监控事件日志
最后更新于
最后更新于
对应的
与 SIEM(系统信息和事件管理)集成的事件监控是监控您的组织以维护最佳安全实践和确保合规性的重要工具。以下章节重点介绍多项监控参考指标,这些指标将增强您对 Bitwarden 解决方案的可观测性,包括洞察用户在密码库中的操作行为,并提供自动化告警目标的示例。
这些事件选自 。通过针对关键业务事件配置实时告警与时段累积告警策略,您将能根据自身独特的安全态势,对组织使用 Bitwarden 的情况进行全面审计。
通过多种 SIEM 平台与 Bitwarden 集成,以审查密码库日常使用情况的关键信息。
SIEM 事件监控平台提供了很多特定的字段,这些字段用于监控以维持高标准的安全性:
actingUserEmail
执行操作的用户电子邮箱地址。
actingUserId
执行操作的用户唯一 ID。
actingUserName
执行操作的用户名称。
collectionId
组织集合 ID。
device
ipAddress
执行事件的 IP 地址。
itemId
组织密码库的项目(密码、安全笔记等)。
policyId
追踪 Bitwarden 使用趋势可以识别可疑活动或潜在的安全威胁:
失败的登录尝试
1005
登录尝试因密码错误而失败
1006
登录尝试因两步登录错误而失败
查看项目
1107
查看了项目 item-identifier
1108
查看了项目 item-identifier
的密码
1109
查看了项目 item-identifier
的隐藏字段
1110
查看了项目 item-identifier
的安全码
复制项目字段
1111
复制了项目 item-identifier
的密码
1112
复制了项目 item-identifier
的安全码
监控使用趋势以识别使用 Bitwarden 并保持安全实践的用户:
密码库使用情况
1000
登录了
可对特定事件进行监控,以跟踪高级用户的关键操作或对关键的密码库项目所做的更改:
个人账户活动
1000
登录了
1001
更改了账户密码
1002
启用/更新了两步登录
1003
禁用了两步登录
1007
用户导出了他们的个人密码库项目
组织活动
1500
邀请了用户 user-identifier
1501
确认了用户 user-identifier
1502
编辑了用户 user-identifier
1504
编辑了用户 user-identifier
的群组
1511
撤销了用户 user-identifier
的组织访问权限
1512
恢复了用户 user-identifier
的组织访问权限
1513
批准了用户 user-identifier
的设备
1600
编辑了组织设置
1609
修改了集合管理设置
1700
修改了策略 policy-identifier
2001
移除了域名 domain-name
导出组织密码库信息
1602
导出了组织密码库
已识别为关键的项目变更
1101
编辑了项目 item-identifier
1105
将项目 item-identifier
移动至组织
1106
编辑了项目 item-identifier
的收藏集
1107
查看了项目 item-identifier
1108
查看了项目 item-identifier
的密码
1109
查看了项目 item-identifier
的隐藏字段
1110
查看了项目 item-identifier
的安全码
1111
复制了项目 item-identifier
的密码
1112
复制了项目 item-identifier
的隐藏字段
1113
复制了项目 item-identifier
的安全码
1114
自动填充了项目 item-identifier
1117
查看了项目 item-identifier
的卡号
设备的数值 ID。精确的映射可以在找到。
组织策略更新。在查看组织事件。
1010
用户请求了
1603
管理访问了组织密码库