Аудит системных событий

О сервисе аудита событий

Сервис аудита предназначен для сбора, анализа и хранения данных о действиях пользователей и событиях в системе. Он обеспечивает контроль за безопасностью, позволяя администраторам выявлять, хранить и отслеживать все действия пользователей в системе для предотвращения, обнаружения и реагирования на возможные угрозы или нарушения безопасности. С помощью сервиса аудита можно фиксировать такие действия, как входы в систему, создание, удаление и изменение ресурсов системы и конфигурации ее отдельных компонентов.

Сервис аудита работает таким образом, что каждое действие пользователя в системе идентифицируется как отдельное событие аудита. Это событие затем регистрируется и сохраняется в системное хранилище аудита. Основой для этого хранилища служит системная база данных событий аудита, структура которой определяется системной моделью события аудита.

События аудита систематически записываются в базу данных, обеспечивая возможность их постоянного хранения, систематизации и последующего ретроспективного анализа. События аудита доступны для просмотра в разделе Поиск. Доступ к этим данным позволяет просматривать историю действий пользователей, анализировать поведенческие паттерны и, при необходимости, реагировать на подозрительные или несанкционированные действия.

События сервиса аудита можно анализировать и обрабатывать на конвейере с помощью точки входа Audit. Например, вы можете настроить конфигурацию конвейера на выполнение следующих операций:

Просмотр списка событий аудита

Чтобы просмотреть события сервиса аудита:

Перейдите в раздел Поиск.
Выберите из выпадающего списка в верхней части раздела Хранилище событий аудита.

Задайте критерии поиска событий:

Для поиска событий по ключевым словам или по RQL-запросам введите запрос в поле поиска.

При установке курсора в поле поиска отображается панель с историей поиска. Система сохраняет здесь 5 последних поисковых запросов.

Для поиска событий за период времени выберите из выпадающего списка способ задания периода:

Последний период — задайте значение вручную или с помощью кнопок и , после чего выберите единицы времени из выпадающего списка. Поиск событий будет выполняться в указанном диапазоне вплоть до нынешнего момента.
Задать период — укажите даты начала и конца периода, за который будет выполняться поиск событий.

Часто используемые — выберите в разделе один из предлагаемых периодов.

В нижней части выпадающего списка параметров для определения периода расположена секция История поиска. Система сохраняет здесь 5 последних поисковых запросов.

Нажмите на кнопку Поиск. Список событий аудита, соответствующий заданным критериям, отобразится в таблице. Также над таблицей отобразится количество найденных совпадений.

При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только те события, что были найдены до прерывания поиска.

Для событий аудита доступны все стандартные операции над событиями.

Типы событий аудита

Тип события аудита зависит от действия пользователя, а также от раздела системы, в котором это действие было выполнено.

Система отслеживает следующие события аудита:

Системные события аудита
События аудита пространств
События аудита SIEM
События аудита менеджера агентов

Системные события аудита

Группа событий	Тип события
Аутентификация	Вход пользователя Выход пользователя Неуспешная попытка входа Попытка входа заблокированного пользователя Пользователь заблокирован по причине превышения попыток входа
Настройка средств аутентификации	Смена пароля пользователя Изменение настроек политики требований к паролю Изменение настроек политики требований к входу
Пользователи	Создание пользователя Изменение пользователя Блокировка пользователя Разблокировка пользователя Удаление пользователя
Группы пользователей	Создание группы пользователей Изменение группы пользователей Удаление группы пользователей Синхронизация группы пользователей
Тенанты	Создание тенанта Блокировка тенанта Разблокировка тенанта Изменение тенанта Удаление тенанта
Роли	Создание роли Изменение роли Удаление роли
LDAP-соединения	Создание LDAP-соединения Изменение LDAP-соединения Удаление LDAP-соединения Синхронизация пользователей домена

Группа событий

Тип события

Аутентификация

Вход пользователя
Выход пользователя
Неуспешная попытка входа
Попытка входа заблокированного пользователя
Пользователь заблокирован по причине превышения попыток входа

Настройка средств аутентификации

Смена пароля пользователя
Изменение настроек политики требований к паролю
Изменение настроек политики требований к входу

Пользователи

Создание пользователя
Изменение пользователя
Блокировка пользователя
Разблокировка пользователя
Удаление пользователя

Группы пользователей

Создание группы пользователей
Изменение группы пользователей
Удаление группы пользователей
Синхронизация группы пользователей

Тенанты

Создание тенанта
Блокировка тенанта
Разблокировка тенанта
Изменение тенанта
Удаление тенанта

Роли

Создание роли
Изменение роли
Удаление роли

LDAP-соединения

Создание LDAP-соединения
Изменение LDAP-соединения
Удаление LDAP-соединения
Синхронизация пользователей домена

События аудита пространств

Группа событий	Тип события
Пространства	Создание пространства Изменение пространства Удаление пространства
Сервисы	Запуск сервиса Остановка сервиса

Группа событий

Тип события

Пространства

Создание пространства
Изменение пространства
Удаление пространства

Сервисы

Запуск сервиса
Остановка сервиса

События аудита SIEM

Группа событий	Тип события
Оповещения	Закрытие всех открытых оповещений Создание оповещения Изменение оповещения Массовое изменение оповещений Добавление нового события в оповещение
Комментарии	Создание комментария к оповещению Изменение комментария к оповещению Удаление комментария к оповещению
Дашборды	Создание дашборда Изменение дашборда Удаление дашборда Импорт дашборда
Виджеты	Создание виджета Изменение виджета Удаление виджета
Активные списки	Создание активного списка Изменение активного списка Удаление активного списка
Записи активных списков	Создание записи активного списка Изменение записи активного списка Удаление записи активного списка Импорт записей активного списка
Модели событий	Создание модели события Изменение модели события Удаление модели события Включение модели события Выключение модели события Импорт модели события
Базы данных событий	Создание базы данных Изменение базы данных Удаление базы данных
Хранилища событий	Создание хранилища событий Изменение хранилища событий Удаление хранилища событий
Драйверы БД	Создание драйвера БД Изменение драйвера БД Удаление драйвера БД
Секреты	Создание секрета Изменение секрета Удаление секрета
Интеграции	Создание интеграции Изменение интеграции Удаление интеграции Включение интеграции Выключение интеграции
Отправка по интеграции	Отправка оповещений по интеграции Отправка отчетов по интеграции Отправка политик мониторинга по интеграции
Шаблоны отчета	Создание шаблона отчета Изменение шаблона отчета Удаление шаблона отчета
Отчеты	Генерация отчета Удаление отчета
Элементы экспертизы	Публикация и изменение элемента экспертизы Создание черновика элемента экспертизы Удаление элемента экспертизы Включение элемента экспертизы Выключение элемента экспертизы
Каталоги	Создание каталога Изменение каталога Перенос элемента экспертизы Перенос каталога
Коллекторы	Создание коллектора Изменение коллектора Удаление коллектора Включение коллектора Выключение коллектора Импорт коллектора
Шины	Создание шины Изменение шины Удаление шины
Обогащения	Добавление обогащения Изменение обогащения Удаление обогащения
Конвейеры	Создание конвейера Изменение конвейера Удаление конвейера Создание копии конвейера Импорт конвейера Сброс метрик конвейера
Конфигурации конвейеров	Установка конфигурации Отключение конфигурации Изменение конфигурации
Политики мониторинга	Создание политики мониторинга Изменение политики мониторинга Удаление политики мониторинга Включение политики мониторинга Выключение политики мониторинга

Группа событий

Тип события

Оповещения

Закрытие всех открытых оповещений
Создание оповещения
Изменение оповещения
Массовое изменение оповещений
Добавление нового события в оповещение

Комментарии

Создание комментария к оповещению
Изменение комментария к оповещению
Удаление комментария к оповещению

Дашборды

Создание дашборда
Изменение дашборда
Удаление дашборда
Импорт дашборда

Виджеты

Создание виджета
Изменение виджета
Удаление виджета

Активные списки

Создание активного списка
Изменение активного списка
Удаление активного списка

Записи активных списков

Создание записи активного списка
Изменение записи активного списка
Удаление записи активного списка
Импорт записей активного списка

Модели событий

Создание модели события
Изменение модели события
Удаление модели события
Включение модели события
Выключение модели события
Импорт модели события

Базы данных событий

Создание базы данных
Изменение базы данных
Удаление базы данных

Хранилища событий

Создание хранилища событий
Изменение хранилища событий
Удаление хранилища событий

Драйверы БД

Создание драйвера БД
Изменение драйвера БД
Удаление драйвера БД

Секреты

Создание секрета
Изменение секрета
Удаление секрета

Интеграции

Создание интеграции
Изменение интеграции
Удаление интеграции
Включение интеграции
Выключение интеграции

Отправка по интеграции

Отправка оповещений по интеграции
Отправка отчетов по интеграции
Отправка политик мониторинга по интеграции

Шаблоны отчета

Создание шаблона отчета
Изменение шаблона отчета
Удаление шаблона отчета

Отчеты

Генерация отчета
Удаление отчета

Элементы экспертизы

Публикация и изменение элемента экспертизы
Создание черновика элемента экспертизы
Удаление элемента экспертизы
Включение элемента экспертизы
Выключение элемента экспертизы

Каталоги

Создание каталога
Изменение каталога
Перенос элемента экспертизы
Перенос каталога

Коллекторы

Создание коллектора
Изменение коллектора
Удаление коллектора
Включение коллектора
Выключение коллектора
Импорт коллектора

Шины

Создание шины
Изменение шины
Удаление шины

Обогащения

Добавление обогащения
Изменение обогащения
Удаление обогащения

Конвейеры

Создание конвейера
Изменение конвейера
Удаление конвейера
Создание копии конвейера
Импорт конвейера
Сброс метрик конвейера

Конфигурации конвейеров

Установка конфигурации
Отключение конфигурации
Изменение конфигурации

Политики мониторинга

Создание политики мониторинга
Изменение политики мониторинга
Удаление политики мониторинга
Включение политики мониторинга
Выключение политики мониторинга

События аудита менеджера агентов

Раздел	Тип события
Агенты → Агенты	Регистрация агента Удаление агента Отключение агента Обновление инвентарной информации об агенте Добавление агента в группу Создание группы с выбранным агентом Удаление агента из группы
Агенты → Группы агентов	Создание группы агентов Дублирование группы агентов Изменение группы агентов Удаление группы агентов Изменение конфигурации группы агентов
Агенты → Шлюзы	Создание шлюза Изменение шлюза Удаление шлюза Запуск шлюза Остановка шлюза
Настройки → Агенты	Изменение параметров работы агента

Раздел

Тип события

Агенты → Агенты

Регистрация агента
Удаление агента
Отключение агента
Обновление инвентарной информации об агенте
Добавление агента в группу
Создание группы с выбранным агентом
Удаление агента из группы

Агенты → Группы агентов

Создание группы агентов
Дублирование группы агентов
Изменение группы агентов
Удаление группы агентов
Изменение конфигурации группы агентов

Агенты → Шлюзы

Создание шлюза
Изменение шлюза
Удаление шлюза
Запуск шлюза
Остановка шлюза

Настройки → Агенты

Изменение параметров работы агента