监控事件日志

与 SIEM（系统信息和事件管理）集成的事件监控是监控您的组织以维护最佳安全实践和确保合规性的重要工具。以下章节重点介绍多项监控参考指标，这些指标将增强您对 Bitwarden 解决方案的可观测性，包括洞察用户在密码库中的操作行为，并提供自动化告警目标的示例。

这些事件选自 Bitwarden 事件日志。通过针对关键业务事件配置实时告警与时段累积告警策略，您将能根据自身独特的安全态势，对组织使用 Bitwarden 的情况进行全面审计。

理解日志

通过多种 SIEM 平台与 Bitwarden 集成，以审查密码库日常使用情况的关键信息。

SIEM 事件监控平台提供了很多特定的字段，这些字段用于监控以维持高标准的安全性：

关注趋势

追踪 Bitwarden 使用趋势可以识别可疑活动或潜在的安全威胁：

登录尝试失败异常等级

• 失败的登录尝试

  • 1005 登录尝试因密码错误而失败

  • 1006 登录尝试因两步登录错误而失败

查看敏感或隐藏字段的异常等级

• 查看项目

  • 1107 查看了项目 item-identifier

  • 1108 查看了项目 item-identifier 的密码

  • 1109 查看了项目 item-identifier 的隐藏字段

  • 1110 查看了项目 item-identifier 的安全码

• 复制项目字段

  • 1111 复制了项目 item-identifier 的密码

  • 1112 复制了项目 item-identifier 的安全码

使用趋势

监控使用趋势以识别使用 Bitwarden 并保持安全实践的用户：

监控用户频率

• 密码库使用情况

  • 1000 登录了

  • 1010 用户请求了设备批准

关键的密码库操作

可对特定事件进行监控，以跟踪高级用户的关键操作或对关键的密码库项目所做的更改：

超级用户活动

• 个人账户活动

  • 1000 登录了

  • 1001 更改了账户密码

  • 1002 启用/更新了两步登录

  • 1003 禁用了两步登录

  • 1007 用户导出了他们的个人密码库项目

  • 1603 管理提供商访问了组织密码库

• 组织活动

  • 1500 邀请了用户 user-identifier

  • 1501 确认了用户 user-identifier

  • 1502 编辑了用户 user-identifier

  • 1504 编辑了用户 user-identifier 的群组

  • 1511 撤销了用户 user-identifier 的组织访问权限

  • 1512 恢复了用户 user-identifier 的组织访问权限

  • 1513 批准了用户 user-identifier 的设备

  • 1600 编辑了组织设置

  • 1609 修改了集合管理设置

  • 1700 修改了策略 policy-identifier

  • 2001 移除了域名 domain-name

• 导出组织密码库信息

  • 1602 导出了组织密码库

关键的项目活动

• 已识别为关键的项目变更

  • 1101 编辑了项目 item-identifier

  • 1105 将项目 item-identifier 移动至组织

  • 1106 编辑了项目 item-identifier 的收藏集

  • 1107 查看了项目 item-identifier

  • 1108 查看了项目 item-identifier 的密码

  • 1109 查看了项目 item-identifier 的隐藏字段

  • 1110 查看了项目 item-identifier 的安全码

  • 1111 复制了项目 item-identifier 的密码

  • 1112 复制了项目 item-identifier 的隐藏字段

  • 1113 复制了项目 item-identifier 的安全码

  • 1114 自动填充了项目 item-identifier

  • 1117 查看了项目 item-identifier 的卡号