Ver registros de auditoría
Los registros de auditoría contienen información sobre la actividad de inicio de sesión y tareas específicas que se completaron correctamente con el portal web de ATP Cloud. Las entradas del registro de auditoría incluyen detalles sobre las tareas iniciadas por el usuario, como el nombre de usuario, el nombre de la tarea, los detalles de la tarea y la fecha y hora de ejecución de la tarea. Los administradores pueden ver los registros de auditoría durante un período de tiempo específico, buscar y filtrar registros de auditoría y exportar registros de auditoría en formato de valores separados por comas (CSV).
Para ver los registros de auditoría, debe tener privilegios de administrador de registro de auditoría.
El período de retención de los registros de auditoría es de cinco años.
Para ver los registros de auditoría:
Campo |
Descripción |
|---|---|
Timestamp |
Marca de hora del archivo de registro de auditoría almacenado en hora UTC en la base de datos pero asignado a la zona horaria local del equipo cliente. |
Nombre de usuario |
Nombre de usuario del usuario que inició la tarea. |
Acción |
Nombre de la tarea que activó el registro de auditoría. |
Detalles |
Información detallada sobre la tarea realizada. Haga clic en el vínculo de detalles para ver más detalles sobre la tarea. |
Campo |
Descripción |
|---|---|
Timestamp |
Marca de hora del archivo de registro de auditoría almacenado en hora UTC en la base de datos pero asignado a la zona horaria local del equipo cliente. |
Nombre de usuario |
Nombre de usuario del usuario que inició la tarea. |
Acción |
Nombre de la tarea que activó el registro de auditoría. Para obtener más información, consulte la Tabla 3. |
Acción que activó el registro de auditoría |
Campos mostrados en la columna Detalles del registro de auditoría |
|---|---|
Crear token de aplicación |
{'token id': , 'token name': , 'token description': } |
Actualizar token de aplicación |
{"token id": , "token name": , "token description": } |
Eliminar token de aplicación |
{"token id": } |
Todocoleccion |
{"role": , "client ip": , "XFF": } |
Cierre de sesión del usuario |
{"role": , "client ip": , "XFF": } |
Solicitar inscripción slax script |
{"inscrito desde": } |
Solicitar cancelación de inscripción script slax |
{"inscrito desde": } |
Inscripción de SRX completa (o) cancelación de la inscripción de SRX completa |
{'número de serie': , 'modelo': , 'versión': , 'host': , 'inscrito desde': } |
Inscripción de SRX completa (o) cancelación de la inscripción de SRX completa |
{'número de serie': , 'modelo': , 'versión': , 'host': , 'inscrito desde': } |
Servidor de origen de amenazas de informes |
{"cc server": , "report type": } |
Crear perfil de inspección de archivos |
{"nombre de perfil": } |
Actualizar el perfil de inspección del archivo |
{"profile name":, "profile id": , 'category thresholds': , 'disabled categories': } |
Eliminar perfil de inspección de archivos |
{"nombre de perfil": } |
Crear comando de inscripción |
|
Crear comando de cancelación de inscripción |
|
Eliminar dispositivos |
{'dispositivos': } |
Eliminar datos estadísticos del dispositivo |
{'dispositivos': } |
Eliminar dispositivo |
{"dispositivo": } |
Inscribir dispositivo |
{"dispositivo": } |
Cancelar la inscripción del dispositivo |
{"dispositivo": } |
Conectar dispositivo al reino |
{"dispositivo": , "reino": } |
Separar dispositivo del reino |
{"dispositivo": , "reino": } |
Acción del administrador en archivos adjuntos bloqueados |
{"action": , "id": } |
Acción del administrador en correos electrónicos en cuarentena |
{"action": , "id": } |
Acción del usuario en archivos adjuntos bloqueados |
{"action": , "id": } |
Acción del usuario en correos electrónicos en cuarentena |
{"action": , "id": } |
Actualizar la configuración de los correos electrónicos en cuarentena |
{"smtp": {}, ... } |
Actualizar la configuración de los archivos adjuntos bloqueados |
{"imap": {}, ... } |
Actualizar la configuración de los archivos adjuntos bloqueados |
{"server_list": } |
Actualizar la configuración de los archivos adjuntos bloqueados |
{'domain_name': } |
Configuración de eliminación de archivos adjuntos bloqueados |
{'domain_name': } |
Actualizar la configuración de los correos electrónicos en cuarentena |
{'release_option': , 'release_email': , 'replacement_link_text': , 'replacement_subject': , 'replacement_body': , 'learn_more_url': } |
Actualizar la configuración de los archivos adjuntos bloqueados |
{'notification_link_text': , 'notification_subject': , 'notification_body': , 'learn_more_url': , 'unblock_email': } |
Notificación de archivos adjuntos bloqueados por el administrador de actualizaciones |
{'notify_email': , 'notify_block': , 'notify_unblock': } |
Notificación de eliminación de archivos adjuntos bloqueados por el administrador |
{'notify_email': , ....} |
Actualizar la notificación de correos electrónicos en cuarentena del administrador |
{'notify_email': , 'notify_quarantine': , 'notify_release': } |
Eliminar notificación de correos electrónicos en cuarentena del administrador |
{'notify_email': , ....} |
Servidor de informes de tráfico cifrado |
{"eta server": , "report type": } |
Agregar datos a la lista de permitidos de tráfico cifrado |
[ {"value": , } ...] |
Actualizar los datos de la lista de permitidos de tráfico cifrado |
{"valor existente": , "nuevo valor": } |
Eliminar datos de la lista de permitidos de tráfico cifrado |
{"valor eliminado": } |
Actualizar el umbral de nivel de amenaza del host infectado |
{"umbral de host": } |
Actualizar el umbral de uso compartido de TAXII |
{"umbral de taxii": , "compartir taxii": } |
Actualizar el registro de eventos de host y malware |
{"host status": , "malware status": } |
Actualizar el estado de integración de MIST |
{"estado de niebla": } |
Crear configuración de correo electrónico de host infectado |
{"email": , "email threshold":} |
Actualizar la configuración del correo electrónico del host infectado |
{"email": , "email threshold": } |
Eliminar la configuración de correo electrónico del host infectado |
{"correo electrónico": } |
Agregar datos al hash |
{'hashes válidos': ,'hashes únicos': , 'hashes no válidos': } |
Reemplazar datos de hash |
{'hashes válidos': ,'hashes únicos': , 'hashes no válidos': } |
Eliminar datos del hash |
{"hashes": } |
Eliminar datos del hash |
{'valid_hashes': , 'invalid_hashes': } |
Actualizar el estado de investigación del host |
{"host ip": , "inv status": , "policy": , "label": } |
Actualizar el estado de investigación del host |
{"host ip": , "inv status": , "policy": , "label": } |
Registrar registros de seguimiento de host |
|
Actualización de la configuración de la fuente de terceros de SecIntel |
{"feeds": [{"feed_name": , "feed_in_ha": }, ... ]} |
Solicitar restablecimiento de contraseña |
|
Restablecimiento correcto de la contraseña |
|
Actualizar proxies |
{'proxy ips': } |
Eliminar proxies |
{'proxy ips': } |
Crear un reino de seguridad |
{"reino": } |
Eliminar datos de eventos del dominio de seguridad |
{"reino": } |
Agregar datos al servidor C&C [lista de permitidos|lista de bloqueo] |
[ {'value': ,'user_comments':}, ....] |
Eliminar datos del servidor C&C [lista de permitidos|lista de bloqueo] |
[ {'value': ,'user_comments':}, ....] |
Agregar datos al servidor C&C [lista de permitidos|lista de bloqueo] |
{"nombre de archivo": , "datos": } |
Eliminar datos del servidor C&C [lista de permitidos|lista de bloqueo] |
{"nombre de archivo": , "datos": } |
Actualizar datos de C&C Server [allowlist|blocklist] |
{"entry id": , "value": } |
Eliminar datos del servidor C&C [lista de permitidos|lista de bloqueo] |
{"entry": , "value": , "last_updated": , "user_comments": , "submitted_by": } |
Envío del archivo de informe |
{"ID de envío": , "tipo de informe": , 'ya enviado': } |
Archivo cargado manualmente por el usuario |
{"ID de envío": , "comentarios del usuario": , "nombre de archivo": , "ya enviado": , "nivel de amenaza": } |
Crear perfil de usuario |
{'first_name': , 'last_name': , "nombre de usuario": } |
Actualizar perfil de usuario |
{'first_name': , 'last_name': , "nombre de usuario": } |
Actualizar perfil de usuario |
{'first_name': , 'last_name': , "nombre de usuario": } |
Actualizar perfil de usuario |
{'first_name': , 'last_name': , "nombre de usuario": } |
Actualizar perfil de usuario |
{'first_name': , 'last_name': , "nombre de usuario": } |
Eliminar perfil de usuario |
{"nombre de usuario": } |
Cambiar contraseña de usuario |
|
Enviar comentarios de los usuarios |
{"feedback_type": } |
Agregar datos a [URL| IP] [lista de permitidos|lista de bloqueo] |
{"added_values": } |
Actualizar datos de [allowlist|blocklist] |
{"valor anterior": , "nuevo valor": } |
Eliminar datos de [lista de permitidos|lista de bloqueo] |
{"valor eliminado": } |
Reemplazar datos [allowlist|blocklist] |
{"data": [ {'value': }, ...]} |
Reemplazar datos [allowlist|blocklist] |
{"data": [ {'value': }, ...]} |
Actualizar los datos de [lista de permitidos|lista de bloqueo] |
{operation: } operation puede ser 'add' o 'remove' |
Actualizar los datos de [lista de permitidos|lista de bloqueo] |
{operation: } operation puede ser 'add' o 'remove' |
Actualizar los datos de [allowedlist|blocklist] |
{operation: } operation puede ser 'add' o 'remove' |
Actualizar los datos de [lista de permitidos|lista de bloqueo] |
{operation: } operation puede ser 'add' o 'remove' |
Actualizar los datos de [lista de permitidos|lista de bloqueo] |
{operation: , "file name": } operation can be 'add' or 'remove' |
Actualizar los datos de [lista de permitidos|lista de bloqueo] |
{operation: , "file name": } operation can be 'add' or 'remove' |
Usuario que ha iniciado sesión |
{"role": , "client ip": , "XFF": } |
Inscripción iniciada por SRX |
{"version": , "model": , "realm": } |
SRX inició la desafiliación |
{"version": , "model": , "realm": } |
Eliminar dispositivo |
{"dispositivo": } |
Eliminar dispositivo |
{"dispositivos": } |
Actualizar la caducidad del host infectado |
data = {"expiry config": , "ips": [ {"value": }, ...] } |
Actualizar la autenticación multifactor |
{"método MFA": , "período MFA": } |
Solicitar código de autenticación multifactor |
{"mfa_method":} |
Verificar el código de autenticación multifactor |
|
Solicitar cambio de OTP de MFA |
|
Aplicar el cambio de OTP de MFA |
|
Solicitar inscripción en MFA OTP |
|
Aplicar la inscripción en OTP de MFA |
|
Eliminar OTP de MFA |
|
Solicitar restablecimiento de OTP de MFA |
|
Aplicar el restablecimiento de la OTP de MFA |
|
Actualizar el número de teléfono de un usuario |
{"teléfono": } |
Verificar número de teléfono actualizado |
|
Agregar nuevo número de teléfono |
{"teléfono": } |
Verificar nuevo número de teléfono |
|
Eliminar número de teléfono del usuario |
|
Adjuntar reino |
{"reino": ,"reino asociado": } |
Separar reino |
{"reino": ,"reino disociado": } |
Crear informe |
{ {"reports_api": , ...}, "report_id": } |
Crear definición de informe |
{"duration": , "recurrence": , "name": , "definition type":} |
Actualizar definición de informe |
{"name": , "type": , "duration": , "recurrence": } |
Eliminar definición de informe |
{"nombre": } |
Eliminar informe |
{"ID de informe": } |
Crear una fuente adaptable de generación de perfiles de amenazas |
{"feed type": , "ttl": , "infected host feed": , "feed category": , "feed name": } |
Eliminar la entrada excluida de la fuente de generación de perfiles de amenazas adaptables |
{"delete entry": } |
Agregar una entrada de feed de generación de perfiles de amenazas adaptable excluida |
{"feed name": , "added entry": } |
Agregar una entrada de feed de generación de perfiles de amenazas adaptable excluida por el usuario |
{"feed name": , "added entry": } |
Actualizar la fuente adaptable de generación de perfiles de amenazas |
{"ttl": , "feed de host infectado": , "feed name": } |
Eliminar la fuente adaptable de generación de perfiles de amenazas |
{"nombre del feed": } |
Si el valor del campo es ninguno, dicho campo no se muestra en la página Detalles del registro de auditoría