イベントレポート
Keeperの高度なレポートとアラートモジュールとの連携
Keeperシークレットマネージャーでは、高度なレポートとアラートのモジュール内で複数のイベントが生成されます。これらのイベントは、以下のさまざまな場所で分析できます。
Keeper管理コンソール
イベントレポートおよびアラートモジュールの詳細についてはこちらのページを参照
SIEMへのエクスポート
Splunkなどの一般的なSIEMプロバイダーに対応 (こちらのページを参照)
Webhook連携
SlackやTeamsなどへの通知 (こちらのページを参照)
コマンダーCLIのコマンド
audit-report コマンドおよび audit-log コマンド
シークレットマネージャー関連のイベント
以下は、シークレットマネージャーによって生成されるイベントの一覧です。ここでいう「アプリケーション」とは、Keeperボルト内のレコードまたはフォルダに関連付けられた、シークレットマネージャーのアプリケーションを指します。
app_record_shared
ユーザー ${username} が、レコードUID ${secret_uid} をKSMアプリケーション ${app_uid} と共有しました。
レコードの所有者が、アプリケーションにレコードを追加した場合。
app_folder_shared
ユーザー ${username} が、フォルダUID ${secret_uid} をKSMアプリケーション ${app_uid} と共有しました。
共有フォルダの所有者が、アプリケーションに共有フォルダを追加した場合。
app_record_removed
ユーザー ${username} が、レコードUID ${secret_uid} をKSMアプリケーション ${app_uid} から削除しました。
ユーザーが、アプリケーションからレコードの共有を解除した場合。
app_folder_removed
ユーザー ${username} が、フォルダUID ${secret_uid} をKSMアプリケーション ${app_uid} から削除しました。
ユーザーが、アプリケーションからフォルダの共有を解除した場合。
app_record_share_changed
ユーザー ${username} が、KSMアプリケーション ${app_uid} に対するレコードUID ${secret_uid} の共有権限を変更しました。
ユーザーが、アプリケーション内でレコードの共有権限を変更した場合。
app_folder_share_changed
ユーザー ${username} が、KSMアプリケーション ${app_uid} に対するフォルダUID ${secret_uid} の共有権限を変更しました。
ユーザーが、アプリケーション内でフォルダの共有権限を変更した場合。
app_client_added
ユーザー ${username} が、KSMデバイス ${device_name} をアプリケーション ${app_uid} に追加しました。
新しいクライアントデバイスがアプリケーションに追加された場合。
app_client_removed
ユーザー ${username} が、KSMデバイス ${device_name} をアプリケーション ${app_uid} から削除しました。
クライアントデバイスがアプリケーションから削除された場合。
app_client_connected
KSMデバイス ${device_name} が、アプリケーション ${app_uid} に初回接続を行いました。
クライアントデバイスがワンタイムアクセストークンを使用して初回接続した場合。
app_client_access
KSMデバイス ${device_name} が、アプリケーション ${app_uid} からシークレットにアクセスしました。
クライアントデバイスが、アプリケーションで共有されている項目にアクセスした場合。
app_client_record_update
KSMデバイス ${device_name} が、レコードUID ${secret_uid} を更新しました。
クライアントデバイスがレコードを更新した場合。
Access denied from blocked IP
ブロックされたIPアドレス ${device_ip} を持つデバイスから、レコードUID ${secret_uid} へのアクセスが拒否されました。
IPアドレス制限が設定されている状態で、許可されていないIPからシークレットへのアクセスが試行された場合。
イベントの一覧については、こちらのページをご参照ください。
最終更新