您位於此處:
事件管理員
中央主控台可針對 50 多種事件類型啟用即時儲存和串流,同時透過大型物件啟用歷程記錄分析,以及透過 SIEM/安全性平台的 Pub/Sub API 立即進行外部耗用。
控制名稱
事件管理員 (選取「啟用儲存」和/或「啟用串流」,以在「即時事件監視」中共用事件資料)。
控制概觀
中央主控台可針對 50 多種事件類型啟用即時儲存和串流,同時透過大型物件啟用歷程記錄分析,以及透過 SIEM/安全性平台的 Pub/Sub API 立即進行外部耗用。
描述
「設定」>「事件管理員」中的「每個事件」切換開關可控制 LoginEvent、ReportEvent、URIEvent 等填入「事件記錄檔」(儲存) 或發佈至串流管道。支援雙重模式以獲得全方位涵蓋範圍。
建議組態
選取「事件管理員」 ->選取「啟用儲存」和/或「啟用串流」,以在「即時事件監視」中共用事件資料;同時針對重要事件 (登入、報告、API) 啟用兩者,僅針對大量/低保留需求串流。
安全性影響
即時將完整的使用者活動距離測量提供給安全性工具,同時保留 1–24 個月的鑑識歷程記錄資料;這是 UEBA、威脅尋找和合規性的基礎。
業務影響
去除外部系統的輪詢/同步延遲、啟用即時顯示面板,並支援成本最佳化的保留 (串流大量、選擇性儲存)。
未設定安全性風險
停用的即時事件資料串流以供監視,會針對如進行中的帳戶入侵或資料外洩等時效性威脅建立偵測缺口。
威脅情況
停用的即時監視可防止及時偵測安全性事件並延遲事件回應;攻擊者在偵測到之前完成大量匯出或權限升級。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
串流可增加低成本但高價值;使用活動量來調整儲存空間規模;根據威脅模式優先排列高風險事件。
風險愈高時機
已啟用外部/合作夥伴存取、 API 繁重整合、受監管的資料 (PHI/PII),或預期 Salesforce RTEM 摘要的現有 SIEM。
低度風險時機
僅限內部使用者、簡單的工作流程、原生「登入歷程記錄」足夠,沒有即時外部監視需求。
業務與整合考量事項
在生產啟用前測試串流端點;規劃儲存選項的大型物件儲存預算。
安全性健康檢閱指南
強烈建議。
受影響的人員
設定 SIEM 串流的安全性工程師、建立顯示面板的分析師、需要完成稽核追蹤的規範小組,以及整合結構設計師。
