Vous êtes ici :
Contrôle du Gestionnaire d'événements
Console centrale d'activation du stockage en temps réel et de la diffusion en continu pour plus de 50 types d'événement, qui permet l'analyse historique via des Big Objects et la consommation externe immédiate via l'API Pub/Sub pour des plates-formes SIEM/sécurité.
Nom du contrôle
Gestionnaire d'événements (sélectionnez 'Activer le stockage' et/ou 'Activer la diffusion en continu' pour capturer les données des événements dans Surveillance des événements en temps réel).
Vue d'ensemble du contrôle
Console centrale d'activation du stockage en temps réel et de la diffusion en continu pour plus de 50 types d'événement, qui permet l'analyse historique via des Big Objects et la consommation externe immédiate via l'API Pub/Sub pour des plates-formes SIEM/sécurité.
Description
Le commutateur Par événement dans Configuration>Gestionnaire d'événements contrôle si LoginEvent, ReportEvent, URIEvent, etc. remplissent les fichiers journaux d'événements (stockage) ou publient dans des canaux de streaming. Prend en charge le bimode pour une couverture complète.
Configuration recommandée
Sélectionnez 'Gestionnaire d'événements' ->Sélectionnez 'Activer le stockage' et/ou 'Activer la diffusion en continu' pour capturer les données d'événements dans Surveillance des événements en temps réel ; activez les deux pour les événements critiques (Connexion, Rapport, API), uniquement pour les besoins de haut volume/faible rétention.
Impact sur la sécurité
Fournit une télémétrie complète de l'activité des utilisateurs aux outils de sécurité en temps réel, tout en préservant les données historiques de 1 à 24 mois pour la criminalistique. Fondamental pour l'UEBA, la chasse aux menaces et la conformité.
Impact commercial
Élimine les délais d'interrogation/synchronisation pour les systèmes externes, active les tableaux de bord live et prend en charge la rétention optimisée pour les coûts (flux à haut volume, stockage sélectif).
Risque de sécurité s'il n'est pas configuré
La désactivation de la diffusion en continu des données d'événements en temps réel pour la surveillance crée des écarts de détection pour les menaces temporelles telles que la compromission du compte ou l'exfiltration des données en cours.
Scénarios de menace
La surveillance en temps réel désactivée empêche la détection rapide des incidents de sécurité et retarde la réponse aux incidents. Les assaillants effectuent des exportations en masse ou escaladent les privilèges avant la détection.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
La diffusion en continu ajoute un coût minimal, mais une valeur élevée; échelles de stockage avec volume d'activité; priorisez d'abord les événements à risque élevé en fonction du modèle de menace.
Risque plus élevé quand
Accès externe/partenaire activé, intégrations lourdes en API, données réglementées (PHI/PII) ou fils RTEM existants attendus de SIEM Salesforce.
Risque faible quand
Utilisateurs internes uniquement, workflows simples, Historique des connexions natif suffisant, aucune exigence de surveillance externe en temps réel.
Considérations relatives à l'entreprise et à l'intégration
Testez les points de terminaison en continu avant l'activation en production ; planifiez des budgets de stockage Big Object pour l'option de stockage.
Guide d'examen sanitaire de sécurité
Fortement recommandé.
Qui est impacté
Ingénieurs de sécurité configurant des flux SIEM, analystes élaborant des tableaux de bord, équipes de conformité nécessitant des parcours d'audit complets, architectes d'intégration.
