Audit Trails

Audit Trails stellt ein ausführliches Protokoll über Benutzeraktivitäten und Systemereignisse bereit und fördert dadurch Transparenz, Rechenschaftspflicht und Compliance. Die Protokolle erfassen wichtige und spezifische Aktionen für Benutzer und Systeme. Dabei werden vor allem kritische Aktionen protokolliert. Audit Trails erkennt Muster und identifiziert alle nicht autorisierten Aktionen. Diese Aktionen werden dann geprüft.

Ab diesem Release werden Komponenten wie Energieverwaltung, Patchverwaltung und Patchberichte für Audit Trails unterstützt.

Wenn mehrere Aktivitäten an verschiedenen Patches durchgeführt werden, wird dies in der Tabelle als mehrere Patches aufgeführt und Einzelheiten werden in zusätzlichen Details erfasst.

Anzeigen von Prüfpfaden

Um Audit Trails anzuzeigen, wechseln Sie zu Admin Audit Trails.

Prüfpfade

Zu einem in den Prüfpfaden erfassten Ereignis können optional zugehörige Datensätze mit zusätzlichen Details vorhanden sein. Es ist auch möglich, dass es zugehörige Ereignisse, an einem Attribut vorgenommene Wertänderungen und zusätzliche Attribute enthält.

Klicken Sie auf , um weitere Details anzuzeigen.

Prüfpfade

Um den Bericht zu exportieren, wählen Sie Alle oder Ausgewählte Datensätze aus der Dropdownliste Als CSV-Datei exportieren .

Wissenswertes über Audit-Protokolle und Ereignisverfolgung

Auditprotokolle bieten einen klaren Einblick in Ereignisse und deren Ursachen. Sie können mühelos die vollständige Abfolge der Aktionen verfolgen und jede automatisierte Systemänderung bis zur ursprünglichen Benutzeraktivität verfolgen, durch die die Aktion ausgelöst wurde.

Ereignisaufzeichnung und Zuordnung

Das System zeichnet alle Aktionen basierend auf der durchführenden Entität auf:

  • Benutzeraktionen: Wenn ein Benutzer eine Aktion ausführt, z. B. das Löschen eines Geräts, ordnet das System den Protokolleintrag direkt dem Benutzer zu (z. B. Durchgeführt von: [E-Mail-Adresse des Benutzers]).

  • Systemaktionen: Wenn eine Benutzeraktion automatisch nachfolgende Ereignisse auslöst (z. B. systeminitiiertes Löschen verknüpfter Daten), zeichnet das System diese separaten Aktionen als Durchgeführt von: System auf.

Verfolgen des vollständigen Kontexts

Das Auditprotokoll verknüpft jedes zugehörige Ereignis in einer Sequenz mit einer eindeutigen Trace-ID. Diese Verknüpfung stellt sicher, dass Sie die gesamte Aktivitätskette verfolgen können.

So ermitteln Sie den Grund für die Durchführung einer Aktion durch das System:

  1. Machen Sie den Protokolleintrag ausfindig, der bei Durchgeführt von: System zugeordnet wurde.

  2. Überprüfen Sie die Protokolle im Abschnitt Zugehörige Datensätze.

Das System identifiziert in diesem Abschnitt die ursprüngliche Benutzeraktion, die die Ereigniskette initiiert hat.

Dieser Tracing-Mechanismus stellt sicher, dass Sie den vollständigen Kontext jeder Systemänderung verstehen. Sie können ein Systemereignis immer auf die spezifische Benutzeraktion zurückverfolgen, die das Ereignis verursacht hat.

Um den Bericht zu exportieren, wählen Sie in der Dropdownliste Als CSV-Datei exportieren die Option Alle oder Ausgewählte Datensätze aus.

Prüfpfad-Zugriffsmethoden

Die Ivanti Neurons-Plattform bietet verschiedene Möglichkeiten, um Prüfpfade zu erhalten und brücksichtigt dabei ein breites Spektrum an Bedürfnissen. Jede Option ist für eine bestimmte Situation konzipiert:

  • Schnelle Untersuchung

    Verwenden Sie die Prüfpfade zur schnellen Fehlerbehebung. Sie können 30 Tage lang nach Protokollen suchen, um Probleme zu diagnostizieren und Vorfälle zu verfolgen, sobald sie auftreten.

  • Einhaltung gesetzlicher Vorschriften

    Planen Sie automatisierte Berichte, die Daten über bis zu 90 Tage direkt an Ihre E-Mail-Adresse senden. Diese Funktion eignet sich ideal für die Aufbewahrung von Aufzeichnungen, regelmäßige Audits und langfristige Überprüfungen.

  • Integration von Sicherheitsinformationen und Ereignismanagement (SIEM)

    Nutzen Sie den Azure Blob Storage Connector oder den Splunk HEC Connector oder den Amazon S3 Connector, um Protokolle in Ihren Cloudspeicher zu exportieren oder sie in SIEM-Tools von Drittanbietern einzulesen. Wenn Sie den Connector so konfigurieren, dass Protokolle alle 30, 45 oder 60 Minuten gesendet werden, unterstützen Sie damit die automatisierte Langzeitspeicherung und die Integration in Ihren vollständigen Sicherheitsüberwachungs-Stack.

    Vergleichen von Prüfpfad-Zugriffsmethoden

    In der folgenden Tabelle finden Sie einen ausführlichen Vergleich der verschiedenen Möglichkeiten für den Zugriff auf Prüfpfade in der Ivanti Neurons Platform:

    Funktion/Methode Datenaufbewahrung Integration Idealer Anwendungsfall
    Audit Trails 30 Tage Keine Sofortige Fehlerbehebung, aktive Überwachung.
    Audit Trails-Bericht 90 Tage Manueller Download aus E-Mail Compliance-Audits, regelmäßige Archivierung, regelmäßige Überprüfung.
    Azure Blob Storage Connector Kontinuierlicher Export der Protokolle alle 30, 45 oder 60 Minuten SIEM über Azure Zentraler Speicher, SIEM-Pipeline-Integration, Protokollaggregierung.
    Splunk HEC Connector Kontinuierlicher Export der Protokolle alle 30, 45 oder 60 Minuten Splunk Enterprise Erweiterte Analysen, zentrale Korrelation, Bedrohungserkennung.

    Amazon S3-Connector

    Kontinuierlicher Export der Protokolle alle 30, 45 oder 60 Minuten

    Amazon S3

    Um Protokolle weiter zu verarbeiten, die in Ihrem S3-Bucket gespeichert sind, können Sie die Protokolle mit Logstack oder einem vergleichbaren Aufnahmetool aus S3 abrufen und in Elasticsearch aufnehmen. Dies ermöglicht eine nahtlose Integration Ihrer gespeicherten Protokolldaten in Ihren ELK-Stack für eine verbesserte Suche und Analyse.