Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

監査ログの表示

監査ログには、ログインアクティビティと、ATP Cloud ウェブポータルを使用して正常に完了した特定のタスクに関する情報が含まれます。監査ログ エントリには、ユーザー名、タスク名、タスクの詳細、タスク実行の日時など、ユーザーが開始したタスクに関する詳細が含まれます。管理者は、特定の期間の監査ログの表示、監査ログの検索とフィルター処理、およびカンマ区切り値 (CSV) 形式での監査ログのエクスポートを行うことができます。

手記:

  • 監査ログを表示するには、監査ログ管理者権限が必要です。

  • 監査ログの保持期間は 5 年間です。

監査ログを表示するには:

  1. ATP Cloud Web ポータル UI で、[ 監視>監査(Monitor Audit)] を選択します。

    [監査ログ] ページが表示され、監査ログが表形式で表示されます。「監査ログ」ページに表示されるフィールドについては、 表 1 で説明します。

  2. (オプション)[詳細( Details )] リンクをクリックすると、その監査ログの詳細が表示されます。

    「監査ログの詳細」ダイアログ・ボックスが表示されます。このページには、「監査ログ」ページには表示されない追加フィールドが表示されます。これらのフィールドについては、 表 2 で説明します。

    [ OK ] をクリックして [監査ログの詳細] ダイアログ ボックスを閉じます。

  3. (オプション)[エクスポート(Export)] をクリックして監査ログをカンマ区切り値(CSV)ファイルとしてエクスポートし、エクスポートされた監査ログを表示および分析します。すべての監査ログを一度にエクスポートすることも、特定の期間にエクスポートすることもできます。
  4. (オプション)[ 期間 ] をクリックし、特定の期間の監査ログを表示する期間を選択します。
表 1: [監査ログ] ページのフィールド

形容

タイムスタンプ

データベースには UTC 時間で格納されますが、クライアント コンピューターのローカル タイム ゾーンにマップされた監査ログ ファイルのタイムスタンプ。

ユーザー名

タスクを開始したユーザーのユーザー名。

アクション

監査ログをトリガーしたタスクの名前。

細部

実行されたタスクに関する詳細情報。

詳細リンクをクリックすると、タスクの詳細が表示されます。
表 2: [監査ログの詳細(Audit Logs Details)] ページのフィールド

形容

タイムスタンプ

データベースには UTC 時間で格納されますが、クライアント コンピューターのローカル タイム ゾーンにマップされた監査ログ ファイルのタイムスタンプ。

ユーザー名

タスクを開始したユーザーのユーザー名。

アクション

監査ログをトリガーしたタスクの名前。詳細については、 表 3 を参照してください。
表 3: 監査ログ アクションに表示されるフィールド

監査ログをトリガーしたアクション

[詳細] 列に表示されるフィールド監査ログ

アプリケーショントークンの作成

{'トークンID': , 'トークン名': , 'トークンの説明': }

アプリケーション トークンの更新

{"トークンID": , "トークン名": , "トークンの説明": }

アプリケーショントークンの削除

{"トークン ID": }

ユーザーログイン

{"role": , "client ip": , "XFF": }

ユーザーのログアウト

{"role": , "client ip": , "XFF": }

登録要求 slax スクリプト

{"登録元": }

登録解除の要求 slax スクリプト

{"登録元": }

SRX登録完了(または)SRX登録解除が完了しました

{'シリアル番号': , 'モデル': , 'バージョン': , 'ホスト': , '登録元': }

SRX登録完了(または)SRX登録解除が完了しました

{'シリアル番号': , 'モデル': , 'バージョン': , 'ホスト': , '登録元': }

脅威ソースサーバーをレポートする

{"ccサーバー": , "レポートの種類": }

ファイル検査プロファイルの作成

{"プロファイル名": }

ファイル検査プロファイルの更新

{"プロファイル名":, "プロファイルID": , 'カテゴリのしきい値': , '無効なカテゴリ': }

ファイル検査プロファイルの削除

{"プロファイル名": }

登録コマンドの作成

  

登録解除コマンドの作成

  

デバイスの削除

{'デバイス': }

デバイス統計データの削除

{'デバイス': }

デバイスモデルの削除

{"デバイス": }

デバイスの登録

{"デバイス": }

デバイスの登録

{"デバイス": }

デバイスを組織に接続する

{"デバイス": , "組織": }

組織からデバイスを切り離す

{"デバイス": , "組織": }

ブロックされた添付ファイルに対する管理者のアクション

{"アクション": , "id": }

隔離された電子メールに対する管理者のアクション

{"アクション": , "id": }

ブロックされた添付ファイルに対するユーザーアクション

{"アクション": , "id": }

隔離されたメールに対するユーザーアクション

{"アクション": , "id": }

検疫済みメールの設定を更新する

{"smtp": {}, ... }

ブロックされた添付ファイルの構成を更新する

{"imap": {}, ... }

ブロックされた添付ファイルの構成を更新する

{"server_list": }

ブロックされた添付ファイルの構成を更新する

{'domain_name':}

ブロックされた添付ファイルの設定を削除する

{'domain_name':}

検疫済みメールの設定を更新する

{'release_option': , 'release_email': , 'replacement_link_text': , 'replacement_subject': , 'replacement_body': , 'learn_more_url': }

ブロックされた添付ファイルの構成を更新する

{'notification_link_text': , 'notification_subject': , 'notification_body': , 'learn_more_url': , 'unblock_email': }

管理者のブロックされた添付ファイルの通知を更新する

{'notify_email': , 'notify_block': , 'notify_unblock': }

管理者がブロックした添付ファイルの通知を削除する

{'notify_email': , ....}

管理者による検疫済みメール通知を更新する

{'notify_email': , 'notify_quarantine': , 'notify_release': }

管理者による隔離済みメール通知の削除

{'notify_email': , ....}

レポート暗号化トラフィックサーバー

{"ETAサーバー": , "レポートタイプ": }

暗号化されたトラフィックの許可リストにデータを追加する

[ {"値": , } ...]

暗号化されたトラフィックの許可リストのデータを更新する

{"既存の値": , "新しい値": }

暗号化されたトラフィックの許可リストからデータを削除する

{"削除された値": }

感染したホストの脅威レベルのしきい値を更新する

{"ホストしきい値": }

TAXII 共有しきい値の更新

{"タクシーのしきい値": , "タクシーの共有": }

ホスト イベントとマルウェアのログを更新する

{"ホストステータス": , "マルウェアステータス": }

MIST 統合ステータスの更新

{"mistステータス": }

感染したホストのメール設定を作成する

{"email": , "メールしきい値":}

感染したホストのメール設定を更新する

{"email": , "メールのしきい値": }

感染したホストのメール設定を削除する

{"メール": }

ハッシュにデータを追加

{'有効なハッシュ': ,'一意のハッシュ': , '無効なハッシュ': }

ハッシュのデータを置き換える

{'有効なハッシュ': ,'一意のハッシュ': , '無効なハッシュ': }

ハッシュからデータを削除する

{"ハッシュ": }

ハッシュからデータを削除する

{'valid_hashes': , 'invalid_hashes': }

ホストの調査ステータスを更新する

{"ホストIP": , "inv status": , "policy": , "label": }

ホストの調査ステータスを更新する

{"ホストIP": , "inv status": , "policy": , "label": }

ホスト追跡レコードのログ記録

  

SecIntelのサードパーティフィード設定を更新する

{"フィード": [{"feed_name": , "feed_in_ha": }, ... ]}

パスワードのリセットをリクエストする

  

パスワードのリセットに成功しました

  

プロキシの更新

{'プロキシIPS':}

プロキシの削除

{'プロキシIPS':}

組織アカウントの作成

{"組織": }

組織のイベントデータを削除する

{"組織": }

C&Cサーバーにデータを追加 [許可リスト|ブロックリスト]

[ {'value': ,'user_comments':}, ....]

C&Cサーバーからデータを削除する [許可リスト|ブロックリスト]

[ {'value': ,'user_comments':}, ....]

C&Cサーバーにデータを追加 [許可リスト|ブロックリスト]

{"ファイル名": , "データ": }

C&Cサーバーからデータを削除する [許可リスト|ブロックリスト]

{"ファイル名": , "データ": }

C&Cサーバーのデータ更新 [許可リスト|ブロックリスト]

{"エントリ ID": , "値": }

C&Cサーバーからデータを削除する [許可リスト|ブロックリスト]

{"entry": , "value": , "last_updated": , "user_comments": , "submitted_by": }

レポートファイルの提出

{"submission id": , "report type": , 'already submitted': }

ユーザーが手動でアップロードしたファイル

{"submission id": , "user comments": , "file name": , "already submitted": , "threat level": }

ユーザープロファイルの作成

{'first_name': , 'last_name': , "ユーザー名": }

ユーザープロファイルの更新

{'first_name': , 'last_name': , "ユーザー名": }

ユーザープロファイルの更新

{'first_name': , 'last_name': , "ユーザー名": }

ユーザープロファイルの更新

{'first_name': , 'last_name': , "ユーザー名": }

ユーザープロファイルの更新

{'first_name': , 'last_name': , "ユーザー名": }

ユーザープロファイルの削除

{"ユーザー名":}

ユーザーパスワードの変更

  

ユーザーフィードバックを送信する

{"feedback_type": }

[URL|IP] [許可リスト|ブロックリスト]

{"added_values": }

[許可リスト|ブロックリスト]のデータ更新

{"前の値": , "新しい値": }

[許可リスト|ブロックリスト]からデータを削除する

{"削除された値": }

[許可リスト|ブロックリスト] データを置き換える

{"data": [ {'value': }, ...]}

[許可リスト|ブロックリスト] データを置き換える

{"data": [ {'value': }, ...]}

[許可リスト|ブロックリスト] データを更新する

{operation: } operation は 'add' または 'remove' です

[許可リスト|ブロックリスト] データを更新する

{operation: } operation は 'add' または 'remove' です

[許可リスト|ブロックリスト]データを更新する

{operation: } operation は 'add' または 'remove' です

[許可リスト|ブロックリスト] データを更新する

{operation: } operation は 'add' または 'remove' です

[許可リスト|ブロックリスト] データを更新する

{operation: , "ファイル名": } operation は 'add' または 'remove' にすることができます

[許可リスト|ブロックリスト] データを更新する

{operation: , "ファイル名": } operation は 'add' または 'remove' にすることができます

ユーザーがログインした

{"role": , "client ip": , "XFF": }

SRXが開始した登録

{"バージョン": , "モデル": , "組織": }

SRXによって開始された登録解除

{"バージョン": , "モデル": , "組織": }

デバイスモデルの削除

{"デバイス": }

デバイスモデルの削除

{"デバイス": }

感染したホストの有効期限を更新する

data = {"有効期限設定": , "ips": [ {"値": }, ...] }

多要素認証の更新

{"MFA メソッド": , "MFA 期間": }

多要素認証コードを要求する

{"mfa_method":}

多要素認証コードの確認

  

MFA OTP 変更のリクエスト

  

MFA OTP変更の適用

  

MFA OTP 登録の要求

  

MFA OTP登録の強制

  

MFA OTPの削除

  

MFA OTP のリセットを要求する

  

MFA OTP リセットの適用

  

ユーザーの電話番号を更新する

{"電話": }

更新された電話番号を確認する

  

新しい電話番号を追加する

{"電話": }

新しい電話番号を確認する

  

ユーザーの電話番号を削除する

  

組織のアタッチ

{"organization": ,"関連付けられたorganization": }

組織を切り離す

{"organization": ,"関連付けられていないorganization": }

レポートの作成

{ {"reports_api": , ...}, "report_id": }

レポート定義の作成

{"duration": , "recurrence": , "name": , "定義の種類":}

レポート定義の更新

{"name": , "type": , "duration": , "recurrence": }

レポート定義の削除

{"名前": }

レポートを削除

{"レポート ID": }

Adaptive Threat Profilingフィードの作成

{"フィードタイプ": , "ttl": , "感染したホストフィード": , "フィードカテゴリ": , "フィード名": }

除外されたAdaptive Threat Profilingフィードエントリを削除する

{"エントリの削除": }

除外Adaptive Threat Profilingフィードエントリを追加する

{"フィード名": , "追加されたエントリ": }

ユーザー除外のAdaptive Threat Profilingフィードエントリを追加する

{"フィード名": , "追加されたエントリ": }

Adaptive Threat Profilingフィードを更新する

{"ttl": , "感染したホストフィード": , "フィード名": }

Adaptive Threat Profilingフィードの削除

{"フィード名": }
手記:

フィールドの値が「なし」の場合、そのフィールドは「監査ログの詳細」ページに表示されません

関連資料