审计日志记录

审计日志允许您记录与您的Insight解决方案相关的用户驱动和自动活动。对于每个可审计的操作,您可以看到该操作是什么、该操作发生的时间以及谁完成了该操作。通过启用Audit Logging,您可以跟踪活动以进行调查。如果外部审核员要求这些细节,审计日志也将帮助您满足遵从性要求。

必须具有Administrator权限才能启用“审计日志”和查看“审计日志”事件。

Audit Logging在Open Preview中,目前支持来自Insight Platform Services、InsightIDR和Insdota2必威联赛ightVM的Custom Policy Builder的审计事件

在Open Preview中,您将有机会测试Audit Logging并向Rapid7提供反馈。随着Rapid7对特性进行改进,并为所有Insight产品构建审计日志功能,这些反馈将被纳入。

要使用Insight平台中的审计日志功能:dota2必威联赛

  1. 启用审计日志记录
  2. 查看审计日志事件
  3. 查询审计日志

启用审计日志记录

启用审计日志功能:

  1. 从平台主页上单击>公司设置>审计日志
  2. 将切换设置为启用
  3. 选择要存储审计日志数据的区域。

公司设置启用

您启用了审计日志!

一旦您打开了Audit Logging,洞察平台将立即开始收集所有Pladota2必威联赛tform和InsightIDR事件。

查看审计日志事件

您可以在Insight Platform中通过进入顶部导航菜单并单击来查看审计日志事dota2必威联赛件>审计日志

要查看事件,可以使用审计来源日志选择器下拉以筛选表以显示特定的审计日志。您也可以选择查看所有的审计日志.对于表上的每个事件,您可以看到操作发生的时间、完成该操作的人员的详细信息(姓名和电子邮件)以及操作发生的产品。

您可以通过在搜索栏中搜索其用户名来过滤以查看特定用户所采取的操作。您还可以在此搜索栏中搜索任何字符串,例如电子邮件或操作。

查看所有日志

您还可以使用日期选择器组件作为搜索栏的一部分,将搜索限制在特定的日期范围内。您可以使用提供的日期/时间框手动输入日期范围,也可以单击日历来选择日期范围。

日期选择器组件

属性可以将日志搜索结果直接从审计表导出到CSV文件导出到CSV功能旁边的搜索栏。CSV文件导出后,会出现一个绿色的条,您可以选择下载它。

CSV导出

当需要查看“审计日志事件”的详细信息时,单击查看更多在“更多详情”列中。将出现一个带有关于特定Audit Log事件的附加详细信息的窗口。

在打开预览期间的模态限制

Description字段在Open preview的More Details模式中不可用,但将在Audit Logging移动到General Availability时提供。More Details模式目前提供上下文信息,以帮助您更好地理解审计事件操作的结果。

InsightIDR审计日志事件

要查看InsightIDR审计日志消息,请阅读审计日志记录InsightIDR帮助站点上的文档。

自定义政策构建器

在InsightVM的自定义策略构建器中,您可以使用审计日志捕捉用户实现的每个策略更新。审计日志记录对策略进行了哪些更改、何时更改以及哪些更改,以便用户或审计人员可以在以后查看任何策略的更改历史。有关更多信息,请参见审计日志的话题自定义政策构建器InsightVM文档。

平台审计日志

本节概述洞察平台服务当前生成的审计日志事件。dota2必威联赛这些事件被分为以下几类:

  • API密匙
  • 外部身份提供者(IDP)
  • 主要联系人
  • 多因素身份验证(MFA)
  • 组织
  • 密码策略
  • 组织产品
  • 用户
  • 用户角色
  • 用户访问
  • 客户
  • 基于角色访问控制(RBAC)
  • 审计日志

API关键事件

行动 描述
API_KEY_CREATED 创建了新的API密钥
API_KEY_DELETED API密钥被删除
API_KEY_MOVED 由于客户帐户合并,API密钥被移动到新客户帐户

外部身份提供者(IDP)事件

行动 描述
EIDP_ENABLED 启用外部IDP认证
EIDP_DISABLED 日志含义禁用使用外部IDP认证用户
EIDP_X509_CERT_UPLOADED 上传外部IDP的X509安全证书
EIDP_UPDATED 日志含义更新认证用户的External IDP配置文件
EIDP_DELETED 日志含义删除认证用户的External IDP配置文件
JIT_PROFILE_UPDATED 更新了应用于从外部IDP访问Insight平台的用户的Just In Time配置文件dota2必威联赛

关键的接触事件

行动 描述
KEY_CONTACT_ADDED 新增Key Contact
KEY_CONTACT_REMOVED 键触点被移除

多因素身份验证(MFA)事件

行动 描述
MFA_UPDATED 修改MFA配置数据

组织活动

行动 描述
ORG_NAME_UPDATED 修改组织显示名称
ORGANIZATION_MOVED 由于客户帐户合并,组织从一个客户帐户转移到另一个客户帐户

密码策略的事件

行动 描述
PASSWORD_POLICY_UPDATED 修改密码策略

组织产品事件

行动 描述
ORG_PRODUCT_CREATED 向客户的组织中添加了新的Insight产品许可证
PRODUCT_TRIAL_EVENT 新产品免费试用开始

用户事件

行动 描述
USER_ACCOUNT_RESET 用户帐号被重置
USER_CREATED 新用户已创建
USER_DELETED 用户帐号被删除
USER_MFA_RESET 日志含义重置用户MFA
USER_SUCCESS_LOGIN 用户登录
USER_UPDATED 用户配置文件已更新
USER_ACTIVATED 用户帐号被激活
USER_CHANGED_PASSWORD 用户更改密码
USER_CHANGED_SECURITY_QUESTION 用户更改了安全问题
USER_ACTIVATION_RESENT 用户帐户激活电子邮件重新发送
USER_FORGOTTEN_PASSWORD 用户忘记密码
USER_MOVED 由于客户帐户合并,用户帐户被移到另一个客户帐户
USER_LOGOUT 用户登录

用户角色事件

行动 描述
USER_ROLE_SET 设置或更新用户角色

用户访问事件

行动 描述
USER_TO_ORG_PRODUCT_CREATED 用户被分配了对产品的访问权限
USER_TO_ORG_PRODUCT_DELETED 用户未被分配访问产品的权限
USER_TO_PRODUCT_NAVIGATION 用户导航以访问指定的产品
USER_SWITCHED_CUSTOMER 具有多客户帐户访问权限的用户从其主要客户帐户导航到访问另一个客户帐户
USER_CUSTOMER_MOVED 由于客户帐户合并,用户帐户从一个客户帐户转移到另一个客户帐户

客户事件

行动 行动
CUSTOMER_NAME_UPDATED 客户帐户名称已更新
CUSTOMER_MERGED 客户帐户与另一个客户帐户合并

审计日志事件

行动 描述
AUDIT_LOG_OPT_IN 打开了审计日志
AUDIT_LOG_OPT_OUT 审计日志被关闭

查询审计日志

你也可以查询审计日志通过将日志ID添加到指定的URL或过滤器审计日志通过在URL中添加日志条目查询语言。

使用API检索平台审计日志

如果您有组织级API密钥或Platform Admin用户密钥,则可以使用REST API查询审计日志。有关更多信息,请参见InsightIDR审计日志文档。