База знаний FAM/MFA+ : 10.3 Спецификация сообщений в журнале событий безопасности Avanpost FAM Server

Таблица 1 – Управление пользователями (USRMGMT)

MSGID в syslog

Событие

Сообщение

Поля сообщения

В каких случаях добавляется

1

USRMGMT

Создание нового пользователя

User account test was created

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.
  • Самостоятельная регистрация пользователя;
  • Создание пользователя через административный интерфейс.

2

USRMGMT

Изменение прав доступа пользователя

User account test group access was changed

  • fio_owner – ФИО администратора, который выполнил действие;
  • group – группа, в которую был добавлен/исключён пользователь;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • login_owner – логин администратора, который выполнил действие;
  • op – операция (добавление в группу, исключение из группы)
  • session_id – идентификатор сессии.
  • Добавление пользователя в группу;
  • Удаление пользователя из группы.

3

USRMGMT

Блокировка учётной записи пользователя

User account test was locked

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.
  • Блокировка УЗ администратором;
  • Блокировка при 3 и более раз неверно введённом пароле.

4

USRMGMT

Разблокировка учётной записи пользователя

User account test was unlocked

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.
  • Разблокировка УЗ администратором;
  • Активация УЗ пользователем

5

USRMGMT

Смена пароля пользователя

User account test password was changed

  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • session_id – идентификатор сессии.
  • Смена пароля УЗ для пользователя другим пользователем;
  • Смена пароля УЗ пользователя текущим пользователем.

6

USRMGMT

Удаление пользователя

User account test was removed

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.
  • Удаление УЗ администратором
  • Удаление УЗ сторонней прикладной системой, интегрированной с Системой

7

USRMGMT

Назначение роли

Role testrole was assigned to user test

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • login_owner – логин администратора, который выполнил действие;
  • role – наименование роли, для которой выполнена операция;
  • session_id – идентификатор сессии.

Назначение роли пользователю

8

USRMGMT

Отзыв роли

Role testrole was revoked from user test

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • login_owner – логин администратора, который выполнил действие;
  • role – наименование роли, для которой выполнена операция.

Отзыв роли у пользователя

Таблица 2 – Аутентификация пользователя (USRAUTH)

MSGID в syslog

Событие

Сообщение

Поля сообщения

В каких случаях добавляется

1

USRAUTH

Выход пользователя

User test logout successful

  • app – приложение, в которое осуществляется аутентификация;
  • chain – цепочка аутентификации;
  • interface – интерфейс системы, через который произошёл запрос;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, из которой осуществляется выход;
  • result – результат выхода (успешно/не успешно);
  • session_id – идентификатор сессии.
  • выход из административного интерфейса путём нажатия кнопки «Выйти» в веб-интерфейсе;
  • выход из любого веб-приложения, подключённого к WebSSO.

2

USRAUTH

Аутентификация пользователя по внешнему IDP

User test passed external idp authentication

  • app – приложение, в которое осуществляется аутентификация;
  • chain – цепочка аутентификации;
  • interface – интерфейс системы, через который произошёл запрос;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, предоставленный при аутентификации;
  • result – результат аутентификации (успешно/не успешно);
  • session_id – идентификатор сессии.
  • Прохождение аутентификации через внешний Identity Provider (OpenID Connect, SAML, ЕСИА) в режиме федеративной аутентификации при аутентификации пользователя в какое-либо приложения.

3

USRAUTH

Аутентификация пользователя с использованием фактора

User test passed verifications and successfully authenticated

  • ip – IP-адрес пользователя или источника действия;
  • app – приложение, в которое осуществляется аутентификация;
  • login – логин учётной записи, предоставленный при аутентификации;
  • given_factor – другие факторы аутентификации (признак предъявления);
  • result – результат аутентификации (успешно/не успешно);
  • chain – цепочка аутентификации;
  • interface – интерфейс системы, через который произошёл запрос;
  • session_id – идентификатор сессии.
  • Попытка аутентификации в административный интерфейс, в том числе с использованием многофакторной аутентификации;
  • Попытка аутентификации в любое веб-приложение, подключённое к SSO, в том числе с использованием многофакторной аутентификации (все предъявленные факторы должны быть зафиксированы в журнале);
  • Попытка аутентификации в агенте (аутентификация агента на сервере);
  • Попытка аутентификации в приложение, для которого настроен шаблон; (событие перехвата окна агентом по шаблону является событием, которое также будет записано на сервере);
  • Автоматический вход пользователя, если он активировал созданную учётную запись по ссылке на почту;
  • Автоматический вход пользователя, если он восстановил учётную запись (сбросил пароль) по ссылке на почту.

4

USRAUTH

User test passed pwd factor verification

Таблица 3 – Доступ пользователя (USRACS)

MSGID в syslog

Событие

Сообщение

Поля сообщения

В каких случаях добавляется

1

USRACS

Обращение к защищаемым объектам доступа (объект доступа в нашем случае - приложение)

User access to application testapp success

  • app – приложение, в которое осуществляется аутентификация;
  • interface – интерфейс системы, через который произошёл запрос;
  • ip – IP-адрес пользователя или источника действия;
  • login – логин учётной записи, предоставленный при аутентификации;
  • result – результат обращения (успешно/не успешно).

Обращение к приложению, для которого у пользователя есть/нет доступа - попытка обращения и т.д.

Таблица 4 – События сервера (SERVCTL)

MSGID в syslog

Событие

Сообщение

Поля сообщения

В каких случаях добавляется

1

SERVCTL

Запуск/выполнение служб приложения

Service IDP started

  • command – команда, выполненная пользователем (полный текст команды, полученный CLI-интерфейсом Системы);
  • user_os – имя пользователя ОС, от которого выполнена команда
  • Запуск службы Avanpost FAM Server;
  • Выполнение любой административной CLI-команды idp: -migratedb, -init, -initproc и т.д.

2

SERVCTL

Остановка служб приложения

Service IDP stopped

  • command – команда, выполненная пользователем (полный текст команды, полученный CLI-интерфейсом Системы);
  • user_os – имя пользователя ОС, от которого выполнена команда.

Остановка службы Avanpost FAM Server.

Таблица 5 – Управление приложениями (APPMGMT)

MSGID в syslog

Событие

Сообщение

Поля сообщения

В каких случаях добавляется

1

APPMGMT

Настройки приложения

testapp application settings were changed

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Изменение любых настроек приложения

2

APPMGMT

Процесс аутентификации приложения

Authentication process of application testapp was changed

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Изменение сценария многофакторной аутентификации приложения

3

APPMGMT

Создание приложения

Application testapp was created

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Создание приложения администратором системы

4

APPMGMT

Секрет приложения

testapp application secret was changed

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Изменение секрета приложения

Таблица 6 – Управление группами (GRPMGMT)

MSGID в syslog

Событие

Сообщение

Поля сообщения

В каких случаях добавляется

1

GRPMGMT

Удаление роли из группы

Role admin was revoked from group adminconsole

  • fio_owner – ФИО администратора, который выполнил действие;
  • group – наименование группы, для которой было выполнено исключение роли;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • role – удалённая из группы роль;
  • session_id – идентификатор сессии.

Удаление роли из группы.

2

GRPMGMT

Создание группы

Group PortalAdmin was created

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Создание новой группы.

3

GRPMGMT

Добавление приложения в группу

Application G-Cloud was added to group G-Cloud

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Добавление приложения в группу.

4

GRPMGMT

Удаление приложения из группы

Application Azure AD Team s was removed from group lk-guests

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие.

Удаление приложения из группы.

5

GRPMGMT

Добавление роли в группу

Role admin was assigned to group adminconsole

  • fio_owner – ФИО администратора, который выполнил действие;
  • group – наименование группы, для которой было выполнено добавление роли;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • role – роль, добавленная в группу;
  • session_id – идентификатор сессии.

Добавление роли в группу.

6

GRPMGMT

Удаление группы

Group new was deleted

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Удаление группы.

Таблица 7 – Управление ролями (ROLEMGMT)

MSGID в syslog

Событие

Сообщение

Поля сообщения

В каких случаях добавляется

1

ROLEMGMT

Создание новой роли

Role test was created

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Создание новой роли.

2

ROLEMGMT

Изменение роли

Role test was changed

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Изменение параметров роли

3

ROLEMGMT

Удаление роли

Role test was deleted

  • fio_owner – ФИО администратора, который выполнил действие;
  • ip – IP-адрес пользователя или источника действия;
  • login_owner – логин администратора, который выполнил действие;
  • session_id – идентификатор сессии.

Удаление роли

Таблица 8 – События OpenID Connect ( OIDC)


В будущих релизах ожидается перенос событий OpenID Connect из журнала событий безопасности в отдельный журнал интеграционных сообщений. По этой причине не рекомендуется применение OpenID Connect-сообщений в рамках интеграций с существующим syslog.

MSGID в Syslog Событие Сообщение Поля сообщения В каких случаях добавляется

1

OIDC

Вызов Token Endpoint

Token endpoint has been called

  • client_id – идентификатор клиента OpenID Connect/OAuth 2.0;
  • code - параметры для PKCE;
  • code_verifier - параметр для PKCE;
  • grant_type – переданный grant_type;
  • redirect_uri – переданный Redirect URI;
  • result – результат (был  ли возвращён результат).

При отправке запроса на Token Endpoint (/oauth2/token) в рамках интеграций посредством OpenID Connect

2

OIDC

Вызов Userinfo Endpoint

UserInfo endpoint has been called

  • result – результат (был ли возвращён ответ useinfo).

При отправке запроса на Userinfo Endpoint (/oauth2/userinfo) в рамках интеграций посредством OpenID Connect

3

OIDC

Вызов Authorization Endpoint

Authorization endpoint has been called

  • chain - идентификатор цепочки;
  • client_id - идентификатор клиента OpenID Connect/OAuth 2.0;
  • code_challenge - параметр для PKCE; значение не отображается и не фиксируется в журнале по требованиям безопасности;
  • code_challenge_method - параметр для PKCE; значение не отображается и не фиксируется в журнале по требованиям безопасности;
  • password – переданный пароль; значение пароля не отображается и не фиксируется в журнале по требованиям безопасности;
  • redirect_uri – переданный Redirect URI;
  • response_type – тип запроса;
  • result - результат (ok или fail);
  • scope – переданные в запросе scope;
  • state – переданное значение state;
  • username – имя пользователя.

При отправке запроса на Authorization Endpoint (/oauth2/authorize) в рамках интеграций посредством OpenID Connect

4

OIDC

Вызов End Session Endpoint

Endsession endpoint has been called

  • id_token_hint – переданное значение id_token_hint;
  • result – результат выполнения операции;
  • state – переданный параметр состояния.

При отправке запроса на End Session Endpoint (/oauth2/end_session) в рамках интеграций посредством OpenID Connect