SIEM 的 Citrix Analytics 数据导出格式
Citrix Analytics for Security 允许您与安全信息和事件管理 (SIEM) 服务集成。 此集成使 Citrix Analytics for Security 能够将数据发送到您的 SIEM 服务,并帮助您深入了解组织的安全风险状况。
目前,您可以将 Citrix Analytics for Security 与以下 SIEM 服务集成:
这 数据导出选项 现已在全球提供 设置. 要查看数据源事件,请导航到 设置 > 数据导出 > 数据源事件.
Citrix Analytics for Security 发送到您的 SIEM 服务的风险洞察数据有两种类型:
- 风险洞察事件 (默认导出)
-
数据源事件(可选导出)
SIEM 的风险洞察数据
完成账户配置和 SIEM 设置后,默认数据集(风险洞察事件)开始流入您的 SIEM 部署。 风险洞察数据集包括用户风险评分事件、用户配置文件事件和风险指示器警报。 这些是由 Citrix Analytics 机器学习算法和用户行为分析通过利用用户事件生成的。
用户的风险洞察数据集包括以下内容:
- 风险评分变化:表示用户的风险评分发生变化。 当用户的风险评分变化等于或大于 3 并且此变化以任何速率增加或下降超过 10% 时,数据将发送到 SIEM 服务。
- 风险指示器摘要:为用户触发的风险指示器的详细信息。
- 风险指示器事件详细信息:与风险指示器关联的用户事件。 Citrix Analytics 最多向您的 SIEM 服务发送每个风险指示器出现的 1000 个事件详细信息。 这些事件按发生时间顺序发送。
- 用户风险评分事件:用户的当前风险评分。 Citrix Analytics for Security 每 12 小时将此数据发送到 SIEM 服务。
-
用户配置文件:用户配置文件数据可分为:
- 用户应用:用户已启动和使用的应用程序。 Citrix Analytics for Security 每 12 小时从 Citrix Virtual Apps 中检索此数据并将其发送到 SIEM 服务。
- 用户设备:与用户关联的设备。 Citrix Analytics for Security 从 Citrix Virtual Apps 和 Citrix Endpoint Management 中检索此数据,并每 12 小时将其发送到 SIEM 服务。
- 用户位置:上次检测到用户所在的城市。 Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中检索此数据。 Citrix Analytics for Security 每 12 小时将此信息发送到您的 SIEM 服务。
- 用户客户端 IP:用户设备的客户端 IP 地址。 Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中检索此数据,并每 12 小时将此信息发送到您的 SIEM 服务。
如果您只能查看但无法配置数据源事件首选项,则您没有必要的管理员权限。 要了解更多信息,请参阅 管理 Security Analytics 的管理员角色.
在以下示例中, 保存更改 按钮已禁用。 默认情况下,风险洞察事件处于启用状态。
风险见解事件的架构详细信息
以下部分介绍了 Citrix Analytics for Security 生成的已处理数据的架构。
注意:
以下架构示例中显示的字段值仅用于表示目的。 实际字段值因用户配置文件、用户事件和风险指示器而异。
下表描述了所有用户配置文件数据、用户风险评分和风险评分更改的架构中通用的字段名称。
| 字段名称 | 说明 |
|---|---|
entity_id |
与实体关联的标识。 在本例中,实体是用户。 |
entity_type |
有风险的实体。 在本例中,实体是用户。 |
event_type |
发送到 SIEM 服务的数据类型。 例如:用户的位置、用户的数据使用情况或用户的设备访问信息。 |
tenant_id |
客户的唯一身份。 |
timestamp |
最近用户活动的日期和时间。 |
version |
已处理数据的 schema 版本。 当前 Schema 版本为 2。 |
用户配置文件数据架构
用户位置架构
{
"tenant_id": "demo_tenant", "entity_id": "demo_user", "entity_type": "user", "timestamp": "2021-02-10T15:00:00Z", "event_type": "userProfileLocation", "country": "India", "city": "Bengaluru", "cnt": 4, "version": 2
}
<!--NeedCopy-->
用户位置的字段描述
| 字段名称 | 说明 |
|---|---|
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是用户的位置。 |
country |
用户登录的国家/地区。 |
city |
用户登录的城市。 |
cnt |
过去 12 小时内访问该位置的次数。 |
用户客户端 IP 架构
{
"client_ip": "149.147.136.10",
"cnt": 3,
"entity_id": "r2_up_user_1",
"entity_type": "user",
"event_type": "userProfileClientIps",
"tenant_id": "xaxddaily1",
"timestamp": "2023-09-18T10:45:00Z",
"version": 2
}
<!--NeedCopy-->
客户端 IP 的字段描述
| 字段名称 | 说明 |
|---|---|
client_ip |
用户设备的 IP 地址。 |
cnt |
用户在过去 12 小时内访问设备的次数。 |
entity_id |
与实体关联的标识。 在本例中,实体是用户。 |
entity_type |
有风险的实体。 在这种情况下,事件类型是用户的客户端 IP。 |
event_type |
发送到 SIEM 服务的数据类型。 例如:用户的位置、用户的数据使用情况或用户的设备访问信息。 |
tenant_id |
客户的唯一身份。 |
timestamp |
最近用户活动的日期和时间.. |
version |
已处理数据的 schema 版本。 当前 Schema 版本为 2。 |
用户数据使用架构
{
"data_usage_bytes": 87555255, "deleted_file_cnt": 0, "downloaded_bytes": 87555255, "downloaded_file_cnt": 5, "entity_id": "demo@demo.com", "entity_type": "user", "event_type": "userProfileUsage", "shared_file_cnt": 0, "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "uploaded_bytes": 0, "uploaded_file_cnt": 0, "version": 2
}
<!--NeedCopy-->
用户数据使用情况的字段描述
| 字段名称 | 说明 |
|---|---|
data_usage_bytes |
用户使用的数据量 (以字节为单位)。 它是用户已下载和已上传卷的汇总。 |
deleted_file_cnt |
用户删除的文件数。 |
downloaded_bytes |
用户下载的数据量。 |
downloaded_file_count |
用户下载的文件数。 |
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是用户的使用情况配置文件。 |
shared_file_count |
用户共享的文件数。 |
uploaded_bytes |
用户上传的数据量。 |
uploaded_file_cnt |
用户上传的文件数。 |
用户设备架构
{
"cnt": 2, "device": "user1612978536 (Windows)", "entity_id": "demo", "entity_type": "user", "event_type": "userProfileDevice", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T21:00:00Z", "version": 2
}
<!--NeedCopy-->
用户设备的字段描述。
| 字段名称 | 说明 |
|---|---|
cnt |
过去 12 小时内访问设备的次数。 |
device |
设备的名称。 |
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型为用户的设备访问信息。 |
用户应用程序架构
{
"tenant_id": "demo_tenant", "entity_id": "demo", "entity_type": "user", "timestamp": "2021-02-10T21:00:00Z", "event_type": "userProfileApp", "version": 2, "session_domain": "99e38d488136f62f828d4823edd120b4f32d724396a7410e6dd1b0", "user_samaccountname": "testnameeikragz779", "app": "Chromeeikragz779", "cnt": 189
}
<!--NeedCopy-->
用户 app 的字段描述。
| 字段名称 | 说明 |
|---|---|
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型为用户的设备访问信息。 |
session_domain |
用户已登录的会话的 ID。 |
user_samaccountname |
以前版本的 Windows(如 Windows NT 4.0、Windows 95、Windows 98 和 LAN Manager)中的客户端和服务器的登录名。 此名称用于登录到 Citrix StoreFront,也用于登录到远程 Windows 计算机。 |
app |
用户访问的应用程序的名称。 |
cnt |
过去 12 小时内访问应用程序的次数。 |
用户风险评分架构
{
"cur_riskscore": 7, "entity_id": "demo", "entity_type": "user", "event_type": "userProfileRiskscore", "last_update_timestamp": "2021-01-21T16:14:29Z", "tenant_id": "demo_tenant", "timestamp": "2021-02-10T20:45:00Z", "version": 2
}
<!--NeedCopy-->
用户风险评分的字段描述。
| 字段名称 | 说明 |
|---|---|
cur_riskscore |
分配给用户的当前风险评分。 风险评分从 0 到 100 不等,具体取决于与用户活动相关的威胁严重性。 |
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是用户的风险评分。 |
last_update_timestamp |
上次更新用户的风险评分的时间。 |
timestamp |
收集用户风险评分事件并将其发送到 SIEM 服务的时间。 此事件每 12 小时发送到您的 SIEM 服务。 |
风险评分更改架构
示例 1:
{
"alert_message": "Large risk score drop percent since last check", "alert_type": "riskscore_large_drop_pct", "alert_value": -21.73913, "cur_riskscore": 18, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T05:45:00Z", "version": 2
}
<!--NeedCopy-->
示例 2:
{
"alert_message": "Risk score increase since last check", "alert_type": "riskscore_increase", "alert_value": 39.0, "cur_riskscore": 76, "entity_id": "demo_user", "entity_type": "user", "event_type": "riskScoreChange", "tenant_id": "demo_tenant", "timestamp": "2021-02-11T03:45:00Z", "version": 2
}
<!--NeedCopy-->
风险评分更改的字段描述。
| 字段名称 | 说明 |
|---|---|
alert_message |
为风险评分更改显示的消息。 |
alert_type |
指示警报是针对风险评分的增加还是风险评分百分比的显著下降。 当用户的风险评分变化等于或大于 3 并且此变化以任何速率增加或下降超过 10% 时,数据将发送到 SIEM 服务。 |
alert_value |
为风险评分更改分配的数值。 风险评分变化是用户的当前风险评分与之前的风险评分之间的差值。 警报值从 -100 到 100 不等。 |
cur_riskscore |
分配给用户的当前风险评分。 风险评分从 0 到 100 不等,具体取决于与用户活动相关的威胁严重性。 |
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是用户风险评分的变化。 |
timestamp |
检测到用户的风险评分最新更改的日期和时间。 |
风险指示器架构
风险指示器架构由两部分组成:指示器摘要架构和指示器事件详细信息架构。 根据风险指示器,架构中的字段及其值会相应地更改。
下表描述了所有指标摘要架构中通用的字段名称。
| 字段名称 | 说明 |
|---|---|
data source |
将数据发送到 Citrix Analytics for Security 的产品。 例如:Citrix Secure Private Access、Citrix Gateway 和 Citrix Apps and Desktops。 |
data_source_id |
与数据源关联的 ID。 ID 1 = Citrix Gateway,ID 2 = Citrix Endpoint Management,ID 3 = Citrix Apps and Desktops,ID 4 = Citrix Secure Private Access |
entity_type |
有风险的实体。 它可以是用户。 |
entity_id |
与存在风险的实体关联的 ID。 |
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是风险指示器的摘要。 |
indicator_category |
指示风险指示器的类别。 风险指标分为以下风险类别之一 - 端点受损、用户受损、数据泄露或内部威胁。 |
indicator_id |
与风险指示器关联的唯一 ID。 |
indicator_category_id |
与风险指示器类别关联的 ID。 ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受损用户,ID 4 = 受损终端 |
indicator_name |
风险指示器的名称。 对于自定义风险指示器,此名称是在创建指示器时定义的。 |
indicator_type |
指示风险指示器是默认(内置)还是自定义。 |
indicator_uuid |
与风险指示器实例关联的唯一 ID。 |
indicator_vector_name |
指示与风险指示器关联的风险向量。 风险向量是基于设备的风险指标、基于位置的风险指标、基于登录失败的风险指标、基于 IP 的风险指标、基于数据的风险指标、基于文件的风险指标和其他风险指标。 |
indicator_vector_id |
与风险向量关联的 ID。 ID 1 = 基于设备的风险指示器,ID 2 = 基于位置的风险指示器,ID 3 = 基于登录失败的风险指示器,ID 4 = 基于 IP 的风险指示器,ID 5 = 基于数据的风险指示器,ID 6 = 基于文件的风险指示器,ID 7 = 其他风险指示器,ID 999 = 不可用 |
occurrence_details |
有关风险指示器触发条件的详细信息。 |
risk_probability |
指示与用户事件关联的风险几率。 该值从 0 到 1.0 不等。 对于自定义风险指示器,risk_probability始终为 1.0,因为它是基于策略的指示器。 |
severity |
指示风险的严重性。 它可以是低、中或高。 |
tenant_id |
客户的唯一身份。 |
timestamp |
触发风险指示器的日期和时间。 |
ui_link |
指向 Citrix Analytics 用户界面上的用户时间线视图的链接。 |
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
下表描述了所有指示器事件详细信息架构中通用的字段名称。
| 字段名称 | 说明 |
|---|---|
data_source_id |
与数据源关联的 ID。 ID 1 = Citrix Gateway,ID 2 = Citrix Endpoint Management,ID 3 = Citrix Apps and Desktops,ID 4 = Citrix Secure Private Access |
indicator_category_id |
与风险指示器类别关联的 ID。 ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受损用户,ID 4 = 受损终端 |
entity_id |
与存在风险的实体关联的 ID。 |
entity_type |
存在风险的实体。 可以是 user。 |
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是风险指示器事件的详细信息。 |
indicator_id |
与风险指示器关联的唯一 ID。 |
indicator_uuid |
与风险指示器实例关联的唯一 ID。 |
indicator_vector_name |
指示与风险指示器关联的风险向量。 风险向量是基于设备的风险指标、基于位置的风险指标、基于登录失败的风险指标、基于 IP 的风险指标、基于数据的风险指标、基于文件的风险指标和其他风险指标。 |
indicator_vector_id |
与风险向量关联的 ID。 ID 1 = 基于设备的风险指示器,ID 2 = 基于位置的风险指示器,ID 3 = 基于登录失败的风险指示器,ID 4 = 基于 IP 的风险指示器,ID 5 = 基于数据的风险指示器,ID 6 = 基于文件的风险指示器,ID 7 = 其他风险指示器,ID 999 = 不可用 |
tenant_id |
客户的唯一身份。 |
timestamp |
触发风险指示器的日期和时间。 |
version |
已处理数据的 schema 版本。 当前 Schema 版本为 2。 |
client_ip |
用户设备的 IP 地址。 |
注意:
如果整数数据类型字段值不可用,则分配的值为 -999。 例如
“latitude”:-999,“longitude”:-999.如果字符串数据类型字段值不可用,则分配的值为 NA。 例如
“city”: “NA”,“region”: “NA”.
Citrix Secure Private Access 风险指示器架构
尝试访问列入黑名单的 URL 风险指示器架构
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "8f2a39bd-c7c2-5555-a86a-5cfe5b64dfef",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:59:58Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Attempt to access blacklisted URL",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-15T10:44:59Z",
"relevant_event_type": "Blacklisted External Resource Access"
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": 401,
"indicator_uuid": "c421f3f8-33d8-59b9-ad47-715b9d4f65f4",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-15T10:57:21Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "googleads.g.doubleclick.net",
"executed_action": "blocked",
"reason_for_action": "URL Category match",
"client_ip": "157.xx.xxx.xxx"
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段名称以及 Attempt to access the blacklisted URL 的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
executed_action |
应用于列入黑名单的 URL 的操作。 该操作包括 Allow 和 Block。 |
reason_for_action |
对 URL 应用操作的原因。 |
过多的数据下载风险指示器架构
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Excessive data download",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": 403,
"indicator_uuid": "67d21b81-a89a-531e-af0b-c5688c2e9d40",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"downloaded_bytes": 24000
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段名称以及 Excessive data downloads (下载过多数据) 的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
data_volume_in_bytes |
下载的数据量(以字节为单位)。 |
relevant_event_type |
指示用户事件的类型。 |
domain_name |
从中下载数据的域的名称。 |
downloaded_bytes |
下载的数据量(以字节为单位)。 |
异常上传量风险指示器架构
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "4f2a249c-9d05-5409-9c5f-f4c764f50e67",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Insider threats",
"indicator_name": "Unusual upload volume",
"severity": "low",
"data_source": "Citrix Secure Private Access",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2018-03-16T10:00:00Z",
"data_volume_in_bytes": 24000,
"relevant_event_type": "External Resource Access"
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": 402,
"indicator_uuid": "c6abf40c-9b62-5db4-84bc-5b2cd2c0ca5f",
"indicator_category_id": 2,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 4,
"timestamp": "2018-03-16T10:30:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"domain_name": "www.facebook.com",
"client_ip": "157.xx.xxx.xxx",
"uploaded_bytes": 24000
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段名称以及 Unusual upload volume (异常上传卷) 的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
data_volume_in_bytes |
上传的数据量(以字节为单位)。 |
relevant_event_type |
指示用户事件的类型。 |
domain_name |
上传数据的域的名称。 |
uploaded_bytes |
上传的数据量(以字节为单位)。 |
Citrix Endpoint Management 风险指示器架构
检测到越狱或取得 root 权限的设备检测到指示器架构
指示器摘要架构
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 200,
"indicator_name": "Jailbroken / Rooted Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "aa872f86-a991-4219-ad01-2a070b6e633d",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:05Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"indicator_id": 200,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "9aaaa9e1-39ad-4daf-ae8b-2fa2caa60732",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:35Z",
"version": 2
}
<!--NeedCopy-->
检测到已列入黑名单的应用程序的设备
指示器摘要架构
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 201,
"indicator_name": "Device with Blacklisted Apps Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "3ff7bd54-4319-46b6-8b98-58a9a50ae9a7",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T17:49:23Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"indicator_id": 201,
"client_ip": "122.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "743cd13a-2596-4323-8da9-1ac279232894",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T17:50:39Z",
"version": 2
}
<!--NeedCopy-->
检测到未托管的设备
指示器摘要架构
{
"data_source": "Citrix Endpoint Management",
"data_source_id": 2,
"indicator_id": 203,
"indicator_name": "Unmanaged Device Detected",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised endpoints",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_type": "builtin",
"indicator_uuid": "e28b8186-496b-44ff-9ddc-ae50e87bd757",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-13T12:56:30Z",
"ui_link": "https://analytics.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"indicator_id": 203,
"client_ip": "127.xx.xx.xxx",
"data_source_id": 2,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_category_id": 4,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"indicator_uuid": "dd280122-04f2-42b4-b9fc-92a715c907a0",
"tenant_id": "demo_tenant",
"timestamp": "2021-04-09T18:41:30Z",
"version": 2
}
<!--NeedCopy-->
Citrix Gateway 风险指示器架构
EPA 扫描失败风险指示器架构
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "EPA scan failure",
"severity": "low",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"event_description": "Post auth failed, no quarantine",
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "EPA Scan Failure at Logon"
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": 100,
"indicator_uuid": "3c17454c-86f5-588a-a4ac-0342693d8a70",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Other Risk Indicators",
"id": 7 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:12:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Post auth failed, no quarantine",
"gateway_domain_name": "10.102.xx.xx",
"gateway_ip": "56.xx.xxx.xx",
"policy_name": "postauth_act_1",
"client_ip": "210.91.xx.xxx",
"country": "United States",
"city": "San Jose",
"region": "California",
"cs_vserver_name": "demo_vserver",
"device_os": "Windows OS",
"security_expression": "CLIENT.OS(Win12) EXISTS",
"vpn_vserver_name": "demo_vpn_vserver",
"vserver_fqdn": "10.xxx.xx.xx"
}
<!--NeedCopy-->
该表描述了特定于摘要架构的字段名称以及 EPA 扫描失败风险指示器的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
event_description |
描述 EPA 扫描失败的原因,例如身份验证后失败和无隔离组。 |
relevant_event_type |
指示 EPA 扫描失败事件的类型。 |
gateway_domain_name |
Citrix Gateway 的域名。 |
gateway_ip |
Citrix Gateway 的 IP 地址。 |
policy_name |
在 Citrix Gateway 上配置的 EPA 扫描策略名称。 |
country |
检测到用户活动的国家/地区。 |
city |
检测到用户活动的城市。 |
region |
检测到用户活动的地区。 |
cs_vserver_name |
内容切换虚拟服务器的名称。 |
device_os |
用户设备的操作系统。 |
security_expression |
在 Citrix Gateway 上配置的安全表达式。 |
vpn_vserver_name |
Citrix Gateway 虚拟服务器的名称。 |
vserver_fqdn |
Citrix Gateway 虚拟服务器的 FQDN。 |
过多的身份验证失败风险指示器架构
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "4bc0f759-93e0-5eea-9967-ed69de9dd09a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Excessive authentication failures",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/”,
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2017-12-21T07:00:00Z",
"relevant_event_type": "Logon Failure"
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": 101,
"indicator_uuid": "a391cd1a-d298-57c3-a17b-01f159b26b99",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2017-12-21T07:10:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo-user",
"version": 2,
"event_description": "Bad (format) password passed to nsaaad",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"auth_server_ip": "10.xxx.x.xx",
"client_ip": "24.xxx.xxx.xx",
"gateway_ip": "24.xxx.xxx.xx",
"vserver_fqdn": "demo-fqdn.citrix.com",
"vpn_vserver_name": "demo_vpn_vserver",
"cs_vserver_name": "demo_cs_vserver",
"gateway_domain_name": "xyz",
"country": "United States",
"region": "California",
"city": "San Jose",
"nth_failure": 5
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段名称以及 Excessive authentication failure (身份验证失败过多) 的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
relevant_event_type |
指示事件的类型,例如登录失败。 |
event_description |
描述身份验证失败事件(如密码不正确)的原因。 |
authentication_stage |
指示身份验证阶段是主要、次要还是第三阶段。 |
authentication_type |
指示身份验证的类型,例如 LDAP、Local 或 OAuth。 |
auth_server_ip |
身份验证服务器的 IP 地址。 |
gateway_domain_name |
Citrix Gateway 的域名。 |
gateway_ip |
Citrix Gateway 的 IP 地址。 |
cs_vserver_name |
内容切换虚拟服务器的名称。 |
vpn_vserver_name |
Citrix Gateway 虚拟服务器的名称。 |
vserver_fqdn |
Citrix Gateway 虚拟服务器的 FQDN。 |
nth_failure |
用户身份验证失败的次数。 |
country |
检测到用户活动的国家/地区。 |
city |
检测到用户活动的城市。 |
region |
检测到用户活动的地区。 |
不可能旅行风险指示器
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": "111",
"indicator_uuid": "83d68a6d-6588-5b77-9118-8a9e6a5b462b",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 1,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_os": "Linux OS",
"device_browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
下表描述了特定于 Impossible travel 的汇总架构和事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
distance |
与不可能旅行相关的事件之间的距离 (km)。 |
historical_logon_locations |
在观察期间,用户访问的位置以及每个位置被访问的次数。 |
historical_observation_period_in_days |
每个位置都会受到 30 天的监控。 |
relevant_event_type |
指示事件的类型,例如 logon。 |
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
country |
用户登录的国家/地区。 |
city |
用户登录的城市。 |
region |
指示用户登录的区域。 |
latitude |
指示用户登录位置的纬度。 |
longitude |
指示用户登录位置的经度。 |
device_browser |
用户使用的 Web 浏览器。 |
device_os |
用户设备的操作系统。 |
ip_organization |
正在注册客户端 IP 地址的组织 |
ip_routing_type |
客户端 IP 路由类型 |
从可疑 IP 风险指示器架构登录
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "0100e910-561a-5ff3-b2a8-fc556d199ba5",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.91,
"indicator_category": "Compromised users",
"indicator_name": "Logon from suspicious IP",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon",
"client_ip": "1.0.xxx.xx",
"observation_start_time": "2019-10-10T10:00:00Z",
"suspicion_reasons": "brute_force|external_threat"
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": 102,
"indicator_uuid": "4ba77b6c-bac0-5ad0-9b4a-c459a3e2ec33",
"indicator_category_id": 3,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"data_source_id": 1,
"timestamp": "2019-10-10T10:11:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"suspicion_reasons": "external_threat",
"gateway_ip": "gIP1",
"client_ip": "128.0.xxx.xxx",
"country": "Sweden",
"city": "Stockholm",
"region": "Stockholm",
"webroot_reputation": 14,
"webroot_threat_categories": "Windows Exploits|Botnets|Proxy",
"device_os": "Windows OS",
"device_browser": "Chrome"
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段名称以及 Login from a suspicious IP 的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
suspicious_reasons |
将 IP 地址识别为可疑的原因。 |
webroot_reputation |
威胁情报提供商 Webroot 提供的 IP 信誉索引。 |
webroot_threat_categories |
威胁情报提供商 Webroot 为可疑 IP 识别的威胁类别。 |
device_os |
用户设备的操作系统。 |
device_browser |
使用的 Web 浏览器。 |
country |
检测到用户活动的国家/地区。 |
city |
检测到用户活动的城市。 |
region |
检测到用户活动的地区。 |
异常身份验证失败风险指示器架构
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "dc0174c9-247a-5e48-a2ab-d5f92cd83d0f",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:44:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Unusual authentication failure",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Logon Failure",
"observation_start_time": "2020-04-01T05:45:00Z"
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": 109,
"indicator_uuid": "ef4b9830-39d6-5b41-bdf3-84873a77ea9a",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Logon-Failure-Based Risk Indicators",
"id": 3 },
"data_source_id": 1,
"timestamp": "2020-04-01T06:42:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"event_description": "Success",
"authentication_stage": "Secondary",
"authentication_type": "LDAP",
"client_ip": "99.xxx.xx.xx",
"country": "United States",
"city": "San Jose",
"region": "California",
"device_os": "Windows OS ",
"device_browser": "Chrome",
"is_risky": "false"
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段名称以及 Unusual authentication failure (异常身份验证失败) 的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
relevant_event_type |
指示事件的类型,例如登录失败。 |
event_description |
指示登录是成功还是失败 |
authentication_stage |
指示身份验证阶段是主要、次要还是第三阶段。 |
authentication_type |
指示身份验证的类型,例如 LDAP、Local 或 OAuth。 |
is_risky |
对于成功登录,is_risky值为 false。 对于不成功的登录,is_risky 值为 true。 |
device_os |
用户设备的操作系统。 |
device_browser |
用户使用的 Web 浏览器。 |
country |
检测到用户活动的国家/地区。 |
city |
检测到用户活动的城市。 |
region |
检测到用户活动的地区。 |
可疑登录风险指示器
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd935-a6a3-5397-b596-636aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 0.71,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Gateway",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"observation_start_time": "2020-06-06T12:00:00Z",
"relevant_event_type": "Logon",
"event_count": 1,
"historical_observation_period_in_days": 30,
"country": "United States",
"region": "Florida",
"city": "Miami",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"New York\",\"city\":\"New York City\",\"latitude\":40.7128,\"longitude\":-74.0060,\"count\":9}]",
"user_location_risk": 75,
"device_id": "",
"device_os": "Windows OS",
"device_browser": "Chrome",
"user_device_risk": 0,
"client_ip": "99.xxx.xx.xx",
"user_network_risk": 75,
"webroot_threat_categories": "Phishing",
"suspicious_network_risk": 89
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": "110",
"indicator_uuid": "67fd6935-a6a3-5397-b596-63856aa1588c",
"indicator_category_id": 3,
"indicator_vector": [
{
"name": "Location-Based Risk Indicators",
"id": 2
},
{
"name": "IP-Based Risk Indicators",
"id": 4
},
{
"name": "Other Risk Indicators",
"id": 7
}
],
"data_source_id": 1,
"timestamp": "2020-06-06T12:08:40Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"country": "United States",
"region": "Florida",
"city": "Miami",
"latitude": 25.7617,
"longitude": -80.1918,
"device_browser": "Chrome",
"device_os": "Windows OS",
"device_id": "NA",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段名称以及 Suspicious logon 的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
historical_logon_locations |
在观察期间,用户访问的位置以及每个位置被访问的次数。 |
historical_observation_period_in_days |
每个位置都会受到 30 天的监控。 |
relevant_event_type |
指示事件的类型,例如 logon。 |
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
occurrence_event_type |
指示用户事件类型,例如 account logon。 |
country |
用户登录的国家/地区。 |
city |
用户登录的城市。 |
region |
指示用户登录的区域。 |
latitude |
指示用户登录位置的纬度。 |
longitude |
指示用户登录位置的经度。 |
device_browser |
用户使用的 Web 浏览器。 |
device_os |
用户设备的操作系统。 |
device_id |
用户使用的设备的名称。 |
user_location_risk |
指示用户登录位置的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100 |
user_device_risk |
指示用户登录的设备的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100 |
user_network_risk |
指示用户从中登录的网络或子网的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100 |
suspicious_network_risk |
指示基于 Webroot IP 威胁情报源的 IP 威胁级别。 低威胁级别:0–69,中威胁级别:70–89,高威胁级别:90–100 |
webroot_threat_categories |
指示根据 Webroot IP 威胁情报源从 IP 地址检测到的威胁类型。 威胁类别可以是垃圾邮件来源、Windows 漏洞、Web 攻击、僵尸网络、扫描程序、拒绝服务、信誉、网络钓鱼、代理、未指定、移动威胁和 Tor 代理 |
Citrix DaaS 和 Citrix Virtual Apps and Desktops 风险指示器架构
不可能旅行风险指示器
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Compromised users",
"indicator_name": "Impossible travel",
"severity": "medium",
"data_source": "Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Impossible travel",
"distance": 7480.44718,
"observation_start_time": "2020-06-06T12:00:00Z",
"historical_logon_locations": "[{\"country\":\"United States\",\"region\":\"Florida\",\"city\":\"Miami\",\"latitude\":25.7617,\"longitude\":-80.191,\"count\":28},{\"country\":\"United States\",\"latitude\":37.0902,\"longitude\":-95.7129,\"count\":2}]",
"historical_observation_period_in_days": 30
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": "313",
"indicator_uuid": "c78d1dd4-5e70-5642-ba6f-1cdf31bc6ab2",
"pair_id": 2,
"indicator_category_id": 3,
"indicator_vector": {
"name": "Location-Based Risk Indicators",
"id": 2
},
"data_source_id": 3,
"timestamp": "2020-06-06T05:05:00Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "Account.Logon",
"client_ip": "95.xxx.xx.xx",
“ip_organization”: “global telecom ltd”,
“ip_routing_type”: “mobile gateway”,
"country": "Norway",
"region": "Oslo",
"city": "Oslo",
"latitude": 59.9139,
"longitude": 10.7522,
"device_id": "device1",
"receiver_type": "XA.Receiver.Linux",
"os": "Linux OS",
"browser": "Chrome 62.0.3202.94"
}
<!--NeedCopy-->
下表描述了特定于 Impossible travel 的汇总架构和事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
distance |
与不可能旅行相关的事件之间的距离 (km)。 |
historical_logon_locations |
在观察期间,用户访问的位置以及每个位置被访问的次数。 |
historical_observation_period_in_days |
每个位置都会受到 30 天的监控。 |
relevant_event_type |
指示事件的类型,例如 logon。 |
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
country |
用户登录的国家/地区。 |
city |
用户登录的城市。 |
region |
指示用户登录的区域。 |
latitude |
指示用户登录位置的纬度。 |
longitude |
指示用户登录位置的经度。 |
browser |
用户使用的 Web 浏览器。 |
os |
用户设备的操作系统。 |
device_id |
用户使用的设备的名称。 |
receiver_type |
用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver 的类型。 |
ip_organization |
正在注册客户端 IP 地址的组织 |
ip_routing_type |
客户端 IP 路由类型 |
潜在数据泄露风险指示器
指示器摘要架构
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:59:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"risk_probability": 1,
"indicator_category": "Data exfiltration",
"indicator_name": "Potential data exfiltration",
"severity": "low",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details": {
"relevant_event_type": "Download/Print/Copy",
"observation_start_time": "2018-04-02T10:00:00Z",
"exfil_data_volume_in_bytes": 1172000
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "demo_tenant",
"indicator_id": 303,
"indicator_uuid": "fb649ff7-5b09-5f48-8a04-12836b9eed85",
"indicator_category_id": 1,
"indicator_vector": {
"name": "Data-Based Risk Indicators",
"id": 5 },
"data_source_id": 3,
"timestamp": "2018-04-02T10:57:36Z",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "demo_user",
"version": 2,
"occurrence_event_type": "App.SaaS.Clipboard",
"file_size_in_bytes": 98000,
"file_type": "text",
"device_id": "dvc5",
"receiver_type": "XA.Receiver.Windows",
"app_url": "https://www.citrix.com",
"client_ip": "10.xxx.xx.xxx",
"entity_time_zone": "Pacific Standard Time"
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段以及潜在数据泄露的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
relevant_event_type |
指示用户活动,例如下载、打印或复制数据。 |
exfil_data_volume_in_bytes |
数据泄露量。 |
occurrence_event_type |
指示数据泄露是如何发生的,例如 SaaS 应用程序中的剪贴板操作。 |
file_size_in_bytes |
文件的大小。 |
file_type |
文件类型。 |
device_id |
用户设备的 ID。 |
receiver_type |
用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver。 |
app_url |
用户访问的应用程序的 URL。 |
entity_time_zone |
用户的时区。 |
可疑登录风险指示器架构
指示器摘要架构
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06T12:14:59Z",
"event_type": "indicatorSummary",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"risk_probability": 0.78,
"indicator_category": "Compromised users",
"indicator_name": "Suspicious logon",
"severity": "medium",
"data_source": "Citrix Apps and Desktops",
"ui_link": "https://analytics.cloud.com/user/ ",
"indicator_type": "builtin",
"occurrence_details":
{
"user_location_risk": 0,
"city": "Some_city",
"observation_start_time": "2020-06-06T12:00:00Z",
"event_count": 1,
"user_device_risk": 75,
"country": "United States",
"device_id": "device2",
"region": "Some_Region",
"client_ip": "99.xx.xx.xx",
"webroot_threat_categories": "'Spam Sources', 'Windows Exploits', 'Web Attacks', 'Botnets', 'Scanners', 'Denial of Service'",
"historical_logon_locations": "[{\"country\":\"United States\",\"latitude\":45.0,\"longitude\":45.0,\"count\":12},{\"country\":\"United States\",\"region\":\"Some_Region_A\",\"city\":\"Some_City_A\",\"latitude\":0.0,\"longitude\":0.0,\"count\":8}]",
"relevant_event_type": "Logon",
"user_network_risk": 100,
"historical_observation_period_in_days": 30,
"suspicious_network_risk": 0
}
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"tenant_id": "tenant_1",
"indicator_id": "312",
"indicator_uuid": "1b97c3be-abcd-efgh-ijkl-1234567890",
"indicator_category_id": 3,
"indicator_vector":
[
{
"name": "Other Risk Indicators",
"id": 7
},
{
"name":"Location-Based Risk Indicators",
"id":2
},
{
"name":"IP-Based Risk Indicators",
"id":4
},
{
"name": "Device-Based Risk Indicators",
"id": 1
},
],
"data_source_id": 3,
"timestamp": "2020-06-06 12:02:30",
"event_type": "indicatorEventDetails",
"entity_type": "user",
"entity_id": "user2",
"version": 2,
"occurrence_event_type": "Account.Logon",
"city": "Some_city",
"country": "United States",
"region": "Some_Region",
"latitude": 37.751,
"longitude": -97.822,
"browser": "Firefox 1.3",
"os": "Windows OS",
"device_id": "device2",
"receiver_type": "XA.Receiver.Chrome",
"client_ip": "99.xxx.xx.xx"
}
<!--NeedCopy-->
下表描述了特定于摘要架构的字段名称以及 Suspicious logon 的事件详细信息架构。
| 字段名称 | 说明 |
|---|---|
historical_logon_locations |
在观察期间,用户访问的位置以及每个位置被访问的次数。 |
historical_observation_period_in_days |
每个位置都会受到 30 天的监控。 |
relevant_event_type |
指示事件的类型,例如 logon。 |
observation_start_time |
Citrix Analytics 开始监视用户活动到时间戳的时间。 如果在此时间段内检测到任何异常行为,则会触发风险指示器。 |
occurrence_event_type |
指示用户事件类型,例如 account logon。 |
country |
用户登录的国家/地区。 |
city |
用户登录的城市。 |
region |
指示用户登录的区域。 |
latitude |
指示用户登录位置的纬度。 |
longitude |
指示用户登录位置的经度。 |
browser |
用户使用的 Web 浏览器。 |
os |
用户设备的操作系统。 |
device_id |
用户使用的设备的名称。 |
receiver_type |
用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver 的类型。 |
user_location_risk |
指示用户登录位置的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100 |
user_device_risk |
指示用户登录的设备的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100 |
user_network_risk |
指示用户从中登录的网络或子网的可疑级别。 低怀疑级别:0-69,中怀疑级别:70-89,高怀疑级别:90-100 |
suspicious_network_risk |
指示基于 Webroot IP 威胁情报源的 IP 威胁级别。 低威胁级别:0–69,中威胁级别:70–89,高威胁级别:90–100 |
webroot_threat_categories |
指示根据 Webroot IP 威胁情报源从 IP 地址检测到的威胁类型。 威胁类别可以是垃圾邮件来源、Windows 漏洞、Web 攻击、僵尸网络、扫描程序、拒绝服务、信誉、网络钓鱼、代理、未指定、移动威胁和 Tor 代理 |
Microsoft Active Directory 指示器
指示器摘要架构
{
"data_source": "Microsoft Graph Security",
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_id": 1000,
"indicator_name": "MS Active Directory Indicator",
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_type": "builtin",
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"occurrence_details": {},
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"ui_link": "https://analytics-daily.cloud.com/user/",
"version": 2
}
<!--NeedCopy-->
指示器事件详细信息架构
{
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorEventDetails",
"indicator_id": 1000,
"indicator_vector": {
"name": "IP-Based Risk Indicators",
"id": 4 },
"indicator_uuid": "9880f479-9fbe-4ab0-8348-a613f9de5eba",
"tenant_id": "demo_tenant",
"timestamp": "2021-01-27T16:03:46Z",
"version": 2
}
<!--NeedCopy-->
自定义风险指示器架构
以下部分介绍了自定义风险指示器的架构。
注意:
目前,Citrix Analytics 将与 Citrix DaaS 和 Citrix Virtual Apps and Desktops 的自定义风险指示器相关的数据发送到您的 SIEM 服务。
下表描述了自定义风险指示器摘要架构的字段名称。
| 字段名称 | 说明 |
|---|---|
data source |
将数据发送到 Citrix Analytics for Security 的产品。 例如:Citrix Secure Private Access、Citrix Gateway 和 Citrix Apps and Desktops。 |
data_source_id |
与数据源关联的 ID。 ID 1 = Citrix Gateway,ID 2 = Citrix Endpoint Management,ID 3 = Citrix Apps and Desktops,ID 4 = Citrix Secure Private Access |
entity_id |
与存在风险的实体关联的 ID。 |
entity_type |
有风险的实体。 在本例中,实体是用户。 |
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是风险指示器的摘要。 |
indicator_category |
指示风险指示器的类别。 风险指标分为以下风险类别之一 - 端点受损、用户受损、数据泄露或内部威胁。 |
indicator_id |
与风险指示器关联的唯一 ID。 |
indicator_category_id |
与风险指示器类别关联的 ID。 ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受损用户,ID 4 = 受损终端 |
indicator_name |
风险指示器的名称。 对于自定义风险指示器,此名称是在创建指示器时定义的。 |
indicator_type |
指示风险指示器是默认(内置)还是自定义。 |
indicator_uuid |
与风险指示器实例关联的唯一 ID。 |
occurrence_details |
有关风险指示器触发条件的详细信息。 |
pre_configured |
指示自定义风险指示器是否已预配置。 |
risk_probability |
指示与用户事件关联的风险几率。 该值从 0 到 1.0 不等。 对于自定义风险指示器,risk_probability始终为 1.0,因为它是基于策略的指示器。 |
severity |
指示风险的严重性。 它可以是低、中或高。 |
tenant_id |
客户的唯一身份。 |
timestamp |
触发风险指示器的日期和时间。 |
ui_link |
指向 Citrix Analytics 用户界面上的用户时间线视图的链接。 |
version |
已处理数据的 schema 版本。 当前 Schema 版本为 2。 |
下表描述了自定义风险指示器事件详细信息架构中通用的字段名称。
| 字段名称 | 说明 |
|---|---|
data_source_id |
与数据源关联的 ID。 ID 1 = Citrix Gateway,ID 2 = Citrix Endpoint Management,ID 3 = Citrix Apps and Desktops,ID 4 = Citrix Secure Private Access |
indicator_category_id |
与风险指示器类别关联的 ID。 ID 1 = 数据泄露,ID 2 = 内部威胁,ID 3 = 受损用户,ID 4 = 受损终端 |
event_type |
发送到 SIEM 服务的数据类型。 在这种情况下,事件类型是风险指示器事件的详细信息。 |
tenant_id |
客户的唯一身份。 |
entity_id |
与存在风险的实体关联的 ID。 |
entity_type |
存在风险的实体。 在本例中,它是用户。 |
indicator_id |
与风险指示器关联的唯一 ID。 |
indicator_uuid |
与风险指示器实例关联的唯一 ID。 |
timestamp |
触发风险指示器的日期和时间。 |
version |
已处理数据的 schema 版本。 当前 Schema 版本为 2。 |
event_id |
与 user 事件关联的 ID。 |
occurrence_event_type |
指示用户事件的类型,例如会话登录、会话启动和帐户登录。 |
product |
指示 Citrix Workspace 应用程序的类型,例如适用于 Windows 的 Citrix Workspace 应用程序。 |
client_ip |
用户设备的 IP 地址。 |
session_user_name |
与 Citrix Apps and Desktops 会话关联的用户名。 |
city |
检测到用户活动的城市名称。 |
country |
检测到用户活动的国家/地区名称。 |
device_id |
用户使用的设备的名称。 |
os_name |
用户设备上安装的操作系统。 有关更多信息,请参阅 应用程序和桌面的自助搜索. |
os_version |
用户设备上安装的操作系统版本。 有关更多信息,请参阅 应用程序和桌面的自助搜索. |
os_extra_info |
与用户设备上安装的操作系统关联的额外详细信息。 有关更多信息,请参阅 应用程序和桌面的自助搜索. |
Citrix DaaS 和 Citrix Virtual Apps and Desktops 的自定义风险指示器
指示器摘要架构
{
"data_source": " Citrix Apps and Desktops",
"data_source_id": 3,
"entity_id": "demo_user",
"entity_type": "user",
"event_type": "indicatorSummary",
"indicator_category": "Compromised users",
"indicator_category_id": 3,
"indicator_id": "ca97a656ab0442b78f3514052d595936",
"indicator_name": "Demo_user_usage",
"indicator_type": "custom",
"indicator_uuid": "8e680e29-d742-4e09-9a40-78d1d9730ea5",
"occurrence_details": {
"condition": "User-Name ~ demo_user", "happen": 0, "new_entities": "", "repeat": 0, "time_quantity": 0, "time_unit": "", "type": "everyTime"},
"pre_configured": "N",
"risk_probability": 1.0,
"severity": "low",
"tenant_id": "demo_tenant",
"timestamp": "2021-02-10T14:47:25Z",
"ui_link": "https://analytics.cloud.com/user/ ",
"version": 2
}
<!--NeedCopy-->
会话登录事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "SYD04-MS1-S102",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
下表描述了特定于会话登录事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
app_name |
已启动的应用程序或桌面的名称。 |
launch_type |
指示应用程序或桌面。 |
domain |
发送请求的服务器的域名。 |
server_name |
服务器的名称。 |
session_guid |
活动会话的 GUID。 |
会话启动事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
}
<!--NeedCopy-->
下表描述了特定于会话启动事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
app_name |
已启动的应用程序或桌面的名称。 |
launch_type |
指示应用程序或桌面。 |
帐户登录事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Account.Logon",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
}
<!--NeedCopy-->
下表描述了特定于帐户登录事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
app_name |
已启动的应用程序或桌面的名称。 |
会话结束事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Session.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
}
<!--NeedCopy-->
下表描述了特定于会话结束事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
app_name |
已启动的应用程序或桌面的名称。 |
launch_type |
指示应用程序或桌面。 |
domain |
发送请求的服务器的域名。 |
server_name |
服务器的名称。 |
session_guid |
活动会话的 GUID。 |
应用程序启动事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.Start",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
下表描述了特定于应用程序启动事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
app_name |
已启动的应用程序或桌面的名称。 |
launch_type |
指示应用程序或桌面。 |
domain |
发送请求的服务器的域名。 |
server_name |
服务器的名称。 |
session_guid |
活动会话的 GUID。 |
module_file_path |
正在使用的应用程序的路径。 |
应用程序结束事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"app_name": "notepad",
"launch_type": "Application",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"module_file_path": "/root/folder1/folder2/folder3"
}
<!--NeedCopy-->
下表描述了特定于应用程序结束事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
app_name |
已启动的应用程序或桌面的名称。 |
launch_type |
指示应用程序或桌面。 |
domain |
发送请求的服务器的域名。 |
server_name |
服务器的名称。 |
session_guid |
活动会话的 GUID。 |
module_file_path |
正在使用的应用程序的路径。 |
文件下载事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "File.Download",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"file_download_file_name": "File5.txt",
"file_download_file_path": "/root/folder1/folder2/folder3",
"file_size_in_bytes": 278,
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"device_type": "USB"
}
<!--NeedCopy-->
下表描述了特定于文件下载事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
file_download_file_name |
下载文件的名称。 |
file_download_file_path |
下载文件的目标路径。 |
launch_type |
指示应用程序或桌面。 |
domain |
发送请求的服务器的域名。 |
server_name |
服务器的名称。 |
session_guid |
活动会话的 GUID。 |
device_type |
指示下载文件的设备类型。 |
打印事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "Printing",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"printer_name": "Test-printer",
"launch_type": "Desktop",
"domain": "test_domain",
"server_name": "test_server",
"session_guid": "f466e318-9065-440c-84a2-eec49d978a96",
"job_details_size_in_bytes": 454,
"job_details_filename": "file1.pdf",
"job_details_format": "PDF"
}
<!--NeedCopy-->
下表描述了特定于打印事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
printer_name |
用于打印作业的打印机的名称。 |
launch_type |
指示应用程序或桌面。 |
domain |
发送请求的服务器的域名。 |
server_name |
服务器的名称。 |
session_guid |
活动会话的 GUID。 |
job_details_size_in_bytes |
打印作业的大小,例如文件或文件夹。 |
job_details_filename |
打印文件的名称。 |
job_details_format |
打印作业的格式。 |
应用程序 SaaS 启动事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.Launch",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
下表描述了特定于应用程序 SaaS 启动事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
launch_type |
指示应用程序或桌面。 |
应用程序 SaaS 结束事件的指示器事件详细信息架构
{
"event_type": "indicatorEventDetails",
"data_source_id": 3,
"indicator_category_id": 3,
"tenant_id": "demo_tenant",
"entity_id": "demo_user",
"entity_type": "user",
"indicator_id": "9033b2f6a8914a9282937b35ce497bcf",
"timestamp": "2021-03-19T10:08:05Z",
"indicator_uuid": "e0abfcb4-fd41-4612-ad59-ef7567508ac0",
"version": 2,
"event_id": "8fc3dd5e-d049-448a-ab70-0fc4d554e41e",
"occurrence_event_type": "App.SaaS.End",
"product": "XA.Receiver.Windows",
"client_ip": "103.xx.xxx.xxx",
"session_user_name": "user01",
"city": "Mumbai",
"country": "India",
"device_id": "5-Synthetic_device",
"os_name": "Windows NT 6.1",
"os_version": "7601",
"os_extra_info": "Service Pack 1",
"launch_type": "Desktop",
}
<!--NeedCopy-->
下表描述了特定于应用程序 SaaS 结束事件的事件详细信息架构的字段名称。
| 字段名称 | 说明 |
|---|---|
launch_type |
指示应用程序或桌面。 |
数据源事件
此外,您还可以配置数据导出功能,以从启用了 Citrix Analytics for Security 的产品数据源导出用户事件。 当您在 Citrix 环境中执行任何活动时,将生成数据源事件。 导出的事件是自助服务视图中提供的未处理的实时用户和产品使用情况数据。 这些事件中包含的元数据可以进一步用于更深入的威胁分析、创建新的仪表板,并与安全和 IT 基础设施中的其他非 Citrix 数据源事件相关联。
目前,Citrix Analytics for Security 将用户事件发送到 Citrix Virtual Apps and Desktops 数据源的 SIEM。
数据源事件的架构详细信息
Citrix Virtual Apps and Desktops 事件
当用户使用虚拟应用程序或虚拟桌面时,Citrix Analytics for Security 会实时接收用户事件。 有关更多信息,请参阅 Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源. 您可以查看以下与 SIEM 中的 Citrix Virtual Apps and Desktops 关联的用户事件:
- 所有事件类型
- 帐户登录
- 应用程序 (start, launch, end)
- 剪贴板
- 文件 (打印、下载)
- HDX 会话源
- 打印
- 会话(登录、启动、结束、终止)
- VDA 数据
- VDA 流程创建
有关事件及其属性的更多信息,请参阅 Virtual Apps and Desktops 的自助搜索.
您可以查看哪些事件类型已启用并流向 SIEM。 您可以配置或删除适用于租户的事件类型,然后单击 保存更改 按钮保存您的设置。
Secure Private Access 事件
当用户通过 Citrix Secure Private Access(例如 Citrix Workspace 应用程序、Citrix Secure Access 客户端或 Citrix Enterprise Browser)访问应用程序时,Citrix Analytics for Security 中会实时接收用户事件。 您可以在 SIEM 中查看与 Secure Private Access 关联的以下用户事件:
- 所有事件类型
- 帐户登录
- 应用程序(连接、启动、结束、错误)
- 文件 (打印、下载)
- 策略评估
- 剪贴板
- 会话 (连接、启动)
- Url
- 用户登录
- SPA 服务日志
设备状态服务事件
当 Citrix Endpoint Analysis (EPA) 客户端在尝试访问 Citrix Virtual Apps and Desktops 或 Citrix Secure Private Access 资源的设备上执行态势检查时,将生成用户事件。 您可以在 SIEM 中查看与 Device Posture 服务关联的以下用户事件:
- 所有事件类型
- 设备状态评估
您可以查看为租户启用的事件类型,并确保它们流向 SIEM。 您可以配置或删除适用的事件类型,然后单击 保存更改 按钮应用您的设置。
SIEM 的 Citrix Analytics 数据导出格式
已复制!
失败!