Аудит-лог Консоли управления
Аудит-логи фиксируют действия пользователей и системные события. Это может быть полезно для обнаружения и предотвращения несанкционированных действий, расследования инцидентов безопасности.
Экспорт аудит-логов в SIEM-систему
Консоль управления может экспортировать аудит-логи в SIEM-систему, которая уже используется в вашей организации, по протоколу Syslog.
Аудит-логи состоят из событий — зафиксированных действий пользователей (системных администраторов) в Консоли управления.
Информация о каждом событии передается как отдельное syslog-сообщение формата CEF (Common Event Format, далее «CEF-сообщение»).
CEF-сообщение с информацией о событии передается сразу после появления события. По умолчанию экспорт CEF-сообщений в Консоли отключен.
Примечание
Экспорт событий пока доступен только в on-prem версии Консоли управления.
Включение экспорта событий
-
В Консоли управления слева выберите раздел Настройки.
-
В блоке Настройки выберите SIEM и нажмите Создать.
-
Введите название подключения, адрес и порт и нажмите Создать.
-
В поле Severity введите уровень критичности. В SIEM-систему будут экспортироваться все события с уровнем выше или равным заданному.
Содержание и свойства CEF-сообщений аудит-лога
Сообщение в формате CEF состоит из заголовка и тела сообщения.
В заголовке содержится версия формата CEF и общая информация о событии: производитель, название и версия программы, имя, важность и класс обнаруженного события.
Тело сообщения представляет собой последовательность пар <ключ>=<значение>.
Пример:
Nov 17 13:38:30 browser.yandex.ru CEF:0|Yandex|Browser Management Console|1.0.0|C200|Login|3|externalId=48665£40-a3ad-438a-a908-182345d89a92e rt=1763234573620 serviceName=browser-corp shost=user_host partnerId=corp-e6393c42-6958-4584-bla0-afa2cc9уd2d suid=c74532d3-17£9c-4p£18-a595-94f450a7c026 msg=Login offset=126
Заголовок CEF-сообщения
|
Header |
Пример |
Описание |
|
Device Vendor |
Yandex |
Производитель. Постоянное значение. |
|
Device Product |
Browser Management Console |
Название приложения. Постоянное значение. |
|
Device Version |
1.0.0 |
Версия Консоли управления. |
|
Device Event Class ID (Signature ID) |
C200 |
Уникальный идентификатор класса события (X — любая цифра):
|
|
Event Name |
Login |
Краткое описание события. |
|
Severity |
3 |
Критичность. Используются следующие значения:
Мы опираемся на диапазоны формата CEF: 0-3 = Low, 4-6 = Medium, 7-8 = High, 9-10 = Very-High. |
Классы событий (Signature ID) и список возможных ключей
|
Signature ID |
Name |
Severity |
Msg |
Custom fields |
|
C001 |
Create Balance Request |
4 |
Create balance request |
okved, email, inn, kpp, name |
|
C002 |
Create Build |
3 |
Create build with custom config |
buildId, platform |
|
C003 |
Create Base Build |
3 |
Create build with base config |
buildConfigId |
|
C004 |
Change Build |
3 |
Change build: emailToNotify or checkboxSend |
buildId, emailToNotify, checkboxSend |
|
C005 |
Delete Build |
3 |
Delete build |
buildId |
|
C006 |
Restart Build |
3 |
Restart build |
buildId |
|
C007 |
Copy Build |
3 |
Copy build |
buildConfigId |
|
C008 |
Change Build Config |
3 |
Change build config |
buildConfigId, activeWallpaperId, antishock, blockFlash, encryptionKeysId, externalDeviceManagementUrl, limitLifeCookies, limitLifeTrackers, hasExtensionsCheck, licenceId, licenceStatusUrl, licenceUpdateUrl, name, platform, pollingStatusUrl, profileId, shouldArchiveBrowser, sovetnik, startPage, statistics, tiles, extensions |
|
C009 |
Reset Build Config |
3 |
Reset build config |
buildConfigId |
|
C010 |
Change Company |
3 |
Change company |
country, name, inn, kpp, legalAddress, actualAddress, contactEmail, contactPhone, shouldNotify, isRuResident, pcQuantity |
|
C011 |
Upload Wallpaper |
3 |
Upload wallpaper |
wallpaperId |
|
C012 |
Delete Wallpaper |
3 |
Delete wallpaper |
wallpaperId |
|
C013 |
Create Licence Request |
3 |
Create licence request |
quantity, licenceRequestId, email, phone |
|
C014 |
Create Encryption Keys |
4 |
Create encryption keys in build configuration |
encryptionKeysId, name |
|
C015 |
Switch Company Login Method |
7 |
Switch company login method |
personalCompanyId, porganizationId |
|
C016 |
Send Email To Support |
3 |
Send email to support |
email, organization, emailMessage |
|
C017 |
Set Saml Response Processing API |
7 |
Set saml response processing api |
relayState, samlResponse |
|
C100 |
Create Container |
3 |
Create container |
containerId, profileId, name |
|
C101 |
Delete Container |
4 |
Delete container and all nested entities |
containerId |
|
C102 |
Change Container |
3 |
Change container name or description |
containerId, name |
|
C103 |
Move Container |
3 |
Move container to root or another container |
containerId, newParentId |
|
C104 |
Get or Create Container Enrollment Token |
4 |
Get or create container enrollment token |
containerId, enrollmentTokenId |
|
C105 |
Create Employee |
3 |
Create employee |
employeeId, containerId, name, email, userLogin |
|
C106 |
Create Employees via CSV |
4 |
Create employees via CSV |
containerId, employeeCount, ids, overrideDuplicate |
|
C107 |
Send Emails To Employees |
3 |
Send emails to employees |
containerId, ids, employeeCount |
|
C108 |
Change Employee |
3 |
Change employee or move to another container |
ids, containerId, name, userLogin, profileId, employeeCount |
|
C109 |
Delete Employee |
4 |
Delete employee and all nested entities |
ids, employeeCount |
|
C110 |
Get Or Create Employee Enrollment Token |
4 |
Get or create employee enrollment token |
employeeId, enrollmentTokenId |
|
C111 |
Device Matching |
3 |
Run device matching via button in settings |
|
|
C112 |
Change Device |
3 |
Change device: change matching status or set restart |
deviceId, shouldRestart, profileId, matchingState |
|
C113 |
Delete Device |
4 |
Delete device |
deviceId |
|
C114 |
Set Restart Browsers |
4 |
Set restart browsers related to container or employee |
entityId, entityType |
|
C115 |
Change Policy |
4 |
Change policy |
policyName, policyOption, state, comment, content, profileId |
|
C116 |
Create Policy Keys |
7 |
Create policy keys |
|
|
C117 |
Update Policy Keys |
7 |
Update policy keys |
|
|
C200 (скоро) |
Login |
3 |
Login |
|
|
C201 (скоро) |
Logout |
3 |
Logout |
|
|
C202 |
Create LDAP Connection |
3 |
Create LDAP connection |
name, url, baseDn, bindDn, catalogConnectionId |
|
C203 |
Change LDAP Connection |
7 |
Change LDAP connection |
name, url, baseDn, bindDn, catalogConnectionId, modeContentMinutes, status, syncMode, userDn, userEmail, userFilter, userGroups, userName, userObjectClass, userObjectGUID, userContainersToImport |
|
C204 |
Delete LDAP Connection |
7 |
Delete LDAP connection and all nested entities |
catalogConnectionId |
|
C205 |
Test LDAP Connection |
3 |
Test LDAP connection |
catalogConnectionId, isConnected |
|
C206 |
Sync LDAP Connection |
3 |
Sync LDAP connection |
catalogConnectionId |
|
C207 |
Change Partner Settings |
4 |
Change matching settings in partner settings |
caseSensitiveMatching, externalEmployeeMatching, internalEmployeeMatching |
|
C208 |
Change Entity Licence |
3 |
Change entity (container, employee, device) licence |
licenceId, profileId |
|
C209 |
Delete Entity Licence |
3 |
Delete entity (container, employee, device) licence |
profileId |
|
C210 |
Create SIEM Connector Connection |
7 |
Create SIEM connector connection |
siemConnectorConnectionId, name, severity, url, port |
|
C211 |
Change SIEM Connector Connection |
7 |
Change SIEM connector connection |
siemConnectorConnectionId, name, severity, url, port, status |
|
C212 |
Delete SIEM Connector Connection |
7 |
Delete SIEM connector connection |
siemConnectorConnectionId |
|
C213 (скоро) |
Download Licence |
4 |
Download licence |
licenceId |
|
C214 |
Download Licence Dump |
4 |
Download licence dump |
licenceId |
|
C215 |
Change Licence Dump |
4 |
Change licence dump |
|
|
C216 |
Create API Token |
7 |
Create api token |
apiTokenId, name, description |
|
C217 |
Change API Token |
7 |
Change api token |
apiTokenId, name, description |
|
C218 (скоро) |
Read API Tokens |
4 |
Read api tokens |
ids |
|
C219 |
Delete API Token |
4 |
Delete api token |
apiTokenCount, ids |
|
C220 |
Change Build Ready Notification |
3 |
Change build ready notification |
notificationsEnabled |
|
C221 |
Create Admin |
7 |
Create admin |
adminId, email |
|
C222 |
Change Admin Roles |
7 |
Change admin roles |
adminId, ids |
|
C223 (скоро) |
Delete Admin |
7 |
Delete admin |
adminId |
|
C224 |
Create Role |
7 |
Create role |
permissionValues, name, description |
|
C225 |
Delete Role |
7 |
Delete role |
roleId |
|
C226 |
Create SAML Config |
7 |
Create SAML config |
entryPoint, isToggled, issuer, domainName |
|
C227 |
Change SAML Config |
7 |
Change SAML config |
entryPoint, issuer, samlConfigId |
|
C228 |
Toggle SSO/SAML Login |
7 |
Toggle SSO/SAML login |
samlConfigId, isToggled |
|
C229 |
Delete SAML Config |
7 |
Delete SAML config |
samlConfigId |
Также вы можете перейти на сервис
Полезные ссылки