ARAMイベント

管理者REST APIを使って、企業の監査およびセキュリティイベントのデータを取得

はじめに

ARAMイベントエンドポイントは、Keeperの高度なレポートとアラートモジュール (ARAM) によって収集された、企業向けの監査ログおよびセキュリティイベントにプログラムからアクセスするためのエンドポイントです。管理者やセキュリティ担当者は、このエンドポイントを利用して、コンプライアンス監視、セキュリティ分析、SIEM連携を目的に、監査イベントデータの取得、フィルタリング、エクスポートを行えます。

ARAMは、認証イベント、管理操作、レコード操作、共有アクティビティ、KeeperPAMの特権アクセスイベントなど、Keeperプラットフォーム全体で200種類以上のイベントタイプを記録します。監査イベントエンドポイントでは、これらのデータをREST形式のインターフェースを通じて取得できるため、カスタムアプリケーション、自動化ワークフロー、サードパーティのセキュリティツールとの連携が可能になります。

概要

Admin REST APIの監査イベントエンドポイントは、Keeperエンタープライズ環境から、リアルタイムおよび過去の監査イベントデータを提供します。この機能は、次のような重要なセキュリティおよびコンプライアンス用途を支援します。

セキュリティ監視

セキュリティインシデントの調査、異常検知、脅威ハンティングを目的としてイベントデータを取得できます。イベントには、IPアドレス、位置情報、クライアントのバージョン、タイムスタンプなどのコンテキスト情報が含まれます。

SIEM連携

監査イベントをSIEM (セキュリティ情報・イベント管理) プラットフォームに連携し、集中管理を実現します。本エンドポイントは、Splunk、Microsoft Sentinel、ElasticなどのSIEMソリューションと互換性のあるJSON形式でデータを返します。

コンプライアンス監査

SOX、ISO 27001、SOC 2など、詳細なアクセスログや管理操作の追跡を求める各種規制要件に対応するための監査レポートを作成できます。

要件

有効なKeeperエンタープライズサブスクリプションが必要です。
高度なレポートとアラートモジュール (ARAM) のアドオンが有効になっている必要があります。
レポート権限を含む管理者権限が必要です。
有効なAPI認証情報が必要です。

イベントカテゴリ

本エンドポイントでは、以下のイベントが返されます。

カテゴリ

説明

セキュリティイベント

ログイン試行、2要素認証 (2FA) の変更、マスターパスワードの変更、認証失敗

管理操作

ユーザーのプロビジョニング、ロールの割り当て、ポリシーの変更、ノード管理

レコード操作

レコードの作成、更新、削除、およびアクセスイベント

共有アクティビティ

レコードの共有、共有フォルダの操作、チームメンバーシップの変更

KeeperPAMイベント

特権セッションの記録、接続イベント、シークレットへのアクセス

シークレットマネージャーイベント

KSMアプリケーションへのアクセス、シークレットの取得、ローテーションイベント

BreachWatchイベント

高リスクパスワードの検出、対応状況の追跡

構成

Get Audit Events

get

Retrieves a paginated list of audit events for a specific enterprise between two dates. This endpoint is primarily used for SIEM integrations (e.g., Azure Sentinel) and is compatible with other log aggregation tools.

Results are returned in pages. Use the continuation_token from the response to retrieve the next page. When there are no more results, continuation_token will be null and has_more will be false.

Example:

curl --location 'https://keepersecurity.com/api/rest/public/events?start_date=2025-11-24T00%3A00%3A00Z&limit=20&end_date=2025-11-26T23%3A59%3A59Z' --header 'x-api-token: Bearer YOUR_API_TOKEN'

認可

x-api-tokenstring必須

クエリパラメータ

start_datestring · date-time必須

end_datestring · date-time必須

limitinteger · 最小: 1 · 最大: 1000オプションDefault: 100

continuation_tokenstringオプション

レスポンス

200

A paginated list of audit events

application/json

400

Bad request

401

Unauthorized

500

Server error

get

/public/events

GET /api/rest/public/events?start_date=2026-02-14T04%3A24%3A59.780Z&end_date=2026-02-14T04%3A24%3A59.780Z HTTP/1.1
Host: keepersecurity.com
x-api-token: YOUR_API_KEY
Accept: */*

{
  "continuation_token": "text",
  "has_more": true,
  "events": [
    {
      "audit_event": "text",
      "remote_address": "text",
      "category": "text",
      "client_version": "text",
      "enterprise_id": 1,
      "username": "text",
      "timestamp": 1
    }
  ]
}

エンドポイント

GET /api/rest/public/events

目的

指定した日付範囲内の監査イベントをエンタープライズ全体から取得する。

認証

以下のように、APIトークンを x-api-token ヘッダに含めて送信します。

x-api-token: Bearer <API_TOKEN>

クエリのパラメータ

名前

型

必須

説明

start_date

ISO 8601

はい

日付範囲の開始日時 (例: 2024-07-09T00:00:0Z)

end_date

ISO 8601

はい

日付範囲の終了日時 (例: 2025-07-10T19:45:00Z)

continuation_token

文字列

ページネーション時のみ

APIから返されたトークンを使用して次のページのイベントを取得します。

ヘッダ

例

x-api-token

Bearer <API_TOKEN>

リクエストの例

ページネーションなし

curl --location 'https://dev.keepersecurity.com/api/rest/public/events?start_date=2024-07-09T00%3A00%3A00Z&end_date=2025-07-10T19%3A45%3A00Z' \
  --header 'x-api-token: Bearer <API_TOKEN>'

ページネーション付き

curl --location 'https://dev.keepersecurity.com/api/rest/public/events?start_date=2024-07-09T00%3A00%3A00Z&end_date=2025-07-10T19%3A45%3A00Z&continuation_token=<CONT_TOKEN>' \
  --header 'x-api-token: Bearer <API_TOKEN>'

成功レスポンスの例 (200)

{
  "has_more": true,
  "events": [
    {
      "audit_event": "login_failure",
      "remote_address": "10.15.12.197",
      "category": "ADMIN",
      "client_version": "Commander 17.1.0",
      "enterprise_id": 8560,
      "username": "[email protected]",
      "timestamp": 1751910807587
    }
  ],
  "continuation_token": "vWiXa0eu2edoe_fonw5IJHwEbLmxXOACIvuoQRh7j4XiKuu1"
}

エラーコード

コード

メッセージ

原因

400

開始日が指定されていません

start_date クエリパラメーターが指定されていません。

400

終了日が指定されていません

end_date クエリパラメーターが指定されていません。

401

認証されていません

APIトークンが無効、または指定されていません。

500

内部サーバーエラー

想定外のサーバーエラーが発生しました。

セキュリティ上の注意事項

APIトークンはパスワードと同様に扱い、定期的にローテーションしてください。
権限は必要最小限のロールとアクションに制限してください。
有効期限は短く設定し、自動化など特別な用途でのみ「期限なし」を使用してください。
トークンは安全な場所 (例: Keeperボルト、クラウドKMSなど) に保管してください。

付録: クイックリファレンス (コマンダー)

# 一覧表示
public-api-key list [--format table|json|csv] [--output <file>]

# 生成
public-api-key generate \
  --name "<name>" \
  --roles "SIEM:1" \
  --expires 24h|7d|30d|1y|never \
  [--format json|csv] [--output <file>]

# 取り消し
public-api-key revoke <token_value> [--force]

前へ管理者向けREST API 次へリスク管理

最終更新 15 日前

hashtagはじめに

hashtag概要

hashtagセキュリティ監視

hashtagSIEM連携

hashtagコンプライアンス監査

hashtag要件

hashtagイベントカテゴリ

hashtag構成

hashtagGet Audit Events

hashtagクエリのパラメータ

hashtagヘッダ

hashtagリクエストの例

hashtag成功レスポンスの例 (200)

hashtagエラーコード

hashtagセキュリティ上の注意事項

hashtag付録: クイックリファレンス (コマンダー)