種類を示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。
country ユーザーがログオンした国。
city ユーザーがログオンした都市。
region ユーザーがログオンした地域を示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
browser ユーザーが使用する Web ブラウザー。
os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用したデバイスの名前。
receiver_type ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiverの種類。
ip_organization クライアントIPアドレスの組織の登録
ip_routing_type クライアント IP ルーティングの種類

潜在的なデータ流出リスク指標

インジケーターのサマリー スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 303,
    "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
    "indicator_category_id": 1,
    "indicator_vector": {
      "name": "Data-Based Risk Indicators",
      "id": 5 },
    "data_source_id": 3,
    "timestamp": "2018-04-02T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Data exfiltration",
    "indicator_name": "Potential data exfiltration",
    "severity": "low",
    "data_source": "Citrix Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Download/Print/Copy",
      "observation_start_time": "2018-04-02T10:00:00Z",
      "exfil_data_volume_in_bytes": 1172000
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 303,
    "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
    "indicator_category_id": 1,
    "indicator_vector": {
      "name": "Data-Based Risk Indicators",
      "id": 5 },
    "data_source_id": 3,
    "timestamp": "2018-04-02T10:57:36Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "occurrence_event_type": "App.SaaS.Clipboard",
    "file_size_in_bytes": 98000,
    "file_type": "text",
    "device_id": "dvc5",
    "receiver_type": "XA.Receiver.Windows",
    "app_url": "https://www.citrix.com",
    "client_ip": "10.xxx.xx.xxx",
    "entity_time_zone": "Pacific Standard Time"
  }

<!--NeedCopy-->

次の表では、潜在的なデータ流出の概要スキーマとイベント詳細スキーマに固有のフィールドについて説明します。

フィールド名 説明
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。
relevant_event_type データのダウンロード、印刷、コピーなどのユーザー アクティビティを示します。
exfil_data_volume_in_bytes データ流出の量。
occurrence_event_type SaaS アプリでのクリップボード操作など、データ流出がどのように発生したかを示します。
file_size_in_bytes ファイルのサイズ。
file_type ファイルの種類。
device_id ユーザーデバイスのID。
receiver_type ユーザーデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver。
app_url ユーザーがアクセスするアプリケーションの URL。
entity_time_zone ユーザーのタイム ゾーン。

疑わしいログオン リスク インジケーター スキーマ

インジケーターのサマリー スキーマ
  {
    "tenant_id": "tenant_1",
    "indicator_id": "312",
    "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
    "indicator_category_id": 3,
    "indicator_vector":
    [
      {
        "name": "Other Risk Indicators",
        "id": 7
      },
      {
        "name":"Location-Based Risk Indicators",
        "id":2
      },
      {
        "name":"IP-Based Risk Indicators",
        "id":4
      },
      {
        "name": "Device-Based Risk Indicators",
        "id": 1
      },
    ],
    "data_source_id": 3,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "user2",
    "version": 2,
    "risk_probability": 0.78,
    "indicator_category": "Compromised users",
    "indicator_name": "Suspicious logon",
    "severity": "medium",
    "data_source": "Citrix Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "indicator_type": "builtin",
    "occurrence_details":
    {
      "user_location_risk": 0,
      "city": "Some_city",
      "observation_start_time": "2020-06-06T12:00:00Z",
      "event_count": 1,
      "user_device_risk": 75,
      "country": "United States",
      "device_id": "device2",
      "region": "Some_Region",
      "client_ip": "99.xx.xx.xx",
      "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
      "historical_logon_locations": "[{\"country\":\"United States\",\"latitude\":45.0,\"longitude\":45.0,\"count\":12},{\"country\":\"United States\",\"region\":\"Some_Region_A\",\"city\":\"Some_City_A\",\"latitude\":0.0,\"longitude\":0.0,\"count\":8}]",
      "relevant_event_type": "Logon",
      "user_network_risk": 100,
      "historical_observation_period_in_days": 30,
      "suspicious_network_risk": 0
    }
  }

<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
  {
    "tenant_id": "tenant_1",
    "indicator_id": "312",
    "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
    "indicator_category_id": 3,
    "indicator_vector":
    [
      {
        "name": "Other Risk Indicators",
        "id": 7
      },
      {
        "name":"Location-Based Risk Indicators",
        "id":2
      },
      {
        "name":"IP-Based Risk Indicators",
        "id":4
      },
      {
        "name": "Device-Based Risk Indicators",
        "id": 1
      },
    ],
    "data_source_id": 3,
    "timestamp": "2020-06-06 12:02:30",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "user2",
    "version": 2,
    "occurrence_event_type": "Account.Logon",
    "city": "Some_city",
    "country": "United States",
    "region": "Some_Region",
    "latitude": 37.751,
    "longitude": -97.822,
    "browser": "Firefox 1.3",
    "os": "Windows OS",
    "device_id": "device2",
    "receiver_type": "XA.Receiver.Chrome",
    "client_ip": "99.xxx.xx.xx"
  }

<!--NeedCopy-->

次の表では、Suspicious logon の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
historical_logon_locations 観測期間中に利用者がアクセスした場所と、各場所がアクセスした回数。
historical_observation_period_in_days 各ロケーションは 30 日間監視されます。
relevant_event_type ログオンなどのイベントの種類を示します。
observation_start_time Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。
occurrence_event_type アカウント ログオンなどのユーザー イベントの種類を示します。
country ユーザーがログオンした国。
city ユーザーがログオンした都市。
region ユーザーがログオンした地域を示します。
latitude ユーザーがログオンした場所の緯度を示します。
longitude ユーザーがログオンした場所の経度を示します。
browser ユーザーが使用する Web ブラウザー。
os ユーザーのデバイスのオペレーティングシステム。
device_id ユーザーが使用したデバイスの名前。
receiver_type ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiverの種類。
user_location_risk ユーザーがログオンした場所の疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100
user_device_risk ユーザーがログオンしたデバイスの疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100
user_network_risk ユーザーがログオンしたネットワークまたはサブネットの疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100
suspicious_network_risk Webroot IP 脅威インテリジェンス フィードに基づく IP 脅威レベルを示します。 脅威レベル低: 0–69、脅威レベル中: 70–89、脅威レベル: 90–100
webroot_threat_categories Webroot IP 脅威インテリジェンス フィードに基づいて、IP アドレスから検出された脅威の種類を示します。 脅威のカテゴリは、スパムソース、Windowsエクスプロイト、Web攻撃、ボットネット、スキャナー、サービス拒否、レピュテーション、フィッシング、プロキシ、未指定、モバイル脅威、およびTorプロキシです

Microsoft Active Directory インジケータ

インジケーターのサマリー スキーマ

  {
    "data_source": "Microsoft Graph Security",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised users",
    "indicator_id": 1000,
    "indicator_name": "MS Active Directory Indicator",
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "indicator_type": "builtin",
    "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-01-27T16:03:46Z",
    "ui_link": "https://analytics-daily.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->

インジケーター・イベント詳細スキーマ

  {
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_id": 1000,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-01-27T16:03:46Z",
    "version": 2
  }

<!--NeedCopy-->

カスタム・リスク・インディケータ・スキーマ

次のセクションでは、カスタムリスク指標のスキーマについて説明します。

(注)

現在、Citrix Analytics は、Citrix DaaSおよびCitrix Virtual Apps and Desktopsのカスタムリスク指標に関連するデータをSIEMサービスに送信します。

次の表では、カスタム リスク指標の概要スキーマのフィールド名について説明します。

フィールド名 説明
data source Citrix Analytics for Securityにデータを送信する製品。 たとえば、Citrix Secure Private Access、Citrix Gateway、Citrix Apps and Desktopsなどです。
data_source_id データ ソースに関連付けられている ID。 ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクのあるエンティティ。 この場合、エンティティはユーザーです。
event_type SIEM サービスに送信されるデータの種類。 この場合、イベント・タイプはリスク・インディケータの要約です。
indicator_category リスク指標のカテゴリを示します。 リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データ流出、または内部脅威のいずれかのリスクカテゴリにグループ化されます。
indicator_id リスク指標に関連付けられた一意の ID。
indicator_category_id リスク指標カテゴリに関連付けられた ID。 ID 1 = データ流出、ID 2 = 内部脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
indicator_name リスク指標の名前。 カスタム・リスク・インディケータの場合、この名前はインディケータの作成時に定義されます。
indicator_type リスク指標がデフォルト (組み込み) かカスタムかを示します。
indicator_uuid リスク指標インスタンスに関連付けられた一意の ID。
occurrence_details リスク指標のトリガー条件に関する詳細。
pre_configured カスタムリスク指標が事前設定されているかどうかを示します。
risk_probability ユーザーイベントに関連するリスクの可能性を示します。 値は 0 から 1.0 まで変化します。 カスタム・リスク・インディケータの場合、risk_probabilityは常に 1.0 です。これはポリシーベースのインジケータであるためです。
severity リスクの重大度を示します。 低、中、高のいずれかです。
tenant_id 顧客の一意の ID。
timestamp リスク指標がトリガーされた日時。
ui_link Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。
version 処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。

次の表では、カスタムリスク指標イベント詳細スキーマ全体で共通のフィールド名について説明します。

フィールド名 説明
data_source_id データ ソースに関連付けられている ID。 ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access
indicator_category_id リスク指標カテゴリに関連付けられた ID。 ID 1 = データ流出、ID 2 = 内部脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント
event_type SIEM サービスに送信されるデータの種類。 この場合、イベント・タイプはリスク・インディケータ・イベントの詳細です。
tenant_id 顧客の一意の ID。
entity_id リスクのあるエンティティに関連付けられている ID。
entity_type リスクにさらされているエンティティ。 この場合、それはユーザーです。
indicator_id リスク指標に関連付けられた一意の ID。
indicator_uuid リスク指標インスタンスに関連付けられた一意の ID。
timestamp リスク指標がトリガーされた日時。
version 処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。
event_id ユーザー イベントに関連付けられた ID。
occurrence_event_type セッション・ログオン、セッション起動、アカウント・ログオンなどのユーザー・イベントのタイプを示します。
product Windows向けCitrix Workspaceアプリなど、Citrix Workspaceアプリの種類を示します。
client_ip ユーザーのデバイスの IP アドレス。
session_user_name Citrix Apps and Desktopsセッションに関連付けられたユーザー名。
city ユーザーのアクティビティが検出された都市の名前。
country ユーザーのアクティビティが検出された国の名前。
device_id ユーザーが使用したデバイスの名前。
os_name ユーザーのデバイスにインストールされているオペレーティング システム。 詳細については、以下を参照してください。 アプリとデスクトップのセルフサービス検索.
os_version ユーザーのデバイスにインストールされているオペレーティング システムのバージョン。 詳細については、以下を参照してください。 アプリとデスクトップのセルフサービス検索.
os_extra_info ユーザーのデバイスにインストールされているオペレーティング システムに関連付けられている追加の詳細。 詳細については、以下を参照してください。 アプリとデスクトップのセルフサービス検索.

Citrix DaaSおよびCitrix Virtual Apps and Desktopsのカスタムリスク指標

インジケーターのサマリー スキーマ

  {
    "data_source": " Citrix Apps and Desktops",
    "data_source_id": 3,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised users",
    "indicator_category_id": 3,
    "indicator_id": "ca97a656ab0442b78f3514052d595936",
    "indicator_name": "Demo_user_usage",
    "indicator_type": "custom",
    "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
    "occurrence_details": {
      "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
    "pre_configured": "N",
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-02-10T14:47:25Z",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "version": 2
  }

<!--NeedCopy-->
セッション・ログオン・イベントの標識イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.Logon",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "SYD04-MS1-S102",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  }

<!--NeedCopy-->

次の表では、セッション ログオン イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
app_name 起動したアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップを示します。
domain 要求を送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
セッション起動イベントのインジケーター・イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.Launch",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
  }

<!--NeedCopy-->

次の表では、セッション起動イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
app_name 起動したアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップを示します。
アカウント・ログオン・イベントの標識イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Account.Logon",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
  }

<!--NeedCopy-->

次の表では、アカウント ログオン イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
app_name 起動したアプリケーションまたはデスクトップの名前。
セッション終了イベントの標識イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  }

<!--NeedCopy-->

次の表では、セッション終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
app_name 起動したアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップを示します。
domain 要求を送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
アプリ開始イベントのインジケーター イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.Start",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "module_file_path": "/root/folder1/folder2/folder3"
  }

<!--NeedCopy-->

次の表では、アプリ開始イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
app_name 起動したアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップを示します。
domain 要求を送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
module_file_path 使用されているアプリケーションのパス。
アプリ終了イベントのインジケーター イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "module_file_path": "/root/folder1/folder2/folder3"
  }

<!--NeedCopy-->

次の表では、アプリ終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
app_name 起動したアプリケーションまたはデスクトップの名前。
launch_type アプリケーションまたはデスクトップを示します。
domain 要求を送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
module_file_path 使用されているアプリケーションのパス。
ファイル・ダウンロード・イベントの標識イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "File.Download",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "file_download_file_name": "File5.txt",
    "file_download_file_path": "/root/folder1/folder2/folder3",
    "file_size_in_bytes": 278,
    "launch_type": "Desktop",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "device_type": "USB"
  }

<!--NeedCopy-->

次の表では、ファイルダウンロードイベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
file_download_file_name ダウンロード・ファイルの名前。
file_download_file_path ファイルがダウンロードされる宛先パス。
launch_type アプリケーションまたはデスクトップを示します。
domain 要求を送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
device_type ファイルがダウンロードされるデバイスのタイプを示します。
印刷イベントのインジケーター・イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Printing",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "printer_name": "Test-printer",
    "launch_type": "Desktop",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "job_details_size_in_bytes": 454,
    "job_details_filename": "file1.pdf",
    "job_details_format": "PDF"
  }

<!--NeedCopy-->

次の表では、印刷イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
printer_name 印刷ジョブに使用したプリンターの名前です。
launch_type アプリケーションまたはデスクトップを示します。
domain 要求を送信したサーバーのドメイン名。
server_name サーバーの名前。
session_guid アクティブなセッションの GUID。
job_details_size_in_bytes 印刷されるジョブのサイズ (ファイルやフォルダーなど)。
job_details_filename 印刷されるファイルの名前。
job_details_format 印刷ジョブの形式。
アプリの SaaS 起動イベントのインジケーター イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.SaaS.Launch",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "launch_type": "Desktop",
  }

<!--NeedCopy-->

次の表では、アプリの SaaS 起動イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
launch_type アプリケーションまたはデスクトップを示します。
アプリの SaaS 終了イベントのインジケーター イベント詳細スキーマ
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.SaaS.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "launch_type": "Desktop",
  }

<!--NeedCopy-->

次の表では、アプリの SaaS 終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。

フィールド名 説明
launch_type アプリケーションまたはデスクトップを示します。

データ ソース イベント

さらに、データエクスポート機能を構成して、Citrix Analytics for Securityが有効な製品データソースからユーザーイベントをエクスポートすることもできます。 Citrix 環境でアクティビティを実行すると、データソースイベントが生成されます。 エクスポートされたイベントは、セルフサービスビューで使用できる未処理のリアルタイムのユーザーおよび製品使用状況データです。 これらのイベントに含まれるメタデータは、さらに詳細な脅威分析、新しいダッシュボードの作成、セキュリティおよびITインフラストラクチャ全体の他のCitrix以外のデータソースイベントとの関連付けに使用できます。

現在、Citrix Analytics for Securityは、Citrix Virtual Apps and DesktopsデータソースのユーザーイベントをSIEMに送信します。

データ ソース イベントのスキーマの詳細

Citrix Virtual Apps and Desktopsのイベント

ユーザーイベントは、ユーザーが仮想アプリまたは仮想デスクトップを使用すると、Citrix Analytics for Securityでリアルタイムで受信されます。 詳細については、以下を参照してください。 Citrix Virtual Apps and DesktopsおよびCitrix DaaSデータソース. SIEMでは、Citrix Virtual Apps and Desktopsに関連付けられた次のユーザーイベントを表示できます:

  • すべてのイベントタイプ
  • アカウントログオン
  • アプリ(開始、起動、終了)
  • クリップボード
  • ファイル(印刷、ダウンロード)
  • HDXセッションソース
  • 印刷
  • セッション (ログオン、起動、終了、終了)
  • VDAデータ
  • VDAプロセスの作成

イベントとその属性の詳細については、 Virtual Apps and Desktopsのセルフサービス検索.

有効になっていて、SIEM に流れているイベントの種類を確認できます。 テナントに適用可能なイベントタイプを設定または削除し、 変更を保存 ボタンをクリックして設定を保存します。

データ ソース イベント

セキュア・プライベート・アクセス・イベント

ユーザーイベントは、ユーザーがCitrix Workspace アプリ、Citrix Secure Accessクライアント、Citrix Enterprise BrowserなどのCitrix Secure Private Accessを介してアプリケーションにアクセスするときに、Citrix Analytics for Securityでリアルタイムで受信されます。 SIEMでは、Secure Private Accessに関連付けられている次のユーザーイベントを表示できます。

  • すべてのイベントタイプ
  • アカウントログオン
  • アプリ(接続、起動、終了、エラー)
  • ファイル(印刷、ダウンロード)
  • ポリシー評価
  • クリップボード
  • セッション (接続、起動)
  • Url
  • ユーザーログイン
  • SPAサービスログ

セキュア・プライベート・アクセス・イベント

デバイスポスチャサービスイベント

ユーザーイベントは、Citrix Endpoint Analysis(EPA)クライアントがCitrix Virtual Apps and DesktopsまたはCitrix Secure Private Accessリソースにアクセスしようとするデバイスでポスチャチェックを実行すると生成されます。 SIEM では、Device Posture サービスに関連付けられている次のユーザー イベントを表示できます。

  • すべてのイベントタイプ
  • デバイスポスチャ評価

デバイスポスチャサービスイベント

テナントに対して有効になっているイベントの種類を確認し、それらが SIEM に流れていることを確認できます。 該当するイベントタイプを設定または削除し、 変更を保存 ボタンをクリックして設定を適用します。

Citrix Analytics SIEMのデータエクスポート形式