Вы находитесь здесь:
Управление менеджером событий
Центральная консоль для активации хранилища в реальном времени и потоковой передачи для типов событий 50+, включив архивный анализ посредством больших объектов и немедленное внешнее потребление посредством Public/Sub API для платформ безопасности SIEM.
Управление именем
Менеджер событий (Выберите «Включить хранение» и/или «Включить потоковую передачу» для сбора данных о событиях в мониторинге событий в реальном времени).
Общие сведения о контроле
Центральная консоль для активации хранилища в реальном времени и потоковой передачи для типов событий 50+, включив архивный анализ посредством больших объектов и немедленное внешнее потребление посредством Public/Sub API для платформ безопасности SIEM.
Описание
Переключатель на событие в настройках>Менеджер событий управляет заполнением LoginEvent, ReportEvent, URIEvent и т. д. файлов журнала событий (сохранение) или публикацией в потоковых каналах. Поддерживает двухрежимный режим для комплексного покрытия.
Рекомендованная конфигурация
Выберите «Менеджер событий» ->Выберите «Включить хранение» и/или «Включить потоковую передачу» для сбора данных о событиях в мониторинге событий в реальном времени; включите оба параметра для критических событий (вход, отчет, API), потоковая передача только для массовых/низких потребностей сохранности.
Влияние на безопасность
Предоставляет полную телеметрию действий пользователя в инструменты безопасности в режиме реального времени, сохраняя архивные данные за 1-24 месяца для криминалистики; основа для UEBA, поиска угроз и соответствия.
Влияние на бизнес
Устраняет задержки опроса/синхронизации для внешних систем, включает оперативные панели мониторинга и поддерживает оптимизированное с точки зрения затрат сохранение (потоковое массовое, выборочное хранение).
Риск безопасности, если он не настроен
Отключенная потоковая передача данных о событиях в реальном времени для мониторинга создает пробелы обнаружения для таких непродолжительных угроз, как компрометация организации или выполняемое извлечение данных.
Сценарии угроз
Отключенный мониторинг в реальном времени предотвращает своевременное обнаружение инцидентов безопасности и задерживает реакцию на инциденты; злоумышленники выполняют пакетный экспорт или расширение привилегий до обнаружения.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Потоковая передача добавляет минимальную стоимость, но высокую ценность; масштабы хранилища с объемом действий; приоритет событий высокого риска сперва на основе модели угроз.
Повышенный риск при
Включен внешний доступ/доступ партнеров, интеграции с высоким уровнем API, регулируемые данные (PHI/PII) или существующие SIEM, ожидающие ленты Salesforce RTEM.
Низкий риск при
Только внутренние пользователи, простые бизнес-правила, собственный журнал входов достаточны, требования внешнего мониторинга отсутствуют в реальном времени.
Рекомендации по бизнесу и интеграции
Протестируйте конечные точки потоковой передачи перед включением производства; спланируйте бюджеты хранения больших объектов для параметра хранения.
Руководство по проверке состояния безопасности
Настоятельно рекомендуем.
На кого влияет
Инженеры безопасности, настраивающие потоки SIEM, аналитики, создающие панели мониторинга, группы соответствия, требующие полных контрольных журналов, архитекторы интеграции.
