审计日志记录

审计日志允许您在Insight Platform和InsightIDR中记录用户驱动的和自动的活动。dota2必威联赛对于每个操作,您可以看到操作发生的时间,对于手动活动,可以看到完成操作的用户。通过启用Audit Logging,您可以跟踪Insight Platform和InsightIDR中的活动,并调查谁在何dota2必威联赛时做了什么。如果外部审核员要求这些细节,审计日志也将帮助您满足遵从性要求。

您必须拥有管理员权限,以启用审核日志记录并查看审核日志事件。有关如何启用审核日志记录的说明,请阅读审计日志记录平台帮助站点上的文档。

Insight平台和InsightIDR的审dota2必威联赛计日志记录在开放预览中

在Open Preview中,您将有机会测试Audit Logging并向Rapid7提供反馈。随着Rapid7对特性进行改进,并为所有Insight产品构建审计日志功能,这些反馈将被纳入。

InsightIdr审核日志事件

本节概述了InsightIDR跟踪的所有Audit Log事件。这些事件被分为以下几类:

  • 数据采集管理
  • 调查
  • 自定义解析
  • 自动化
  • 配置文件设置

数据收集管理事件

行动 描述 例子
activate_collector. 收集器被激活 收集器bos uicollector - 01. osdc.bos.rapid7.com激活
delete_collector. 收集器被删除 收藏家bos-uicollector-01.osdc.bos.rapid7.com已删除
COPY_EVENT_SOURCES 事件源从一个收集器复制到另一个收集器 事件源从收集器bos-uicollector- 01.osdcc.bos.rapid7.com复制到lax-uicollector- 01.osdcc.lax.rapid7.com
ACTIVATE_HONEYPOT 蜜罐被激活 Honeypot LAX UI Honeypot (UI -sap-db-01 - 10.4.7.188)已激活
delete_honeypot. 蜜罐被删除 删除了Honeypot LAX UI (UI -sap-db-01 - 10.4.7.188)
ACTIVATE_ORCHESTRATOR Orchestrator被激活了 协调器bos-InsightConnect-01激活
delete_orchestrator. 协调器被删除 Orchestrator Bos-InsightConnect-01删除
ADD_EVENT_SOURCE 添加到收集器的新事件源 Cisco ASA VPN事件源OCELOT(VASA)添加到收集器BOS-UICLORCORTOR-01.OSDC.BOS.RAPID7.com
EDIT_EVENT_SOURCE 在收集器上编辑的事件源 Cisco ASA VPN事件源Ocelot (vASA)在收集器bos-uicollector-01.osdc.bos.rapid7.com上编辑
DELETE_EVENT_SOURCE 事件源从收集器中删除 Cisco ASA VPN事件源Ocelot (vASA)从采集器bos-uicollector- 01.osdcc.bos.rapid7.com删除
START_EVENT_SOURCE 事件源在收集器上开始 Cisco ASA VPN事件源Ocelot (vASA)在collector bos-uicollector-01.osdc.bos.rapid7.com上启动
stop_event_source. 事件源在收集器上停止 Cisco ASA VPN事件源OCELOT(VASA)在收集器BOS-UICLORCORTOR-01.OSDC.BOS.RAPID7.com停止
add_data_exporter. 在收集器上添加的数据导出程序 Universal Webhook Data Exporter IDR警报Komand Workflow在Collector Los Angeles Collector上添加
EDIT_DATA_EXPORTER 在收集器上编辑的数据导出器 Universal Webhook数据导出器IDR Alert Komand工作流编辑在收集器洛杉矶收集器
DELETE_DATA_EXPORTER 从收集器中删除的数据导出器 Universal Webhook数据导出器IDR Alert Komand Workflow在collector Los Angeles collector上被删除
start_data_exporter. 数据出口商在收集器上开始 Universal Webhook数据导出器IDR Alert Komand Workflow在collector Los Angeles collector上启动
STOP_DATA_EXPORTER 数据导出程序在收集器上停止 Universal Webhook Data Exporter IDR警报Komand Workflow在Collector Los Angeles Collector上停止
ADD_CREDENTIAL 凭证了 新增密码凭据AWS PlatformProd
EDIT_CREDENTIAL 凭据被编辑了 密码凭据AWS PlatformProd编辑
delete_credential. 凭证已被删除 密码凭证AWS PlatformProd删除

调查事件

行动 描述 例子
INVESTIGATION_CREATED(手动) 用户创建的调查 调查“调查一些东西”创造
INVESTIGATION_ASSIGNED 调查分配给用户 调查第三方警报“Azure Security Center:[预览]检测到来自未推销的IP地址的流量被分配给Joan Smith
INVESTIGATION_UNASSIGNED 调查未分配 调查第三方警报“Azure Security Center:[预览]检测到来自未推销的IP地址的流量”未分配
INVESTIGATION_NOTE_ADDED 添加到调查中的说明 “帐户ckilkelly@rapid7.com在7秒内通过来自2个国家的无线设备认证”
调查_Taken. 对调查采取的行动 “帐户ckilkelly@rapid7.com在7秒内通过来自2个国家的无线设备进行身份验证”
INVESTIGATION_DATA_ADDED 数据添加到调查中 “Account ckilkelly@rapid7.com在7秒内通过来自2个国家的无线设备进行身份验证”
INVESTIGATION_CLOSED 调查被关闭 调查无线多个国家身份验证“帐户CKILKELLY@RAPID7.com通过2个国家的无线设备通过7秒内完成验证”关闭
INVESTIGTION_REOPENED 调查是开放 调查无线多个国家身份验证“帐户CKILKELLY@RAPID7.COM通过2个国家的无线设备通过7秒内进行认证”重新开放
ALERT_MODIFICATION_CREATED 创建了警报修改 警告修改“允许从新来源访问”创建:允许钓鱼报告从源资产cam-mbp-3455v.tor.rapid7.com认证
ALERT_MODIFICATION_REMOVED 警报修改被删除 警告修改“允许帐户启用”删除:允许丹尼斯纳哈斯(管理员)重新启用帐户

自定义解析

行动 描述 例子
PARSING_RULE_CREATED 创建自定义解析规则 创建了自定义解析规则“TEST”
parsing_rule_removed 客户解析规则已被删除 自定义解析规则“test”删除

自动化的事件

行动 描述 例子
ALERT_TRIGGER_CREATED 已为工作流创建警报触发器 为“查找IPS带有录音文件”创建的警报触发器作为警报类型:网络访问威胁
Alert_Trigger_Removed. 警报触发器已从工作流中删除 “查找带有RecordedFuture的ip”作为警报类型的警报触发器被删除:网络访问威胁
ALERT_TRIGGER_DISABLED 工作流程禁用警报触发器 警报类型从工作流程中的“从威胁中入口”,“使用开源插件丰富警报数据”已被禁用
ALERT_TRIGGER_ENABLED 在工作流上启用了警报触发器 启用了工作流“用开源插件充实警报数据”中的警报类型“从威胁进入”

配置文件设置事件

行动 描述 例子
email_alert_enabled. 已启用邮件提醒设置 已启用邮件提醒设置
Email_Alert_disabled. 邮件提醒设置已被禁用 邮件提醒设置已被禁用