レポート作成、アラート、SIEM

Keeperの高度なレポートとアラートモジュールの詳細なイベントログ機能でコンプライアンス要件に対応

概要

Keeperの高度なレポートとアラートモジュール (Advanced Reporting and Alerts Module, ARAM) では、各種ツールを利用して全体的な利用状況やポリシーへの準拠を監視できます。

主な機能

  • レポート作成エンジン 期間ごとのカスタムレポートを作成します 。セキュリティイベント、管理者の操作、一般的な利用状況などのカテゴリ別に分類された100以上のさまざまなイベントタイプが表示されます。ユーザー、イベントタイプ、属性 (レコードUID、共有フォルダUID、位置情報など) で絞り込むこともできます。

  • アラート ポリシーの変更時に管理者に通知するなど、特定のイベントタイプに基づいてアラートを設定し、メール、SMS、Webhookで送信します。

  • 外部ログ Splunk、Sumo、LogRhythmなど既存のSIEMソリューションと統合します。

  • BreachWatch リスクの高いパスワードの通知を受けたユーザーやリスクの高いパスワードに対処したユーザーなど、BreachWatchのイベントに関して通知を送信したり追跡したりします。

  • コマンダーCLI/SDKの統合 Keeperコマンダーを利用すると、カスタムレポートの作成や自動化処理が可能です。

  • コンプライアンス監査 SOX、ISO、SOCのコンプライアンス監査要件に対処するためのレポートを作成できます。

レポート作成

レポートとアラートダッシュボードには、上位5つのイベント、2つの標準レポート、カスタムレポートの概要が表示されます。「最近のアクティビティ」レポートは標準レポートの1つで、16種類のイベントタイプに渡る直近1000件のイベントの追跡が可能です。 高度なレポートとアラートモジュールにアップグレードすることで、100種類を超えるイベントタイプの追跡、カスタムレポートの作成、アラートの通知をご使用になれます。

「最近のアクティビティ」レポートおよび「すべてのセキュリティイベント」レポートは、Keeper ビジネスおよびエンタープライズのすべてのサブスクリプションでご利用になれます。 カスタムレポートとアラートは、高度なレポートとアラートモジュール (ARAM) の機能の1つとなります。本機能をご利用になるには、Keeper Securityのアカウントマネージャに問い合わせください。または、管理コンソールのアドオンタブで、サブスクリプションをアップグレードしてください。

また、ダッシュボードから、ユーザーステータスのレポートもご利用になれます。詳しくは、管理コンソールページのダッシュボードの項をご参照ください。

[カスタムレポートを追加]をクリックするとカスタムレポートを作成できます。

[適用]をクリックすると、結果をプレビューできます。このレポートを使用する場合は[保存]をクリックします。イベントは、JSON、CSV、SysLogの各形式のファイルとしてエクスポートできます。

Keeperボルトで生成された新しいイベントがレポートモジュールに反映されるまで最大15分かかる場合があります。

IPアドレスに基づく位置情報

IPアドレスに基づく位置情報の精度は、ユーザーの位置の特定に使用されるデータベースによって異なります。また、複数の要因によっても左右されます。レジストリが、受信したデータをどの程度正確に検証できるかということが最も重要となります。 IPアドレスに紐付けられている情報が不正確な場合、有用性が低下します。 IPアドレスが頻繁に変更されたり、モバイルキャリアがユーザーのインターネットアクセスに集中型のゲートウェイを使用している携帯電話の場合、位置情報の特定は著しく困難になります。 また、ユーザーがプロキシやVPNの位置データを使用している場合も、データは不正確になります。

Keeperでは、業界で最も信頼されるプロバイダの1つを利用しています。そのプロバイダでは、定期的に公開されている既知のIPアドレスと照合してデータ品質を検証することで、品質保証を行っています。

タイムライングラフ

タイムライングラフの期間は、24時間、7日、30日間から選択できます。任意のイベントが記載された行をクリックすると、その期間内でそのイベントのすべての事例が表示されたレポートが開きます。

アラート

アラートモジュールを使用すると、イベントに基づいたアラートを生成できます。アラートはメールまたはSMSで送信されます。

新しいアラートは、[アラートを追加]をクリックし、名前とフィルタ条件を指定して作成します。メールアドレス、電話番号 (SMS用)、あるいはその両方を使用して、1人または複数人の受信者を追加できます。受信者は組織の一員である必要はなく、任意のメールアドレスまたは電話番号をご使用になれます。画面下部の受信者のセクションではアラート作成者が最初の受信者に設定されていますが、デフォルトではトグルボタンがOFFになっています。アラート作成者へのアラートを送信するには、トグルボタンをONに切り替えます。

イベントタイプや属性フィルタの指定範囲が広い場合、大量のアラートが生成される場合があります。アラートの頻度、イベントタイプと属性フィルタを調整することでアラートの量を軽減します。

大量のメールやSMSが受信者に届かないようにアラートを抑制するには、アラート頻度を指定します。たとえば、頻度を「期間中に1回」に設定し、期間を1時間に設定した場合、アラートフィルタに一致するすべてのイベントは引き続きアラートを発生させますが、アラートメッセージについては前回のアラートメッセージが送信されてから1時間経過した際に送信されます。また、トグルボタンを使用してアラートを一時停止することもできます。一時停止すると、アラートは発生し続けますが、実際のアラートメッセージは送信されません。一時停止を解除すると、次にアラートに一致するイベントが発生する際にアラートメッセージが送信されます。その際には一時停止中に発生したイベントを全て含んんだメッセージが送信されます。

以下は、メールでのアラートの例となります。

アラート履歴は、「送信済みアラート」タブで閲覧できます。個々のアラートの詳細も確認できます。

外部のSIEMログ

サードパーティのSIEMソリューションを利用している場合、Keeper管理コンソールを構成することで、ライブイベントデータを自動的にフィードすることができます。以下は現在対応しているソリューションとなります。

イベントデータは、Keeperのサーバーから対象のSIEMコレクタへ送信されます。同期は1つの外部ソリューションに対してのみ有効にできます。

[セットアップ]をクリックして、外部ログを有効にします。 各ソリューションのセットアップは容易で、通常は統合に必要な属性は少数です。

イベントタイプ

管理コンソール内のデフォルトの「最近のアクティビティ」レポートには、16種類のイベントタイプが含まれています。 Keeperの高度なレポートとアラートモジュールでは、最大100種類のイベントタイプがサポートされています。

Keeperエンタープライズによって検出されるイベントは、レポートとアラートの画面のドロップダウンメニューから閲覧できます。

イベントタイプフィルタ

BreachWatch関連イベントを有効にする

デフォルトでは、エンドユーザー端末のBreachWatch関連イベントは収集されず、高度なレポートとアラートモジュールには転送されません。 これらのイベントは、ロールポリシーを介して管理します。この機能を有効にするには、[管理者]画面から[ロール] > [強制ポリシー] > [ボルト機能]に移動し、[BreachWatch関連イベントをレポート&アラートおよび接続済み外部ログシステムへ送信]をONに切り替えます。

BreachWatchイベントの有効化

イベント情報

以下の表は、Keeperの高度なレポートとアラートモジュールで検出されるイベントの一覧となります。イベントコードは、ユーザーインターフェースおよびKeeperコマンダーCLIコマンドパラメータ内で使用されます。「メッセージ」フィールドは、アラートモジュールに使用されます。

各イベント内には、レコードUID、共有フォルダUID、チームUID、ユーザー名などの属性が存在する場合があります。これらの属性はイベントメッセージに表示され、サードパーティSIEMプロバイダにも指定された形式で送信されます。

イベントコード
カテゴリ
メッセージ
コメント

change_master_password

アカウント(account)

ユーザー${username}はマスターパスワードを変更しました(User ${username} changed master password)

set_two_factor_off

セキュリティ(security)

ユーザー${username}は二要素認証方法をOFFに設定しました(User ${username} set 2FA method OFF)

change_security_question

アカウント(account)

ユーザー${username}は秘密の質問と回答を変更しました(User ${username} changed security question)

change_email

アカウント(account)

ユーザー${username}はEメールを変更しました(User ${username} changed email.)以前のEメール(Previous email ${email})

alias_added

アカウント(account)

ユーザー${username}は代替のEメール${email}を追加しました(User ${username} added alternative email ${email})

create_user

セキュリティ(security)

ユーザー${username}が作成されました(User ${username} created)

delete_user

セキュリティ(security)

ユーザー${to_username}は管理者${username}によって削除されました(User ${to_username} was deleted by admin ${username})

fast_fill

使用状況(usage)

ユーザー${username}は記録UID${record_uid}を自動入力しました(User ${username} autofilled record UID ${record_uid})

ログイン(login)

ログイン(login)

ユーザー${username}はボルトにログインしました(User ${username} logged in to vault)

オプション: "channel"

login_failure

ログイン(login)

ユーザー${username}はコード${result_code}によりログインに失敗しました(User ${username} login failed with code ${result_code})

オプション: "channel"

open_record

使用状況(usage)

ユーザー${username}は記録UID${record_uid}を開きました(User ${username} opened record UID ${record_uid})

オプション: "folder_type"、"folder_uid"

record_add

使用状況(usage)

ユーザー${username}は記録UID${record_uid}を追加しました(User ${username} added record UID ${record_uid})

オプション: "folder_type"、"folder_uid"

record_delete

使用状況(usage)

ユーザー${username}は記録UID${record_uid}をゴミ箱に送信しました(User ${username} sent record UID ${record_uid} to trash)

オプション: "folder_type"、"folder_uid"

record_remove

使用状況(usage)

ユーザー${username}は記録UID${record_uid}を削除しました(User ${username} removed record UID ${record_uid})

オプション: "folder_type"、"folder_uid"

record_update

使用状況(usage)

ユーザー${username}は記録UID${record_uid}を更新しました(User ${username} updated record UID ${record_uid})

オプション: "folder_type"、"folder_uid"

set_two_factor_on

セキュリティ(security)

ユーザー${username}は二要素認証方法${channel}をONにしました(User ${username} set 2FA method ${channel} ON)

共有(share)

共有(share)

ユーザー${username}は記録UID${record_uid}を${to_username}と共有しました(User ${username} shared record UID ${record_uid} with ${to_username})

transfer_owner

共有(share)

ユーザー${username}は記録UID${record_uid}の所有者をユーザー${to_username}に移転しました(User ${username} transferred ownership of record UID ${record_uid} to user ${to_username})

change_share

共有(share)

ユーザー${username}は記録UID${record_uid}の共有権限をユーザー${to_username}に変更しました(User ${username} changed share permissions for record UID ${record_uid} to user ${to_username})

このイベントログはユーザーの記録共有に対する変更です

記録の共有には、再共有および編集権限が含まれます

remove_share

共有(share)

ユーザー${username}は記録UID${record_uid}の共有をユーザー${to_username}から削除しました(User ${username} removed share of record UID ${record_uid} from user ${to_username})

accept_share

共有(share)

ユーザー ${username}ユーザー${username}の共有を承諾しました(User ${username} accepted share from user ${to_username})

cancel_share

共有(share)

ユーザー${username}はユーザー${to_username}の共有をキャンセルしました(User ${username} canceled share from user ${to_username})

add_security_key

セキュリティ(security)

ユーザー${username}はセキュリティキーを追加しました(User ${username} added security key)

delete_security_key

セキュリティ(security)

ユーザー${username}はセキュリティキーを削除しました(User ${username} removed security key)

added_folder

使用状況(usage)

ユーザー${username}は${folder_type}のフォルダUID${folder_uid}を作成しました(User ${username} created ${folder_type} folder UID ${folder_uid})

folder_add_user

共有(share)

ユーザー${username}はユーザー${to_username}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added user ${to_username} to shared folder UID ${shared_folder_uid})

folder_remove_user

共有(share)

ユーザー${username}はユーザー${to_username}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed user ${to_username} from shared folder UID ${shared_folder_uid})

folder_add_team

共有(share)

ユーザー${username}はチームUID${team_uid}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added team UID ${team_uid} to shared folder UID ${shared_folder_uid})

folder_remove_team

共有(share)

ユーザー${username}はチームUID${team_uid}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed team UID ${team_uid} from shared folder UID ${shared_folder_uid})

folder_add_record

共有(share)

ユーザー${username}は記録${record_uid}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added record ${record_uid} to shared folder UID ${shared_folder_uid})

folder_remove_record

共有(share)

ユーザー${username}は記録${record_uid}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed record ${record_uid} from shared folder UID ${shared_folder_uid})

empty_trash

使用状況(usage)

ユーザー${username}は削除した記録を消去しました(User ${username} purged deleted records)

added_shared_folder

共有(share)

ユーザー${username}は共有フォルダUID${shared_folder_uid}を作成しました(User ${username} created shared folder UID ${shared_folder_uid})

deleted_shared_folder

共有(share)

ユーザー${username}は共有フォルダUID${shared_folder_uid}を削除しました(User ${username} deleted shared folder UID ${shared_folder_uid})

deleted_folder

使用状況(usage)

ユーザー${username}は${folder_type}のフォルダUID${folder_uid}を削除しました(User ${username} deleted ${folder_type} folder UID ${folder_uid})

folder_change_user

共有(share)

ユーザー${username}はユーザー${to_username}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed user ${to_username} permissions to shared folder UID ${shared_folder_uid})

folder_change_team

共有(share)

ユーザー${username}はチームUID${team_uid}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed team UID ${team_uid} permissions to shared folder UID ${shared_folder_uid})

folder_change_record

共有(share)

ユーザー${username}は記録${record_uid}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed record ${record_uid} permissions to shared folder UID ${shared_folder_uid})

record_share_outside_user

共有(share)

ユーザー${username}は共有UID${record_uid}を社外ユーザー${to_username}と共有しました(User ${username} shared record UID ${record_uid} outside the company with user ${to_username})

folder_add_outside_user

共有(share)

ユーザー${username}は社外ユーザー${to_username}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added outside the company user ${to_username} to shared folder UID ${shared_folder_uid})

node_created

ポリシー(policy)

ユーザー${username}はノード${node}を作成しました(User ${username} created node ${node})

node_deleted

ポリシー(policy)

ユーザー${username}はノード${node}を削除しました(User ${username} deleted node ${node})

role_created

ポリシー(policy)

ユーザー${username}はロール${role_id}を作成しました(User ${username} created role ${role_id})

role_deleted

ポリシー(policy)

ユーザー${username}はロール${role_id}を削除しました(User ${username} deleted role ${role_id})

team_created

ポリシー(policy)

ユーザー${username}はチーム${team_uid}を作成しました(User ${username} created team ${team_uid})

team_deleted

ポリシー(policy)

ユーザー${username}はチーム${team_uid}を削除しました(User ${username} deleted team ${team_uid})

login_console

ログイン(login)

ユーザー${username}は管理コンソールにログインしました(User ${username} logged into Admin Console)

expire_password

セキュリティ(security)

ユーザー${to_username}のマスターパスワードは管理者${username}によってリセットされました(User ${to_username} master password was reset by admin ${username})

send_invitation

セキュリティ(security)

ユーザー${username}は${to_username}に参加を招待しました(User ${username} invited ${to_username} to join)

vault_transferred

セキュリティ(security)

ユーザー${from_username}のボルトは管理者${username}によってユーザー${to_username}に移管されました(User ${from_username} vault was transferred to user ${to_username} by admin ${username})

added_admin_key

セキュリティ(security)

ユーザー${to_username}は管理者${username}によって管理者権限が付与されました(User ${to_username} was provided admin permissions by admin ${username})

added_to_role

セキュリティ(security)

ユーザー${to_username}は管理者${username}によってロール${role_id}に追加されました(User ${to_username} was added to Role ${role_id} by admin ${username})

added_to_team

共有(share)

ユーザー${to_username}は管理者${username}によってチーム${team_uid}に追加されました(User ${to_username} was added to Team ${team_uid} by admin ${username})

accept_transfer

セキュリティ(security)

ユーザー${username}はアカウント移管の同意を承認しました(User ${username} accepted account transfer consent)

accept_invitation

セキュリティ(security)

ユーザー${username}は招待状に承諾しました(User ${username} accepted invitation)

lock_user

セキュリティ(security)

ユーザー${to_username}は管理者${username}によってロックされました(User ${to_username} was locked by admin ${username})

enable_user

セキュリティ(security)

ユーザー${to_username}は管理者${username}によって有効化されました(User ${to_username} was enabled by admin ${username})

set_custom_header_logo

ポリシー(policy)

ユーザー${username}はヘッダーのカスタムロゴを設定しました(User ${username} set custom header logo)

set_custom_email_logo

ポリシー(policy)

ユーザー${username}はEメールのカスタムロゴを設定しました(User ${username} set custom email logo )

set_custom_email_content

ポリシー(policy)

ユーザー${username}はEメールのカスタムコンテンツを設定しました(User ${username} set custom email content)

bridge_activated

ポリシー(policy)

ユーザー${username}はノード${node}でKeeper Bridgeを有効化しました(User ${username} activated Keeper Bridge on node ${node})

sso_activated

ポリシー(policy)

ユーザー${username}はノード${node}でKeeper SSO Connectを有効化しました(User ${username} activated Keeper SSO Connect on node ${node})

email_provisioning_activated

ポリシー(policy)

ユーザー${username}はノード${node}でドメイン${email_domain}のメールアドレスで自動プロビジョニングを有効化しました(User ${username} activated Email auto-provisioning for domain ${email_domain} on node ${node})

scim_activated

ポリシー(policy)

ユーザー${username}はノード${node}でSCIMプロビジョニングを有効化しました(User ${username} activated SCIM provisioning on node ${node})

role_enforcement_changed

ポリシー(policy)

ユーザー${username}はロール${role_id}に対して${value}の強制${enforcement}を変更しました(User ${username} changed enforcement ${enforcement} to ${value} for role ${role_id})

login_failed_console

セキュリティ(security)

ユーザー${username}は管理コンソールへのログインに失敗しました(User ${username} failed login to Admin Console)

オプション: "channel"

audit_sync_failed

使用状況(usage)

${channel}との監査ログの同期はエラー${result_code}により失敗しました(Audit log sync to ${channel} failed with error ${result_code})

audit_sync_restored

使用状況(usage)

${channel}との監査ログの同期が回復しました(Audit log sync to ${channel} restored)

audit_sync_resumed

使用状況(usage)

管理者${username}は${channel}との監査ログの同期を再開しました(Admin ${username} resumed audit log sync to ${channel})

audit_sync_paused

使用状況(usage)

${channel}との監査ログの同期を一時停止しました(Audit log sync to ${channel} paused)

audit_sync_setup

ポリシー(policy)

管理者${username}は"${name}"との監査ログの同期を設定しました(Admin ${username} set up audit log sync to "${name}")

audit_sync_removed

ポリシー(policy)

管理者${username}は"${name}"との監査ログの同期を削除しました(Admin ${username} removed audit log sync to "${name}")

audit_alert_sent

使用状況(usage)

監査アラート"${channel}"は${recipient}に送信されました(Audit alert "${channel}" was sent to ${recipient})

オプション: "parent_id"

login_failed_ip_whitelist

セキュリティ(security)

ユーザー${username}はIP${ip_address}からブロックされています(User ${username} has been blocked from IP ${ip_address})

decline_invitation

セキュリティ(security)

ユーザー${username}は招待を拒否しました(User ${username} declined invitation)

set_2fa_configuration

ポリシー(policy)

ノード${node}に対して二要素認証${value}のグローバル構成が設定されました(Set global 2FA configuration ${value} for node ${node})

report_created

ポリシー(policy)

管理者${username}はレポート${report_name}を作成しました(Admin ${username} created report ${report_name})

report_modified

ポリシー(policy)

管理者${username}はレポート${report_name}を変更しました(Admin ${username} modified report ${report_name})

report_deleted

ポリシー(policy)

管理者${username}はレポート${report_name}を削除しました(Admin ${username} deleted report ${report_name})

record_password_change

使用状況(usage)

ユーザー${username}は記録UID${record_uid}のパスワードを変更しました(User ${username} changed password on record UID ${record_uid})

added_identity

使用状況(usage)

ユーザー${username}はIDを追加しました(User ${username} added an identity)

added_payment_card

使用状況(usage)

ユーザー${username}はクレジットカードを追加しました(User ${username} added a payment card)

changed_identity

使用状況(usage)

ユーザー${username}はIDを変更しました(User ${username} changed an identity)

changed_payment_card

使用状況(usage)

ユーザー${username}はクレジットカードを変更しました(User ${username} changed a payment card)

copy_password

使用状況(usage)

ユーザー${username}は記録UID${record_uid}のクリップボードにパスワードをコピーしました(User ${username} copied password to clipboard on record UID ${record_uid})

imported_records

使用状況(usage)

ユーザー${username}は記録を${file_format}ファイルからインポートしました(User ${username} imported records from ${file_format} file)

IOSは非該当

exported_records

使用状況(usage)

ユーザー${username}は記録を${file_format}ファイルにエクスポートしました(User ${username} exported records to ${file_format} file)

IOSは非該当

weak_password

パスワード(password)

ユーザー${username}は弱いパスワードを作成しました(User ${username} created a password that is weak)

N/A

reused_password

パスワード(password)

ユーザー${username}はパスワードを再利用しました(User ${username} reused a password)

revision_restored

使用状況(usage)

ユーザー${username}は記録UID${record_uid}の以前のリビジョンを復元しました(User ${username} restored previous revision of record UID ${record_uid}')

record_restored

使用状況(usage)

ユーザー${username}は削除した記録UID${record_uid}を復元しました(User ${username} restored deleted record UID ${record_uid})

high_risk_password_detected

breachwatch

BreachWatchはユーザー${username}の記録UID${record_uid}で高リスクなパスワードを検出しました(BreachWatch detected a high-risk password for user ${username} record UID ${record_uid})

N/A

high_risk_password_resolved

breachwatch

ユーザー${username}はBreachWatchで検出された記録UID${record_uid}の高リスクなパスワードを解決しました(User ${username} resolved a high-risk password detected by BreachWatch for record UID ${record_uid})

N/A

high_risk_password_ignored

breachwatch

ユーザー${username}はBreachWatchで検出された記録UID${record_uid}の高リスクなパスワードを無視しました(User ${username} ignored a high-risk password detected by BreachWatch for record UID ${record_uid})

N/A

chat_message_sent

チャット(chat)

ユーザー${username}はセキュアメッセージを送信しました(User ${username} sent a secure message)

chat_message_received

チャット(chat)

ユーザー${username}はセキュアメッセージを受信しました(User ${username} received a secure message)

chat_message_destruct

チャット(chat)

ユーザー${username}はメッセージを自己破壊するよう設定しました(User ${username} set a message to self destruct)

chat_file_attached

チャット(chat)

ユーザー${username}はファイルを送信しました(User ${username} sent a file)

chat_contact_added

チャット(chat)

ユーザー${username}は連絡先として${to_username}を招待しました(User ${username} invited ${to_username} as contact)

chat_login

チャット(chat)

ユーザー${username}はKeeperChatにログインしました(User ${username} logged in to KeeperChat)

chat_login_failed

チャット(chat)

ユーザー${username}はコード${result_code}によりKeeperChatのログインに失敗しました(User ${username} login failed to KeeperChat with code ${result_code})

file_attachment_uploaded

使用状況(usage)

ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}をアップロードしました(User ${username} uploaded file attachment UID ${attachment_id} on record UID ${record_uid})

file_attachment_downloaded

使用状況(usage)

ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}をダウンロードしました(User ${username} downloaded file attachment UID ${attachment_id} on record UID ${record_uid})

file_attachment_deleted

使用状況(usage)

ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}を削除しました(User ${username} deleted file attachment UID ${attachment_id} on record UID ${record_uid})

audit_alert_created

ポリシー(policy)

管理者${username}は監査アラート"${name}"を作成しました(Admin ${username} created audit alert "${name}")

audit_alert_deleted

ポリシー(policy)

管理者${username}は監査アラート"${name}"を削除しました(Admin ${username} deleted audit alert "${name}")

audit_alert_paused

ポリシー(policy)

管理者${username}はユーザー${recipient}の監査アラート"${name}"を一時停止しました(Admin ${username} paused audit alert "${name}" for user ${recipient})

audit_alert_resumed

ポリシー(policy)

管理者${username}はユーザー${recipient}の監査アラート"${name}"を再開しました(Admin ${username} resumed audit alert "${name}" for user ${recipient})

bw_record_high_risk

breachwatch

ユーザー${username}は高リスクパスワードの通知を受けました(User ${username} was notified of a high risk password)

bw_record_ignored

breachwatch

ユーザー${username}は高リスクパスワードを無視しました(User ${username} ignored high risk password)

bw_record_resolved

breachwatch

ユーザー${username}は高リスクパスワードを解決しました(User ${username} resolved a high risk password)

msp_attaches_mc

msp

ユーザー${username}はEnterprise${enterprise}をノード${node}に添付しました(User ${username} attached enterprise ${enterprise} to node ${node})

msp_increases_mc_seats

msp

ユーザー${username}はEnterprise${enterprise}のシート数を${seats_added}つ増やしました(User ${username} increased number of seats for enterprise ${enterprise} by ${seats_added})

msp_decreases_mc_seats

msp

ユーザー${username}はEnterprise${enterprise}のシート数を${seats_removed}つ減らしました(User ${username} decreased number of seats for enterprise ${enterprise} by ${seats_removed})

msp_changes_mc_plan

msp

ユーザー${username}はEnterprise${enterprise}の計画を${plan}に変更しました(User ${username} changed plan for enterprise ${enterprise} to ${plan})

msp_renames_mc

msp

ユーザー${username}はEnterprise${enterprise}の名前を${enterprise_new}に変更しました(User ${username} renamed enterprise ${enterprise} to ${enterprise_new})

msp_pauses_mc

msp

ユーザー${username}はEnterprise ${enterprise}、${plan}、${seats}つのシートを一時停止しました(User ${username} paused enterprise ${enterprise}, ${plan}, ${seats} seats)

msp_resumes_mc

msp

ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを再開しました(User ${username} resumed enterprise ${enterprise}, ${plan}, ${seats} seats)

msp_removes_mc

msp

ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを削除しました(User ${username} removed enterprise ${enterprise}, ${plan}, ${seats} seats)

msp_deletes_mc

msp

ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを削除しました(User ${username} deleted enterprise ${enterprise}, ${plan}, ${seats} seats)

msp_creates_mc

msp

ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを登録しました(User ${username} registered enterprise ${enterprise}, ${plan}, ${seats} seats)

enterprise_2fa_disabled_by_admin

セキュリティ(security)

管理者${username}はユーザー${to_username}の二要素認証を無効化しました(Admin ${username} disabled 2FA for user ${to_username})

reauthentication_reprompt_success

セキュリティ(security)

ユーザー${username}の再認証に成功しました(User ${username} re-authentication succeeded)

reauthentication_reprompt_throttle

セキュリティ(security)

ユーザー${username}の再認証は制限されています(User ${username} re-authentication throttled)

scim_access_failure

セキュリティ(security)

ノード${node}でのSCIMプロビジョニングの認証に${failure_count}回失敗しました(SCIM provisioning on node ${node} failed to authenticate ${failure_count} times.)トークン${token_id}...(Token ${token_id}...)

device_approved

セキュリティ(security)

デバイス${deviceName}はユーザー${username}に対して承認されています(Device ${deviceName} is approved for user ${username})

device_admin_approval_requested

セキュリティ(security)

ユーザー${username}は管理者にデバイス${deviceName}の承認をリクエストしました(User ${username} requested admin approval for device ${deviceName})

device_approved_by_admin

セキュリティ(security)

管理者${username}はユーザー${to_username}に対してデバイス${deviceName}を承認しました(Admin ${username} approved device ${deviceName} for user ${to_username})

device_user_approval_requested

セキュリティ(security)

ユーザー${username}はデバイス${device_name}の承認をリクエストしました(User ${username} requested self approval for device ${device_name})

out_of_seats

ポリシー(policy)

ライセンスは${enterprise}のユーザーに許可されている最大数に達しました(License has reached the maximum allowed users for ${enterprise})

scim_access_failure

セキュリティ(security)

ノード${node}でのSCIMプロビジョニングの認証に${failure_count}回失敗しました(SCIM provisioning on node ${node} failed to authenticate ${failure_count} times.)トークン${token_id}...(Token ${token_id}...)

record_type_created

ポリシー(policy)

管理者${username}はレポートタイプ「${name}」を作成しました(Admin ${username} created record type "${name}")

record_type_updated

ポリシー(policy)

管理者${username}はレポートタイプ「${name}」を更新しました(Admin ${username} updated record type "${name}")

record_type_deleted

ポリシー(policy)

管理者${username}はレポートタイプ「${name}」を削除しました(Admin ${username} deleted record type "${name}")

compliance_report_saved

コンプライアンス(compliance)

コンプライアンスレポートUID${app_uid}は${username}によって保存されました(Compliance report UID ${app_uid} saved by ${username})

compliance_report_downloaded

コンプライアンス(compliance)

コンプライアンスレポートUID${app_uid}は${username}によってダウンロードされました(Compliance report UID ${app_uid} downloaded by ${username})

compliance_report_exported

コンプライアンス(compliance)

コンプライアンスレポートUID${app_uid}は${username}によってエクスポートされました(Compliance report UID ${app_uid} exported by ${username})

compliance_report_deleted

コンプライアンス(compliance)

コンプライアンスレポートUID${app_uid}は${username}によって削除されました(Compliance report UID ${app_uid} deleted by ${username})

saved_criteria_saved

コンプライアンス(compliance)

コンプライアンスレポート条件UID${app_uid}は${username}によって保存されました(Compliance report criteria UID ${app_uid} saved by ${username})

saved_criteria_edited

コンプライアンス(compliance)

コンプライアンスレポート条件UID${app_uid}は${username}によって編集されました(Compliance report criteria UID ${app_uid} edited by ${username})

saved_criteria_deleted

コンプライアンス(compliance)

コンプライアンスレポート条件UID${app_uid}は${username}によって削除されました(Compliance report criteria UID ${app_uid} deleted by ${username})

compliance_report_run

コンプライアンス(compliance)

コンプライアンスレポートは${username}によって実行されました(Compliance report run by ${username})

unsaved_compliance_report_exported

コンプライアンス(compliance)

未保存のコンプライアンスレポートが${username}によってエクスポートされました(Unsaved compliance report exported by ${username})

app_record_shared

シークレットマネージャ(secrets manager)

ユーザー${username}は記録UID${secret_uid}をKSMアプリケーション${app_uid}と共有しました(User ${username} shared record UID ${secret_uid} with KSM application ${app_uid})

app_folder_shared

シークレットマネージャ(secrets manager)

ユーザー${username}はフォルダUID${secret_uid}をKSMアプリケーション${app_uid}と共有しました(User ${username} shared folder UID ${secret_uid} with KSM application ${app_uid})

app_record_removed

シークレットマネージャ(secrets manager)

ユーザー${username}は記録UID${secret_uid}をKSMアプリケーション${app_uid}から削除しました(User ${username} removed record UID ${secret_uid} from KSM application ${app_uid})

app_folder_removed

シークレットマネージャ(secrets manager)

ユーザー${username}はフォルダUID${secret_uid}をKSMアプリケーション${app_uid}から削除しました(User ${username} removed folder UID ${secret_uid} from KSM application ${app_uid})

app_record_share_changed

シークレットマネージャ(secrets manager)

ユーザー${username}はKSMアプリケーション${app_uid}の記録UID${secret_uid}の共有権限を変更しました(User ${username} changed share permissions for record UID ${secret_uid} for KSM application ${app_uid})

app_folder_share_changed

シークレットマネージャ(secrets manager)

ユーザー${username}はKSMアプリケーション${app_uid}のフォルダUID${secret_uid}の共有権限を変更しました(User ${username} changed share permissions for folder UID ${secret_uid} for KSM application ${app_uid})

app_client_added

シークレットマネージャ(secrets manager)

ユーザー${username}はKSMデバイス${device_name}をアプリケーション${app_uid}に追加しました(User ${username} added KSM device ${device_name} to application ${app_uid})

app_client_removed

シークレットマネージャ(secrets manager)

ユーザー${username}はKSMデバイス${device_name}をアプリケーション${app_uid}から削除しました(User ${username} removed KSM device ${device_name} from application ${app_uid})

app_client_connected

シークレットマネージャ(secrets manager)

KSMデバイス${device_name}はアプリケーション${app_uid}との初期接続を実行しました(KSM device ${device_name} performed initial connect to application ${app_uid})

app_client_access

シークレットマネージャ(secrets manager)

IPアドレス${ip_address}を持つKSMデバイス${device_name}からアプリケーション${app_uid}へのアクセスが拒否されました(Access denied to application ${app_uid} from KSM device ${device_name} with IP address ${ip_address})

app_client_record_update

シークレットマネージャ(secrets manager)

KSMデバイス${device_name}は記録UID${secret_uid}を更新しました(KSM device ${device_name} has updated record UID ${secret_uid})

app_client_access_denied

シークレットマネージャ(secrets manager)

IPアドレス${ip_address}を持つKSMデバイス${device_name}からアプリケーション${app_uid}へのアクセスが拒否されました(Access denied to application ${app_uid} from KSM device ${device_name} with IP address ${ip_address})

app_client_record_create

シークレットマネージャ(secrets manager)

KSMデバイスXXXは記録UID YYYを作成しました(KSM device XXX has created record UID YYY)

app_client_expired

シークレットマネージャ(secrets manager)

KSMデバイス${device_name} からアプリケーション${app_uid}へのアクセスが期限切れになりました(Access for KSM device ${device_name} to application ${app_uid} has expired)

ext_share_added

ワンタイム共有(one time share)

ユーザー${username}は「記録UID: ${app_uid}」へのワンタイム共有を生成しました(User ${username} generated a One-Time Share link to 'Record UID:${app_uid}')

ext_share_removed

ワンタイム共有(one time share)

ユーザー${username}は「記録UID: ${app_uid}」へのワンタイム共有を生成しました(User ${username} generated a One-Time Share link to 'Record UID:${app_uid}')

ext_share_connected

ワンタイム共有(one time share)

ユーザーは${username}が作成した「記録UID: ${app_uid}」のワンタイム共有リンクを開きました(A user opened the One-Time Share link for 'Record UID:${app_uid}' created by ${username})

ext_share_access

ワンタイム共有(one time share)

ユーザーは${username}が作成した「記録UID: ${app_uid}」のワンタイム共有リンクを再度開きました(A user re-opened the One-Time Share link for 'Record UID:${app_uid}' created by ${username})

ext_share_expired

ワンタイム共有(one time share)

「記録UID: ${app_uid}」のワンタイム共有リンクの期限が切れました(A One-Time Share link for 'Record UID:${app_uid}' has expired)

pending_added_to_role

セキュリティ(security)

保留中のユーザー${value}は管理者${username}によってロール${role_id}に追加されました(Pending user ${value} was added to Role ${role_id} by admin ${username})

pending_removed_from_role

セキュリティ(security)

保留中のユーザー${value}は管理者${username}によってロール${role_id}から削除されました(Pending user ${value} was removed from Role ${role_id} by admin ${username})

生イベントデータの例

以下は、JSON形式で送信された2つのイベントの例となります。「record_update」イベントは特定のレコードに関係するため、レコードUIDが表示されています。

{
  "record_uid" :"Uk6qLnfWVxWL9OQlsGdOUw",
  "audit_event" : "record_update",
  "remote_address" :"155.65.556.130",
  "client_version" :"Browser Extensions.12.3.0",
  "timestamp" :"2019-02-14T22:41:12.027Z",
  "username" : "testing@keepersecurity.com",
  "enterprise_id" :12345
}

{
  "audit_event" : "login",
  "remote_address" :"168.123.45.130",
  "client_version" :"Web App.14.2.4",
  "timestamp" :"2019-02-14T22:40:08.655Z",
  "username" : "demo@keepersecurity.com",
  "client_version_new" : true,
  "enterprise_id" :12345
}

以下は、Syslog形式のイベントの例となります。Keeperコマンダーを介してのエクスポートしたり、サードパーティ製のSIEMソリューションにエクスポートしたりできます。

<110>1 2019-02-14T21:34:47Z 46.45.253.15 Keeper - 1132431639 [Keeper@Commander geo_location="Chicago, IL, US" keeper_version_category="MOBILE" audit_event_type="login_failure" keeper_version="iPhone 14.2.0" result_code="auth_failed" username="testing@keepersecurity.com" node_id="47377784242178"] User testing@keepersecurity.com login failed with code auth_failed

「enterprise_id」は、同じSIEMコレクタ内にあるさまざまなKeeperエンタープライズのテナントを区別するのに役立ちます。

レコードUIDなどの識別子を検索

イベントデータでは、レコードUID、共有フォルダUID、チームUIDなどのさまざまなタイプのUID値が参照されています。レコードUIDと共有フォルダUIDについては、KeeperコマンダーCLIまたはウェブボルトから確認できます。

コマンダーCLI

KeeperコマンダーCLIを使用すると、コマンドラインとSDKをKeeperのレポートシステムに統合し、高度な用途に対応できます。そのため、イベントデータを実用的なレポートの生成に使用できます。

詳細については、以下のレポート関連コマンドをご参照ください。

Last updated