Référence des journaux d'audit
S-Filer Portal créé un journal d'audit de toutes les actions prises dans l'interface utilisateur ou faites via l'API dans sa base de données. Les entrées sont aussi envoyées dans un log spécial nommé "AUDIT" ce qui permet de les envoyer à une solution de SIEM en utilisant un "Syslog Appender" qui est une composante du système de log Log4J2.
Types d'audits et description
Ouverture de session (1.3.6.1.4.1.7660.50.1.1)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.1.1 | Ouverture de session réussie | Connexion réussie pour 'ENTRY0' au domaine 'ENTRY1'. |
| 1.3.6.1.4.1.7660.50.1.1.2 | Échec de l'ouverture de session | Connexion échouée pour 'ENTRY0' au domaine 'ENTRY1'. Raison: ENTRY2 |
| 1.3.6.1.4.1.7660.50.1.1.3 | Fermeture de session réussie | Déconnexion réussie pour 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.1.4 | Mot de passe expiré | Mot de passe expiré pour 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.1.5 | Compte expiré | Compte expiré pour 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.1.6 | Compte verrouillé | Compte verrouillé pour 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.1.7 | Compte temporairement verrouillé | Compte temporairement verrouillé pour 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.1.8 | Validation MFA réussie | Validation MFA réussie pour 'ENTRY0'. |
| 1.3.6.1.4.1.7660.50.1.1.9 | Échec de la validation MFA | Échec de la validation MFA pour 'ENTRY0'. |
| 1.3.6.1.4.1.7660.50.1.1.10 | Les administrateurs système ne sont pas autorisés à s'authentifier | Connexion réussie pour 'ENTRY0' au domaine 'ENTRY1' mais les administrateurs système ne sont pas autorisés à s'authentifier. |
Utilisateurs (1.3.6.1.4.1.7660.50.1.2)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.2.1 | Mot de passe changé | Le mot de passe de l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' a été changé. |
| 1.3.6.1.4.1.7660.50.1.2.2 | Utilisateur ajouté | L'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' a été ajouté. |
| 1.3.6.1.4.1.7660.50.1.2.3 | Utilisateur mis à jour | L'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' a été modifié. |
| 1.3.6.1.4.1.7660.50.1.2.4 | Utilisateur supprimé | L'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' a été supprimé. |
| 1.3.6.1.4.1.7660.50.1.2.5 | Destinataire "Envoi rapide" supprimé | Le destinataire "Envoi rapide" 'ENTRY0(ENTRY1)' a été supprimé. |
| 1.3.6.1.4.1.7660.50.1.2.6 | Compte utilisateur verrouillé | Le compte de l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' est verrouillé. |
| 1.3.6.1.4.1.7660.50.1.2.7 | Compte utilisateur déverrouillé | Le compte de l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' est déverrouillé. |
| 1.3.6.1.4.1.7660.50.1.2.8 | Compte utilisateur temporairement verrouillé | Le compte de l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' est temporairement verrouillé. |
| 1.3.6.1.4.1.7660.50.1.2.9 | Mot de passe perdu | L'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' a perdu son mot de passe. |
| 1.3.6.1.4.1.7660.50.1.2.10 | Mot de passe réinitialisé | Mot de passe ré-initialisé pour l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.2.11 | Jeton d'accès ajouté | Le jeton d'accès 'ENTRY0(ENTRY1)' a été ajouté pour l'utilisateur 'ENTRY2@ENTRY3(ENTRY4)'. |
| 1.3.6.1.4.1.7660.50.1.2.12 | Jeton d'accès supprimé | Le jeton d'accès 'ENTRY0(ENTRY1)' a été supprimé pour l'utilisateur 'ENTRY2@ENTRY3(ENTRY4)'. |
| 1.3.6.1.4.1.7660.50.1.2.13 | AMF (TOTP) inscription démarrée | L'enregistrement de l'AMF (TOTP) a démarré pour l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.2.14 | AMF (TOTP) ajouté | L'AMF (TOTP) a été ajouté pour l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.2.15 | AMF (TOTP) supprimé | L'AMF (TOTP) a été supprimé pour l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.2.16 | Clé SSH ajoutée | Une clé SSH a été ajoutée pour l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.2.17 | Clé SSH mise à jour | Une clé SSH a été modifiée pour l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.2.18 | Clé SSH supprimée | Une clé SSH a été supprimée pour l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.2.19 | Rôle mis à jour | Le rôle de l'utilisateur 'ENTRY0@ENTRY1(ENTRY2)' a été modifié (ENTRY3 -> ENTRY4). |
Communauté (1.3.6.1.4.1.7660.50.1.3)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.3.1 | Ajout de communautés | La communauté 'ENTRY0(ENTRY1)' a été ajoutée. |
| 1.3.6.1.4.1.7660.50.1.3.2 | Communauté mise à jour | La communauté 'ENTRY0(ENTRY1)' a été modifiée. |
| 1.3.6.1.4.1.7660.50.1.3.3 | Communauté supprimée | La communauté 'ENTRY0(ENTRY1)' a été supprimée. |
| 1.3.6.1.4.1.7660.50.1.3.4 | Utilisateur ajouté à la communauté | L'utilisateur 'ENTRY0(ENTRY1)' a été ajouté à la communauté 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.3.5 | Utilisateur retiré de la communauté | L'utilisateur 'ENTRY0(ENTRY1)' a été retiré de la communauté 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.3.6 | Groupe ajouté à la communauté | Le groupe 'ENTRY0(ENTRY1)' a été ajouté à la communauté 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.3.7 | Groupe retiré de la communauté | Le groupe 'ENTRY0(ENTRY1)' a été retiré de la communauté 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.3.8 | Rôle de l'utilisateur changé à « membre de la communauté » | L'utilisateur 'ENTRY0(ENTRY1)' est membre de la communauté 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.3.9 | Rôle de l'utilisateur changé à « administrateur de la communauté » | L'utilisateur 'ENTRY0(ENTRY1)' est administrateur de la communauté 'ENTRY2(ENTRY3)'. |
Groupe (1.3.6.1.4.1.7660.50.1.4)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.4.1 | Groupe ajouté | Le groupe 'ENTRY0(ENTRY1)' a été ajouté. |
| 1.3.6.1.4.1.7660.50.1.4.2 | Groupe mis à jour | Le groupe 'ENTRY0(ENTRY1)' a été modifié. |
| 1.3.6.1.4.1.7660.50.1.4.3 | Groupe supprimé | Le groupe 'ENTRY0(ENTRY1)' a été supprimé. |
| 1.3.6.1.4.1.7660.50.1.4.4 | Utilisateur ajouté au groupe | L'utilisateur 'ENTRY0(ENTRY1)' a été ajouté au groupe 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.4.5 | Utilisateur retiré du groupe | L'utilisateur 'ENTRY0(ENTRY1)' a été retiré du groupe 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.4.6 | Rôle de l'utilisateur changé à « membre du groupe » | L'utilisateur 'ENTRY0(ENTRY1)' est membre du groupe 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.4.7 | Rôle de l'utilisateur changé à « administrateur du groupe » | L'utilisateur 'ENTRY0(ENTRY1)' est administrateur du groupe 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.4.8 | Politique de mot de passe (utilisateur) assignée au groupe | La politique de mot de passe (utilisateur) 'ENTRY0(ENTRY1)' a été ajoutée au groupe 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.4.9 | Politique de mot de passe (envoi rapide) assignée au groupe | La politique de mot de passe (envoi rapide) 'ENTRY0(ENTRY1)' a été ajoutée au groupe 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.4.10 | Politique de mot de passe (utilisateur) retirée du groupe | La politique de mot de passe (utilisateur) 'ENTRY0(ENTRY1)' a été retirée du groupe 'ENTRY2(ENTRY3)'. |
| 1.3.6.1.4.1.7660.50.1.4.11 | Politique de mot de passe (envoi rapide) retirée du groupe | La politique de mot de passe (envoi rapide) 'ENTRY0(ENTRY1)' a été retirée du groupe 'ENTRY2(ENTRY3)'. |
Transfert de fichier (1.3.6.1.4.1.7660.50.1.5)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.5.1 | Fichier téléversé | Le fichier 'ENTRY0' (ENTRY1 octets) a été téléversé. |
| 1.3.6.1.4.1.7660.50.1.5.2 | Fichier téléchargé | Le fichier 'ENTRY0' (ENTRY1 octets) a été téléchargé. |
| 1.3.6.1.4.1.7660.50.1.5.3 | Fichier supprimé | Le fichier 'ENTRY0' (ENTRY1 octets) a été supprimé. |
| 1.3.6.1.4.1.7660.50.1.5.4 | Dossier supprimé | Le dossier 'ENTRY0' a été supprimé. |
| 1.3.6.1.4.1.7660.50.1.5.5 | Fichier ou dossier déplacé | Le fichier/dossier 'ENTRY0' a été déplacé ou renommé à 'ENTRY1'. |
| 1.3.6.1.4.1.7660.50.1.5.6 | Dossier créé | Le dossier 'ENTRY0' a été créé. |
Extension (1.3.6.1.4.1.7660.50.1.6)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.6.1 | Extension ajoutée | L'extension 'ENTRY0' a été ajoutée. |
| 1.3.6.1.4.1.7660.50.1.6.2 | Extension modifiée | L'extension 'ENTRY0' a été modifiée. |
| 1.3.6.1.4.1.7660.50.1.6.3 | Extension supprimée | L'extension 'ENTRY0' a été supprimée. |
| 1.3.6.1.4.1.7660.50.1.6.4 | Extension ajoutée à un utilisateur | L'extension 'ENTRY0' a été ajoutée à l'utilisateur 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.5 | Extension ajoutée à un groupe | L'extension 'ENTRY0' a été ajoutée au groupe 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.6 | Extension ajoutée à une communauté | L'extension 'ENTRY0' a été ajoutée à la communauté 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.7 | Extension ajoutée à l'application | L'extension 'ENTRY0' a été ajoutée à l'application. |
| 1.3.6.1.4.1.7660.50.1.6.8 | Extension retirée à un utilisateur | L'extension 'ENTRY0' a été retirée de l'utilisateur 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.9 | Extension retirée d'un groupe | L'extension 'ENTRY0' a été retirée du groupe 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.10 | Extension retirée de la communauté | L'extension 'ENTRY0' a été retirée de la communauté 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.11 | Extension retirée de l'application | L'extension 'ENTRY0' a été retirée de l'application. |
| 1.3.6.1.4.1.7660.50.1.6.12 | Extension (utilisateur) mise à jour | L'extension 'ENTRY0' a été modifiée pour l'utilisateur 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.13 | Extension (groupe) mise à jour | L'extension 'ENTRY0' a été modifiée pour le groupe 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.14 | Extension (communauté) mise à jour | L'extension 'ENTRY0' a été modifiée pour la communauté 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.6.15 | Extension (application) mise à jour | L'extension 'ENTRY0' a été modifiée pour l'application. |
Autorisation (1.3.6.1.4.1.7660.50.1.7)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.7.1 | Erreur d'autorisation | Erreur Autorisation pour le jeton 'ENTRY0'. |
Composante (1.3.6.1.4.1.7660.50.1.8)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.8.1 | Serveur lancé | Serveur 'ENTRY0' lancé. |
| 1.3.6.1.4.1.7660.50.1.8.2 | Arrêt du serveur | Serveur 'ENTRY0' interrompu. |
| 1.3.6.1.4.1.7660.50.1.8.3 | Passerelle lancée | Passerelle 'ENTRY0' lancée. |
| 1.3.6.1.4.1.7660.50.1.8.4 | Passerelle arrêtée | Passerelle 'ENTRY0' arrêtée. |
| 1.3.6.1.4.1.7660.50.1.8.5 | Renouvellement des clés de la passerelle | Renouveler les clés de chiffrement de la passerelle 'ENTRY0'. |
| 1.3.6.1.4.1.7660.50.1.8.6 | Renouvellement des clés du client Web | Renouveler les clés de chiffrement du client Web 'ENTRY0'. |
| 1.3.6.1.4.1.7660.50.1.8.7 | Modification de la licence | Modifier la licence du server 'ENTRY0'. |
| 1.3.6.1.4.1.7660.50.1.8.8 | Initialisation du mot de passe | Initialiser le mot de passe 'ENTRY0'. |
| 1.3.6.1.4.1.7660.50.1.8.9 | Informations sur le domaine modifiées | Le domaine 'ENTRY0(ENTRY1)' a été modifié à 'ENTRY2(ENTRY3)' |
| 1.3.6.1.4.1.7660.50.1.8.10 | Création des clés d'une entité | Clés (ENTRY0) crées pour l'entité 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.8.11 | Suppression des clés d'une entité | Clés (ENTRY0) supprimées pour l'entité 'ENTRY1(ENTRY2)'. |
| 1.3.6.1.4.1.7660.50.1.8.12 | Fichier ré-encrypté | Le fichier 'ENTRY0' (UUID=ENTRY1) a été ré-encrypté. |
Traitement par lots (1.3.6.1.4.1.7660.50.1.9)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.9.1 | Traitement par lots commencé | Traitement par lots 'ENTRY0' commencé. |
| 1.3.6.1.4.1.7660.50.1.9.2 | Traitement par lots interrompu | Arrêt du traitement par lots 'ENTRY0'. |
Vérification d'intégrité (1.3.6.1.4.1.7660.50.1.10)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.10.1 | Vérification d'intégrité réussie | Vérification de l'intégrité réussie. |
| 1.3.6.1.4.1.7660.50.1.10.2 | Échec de la vérification d'intégrité | Vérification de l'intégrité a échoué. |
Audit des événements système (1.3.6.1.4.1.7660.50.1.11)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.11.1 | Audit des événements activé | L'audit de l'événement 'ENTRY0' est activé. |
| 1.3.6.1.4.1.7660.50.1.11.2 | Audit des événements désactivé | L'audit de l'événement 'ENTRY0' est désactivé. |
Tâche (1.3.6.1.4.1.7660.50.1.12)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.12.1 | Tâche échouée | La tâche 'ENTRY0' a échoué. Une sauvegarde de la tâche a été conservée dans la table TASKFAILED (id=ENTRY1). |
Modèle (1.3.6.1.4.1.7660.50.1.13)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.13.1 | Modèle ajouté | Le modèle 'ENTRY0(ENTRY1)' a été ajouté. |
| 1.3.6.1.4.1.7660.50.1.13.2 | Modèle mis à jour | Le modèle 'ENTRY0(ENTRY1)' a été modifié. |
| 1.3.6.1.4.1.7660.50.1.13.3 | Modèle supprimé | Le modèle 'ENTRY0(ENTRY1)' a été supprimé. |
Politique de mot de passe (1.3.6.1.4.1.7660.50.1.14)
| OID | Description | Message |
|---|---|---|
| 1.3.6.1.4.1.7660.50.1.14.1 | Politique de mot de passe ajoutée | La politique de mot de passe 'ENTRY0(ENTRY1)' a été ajoutée. |
| 1.3.6.1.4.1.7660.50.1.14.2 | Politique de mot de passe mise à jour | La politique de mot de passe 'ENTRY0(ENTRY1)' a été modifiée. |
| 1.3.6.1.4.1.7660.50.1.14.3 | Politique de mot de passe supprimée | La politique de mot de passe 'ENTRY0(ENTRY1)' a été supprimée. |
Exemples de cas de surveillance
Cette section décrit quelques exemples de cas de surveillance qui peuvent être mis en place si les audits sont envoyés à une solution de surveillance.
| Cas | OID | Message | Détails |
|---|---|---|---|
| "Brute force password" | 1.3.6.1.4.1.7660.50.1.1.2 | Connexion échouée pour 'ENTRY0' au domaine 'ENTRY1'. Raison: ENTRY2 | Aggrégation des entrées pour une période de temps et par compte utilisateur |
| "Password Spray" | 1.3.6.1.4.1.7660.50.1.1.2 | Connexion échouée pour 'ENTRY0' au domaine 'ENTRY1'. Raison: ENTRY2 | Aggrégation des entrées pour une période de temps |
| Désactivation des audits | 1.3.6.1.4.1.7660.50.1.11.2 | L'audit de l'événement 'ENTRY0' est désactivé. | Dès qu'une entrée est détectée |
| Exfiltration de données | 1.3.6.1.4.1.7660.50.1.5.2 | Le fichier 'ENTRY0' (ENTRY1 octets) a été téléchargé. | Détection d'anomalie par rapport à l'utilisation normale soit pour l'ensemble des utilisateurs ou pour chaque utilisateur individuellement |
| Suppression massive | 1.3.6.1.4.1.7660.50.1.5.3 | Le fichier 'ENTRY0' (ENTRY1 octets) a été supprimé. | Détection d'anomalie par rapport à l'utilisation normale |
| Comportement suspect | 1.3.6.1.4.1.7660.50.1.7.1 | Erreur Autorisation pour le jeton 'ENTRY0'. | Aggrégation des entrées pour une période de temps et par compte utilisateur |
Ces cas sont plus spécifiques à des situations particulières.
| Cas | OID | Message | Détails |
|---|---|---|---|
| Accès à une communauté sensible | 1.3.6.1.4.1.7660.50.1.3.4 | L'utilisateur 'ENTRY0(ENTRY1)' a été ajouté à la communauté 'ENTRY2(ENTRY3)'. | Dès qu'une entrée est détectée pour une communauté sensible |
| Accès à un groupe sensible | 1.3.6.1.4.1.7660.50.1.4.4 | L'utilisateur 'ENTRY0(ENTRY1)' a été ajouté au groupe 'ENTRY2(ENTRY3)'. | Dès qu'une entrée est détectée pour un groupe sensible |