Citrix Analytics SIEMのデータエクスポート形式
Citrix Analytics for Securityを使用すると、セキュリティ情報およびイベント管理(SIEM)サービスと統合できます。 この統合により、Citrix Analytics for SecurityはSIEMサービスにデータを送信でき、組織のセキュリティリスク態勢に関する洞察を得ることができます。
現在、Citrix Analytics for Securityを次のSIEMサービスと統合できます。
ザ データエクスポートオプション は、現在、世界中で利用可能です。 設定. データソースイベントを表示するには、 設定 > データのエクスポート > データ ソース イベント.
Citrix Analytics for SecurityからSIEMサービスに送信されるリスクインサイトデータには、次の2つのタイプがあります。
- リスク分析情報イベント (既定のエクスポート)
-
データソースイベント(オプションのエクスポート)
SIEM のリスク分析情報データ
アカウントの設定と SIEM の設定が完了すると、デフォルトのデータセット (リスクインサイトイベント) が SIEM デプロイメントに流れ始めます。 リスク分析情報データセットには、ユーザー リスク スコア イベント、ユーザー プロファイル イベント、リスク インジケーター アラートが含まれます。 これらは、ユーザーイベントを活用して、Citrix Analyticsの機械学習アルゴリズムとユーザー行動分析によって生成されます。
ユーザーのリスク分析情報データセットには、次のものが含まれます。
- リスクスコアの変更: ユーザーのリスクスコアの変化を示します。 ユーザーのリスク スコアの変化が 3 以上で、この変化が何らかの割合で増加するか、10% 以上低下すると、データは SIEM サービスに送信されます。
- リスク指標の概要: ユーザーに対してトリガーされたリスク指標の詳細。
- リスク指標イベントの詳細: リスク指標に関連付けられたユーザーイベント。 Citrix Analytics は、リスク指標の発生ごとに最大 1000 件のイベント詳細を SIEM サービスに送信します。 これらのイベントは、発生の時系列で送信されます。
- ユーザーリスクスコアイベント: ユーザーの現在のリスク スコア。 Citrix Analytics for Securityは、このデータを12時間ごとにSIEMサービスに送信します。
-
ユーザープロフィール: ユーザー プロファイル データは、次のように分類できます。
- ユーザーアプリ: ユーザーが起動して使用したアプリケーション。 Citrix Analytics for Securityは、Citrix Virtual Appsからこのデータを取得し、12時間ごとにSIEMサービスに送信します。
- ユーザーデバイス: ユーザーに関連付けられているデバイス。 Citrix Analytics for Securityは、Citrix Virtual AppsおよびCitrix Endpoint Managementからこのデータを取得し、12時間ごとにSIEMサービスに送信します。
- ユーザーの場所: ユーザーが最後に検出された都市。 Citrix Analytics for Securityは、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)からこのデータを取得します。 Citrix Analytics for Securityは、この情報を12時間ごとにSIEMサービスに送信します。
- ユーザー・クライアントIP: ユーザーデバイスのクライアントIPアドレス。 Citrix Analytics for Securityは、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)からこのデータを取得し、この情報を12時間ごとにSIEMサービスに送信します。
データ ソース イベントの設定を表示することはできても、構成できない場合は、必要な管理者権限がありません。 詳細については、以下を参照してください。 Security Analytics の管理者ロールを管理する.
次の例では、 変更を保存 ボタンが無効になります。 リスク・インサイト・イベントは、デフォルトで有効になっています。
リスク分析情報イベントのスキーマの詳細
次のセクションでは、Citrix Analytics for Securityによって生成された処理済みデータのスキーマについて説明します。
(注)
次のスキーマ サンプルに示されているフィールド値は、表現のみを目的としています。 実際のフィールド値は、ユーザープロファイル、ユーザーイベント、およびリスク指標によって異なります。
次の表では、すべてのユーザー プロファイル データ、ユーザー リスク スコア、およびリスク スコアの変更について、スキーマ全体で共通のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
entity_id |
エンティティに関連付けられた ID。 この場合、エンティティはユーザーです。 |
entity_type |
リスクのあるエンティティ。 この場合、エンティティはユーザーです。 |
event_type |
SIEM サービスに送信されるデータの種類。 たとえば、ユーザーの位置情報、ユーザーのデータ使用量、ユーザーのデバイスアクセス情報などです。 |
tenant_id |
顧客の一意の ID。 |
timestamp |
最近のユーザー アクティビティの日時。 |
version |
処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。 |
ユーザープロファイルデータスキーマ
ユーザーの場所スキーマ
{
"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2
}
<!--NeedCopy-->
ユーザーの場所のフィールドの説明
| フィールド名 | 説明 |
|---|---|
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベントの種類はユーザーの場所です。 |
country |
ユーザーがログインした国。 |
city |
ユーザーがログインした都市。 |
cnt |
過去 12 時間にロケーションがアクセスされた回数。 |
ユーザー・クライアントのIPスキーマ
{
"client_ip": "149.147.136.10",
"cnt": 3,
"entity_id": "r2_up_user_1",
"entity_type": "user",
"event_type": "userProfileClientIps",
"tenant_id": "xaxddaily1",
"timestamp": "2023-09-18T10:45:00Z",
"version": 2
}
<!--NeedCopy-->
クライアント IP のフィールドの説明
| フィールド名 | 説明 |
|---|---|
client_ip |
ユーザーデバイスのIPアドレス。 |
cnt |
ユーザーが過去 12 時間にデバイスにアクセスした回数。 |
entity_id |
エンティティに関連付けられた ID。 この場合、エンティティはユーザーです。 |
entity_type |
リスクのあるエンティティ。 この場合、イベントの種類はユーザーのクライアント IP です。 |
event_type |
SIEM サービスに送信されるデータの種類。 たとえば、ユーザーの位置情報、ユーザーのデータ使用量、ユーザーのデバイスアクセス情報などです。 |
tenant_id |
顧客の一意の ID。 |
timestamp |
最近のユーザー アクティビティの日時。 |
version |
処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。 |
ユーザーデータ使用スキーマ
{
"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2
}
<!--NeedCopy-->
ユーザーデータの使用に関するフィールドの説明
| フィールド名 | 説明 |
|---|---|
data_usage_bytes |
ユーザーが使用したデータの量 (バイト単位)。 これは、ユーザーのダウンロードされたボリュームとアップロードされたボリュームの合計です。 |
deleted_file_cnt |
ユーザーが削除したファイルの数。 |
downloaded_bytes |
ユーザーがダウンロードしたデータの量。 |
downloaded_file_count |
ユーザーがダウンロードしたファイルの数。 |
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベントタイプはユーザーの使用プロファイルです。 |
shared_file_count |
ユーザーが共有しているファイルの数。 |
uploaded_bytes |
ユーザーがアップロードしたデータの量。 |
uploaded_file_cnt |
ユーザーがアップロードしたファイルの数。 |
ユーザーデバイススキーマ
{
"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2
}
<!--NeedCopy-->
ユーザーデバイスのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
cnt |
過去 12 時間にデバイスにアクセスされた回数。 |
device |
デバイスの名前。 |
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベントの種類はユーザーのデバイス アクセス情報です。 |
ユーザーアプリのスキーマ
{
"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189
}
<!--NeedCopy-->
ユーザーアプリのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベントの種類はユーザーのデバイス アクセス情報です。 |
session_domain |
ユーザーがログオンしたセッションの ID。 |
user_samaccountname |
Windows NT 4.0、Windows 95、Windows 98、LAN Manager など、以前のバージョンの Windows のクライアントとサーバーのログオン名。 この名前は、Citrix StoreFrontへのログオンと、リモートのWindowsマシンへのログオンに使用されます。 |
app |
ユーザーがアクセスしたアプリケーションの名前。 |
cnt |
過去 12 時間にアプリケーションがアクセスされた回数。 |
ユーザー リスク スコア スキーマ
{
"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2
}
<!--NeedCopy-->
ユーザー リスク スコアのフィールドの説明。
| フィールド名 | 説明 |
|---|---|
cur_riskscore |
ユーザーに割り当てられている現在のリスク スコア。 リスクスコアは、ユーザーのアクティビティに関連付けられた脅威の重大度に応じて 0 から 100 まで変化します。 |
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベントタイプはユーザーのリスクスコアです。 |
last_update_timestamp |
ユーザーのリスクスコアが最後に更新された時刻。 |
timestamp |
ユーザー リスク スコア イベントが収集され、SIEM サービスに送信される時間。 このイベントは、12 時間ごとに SIEM サービスに送信されます。 |
リスク スコア変更スキーマ
サンプル1:
{
"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2
}
<!--NeedCopy-->
サンプル 2:
{
"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2
}
<!--NeedCopy-->
リスク・スコア変更のフィールドの説明。
| フィールド名 | 説明 |
|---|---|
alert_message |
リスク・スコアの変更時に表示されるメッセージ。 |
alert_type |
アラートがリスク スコアの増加に対するものか、リスク スコアの割合の大幅な低下に対するものかを示します。 ユーザーのリスク スコアの変化が 3 以上で、この変化が何らかの割合で増加するか、10% 以上低下すると、データは SIEM サービスに送信されます。 |
alert_value |
リスクスコアの変更に割り当てられた数値。 リスクスコアの変更は、ユーザーの現在のリスクスコアと以前のリスクスコアの差です。 アラート値は -100 から 100 まで変化します。 |
cur_riskscore |
ユーザーに割り当てられている現在のリスク スコア。 リスクスコアは、ユーザーのアクティビティに関連付けられた脅威の重大度に応じて 0 から 100 まで変化します。 |
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベントタイプはユーザーのリスクスコアの変化です。 |
timestamp |
ユーザーのリスクスコアの最新の変更が検出された日時。 |
リスク指標スキーマ
リスク指標スキーマは、指標サマリースキーマと指標イベント詳細スキーマの 2 つの部分で構成されています。 リスク指標に基づいて、スキーマ内のフィールドとその値はそれに応じて変更されます。
次の表では、すべてのインジケーター サマリー スキーマに共通するフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
data source |
Citrix Analytics for Securityにデータを送信する製品。 たとえば、Citrix Secure Private Access、Citrix Gateway、Citrix Apps and Desktopsなどです。 |
data_source_id |
データ ソースに関連付けられている ID。 ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access |
entity_type |
リスクのあるエンティティ。 ユーザーでもかまいません。 |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベント・タイプはリスク・インディケータの要約です。 |
indicator_category |
リスク指標のカテゴリを示します。 リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データ流出、または内部脅威のいずれかのリスクカテゴリにグループ化されます。 |
indicator_id |
リスク指標に関連付けられた一意の ID。 |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。 ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
indicator_name |
リスク指標の名前。 カスタム・リスク・インディケータの場合、この名前はインディケータの作成時に定義されます。 |
indicator_type |
リスク指標がデフォルト (組み込み) かカスタムかを示します。 |
indicator_uuid |
リスク指標インスタンスに関連付けられた一意の ID。 |
indicator_vector_name |
リスク指標に関連付けられたリスクベクトルを示します。 リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。 |
indicator_vector_id |
リスクベクトルに関連付けられた ID。 ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスク指標、ID 999 = 使用不可 |
occurrence_details |
リスク指標のトリガー条件に関する詳細。 |
risk_probability |
ユーザーイベントに関連するリスクの可能性を示します。 値は 0 から 1.0 まで変化します。 カスタム・リスク・インディケータの場合、risk_probabilityは常に 1.0 です。これはポリシーベースのインジケータであるためです。 |
severity |
リスクの重大度を示します。 低、中、高のいずれかです。 |
tenant_id |
顧客の一意の ID。 |
timestamp |
リスク指標がトリガーされた日時。 |
ui_link |
Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
次の表では、すべてのインジケーター イベント詳細スキーマに共通するフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
data_source_id |
データ ソースに関連付けられている ID。 ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。 ID 1 = データ流出、ID 2 = インサイダーの脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクにさらされているエンティティ。 ユーザーにすることができます。 |
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベント・タイプはリスク・インディケータ・イベントの詳細です。 |
indicator_id |
リスク指標に関連付けられた一意の ID。 |
indicator_uuid |
リスク指標インスタンスに関連付けられた一意の ID。 |
indicator_vector_name |
リスク指標に関連付けられたリスクベクトルを示します。 リスクベクトルは、デバイスベースのリスク指標、ロケーションベースのリスク指標、ログオン失敗ベースのリスク指標、IPベースのリスク指標、データベースのリスク指標、ファイルベースのリスク指標、およびその他のリスク指標です。 |
indicator_vector_id |
リスクベクトルに関連付けられた ID。 ID 1 = デバイスベースのリスク指標、ID 2 = ロケーションベースのリスク指標、ID 3 = ログオン失敗ベースのリスク指標、ID 4 = IP ベースのリスク指標、ID 5 = データベースのリスク指標、ID 6 = ファイルベースのリスク指標、ID 7 = その他のリスク指標、ID 999 = 使用不可 |
tenant_id |
顧客の一意の ID。 |
timestamp |
リスク指標がトリガーされた日時。 |
version |
処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。 |
client_ip |
ユーザーのデバイスの IP アドレス。 |
(注)
整数データ型のフィールド値が使用できない場合、割り当てられる値は -999 です。 例えば
「緯度」:-999,「経度」: -999.文字列データ型のフィールド値が使用できない場合、割り当てられる値は NA です。 例えば
"city": "NA","region": "NA".
Citrix Secure Private Accessリスク指標スキーマ
ブラックリストに登録された URL リスク指標スキーマへのアクセス試行
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:59:58Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Attempt to access blacklisted URL",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-15T10:44:59Z",
"relevant_event_type": "Blacklisted External Resource Access"
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:57:21Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "googleads.g.doubleclick.net",
"executed_action": "blocked",
"reason_for_action": "URL Category match",
"client_ip": "157.xx.xxx.xxx"
}
<!--NeedCopy-->
次の表では、ブラックリストに登録された URL へのアクセス試行の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
executed_action |
ブラックリストに登録されたURLに適用されたアクション。 このアクションには、「許可」と「ブロック」が含まれます。 |
reason_for_action |
URL にアクションを適用する理由。 |
過剰なデータのダウンロード リスク指標スキーマ
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Excessive data download",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"downloaded_bytes": 24000
}
<!--NeedCopy-->
次の表では、過剰なデータダウンロードの概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
data_volume_in_bytes |
ダウンロードされるデータの量 (バイト単位)。 |
relevant_event_type |
ユーザー・イベントのタイプを示します。 |
domain_name |
データのダウンロード元のドメインの名前。 |
downloaded_bytes |
ダウンロードされるデータの量 (バイト単位)。 |
異常なアップロード・ボリューム・リスク・インディケータ・スキーマ
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Unusual upload volume",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"uploaded_bytes": 24000
}
<!--NeedCopy-->
次の表では、通常とは異なるアップロードボリュームの概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
data_volume_in_bytes |
アップロードされるデータの量 (バイト単位)。 |
relevant_event_type |
ユーザー・イベントのタイプを示します。 |
domain_name |
データがアップロードされるドメインの名前。 |
uploaded_bytes |
アップロードされるデータの量 (バイト単位)。 |
Citrix Endpoint Managementリスク指標スキーマ
ジェイルブレイクまたはルート化されたデバイスが検出したインジケーターのスキーマ
インジケーターのサマリー スキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 200,
"indicator_name": "Jailbroken / Rooted Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:05Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"indicator_id": 200,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:35Z",
"version": 2
}
<!--NeedCopy-->
ブラックリストに登録されたアプリが検出されたデバイス
インジケーターのサマリー スキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 201,
"indicator_name": "Device with Blacklisted Apps Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:23Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"indicator_id": 201,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:39Z",
"version": 2
}
<!--NeedCopy-->
管理されていないデバイスの検出
インジケーターのサマリー スキーマ
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 203,
"indicator_name": "Unmanaged Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T12:56:30Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"indicator_id": 203,
"client_ip": "127.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T18:41:30Z",
"version": 2
}
<!--NeedCopy-->
Citrix Gatewayリスク指標スキーマ
EPA スキャン失敗リスク指標スキーマ
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "EPA scan failure",
"severity": "low",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"event_description": "Post auth failed, no quarantine",
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "EPA Scan Failure at Logon"
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:12:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Post auth failed, no quarantine",
"gateway_domain_name": "10.102.xx.xx",
"gateway_ip": "56.xx.xxx.xx",
"policy_name": "postauth_act_1",
"client_ip": "210.91.xx.xxx",
"country": "United States",
"city": "San Jose",
"region": "California",
"cs_vserver_name": "demo_vserver",
"device_os": "Windows OS",
"security_expression": "CLIENT.OS(Win12) EXISTS",
"vpn_vserver_name": "demo_vpn_vserver",
"vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->
この表では、EPA スキャン失敗リスク指標のサマリースキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
event_description |
EPA スキャンの失敗の理由 (認証後の失敗、検疫グループがないなど) について説明します。 |
relevant_event_type |
EPA スキャン失敗イベントのタイプを示します。 |
gateway_domain_name |
Citrix Gatewayのドメイン名。 |
gateway_ip |
Citrix GatewayのIPアドレス。 |
policy_name |
Citrix Gatewayで構成されたEPAスキャンポリシー名。 |
country |
ユーザーのアクティビティが検出された国。 |
city |
ユーザーのアクティビティが検出された都市。 |
region |
ユーザー アクティビティが検出された地域。 |
cs_vserver_name |
コンテンツスイッチ仮想サーバーの名前。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
security_expression |
Citrix Gatewayで構成されたセキュリティ式。 |
vpn_vserver_name |
Citrix Gateway 仮想サーバーの名前。 |
vserver_fqdn |
Citrix Gateway仮想サーバーのFQDN。 |
過剰な認証失敗リスク指標スキーマ
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Excessive authentication failures",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/”,
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "Logon Failure"
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:10:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo-user",
"version": 2,
"event_description": "Bad (format) password passed to nsaaad",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"auth_server_ip": "10.xxx.x.xx",
"client_ip": "24.xxx.xxx.xx",
"gateway_ip": "24.xxx.xxx.xx",
"vserver_fqdn": "demo-fqdn.citrix.com",
"vpn_vserver_name": "demo_vpn_vserver",
"cs_vserver_name": "demo_cs_vserver",
"gateway_domain_name": "xyz",
"country": "United States",
"region": "California",
"city": "San Jose",
"nth_failure": 5
}
<!--NeedCopy-->
次の表では、過剰な認証エラーの概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ログオン失敗などのイベントの種類を示します。 |
event_description |
パスワードが正しくないなど、過剰な認証失敗イベントの理由について説明します。 |
authentication_stage |
認証ステージがプライマリ、セカンダリ、またはターシャリのいずれであるかを示します。 |
authentication_type |
認証のタイプ (LDAP、ローカル、OAuth など) を示します。 |
auth_server_ip |
認証サーバーの IP アドレス。 |
gateway_domain_name |
Citrix Gatewayのドメイン名。 |
gateway_ip |
Citrix GatewayのIPアドレス。 |
cs_vserver_name |
コンテンツスイッチ仮想サーバーの名前。 |
vpn_vserver_name |
Citrix Gateway 仮想サーバーの名前。 |
vserver_fqdn |
Citrix Gateway仮想サーバーのFQDN。 |
nth_failure |
ユーザー認証が失敗した回数。 |
country |
ユーザーのアクティビティが検出された国。 |
city |
ユーザーのアクティビティが検出された都市。 |
region |
ユーザー アクティビティが検出された地域。 |
あり得ない移動リスク指標
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_os": "Linux OS",
"device_browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
次の表では、Impossible travel の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
distance |
不可能移動に関連付けられたイベント間の距離 (km)。 |
historical_logon_locations |
観測期間中に利用者がアクセスした場所と、各場所がアクセスした回数。 |
historical_observation_period_in_days |
各ロケーションは 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントの種類を示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした都市。 |
region |
ユーザーがログオンした地域を示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
device_browser |
ユーザーが使用する Web ブラウザー。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
ip_organization |
クライアントIPアドレスの組織の登録 |
ip_routing_type |
クライアント IP ルーティングの種類 |
疑わしい IP リスク インジケーター スキーマからのログオン
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.91,
"indicator_category": "Compromised users",
"indicator_name": "Logon from suspicious IP",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon",
"client_ip": "1.0.xxx.xx",
"observation_start_time": "2019-10-10T10:00:00Z",
"suspicion_reasons": "brute_force|external_threat"
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:11:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"suspicion_reasons": "external_threat",
"gateway_ip": "gIP1",
"client_ip": "128.0.xxx.xxx",
"country": "Sweden",
"city": "Stockholm",
"region": "Stockholm",
"webroot_reputation": 14,
"webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
"device_os": "Windows OS",
"device_browser": "Chrome"
}
<!--NeedCopy-->
次の表では、疑わしい IP からのログインの概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
suspicious_reasons |
IP アドレスが疑わしいと識別される理由。 |
webroot_reputation |
脅威インテリジェンスプロバイダーである Webroot によって提供される IP レピュテーションインデックス。 |
webroot_threat_categories |
脅威インテリジェンスプロバイダー (Webroot) によって疑わしい IP に対して特定された脅威カテゴリ。 |
device_os |
ユーザーデバイスのオペレーティングシステム。 |
device_browser |
使用したWebブラウザ。 |
country |
ユーザーのアクティビティが検出された国。 |
city |
ユーザーのアクティビティが検出された都市。 |
region |
ユーザー アクティビティが検出された地域。 |
異常な認証失敗リスク指標スキーマ
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:44:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Unusual authentication failure",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon Failure",
"observation_start_time": "2020-04-01T05:45:00Z"
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:42:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Success",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"client_ip": "99.xxx.xx.xx",
"country": "United States",
"city": "San Jose",
"region": "California",
"device_os": "Windows OS ",
"device_browser": "Chrome",
"is_risky": "false"
}
<!--NeedCopy-->
次の表では、Unusual authentication failure のサマリースキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
relevant_event_type |
ログオン失敗などのイベントの種類を示します。 |
event_description |
ログオンが成功したか失敗したかを示します |
authentication_stage |
認証ステージがプライマリ、セカンダリ、またはターシャリのいずれであるかを示します。 |
authentication_type |
認証のタイプ (LDAP、ローカル、OAuth など) を示します。 |
is_risky |
ログオンが成功した場合、is_risky値は false です。 ログオンに失敗した場合、is_risky値は true です。 |
device_os |
ユーザーデバイスのオペレーティングシステム。 |
device_browser |
ユーザーが使用する Web ブラウザー。 |
country |
ユーザーのアクティビティが検出された国。 |
city |
ユーザーのアクティビティが検出された都市。 |
region |
ユーザー アクティビティが検出された地域。 |
疑わしいログオン リスク インジケーター
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.71,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2020-06-06T12:00:00Z",
"relevant_event_type": "Logon",
"event_count": 1,
"historical_observation_period_in_days": 30,
"country": "United States",
"region": "Florida",
"city": "Miami",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"New York\",\"city\":\"New York City\",\"latitude\":40.7128,\"longitude\":-74.0060,\"count\":9}]",
"user_location_risk": 75,
"device_id": "",
"device_os": "Windows OS",
"device_browser": "Chrome",
"user_device_risk": 0,
"client_ip": "99.xxx.xx.xx",
"user_network_risk": 75,
"webroot_threat_categories": "Phishing",
"suspicious_network_risk": 89
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:08:40Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"country": "United States",
"region": "Florida",
"city": "Miami",
"latitude": 25.7617,
"longitude": -80.1918,
"device_browser": "Chrome",
"device_os": "Windows OS",
"device_id": "NA",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
次の表では、Suspicious logon の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
historical_logon_locations |
観測期間中に利用者がアクセスした場所と、各場所がアクセスした回数。 |
historical_observation_period_in_days |
各ロケーションは 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントの種類を示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
occurrence_event_type |
アカウント ログオンなどのユーザー イベントの種類を示します。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした都市。 |
region |
ユーザーがログオンした地域を示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
device_browser |
ユーザーが使用する Web ブラウザー。 |
device_os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用したデバイスの名前。 |
user_location_risk |
ユーザーがログオンした場所の疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100 |
user_device_risk |
ユーザーがログオンしたデバイスの疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100 |
user_network_risk |
ユーザーがログオンしたネットワークまたはサブネットの疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100 |
suspicious_network_risk |
Webroot IP 脅威インテリジェンス フィードに基づく IP 脅威レベルを示します。 脅威レベル低: 0–69、脅威レベル中: 70–89、脅威レベル: 90–100 |
webroot_threat_categories |
Webroot IP 脅威インテリジェンス フィードに基づいて、IP アドレスから検出された脅威の種類を示します。 脅威のカテゴリは、スパムソース、Windowsエクスプロイト、Web攻撃、ボットネット、スキャナー、サービス拒否、レピュテーション、フィッシング、プロキシ、未指定、モバイル脅威、およびTorプロキシです |
Citrix DaaSおよびCitrix Virtual Apps and Desktopsのリスク指標スキーマ
あり得ない移動リスク指標
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "Account.Logon",
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_id": "device1",
"receiver_type": "XA.Receiver.Linux",
"os": "Linux OS",
"browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
次の表では、Impossible travel の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
distance |
不可能移動に関連付けられたイベント間の距離 (km)。 |
historical_logon_locations |
観測期間中に利用者がアクセスした場所と、各場所がアクセスした回数。 |
historical_observation_period_in_days |
各ロケーションは 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントの種類を示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした都市。 |
region |
ユーザーがログオンした地域を示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
browser |
ユーザーが使用する Web ブラウザー。 |
os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用したデバイスの名前。 |
receiver_type |
ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiverの種類。 |
ip_organization |
クライアントIPアドレスの組織の登録 |
ip_routing_type |
クライアント IP ルーティングの種類 |
潜在的なデータ流出リスク指標
インジケーターのサマリー スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Potential data exfiltration",
"severity": "low",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Download/Print/Copy",
"observation_start_time": "2018-04-02T10:00:00Z",
"exfil_data_volume_in_bytes": 1172000
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:57:36Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "App.SaaS.Clipboard",
"file_size_in_bytes": 98000,
"file_type": "text",
"device_id": "dvc5",
"receiver_type": "XA.Receiver.Windows",
"app_url": "https://www.citrix.com",
"client_ip": "10.xxx.xx.xxx",
"entity_time_zone": "Pacific Standard Time"
}
<!--NeedCopy-->
次の表では、潜在的なデータ流出の概要スキーマとイベント詳細スキーマに固有のフィールドについて説明します。
| フィールド名 | 説明 |
|---|---|
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
relevant_event_type |
データのダウンロード、印刷、コピーなどのユーザー アクティビティを示します。 |
exfil_data_volume_in_bytes |
データ流出の量。 |
occurrence_event_type |
SaaS アプリでのクリップボード操作など、データ流出がどのように発生したかを示します。 |
file_size_in_bytes |
ファイルのサイズ。 |
file_type |
ファイルの種類。 |
device_id |
ユーザーデバイスのID。 |
receiver_type |
ユーザーデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiver。 |
app_url |
ユーザーがアクセスするアプリケーションの URL。 |
entity_time_zone |
ユーザーのタイム ゾーン。 |
疑わしいログオン リスク インジケーター スキーマ
インジケーターのサマリー スキーマ
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"risk_probability": 0.78,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details":
{
"user_location_risk": 0,
"city": "Some_city",
"observation_start_time": "2020-06-06T12:00:00Z",
"event_count": 1,
"user_device_risk": 75,
"country": "United States",
"device_id": "device2",
"region": "Some_Region",
"client_ip": "99.xx.xx.xx",
"webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
"historical_logon_locations": "[{\"country\":\"United States\",\"latitude\":45.0,\"longitude\":45.0,\"count\":12},{\"country\":\"United States\",\"region\":\"Some_Region_A\",\"city\":\"Some_City_A\",\"latitude\":0.0,\"longitude\":0.0,\"count\":8}]",
"relevant_event_type": "Logon",
"user_network_risk": 100,
"historical_observation_period_in_days": 30,
"suspicious_network_risk": 0
}
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06 12:02:30",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"occurrence_event_type": "Account.Logon",
"city": "Some_city",
"country": "United States",
"region": "Some_Region",
"latitude": 37.751,
"longitude": -97.822,
"browser": "Firefox 1.3",
"os": "Windows OS",
"device_id": "device2",
"receiver_type": "XA.Receiver.Chrome",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
次の表では、Suspicious logon の概要スキーマとイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
historical_logon_locations |
観測期間中に利用者がアクセスした場所と、各場所がアクセスした回数。 |
historical_observation_period_in_days |
各ロケーションは 30 日間監視されます。 |
relevant_event_type |
ログオンなどのイベントの種類を示します。 |
observation_start_time |
Citrix Analytics がユーザーアクティビティの監視を開始する時刻からタイムスタンプまで。 この期間中に異常な動作が検出されると、リスク指標がトリガーされます。 |
occurrence_event_type |
アカウント ログオンなどのユーザー イベントの種類を示します。 |
country |
ユーザーがログオンした国。 |
city |
ユーザーがログオンした都市。 |
region |
ユーザーがログオンした地域を示します。 |
latitude |
ユーザーがログオンした場所の緯度を示します。 |
longitude |
ユーザーがログオンした場所の経度を示します。 |
browser |
ユーザーが使用する Web ブラウザー。 |
os |
ユーザーのデバイスのオペレーティングシステム。 |
device_id |
ユーザーが使用したデバイスの名前。 |
receiver_type |
ユーザーのデバイスにインストールされているCitrix WorkspaceアプリまたはCitrix Receiverの種類。 |
user_location_risk |
ユーザーがログオンした場所の疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100 |
user_device_risk |
ユーザーがログオンしたデバイスの疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100 |
user_network_risk |
ユーザーがログオンしたネットワークまたはサブネットの疑わしいレベルを示します。 低 (低) : 0 - 69、中 (中) : 70 - 89、高 (高) : 90 - 100 |
suspicious_network_risk |
Webroot IP 脅威インテリジェンス フィードに基づく IP 脅威レベルを示します。 脅威レベル低: 0–69、脅威レベル中: 70–89、脅威レベル: 90–100 |
webroot_threat_categories |
Webroot IP 脅威インテリジェンス フィードに基づいて、IP アドレスから検出された脅威の種類を示します。 脅威のカテゴリは、スパムソース、Windowsエクスプロイト、Web攻撃、ボットネット、スキャナー、サービス拒否、レピュテーション、フィッシング、プロキシ、未指定、モバイル脅威、およびTorプロキシです |
Microsoft Active Directory インジケータ
インジケーターのサマリー スキーマ
{
"data_source": "Microsoft Graph Security",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_id": 1000,
"indicator_name": "MS Active Directory Indicator",
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_type": "builtin",
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"ui_link": "https://analytics-daily.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
インジケーター・イベント詳細スキーマ
{
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_id": 1000,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"version": 2
}
<!--NeedCopy-->
カスタム・リスク・インディケータ・スキーマ
次のセクションでは、カスタムリスク指標のスキーマについて説明します。
(注)
現在、Citrix Analytics は、Citrix DaaSおよびCitrix Virtual Apps and Desktopsのカスタムリスク指標に関連するデータをSIEMサービスに送信します。
次の表では、カスタム リスク指標の概要スキーマのフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
data source |
Citrix Analytics for Securityにデータを送信する製品。 たとえば、Citrix Secure Private Access、Citrix Gateway、Citrix Apps and Desktopsなどです。 |
data_source_id |
データ ソースに関連付けられている ID。 ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクのあるエンティティ。 この場合、エンティティはユーザーです。 |
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベント・タイプはリスク・インディケータの要約です。 |
indicator_category |
リスク指標のカテゴリを示します。 リスク指標は、侵害されたエンドポイント、侵害されたユーザー、データ流出、または内部脅威のいずれかのリスクカテゴリにグループ化されます。 |
indicator_id |
リスク指標に関連付けられた一意の ID。 |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。 ID 1 = データ流出、ID 2 = 内部脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
indicator_name |
リスク指標の名前。 カスタム・リスク・インディケータの場合、この名前はインディケータの作成時に定義されます。 |
indicator_type |
リスク指標がデフォルト (組み込み) かカスタムかを示します。 |
indicator_uuid |
リスク指標インスタンスに関連付けられた一意の ID。 |
occurrence_details |
リスク指標のトリガー条件に関する詳細。 |
pre_configured |
カスタムリスク指標が事前設定されているかどうかを示します。 |
risk_probability |
ユーザーイベントに関連するリスクの可能性を示します。 値は 0 から 1.0 まで変化します。 カスタム・リスク・インディケータの場合、risk_probabilityは常に 1.0 です。これはポリシーベースのインジケータであるためです。 |
severity |
リスクの重大度を示します。 低、中、高のいずれかです。 |
tenant_id |
顧客の一意の ID。 |
timestamp |
リスク指標がトリガーされた日時。 |
ui_link |
Citrix Analytics ユーザーインターフェイスのユーザータイムラインビューへのリンク。 |
version |
処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。 |
次の表では、カスタムリスク指標イベント詳細スキーマ全体で共通のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
data_source_id |
データ ソースに関連付けられている ID。 ID 1 = Citrix Gateway、ID 2 = Citrix Endpoint Management、ID 3 = Citrix Apps and Desktops、ID 4 = Citrix Secure Private Access |
indicator_category_id |
リスク指標カテゴリに関連付けられた ID。 ID 1 = データ流出、ID 2 = 内部脅威、ID 3 = 侵害されたユーザー、ID 4 = 侵害されたエンドポイント |
event_type |
SIEM サービスに送信されるデータの種類。 この場合、イベント・タイプはリスク・インディケータ・イベントの詳細です。 |
tenant_id |
顧客の一意の ID。 |
entity_id |
リスクのあるエンティティに関連付けられている ID。 |
entity_type |
リスクにさらされているエンティティ。 この場合、それはユーザーです。 |
indicator_id |
リスク指標に関連付けられた一意の ID。 |
indicator_uuid |
リスク指標インスタンスに関連付けられた一意の ID。 |
timestamp |
リスク指標がトリガーされた日時。 |
version |
処理されたデータのスキーマ バージョン。 現在のスキーマ バージョンは 2 です。 |
event_id |
ユーザー イベントに関連付けられた ID。 |
occurrence_event_type |
セッション・ログオン、セッション起動、アカウント・ログオンなどのユーザー・イベントのタイプを示します。 |
product |
Windows向けCitrix Workspaceアプリなど、Citrix Workspaceアプリの種類を示します。 |
client_ip |
ユーザーのデバイスの IP アドレス。 |
session_user_name |
Citrix Apps and Desktopsセッションに関連付けられたユーザー名。 |
city |
ユーザーのアクティビティが検出された都市の名前。 |
country |
ユーザーのアクティビティが検出された国の名前。 |
device_id |
ユーザーが使用したデバイスの名前。 |
os_name |
ユーザーのデバイスにインストールされているオペレーティング システム。 詳細については、以下を参照してください。 アプリとデスクトップのセルフサービス検索. |
os_version |
ユーザーのデバイスにインストールされているオペレーティング システムのバージョン。 詳細については、以下を参照してください。 アプリとデスクトップのセルフサービス検索. |
os_extra_info |
ユーザーのデバイスにインストールされているオペレーティング システムに関連付けられている追加の詳細。 詳細については、以下を参照してください。 アプリとデスクトップのセルフサービス検索. |
Citrix DaaSおよびCitrix Virtual Apps and Desktopsのカスタムリスク指標
インジケーターのサマリー スキーマ
{
"data_source": " Citrix Apps and Desktops",
"data_source_id": 3,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_category_id": 3,
"indicator_id": "ca97a656ab0442b78f3514052d595936",
"indicator_name": "Demo_user_usage",
"indicator_type": "custom",
"indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
"occurrence_details": {
"condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
"pre_configured": "N",
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-02-10T14:47:25Z",
"ui_link": "https://analytics.cloud.com/user/ ",
"version": 2
}
<!--NeedCopy-->
セッション・ログオン・イベントの標識イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "SYD04-MS1-S102",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
次の表では、セッション ログオン イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動したアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップを示します。 |
domain |
要求を送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
セッション起動イベントのインジケーター・イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
}
<!--NeedCopy-->
次の表では、セッション起動イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動したアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップを示します。 |
アカウント・ログオン・イベントの標識イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Account.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
}
<!--NeedCopy-->
次の表では、アカウント ログオン イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動したアプリケーションまたはデスクトップの名前。 |
セッション終了イベントの標識イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
次の表では、セッション終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動したアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップを示します。 |
domain |
要求を送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
アプリ開始イベントのインジケーター イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.Start",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
次の表では、アプリ開始イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動したアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップを示します。 |
domain |
要求を送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
module_file_path |
使用されているアプリケーションのパス。 |
アプリ終了イベントのインジケーター イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
次の表では、アプリ終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
app_name |
起動したアプリケーションまたはデスクトップの名前。 |
launch_type |
アプリケーションまたはデスクトップを示します。 |
domain |
要求を送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
module_file_path |
使用されているアプリケーションのパス。 |
ファイル・ダウンロード・イベントの標識イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "File.Download",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"file_download_file_name": "File5.txt",
"file_download_file_path": "/root/folder1/folder2/folder3",
"file_size_in_bytes": 278,
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"device_type": "USB"
}
<!--NeedCopy-->
次の表では、ファイルダウンロードイベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
file_download_file_name |
ダウンロード・ファイルの名前。 |
file_download_file_path |
ファイルがダウンロードされる宛先パス。 |
launch_type |
アプリケーションまたはデスクトップを示します。 |
domain |
要求を送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
device_type |
ファイルがダウンロードされるデバイスのタイプを示します。 |
印刷イベントのインジケーター・イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Printing",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"printer_name": "Test-printer",
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"job_details_size_in_bytes": 454,
"job_details_filename": "file1.pdf",
"job_details_format": "PDF"
}
<!--NeedCopy-->
次の表では、印刷イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
printer_name |
印刷ジョブに使用したプリンターの名前です。 |
launch_type |
アプリケーションまたはデスクトップを示します。 |
domain |
要求を送信したサーバーのドメイン名。 |
server_name |
サーバーの名前。 |
session_guid |
アクティブなセッションの GUID。 |
job_details_size_in_bytes |
印刷されるジョブのサイズ (ファイルやフォルダーなど)。 |
job_details_filename |
印刷されるファイルの名前。 |
job_details_format |
印刷ジョブの形式。 |
アプリの SaaS 起動イベントのインジケーター イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
次の表では、アプリの SaaS 起動イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
launch_type |
アプリケーションまたはデスクトップを示します。 |
アプリの SaaS 終了イベントのインジケーター イベント詳細スキーマ
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
次の表では、アプリの SaaS 終了イベントのイベント詳細スキーマに固有のフィールド名について説明します。
| フィールド名 | 説明 |
|---|---|
launch_type |
アプリケーションまたはデスクトップを示します。 |
データ ソース イベント
さらに、データエクスポート機能を構成して、Citrix Analytics for Securityが有効な製品データソースからユーザーイベントをエクスポートすることもできます。 Citrix 環境でアクティビティを実行すると、データソースイベントが生成されます。 エクスポートされたイベントは、セルフサービスビューで使用できる未処理のリアルタイムのユーザーおよび製品使用状況データです。 これらのイベントに含まれるメタデータは、さらに詳細な脅威分析、新しいダッシュボードの作成、セキュリティおよびITインフラストラクチャ全体の他のCitrix以外のデータソースイベントとの関連付けに使用できます。
現在、Citrix Analytics for Securityは、Citrix Virtual Apps and DesktopsデータソースのユーザーイベントをSIEMに送信します。
データ ソース イベントのスキーマの詳細
Citrix Virtual Apps and Desktopsのイベント
ユーザーイベントは、ユーザーが仮想アプリまたは仮想デスクトップを使用すると、Citrix Analytics for Securityでリアルタイムで受信されます。 詳細については、以下を参照してください。 Citrix Virtual Apps and DesktopsおよびCitrix DaaSデータソース. SIEMでは、Citrix Virtual Apps and Desktopsに関連付けられた次のユーザーイベントを表示できます:
- すべてのイベントタイプ
- アカウントログオン
- アプリ(開始、起動、終了)
- クリップボード
- ファイル(印刷、ダウンロード)
- HDXセッションソース
- 印刷
- セッション (ログオン、起動、終了、終了)
- VDAデータ
- VDAプロセスの作成
イベントとその属性の詳細については、 Virtual Apps and Desktopsのセルフサービス検索.
有効になっていて、SIEM に流れているイベントの種類を確認できます。 テナントに適用可能なイベントタイプを設定または削除し、 変更を保存 ボタンをクリックして設定を保存します。
セキュア・プライベート・アクセス・イベント
ユーザーイベントは、ユーザーがCitrix Workspace アプリ、Citrix Secure Accessクライアント、Citrix Enterprise BrowserなどのCitrix Secure Private Accessを介してアプリケーションにアクセスするときに、Citrix Analytics for Securityでリアルタイムで受信されます。 SIEMでは、Secure Private Accessに関連付けられている次のユーザーイベントを表示できます。
- すべてのイベントタイプ
- アカウントログオン
- アプリ(接続、起動、終了、エラー)
- ファイル(印刷、ダウンロード)
- ポリシー評価
- クリップボード
- セッション (接続、起動)
- Url
- ユーザーログイン
- SPAサービスログ
デバイスポスチャサービスイベント
ユーザーイベントは、Citrix Endpoint Analysis(EPA)クライアントがCitrix Virtual Apps and DesktopsまたはCitrix Secure Private Accessリソースにアクセスしようとするデバイスでポスチャチェックを実行すると生成されます。 SIEM では、Device Posture サービスに関連付けられている次のユーザー イベントを表示できます。
- すべてのイベントタイプ
- デバイスポスチャ評価
テナントに対して有効になっているイベントの種類を確認し、それらが SIEM に流れていることを確認できます。 該当するイベントタイプを設定または削除し、 変更を保存 ボタンをクリックして設定を適用します。
Citrix Analytics SIEMのデータエクスポート形式
コピー完了
コピー失敗