レポート作成、アラート、SIEM
Keeperの高度なレポートとアラートモジュールの詳細なイベントログ機能でコンプライアンス要件に対応
Last updated
Keeperの高度なレポートとアラートモジュールの詳細なイベントログ機能でコンプライアンス要件に対応
Last updated
Keeperの高度なレポートとアラートモジュール (Advanced Reporting and Alerts Module, ARAM) では、各種ツールを利用して全体的な利用状況やポリシーへの準拠を監視できます。
レポート作成エンジン 期間ごとのカスタムレポートを作成します 。セキュリティイベント、管理者の操作、一般的な利用状況などのカテゴリ別に分類された100以上のさまざまなイベントタイプが表示されます。ユーザー、イベントタイプ、属性 (レコードUID、共有フォルダUID、位置情報など) で絞り込むこともできます。
アラート ポリシーの変更時に管理者に通知するなど、特定のイベントタイプに基づいてアラートを設定し、メール、SMS、Webhookで送信します。
外部ログ Splunk、Sumo、LogRhythmなど既存のSIEMソリューションと統合します。
BreachWatch リスクの高いパスワードの通知を受けたユーザーやリスクの高いパスワードに対処したユーザーなど、BreachWatchのイベントに関して通知を送信したり追跡したりします。
コマンダーCLI/SDKの統合 Keeperコマンダーを利用すると、カスタムレポートの作成や自動化処理が可能です。
コンプライアンス監査 SOX、ISO、SOCのコンプライアンス監査要件に対処するためのレポートを作成できます。
レポートとアラートダッシュボードには、上位5つのイベント、2つの標準レポート、カスタムレポートの概要が表示されます。「最近のアクティビティ」レポートは標準レポートの1つで、16種類のイベントタイプに渡る直近1000件のイベントの追跡が可能です。 高度なレポートとアラートモジュールにアップグレードすることで、100種類を超えるイベントタイプの追跡、カスタムレポートの作成、アラートの通知をご使用になれます。
「最近のアクティビティ」レポートおよび「すべてのセキュリティイベント」レポートは、Keeper ビジネスおよびエンタープライズのすべてのサブスクリプションでご利用になれます。 カスタムレポートとアラートは、高度なレポートとアラートモジュール (ARAM) の機能の1つとなります。本機能をご利用になるには、Keeper Securityのアカウントマネージャに問い合わせください。または、管理コンソールのアドオンタブで、サブスクリプションをアップグレードしてください。
また、ダッシュボードから、ユーザーステータスのレポートもご利用になれます。詳しくは、管理コンソールページのダッシュボードの項をご参照ください。
[カスタムレポートを追加]をクリックするとカスタムレポートを作成できます。
[適用]をクリックすると、結果をプレビューできます。このレポートを使用する場合は[保存]をクリックします。イベントは、JSON、CSV、SysLogの各形式のファイルとしてエクスポートできます。
Keeperボルトで生成された新しいイベントがレポートモジュールに反映されるまで最大15分かかる場合があります。
IPアドレスに基づく位置情報の精度は、ユーザーの位置の特定に使用されるデータベースによって異なります。また、複数の要因によっても左右されます。レジストリが、受信したデータをどの程度正確に検証できるかということが最も重要となります。 IPアドレスに紐付けられている情報が不正確な場合、有用性が低下します。 IPアドレスが頻繁に変更されたり、モバイルキャリアがユーザーのインターネットアクセスに集中型のゲートウェイを使用している携帯電話の場合、位置情報の特定は著しく困難になります。 また、ユーザーがプロキシやVPNの位置データを使用している場合も、データは不正確になります。
Keeperでは、業界で最も信頼されるプロバイダの1つを利用しています。そのプロバイダでは、定期的に公開されている既知のIPアドレスと照合してデータ品質を検証することで、品質保証を行っています。
タイムライングラフの期間は、24時間、7日、30日間から選択できます。任意のイベントが記載された行をクリックすると、その期間内でそのイベントのすべての事例が表示されたレポートが開きます。
アラートモジュールを使用すると、イベントに基づいたアラートを生成できます。アラートはメールまたはSMSで送信されます。
新しいアラートは、[アラートを追加]をクリックし、名前とフィルタ条件を指定して作成します。メールアドレス、電話番号 (SMS用)、あるいはその両方を使用して、1人または複数人の受信者を追加できます。受信者は組織の一員である必要はなく、任意のメールアドレスまたは電話番号をご使用になれます。画面下部の受信者のセクションではアラート作成者が最初の受信者に設定されていますが、デフォルトではトグルボタンがOFFになっています。アラート作成者へのアラートを送信するには、トグルボタンをONに切り替えます。
イベントタイプや属性フィルタの指定範囲が広い場合、大量のアラートが生成される場合があります。アラートの頻度、イベントタイプと属性フィルタを調整することでアラートの量を軽減します。
大量のメールやSMSが受信者に届かないようにアラートを抑制するには、アラート頻度を指定します。たとえば、頻度を「期間中に1回」に設定し、期間を1時間に設定した場合、アラートフィルタに一致するすべてのイベントは引き続きアラートを発生させますが、アラートメッセージについては前回のアラートメッセージが送信されてから1時間経過した際に送信されます。また、トグルボタンを使用してアラートを一時停止することもできます。一時停止すると、アラートは発生し続けますが、実際のアラートメッセージは送信されません。一時停止を解除すると、次にアラートに一致するイベントが発生する際にアラートメッセージが送信されます。その際には一時停止中に発生したイベントを全て含んんだメッセージが送信されます。
以下は、メールでのアラートの例となります。
アラート履歴は、「送信済みアラート」タブで閲覧できます。個々のアラートの詳細も確認できます。
サードパーティのSIEMソリューションを利用している場合、Keeper管理コンソールを構成することで、ライブイベントデータを自動的にフィードすることができます。以下は現在対応しているソリューションとなります。
イベントデータは、Keeperのサーバーから対象のSIEMコレクタへ送信されます。同期は1つの外部ソリューションに対してのみ有効にできます。
[セットアップ]をクリックして、外部ログを有効にします。 各ソリューションのセットアップは容易で、通常は統合に必要な属性は少数です。
管理コンソール内のデフォルトの「最近のアクティビティ」レポートには、16種類のイベントタイプが含まれています。 Keeperの高度なレポートとアラートモジュールでは、最大100種類のイベントタイプがサポートされています。
Keeperエンタープライズによって検出されるイベントは、レポートとアラートの画面のドロップダウンメニューから閲覧できます。
デフォルトでは、エンドユーザー端末のBreachWatch関連イベントは収集されず、高度なレポートとアラートモジュールには転送されません。 これらのイベントは、ロールポリシーを介して管理します。この機能を有効にするには、[管理者]画面から[ロール] > [強制ポリシー] > [ボルト機能]に移動し、[BreachWatch関連イベントをレポート&アラートおよび接続済み外部ログシステムへ送信]をONに切り替えます。
以下の表は、Keeperの高度なレポートとアラートモジュールで検出されるイベントの一覧となります。イベントコードは、ユーザーインターフェースおよびKeeperコマンダーCLIコマンドパラメータ内で使用されます。「メッセージ」フィールドは、アラートモジュールに使用されます。
各イベント内には、レコードUID、共有フォルダUID、チームUID、ユーザー名などの属性が存在する場合があります。これらの属性はイベントメッセージに表示され、サードパーティSIEMプロバイダにも指定された形式で送信されます。
イベントコード | カテゴリ | メッセージ | コメント |
---|---|---|---|
change_master_password | アカウント(account) | ユーザー${username}はマスターパスワードを変更しました(User ${username} changed master password) | |
set_two_factor_off | セキュリティ(security) | ユーザー${username}は二要素認証方法をOFFに設定しました(User ${username} set 2FA method OFF) | |
change_security_question | アカウント(account) | ユーザー${username}は秘密の質問と回答を変更しました(User ${username} changed security question) | |
change_email | アカウント(account) | ユーザー${username}はEメールを変更しました(User ${username} changed email.)以前のEメール(Previous email ${email}) | |
alias_added | アカウント(account) | ユーザー${username}は代替のEメール${email}を追加しました(User ${username} added alternative email ${email}) | |
create_user | セキュリティ(security) | ユーザー${username}が作成されました(User ${username} created) | |
delete_user | セキュリティ(security) | ユーザー${to_username}は管理者${username}によって削除されました(User ${to_username} was deleted by admin ${username}) | |
fast_fill | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を自動入力しました(User ${username} autofilled record UID ${record_uid}) | |
ログイン(login) | ログイン(login) | ユーザー${username}はボルトにログインしました(User ${username} logged in to vault) | オプション: "channel" |
login_failure | ログイン(login) | ユーザー${username}はコード${result_code}によりログインに失敗しました(User ${username} login failed with code ${result_code}) | オプション: "channel" |
open_record | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を開きました(User ${username} opened record UID ${record_uid}) | オプション: "folder_type"、"folder_uid" |
record_add | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を追加しました(User ${username} added record UID ${record_uid}) | オプション: "folder_type"、"folder_uid" |
record_delete | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}をゴミ箱に送信しました(User ${username} sent record UID ${record_uid} to trash) | オプション: "folder_type"、"folder_uid" |
record_remove | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を削除しました(User ${username} removed record UID ${record_uid}) | オプション: "folder_type"、"folder_uid" |
record_update | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}を更新しました(User ${username} updated record UID ${record_uid}) | オプション: "folder_type"、"folder_uid" |
set_two_factor_on | セキュリティ(security) | ユーザー${username}は二要素認証方法${channel}をONにしました(User ${username} set 2FA method ${channel} ON) | |
共有(share) | 共有(share) | ユーザー${username}は記録UID${record_uid}を${to_username}と共有しました(User ${username} shared record UID ${record_uid} with ${to_username}) | |
transfer_owner | 共有(share) | ユーザー${username}は記録UID${record_uid}の所有者をユーザー${to_username}に移転しました(User ${username} transferred ownership of record UID ${record_uid} to user ${to_username}) | |
change_share | 共有(share) | ユーザー${username}は記録UID${record_uid}の共有権限をユーザー${to_username}に変更しました(User ${username} changed share permissions for record UID ${record_uid} to user ${to_username}) | このイベントログはユーザーの記録共有に対する変更です 記録の共有には、再共有および編集権限が含まれます |
remove_share | 共有(share) | ユーザー${username}は記録UID${record_uid}の共有をユーザー${to_username}から削除しました(User ${username} removed share of record UID ${record_uid} from user ${to_username}) | |
accept_share | 共有(share) | ユーザー ${username}ユーザー${username}の共有を承諾しました(User ${username} accepted share from user ${to_username}) | |
cancel_share | 共有(share) | ユーザー${username}はユーザー${to_username}の共有をキャンセルしました(User ${username} canceled share from user ${to_username}) | |
add_security_key | セキュリティ(security) | ユーザー${username}はセキュリティキーを追加しました(User ${username} added security key) | |
delete_security_key | セキュリティ(security) | ユーザー${username}はセキュリティキーを削除しました(User ${username} removed security key) | |
added_folder | 使用状況(usage) | ユーザー${username}は${folder_type}のフォルダUID${folder_uid}を作成しました(User ${username} created ${folder_type} folder UID ${folder_uid}) | |
folder_add_user | 共有(share) | ユーザー${username}はユーザー${to_username}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added user ${to_username} to shared folder UID ${shared_folder_uid}) | |
folder_remove_user | 共有(share) | ユーザー${username}はユーザー${to_username}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed user ${to_username} from shared folder UID ${shared_folder_uid}) | |
folder_add_team | 共有(share) | ユーザー${username}はチームUID${team_uid}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added team UID ${team_uid} to shared folder UID ${shared_folder_uid}) | |
folder_remove_team | 共有(share) | ユーザー${username}はチームUID${team_uid}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed team UID ${team_uid} from shared folder UID ${shared_folder_uid}) | |
folder_add_record | 共有(share) | ユーザー${username}は記録${record_uid}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added record ${record_uid} to shared folder UID ${shared_folder_uid}) | |
folder_remove_record | 共有(share) | ユーザー${username}は記録${record_uid}を共有フォルダUID${shared_folder_uid}から削除しました(User ${username} removed record ${record_uid} from shared folder UID ${shared_folder_uid}) | |
empty_trash | 使用状況(usage) | ユーザー${username}は削除した記録を消去しました(User ${username} purged deleted records) | |
added_shared_folder | 共有(share) | ユーザー${username}は共有フォルダUID${shared_folder_uid}を作成しました(User ${username} created shared folder UID ${shared_folder_uid}) | |
deleted_shared_folder | 共有(share) | ユーザー${username}は共有フォルダUID${shared_folder_uid}を削除しました(User ${username} deleted shared folder UID ${shared_folder_uid}) | |
deleted_folder | 使用状況(usage) | ユーザー${username}は${folder_type}のフォルダUID${folder_uid}を削除しました(User ${username} deleted ${folder_type} folder UID ${folder_uid}) | |
folder_change_user | 共有(share) | ユーザー${username}はユーザー${to_username}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed user ${to_username} permissions to shared folder UID ${shared_folder_uid}) | |
folder_change_team | 共有(share) | ユーザー${username}はチームUID${team_uid}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed team UID ${team_uid} permissions to shared folder UID ${shared_folder_uid}) | |
folder_change_record | 共有(share) | ユーザー${username}は記録${record_uid}の共有フォルダUID${shared_folder_uid}の権限を変更しました(User ${username} changed record ${record_uid} permissions to shared folder UID ${shared_folder_uid}) | |
record_share_outside_user | 共有(share) | ユーザー${username}は共有UID${record_uid}を社外ユーザー${to_username}と共有しました(User ${username} shared record UID ${record_uid} outside the company with user ${to_username}) | |
folder_add_outside_user | 共有(share) | ユーザー${username}は社外ユーザー${to_username}を共有フォルダUID${shared_folder_uid}に追加しました(User ${username} added outside the company user ${to_username} to shared folder UID ${shared_folder_uid}) | |
node_created | ポリシー(policy) | ユーザー${username}はノード${node}を作成しました(User ${username} created node ${node}) | |
node_deleted | ポリシー(policy) | ユーザー${username}はノード${node}を削除しました(User ${username} deleted node ${node}) | |
role_created | ポリシー(policy) | ユーザー${username}はロール${role_id}を作成しました(User ${username} created role ${role_id}) | |
role_deleted | ポリシー(policy) | ユーザー${username}はロール${role_id}を削除しました(User ${username} deleted role ${role_id}) | |
team_created | ポリシー(policy) | ユーザー${username}はチーム${team_uid}を作成しました(User ${username} created team ${team_uid}) | |
team_deleted | ポリシー(policy) | ユーザー${username}はチーム${team_uid}を削除しました(User ${username} deleted team ${team_uid}) | |
login_console | ログイン(login) | ユーザー${username}は管理コンソールにログインしました(User ${username} logged into Admin Console) | |
expire_password | セキュリティ(security) | ユーザー${to_username}のマスターパスワードは管理者${username}によってリセットされました(User ${to_username} master password was reset by admin ${username}) | |
send_invitation | セキュリティ(security) | ユーザー${username}は${to_username}に参加を招待しました(User ${username} invited ${to_username} to join) | |
vault_transferred | セキュリティ(security) | ユーザー${from_username}のボルトは管理者${username}によってユーザー${to_username}に移管されました(User ${from_username} vault was transferred to user ${to_username} by admin ${username}) | |
added_admin_key | セキュリティ(security) | ユーザー${to_username}は管理者${username}によって管理者権限が付与されました(User ${to_username} was provided admin permissions by admin ${username}) | |
added_to_role | セキュリティ(security) | ユーザー${to_username}は管理者${username}によってロール${role_id}に追加されました(User ${to_username} was added to Role ${role_id} by admin ${username}) | |
added_to_team | 共有(share) | ユーザー${to_username}は管理者${username}によってチーム${team_uid}に追加されました(User ${to_username} was added to Team ${team_uid} by admin ${username}) | |
accept_transfer | セキュリティ(security) | ユーザー${username}はアカウント移管の同意を承認しました(User ${username} accepted account transfer consent) | |
accept_invitation | セキュリティ(security) | ユーザー${username}は招待状に承諾しました(User ${username} accepted invitation) | |
lock_user | セキュリティ(security) | ユーザー${to_username}は管理者${username}によってロックされました(User ${to_username} was locked by admin ${username}) | |
enable_user | セキュリティ(security) | ユーザー${to_username}は管理者${username}によって有効化されました(User ${to_username} was enabled by admin ${username}) | |
set_custom_header_logo | ポリシー(policy) | ユーザー${username}はヘッダーのカスタムロゴを設定しました(User ${username} set custom header logo) | |
set_custom_email_logo | ポリシー(policy) | ユーザー${username}はEメールのカスタムロゴを設定しました(User ${username} set custom email logo ) | |
set_custom_email_content | ポリシー(policy) | ユーザー${username}はEメールのカスタムコンテンツを設定しました(User ${username} set custom email content) | |
bridge_activated | ポリシー(policy) | ユーザー${username}はノード${node}でKeeper Bridgeを有効化しました(User ${username} activated Keeper Bridge on node ${node}) | |
sso_activated | ポリシー(policy) | ユーザー${username}はノード${node}でKeeper SSO Connectを有効化しました(User ${username} activated Keeper SSO Connect on node ${node}) | |
email_provisioning_activated | ポリシー(policy) | ユーザー${username}はノード${node}でドメイン${email_domain}のメールアドレスで自動プロビジョニングを有効化しました(User ${username} activated Email auto-provisioning for domain ${email_domain} on node ${node}) | |
scim_activated | ポリシー(policy) | ユーザー${username}はノード${node}でSCIMプロビジョニングを有効化しました(User ${username} activated SCIM provisioning on node ${node}) | |
role_enforcement_changed | ポリシー(policy) | ユーザー${username}はロール${role_id}に対して${value}の強制${enforcement}を変更しました(User ${username} changed enforcement ${enforcement} to ${value} for role ${role_id}) | |
login_failed_console | セキュリティ(security) | ユーザー${username}は管理コンソールへのログインに失敗しました(User ${username} failed login to Admin Console) | オプション: "channel" |
audit_sync_failed | 使用状況(usage) | ${channel}との監査ログの同期はエラー${result_code}により失敗しました(Audit log sync to ${channel} failed with error ${result_code}) | |
audit_sync_restored | 使用状況(usage) | ${channel}との監査ログの同期が回復しました(Audit log sync to ${channel} restored) | |
audit_sync_resumed | 使用状況(usage) | 管理者${username}は${channel}との監査ログの同期を再開しました(Admin ${username} resumed audit log sync to ${channel}) | |
audit_sync_paused | 使用状況(usage) | ${channel}との監査ログの同期を一時停止しました(Audit log sync to ${channel} paused) | |
audit_sync_setup | ポリシー(policy) | 管理者${username}は"${name}"との監査ログの同期を設定しました(Admin ${username} set up audit log sync to "${name}") | |
audit_sync_removed | ポリシー(policy) | 管理者${username}は"${name}"との監査ログの同期を削除しました(Admin ${username} removed audit log sync to "${name}") | |
audit_alert_sent | 使用状況(usage) | 監査アラート"${channel}"は${recipient}に送信されました(Audit alert "${channel}" was sent to ${recipient}) | オプション: "parent_id" |
login_failed_ip_whitelist | セキュリティ(security) | ユーザー${username}はIP${ip_address}からブロックされています(User ${username} has been blocked from IP ${ip_address}) | |
decline_invitation | セキュリティ(security) | ユーザー${username}は招待を拒否しました(User ${username} declined invitation) | |
set_2fa_configuration | ポリシー(policy) | ノード${node}に対して二要素認証${value}のグローバル構成が設定されました(Set global 2FA configuration ${value} for node ${node}) | |
report_created | ポリシー(policy) | 管理者${username}はレポート${report_name}を作成しました(Admin ${username} created report ${report_name}) | |
report_modified | ポリシー(policy) | 管理者${username}はレポート${report_name}を変更しました(Admin ${username} modified report ${report_name}) | |
report_deleted | ポリシー(policy) | 管理者${username}はレポート${report_name}を削除しました(Admin ${username} deleted report ${report_name}) | |
record_password_change | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のパスワードを変更しました(User ${username} changed password on record UID ${record_uid}) | |
added_identity | 使用状況(usage) | ユーザー${username}はIDを追加しました(User ${username} added an identity) | |
added_payment_card | 使用状況(usage) | ユーザー${username}はクレジットカードを追加しました(User ${username} added a payment card) | |
changed_identity | 使用状況(usage) | ユーザー${username}はIDを変更しました(User ${username} changed an identity) | |
changed_payment_card | 使用状況(usage) | ユーザー${username}はクレジットカードを変更しました(User ${username} changed a payment card) | |
copy_password | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のクリップボードにパスワードをコピーしました(User ${username} copied password to clipboard on record UID ${record_uid}) | |
imported_records | 使用状況(usage) | ユーザー${username}は記録を${file_format}ファイルからインポートしました(User ${username} imported records from ${file_format} file) | IOSは非該当 |
exported_records | 使用状況(usage) | ユーザー${username}は記録を${file_format}ファイルにエクスポートしました(User ${username} exported records to ${file_format} file) | IOSは非該当 |
weak_password | パスワード(password) | ユーザー${username}は弱いパスワードを作成しました(User ${username} created a password that is weak) | N/A |
reused_password | パスワード(password) | ユーザー${username}はパスワードを再利用しました(User ${username} reused a password) | |
revision_restored | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}の以前のリビジョンを復元しました(User ${username} restored previous revision of record UID ${record_uid}') | |
record_restored | 使用状況(usage) | ユーザー${username}は削除した記録UID${record_uid}を復元しました(User ${username} restored deleted record UID ${record_uid}) | |
high_risk_password_detected | breachwatch | BreachWatchはユーザー${username}の記録UID${record_uid}で高リスクなパスワードを検出しました(BreachWatch detected a high-risk password for user ${username} record UID ${record_uid}) | N/A |
high_risk_password_resolved | breachwatch | ユーザー${username}はBreachWatchで検出された記録UID${record_uid}の高リスクなパスワードを解決しました(User ${username} resolved a high-risk password detected by BreachWatch for record UID ${record_uid}) | N/A |
high_risk_password_ignored | breachwatch | ユーザー${username}はBreachWatchで検出された記録UID${record_uid}の高リスクなパスワードを無視しました(User ${username} ignored a high-risk password detected by BreachWatch for record UID ${record_uid}) | N/A |
chat_message_sent | チャット(chat) | ユーザー${username}はセキュアメッセージを送信しました(User ${username} sent a secure message) | |
chat_message_received | チャット(chat) | ユーザー${username}はセキュアメッセージを受信しました(User ${username} received a secure message) | |
chat_message_destruct | チャット(chat) | ユーザー${username}はメッセージを自己破壊するよう設定しました(User ${username} set a message to self destruct) | |
chat_file_attached | チャット(chat) | ユーザー${username}はファイルを送信しました(User ${username} sent a file) | |
chat_contact_added | チャット(chat) | ユーザー${username}は連絡先として${to_username}を招待しました(User ${username} invited ${to_username} as contact) | |
chat_login | チャット(chat) | ユーザー${username}はKeeperChatにログインしました(User ${username} logged in to KeeperChat) | |
chat_login_failed | チャット(chat) | ユーザー${username}はコード${result_code}によりKeeperChatのログインに失敗しました(User ${username} login failed to KeeperChat with code ${result_code}) | |
file_attachment_uploaded | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}をアップロードしました(User ${username} uploaded file attachment UID ${attachment_id} on record UID ${record_uid}) | |
file_attachment_downloaded | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}をダウンロードしました(User ${username} downloaded file attachment UID ${attachment_id} on record UID ${record_uid}) | |
file_attachment_deleted | 使用状況(usage) | ユーザー${username}は記録UID${record_uid}のファイル添付UID${attachment_id}を削除しました(User ${username} deleted file attachment UID ${attachment_id} on record UID ${record_uid}) | |
audit_alert_created | ポリシー(policy) | 管理者${username}は監査アラート"${name}"を作成しました(Admin ${username} created audit alert "${name}") | |
audit_alert_deleted | ポリシー(policy) | 管理者${username}は監査アラート"${name}"を削除しました(Admin ${username} deleted audit alert "${name}") | |
audit_alert_paused | ポリシー(policy) | 管理者${username}はユーザー${recipient}の監査アラート"${name}"を一時停止しました(Admin ${username} paused audit alert "${name}" for user ${recipient}) | |
audit_alert_resumed | ポリシー(policy) | 管理者${username}はユーザー${recipient}の監査アラート"${name}"を再開しました(Admin ${username} resumed audit alert "${name}" for user ${recipient}) | |
bw_record_high_risk | breachwatch | ユーザー${username}は高リスクパスワードの通知を受けました(User ${username} was notified of a high risk password) | |
bw_record_ignored | breachwatch | ユーザー${username}は高リスクパスワードを無視しました(User ${username} ignored high risk password) | |
bw_record_resolved | breachwatch | ユーザー${username}は高リスクパスワードを解決しました(User ${username} resolved a high risk password) | |
msp_attaches_mc | msp | ユーザー${username}はEnterprise${enterprise}をノード${node}に添付しました(User ${username} attached enterprise ${enterprise} to node ${node}) | |
msp_increases_mc_seats | msp | ユーザー${username}はEnterprise${enterprise}のシート数を${seats_added}つ増やしました(User ${username} increased number of seats for enterprise ${enterprise} by ${seats_added}) | |
msp_decreases_mc_seats | msp | ユーザー${username}はEnterprise${enterprise}のシート数を${seats_removed}つ減らしました(User ${username} decreased number of seats for enterprise ${enterprise} by ${seats_removed}) | |
msp_changes_mc_plan | msp | ユーザー${username}はEnterprise${enterprise}の計画を${plan}に変更しました(User ${username} changed plan for enterprise ${enterprise} to ${plan}) | |
msp_renames_mc | msp | ユーザー${username}はEnterprise${enterprise}の名前を${enterprise_new}に変更しました(User ${username} renamed enterprise ${enterprise} to ${enterprise_new}) | |
msp_pauses_mc | msp | ユーザー${username}はEnterprise ${enterprise}、${plan}、${seats}つのシートを一時停止しました(User ${username} paused enterprise ${enterprise}, ${plan}, ${seats} seats) | |
msp_resumes_mc | msp | ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを再開しました(User ${username} resumed enterprise ${enterprise}, ${plan}, ${seats} seats) | |
msp_removes_mc | msp | ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを削除しました(User ${username} removed enterprise ${enterprise}, ${plan}, ${seats} seats) | |
msp_deletes_mc | msp | ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを削除しました(User ${username} deleted enterprise ${enterprise}, ${plan}, ${seats} seats) | |
msp_creates_mc | msp | ユーザー${username}はEnterprise${enterprise}、${plan}、${seats}つのシートを登録しました(User ${username} registered enterprise ${enterprise}, ${plan}, ${seats} seats) | |
enterprise_2fa_disabled_by_admin | セキュリティ(security) | 管理者${username}はユーザー${to_username}の二要素認証を無効化しました(Admin ${username} disabled 2FA for user ${to_username}) | |
reauthentication_reprompt_success | セキュリティ(security) | ユーザー${username}の再認証に成功しました(User ${username} re-authentication succeeded) | |
reauthentication_reprompt_throttle | セキュリティ(security) | ユーザー${username}の再認証は制限されています(User ${username} re-authentication throttled) | |
scim_access_failure | セキュリティ(security) | ノード${node}でのSCIMプロビジョニングの認証に${failure_count}回失敗しました(SCIM provisioning on node ${node} failed to authenticate ${failure_count} times.)トークン${token_id}...(Token ${token_id}...) | |
device_approved | セキュリティ(security) | デバイス${deviceName}はユーザー${username}に対して承認されています(Device ${deviceName} is approved for user ${username}) | |
device_admin_approval_requested | セキュリティ(security) | ユーザー${username}は管理者にデバイス${deviceName}の承認をリクエストしました(User ${username} requested admin approval for device ${deviceName}) | |
device_approved_by_admin | セキュリティ(security) | 管理者${username}はユーザー${to_username}に対してデバイス${deviceName}を承認しました(Admin ${username} approved device ${deviceName} for user ${to_username}) | |
device_user_approval_requested | セキュリティ(security) | ユーザー${username}はデバイス${device_name}の承認をリクエストしました(User ${username} requested self approval for device ${device_name}) | |
out_of_seats | ポリシー(policy) | ライセンスは${enterprise}のユーザーに許可されている最大数に達しました(License has reached the maximum allowed users for ${enterprise}) | |
scim_access_failure | セキュリティ(security) | ノード${node}でのSCIMプロビジョニングの認証に${failure_count}回失敗しました(SCIM provisioning on node ${node} failed to authenticate ${failure_count} times.)トークン${token_id}...(Token ${token_id}...) | |
record_type_created | ポリシー(policy) | 管理者${username}はレポートタイプ「${name}」を作成しました(Admin ${username} created record type "${name}") | |
record_type_updated | ポリシー(policy) | 管理者${username}はレポートタイプ「${name}」を更新しました(Admin ${username} updated record type "${name}") | |
record_type_deleted | ポリシー(policy) | 管理者${username}はレポートタイプ「${name}」を削除しました(Admin ${username} deleted record type "${name}") | |
compliance_report_saved | コンプライアンス(compliance) | コンプライアンスレポートUID${app_uid}は${username}によって保存されました(Compliance report UID ${app_uid} saved by ${username}) | |
compliance_report_downloaded | コンプライアンス(compliance) | コンプライアンスレポートUID${app_uid}は${username}によってダウンロードされました(Compliance report UID ${app_uid} downloaded by ${username}) | |
compliance_report_exported | コンプライアンス(compliance) | コンプライアンスレポートUID${app_uid}は${username}によってエクスポートされました(Compliance report UID ${app_uid} exported by ${username}) | |
compliance_report_deleted | コンプライアンス(compliance) | コンプライアンスレポートUID${app_uid}は${username}によって削除されました(Compliance report UID ${app_uid} deleted by ${username}) | |
saved_criteria_saved | コンプライアンス(compliance) | コンプライアンスレポート条件UID${app_uid}は${username}によって保存されました(Compliance report criteria UID ${app_uid} saved by ${username}) | |
saved_criteria_edited | コンプライアンス(compliance) | コンプライアンスレポート条件UID${app_uid}は${username}によって編集されました(Compliance report criteria UID ${app_uid} edited by ${username}) | |
saved_criteria_deleted | コンプライアンス(compliance) | コンプライアンスレポート条件UID${app_uid}は${username}によって削除されました(Compliance report criteria UID ${app_uid} deleted by ${username}) | |
compliance_report_run | コンプライアンス(compliance) | コンプライアンスレポートは${username}によって実行されました(Compliance report run by ${username}) | |
unsaved_compliance_report_exported | コンプライアンス(compliance) | 未保存のコンプライアンスレポートが${username}によってエクスポートされました(Unsaved compliance report exported by ${username}) | |
app_record_shared | シークレットマネージャ(secrets manager) | ユーザー${username}は記録UID${secret_uid}をKSMアプリケーション${app_uid}と共有しました(User ${username} shared record UID ${secret_uid} with KSM application ${app_uid}) | |
app_folder_shared | シークレットマネージャ(secrets manager) | ユーザー${username}はフォルダUID${secret_uid}をKSMアプリケーション${app_uid}と共有しました(User ${username} shared folder UID ${secret_uid} with KSM application ${app_uid}) | |
app_record_removed | シークレットマネージャ(secrets manager) | ユーザー${username}は記録UID${secret_uid}をKSMアプリケーション${app_uid}から削除しました(User ${username} removed record UID ${secret_uid} from KSM application ${app_uid}) | |
app_folder_removed | シークレットマネージャ(secrets manager) | ユーザー${username}はフォルダUID${secret_uid}をKSMアプリケーション${app_uid}から削除しました(User ${username} removed folder UID ${secret_uid} from KSM application ${app_uid}) | |
app_record_share_changed | シークレットマネージャ(secrets manager) | ユーザー${username}はKSMアプリケーション${app_uid}の記録UID${secret_uid}の共有権限を変更しました(User ${username} changed share permissions for record UID ${secret_uid} for KSM application ${app_uid}) | |
app_folder_share_changed | シークレットマネージャ(secrets manager) | ユーザー${username}はKSMアプリケーション${app_uid}のフォルダUID${secret_uid}の共有権限を変更しました(User ${username} changed share permissions for folder UID ${secret_uid} for KSM application ${app_uid}) | |
app_client_added | シークレットマネージャ(secrets manager) | ユーザー${username}はKSMデバイス${device_name}をアプリケーション${app_uid}に追加しました(User ${username} added KSM device ${device_name} to application ${app_uid}) | |
app_client_removed | シークレットマネージャ(secrets manager) | ユーザー${username}はKSMデバイス${device_name}をアプリケーション${app_uid}から削除しました(User ${username} removed KSM device ${device_name} from application ${app_uid}) | |
app_client_connected | シークレットマネージャ(secrets manager) | KSMデバイス${device_name}はアプリケーション${app_uid}との初期接続を実行しました(KSM device ${device_name} performed initial connect to application ${app_uid}) | |
app_client_access | シークレットマネージャ(secrets manager) | IPアドレス${ip_address}を持つKSMデバイス${device_name}からアプリケーション${app_uid}へのアクセスが拒否されました(Access denied to application ${app_uid} from KSM device ${device_name} with IP address ${ip_address}) | |
app_client_record_update | シークレットマネージャ(secrets manager) | KSMデバイス${device_name}は記録UID${secret_uid}を更新しました(KSM device ${device_name} has updated record UID ${secret_uid}) | |
app_client_access_denied | シークレットマネージャ(secrets manager) | IPアドレス${ip_address}を持つKSMデバイス${device_name}からアプリケーション${app_uid}へのアクセスが拒否されました(Access denied to application ${app_uid} from KSM device ${device_name} with IP address ${ip_address}) | |
app_client_record_create | シークレットマネージャ(secrets manager) | KSMデバイスXXXは記録UID YYYを作成しました(KSM device XXX has created record UID YYY) | |
app_client_expired | シークレットマネージャ(secrets manager) | KSMデバイス${device_name} からアプリケーション${app_uid}へのアクセスが期限切れになりました(Access for KSM device ${device_name} to application ${app_uid} has expired) | |
ext_share_added | ワンタイム共有(one time share) | ユーザー${username}は「記録UID: ${app_uid}」へのワンタイム共有を生成しました(User ${username} generated a One-Time Share link to 'Record UID:${app_uid}') | |
ext_share_removed | ワンタイム共有(one time share) | ユーザー${username}は「記録UID: ${app_uid}」へのワンタイム共有を生成しました(User ${username} generated a One-Time Share link to 'Record UID:${app_uid}') | |
ext_share_connected | ワンタイム共有(one time share) | ユーザーは${username}が作成した「記録UID: ${app_uid}」のワンタイム共有リンクを開きました(A user opened the One-Time Share link for 'Record UID:${app_uid}' created by ${username}) | |
ext_share_access | ワンタイム共有(one time share) | ユーザーは${username}が作成した「記録UID: ${app_uid}」のワンタイム共有リンクを再度開きました(A user re-opened the One-Time Share link for 'Record UID:${app_uid}' created by ${username}) | |
ext_share_expired | ワンタイム共有(one time share) | 「記録UID: ${app_uid}」のワンタイム共有リンクの期限が切れました(A One-Time Share link for 'Record UID:${app_uid}' has expired) | |
pending_added_to_role | セキュリティ(security) | 保留中のユーザー${value}は管理者${username}によってロール${role_id}に追加されました(Pending user ${value} was added to Role ${role_id} by admin ${username}) | |
pending_removed_from_role | セキュリティ(security) | 保留中のユーザー${value}は管理者${username}によってロール${role_id}から削除されました(Pending user ${value} was removed from Role ${role_id} by admin ${username}) |
以下は、JSON形式で送信された2つのイベントの例となります。「record_update」イベントは特定のレコードに関係するため、レコードUIDが表示されています。
以下は、Syslog形式のイベントの例となります。Keeperコマンダーを介してのエクスポートしたり、サードパーティ製のSIEMソリューションにエクスポートしたりできます。
「enterprise_id」は、同じSIEMコレクタ内にあるさまざまなKeeperエンタープライズのテナントを区別するのに役立ちます。
イベントデータでは、レコードUID、共有フォルダUID、チームUIDなどのさまざまなタイプのUID値が参照されています。レコードUIDと共有フォルダUIDについては、KeeperコマンダーCLIまたはウェブボルトから確認できます。
KeeperコマンダーCLIを使用すると、コマンドラインとSDKをKeeperのレポートシステムに統合し、高度な用途に対応できます。そのため、イベントデータを実用的なレポートの生成に使用できます。
詳細については、以下のをご参照ください。