イベントレポート
Keeperの高度なレポートとアラートモジュールとの連携
Keeper Secrets Managerは、高度なレポートとアラートモジュールで複数のイベントを生成します。これらのイベントを分析できる場所は以下のように複数あります。
Keeper管理コンソール(レポートとアラートモジュールの詳細): https://docs.keeper.io/enterprise-guide/event-reporting\
Splunkなどの一般的なプロバイダへのSIEMエクスポート: https://docs.keeper.io/enterprise-guide/event-reporting/splunk\
SlackやTeamsなどのWebhook: https://docs.keeper.io/enterprise-guide/webhooks\
Commander CLIのaudit-reportコマンドとaudit-logコマンド
Secrets Managerイベント
Secrets Managerから生成されるイベントの一覧を以下に示します。「アプリケーション」とは、Keeperボルトの記録またはフォルダに関連付けられているSecrets Managerアプリケーションを指します。
イベント名
説明
イベントの原因
app_record_shared
ユーザー${username}によるKSMアプリケーション${app_uid}とのUID記録${secret_uid}の共有
記録の所有者がアプリケーションに記録を追加した場合
app_folder_shared
ユーザー${username}によるKSMアプリケーション${app_uid}とのフォルダUID ${secret_uid}の共有
共有フォルダの所有者が共有フォルダをアプリケーションに追加した場合
app_record_removed
ユーザー${username}によるKSMアプリケーション${app_uid}からのUID記録${secret_uid}の削除
ユーザーがアプリケーションから記録共有を削除した場合
app_folder_removed
ユーザー${username}によるKSMアプリケーション${app_uid}からのフォルダUID ${secret_uid}の削除
ユーザーがアプリケーションからフォルダ共有を削除した場合
app_record_share_changed
ユーザー${username}によるKSMアプリケーション${app_uid}のUID記録の共有権限の変更${secret_uid}
ユーザーがアプリケーションの記録共有の共有権限を変更した場合
app_folder_share_changed
ユーザー${username}によるKSMアプリケーション${app_uid}のフォルダUID ${secret_uid}の共有権限の変更
ユーザーがアプリケーションのフォルダ共有の共有権限を変更した場合
app_client_added
ユーザー${username}によるKSMデバイス${device_name}のアプリケーション${app_uid}への追加
新しいクライアントデバイスがアプリケーションに追加された場合
app_client_removed
ユーザー${username}によるKSMデバイス${device_name}のアプリケーション${app_uid}からの削除
クライアントデバイスがアプリケーションから削除された場合
app_client_connected
KSMデバイス${device_name}のアプリケーション${app_uid}に対する初回接続の実行
ワンタイムアクセストークンを使用したクライアントデバイスの始めての接続
app_client_access
KSMデバイス${device_name}のアプリケーション${app_uid}からのシークレットへのアクセス
クライアントデバイスからアプリケーション共有へのアクセス
app_client_record_update
KSMデバイス${device_name}によるUID記録${secret_uid}の更新
クライアントデバイスによる記録の更新
Access denied from blocked IP
UID記録${secret_uid}に対するブロックされたIPアドレス${device_ip}を持つデバイスからのアクセスの拒否
IPロックと異なるIPを持つデバイスによるシークレットへのアクセスの試み
すべてのイベントの一覧は以下をご参照ください。 https://docs.keeper.io/enterprise-guide/event-reporting
最終更新