Какие события отправляются в SIEM?

Участок системы

Событие

Пользователи

Создание нового пользователя

Изменения атрибутов пользователя

Назначение/изменение пользовательских прав

Блокировка/разблокировка пользователя

Аутентификация

Вход пользователя в систему

Попытка совершения несанкционированного доступа

Ресурсы

Создание целевой системы

Изменение целевой системы

Удаление целевой системы

Приложения

Создание приложения

Изменение приложения

Удаление приложения

Аккаунты

Создание аккаунта

Изменение аккаунта

Удаление аккаунта

Учетные записи

Создание ПУЗ

Изменение ПУЗ

Удаление ПУЗ

Политики

Создание политики доступа

Изменение политики доступа

Удаление политики доступа

Резервный доступ

Запрос во внешнюю тикет-систему

Ответ от внешней тикет-системы

Vault

Просмотр политик Vault

Изменение политик Vault

Создание политик Vault

Удаление политик Vault

Создание секрета по пути в Vault

Изменение секрета по пути в Vault

Удаление секрета по пути в Vault с использованием метода destroy

Восстановление удаленного секрета по пути в Vault с использованием метода undelete

Изменение движков ротации секретов в Vault

Удаление версии секрета

Удаление секрета по пути в Vault

Просмотр секрета по пути в Vault

Включение движков ротации секретов в Vault

Отключение (удаление) движков ротации секретов в Vault

Генерация токена и root-токена доступа к Vault, а так же попытки (статус) генерации токена

Отзыв root-токена

Seal нод Target или Transit Vault

Unseal нод Target или Transit Vault

Просмотр методов аутентификации в Vault

Создание метода аутентификации в Vault

Изменение метода аутентификации в Vault

Удаление метода аутентификации в Vault

Включение метода аутентификации Vault

Отключение метода аутентификации Vault