Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

감사 로그 보기

감사 로그에는 ATP 클라우드 웹 포털을 사용하여 성공적으로 완료된 로그인 활동 및 특정 작업에 대한 정보가 포함됩니다. 감사 로그 항목에는 사용자 이름, 작업 이름, 작업 세부 정보, 작업 실행 날짜 및 시간 등 사용자가 시작한 작업에 대한 세부 정보가 포함됩니다. 관리자는 특정 시간 범위에 대한 감사 로그를 보고, 감사 로그를 검색 및 필터링하고, 감사 로그를 CSV(쉼표로 구분된 값) 형식으로 내보낼 수 있습니다.

참고:
  • 감사 로그를 보려면 감사 로그 관리자 권한이 있어야 합니다.

  • 감사 로그의 보존 기간은 5년입니다.

감사 로그를 보려면:To view audit logs:

  1. ATP 클라우드 웹 포털 UI에서 모니터 > 감사를 선택합니다.

    감사 로그 페이지가 나타나고 감사 로그가 테이블 형식으로 표시됩니다. 감사 로그 페이지에 표시되는 필드는 표 1에 설명되어 있습니다.

  2. (선택 사항) 세부 정보 링크를 클릭하여 해당 감사 로그에 대한 세부 정보를 봅니다.

    감사 로그 세부 정보 대화 상자가 표시됩니다. 이 페이지에는 감사 로그 페이지에 표시되지 않는 추가 필드가 표시됩니다. 이러한 필드는 표 2에 설명되어 있습니다.

    OK(확인)를 클릭하여 Audit Log Detail(감사 로그 세부 정보) 대화 상자를 닫습니다.

  3. (선택 사항) 내보내기 를 클릭하여 감사 로그를 CSV(쉼표로 구분된 값) 파일로 내보내고 필요에 따라 내보낸 감사 로그를 보고 분석합니다. 모든 감사 로그를 한 번에 또는 특정 기간 동안 내보낼 수 있습니다.
  4. (선택 사항) Time Span(시간 범위) 을 클릭하고 시간 범위를 선택하여 특정 기간의 감사 로그를 봅니다.
표 1: 감사 로그 페이지의 필드

필드

설명

타임 스탬프

데이터베이스에 UTC 시간으로 저장되지만 클라이언트 컴퓨터의 현지 표준 시간대에 매핑되는 감사 로그 파일의 타임스탬프입니다.

사용자

작업을 시작한 사용자의 사용자 이름입니다.

작업

감사 로그를 트리거한 작업의 이름입니다.

세부 정보

수행된 작업에 대한 자세한 정보입니다.

세부 정보 링크를 클릭하면 작업에 대한 자세한 내용을 볼 수 있습니다.

표 2: 감사 로그 세부 정보 페이지의 필드

필드

설명

타임 스탬프

데이터베이스에 UTC 시간으로 저장되지만 클라이언트 컴퓨터의 현지 표준 시간대에 매핑되는 감사 로그 파일의 타임스탬프입니다.

사용자

작업을 시작한 사용자의 사용자 이름입니다.

작업

감사 로그를 트리거한 작업의 이름입니다. 자세한 내용은 표 3을 참조하십시오.

표 3: 감사 로그 작업에 대해 표시되는 필드

감사 로그를 트리거한 작업

감사 로그 세부 정보 열에 표시되는 필드

응용 프로그램 토큰 만들기Create application token

{'토큰 ID': , '토큰 이름': , '토큰 설명': }

응용 프로그램 토큰 업데이트Update application token

{"토큰 ID": , "토큰 이름": , "토큰 설명": }

응용 프로그램 토큰 삭제

{"토큰 ID": }

사용자 로그인

{"역할": , "클라이언트 IP": , "XFF": }

사용자 로그아웃

{"역할": , "클라이언트 IP": , "XFF": }

등록 요청 slax 스크립트

{"등록 위치": }

등록 취소 요청 slax 스크립트

{"등록 위치": }

SRX 등록 완료 (또는) SRX 등록 취소 완료

{'일련 번호': , '모델': , '버전': , '호스트': , '등록 위치': }

SRX 등록 완료 (또는) SRX 등록 취소 완료

{'일련 번호': , '모델': , '버전': , '호스트': , '등록 위치': }

위협 소스 서버 보고

{"참조 서버": , "보고서 유형": }

파일 검사 프로필 만들기

{"프로필 이름": }

파일 검사 프로필 업데이트

{"프로필 이름":, "프로필 ID": , '범주 임계값': , '비활성화된 범주': }

파일 검사 프로필 삭제

{"프로필 이름": }

등록 만들기 명령

 

등록 취소 명령 만들기

 

기기 삭제

{'디바이스': }

장치 통계 데이터 삭제

{'디바이스': }

장치 삭제

{"디바이스": }

기기 등록하기

{"디바이스": }

기기 등록 해제

{"디바이스": }

영역에 장치 연결

{"장치": , "영역": }

영역에서 디바이스 분리

{"장치": , "영역": }

차단된 첨부 파일에 대한 관리자 작업

{"작업": , "ID": }

격리된 이메일에 대한 관리자 작업

{"작업": , "ID": }

차단된 첨부 파일에 대한 사용자 작업

{"작업": , "ID": }

격리된 이메일에 대한 사용자 작업

{"작업": , "ID": }

격리된 이메일 구성 업데이트

{"smtp": {}, ... }

차단된 첨부 파일 구성 업데이트

{"IMAP": {}, ... }

차단된 첨부 파일 구성 업데이트

{"server_list": }

차단된 첨부 파일 구성 업데이트

{'domain_name': }

차단된 첨부 파일 삭제 구성

{'domain_name': }

격리된 이메일 구성 업데이트

{'release_option': , 'release_email': , 'replacement_link_text': , 'replacement_subject': , 'replacement_body': , 'learn_more_url': }

차단된 첨부 파일 구성 업데이트

{'notification_link_text': , 'notification_subject': , 'notification_body': , 'learn_more_url': , 'unblock_email': }

관리자가 차단한 첨부 파일 알림 업데이트

{'notify_email': , 'notify_block': , 'notify_unblock': }

관리자가 차단한 첨부 파일 알림 삭제

{'notify_email': , ....}

관리자가 격리된 이메일 알림 업데이트

{'notify_email': , 'notify_quarantine': , 'notify_release': }

관리자가 격리된 이메일 알림 삭제

{'notify_email': , ....}

암호화된 트래픽 서버 보고

{"ETA 서버": , "보고서 유형": }

암호화된 트래픽 허용 목록에 데이터 추가

[ {"값": , } ...]

암호화된 트래픽 허용 목록의 데이터 업데이트

{"기존 값": , "새 값": }

암호화된 트래픽 허용 목록에서 데이터 삭제

{"삭제된 값": }

감염된 호스트 위협 수준 임계값 업데이트

{"호스트 임계값": }

TAXII 공유 임계값 업데이트

{"택시 임계값": , "택시 공유": }

호스트 이벤트 및 악성코드 로깅 업데이트

{"호스트 상태": , "악성코드 상태": }

MIST 연동 상태 업데이트

{"Mist 상태": }

감염된 호스트 이메일 구성 만들기

{"이메일": , "이메일 임계값":}

감염된 호스트 이메일 구성 업데이트

{"이메일": , "이메일 임계값": }

감염된 호스트 이메일 구성 삭제

{"이메일": }

해시에 데이터 추가

{'유효한 해시': ,'고유 해시': , '잘못된 해시': }

해시 데이터 바꾸기

{'유효한 해시': ,'고유 해시': , '잘못된 해시': }

해시에서 데이터 삭제

{"해시": }

해시에서 데이터 삭제

{'valid_hashes': , 'invalid_hashes': }

호스트 조사 상태 업데이트

{"호스트 IP": , "INV 상태": , "정책": , "레이블": }

호스트 조사 상태 업데이트

{"호스트 IP": , "INV 상태": , "정책": , "레이블": }

로그 호스트 추적 레코드

 

SecIntel 타사 피드 구성 업데이트

{"피드": [{"feed_name": , "feed_in_ha": }, ... ]}

비밀번호 재설정 요청

 

성공적인 암호 재설정

 

프록시 업데이트

{'프록시 IP': }

프록시 삭제

{'프록시 IP': }

보안 영역 만들기

{"영역": }

보안 영역 이벤트 데이터 삭제

{"영역": }

C&C 서버에 데이터 추가 [허용 목록|차단 목록]

[ {'값': ,'user_comments':}, ....]

C&C 서버에서 데이터 삭제 [허용 목록|차단 목록]

[ {'값': ,'user_comments':}, ....]

C&C 서버에 데이터 추가 [허용 목록|차단 목록]

{"파일 이름": , "데이터": }

C&C 서버에서 데이터 삭제 [허용 목록|차단 목록]

{"파일 이름": , "데이터": }

C&C Server의 업데이트 데이터 [allowlist|blocklist]

{"항목 ID": , "값": }

C&C 서버에서 데이터 삭제 [허용 목록|차단 목록]

{"항목": , "값": , "last_updated": , "user_comments": , "submitted_by": }

보고서 파일 제출

{"제출 ID": , "보고서 유형": , '이미 제출됨': }

사용자가 수동으로 업로드한 파일

{"제출 ID": , "사용자 의견": , "파일 이름": , "이미 제출됨": , "위협 수준": }

사용자 프로필 만들기

{'first_name': , 'last_name': , "사용자 이름": }

사용자 프로필 업데이트

{'first_name': , 'last_name': , "사용자 이름": }

사용자 프로필 업데이트

{'first_name': , 'last_name': , "사용자 이름": }

사용자 프로필 업데이트

{'first_name': , 'last_name': , "사용자 이름": }

사용자 프로필 업데이트

{'first_name': , 'last_name': , "사용자 이름": }

사용자 프로필 삭제

{"사용자 이름": }

사용자 비밀번호 변경

 

사용자 의견 제출

{"feedback_type": }

[URL| IP] [허용 목록|차단 목록]

{"added_values": }

[allowlist|blocklist]의 데이터 업데이트

{"이전 값": , "새 값": }

[allowlist|blocklist]에서 데이터 삭제

{"삭제된 값": }

[allowlist|blocklist] 데이터 바꾸기

{"데이터": [ {'값': }, ...]}

[allowlist|blocklist] 데이터 바꾸기

{"데이터": [ {'값': }, ...]}

[허용 목록|차단 목록] 데이터 업데이트

{operation: } 작업은 '추가' 또는 '제거'일 수 있습니다.

[허용 목록|차단 목록] 데이터 업데이트

{operation: } 작업은 '추가' 또는 '제거'일 수 있습니다.

[허용 목록|차단 목록]데이터 업데이트

{operation: } 작업은 '추가' 또는 '제거'일 수 있습니다.

[허용 목록|차단 목록] 데이터 업데이트

{operation: } 작업은 '추가' 또는 '제거'일 수 있습니다.

[허용 목록|차단 목록] 데이터 업데이트

{operation: , "file name": } 작업은 'add' 또는 'remove'일 수 있습니다.

[허용 목록|차단 목록] 데이터 업데이트

{operation: , "file name": } 작업은 'add' 또는 'remove'일 수 있습니다.

로그인한 사용자

{"역할": , "클라이언트 IP": , "XFF": }

SRX 시작 등록

{"버전": , "모델": , "영역": }

SRX가 시작한 등록 취소

{"버전": , "모델": , "영역": }

장치 삭제

{"디바이스": }

장치 삭제

{"디바이스": }

감염된 호스트 만료 업데이트

data = {"만료 구성": , "ips": [ {"값": }, ...] }

다단계 인증 업데이트

{"MFA 방법": , "MFA 기간": }

다단계 인증 코드 요청

{"mfa_method":}

다단계 인증 코드 확인

 

MFA OTP 변경 요청

 

MFA OTP 변경 적용

 

MFA OTP 등록 요청

 

MFA OTP 등록 적용

 

MFA OTP 삭제

 

MFA OTP 재설정 요청

 

MFA OTP 재설정 적용

 

사용자의 전화 번호 업데이트

{"전화": }

업데이트된 전화번호 확인

 

새 전화번호 추가

{"전화": }

새 전화번호 인증

 

사용자 전화번호 삭제

 

영역 연결

{"영역": ,"연결된 영역": }

영역 분리

{"영역": ,"분리된 영역": }

보고서 만들기

{ {"reports_api": , ...}, "report_id": }

보고서 정의 만들기

{"기간": , "되풀이": , "이름": , "정의 유형":}

보고서 정의 업데이트Update report definition

{"이름": , "유형": , "기간": , "되풀이": }

보고서 정의 삭제

{"이름": }

보고서 삭제

{"보고서 ID": }

적응형 위협 프로파일링 피드 생성

{"피드 유형": , "TTL": , "감염된 호스트 피드": , "피드 카테고리": , "피드 이름": }

제외된 적응형 위협 프로파일링 피드 항목 삭제

{"항목 삭제": }

제외된 적응형 위협 프로파일링 피드 항목 추가

{"피드 이름": , "항목 추가": }

사용자 제외 적응형 위협 프로파일링 피드 항목 추가

{"피드 이름": , "항목 추가": }

적응형 위협 프로파일링 피드 업데이트

{"TTL": , "감염된 호스트 피드": , "피드 이름": }

적응형 위협 프로파일링 피드 삭제

{"피드 이름": }

참고:

필드 값이 none이면 해당 필드가 감사 로그 세부 정보 페이지에 표시되지 않습니다