特权会话的审计跟踪是按时间顺序排列的事件记录,它提供基本信息以跟踪在该会话期间执行的所有活动。特权会话的审计记录可能包括事件是什么、哪个用户或应用程序发起了事件(包括 IP 地址和设备类型)、在整个会话期间执行了哪些操作以及事件的日期和时间。
对于大多数系统来说,不受监控的访问及其滥用是一个严重的问题。捕获特权用户的所有活动对于识别和防止可能损害业务的异常行为至关重要。组织必须记录授予用户的权限、使用此类权限执行的操作以及这些操作如何影响其 IT 环境。记录用户活动的传统方法无法完全满足这些要求。
审计跟踪有助于识别可疑行为。通过实时监控和自动化审计日志,管理员可以识别系统实施问题、操作问题、异常或可疑活动以及其他系统错误。
各种合规性标准,如 HIPAA、SOX 和 PCI DSS,都希望组织能够监控和捕获特权帐户执行的所有操作。
PAM360 的审计跟踪即时记录所有围绕特权帐户和关键活动、登录尝试以及计划或完成的任务的事件。这些数据有助于遵守定期的内部审计和取证调查,展示谁访问了哪些资源或文件,在何处、何时以及为何访问。
只有管理员才能查看其他用户执行的所有操作。您可以通过产品内通知通知用户他们的活动。PAM360 还允许您在发生特定事件时向特定收件人发送即时电子邮件通知。
配置审计和通知
HIPAA 和 SOX 等监管法规要求正确维护电子记录,并要求实施适当的合规性和审计机制。PAM360 提供不可变的审计日志,可以与审计员共享以证明合规性。
如果您在组织中使用第三方安全信息和事件管理 (SIEM) 工具,您可以将 PAM360 与该工具集成,以便为 PAM360 内发生的各种事件发送系统日志消息。您还可以将网络管理工具与 PAM360 集成以接收 SNMP 陷阱。
这些工具分析特权访问数据并将其与来自整个企业的其他事件数据相关联,帮助安全团队全面了解特权访问并深入了解可疑活动。
在 PAM360 中配置系统日志事件通知
如果您的组织很大,捕获的审计日志自然会以更快的速度增长。您可以清除早于指定天数的审核日志以保持磁盘空间可用。您也可以将这些日志存储在本地驱动器中,并根据需要移动或删除它们。
