Аудит системных событий

О сервисе аудита событий

Сервис аудита предназначен для сбора, анализа и хранения данных о действиях пользователей и событиях в системе. Он обеспечивает контроль за безопасностью, позволяя администраторам выявлять, хранить и отслеживать все действия пользователей в системе для предотвращения, обнаружения и реагирования на возможные угрозы или нарушения безопасности. С помощью сервиса аудита можно фиксировать такие действия, как входы в систему, создание, удаление и изменение ресурсов системы и конфигурации ее отдельных компонентов.

Сервис аудита работает таким образом, что каждое действие пользователя в системе идентифицируется как отдельное событие аудита. Это событие затем регистрируется и сохраняется в системное хранилище аудита. Основой для этого хранилища служит системная база данных событий аудита, структура которой определяется системной моделью события аудита.

События аудита систематически записываются в базу данных, обеспечивая возможность их постоянного хранения, систематизации и последующего ретроспективного анализа. События аудита доступны для просмотра в разделе Поиск. Доступ к этим данным позволяет просматривать историю действий пользователей, анализировать поведенческие паттерны и, при необходимости, реагировать на подозрительные или несанкционированные действия.

События сервиса аудита можно анализировать и обрабатывать на конвейере с помощью точки входа Audit. Например, вы можете настроить конфигурацию конвейера на выполнение следующих операций:

Просмотр списка событий аудита

Чтобы просмотреть события сервиса аудита:

Перейдите в раздел Поиск.
Выберите из выпадающего списка в верхней части раздела Хранилище событий аудита.

Задайте критерии поиска событий:

Для поиска событий по ключевым словам или по RQL-запросам введите запрос в поле поиска.

При установке курсора в поле поиска отображается панель с историей поиска. Система сохраняет здесь 5 последних поисковых запросов.

Для поиска событий по периоду времени выберите из выпадающего списка способ задания периода:

Последний период — задайте значение вручную или с помощью кнопок и , после чего выберите единицы времени из выпадающего списка. Поиск событий будет выполняться в указанном диапазоне вплоть до нынешнего момента.
Задать период — укажите даты начала и конца периода, за который будет выполняться поиск событий.

Часто используемые — выберите в разделе один из предлагаемых периодов.

В нижней части выпадающего списка параметров для определения периода расположена секция История поиска. Система сохраняет здесь 5 последних поисковых запросов.

Нажмите на кнопку Поиск. Список событий аудита, соответствующий заданным критериям, отобразится в таблице. Также над таблицей отобразится количество найденных совпадений.

При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только те события, что были найдены до прерывания поиска.

Для событий аудита доступны все стандартные операции над событиями.

Типы событий аудита

Тип события аудита зависит от действия пользователя, а также от раздела системы, в котором это действие было выполнено. Ниже представлен список типов событий аудита.

Table 1. События сервиса аудита
Модуль	Тип события
Evo.Core: Аутентификация	События аутентификации: Вход пользователя; Выход пользователя; Неуспешная попытка входа; Попытка входа заблокированного пользователя; Пользователь заблокирован из-за превышения попыток входа. События настройки средств аутентификации: Смена пароля пользователя; Изменение парольной политики; Изменение политик входа.
Evo.Core: Пользователи	События с пользователями: Создание пользователя; Изменение пользователя; Блокировка пользователя; Разблокировка пользователя; Удаление пользователя.
Evo.Core: Тенанты	События с тенантами: Создание тенанта; Блокировка тенанта; Разблокировка тенанта; Изменение тенанта; Удаление тенанта.
Evo.Core: Роли и разрешения	События с ролями: Создание роли; Изменение роли; Удаление роли. События с группами разрешений: Создание группы разрешений; Изменение группы разрешений; Удаление группы разрешений.
Evo.Core: Группы пользователей и LDAP	События с группами пользователей: Создание группы пользователей; Изменение группы пользователей; Удаление группы пользователей; Синхронизация группы пользователей. События с LDAP-соединениями: Создание LDAP-соединения; Изменение LDAP-соединения; Удаление LDAP-соединения; Синхронизация пользователей домена.
Evo.Siem: Оповещения	События с оповещениями: Закрытие всех открытых оповещений; Отправка оповещения по интеграции; Создание оповещения; Изменение оповещения; Добавление нового события в оповещение. События с комментариями: Создание комментария к оповещению; Изменение комментария к оповещению; Удаление комментария к оповещению.
Evo.Siem: Дашборды	События с дашбордами: Создание дашборда; Изменение дашборда; Удаление дашборда; Импорт дашборда. События с виджетами: Создание виджета; Изменение виджета; Удаление виджета.
Evo.Siem: Активные списки	События с активными списками: Создание активного списка; Изменение активного списка; Удаление активного списка. События с записями активных списков: Создание записи активного списка; Изменение записи активного списка; Удаление записи активного списка; Импорт записей активного списка.
Evo.Siem: Модели событий	Создание модели события; Изменение модели события; Удаление модели события; Включение модели события; Выключение модели события; Импорт модели события.
Evo.Siem: Базы данных событий	Создание БД событий; Изменение БД событий; Удаление БД событий.
Evo.Siem: Хранилища событий	Создание хранилища событий; Изменение хранилища событий; Удаление хранилища событий.
Evo.Siem: Драйверы БД	Создание драйвера БД; Изменение драйвера БД; Удаление драйвера БД.
Evo.Siem: Секреты	Создание секрета; Изменение секрета; Удаление секрета.
Evo.Siem: Интеграции	Создание интеграции; Изменение интеграции; Удаление интеграции; Включение интеграции; Выключение интеграции; Отправка оповещения по интеграции; Отправка отчета по интеграции; Отправка политики аудита источников по интеграции.
Evo.Siem: Отчеты	Создание шаблона отчета; Изменение шаблона отчета; Удаление шаблона отчета; Генерация отчета; Удаление отчета.
Evo.Siem: Экспертиза	События с элементами экспертизы: Публикация элемента экспертизы; Сохранение черновика элемента экспертизы; Удаление элемента экспертизы; Включение элемента экспертизы; Выключение элемента экспертизы. События с каталогами: Создание каталога; Изменение каталога; Перемещение каталога; Перенос элемента экспертизы.
Evo.Siem: Коллектор	События с коллекторами: Создание коллектора; Изменение коллектора; Удаление коллектора; Включение коллектора; Выключение коллектора; Импорт коллектора. События с шинами: Создание шины; Изменение шины; Удаление шины. События с таблицами обогащения: Добавление таблицы обогащения; Изменение таблицы обогащения; Удаление таблицы обогащения. События с конвейерами: Создание конвейера; Изменение общих свойств конвейера; Изменение конфигурации конвейера; Создание копии конвейера; Удаление конвейера; Импорт конвейера; Установка конфигурации; Отключение конфигурации.
Evo.Siem: Аудит источников	Создание политики аудита источников; Изменение политики аудита источников; Удаление политики аудита источников; Включение политики аудита источников; Выключение политики аудита источников.