审计日志记录
审计日志允许您记录与您的Insight解决方案相关的用户驱动和自动活动。对于每个可审计的操作,您可以看到该操作是什么、该操作发生的时间以及谁完成了该操作。通过启用Audit Logging,您可以跟踪活动以进行调查。如果外部审核员要求这些细节,审计日志也将帮助您满足遵从性要求。
必须具有Administrator权限才能启用“审计日志”和查看“审计日志”事件。
Audit Logging在Open Preview中,目前支持来自Insight Platform Services、InsightIDR和Insdota2必威联赛ightVM的Custom Policy Builder的审计事件
在Open Preview中,您将有机会测试Audit Logging并向Rapid7提供反馈。随着Rapid7对特性进行改进,并为所有Insight产品构建审计日志功能,这些反馈将被纳入。
要使用Insight平台中的审计日志功能:dota2必威联赛
启用审计日志记录
启用审计日志功能:
- 从平台主页上单击>公司设置>审计日志.
- 将切换设置为启用.
- 选择要存储审计日志数据的区域。
您启用了审计日志!
一旦您打开了Audit Logging,洞察平台将立即开始收集所有Pladota2必威联赛tform和InsightIDR事件。
查看审计日志事件
您可以在Insight Platform中通过进入顶部导航菜单并单击来查看审计日志事dota2必威联赛件>审计日志.
要查看事件,可以使用审计来源日志选择器下拉以筛选表以显示特定的审计日志。您也可以选择查看所有的审计日志.对于表上的每个事件,您可以看到操作发生的时间、完成该操作的人员的详细信息(姓名和电子邮件)以及操作发生的产品。
您可以通过在搜索栏中搜索其用户名来过滤以查看特定用户所采取的操作。您还可以在此搜索栏中搜索任何字符串,例如电子邮件或操作。
您还可以使用日期选择器组件作为搜索栏的一部分,将搜索限制在特定的日期范围内。您可以使用提供的日期/时间框手动输入日期范围,也可以单击日历来选择日期范围。
属性可以将日志搜索结果直接从审计表导出到CSV文件导出到CSV功能旁边的搜索栏。CSV文件导出后,会出现一个绿色的条,您可以选择下载它。
当需要查看“审计日志事件”的详细信息时,单击查看更多在“更多详情”列中。将出现一个带有关于特定Audit Log事件的附加详细信息的窗口。
在打开预览期间的模态限制
Description字段在Open preview的More Details模式中不可用,但将在Audit Logging移动到General Availability时提供。More Details模式目前提供上下文信息,以帮助您更好地理解审计事件操作的结果。
InsightIDR审计日志事件
要查看InsightIDR审计日志消息,请阅读审计日志记录InsightIDR帮助站点上的文档。
自定义政策构建器
在InsightVM的自定义策略构建器中,您可以使用审计日志捕捉用户实现的每个策略更新。审计日志记录对策略进行了哪些更改、何时更改以及哪些更改,以便用户或审计人员可以在以后查看任何策略的更改历史。有关更多信息,请参见审计日志的话题自定义政策构建器InsightVM文档。
平台审计日志
本节概述洞察平台服务当前生成的审计日志事件。dota2必威联赛这些事件被分为以下几类:
- API密匙
- 外部身份提供者(IDP)
- 主要联系人
- 多因素身份验证(MFA)
- 组织
- 密码策略
- 组织产品
- 用户
- 用户角色
- 用户访问
- 客户
- 基于角色访问控制(RBAC)
- 审计日志
API关键事件
行动 | 描述 |
---|---|
API_KEY_CREATED | 创建了新的API密钥 |
API_KEY_DELETED | API密钥被删除 |
API_KEY_MOVED | 由于客户帐户合并,API密钥被移动到新客户帐户 |
外部身份提供者(IDP)事件
行动 | 描述 |
---|---|
EIDP_ENABLED | 启用外部IDP认证 |
EIDP_DISABLED | 日志含义禁用使用外部IDP认证用户 |
EIDP_X509_CERT_UPLOADED | 上传外部IDP的X509安全证书 |
EIDP_UPDATED | 日志含义更新认证用户的External IDP配置文件 |
EIDP_DELETED | 日志含义删除认证用户的External IDP配置文件 |
JIT_PROFILE_UPDATED | 更新了应用于从外部IDP访问Insight平台的用户的Just In Time配置文件dota2必威联赛 |
关键的接触事件
行动 | 描述 |
---|---|
KEY_CONTACT_ADDED | 新增Key Contact |
KEY_CONTACT_REMOVED | 键触点被移除 |
多因素身份验证(MFA)事件
行动 | 描述 |
---|---|
MFA_UPDATED | 修改MFA配置数据 |
组织活动
行动 | 描述 |
---|---|
ORG_NAME_UPDATED | 修改组织显示名称 |
ORGANIZATION_MOVED | 由于客户帐户合并,组织从一个客户帐户转移到另一个客户帐户 |
密码策略的事件
行动 | 描述 |
---|---|
PASSWORD_POLICY_UPDATED | 修改密码策略 |
组织产品事件
行动 | 描述 |
---|---|
ORG_PRODUCT_CREATED | 向客户的组织中添加了新的Insight产品许可证 |
PRODUCT_TRIAL_EVENT | 新产品免费试用开始 |
用户事件
行动 | 描述 |
---|---|
USER_ACCOUNT_RESET | 用户帐号被重置 |
USER_CREATED | 新用户已创建 |
USER_DELETED | 用户帐号被删除 |
USER_MFA_RESET | 日志含义重置用户MFA |
USER_SUCCESS_LOGIN | 用户登录 |
USER_UPDATED | 用户配置文件已更新 |
USER_ACTIVATED | 用户帐号被激活 |
USER_CHANGED_PASSWORD | 用户更改密码 |
USER_CHANGED_SECURITY_QUESTION | 用户更改了安全问题 |
USER_ACTIVATION_RESENT | 用户帐户激活电子邮件重新发送 |
USER_FORGOTTEN_PASSWORD | 用户忘记密码 |
USER_MOVED | 由于客户帐户合并,用户帐户被移到另一个客户帐户 |
USER_LOGOUT | 用户登录 |
用户角色事件
行动 | 描述 |
---|---|
USER_ROLE_SET | 设置或更新用户角色 |
用户访问事件
行动 | 描述 |
---|---|
USER_TO_ORG_PRODUCT_CREATED | 用户被分配了对产品的访问权限 |
USER_TO_ORG_PRODUCT_DELETED | 用户未被分配访问产品的权限 |
USER_TO_PRODUCT_NAVIGATION | 用户导航以访问指定的产品 |
USER_SWITCHED_CUSTOMER | 具有多客户帐户访问权限的用户从其主要客户帐户导航到访问另一个客户帐户 |
USER_CUSTOMER_MOVED | 由于客户帐户合并,用户帐户从一个客户帐户转移到另一个客户帐户 |
客户事件
行动 | 行动 |
---|---|
CUSTOMER_NAME_UPDATED | 客户帐户名称已更新 |
CUSTOMER_MERGED | 客户帐户与另一个客户帐户合并 |
审计日志事件
行动 | 描述 |
---|---|
AUDIT_LOG_OPT_IN | 打开了审计日志 |
AUDIT_LOG_OPT_OUT | 审计日志被关闭 |
查询审计日志
你也可以查询审计日志通过将日志ID添加到指定的URL或过滤器审计日志通过在URL中添加日志条目查询语言。
使用API检索平台审计日志
如果您有组织级API密钥或Platform Admin用户密钥,则可以使用REST API查询审计日志。有关更多信息,请参见InsightIDR审计日志文档。