Audit Trails

Audit Trails stellt ein ausführliches Protokoll über Benutzeraktivitäten und Systemereignisse bereit und fördert dadurch Transparenz, Rechenschaftspflicht und Compliance. Die Protokolle erfassen wichtige und spezifische Aktionen für Benutzer und Systeme. Dabei werden vor allem kritische Aktionen protokolliert. Audit Trails erkennt Muster und identifiziert alle nicht autorisierten Aktionen. Diese Aktionen werden dann geprüft.

Ab diesem Release werden Komponenten wie Energieverwaltung, Patchverwaltung und Patchberichte für Audit Trails unterstützt.

Wenn mehrere Aktivitäten an verschiedenen Patches durchgeführt werden, wird dies in der Tabelle als mehrere Patches aufgeführt und Einzelheiten werden in zusätzlichen Details erfasst.

Anzeigen von Prüfpfaden

Um Audit Trails anzuzeigen, wechseln Sie zu Admin Audit Trails.

Prüfpfade

Zu einem in den Prüfpfaden erfassten Ereignis können optional zugehörige Datensätze mit zusätzlichen Details vorhanden sein. Es ist auch möglich, dass es zugehörige Ereignisse, an einem Attribut vorgenommene Wertänderungen und zusätzliche Attribute enthält.

Klicken Sie auf , um weitere Details anzuzeigen.

Prüfpfade

Um den Bericht zu exportieren, wählen Sie Alle oder Ausgewählte Datensätze aus der Dropdownliste Als CSV-Datei exportieren .

Prüfpfad-Zugriffsmethoden

Die Ivanti Neurons-Plattform bietet verschiedene Möglichkeiten, um Prüfpfade zu erhalten und brücksichtigt dabei ein breites Spektrum an Bedürfnissen. Jede Option ist für eine bestimmte Situation konzipiert:

  • Schnelle Untersuchung

    Verwenden Sie die Prüfpfade zur schnellen Fehlerbehebung. Sie können 30 Tage lang nach Protokollen suchen, um Probleme zu diagnostizieren und Vorfälle zu verfolgen, sobald sie auftreten.

  • Einhaltung gesetzlicher Vorschriften

    Planen Sie automatisierte Berichte, die Daten über bis zu 90 Tage direkt an Ihre E-Mail-Adresse senden. Diese Funktion eignet sich ideal für die Aufbewahrung von Aufzeichnungen, regelmäßige Audits und langfristige Überprüfungen.

  • Integration von Sicherheitsinformationen und Ereignismanagement (SIEM)

    Nutzen Sie den Azure Blob Storage Connector oder den Splunk HEC Connector oder den Amazon S3 Connector, um Protokolle in Ihren Cloudspeicher zu exportieren oder sie in SIEM-Tools von Drittanbietern einzulesen. Wenn Sie den Connector so konfigurieren, dass Protokolle alle 30, 45 oder 60 Minuten gesendet werden, unterstützen Sie damit die automatisierte Langzeitspeicherung und die Integration in Ihren vollständigen Sicherheitsüberwachungs-Stack.

    Vergleichen von Prüfpfad-Zugriffsmethoden

    In der folgenden Tabelle finden Sie einen ausführlichen Vergleich der verschiedenen Möglichkeiten für den Zugriff auf Prüfpfade in der Ivanti Neurons Platform:

    Funktion/Methode Datenaufbewahrung Integration Idealer Anwendungsfall
    Audit Trails 30 Tage Keine Sofortige Fehlerbehebung, aktive Überwachung.
    Audit Trails-Bericht 90 Tage Manueller Download aus E-Mail Compliance-Audits, regelmäßige Archivierung, regelmäßige Überprüfung.
    Azure Blob Storage Connector Kontinuierlicher Export der Protokolle alle 30, 45 oder 60 Minuten SIEM über Azure Zentraler Speicher, SIEM-Pipeline-Integration, Protokollaggregierung.
    Splunk HEC Connector Kontinuierlicher Export der Protokolle alle 30, 45 oder 60 Minuten Splunk Enterprise Erweiterte Analysen, zentrale Korrelation, Bedrohungserkennung.

    Amazon S3-Connector

    Kontinuierlicher Export der Protokolle alle 30, 45 oder 60 Minuten

    Amazon S3

    Um Protokolle weiter zu verarbeiten, die in Ihrem S3-Bucket gespeichert sind, können Sie die Protokolle mit Logstack oder einem vergleichbaren Aufnahmetool aus S3 abrufen und in Elasticsearch aufnehmen. Dies ermöglicht eine nahtlose Integration Ihrer gespeicherten Protokolldaten in Ihren ELK-Stack für eine verbesserte Suche und Analyse.

    Wichtige Hinweise

  • Audit-Protokolle werden erfasst, wenn Sie eine Remotesteuerungssitzung initiieren. Aufgrund des Systemdesigns werden der Verbindungsstatus und die vollständigen Sitzungsdetails möglicherweise nicht angezeigt. Auditdatensätze zeigen zwar Initiierungsereignisse an, enthalten jedoch möglicherweise nicht alle Verbindungsergebnisse.

  • Aufgrund von Unterschieden bei der Datenverarbeitung und -speicherung werden Audit-Trail-Einträge möglicherweise nicht gleichzeitig in der Benutzeroberfläche, in Berichten oder in Exporten ausgehender Connectors angezeigt. Es kann vorkommen, dass ein Eintrag erst an einer Stelle und dann an einer anderen angezeigt wird. In der Regel werden verzögerte Einträge in den nächsten geplanten Bericht oder Durchlauf des ausgehenden Connectors eingeschlossen.

  • Die Audit-Protokolle-Benutzeroberfläche und der Direktexport zeigen bis zu 10.000 Datensätze an. Wenn Sie weitere Datensätze für einen Zeitraum von 30 Tagen benötigen, verwenden Sie Berichte, um alle Einträge zu exportieren, oder wenden Sie Filter in der Benutzeroberfläche an, um Ihre Ergebnisse einzugrenzen.