Das Feature ist verfügbar ✔️ für:
Rollen: Lizenz-Eigentümer
Lizenzen: Enterprise
In diesem Artikel werden wir die folgenden Themen abdecken:
- Zusätzliche Informationen und Einschränkungen
- Schritte für die Einrichtung
- Event-Dokumentation: Felder für häufige Ereigneisse
- Event-Dokumentation: Felder für Authentication-Ereignisse
- Event-Dokumentation: Felder für UserActivity-Ereignisse
- Event-Dokumentation: Felder für AdminActivity-Ereignisse
- Event-Dokumentation: Felder für DomainUserManagement-Ereignisse
- Event-Dokumentation: Felder mit ausgefüllten AdditionalFields
📝 Anmerkung: Bevor Sie die SIEM-Integration in Ihrem Tresorit-Abonnement aktivieren, müssen Sie den Vertrag zur Auftragsdatenverarbeitung (DPA) unterschreiben, den Sie unter dem Rechnungen-Tab in Ihrem Admin-Center finden.
Mit der Integration für SIEM-Anbieter leiten wir eine Auswahl an Ereignissen (Events) an den unserem Kunden zugeordneten Anbieter weiter. Die Ereignisse können während der Konfiguration im Einstellungen-Tab Ihres Admin-Centers ausgewählt werden. Die erforderlichen Events können bearbeitet werden.
Momentan verfügbare Event-Gruppen:
-
Nutzeraktivität (z. B. Ereignisse in Bezug auf An- und Abmeldung)
- Admin-Aktivität (z. B. Einrichtung von Integrationen, Richtlinienbearbeitungen)
- Nutzermanagement (z. B. Aktionen bezüglich Einladungen, Sperrungen und Löschungen)
Bitte beziehen Sie sich auf die detaillierten Informationen zu Events in der untenstehenden Dokumentation.
Zusätzliche Informationen und Einschränkungen
-
Wir bieten keine Protokolle im Format für das erweiterte Sicherheitsmodell (Advanced Security Information Model, ASIM), sondern in einem benutzerdefinierten Format, welches im letzten Abschnitt dieses Artikels dokumentiert wird
-
Bestimmte Aktionen können im Auftrag des Kunden vom Tresorit Support ausgeführt werden. In diesem Fall wird in das ActorUserEmail-Feld des Ereignisses der Wert support@tresorit.com eingetragen und alle weiteren Felder für Akteurtypen bleiben leer.
-
Diese Protokolle werden nicht langfristig auf den von Tresorit verwendeten Speicherservern gespeichert. Wir empfehlen daher, diese Daten in Sentinel oder über einen Drittanbieter in einem sonstigen Speicher zu speichern.
Schritte für die Einrichtung
Sie werden sich in Ihrem Microsoft-Konto anmelden müssen, um Ihre Workspace ID für Sentinel und einen gemeinsam verwendeten Schlüssel für die Integration angeben zu können.
1. Melden Sie sich als Lizenzeigentümer in Ihrem Tresorit-Konto an und gehen Sie im Admin-Center zum Einstellunge-Tab.
2. Klicken Sie im Abschnitt SIEM-Integration auf Aktivieren.
3. Falls die Vereinbarung zur Datenverarbeitung (DPA) noch nicht in Ihrem Konto unterschrieben wurde, werden Sie dazu aufgefordert werden, den Signaturprozess über den Rechnungen-Tab zu beginnen.
4. Sie benötigen zwei bestimmte Werte, um die Integration mit Ihrem Sentinel-Workspace einzurichten: Workspace ID und Shared Key.
Öffnen Sie den von Sentinel verwendeten „Log Analytics“-Workspace und gehen Sie zu Agents Management. Sie werden die Workspace ID und die Primär- und Sekundärschlüssel unter Anleitungen für den Log Analytics Agent finden. Jeder dieser Schlüssel kann als Ihr gemeinsam genutzter Schlüssel verwendet werden.
5. Wählen Sie die erforderlichen Events aus der Liste verfügbarer Events aus. Untenstehend finden Sie die detaillierte Event-Dokumentation.
Event-Dokumentation
Key-Value Paare
Die möglichen Werte der Keys, die beim Einrichten der Integrationen angezeigt werden, sind in den folgenden Tabellen dokumentiert.
User Activity Ereignisse
Option während der Einrichtung | Value |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Domain User Management Ereignisse
Option during the setup | Values |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Admin Activity Ereignisse
Option during the setup | Values |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Felder für häufige Ereignisse (Common Events)
Die in der untenstehenden Tabelle erscheinenden Felder treten für alle Tresorit-Ereignisschemas häufig auf. Sämtliche in den exakten Unterschemas spezifizierten Richtlinien (z. B. Authentifizierung) heben das Allgemeine Ereignisschema (Common Event Schema) für das Feld auf. So kann ein Feld beispielsweise allgemein optional, aber für ein bestimmtes Schema obligatorisch sein.
Field | Class | Type | Possible values / Format | Description |
EventSchemaVersion |
Mandatory |
String |
|
We use SemVer for versioning schema variants. Each time a schema is edited, a new version is created, but the original schema remains intact for future use. example: |
---|---|---|---|---|
EventType |
Mandatory |
Enumerated |
|
Describes the operation reported by the record. |
EventSubType |
Mandatory |
Enumerated (defined for each event type) |
Value depends on the EventType field. |
Describes a subdivision of the operation reported in the Each event type schema (based on the |
EventTimestamp |
Mandatory |
Datetime |
|
The time the event was generated by the reporting device. example: |
EventResult |
Mandatory |
Enumerated |
|
Result of the event. |
EventResultDetails |
Recommended |
Dynamic (defined for each event type) |
|
Each schema (based on the |
ActorUserId |
Recommended |
String |
|
Unique identifier of the user. example: |
ActorUserEmail |
Mandatory |
String |
|
Email of the user. example: |
ActorUserFirstName |
Recommended |
String |
|
First name of the user. example: |
ActorUserLastName |
Recommended |
String |
|
Last name of the user. example: |
ActorUserRole |
Recommended |
Enumerated |
|
Set of permissions for actions available for the actor user. |
ActorSessionId |
Recommended |
String |
|
The logged in user’s unique session identifier.
example: |
ActorUserDomainId |
Recommended |
String |
|
Domain GUID |
ActorUserDomainName |
Recommended |
String |
|
Organisation name of the subscription domain. |
ActorUserIsExternal |
Mandatory |
Bool |
|
|
ActorDeviceName |
Recommended |
String |
|
Name of the device or web session from which the event originates. examples:
|
ActorDeviceId |
Recommended |
String |
|
The unique identifier of the device. example: |
ActorDeviceType |
Recommended |
Enumerated |
|
Event originates from:
|
ActorDevicePlatform |
Recommended |
Enumerated |
Device OS:
|
Platform name of the device which from the event originates. |
ActorDeviceIpAddress |
Recommended |
IP address |
|
IP address of the device from which the event originates. Example: |
ClientAgent |
Recommended |
String |
|
Tresorit specific client agent information. Parameters:
examples:
|
HttpUserAgent |
Recommended |
String |
|
HTTP user agent used in the original backed request. Web client example: Native client example: |
GeolocationCountry |
Recommended |
String |
|
Approximate location* based on IP address from which the event originates. example: * The accuracy of geolocation may vary. |
GeolocationRegion |
Recommended |
String |
|
Approximate location* based on IP address from which the event originates. example: * The accuracy of geolocation may vary. |
GeolocationCity |
Recommended |
String |
|
Approximate location* based on IP address from which the event originates. example: * The accuracy of geolocation may vary. |
GeolocationLongitude |
Recommended |
Longitude |
|
Latitude and longitude are angles that uniquely define a place* on Earth. example: * The accuracy of geolocation may vary. |
GeolocationLatitude |
Recommended |
Latitude |
|
Latitude and longitude are angles that uniquely define a place* on Earth. example: * The accuracy of geolocation may vary. |
AdditionalFields |
Optional |
Dynamic |
|
Extra information about the event in custom JSON format.
|
Felder für Authentication-Ereignissen
EventSubType |
Mandatory |
Enumerated |
|
Describes a subdivision of the operation Each schema (based on the |
---|---|---|---|---|
EventResultDetails |
Recommended |
Enumerated |
|
Additional information about the result of the |
LoginMethod |
Optional |
Enumerated |
|
The authenticate method used by the user. Mandatory if the |
RevokeMode |
Optional |
Enumerated |
|
Whether or not to delete synchronized folders and files from the device. Mandatory if the |
TargetDeviceName |
Optional |
String |
|
Name of the device being registered or revoked. Mandatory if the |
TargetDeviceId |
Optional |
String |
|
Unique identifier of the device being registered or revoked. Mandatory if the |
TargetDeviceType |
Optional |
Enumerated |
|
Type of the device being registered or revoked. Mandatory if the
|
TargetDevicePlatform |
Optional |
Enumerated |
Device OS:
|
Platform name of the target device. |
Felder für UserActivity-Ereignissen
Field | Class | Type | Possible values/Format | Description |
EventSubType |
Mandatory |
Enumerated |
|
Describes a subdivision of the operation Each schema (based on the * These properties will not be filled in case of a normal |
EventResultDetails |
Recommended |
String |
|
We use the |
Felder für AdminActivity-Ereignissen
Field | Class | Type | Possible values/Format | Description |
EventSubType |
Mandatory |
Enumerated |
|
Describes a subdivision of the operation Each schema (based on the |
EventResultDetails |
Recommended |
String |
|
We use the |
Felder für DomainUserManagement-Ereignisse
Field | Class | Type | Possible values/Format | Description |
EventSubType |
Mandatory |
Enumerated |
|
Describes a subdivision of the operation Each schema (based on the |
EventResultDetails |
Mandatory |
Enumerated |
|
Additional information about the result of the |
TargetUserId |
Optional |
String |
|
Unique identifier of the target user. Only optional is if the example: |
---|---|---|---|---|
TargetUserEmail |
Optional |
String |
|
Email of the target user. Only optional is if the example: |
TargetUserFirstName |
Optional |
String |
|
First name of the target user. example: |
TargetUserLastName |
Optional |
String |
|
Last name of the target user. example: |
TargetUserRole |
Mandatory |
Enumerated |
|
Set of permissions for actions available for the target user. |
eTargetUserNewRole |
Optional |
Enumerated |
|
The name of the target user’s new role in the domain. Mandatory if the |
TargetUserPolicyId |
Optional |
String |
|
Unique identifier of the target user’s current policy. Mandatory if the |
TargetUserPolicy |
Optional |
String |
{name of old policy} |
The name of the user’s current policy. e.g. Mandatory if the |
TargetUserNewPolicyId |
Optional |
String |
|
Unique identifier of the target user’s new policy. Mandatory if the |
TargetUserNewPolicy |
Optional |
String |
{name of new policy} |
The name of the user’s new policy. e.g. Mandatory if the |
TargetDeviceName |
Optional |
String |
|
Name of the device being revoked. Mandatory if the |
TargetDeviceId |
Optional |
String |
|
Unique identifier of the device being revoked. Mandatory if the |
TargetDeviceType |
Optional |
Enumerated |
|
Type of the device being revoked. Mandatory if the
|
TargetDevicePlatform |
Optional |
Enumerated |
Device OS:
|
|
Felder mit ausgefüllten AdditionalFields
EventType | EventSubType | Condition | AdditionalFields |
Authentication |
Login |
|
|
Authentication |
Login |
|
|
UserActivity |
TwoFactorOptionConfig |
Phone number setup/verify/removal cases |
|
UserActivity |
TwoFactorOptionConfig |
TOTP setup/verify cases |
|
UserActivity |
TwoFactorOptionConfig |
2FA option status enable/disable |
|
UserActivity & DomainUserManagement |
|
2FA option status enable/disable |
|
---|---|---|---|
AdminActivity |
|
Always |
|
AdminActivity |
|
Always |
|
AdminActivity |
|
Always |
|
AdminActivity |
|
Create a new policy template |
|
AdminActivity |
|
Clone an existing policy template |
|
AdminActivity |
|
|
|
AdminActivity |
|
Always |
|
AdminActivity |
|
Always |
|
AdminActivity |
|
Always |
|
AdminActivity |
|
Always, unless called from |
|
AdminActivity |
|
Always |
|
DomainUserManagement |
|
Always |
|