レポート、アラート、SIEM
Keeperの高度なレポートとアラートモジュール(Advanced Reporting and Alerts Module)(ARAM)は、詳細なイベントログを備えており、コンプライアンス要件に対応できます。
概要
Keeperの高度なレポートとアラートモジュール(Advanced Reporting and Alerts Module)(ARAM)は、Keeper Securityプラットフォームの重要コンポーネントの1つで、Keeperの管理者およびコンプライアンスチームは各種ツールを利用して、全体的な利用状況やポリシーの準拠を監視することができます。
主な機能
レポート作成エンジン カテゴリ別に分類された100以上のさまざまなイベントタイプを含む時間ベースのカスタムレポートを実行します(セキュリティイベント、管理者の操作、一般的な利用状況など)。 ユーザー、イベントタイプ、属性(記録UID、共有フォルダUID、位置情報など)で絞り込むことができます。
アラート アラートトリガを設定し、特定のイベントタイプに基づきEメールやSMS、Webフックで通知することができます(例: ポリシーの変更時に管理者に通知するなど)。
外部ログ 既存の Splunk、Sumo、またはLogRhythmなどのSIEMソリューションと統合します。
BreachWatch監視 BreachWatchイベントの通知を取得したり追跡できます(高リスクパスワード、解決された高リスクパスワードをユーザーに通知)。
Commander CLI/SDKの統合 Keeper Commanderを利用すると、カスタマイズレポートおよび自動化を実行できます。
コンプライアンス監査 SOX、ISO、SOCのコンプライアンス監査要件に対応するレポートを作成できます。
レポートのインターフェース
レポートとアラートダッシュボードには、上位5つのイベント、2つの組み込みレポート、およびカスタムレポートの概要が表示されます。「最近のアクティビティ」レポートは組み込みレポートの1つで、16のイベントタイプの直近1,000件のイベントに関する基本的なイベント追跡が可能です。 お客様は高度なレポートとアラートモジュールにアップグレードすることで、100個のイベントタイプを追跡したり、カスタムレポートを作成したり、アラートを通知することができます。
「最近のアクティビティ(Recent Activity)」レポートおよび「すべてのセキュリティイベント(All Security Events)」レポートは、Keeper BusinessおよびEnterpriseのすべてのサブスクリプションで提供されます。 カスタムレポートとアラートは、高度なレポートとアラートモジュール(ARAM)の機能の1つです。 この機能を利用するには、Keeper Securityのアカウントマネージャに問い合わせるか、管理コンソールの安全なアドオンインターフェースで、サブスクリプションをアップグレードしてください。
管理者は、カスタムレポート追加をクリックして、カスタムレポートを作成できます。
結果をレビューするには、適用をクリックします。このレポートを今後使用する場合、保存をクリックします。イベントは、JSON、CSV、またはSysLog形式のファイルとしてエクスポートできます。
Keeperボルトのデバイスで生成された新規イベントは、レポートモジュールに表示されるまで最大15分かかる場合があります。
IPアドレスに基づく位置情報
IPアドレスに基づく位置情報の精度は、ユーザーの位置の特定に使用するデータベースによって異なります。 位置情報データの精度は、複数の要因によって左右されます。 レジストリが受信したデータをどの程度正確に検証できるかということが最も重要です。 IPアドレスに紐付けられている情報が不正確な場合、有用性が低下します。 IPアドレスが頻繁に変更されたり、モバイルキャリアがユーザーのインターネットアクセスに集中型のゲートウェイを使用している携帯電話の場合、位置情報の特定は著しく困難になります。 また、ユーザーがプロキシやVPNの位置データを使用している場合も、データは常に不正確になります。
Keeperは、業界で最も信頼されるプロバイダの1つに加わっており、定期的に公開されている既知のIPアドレスと照合してデータ品質を検証することで、品質保証を行っています。
タイムライングラフ
タイムライングラフには、24時間、7日、および30日間のイベントのチャートが表示されます。 任意のイベント行をクリックすると、その期間のすべてのイベントを含むレポートが開きます。
アラート
アラートモジュールを使用すると、イベントに基づくトリガを作成して、EメールまたはSMSによるアラートを生成できます。
新しいアラートは、アラート追加をクリックして、名前とフィルタ条件を指定することで、新しいレポートと同様に作成されます。メールアドレス、電話番号(SMS用)またはその両方を使用して、受信者を1人以上追加できます。受信者は企業の一員である必要はなく、任意のメールアドレスまたは電話番号を提供できます。イベントを生成したユーザーが最初の受信者として事前定義されています。これは、デフォルトで「OFF」になっており、発信者へのアラートの送信を有効にするには、「ON」に切り替える必要があります。
範囲の広いイベントや属性フィルタを指定すると、大量のアラートが生成される可能性があります。アラートの頻度を調整し、イベントタイプとフィルタの設定を絞り込み、アラートのノイズを軽減します。
大量のEメールやSMSが受信者に届かないように、アラートを抑制することができます。抑制する方法の1つは、アラート頻度を指定することです。たとえば、頻度を「期間中に1回」に設定し、期間を1時間に設定した場合、アラートフィルタに一致するすべてのイベントは引き続きアラートの「発生」をトリガしますが、メッセージは、前回のメッセージから1時間経過した場合のみ送信されます。アラートを抑制する別の方法は、切り替えスイッチを使用してアラートを一時停止することです。一時停止されたアラートは、「発生」は蓄積されますが、実際のメッセージは送信されません。再開されると、アラートに一致する次のイベントがトリガされ、一時停止中に発生したイベントの数を含むメッセージが送信されます。
Eメールアラートの例を以下に示します。
アラート履歴は、「アラートを送信しました」タブで閲覧可能で、個々のイベントを絞り込んで確認できます。
外部のSIEMログ
サードパーティのSIEMソリューションを利用している場合、Keeper管理コンソールを構成することで、ライブイベントデータを外部SIEM製品に自動的にフィードすることができます。現在サポートされているシステムは次のとおりです。
イベントデータは、Keeperのサーバーから宛先のSIEMコレクタに送信されます。一度に有効化できる外部同期の方法は1つのみです。
セットアップをクリックして、外部ログソリューションを有効化します。 各ログプラットフォームのセットアップは容易で、通常、統合する必要がある属性はわずかです。
イベントタイプ
管理コンソール内のデフォルトの「最近のアクティビティ」レポートには、16種類のイベントタイプが含まれています。 Keeperの高度なレポートとアラートモジュールは、最大100種類のイベントタイプをサポートしています。
Keeper Enterpriseによってキャプチャされたイベントは、レポートとアラート構成内のドロップダウンメニューから表示できます。
BreachWatchイベントの有効化
デフォルトでは、エンドユーザー端末のBreachWatchイベントは収集されず、高度なレポートとアラートモジュールには転送されません。 これらのイベントは、ロールポリシーを使用して管理されます。この機能を有効にするには、ロール > 強制ポリシー > ボルト機能に移動し、レポート&アラートおよび接続している外部ログシステムにBreachWatchのイベントを送信を「ON」に切り替えます。
イベントリスト
以下のチャートは、Keeperの高度なレポートとアラートモジュールでキャプチャした利用可能なすべてのイベントのリストを示しています。イベントコードは、ユーザーインターフェースおよびKeeper Commander CLIコマンドパラメータ内で使用されます。「メッセージ」フィールドは、アラートモジュールに使用されます。
各イベント内には、記録UID、共有フォルダUID、チームUID、ユーザー名などの追加属性が存在する場合があります。これらの属性はイベントの説明内に表示され、宛先で指定された形式で、サードパーティSIEMプロバイダにも提供されます。
| イベントコード | カテゴリ | メッセージ | コメント |
|---|---|---|---|
change_master_password | アカウント(account) | ユーザー${username}はマスターパスワードを変更しました(User ${username} changed master password) | |
set_two_factor_off | セキュリティ(security) | ユーザー${username}は二要素認証方法をOFFに設定しました(User ${username} set 2FA method OFF) | |
change_security_question | アカウント(account) | ユーザー${username}は秘密の質問と回答を変更しました(User ${username} changed security question) | |
change_email | アカウント(account) | ユーザー${username}はEメールを変更しました(User ${username} changed email.)以前のEメール(Previous email ${email}) | |
alias_added | アカウント(account) | ユーザー${username}は代替のEメール${email}を追加しました(User ${username} added alternative email ${email}) | |
create_user | セキュリティ(security) | ユーザー${username}が作成されました(User ${username} created) | |
delete_user | セキュリティ(security) | ユーザー${to_username}は管理者${username}によって削除されました(User ${to_username} was deleted by admin ${username}) | |
fast_fill | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を自動入力しました(User ${username} autofilled record UID ${record_uid}) | |
ログイン(login) | ログイン(login) | ユーザー${username}はボルトにログインしました(User ${username} logged in to vault) | オプション: "channel" |
login_failure | ログイン(login) | ユーザー${username}はコード${result_code}によりログインに失敗しました(User ${username} login failed with code ${result_code}) | オプション: "channel" |
open_record | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を開きました(User ${username} opened record UID ${record_uid}) | オプション: "folder_type"、"folder_uid" |
record_add | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を追加しました(User ${username} added record UID ${record_uid}) | オプション: "folder_type"、"folder_uid" |
record_delete | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}をゴミ箱に送信しました(User ${username} sent record UID ${record_uid} to trash) | オプション: "folder_type"、"folder_uid" |
record_remove | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を削除しました(User ${username} removed record UID ${record_uid}) | オプション: "folder_type"、"folder_uid" |
record_update | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を更新しました(User ${username} updated record UID ${record_uid}) | オプション: "folder_type"、"folder_uid" |
set_two_factor_on | セキュリティ(security) | ユーザー${username}は二要素認証方法${channel}をONにしました(User ${username} set 2FA method ${channel} ON) | |
共有(share) | 共有(share) | ユーザー${username}は記録UID${record_uid}を${to_username}と共有しました(User ${username} shared record UID ${record_uid} with ${to_username}) | |
transfer_owner | 共有(share) | ユーザー${username}は記録UID${record_uid}の所有者をユーザー${to_username}に移転しました(User ${username} transferred ownership of record UID ${record_uid} to user ${to_username}) | |
change_share | 共有(share) | ユーザー${username}は記録UID${record_uid}の共有権限をユーザー${to_username}に変更しました(User ${username} changed share permissions for record UID ${record_uid} to user ${to_username}) | このイベントログはユーザーの記録共有に対する変更です 記録の共有には、再共有および編集権限が含まれます |
remove_share | 共有(share) | ユーザー${username}は記録UID${record_uid}の共有をユーザー${to_username}から削除しました(User ${username} removed share of record UID ${record_uid} from user ${to_username}) | |
accept_share | 共有(share) | ユーザー ${username}ユーザー${username}の共有を承諾しました(User ${username} accepted share from user ${to_username}) | |
cancel_share | 共有(share) | ユーザー${username}はユーザー${to_username}の共有をキャンセルしました(User ${username} canceled share from user ${to_username}) | |
add_security_key | セキュリティ(security) | ユーザー${username}はセキュリティキーを追加しました(User ${username} added security key) | |
delete_security_key | セキュリティ(security) | ユーザー${username}はセキュリティキーを削除しました(User ${username} removed security key) | |
added_folder | 使用状況(usage) | ユーザー${username}は${folder_type}のフォルダUID${folder_uid}を作成しました(User ${username} created ${folder_type} folder UID ${folder_uid}) | |
folder_add_user | 共有(share) | ユーザー${username}はユーザー${to_username}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added user ${to_username} to shared folder UID ${shared_folder_uid}) | |
folder_remove_user | 共有(share) | ユーザー${username}はユーザー${to_username}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed user ${to_username} from shared folder UID ${shared_folder_uid}) | |
folder_add_team | 共有(share) | ユーザー${username}はチームUID${team_uid}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added team UID ${team_uid} to shared folder UID ${shared_folder_uid}) | |
folder_remove_team | 共有(share) | ユーザー${username}はチームUID${team_uid}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed team UID ${team_uid} from shared folder UID ${shared_folder_uid}) | |
folder_add_record | 共有(share) | ユーザー${username}は記録${record_uid}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added record ${record_uid} to shared folder UID ${shared_folder_uid}) | |
folder_remove_record | 共有(share) | ユーザー${username}は記録${record_uid}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed record ${record_uid} from shared folder UID ${shared_folder_uid}) | |
empty_trash | 使用状況(usage) | ユーザー${username}は削除した記録を消去しました(User ${username} purged deleted records) | |
added_shared_folder | 共有(share) | ユーザー${username}は共有フォルダUID${shared_folder_uid}を作成しました(User ${username} created shared folder UID ${shared_folder_uid}) | |
deleted_shared_folder | 共有(share) | ユーザー${username}は共有フォルダUID${shared_folder_uid}を削除しました(User ${username} deleted shared folder UID ${shared_folder_uid}) | |
deleted_folder | 使用状況(usage) | ユーザー${username}は${folder_type}のフォルダUID${folder_uid}を削除しました(User ${username} deleted ${folder_type} folder UID ${folder_uid}) | |
folder_change_user | 共有(share) | ユーザー${username}はユーザー${to_username}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed user ${to_username} permissions to shared folder UID ${shared_folder_uid}) | |
folder_change_team | 共有(share) | ユーザー${username}はチームUID${team_uid}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed team UID ${team_uid} permissions to shared folder UID ${shared_folder_uid}) | |
folder_change_record | 共有(share) | ユーザー${username}は記録${record_uid}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed record ${record_uid} permissions to shared folder UID ${shared_folder_uid}) | |
record_share_outside_user | 共有(share) | ユーザー${username}は共有UID${record_uid}を社外ユーザー${to_username}と共有しました(User ${username} shared record UID ${record_uid} outside the company with user ${to_username}) | |
folder_add_outside_user | 共有(share) | ユーザー${username}は社外ユーザー${to_username}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added outside the company user ${to_username} to shared folder UID ${shared_folder_uid}) | |
node_created | ポリシー(policy) | ユーザー${username}はノード${node}を作成しました(User ${username} created node ${node}) | |
node_deleted | ポリシー(policy) | ユーザー${username}はノード${node}を削除しました(User ${username} deleted node ${node}) | |
role_created | ポリシー(policy) | ユーザー${username}はロール${role_id}を作成しました(User ${username} created role ${role_id}) | |
role_deleted | ポリシー(policy) | ユーザー${username}はロール${role_id}を削除しました(User ${username} deleted role ${role_id}) | |
team_created | ポリシー(policy) | ユーザー${username}はチーム${team_uid}を作成しました(User ${username} created team ${team_uid}) | |
team_deleted | ポリシー(policy) | ユーザー${username}はチーム${team_uid}を削除しました(User ${username} deleted team ${team_uid}) | |
login_console | ログイン(login) | ユーザー${username}は管理コンソールにログインしました(User ${username} logged into Admin Console) | |
expire_password | セキュリティ(security) | ユーザー${to_username}のマスターパスワードは管理者${username}によってリセットされました(User ${to_username} master password was reset by admin ${username}) | |
send_invitation | セキュリティ(security) | ユーザー${username}は${to_username}に参加を招待しました(User ${username} invited ${to_username} to join) | |
vault_transferred | セキュリティ(security) | ユーザー${from_username}のボルトは管理者${username}によってユーザー${to_username}に移管されました(User ${from_username} vault was transferred to user ${to_username} by admin ${username}) | |
added_admin_key | セキュリティ(security) | ユーザー${to_username}は管理者${username}によって管理者権限が付与されました(User ${to_username} was provided admin permissions by admin ${username}) | |
added_to_role | セキュリティ(security) | ユーザー${to_username}は管理者${username}によってロール${role_id}に追加されました(User ${to_username} was added to Role ${role_id} by admin ${username}) | |
added_to_team | 共有(share) | ユーザー${to_username}は管理者${username}によってチーム${team_uid}に追加されました(User ${to_username} was added to Team ${team_uid} by admin ${username}) | |
accept_transfer | セキュリティ(security) | ユーザー${username}はアカウント移管の同意を承認しました(User ${username} accepted account transfer consent) | |
accept_invitation | セキュリティ(security) | ユーザー${username}は招待状に承諾しました(User ${username} accepted invitation) | |
lock_user | セキュリティ(security) | ユーザー${to_username}は管理者${username}によってロックされました(User ${to_username} was locked by admin ${username}) | |
enable_user | セキュリティ(security) | ユーザー${to_username}は管理者${username}によって有効化されました(User ${to_username} was enabled by admin ${username}) | |
set_custom_header_logo | ポリシー(policy) | ユーザー${username}はヘッダーのカスタムロゴを設定しました(User ${username} set custom header logo) | |
set_custom_email_logo | ポリシー(policy) | ユーザー${username}はEメールのカスタムロゴを設定しました(User ${username} set custom email logo ) | |
set_custom_email_content | ポリシー(policy) | ユーザー${username}はEメールのカスタムコンテンツを設定しました(User ${username} set custom email content) | |
bridge_activated | ポリシー(policy) | ユーザー${username}はノード${node}でKeeper Bridgeを有効化しました(User ${username} activated Keeper Bridge on node ${node}) | |
sso_activated | ポリシー(policy) | ユーザー${username}はノード${node}でKeeper SSO Connectを有効化しました(User ${username} activated Keeper SSO Connect on node ${node}) | |
email_provisioning_activated | ポリシー(policy) | ユーザー${username}はノード${node}でドメイン${email_domain}のメールアドレスで自動プロビジョニングを有効化しました(User ${username} activated Email auto-provisioning for domain ${email_domain} on node ${node}) | |
scim_activated | ポリシー(policy) | ユーザー${username}はノード${node}でSCIMプロビジョニングを有効化しました(User ${username} activated SCIM provisioning on node ${node}) | |
role_enforcement_changed | ポリシー(policy) | ユーザー${username}はロール${role_id}に対して${value}の強制${enforcement}を変更しました(User ${username} changed enforcement ${enforcement} to ${value} for role ${role_id}) | |
login_failed_console | セキュリティ(security) | ユーザー${username}は管理コンソールへのログインに失敗しました(User ${username} failed login to Admin Console) | オプション: "channel" |
audit_sync_failed | 使用状況(usage) | ${channel}との監査ログの同期はエラー${result_code}により失敗しました(Audit log sync to ${channel} failed with error ${result_code}) | |
audit_sync_restored | 使用状況(usage) | ${channel}との監査ログの同期が回復しました(Audit log sync to ${channel} restored) | |
audit_sync_resumed | 使用状況(usage) | 管理者${username}は${channel}との監査ログの同期を再開しました(Admin ${username} resumed audit log sync to ${channel}) | |
audit_sync_paused | 使用状況(usage) | ${channel}との監査ログの同期を一時停止しました(Audit log sync to ${channel} paused) | |
audit_sync_setup | ポリシー(policy) | 管理者${username}は"${name}"との監査ログの同期を設定しました(Admin ${username} set up audit log sync to "${name}") | |
audit_sync_removed | ポリシー(policy) | 管理者${username}は"${name}"との監査ログの同期を削除しました(Admin ${username} removed audit log sync to "${name}") | |
audit_alert_sent | 使用状況(usage) | 監査アラート"${channel}"は${recipient}に送信されました(Audit alert "${channel}" was sent to ${recipient}) | オプション: "parent_id" |
login_failed_ip_whitelist | セキュリティ(security) | ユーザー${username}はIP${ip_address}からブロックされています(User ${username} has been blocked from IP ${ip_address}) | |
decline_invitation | セキュリティ(security) | ユーザー${username}は招待を拒否しました(User ${username} declined invitation) | |
set_2fa_configuration | ポリシー(policy) | ノード${node}に対して二要素認証${value}のグローバル構成が設定されました(Set global 2FA configuration ${value} for node ${node}) | |
report_created | ポリシー(policy) | 管理者${username}はレポート${report_name}を作成しました(Admin ${username} created report ${report_name}) | |
report_modified | ポリシー(policy) | 管理者${username}はレポート${report_name}を変更しました(Admin ${username} modified report ${report_name}) | |
report_deleted | ポリシー(policy) | 管理者${username}はレポート${report_name}を削除しました(Admin ${username} deleted report ${report_name}) | |
record_password_change | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のパスワードを変更しました(User ${username} changed password on record UID ${record_uid}) | |
added_identity | 使用状況(usage) | ユーザー${username}はIDを追加しました(User ${username} added an identity) | |
added_payment_card | 使用状況(usage) | ユーザー${username}はクレジットカードを追加しました(User ${username} added a payment card) | |
changed_identity | 使用状況(usage) | ユーザー${username}はIDを変更しました(User ${username} changed an identity) | |
changed_payment_card | 使用状況(usage) | ユーザー${username}はクレジットカードを変更しました(User ${username} changed a payment card) | |
copy_password | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のクリップボードにパスワードをコピーしました(User ${username} copied password to clipboard on record UID ${record_uid}) | |
imported_records | 使用状況(usage) | ユーザー${username}は記録を${file_format}ファイルからインポートしました(User ${username} imported records from ${file_format} file) | IOSは非該当 |
exported_records | 使用状況(usage) | ユーザー${username}は記録を${file_format}ファイルにエクスポートしました(User ${username} exported records to ${file_format} file) | IOSは非該当 |
weak_password | パスワード(password) | ユーザー${username}は弱いパスワードを作成しました(User ${username} created a password that is weak) | N/A |
reused_password | パスワード(password) | ユーザー${username}はパスワードを再利用しました(User ${username} reused a password) | |
revision_restored | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}の以前のリビジョンを復元しました(User ${username} restored previous revision of record UID ${record_uid}') | |
record_restored | 使用状況(usage) | ユーザー${username}は削除した記録UID${record_uid}を復元しました(User ${username} restored deleted record UID ${record_uid}) | |
high_risk_password_detected | breachwatch | BreachWatchはユーザー${username}の記録UID${record_uid}で高リスクなパスワードを検出しました(BreachWatch detected a high-risk password for user ${username} record UID ${record_uid}) | N/A |
high_risk_password_resolved | breachwatch | ユーザー${username}はBreachWatchで検出された記録UID${record_uid}の高リスクなパスワードを解決しました(User ${username} resolved a high-risk password detected by BreachWatch for record UID ${record_uid}) | N/A |
high_risk_password_ignored | breachwatch | ユーザー${username}はBreachWatchで検出された記録UID${record_uid}の高リスクなパスワードを無視しました(User ${username} ignored a high-risk password detected by BreachWatch for record UID ${record_uid}) | N/A |
chat_message_sent | チャット(chat) | ユーザー${username}はセキュアメッセージを送信しました(User ${username} sent a secure message) | |
chat_message_received | チャット(chat) | ユーザー${username}はセキュアメッセージを受信しました(User ${username} received a secure message) | |
chat_message_destruct | チャット(chat) | ユーザー${username}はメッセージを自己破壊するよう設定しました(User ${username} set a message to self destruct) | |
chat_file_attached | チャット(chat) | ユーザー${username}はファイルを送信しました(User ${username} sent a file) | |
chat_contact_added | チャット(chat) | ユーザー${username}は連絡先として${to_username}を招待しました(User ${username} invited ${to_username} as contact) | |
chat_login | チャット(chat) | ユーザー${username}はKeeperChatにログインしました(User ${username} logged in to KeeperChat) | |
chat_login_failed | チャット(chat) | ユーザー${username}はコード${result_code}によりKeeperChatのログインに失敗しました(User ${username} login failed to KeeperChat with code ${result_code}) | |
file_attachment_uploaded | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}をアップロードしました(User ${username} uploaded file attachment UID ${attachment_id} on record UID ${record_uid}) | |
file_attachment_downloaded | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}をダウンロードしました(User ${username} downloaded file attachment UID ${attachment_id} on record UID ${record_uid}) | |
file_attachment_deleted | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}を削除しました(User ${username} deleted file attachment UID ${attachment_id} on record UID ${record_uid}) | |
audit_alert_created | ポリシー(policy) | 管理者${username}は監査アラート"${name}"を作成しました(Admin ${username} created audit alert "${name}") | |
audit_alert_deleted | ポリシー(policy) | 管理者${username}は監査アラート"${name}"を削除しました(Admin ${username} deleted audit alert "${name}") | |
audit_alert_paused | ポリシー(policy) | 管理者${username}はユーザー${recipient}の監査アラート"${name}"を一時停止しました(Admin ${username} paused audit alert "${name}" for user ${recipient}) | |
audit_alert_resumed | ポリシー(policy) | 管理者${username}はユーザー${recipient}の監査アラート"${name}"を再開しました(Admin ${username} resumed audit alert "${name}" for user ${recipient}) | |
bw_record_high_risk | breachwatch | ユーザー${username}は高リスクパスワードの通知を受けました(User ${username} was notified of a high risk password) | |
bw_record_ignored | breachwatch | ユーザー${username}は高リスクパスワードを無視しました(User ${username} ignored high risk password) | |
bw_record_resolved | breachwatch | ユーザー${username}は高リスクパスワードを解決しました(User ${username} resolved a high risk password) | |
msp_attaches_mc | msp | ユーザー${username}はEnterprise${enterprise}をノード${node}に添付しました(User ${username} attached enterprise ${enterprise} to node ${node}) | |
msp_increases_mc_seats | msp | ユーザー${username}はEnterprise${enterprise}のシート数を${seats_added}つ増やしました(User ${username} increased number of seats for enterprise ${enterprise} by ${seats_added}) | |
msp_decreases_mc_seats | msp | ユーザー${username}はEnterprise${enterprise}のシート数を${seats_removed}つ減らしました(User ${username} decreased number of seats for enterprise ${enterprise} by ${seats_removed}) | |
msp_changes_mc_plan | msp | ユーザー${username}はEnterprise${enterprise}の計画を${plan}に変更しました(User ${username} changed plan for enterprise ${enterprise} to ${plan}) | |
msp_renames_mc | msp | ユーザー${username}はEnterprise${enterprise}の名前を${enterprise_new}に変更しました(User ${username} renamed enterprise ${enterprise} to ${enterprise_new}) | |
msp_pauses_mc | msp | ユーザー${username}はEnterprise ${enterprise}、${plan}、${seats}つのシートを一時停止しました(User ${username} paused enterprise ${enterprise}, ${plan}, ${seats} seats) | |
msp_resumes_mc | msp | ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを再開しました(User ${username} resumed enterprise ${enterprise}, ${plan}, ${seats} seats) | |
msp_removes_mc | msp | ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを削除しました(User ${username} removed enterprise ${enterprise}, ${plan}, ${seats} seats) | |
msp_deletes_mc | msp | ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを削除しました(User ${username} deleted enterprise ${enterprise}, ${plan}, ${seats} seats) | |
msp_creates_mc | msp | ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを登録しました(User ${username} registered enterprise ${enterprise}, ${plan}, ${seats} seats) | |
enterprise_2fa_disabled_by_admin | セキュリティ(security) | 管理者${username}はユーザー${to_username}の二要素認証を無効化しました(Admin ${username} disabled 2FA for user ${to_username}) | |
reauthentication_reprompt_success | セキュリティ(security) | ユーザー${username}の再認証に成功しました(User ${username} re-authentication succeeded) | |
reauthentication_reprompt_throttle | セキュリティ(security) | ユーザー${username}の再認証は制限されています(User ${username} re-authentication throttled) | |
scim_access_failure | セキュリティ(security) | ノード${node}でのSCIMプロビジョニングの認証に${failure_count}回失敗しました(SCIM provisioning on node ${node} failed to authenticate ${failure_count} times.)トークン${token_id}...(Token ${token_id}...) | |
device_approved | セキュリティ(security) | デバイス${deviceName}はユーザー${username}に対して承認されています(Device ${deviceName} is approved for user ${username}) | |
device_admin_approval_requested | セキュリティ(security) | ユーザー${username}は管理者にデバイス${deviceName}の承認をリクエストしました(User ${username} requested admin approval for device ${deviceName}) | |
device_approved_by_admin | セキュリティ(security) | 管理者${username}はユーザー${to_username}に対してデバイス${deviceName}を承認しました(Admin ${username} approved device ${deviceName} for user ${to_username}) | |
device_user_approval_requested | セキュリティ(security) | ユーザー${username}はデバイス${device_name}の承認をリクエストしました(User ${username} requested self approval for device ${device_name}) | |
out_of_seats | ポリシー(policy) | ライセンスは${enterprise}のユーザーに許可されている最大数に達しました(License has reached the maximum allowed users for ${enterprise}) | |
scim_access_failure | セキュリティ(security) | ノード${node}でのSCIMプロビジョニングの認証に${failure_count}回失敗しました(SCIM provisioning on node ${node} failed to authenticate ${failure_count} times.)トークン${token_id}...(Token ${token_id}...) | |
record_type_created | ポリシー(policy) | 管理者${username}はレポートタイプ「${name}」を作成しました(Admin ${username} created record type "${name}") | |
record_type_updated | ポリシー(policy) | 管理者${username}はレポートタイプ「${name}」を更新しました(Admin ${username} updated record type "${name}") | |
record_type_deleted | ポリシー(policy) | 管理者${username}はレポートタイプ「${name}」を削除しました(Admin ${username} deleted record type "${name}") | |
compliance_report_saved | コンプライアンス(compliance) | コンプライアンスレポートUID${app_uid}は${username}によって保存されました(Compliance report UID ${app_uid} saved by ${username}) | |
compliance_report_downloaded | コンプライアンス(compliance) | コンプライアンスレポートUID${app_uid}は${username}によってダウンロードされました(Compliance report UID ${app_uid} downloaded by ${username}) | |
compliance_report_exported | コンプライアンス(compliance) | コンプライアンスレポートUID${app_uid}は${username}によってエクスポートされました(Compliance report UID ${app_uid} exported by ${username}) | |
compliance_report_deleted | コンプライアンス(compliance) | コンプライアンスレポートUID${app_uid}は${username}によって削除されました(Compliance report UID ${app_uid} deleted by ${username}) | |
saved_criteria_saved | コンプライアンス(compliance) | コンプライアンスレポート条件UID${app_uid}は${username}によって保存されました(Compliance report criteria UID ${app_uid} saved by ${username}) | |
saved_criteria_edited | コンプライアンス(compliance) | コンプライアンスレポート条件UID${app_uid}は${username}によって編集されました(Compliance report criteria UID ${app_uid} edited by ${username}) | |
saved_criteria_deleted | コンプライアンス(compliance) | コンプライアンスレポート条件UID${app_uid}は${username}によって削除されました(Compliance report criteria UID ${app_uid} deleted by ${username}) | |
compliance_report_run | コンプライアンス(compliance) | コンプライアンスレポートは${username}によって実行されました(Compliance report run by ${username}) | |
unsaved_compliance_report_exported | コンプライアンス(compliance) | 未保存のコンプライアンスレポートが${username}によってエクスポートされました(Unsaved compliance report exported by ${username}) | |
app_record_shared | シークレットマネージャ(secrets manager) | ユーザー${username}は記録UID${secret_uid}をKSMアプリケーション${app_uid}と共有しました(User ${username} shared record UID ${secret_uid} with KSM application ${app_uid}) | |
app_folder_shared | シークレットマネージャ(secrets manager) | ユーザー${username}はフォルダUID${secret_uid}をKSMアプリケーション${app_uid}と共有しました(User ${username} shared folder UID ${secret_uid} with KSM application ${app_uid}) | |
app_record_removed | シークレットマネージャ(secrets manager) | ユーザー${username}は記録UID${secret_uid}をKSMアプリケーション${app_uid}から削除しました(User ${username} removed record UID ${secret_uid} from KSM application ${app_uid}) | |
app_folder_removed | シークレットマネージャ(secrets manager) | ユーザー${username}はフォルダUID${secret_uid}をKSMアプリケーション${app_uid}から削除しました(User ${username} removed folder UID ${secret_uid} from KSM application ${app_uid}) | |
app_record_share_changed | シークレットマネージャ(secrets manager) | ユーザー${username}はKSMアプリケーション${app_uid}の記録UID${secret_uid}の共有権限を変更しました(User ${username} changed share permissions for record UID ${secret_uid} for KSM application ${app_uid}) | |
app_folder_share_changed | シークレットマネージャ(secrets manager) | ユーザー${username}はKSMアプリケーション${app_uid}のフォルダUID${secret_uid}の共有権限を変更しました(User ${username} changed share permissions for folder UID ${secret_uid} for KSM application ${app_uid}) | |
app_client_added | シークレットマネージャ(secrets manager) | ユーザー${username}はKSMデバイス${device_name}をアプリケーション${app_uid}に追加しました(User ${username} added KSM device ${device_name} to application ${app_uid}) | |
app_client_removed | シークレットマネージャ(secrets manager) | ユーザー${username}はKSMデバイス${device_name}をアプリケーション${app_uid}から削除しました(User ${username} removed KSM device ${device_name} from application ${app_uid}) | |
app_client_connected | シークレットマネージャ(secrets manager) | KSMデバイス${device_name}はアプリケーション${app_uid}との初期接続を実行しました(KSM device ${device_name} performed initial connect to application ${app_uid}) | |
app_client_access | シークレットマネージャ(secrets manager) | IPアドレス${ip_address}を持つKSMデバイス${device_name}からアプリケーション${app_uid}へのアクセスが拒否されました(Access denied to application ${app_uid} from KSM device ${device_name} with IP address ${ip_address}) | |
app_client_record_update | シークレットマネージャ(secrets manager) | KSMデバイス${device_name}は記録UID${secret_uid}を更新しました(KSM device ${device_name} has updated record UID ${secret_uid}) | |
app_client_access_denied | シークレットマネージャ(secrets manager) | IPアドレス${ip_address}を持つKSMデバイス${device_name}からアプリケーション${app_uid}へのアクセスが拒否されました(Access denied to application ${app_uid} from KSM device ${device_name} with IP address ${ip_address}) | |
app_client_record_create | シークレットマネージャ(secrets manager) | KSMデバイスXXXは記録UID YYYを作成しました(KSM device XXX has created record UID YYY) | |
app_client_expired | シークレットマネージャ(secrets manager) | KSMデバイス${device_name} からアプリケーション${app_uid}へのアクセスが期限切れになりました(Access for KSM device ${device_name} to application ${app_uid} has expired) | |
ext_share_added | ワンタイム共有(one time share) | ユーザー${username}は「記録UID: ${app_uid}」へのワンタイム共有を生成しました(User ${username} generated a One-Time Share link to 'Record UID:${app_uid}') | |
ext_share_removed | ワンタイム共有(one time share) | ユーザー${username}は「記録UID: ${app_uid}」へのワンタイム共有を生成しました(User ${username} generated a One-Time Share link to 'Record UID:${app_uid}') | |
ext_share_connected | ワンタイム共有(one time share) | ユーザーは${username}が作成した「記録UID: ${app_uid}」のワンタイム共有リンクを開きました(A user opened the One-Time Share link for 'Record UID:${app_uid}' created by ${username}) | |
ext_share_access | ワンタイム共有(one time share) | ユーザーは${username}が作成した「記録UID: ${app_uid}」のワンタイム共有リンクを再度開きました(A user re-opened the One-Time Share link for 'Record UID:${app_uid}' created by ${username}) | |
ext_share_expired | ワンタイム共有(one time share) | 「記録UID: ${app_uid}」のワンタイム共有リンクの期限が切れました(A One-Time Share link for 'Record UID:${app_uid}' has expired) | |
pending_added_to_role | セキュリティ(security) | 保留中のユーザー${value}は管理者${username}によってロール${role_id}に追加されました(Pending user ${value} was added to Role ${role_id} by admin ${username}) | |
pending_removed_from_role | セキュリティ(security) | 保留中のユーザー${value}は管理者${username}によってロール${role_id}から削除されました(Pending user ${value} was removed from Role ${role_id} by admin ${username}) |
生イベントデータの例
JSON形式で送信された2つのイベントの例を以下に示します。記録UIDは特定の記録に関係するため、「record_update」イベントで記録UIDが表示されることにご注意ください。
Keeper Commanderを使用して、またはサードパーティ製のSIEMソリューションにエクスポート可能なSyslog形式のイベントの例を以下に示します。
「enterprise_id」は、同じSIEMコレクタ内にあるさまざまなKeeper Enterpriseテナントを区別するのに役立ちます。
記録UIDおよび他の識別子を検索する
イベントデータはさまざまなタイプのUID値を参照します(記録UID、共有フォルダUID、チームUIDなど)。記録UIDと共有フォルダUIDは、Keeper Commander CLIまたはWebボルトユーザーインターフェースを使用して確認できます。
Commander CLI
Keeper Commander CLI は、より高度な使用例のために、コマンドラインと SDK を Keeper のレポートシステムに統合します。イベントデータは実用的なレポートの生成に使用できます。
Last updated
