审计日志记录
审计日志允许您在Insight Platform和InsightIDR中记录用户驱动的和自动的活动。dota2必威联赛对于每个操作,您可以看到操作发生的时间,对于手动活动,可以看到完成操作的用户。通过启用Audit Logging,您可以跟踪Insight Platform和InsightIDR中的活动,并调查谁在何dota2必威联赛时做了什么。如果外部审核员要求这些细节,审计日志也将帮助您满足遵从性要求。
您必须拥有管理员权限,以启用审核日志记录并查看审核日志事件。有关如何启用审核日志记录的说明,请阅读审计日志记录平台帮助站点上的文档。
Insight平台和InsightIDR的审dota2必威联赛计日志记录在开放预览中
在Open Preview中,您将有机会测试Audit Logging并向Rapid7提供反馈。随着Rapid7对特性进行改进,并为所有Insight产品构建审计日志功能,这些反馈将被纳入。
InsightIdr审核日志事件
本节概述了InsightIDR跟踪的所有Audit Log事件。这些事件被分为以下几类:
- 数据采集管理
- 调查
- 自定义解析
- 自动化
- 配置文件设置
数据收集管理事件
| 行动 | 描述 | 例子 |
|---|---|---|
| activate_collector. | 收集器被激活 | 收集器bos uicollector - 01. osdc.bos.rapid7.com激活 |
| delete_collector. | 收集器被删除 | 收藏家bos-uicollector-01.osdc.bos.rapid7.com已删除 |
| COPY_EVENT_SOURCES | 事件源从一个收集器复制到另一个收集器 | 事件源从收集器bos-uicollector- 01.osdcc.bos.rapid7.com复制到lax-uicollector- 01.osdcc.lax.rapid7.com |
| ACTIVATE_HONEYPOT | 蜜罐被激活 | Honeypot LAX UI Honeypot (UI -sap-db-01 - 10.4.7.188)已激活 |
| delete_honeypot. | 蜜罐被删除 | 删除了Honeypot LAX UI (UI -sap-db-01 - 10.4.7.188) |
| ACTIVATE_ORCHESTRATOR | Orchestrator被激活了 | 协调器bos-InsightConnect-01激活 |
| delete_orchestrator. | 协调器被删除 | Orchestrator Bos-InsightConnect-01删除 |
| ADD_EVENT_SOURCE | 添加到收集器的新事件源 | Cisco ASA VPN事件源OCELOT(VASA)添加到收集器BOS-UICLORCORTOR-01.OSDC.BOS.RAPID7.com |
| EDIT_EVENT_SOURCE | 在收集器上编辑的事件源 | Cisco ASA VPN事件源Ocelot (vASA)在收集器bos-uicollector-01.osdc.bos.rapid7.com上编辑 |
| DELETE_EVENT_SOURCE | 事件源从收集器中删除 | Cisco ASA VPN事件源Ocelot (vASA)从采集器bos-uicollector- 01.osdcc.bos.rapid7.com删除 |
| START_EVENT_SOURCE | 事件源在收集器上开始 | Cisco ASA VPN事件源Ocelot (vASA)在collector bos-uicollector-01.osdc.bos.rapid7.com上启动 |
| stop_event_source. | 事件源在收集器上停止 | Cisco ASA VPN事件源OCELOT(VASA)在收集器BOS-UICLORCORTOR-01.OSDC.BOS.RAPID7.com停止 |
| add_data_exporter. | 在收集器上添加的数据导出程序 | Universal Webhook Data Exporter IDR警报Komand Workflow在Collector Los Angeles Collector上添加 |
| EDIT_DATA_EXPORTER | 在收集器上编辑的数据导出器 | Universal Webhook数据导出器IDR Alert Komand工作流编辑在收集器洛杉矶收集器 |
| DELETE_DATA_EXPORTER | 从收集器中删除的数据导出器 | Universal Webhook数据导出器IDR Alert Komand Workflow在collector Los Angeles collector上被删除 |
| start_data_exporter. | 数据出口商在收集器上开始 | Universal Webhook数据导出器IDR Alert Komand Workflow在collector Los Angeles collector上启动 |
| STOP_DATA_EXPORTER | 数据导出程序在收集器上停止 | Universal Webhook Data Exporter IDR警报Komand Workflow在Collector Los Angeles Collector上停止 |
| ADD_CREDENTIAL | 凭证了 | 新增密码凭据AWS PlatformProd |
| EDIT_CREDENTIAL | 凭据被编辑了 | 密码凭据AWS PlatformProd编辑 |
| delete_credential. | 凭证已被删除 | 密码凭证AWS PlatformProd删除 |
调查事件
| 行动 | 描述 | 例子 |
|---|---|---|
| INVESTIGATION_CREATED(手动) | 用户创建的调查 | 调查“调查一些东西”创造 |
| INVESTIGATION_ASSIGNED | 调查分配给用户 | 调查第三方警报“Azure Security Center:[预览]检测到来自未推销的IP地址的流量被分配给Joan Smith |
| INVESTIGATION_UNASSIGNED | 调查未分配 | 调查第三方警报“Azure Security Center:[预览]检测到来自未推销的IP地址的流量”未分配 |
| INVESTIGATION_NOTE_ADDED | 添加到调查中的说明 | “帐户ckilkelly@rapid7.com在7秒内通过来自2个国家的无线设备认证” |
| 调查_Taken. | 对调查采取的行动 | “帐户ckilkelly@rapid7.com在7秒内通过来自2个国家的无线设备进行身份验证” |
| INVESTIGATION_DATA_ADDED | 数据添加到调查中 | “Account ckilkelly@rapid7.com在7秒内通过来自2个国家的无线设备进行身份验证” |
| INVESTIGATION_CLOSED | 调查被关闭 | 调查无线多个国家身份验证“帐户CKILKELLY@RAPID7.com通过2个国家的无线设备通过7秒内完成验证”关闭 |
| INVESTIGTION_REOPENED | 调查是开放 | 调查无线多个国家身份验证“帐户CKILKELLY@RAPID7.COM通过2个国家的无线设备通过7秒内进行认证”重新开放 |
| ALERT_MODIFICATION_CREATED | 创建了警报修改 | 警告修改“允许从新来源访问”创建:允许钓鱼报告从源资产cam-mbp-3455v.tor.rapid7.com认证 |
| ALERT_MODIFICATION_REMOVED | 警报修改被删除 | 警告修改“允许帐户启用”删除:允许丹尼斯纳哈斯(管理员)重新启用帐户 |
自定义解析
| 行动 | 描述 | 例子 |
|---|---|---|
| PARSING_RULE_CREATED | 创建自定义解析规则 | 创建了自定义解析规则“TEST” |
| parsing_rule_removed | 客户解析规则已被删除 | 自定义解析规则“test”删除 |
自动化的事件
| 行动 | 描述 | 例子 |
|---|---|---|
| ALERT_TRIGGER_CREATED | 已为工作流创建警报触发器 | 为“查找IPS带有录音文件”创建的警报触发器作为警报类型:网络访问威胁 |
| Alert_Trigger_Removed. | 警报触发器已从工作流中删除 | “查找带有RecordedFuture的ip”作为警报类型的警报触发器被删除:网络访问威胁 |
| ALERT_TRIGGER_DISABLED | 工作流程禁用警报触发器 | 警报类型从工作流程中的“从威胁中入口”,“使用开源插件丰富警报数据”已被禁用 |
| ALERT_TRIGGER_ENABLED | 在工作流上启用了警报触发器 | 启用了工作流“用开源插件充实警报数据”中的警报类型“从威胁进入” |
配置文件设置事件
| 行动 | 描述 | 例子 |
|---|---|---|
| email_alert_enabled. | 已启用邮件提醒设置 | 已启用邮件提醒设置 |
| Email_Alert_disabled. | 邮件提醒设置已被禁用 | 邮件提醒设置已被禁用 |
这个页面对你有帮助吗?