Citrix Analytics for Security

SIEM 的 Citrix Analytics 数据导出格式

Citrix Analytics for Security 允许您与安全信息和事件管理 (SIEM) 服务集成。 此集成使 Citrix Analytics for Security 能够将数据发送到您的 SIEM 服务,并帮助您深入了解组织的安全风险状况。

目前,您可以将 Citrix Analytics for Security 与以下 SIEM 服务集成:

数据导出选项 现已在全球提供 设置. 要查看数据源事件,请导航到 设置 > 数据导出 > 数据源事件.

数据导出

Citrix Analytics for Security 发送到您的 SIEM 服务的风险洞察数据有两种类型:

  • 风险洞察事件 (默认导出)
  • 数据源事件(可选导出)

    数据导出

SIEM 的风险洞察数据

完成账户配置和 SIEM 设置后,默认数据集(风险洞察事件)开始流入您的 SIEM 部署。 风险洞察数据集包括用户风险评分事件、用户配置文件事件和风险指示器警报。 这些是由 Citrix Analytics 机器学习算法和用户行为分析通过利用用户事件生成的。

用户的风险洞察数据集包括以下内容:

  • 风险评分变化:表示用户的风险评分发生变化。 当用户的风险评分变化等于或大于 3 并且此变化以任何速率增加或下降超过 10% 时,数据将发送到 SIEM 服务。
  • 风险指示器摘要:为用户触发的风险指示器的详细信息。
  • 风险指示器事件详细信息:与风险指示器关联的用户事件。 Citrix Analytics 最多向您的 SIEM 服务发送每个风险指示器出现的 1000 个事件详细信息。 这些事件按发生时间顺序发送。
  • 用户风险评分事件:用户的当前风险评分。 Citrix Analytics for Security 每 12 小时将此数据发送到 SIEM 服务。
  • 用户配置文件:用户配置文件数据可分为:

    • 用户应用:用户已启动和使用的应用程序。 Citrix Analytics for Security 每 12 小时从 Citrix Virtual Apps 中检索此数据并将其发送到 SIEM 服务。
    • 用户设备:与用户关联的设备。 Citrix Analytics for Security 从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,并每 12 小时将其发送到 SIEM 服务。
    • 用户位置:上次检测到用户所在的城市。 Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中检索此数据。 Citrix Analytics for Security 每 12 小时将此信息发送到您的 SIEM 服务。
    • 用户客户端 IP:用户设备的客户端 IP 地址。 Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中检索此数据,并每 12 小时将此信息发送到您的 SIEM 服务。

如果您只能查看但无法配置数据源事件首选项,则您没有必要的管理员权限。 要了解更多信息,请参阅 管理 Security Analytics 的管理员角色.

在以下示例中, 保存更改 按钮已禁用。 默认情况下,风险洞察事件处于启用状态。

风险洞察数据

风险见解事件的架构详细信息

以下部分介绍了 Citrix Analytics for Security 生成的已处理数据的架构。

注意:

以下架构示例中显示的字段值仅用于表示目的。 实际字段值因用户配置文件、用户事件和风险指示器而异。

下表描述了所有用户配置文件数据、用户风险评分和风险评分更改的架构中通用的字段名称。

字段名称 说明
entity_id 与实体关联的标识。 在本例中,实体是用户。
entity_type 有风险的实体。 在本例中,实体是用户。
event_type 发送到 SIEM 服务的数据类型。 例如:用户的位置、用户的数据使用情况或用户的设备访问信息。
tenant_id 客户的唯一身份。
timestamp 最近用户活动的日期和时间。
version 已处理数据的 schema 版本。 当前 Schema 版本为 2。

用户配置文件数据架构

用户位置架构


  {
    "tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2
    }

<!--NeedCopy-->

用户位置的字段描述

字段名称 说明
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是用户的位置。
country 用户登录的国家/地区。
city 用户登录的城市。
cnt 过去 12 小时内访问该位置的次数。

用户客户端 IP 架构


  {
    "client_ip": "149.147.136.10",
    "cnt": 3,
    "entity_id": "r2_up_user_1",
    "entity_type": "user",
    "event_type": "userProfileClientIps",
    "tenant_id": "xaxddaily1",
    "timestamp": "2023-09-18T10:45:00Z",
    "version": 2
  }


<!--NeedCopy-->

客户端 IP 的字段描述

字段名称 说明
client_ip 用户设备的 IP 地址。
cnt 用户在过去 12 小时内访问设备的次数。
entity_id 与实体关联的标识。 在本例中,实体是用户。
entity_type 有风险的实体。 在这种情况下,事件类型是用户的客户端 IP。
event_type 发送到 SIEM 服务的数据类型。 例如:用户的位置、用户的数据使用情况或用户的设备访问信息。
tenant_id 客户的唯一身份。
timestamp 最近用户活动的日期和时间..
version 已处理数据的 schema 版本。 当前 Schema 版本为 2。

用户数据使用架构


  {
    "data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2
    }

<!--NeedCopy-->

用户数据使用情况的字段描述

字段名称 说明
data_usage_bytes 用户使用的数据量 (以字节为单位)。 它是用户已下载和已上传卷的汇总。
deleted_file_cnt 用户删除的文件数。
downloaded_bytes 用户下载的数据量。
downloaded_file_count 用户下载的文件数。
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是用户的使用情况配置文件。
shared_file_count 用户共享的文件数。
uploaded_bytes 用户上传的数据量。
uploaded_file_cnt 用户上传的文件数。

用户设备架构


  {
    "cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2
    }

<!--NeedCopy-->

用户设备的字段描述。

字段名称 说明
cnt 过去 12 小时内访问设备的次数。
device 设备的名称。
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型为用户的设备访问信息。

用户应用程序架构


  {
    "tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189
    }

<!--NeedCopy-->

用户 app 的字段描述。

字段名称 说明
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型为用户的设备访问信息。
session_domain 用户已登录的会话的 ID。
user_samaccountname 以前版本的 Windows(如 Windows NT 4.0、Windows 95、Windows 98 和 LAN Manager)中的客户端和服务器的登录名。 此名称用于登录到 Citrix StoreFront,也用于登录到远程 Windows 计算机。
app 用户访问的应用程序的名称。
cnt 过去 12 小时内访问应用程序的次数。

用户风险评分架构


  {
    "cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2
    }

<!--NeedCopy-->

用户风险评分的字段描述。

字段名称 说明
cur_riskscore 分配给用户的当前风险评分。 风险评分从 0 到 100 不等,具体取决于与用户活动相关的威胁严重性。
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是用户的风险评分。
last_update_timestamp 上次更新用户的风险评分的时间。
timestamp 收集用户风险评分事件并将其发送到 SIEM 服务的时间。 此事件每 12 小时发送到您的 SIEM 服务。

风险评分更改架构

示例 1:


  {
    "alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2
    }

<!--NeedCopy-->

示例 2:


  {
    "alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2
    }

<!--NeedCopy-->

风险评分更改的字段描述。

字段名称 说明
alert_message 为风险评分更改显示的消息。
alert_type 指示警报是针对风险评分的增加还是风险评分百分比的显著下降。 当用户的风险评分变化等于或大于 3 并且此变化以任何速率增加或下降超过 10% 时,数据将发送到 SIEM 服务。
alert_value 为风险评分更改分配的数值。 风险评分变化是用户的当前风险评分与之前的风险评分之间的差值。 警报值从 -100 到 100 不等。
cur_riskscore 分配给用户的当前风险评分。 风险评分从 0 到 100 不等,具体取决于与用户活动相关的威胁严重性。
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是用户风险评分的变化。
timestamp 检测到用户的风险评分最新更改的日期和时间。

风险指示器架构

风险指示器架构由两部分组成:指示器摘要架构和指示器事件详细信息架构。 根据风险指示器,架构中的字段及其值会相应地更改。

下表描述了所有指标摘要架构中通用的字段名称。

字段名称 说明
data source 将数据发送到 Citrix Analytics for Security 的产品。 例如:Citrix Secure Private Access、Citrix Gateway 和 Citrix Apps and Desktops。
data_source_id 与数据源关联的 ID。 ID 1 = Citrix Gateway,ID 2 = Citrix Endpoint Management,ID 3 = Citrix Apps and Desktops,ID 4 = Citrix Secure Private Access
entity_type 有风险的实体。 它可以是用户。
entity_id 与存在风险的实体关联的 ID。
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是风险指示器的摘要。
indicator_category 指示风险指示器的类别。 风险指标分为以下风险类别之一 - 端点受损、用户受损、数据泄露或内部威胁。
indicator_id 与风险指示器关联的唯一 ID。
indicator_category_id 与风险指示器类别关联的 ID。 ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受损用户,ID 4 = 受损终端
indicator_name 风险指示器的名称。 对于自定义风险指示器,此名称是在创建指示器时定义的。
indicator_type 指示风险指示器是默认(内置)还是自定义。
indicator_uuid 与风险指示器实例关联的唯一 ID。
indicator_vector_name 指示与风险指示器关联的风险向量。 风险向量是基于设备的风险指标、基于位置的风险指标、基于登录失败的风险指标、基于 IP 的风险指标、基于数据的风险指标、基于文件的风险指标和其他风险指标。
indicator_vector_id 与风险向量关联的 ID。 ID 1 = 基于设备的风险指示器,ID 2 = 基于位置的风险指示器,ID 3 = 基于登录失败的风险指示器,ID 4 = 基于 IP 的风险指示器,ID 5 = 基于数据的风险指示器,ID 6 = 基于文件的风险指示器,ID 7 = 其他风险指示器,ID 999 = 不可用
occurrence_details 有关风险指示器触发条件的详细信息。
risk_probability 指示与用户事件关联的风险几率。 该值从 0 到 1.0 不等。 对于自定义风险指示器,risk_probability始终为 1.0,因为它是基于策略的指示器。
severity 指示风险的严重性。 它可以是低、中或高。
tenant_id 客户的唯一身份。
timestamp 触发风险指示器的日期和时间。
ui_link 指向 Citrix Analytics 用户界面上的用户时间线视图的链接。
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。

下表描述了所有指示器事件详细信息架构中通用的字段名称。

字段名称 说明
data_source_id 与数据源关联的 ID。 ID 1 = Citrix Gateway,ID 2 = Citrix Endpoint Management,ID 3 = Citrix Apps and Desktops,ID 4 = Citrix Secure Private Access
indicator_category_id 与风险指示器类别关联的 ID。 ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受损用户,ID 4 = 受损终端
entity_id 与存在风险的实体关联的 ID。
entity_type 存在风险的实体。 可以是 user。
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是风险指示器事件的详细信息。
indicator_id 与风险指示器关联的唯一 ID。
indicator_uuid 与风险指示器实例关联的唯一 ID。
indicator_vector_name 指示与风险指示器关联的风险向量。 风险向量是基于设备的风险指标、基于位置的风险指标、基于登录失败的风险指标、基于 IP 的风险指标、基于数据的风险指标、基于文件的风险指标和其他风险指标。
indicator_vector_id 与风险向量关联的 ID。 ID 1 = 基于设备的风险指示器,ID 2 = 基于位置的风险指示器,ID 3 = 基于登录失败的风险指示器,ID 4 = 基于 IP 的风险指示器,ID 5 = 基于数据的风险指示器,ID 6 = 基于文件的风险指示器,ID 7 = 其他风险指示器,ID 999 = 不可用
tenant_id 客户的唯一身份。
timestamp 触发风险指示器的日期和时间。
version 已处理数据的 schema 版本。 当前 Schema 版本为 2。
client_ip 用户设备的 IP 地址。

注意:

  • 如果整数数据类型字段值不可用,则分配的值为 -999。 例如 “latitude”:-999, “longitude”:-999.

  • 如果字符串数据类型字段值不可用,则分配的值为 NA。 例如 “city”: “NA”, “region”: “NA”.

Citrix Secure Private Access 风险指示器架构

尝试访问列入黑名单的 URL 风险指示器架构

指示器摘要架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 401,
    "indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-15T10:59:58Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Attempt to access blacklisted URL",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-15T10:44:59Z",
      "relevant_event_type": "Blacklisted External Resource Access"
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 401,
    "indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-15T10:57:21Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "googleads.g.doubleclick.net",
    "executed_action": "blocked",
    "reason_for_action": "URL Category match",
    "client_ip": "157.xx.xxx.xxx"
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及 Attempt to access the blacklisted URL 的事件详细信息架构。

字段名称 说明
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。
executed_action 应用于列入黑名单的 URL 的操作。 该操作包括 Allow 和 Block。
reason_for_action 对 URL 应用操作的原因。

过多的数据下载风险指示器架构

指示器摘要架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 403,
    "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Excessive data download",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-16T10:00:00Z",
      "data_volume_in_bytes": 24000,
      "relevant_event_type": "External Resource Access"
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 403,
    "indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:30:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "www.facebook.com",
    "client_ip": "157.xx.xxx.xxx",
    "downloaded_bytes": 24000
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及 Excessive data downloads (下载过多数据) 的事件详细信息架构。

字段名称 说明
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。
data_volume_in_bytes 下载的数据量(以字节为单位)。
relevant_event_type 指示用户事件的类型。
domain_name 从中下载数据的域的名称。
downloaded_bytes 下载的数据量(以字节为单位)。

异常上传量风险指示器架构

指示器摘要架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 402,
    "indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Insider threats",
    "indicator_name": "Unusual upload volume",
    "severity": "low",
    "data_source": "Citrix Secure Private Access",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2018-03-16T10:00:00Z",
      "data_volume_in_bytes": 24000,
      "relevant_event_type": "External Resource Access"
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 402,
    "indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
    "indicator_category_id": 2,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 4,
    "timestamp": "2018-03-16T10:30:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "domain_name": "www.facebook.com",
    "client_ip": "157.xx.xxx.xxx",
    "uploaded_bytes": 24000
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及 Unusual upload volume (异常上传卷) 的事件详细信息架构。

字段名称 说明
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。
data_volume_in_bytes 上传的数据量(以字节为单位)。
relevant_event_type 指示用户事件的类型。
domain_name 上传数据的域的名称。
uploaded_bytes 上传的数据量(以字节为单位)。

Citrix Endpoint Management 风险指示器架构

检测到越狱或取得 root 权限的设备检测到指示器架构

指示器摘要架构

  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 200,
    "indicator_name": "Jailbroken / Rooted Device Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T17:49:05Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
指示器事件详细信息架构
  {
    "indicator_id": 200,
    "client_ip": "122.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T17:50:35Z",
    "version": 2
  }

<!--NeedCopy-->

检测到已列入黑名单的应用程序的设备

指示器摘要架构
  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 201,
    "indicator_name": "Device with Blacklisted Apps Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T17:49:23Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
指示器事件详细信息架构
  {
    "indicator_id": 201,
    "client_ip": "122.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T17:50:39Z",
    "version": 2
  }

<!--NeedCopy-->

检测到未托管的设备

指示器摘要架构
  {
    "data_source": "Citrix Endpoint Management",
    "data_source_id": 2,
    "indicator_id": 203,
    "indicator_name": "Unmanaged Device Detected",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised endpoints",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_type": "builtin",
    "indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-13T12:56:30Z",
    "ui_link": "https://analytics.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->
指示器事件详细信息架构
  {
    "indicator_id": 203,
    "client_ip": "127.xx.xx.xxx",
    "data_source_id": 2,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_category_id": 4,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-04-09T18:41:30Z",
    "version": 2
  }

<!--NeedCopy-->

Citrix Gateway 风险指示器架构

EPA 扫描失败风险指示器架构

指示器摘要架构
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 100,
    "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "EPA scan failure",
    "severity": "low",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "event_description": "Post auth failed, no quarantine",
      "observation_start_time": "2017-12-21T07:00:00Z",
      "relevant_event_type": "EPA Scan Failure at Logon"
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 100,
    "indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Other Risk Indicators",
      "id": 7 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:12:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "event_description": "Post auth failed, no quarantine",
    "gateway_domain_name": "10.102.xx.xx",
    "gateway_ip": "56.xx.xxx.xx",
    "policy_name": "postauth_act_1",
    "client_ip": "210.91.xx.xxx",
    "country": "United States",
    "city": "San Jose",
    "region": "California",
    "cs_vserver_name": "demo_vserver",
    "device_os": "Windows OS",
    "security_expression": "CLIENT.OS(Win12) EXISTS",
    "vpn_vserver_name": "demo_vpn_vserver",
    "vserver_fqdn": "10.xxx.xx.xx"
  }
<!--NeedCopy-->

该表描述了特定于摘要架构的字段名称以及 EPA 扫描失败风险指示器的事件详细信息架构。

字段名称 说明
event_description 描述 EPA 扫描失败的原因,例如身份验证后失败和无隔离组。
relevant_event_type 指示 EPA 扫描失败事件的类型。
gateway_domain_name Citrix Gateway 的域名。
gateway_ip Citrix Gateway 的 IP 地址。
policy_name 在 Citrix Gateway 上配置的 EPA 扫描策略名称。
country 检测到用户活动的国家/地区。
city 检测到用户活动的城市。
region 检测到用户活动的地区。
cs_vserver_name 内容切换虚拟服务器的名称。
device_os 用户设备的操作系统。
security_expression 在 Citrix Gateway 上配置的安全表达式。
vpn_vserver_name Citrix Gateway 虚拟服务器的名称。
vserver_fqdn Citrix Gateway 虚拟服务器的 FQDN。

过多的身份验证失败风险指示器架构

指示器摘要架构
  {
    "tenant_id": "demo_tenant",
    "indicator_id": 101,
    "indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Excessive authentication failures",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/”,
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2017-12-21T07:00:00Z",
      "relevant_event_type": "Logon Failure"
    }
  }
<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 101,
    "indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2017-12-21T07:10:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo-user",
    "version": 2,
    "event_description": "Bad (format) password passed to nsaaad",
    "authentication_stage": "Secondary",
    "authentication_type": "LDAP",
    "auth_server_ip": "10.xxx.x.xx",
    "client_ip": "24.xxx.xxx.xx",
    "gateway_ip": "24.xxx.xxx.xx",
    "vserver_fqdn": "demo-fqdn.citrix.com",
    "vpn_vserver_name": "demo_vpn_vserver",
    "cs_vserver_name": "demo_cs_vserver",
    "gateway_domain_name": "xyz",
    "country": "United States",
    "region": "California",
    "city": "San Jose",
    "nth_failure": 5
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及 Excessive authentication failure (身份验证失败过多) 的事件详细信息架构。

字段名称 说明
relevant_event_type 指示事件的类型,例如登录失败。
event_description 描述身份验证失败事件(如密码不正确)的原因。
authentication_stage 指示身份验证阶段是主要、次要还是第三阶段。
authentication_type 指示身份验证的类型,例如 LDAP、Local 或 OAuth。
auth_server_ip 身份验证服务器的 IP 地址。
gateway_domain_name Citrix Gateway 的域名。
gateway_ip Citrix Gateway 的 IP 地址。
cs_vserver_name 内容切换虚拟服务器的名称。
vpn_vserver_name Citrix Gateway 虚拟服务器的名称。
vserver_fqdn Citrix Gateway 虚拟服务器的 FQDN。
nth_failure 用户身份验证失败的次数。
country 检测到用户活动的国家/地区。
city 检测到用户活动的城市。
region 检测到用户活动的地区。

不可能旅行风险指示器

指示器摘要架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "111",
    "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Impossible travel",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Impossible travel",
      "distance": 7480.44718,
      "observation_start_time": "2020-06-06T12:00:00Z",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
      "historical_observation_period_in_days": 30
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "111",
    "indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
    "pair_id": 2,
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 1,
    "timestamp": "2020-06-06T05:05:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "client_ip": "95.xxx.xx.xx",
    “ip_organization”: “global telecom ltd”,
    “ip_routing_type”: “mobile gateway”,
    "country": "Norway",
    "region": "Oslo",
    "city": "Oslo",
    "latitude": 59.9139,
    "longitude": 10.7522,
    "device_os": "Linux OS",
    "device_browser": "Chrome 62.0.3202.94"
  }

<!--NeedCopy-->

下表描述了特定于 Impossible travel 的汇总架构和事件详细信息架构的字段名称。

字段名称 说明
distance 与不可能旅行相关的事件之间的距离 (km)。
historical_logon_locations 在观察期间,用户访问的位置以及每个位置被访问的次数。
historical_observation_period_in_days 每个位置都会受到 30 天的监控。
relevant_event_type 指示事件的类型,例如 logon。
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。
country 用户登录的国家/地区。
city 用户登录的城市。
region 指示用户登录的区域。
latitude 指示用户登录位置的纬度。
longitude 指示用户登录位置的经度。
device_browser 用户使用的 Web 浏览器。
device_os 用户设备的操作系统。
ip_organization 正在注册客户端 IP 地址的组织
ip_routing_type 客户端 IP 路由类型

从可疑 IP 风险指示器架构登录

指示器摘要架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 102,
    "indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "data_source_id": 1,
    "timestamp": "2019-10-10T10:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 0.91,
    "indicator_category": "Compromised users",
    "indicator_name": "Logon from suspicious IP",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Logon",
      "client_ip": "1.0.xxx.xx",
      "observation_start_time": "2019-10-10T10:00:00Z",
      "suspicion_reasons": "brute_force|external_threat"
    }
  }
<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 102,
    "indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "data_source_id": 1,
    "timestamp": "2019-10-10T10:11:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "suspicion_reasons": "external_threat",
    "gateway_ip": "gIP1",
    "client_ip": "128.0.xxx.xxx",
    "country": "Sweden",
    "city": "Stockholm",
    "region": "Stockholm",
    "webroot_reputation": 14,
    "webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
    "device_os": "Windows OS",
    "device_browser": "Chrome"
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及 Login from a suspicious IP 的事件详细信息架构。

字段名称 说明
suspicious_reasons 将 IP 地址识别为可疑的原因。
webroot_reputation 威胁情报提供商 Webroot 提供的 IP 信誉索引。
webroot_threat_categories 威胁情报提供商 Webroot 为可疑 IP 识别的威胁类别。
device_os 用户设备的操作系统。
device_browser 使用的 Web 浏览器。
country 检测到用户活动的国家/地区。
city 检测到用户活动的城市。
region 检测到用户活动的地区。

异常身份验证失败风险指示器架构

指示器摘要架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 109,
    "indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2020-04-01T06:44:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Unusual authentication failure",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Logon Failure",
      "observation_start_time": "2020-04-01T05:45:00Z"
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 109,
    "indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Logon-Failure-Based Risk Indicators",
      "id": 3 },
    "data_source_id": 1,
    "timestamp": "2020-04-01T06:42:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "event_description": "Success",
    "authentication_stage": "Secondary",
    "authentication_type": "LDAP",
    "client_ip": "99.xxx.xx.xx",
    "country": "United States",
    "city": "San Jose",
    "region": "California",
    "device_os": "Windows OS ",
    "device_browser": "Chrome",
    "is_risky": "false"
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及 Unusual authentication failure (异常身份验证失败) 的事件详细信息架构。

字段名称 说明
relevant_event_type 指示事件的类型,例如登录失败。
event_description 指示登录是成功还是失败
authentication_stage 指示身份验证阶段是主要、次要还是第三阶段。
authentication_type 指示身份验证的类型,例如 LDAP、Local 或 OAuth。
is_risky 对于成功登录,is_risky值为 false。 对于不成功的登录,is_risky 值为 true。
device_os 用户设备的操作系统。
device_browser 用户使用的 Web 浏览器。
country 检测到用户活动的国家/地区。
city 检测到用户活动的城市。
region 检测到用户活动的地区。

可疑登录风险指示器

指示器摘要架构
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "110",
    "indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
    "indicator_category_id": 3,
    "indicator_vector": [
      {
        "name": "Location-Based Risk Indicators",
        "id": 2
      },
      {
        "name": "IP-Based Risk Indicators",
        "id": 4
      },
      {
        "name": "Other Risk Indicators",
        "id": 7
      }
    ],
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 0.71,
    "indicator_category": "Compromised users",
    "indicator_name": "Suspicious logon",
    "severity": "medium",
    "data_source": "Citrix Gateway",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "observation_start_time": "2020-06-06T12:00:00Z",
      "relevant_event_type": "Logon",
      "event_count": 1,
      "historical_observation_period_in_days": 30,
      "country": "United States",
      "region": "Florida",
      "city": "Miami",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"New York\",\"city\":\"New York City\",\"latitude\":40.7128,\"longitude\":-74.0060,\"count\":9}]",
      "user_location_risk": 75,
      "device_id": "",
      "device_os": "Windows OS",
      "device_browser": "Chrome",
      "user_device_risk": 0,
      "client_ip": "99.xxx.xx.xx",
      "user_network_risk": 75,
      "webroot_threat_categories": "Phishing",
      "suspicious_network_risk": 89
    }
  }


<!--NeedCopy-->
指示器事件详细信息架构
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "110",
    "indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
    "indicator_category_id": 3,
    "indicator_vector": [
      {
        "name": "Location-Based Risk Indicators",
        "id": 2
      },
      {
        "name": "IP-Based Risk Indicators",
        "id": 4
      },
      {
        "name": "Other Risk Indicators",
        "id": 7
      }
    ],
    "data_source_id": 1,
    "timestamp": "2020-06-06T12:08:40Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "country": "United States",
    "region": "Florida",
    "city": "Miami",
    "latitude": 25.7617,
    "longitude": -80.1918,
    "device_browser": "Chrome",
    "device_os": "Windows OS",
    "device_id": "NA",
    "client_ip": "99.xxx.xx.xx"
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及 Suspicious logon 的事件详细信息架构。

字段名称 说明
historical_logon_locations 在观察期间,用户访问的位置以及每个位置被访问的次数。
historical_observation_period_in_days 每个位置都会受到 30 天的监控。
relevant_event_type 指示事件的类型,例如 logon。
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。
occurrence_event_type 指示用户事件类型,例如 account logon。
country 用户登录的国家/地区。
city 用户登录的城市。
region 指示用户登录的区域。
latitude 指示用户登录位置的纬度。
longitude 指示用户登录位置的经度。
device_browser 用户使用的 Web 浏览器。
device_os 用户设备的操作系统。
device_id 用户使用的设备的名称。
user_location_risk 指示用户登录位置的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100
user_device_risk 指示用户登录的设备的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100
user_network_risk 指示用户从中登录的网络或子网的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100
suspicious_network_risk 指示基于 Webroot IP 威胁情报源的 IP 威胁级别。 低威胁级别:0–69,中威胁级别:70–89,高威胁级别:90–100
webroot_threat_categories 指示根据 Webroot IP 威胁情报源从 IP 地址检测到的威胁类型。 威胁类别可以是垃圾邮件来源、Windows 漏洞、Web 攻击、僵尸网络、扫描程序、拒绝服务、信誉、网络钓鱼、代理、未指定、移动威胁和 Tor 代理

Citrix DaaS 和 Citrix Virtual Apps and Desktops 风险指示器架构

不可能旅行风险指示器

指示器摘要架构
  {
    "tenant_id": "demo_tenant",
    "indicator_id": "313",
    "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 3,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Compromised users",
    "indicator_name": "Impossible travel",
    "severity": "medium",
    "data_source": "Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Impossible travel",
      "distance": 7480.44718,
      "observation_start_time": "2020-06-06T12:00:00Z",
      "historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
      "historical_observation_period_in_days": 30
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": "313",
    "indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
    "pair_id": 2,
    "indicator_category_id": 3,
    "indicator_vector": {
      "name": "Location-Based Risk Indicators",
      "id": 2
    },
    "data_source_id": 3,
    "timestamp": "2020-06-06T05:05:00Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "occurrence_event_type": "Account.Logon",
    "client_ip": "95.xxx.xx.xx",
    “ip_organization”: “global telecom ltd”,
    “ip_routing_type”: “mobile gateway”,
    "country": "Norway",
    "region": "Oslo",
    "city": "Oslo",
    "latitude": 59.9139,
    "longitude": 10.7522,
    "device_id": "device1",
    "receiver_type": "XA.Receiver.Linux",
    "os": "Linux OS",
    "browser": "Chrome 62.0.3202.94"
  }

<!--NeedCopy-->

下表描述了特定于 Impossible travel 的汇总架构和事件详细信息架构的字段名称。

字段名称 说明
distance 与不可能旅行相关的事件之间的距离 (km)。
historical_logon_locations 在观察期间,用户访问的位置以及每个位置被访问的次数。
historical_observation_period_in_days 每个位置都会受到 30 天的监控。
relevant_event_type 指示事件的类型,例如 logon。
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。
country 用户登录的国家/地区。
city 用户登录的城市。
region 指示用户登录的区域。
latitude 指示用户登录位置的纬度。
longitude 指示用户登录位置的经度。
browser 用户使用的 Web 浏览器。
os 用户设备的操作系统。
device_id 用户使用的设备的名称。
receiver_type 用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver 的类型。
ip_organization 正在注册客户端 IP 地址的组织
ip_routing_type 客户端 IP 路由类型

潜在数据泄露风险指示器

指示器摘要架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 303,
    "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
    "indicator_category_id": 1,
    "indicator_vector": {
      "name": "Data-Based Risk Indicators",
      "id": 5 },
    "data_source_id": 3,
    "timestamp": "2018-04-02T10:59:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "risk_probability": 1,
    "indicator_category": "Data exfiltration",
    "indicator_name": "Potential data exfiltration",
    "severity": "low",
    "data_source": "Citrix Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "indicator_type": "builtin",
    "occurrence_details": {
      "relevant_event_type": "Download/Print/Copy",
      "observation_start_time": "2018-04-02T10:00:00Z",
      "exfil_data_volume_in_bytes": 1172000
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构

  {
    "tenant_id": "demo_tenant",
    "indicator_id": 303,
    "indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
    "indicator_category_id": 1,
    "indicator_vector": {
      "name": "Data-Based Risk Indicators",
      "id": 5 },
    "data_source_id": 3,
    "timestamp": "2018-04-02T10:57:36Z",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "demo_user",
    "version": 2,
    "occurrence_event_type": "App.SaaS.Clipboard",
    "file_size_in_bytes": 98000,
    "file_type": "text",
    "device_id": "dvc5",
    "receiver_type": "XA.Receiver.Windows",
    "app_url": "https://www.citrix.com",
    "client_ip": "10.xxx.xx.xxx",
    "entity_time_zone": "Pacific Standard Time"
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段以及潜在数据泄露的事件详细信息架构。

字段名称 说明
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。
relevant_event_type 指示用户活动,例如下载、打印或复制数据。
exfil_data_volume_in_bytes 数据泄露量。
occurrence_event_type 指示数据泄露是如何发生的,例如 SaaS 应用程序中的剪贴板操作。
file_size_in_bytes 文件的大小。
file_type 文件类型。
device_id 用户设备的 ID。
receiver_type 用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver。
app_url 用户访问的应用程序的 URL。
entity_time_zone 用户的时区。

可疑登录风险指示器架构

指示器摘要架构
  {
    "tenant_id": "tenant_1",
    "indicator_id": "312",
    "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
    "indicator_category_id": 3,
    "indicator_vector":
    [
      {
        "name": "Other Risk Indicators",
        "id": 7
      },
      {
        "name":"Location-Based Risk Indicators",
        "id":2
      },
      {
        "name":"IP-Based Risk Indicators",
        "id":4
      },
      {
        "name": "Device-Based Risk Indicators",
        "id": 1
      },
    ],
    "data_source_id": 3,
    "timestamp": "2020-06-06T12:14:59Z",
    "event_type": "indicatorSummary",
    "entity_type": "user",
    "entity_id": "user2",
    "version": 2,
    "risk_probability": 0.78,
    "indicator_category": "Compromised users",
    "indicator_name": "Suspicious logon",
    "severity": "medium",
    "data_source": "Citrix Apps and Desktops",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "indicator_type": "builtin",
    "occurrence_details":
    {
      "user_location_risk": 0,
      "city": "Some_city",
      "observation_start_time": "2020-06-06T12:00:00Z",
      "event_count": 1,
      "user_device_risk": 75,
      "country": "United States",
      "device_id": "device2",
      "region": "Some_Region",
      "client_ip": "99.xx.xx.xx",
      "webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
      "historical_logon_locations": "[{\"country\":\"United States\",\"latitude\":45.0,\"longitude\":45.0,\"count\":12},{\"country\":\"United States\",\"region\":\"Some_Region_A\",\"city\":\"Some_City_A\",\"latitude\":0.0,\"longitude\":0.0,\"count\":8}]",
      "relevant_event_type": "Logon",
      "user_network_risk": 100,
      "historical_observation_period_in_days": 30,
      "suspicious_network_risk": 0
    }
  }

<!--NeedCopy-->
指示器事件详细信息架构
  {
    "tenant_id": "tenant_1",
    "indicator_id": "312",
    "indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
    "indicator_category_id": 3,
    "indicator_vector":
    [
      {
        "name": "Other Risk Indicators",
        "id": 7
      },
      {
        "name":"Location-Based Risk Indicators",
        "id":2
      },
      {
        "name":"IP-Based Risk Indicators",
        "id":4
      },
      {
        "name": "Device-Based Risk Indicators",
        "id": 1
      },
    ],
    "data_source_id": 3,
    "timestamp": "2020-06-06 12:02:30",
    "event_type": "indicatorEventDetails",
    "entity_type": "user",
    "entity_id": "user2",
    "version": 2,
    "occurrence_event_type": "Account.Logon",
    "city": "Some_city",
    "country": "United States",
    "region": "Some_Region",
    "latitude": 37.751,
    "longitude": -97.822,
    "browser": "Firefox 1.3",
    "os": "Windows OS",
    "device_id": "device2",
    "receiver_type": "XA.Receiver.Chrome",
    "client_ip": "99.xxx.xx.xx"
  }

<!--NeedCopy-->

下表描述了特定于摘要架构的字段名称以及 Suspicious logon 的事件详细信息架构。

字段名称 说明
historical_logon_locations 在观察期间,用户访问的位置以及每个位置被访问的次数。
historical_observation_period_in_days 每个位置都会受到 30 天的监控。
relevant_event_type 指示事件的类型,例如 logon。
observation_start_time Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。
occurrence_event_type 指示用户事件类型,例如 account logon。
country 用户登录的国家/地区。
city 用户登录的城市。
region 指示用户登录的区域。
latitude 指示用户登录位置的纬度。
longitude 指示用户登录位置的经度。
browser 用户使用的 Web 浏览器。
os 用户设备的操作系统。
device_id 用户使用的设备的名称。
receiver_type 用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver 的类型。
user_location_risk 指示用户登录位置的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100
user_device_risk 指示用户登录的设备的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100
user_network_risk 指示用户从中登录的网络或子网的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100
suspicious_network_risk 指示基于 Webroot IP 威胁情报源的 IP 威胁级别。 低威胁级别:0–69,中威胁级别:70–89,高威胁级别:90–100
webroot_threat_categories 指示根据 Webroot IP 威胁情报源从 IP 地址检测到的威胁类型。 威胁类别可以是垃圾邮件来源、Windows 漏洞、Web 攻击、僵尸网络、扫描程序、拒绝服务、信誉、网络钓鱼、代理、未指定、移动威胁和 Tor 代理

Microsoft Active Directory 指示器

指示器摘要架构

  {
    "data_source": "Microsoft Graph Security",
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised users",
    "indicator_id": 1000,
    "indicator_name": "MS Active Directory Indicator",
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "indicator_type": "builtin",
    "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
    "occurrence_details": {},
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-01-27T16:03:46Z",
    "ui_link": "https://analytics-daily.cloud.com/user/",
    "version": 2
  }

<!--NeedCopy-->

指示器事件详细信息架构

  {
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorEventDetails",
    "indicator_id": 1000,
    "indicator_vector": {
      "name": "IP-Based Risk Indicators",
      "id": 4 },
    "indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-01-27T16:03:46Z",
    "version": 2
  }

<!--NeedCopy-->

自定义风险指示器架构

以下部分介绍了自定义风险指示器的架构。

注意:

目前,Citrix Analytics 将与 Citrix DaaS 和 Citrix Virtual Apps and Desktops 的自定义风险指示器相关的数据发送到您的 SIEM 服务。

下表描述了自定义风险指示器摘要架构的字段名称。

字段名称 说明
data source 将数据发送到 Citrix Analytics for Security 的产品。 例如:Citrix Secure Private Access、Citrix Gateway 和 Citrix Apps and Desktops。
data_source_id 与数据源关联的 ID。 ID 1 = Citrix Gateway,ID 2 = Citrix Endpoint Management,ID 3 = Citrix Apps and Desktops,ID 4 = Citrix Secure Private Access
entity_id 与存在风险的实体关联的 ID。
entity_type 有风险的实体。 在本例中,实体是用户。
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是风险指示器的摘要。
indicator_category 指示风险指示器的类别。 风险指标分为以下风险类别之一 - 端点受损、用户受损、数据泄露或内部威胁。
indicator_id 与风险指示器关联的唯一 ID。
indicator_category_id 与风险指示器类别关联的 ID。 ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受损用户,ID 4 = 受损终端
indicator_name 风险指示器的名称。 对于自定义风险指示器,此名称是在创建指示器时定义的。
indicator_type 指示风险指示器是默认(内置)还是自定义。
indicator_uuid 与风险指示器实例关联的唯一 ID。
occurrence_details 有关风险指示器触发条件的详细信息。
pre_configured 指示自定义风险指示器是否已预配置。
risk_probability 指示与用户事件关联的风险几率。 该值从 0 到 1.0 不等。 对于自定义风险指示器,risk_probability始终为 1.0,因为它是基于策略的指示器。
severity 指示风险的严重性。 它可以是低、中或高。
tenant_id 客户的唯一身份。
timestamp 触发风险指示器的日期和时间。
ui_link 指向 Citrix Analytics 用户界面上的用户时间线视图的链接。
version 已处理数据的 schema 版本。 当前 Schema 版本为 2。

下表描述了自定义风险指示器事件详细信息架构中通用的字段名称。

字段名称 说明
data_source_id 与数据源关联的 ID。 ID 1 = Citrix Gateway,ID 2 = Citrix Endpoint Management,ID 3 = Citrix Apps and Desktops,ID 4 = Citrix Secure Private Access
indicator_category_id 与风险指示器类别关联的 ID。 ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受损用户,ID 4 = 受损终端
event_type 发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是风险指示器事件的详细信息。
tenant_id 客户的唯一身份。
entity_id 与存在风险的实体关联的 ID。
entity_type 存在风险的实体。 在本例中,它是用户。
indicator_id 与风险指示器关联的唯一 ID。
indicator_uuid 与风险指示器实例关联的唯一 ID。
timestamp 触发风险指示器的日期和时间。
version 已处理数据的 schema 版本。 当前 Schema 版本为 2。
event_id 与 user 事件关联的 ID。
occurrence_event_type 指示用户事件的类型,例如会话登录、会话启动和帐户登录。
product 指示 Citrix Workspace 应用程序的类型,例如适用于 Windows 的 Citrix Workspace 应用程序。
client_ip 用户设备的 IP 地址。
session_user_name 与 Citrix Apps and Desktops 会话关联的用户名。
city 检测到用户活动的城市名称。
country 检测到用户活动的国家/地区名称。
device_id 用户使用的设备的名称。
os_name 用户设备上安装的操作系统。 有关更多信息,请参阅 应用程序和桌面的自助搜索.
os_version 用户设备上安装的操作系统版本。 有关更多信息,请参阅 应用程序和桌面的自助搜索.
os_extra_info 与用户设备上安装的操作系统关联的额外详细信息。 有关更多信息,请参阅 应用程序和桌面的自助搜索.

Citrix DaaS 和 Citrix Virtual Apps and Desktops 的自定义风险指示器

指示器摘要架构

  {
    "data_source": " Citrix Apps and Desktops",
    "data_source_id": 3,
    "entity_id": "demo_user",
    "entity_type": "user",
    "event_type": "indicatorSummary",
    "indicator_category": "Compromised users",
    "indicator_category_id": 3,
    "indicator_id": "ca97a656ab0442b78f3514052d595936",
    "indicator_name": "Demo_user_usage",
    "indicator_type": "custom",
    "indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
    "occurrence_details": {
      "condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
    "pre_configured": "N",
    "risk_probability": 1.0,
    "severity": "low",
    "tenant_id": "demo_tenant",
    "timestamp": "2021-02-10T14:47:25Z",
    "ui_link": "https://analytics.cloud.com/user/ ",
    "version": 2
  }

<!--NeedCopy-->
会话登录事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.Logon",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "SYD04-MS1-S102",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  }

<!--NeedCopy-->

下表描述了特定于会话登录事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 已启动的应用程序或桌面的名称。
launch_type 指示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 活动会话的 GUID。
会话启动事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.Launch",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
  }

<!--NeedCopy-->

下表描述了特定于会话启动事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 已启动的应用程序或桌面的名称。
launch_type 指示应用程序或桌面。
帐户登录事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Account.Logon",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
  }

<!--NeedCopy-->

下表描述了特定于帐户登录事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 已启动的应用程序或桌面的名称。
会话结束事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Session.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
  }

<!--NeedCopy-->

下表描述了特定于会话结束事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 已启动的应用程序或桌面的名称。
launch_type 指示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 活动会话的 GUID。
应用程序启动事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.Start",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "module_file_path": "/root/folder1/folder2/folder3"
  }

<!--NeedCopy-->

下表描述了特定于应用程序启动事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 已启动的应用程序或桌面的名称。
launch_type 指示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 活动会话的 GUID。
module_file_path 正在使用的应用程序的路径。
应用程序结束事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "app_name": "notepad",
    "launch_type": "Application",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "module_file_path": "/root/folder1/folder2/folder3"
  }

<!--NeedCopy-->

下表描述了特定于应用程序结束事件的事件详细信息架构的字段名称。

字段名称 说明
app_name 已启动的应用程序或桌面的名称。
launch_type 指示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 活动会话的 GUID。
module_file_path 正在使用的应用程序的路径。
文件下载事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "File.Download",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "file_download_file_name": "File5.txt",
    "file_download_file_path": "/root/folder1/folder2/folder3",
    "file_size_in_bytes": 278,
    "launch_type": "Desktop",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "device_type": "USB"
  }

<!--NeedCopy-->

下表描述了特定于文件下载事件的事件详细信息架构的字段名称。

字段名称 说明
file_download_file_name 下载文件的名称。
file_download_file_path 下载文件的目标路径。
launch_type 指示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 活动会话的 GUID。
device_type 指示下载文件的设备类型。
打印事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "Printing",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "printer_name": "Test-printer",
    "launch_type": "Desktop",
    "domain": "test_domain",
    "server_name": "test_server",
    "session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
    "job_details_size_in_bytes": 454,
    "job_details_filename": "file1.pdf",
    "job_details_format": "PDF"
  }

<!--NeedCopy-->

下表描述了特定于打印事件的事件详细信息架构的字段名称。

字段名称 说明
printer_name 用于打印作业的打印机的名称。
launch_type 指示应用程序或桌面。
domain 发送请求的服务器的域名。
server_name 服务器的名称。
session_guid 活动会话的 GUID。
job_details_size_in_bytes 打印作业的大小,例如文件或文件夹。
job_details_filename 打印文件的名称。
job_details_format 打印作业的格式。
应用程序 SaaS 启动事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.SaaS.Launch",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "launch_type": "Desktop",
  }

<!--NeedCopy-->

下表描述了特定于应用程序 SaaS 启动事件的事件详细信息架构的字段名称。

字段名称 说明
launch_type 指示应用程序或桌面。
应用程序 SaaS 结束事件的指示器事件详细信息架构
  {
    "event_type": "indicatorEventDetails",
    "data_source_id": 3,
    "indicator_category_id": 3,
    "tenant_id": "demo_tenant",
    "entity_id": "demo_user",
    "entity_type": "user",
    "indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
    "timestamp": "2021-03-19T10:08:05Z",
    "indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
    "version": 2,
    "event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
    "occurrence_event_type": "App.SaaS.End",
    "product": "XA.Receiver.Windows",
    "client_ip": "103.xx.xxx.xxx",
    "session_user_name": "user01",
    "city": "Mumbai",
    "country": "India",
    "device_id": "5-Synthetic_device",
    "os_name": "Windows NT 6.1",
    "os_version": "7601",
    "os_extra_info": "Service Pack 1",
    "launch_type": "Desktop",
  }

<!--NeedCopy-->

下表描述了特定于应用程序 SaaS 结束事件的事件详细信息架构的字段名称。

字段名称 说明
launch_type 指示应用程序或桌面。

数据源事件

此外,您还可以配置数据导出功能,以从启用了 Citrix Analytics for Security 的产品数据源导出用户事件。 当您在 Citrix 环境中执行任何活动时,将生成数据源事件。 导出的事件是自助服务视图中提供的未处理的实时用户和产品使用情况数据。 这些事件中包含的元数据可以进一步用于更深入的威胁分析、创建新的仪表板,并与安全和 IT 基础设施中的其他非 Citrix 数据源事件相关联。

目前,Citrix Analytics for Security 将用户事件发送到 Citrix Virtual Apps and Desktops 数据源的 SIEM。

数据源事件的架构详细信息

Citrix Virtual Apps and Desktops 事件

当用户使用虚拟应用程序或虚拟桌面时,Citrix Analytics for Security 会实时接收用户事件。 有关更多信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源. 您可以查看以下与 SIEM 中的 Citrix Virtual Apps and Desktops 关联的用户事件:

  • 所有事件类型
  • 帐户登录
  • 应用程序 (start, launch, end)
  • 剪贴板
  • 文件 (打印、下载)
  • HDX 会话源
  • 打印
  • 会话(登录、启动、结束、终止)
  • VDA 数据
  • VDA 流程创建

有关事件及其属性的更多信息,请参阅 Virtual Apps and Desktops 的自助搜索.

您可以查看哪些事件类型已启用并流向 SIEM。 您可以配置或删除适用于租户的事件类型,然后单击 保存更改 按钮保存您的设置。

数据源事件

Secure Private Access 事件

当用户通过 Citrix Secure Private Access(例如 Citrix Workspace 应用程序、Citrix Secure Access 客户端或 Citrix Enterprise Browser)访问应用程序时,Citrix Analytics for Security 中会实时接收用户事件。 您可以在 SIEM 中查看与 Secure Private Access 关联的以下用户事件:

  • 所有事件类型
  • 帐户登录
  • 应用程序(连接、启动、结束、错误)
  • 文件 (打印、下载)
  • 策略评估
  • 剪贴板
  • 会话 (连接、启动)
  • Url
  • 用户登录
  • SPA 服务日志

Secure Private Access 事件

设备状态服务事件

当 Citrix Endpoint Analysis (EPA) 客户端在尝试访问 Citrix Virtual Apps and Desktops 或 Citrix Secure Private Access 资源的设备上执行态势检查时,将生成用户事件。 您可以在 SIEM 中查看与 Device Posture 服务关联的以下用户事件:

  • 所有事件类型
  • 设备状态评估

设备状态服务事件

您可以查看为租户启用的事件类型,并确保它们流向 SIEM。 您可以配置或删除适用的事件类型,然后单击 保存更改 按钮应用您的设置。

SIEM 的 Citrix Analytics 数据导出格式