Audit Log Channels
Threat Defender kann Benachrichtigungen über Audit-Log-Ereignisse per E-Mail, Webhook und Desktop-Benachrichtigung versenden. Die Benachrichtigungen enthalten gemeldete Ereignisse aus den Benutzer- und Asset-Logs, den Systemprotokollen sowie den Logs über Threat-Intelligence-Zwischenfälle. Navigieren Sie zu Logging > Audit Log Channels, um Benachrichtigungskanäle einzurichten.
Um einen neuen Audit-Log-Kanal einzurichten, klicken Sie auf die Schaltfläche Add oberhalb der Übersichtstabelle (siehe Einstellungen von Benachrichtigungskanälen).
Threat Defender stellt drei Audit-Log-Kanäle bereit:
Email – Threat Defender sendet Audit-Logdaten an eine festgelegte E-Mail-Adresse. Hierzu muss Threat Defender einen Mailserver kontaktieren können.
Webhook - Threat Defender sendet Audit-Log-Benachrichtigungen über Webhook an Slack-kompatible Anwendungen.
Desktop - Threat Defender schickt Benachrichtigungen als Pop-ups auf den Desktop. Um die Desktop-Benachrichtigungen zu sehen, müssen Sie in der GUI von Threat Defender angemeldet sein.
Sie können verschiedene Ereigniskategorien auswählen, die in die Benachrichtigungen aufgenommen werden sollen, z. B. Ereignisse zu Systemaktionen (z. B. Hochfahren, Herunterfahren), Lizenz- und Update-Ereignisse, Ereignisse zu Assets und Benutzern, TI-Zwischenfälle usw.
Die Tabelle zeigt die im System konfigurierten Audit-Log-Kanäle mit einem automatisch generierten, beschreibenden Namen sowie das Datum und die Anzahl der erfolgreich übertragenen Nachrichten sowie der Fehlermeldungen an. Mit dem Schalter in der ersten Spalte können Sie den Audit-Log-Kanal aktivieren (
) oder deaktivieren (
). Mit den Symbolen in der letzten Spalte können Sie die Details zum jeweiligen Audit-Log-Kanal anzeigen sowie den Kanal bearbeiten oder löschen.
Detailansicht für Audit-Log-Kanäle
Um weitere Einzelheiten für einen Audit-Log-Kanal aufzurufen, klicken Sie 
in der letzten Tabellenspalte oder klicken Sie doppelt auf die Zeile. Die Detailansicht zeigt die vorhandenen Informationen zu dem Kanal in mehreren Tabs.
Mit den Schaltflächen im oberen Bereich des Bildschirms können Sie den Audit-Log-Kanal bearbeiten oder löschen.
Audit Log Channel
Der Tab Audit Log Channel zeigt allgemeine Informationen zum Audit-Log-Kanal an. Je nach ausgewähltem Typ des Audit-Log-Kanals zeigt die Tabelle Configured dessen Konfigurationsdetails an:
Feld |
Beschreibung |
|---|---|
Enabled |
Das Icon in dieser Spalte zeigt an, ob der Audit-Log-Kanal aktiviert ist ( |
Name |
Der automatisch generierte Name des Kanals. |
Note |
Eine optionale Beschreibung des Kanals. |
Type |
Der gewählte Typ des Audit-Log-Kanals. |
From Address |
Nur für Email-Berichte: Die E-Mail-Adresse des Absenders. |
To Address |
Nur für Email-Berichte: Die E-Mail-Adresse des Empfängers. |
Hostname |
Nur für Email-Berichte: Der verwendete Mailserver. |
Port |
Nur für Email-Berichte: Der Port, an den Threat Defender die Benachrichtigungen sendet. |
SMTPS |
Nur für Email-Berichte: Das Icon in dieser Spalte zeigt an, ob die E-Mail über SMTPS ( |
Username |
Nur für Email-Berichte: Der Benutzername, der für die Authentisierung am Mailserver verwendet wird. |
Password |
Nur für Email-Berichte: Das Passwort, das für die Authentisierung am Mailserver verwendet wird. |
Uri |
Nur für Email-Berichte: Der URI, an den Threat Defender die Benachrichtigungen sendet. |
Channel |
Nur für Webhook-Berichte: Der Kanal, an den Threat Defender die Benachrichtigungen sendet. |
Username |
Nur für Webhook-Berichte: Der Benutzername des Absenders der Benachrichtigungen, z.B. |
Icon URL |
Nur für Webhook-Berichte: Eine optionale URL wenn in den Benachrichtigungen ein Icon verwendet wird. |
Created At |
Das Datum, an dem der Kanal in Threat Defender angelegt wurde. |
Updated At |
Das Datum, an dem der Kanal zuletzt in Threat Defender aktualisiert wurde. |
Die Tabelle Statistics zeigt statistische Informationen zu den über den Kanal gesendeten Benachrichtigungen:
Feld |
Beschreibung |
|---|---|
Sent At |
Das Datum, an dem die letzte Audit-Log-Benachrichtigung über den Kanal gesendet wurde. |
Sent |
Die Gesamtzahl der über diesen Kanal gesendeten Benachrichtigungen. |
Failed At |
Das Datum, an dem das Senden einer Audit-Log-Benachrichtigung über den Kanal zuletzt fehlgeschlagen ist. |
Failed |
Die Gesamtzahl der fehlgeschlagenen Benachrichtigungen über diesen Kanal. |
Fail Message |
Die Fehlermeldung gibt an, warum der Fehler aufgetreten ist. |
Klicken Sie unten auf dieser Seite auf TEST CHANNEL, um den Audit-Log-Kanal zu testen, indem Sie sofort eine Benachrichtigung senden.
Matched Events and Unsent Events
Der Tab Matched Events zeigt die Audit-Log-Ereignisse, die über diesen Kanal gesendet wurden. Der Tab Unsent Events zeigt die Audit-Log-Ereignisse, die noch nicht über diesen Kanal gesendet wurden, aber zum nächsten geplanten Benachrichtigungszeitpunkt gesendet werden. Klicken Sie auf das -Icon, um direkt zum entsprechenden Ereignis unter Audit Logs zu gelangen.
Die Tabellen auf den beiden Tabs zeigen die folgenden Informationen:
Feld |
Beschreibung |
|---|---|
Created At |
Das Datum und die Uhrzeit, als das Ereignis in Threat Defender angelegt wurde. |
State |
Der Zustand des protokollierten Ereignisses, d.h. erfolgreich oder fehlgeschlagen. |
Tag |
Das Tag ordnet das Ereignis einem Log zu. |
Action |
Die vom Ereignis protokollierte Aktion. |
Message |
Eine Beschreibung des Ereignisses. |
Username |
Der Login-Name des am Ereignis beteiligten Benutzers. |
User IP Address |
Die IP-Adresse des am Ereignis beteiligten Benutzers. |
Einstellungen von Audit-Log-Kanälen
Wenn Sie einen Audit-Log-Kanal hinzufügen oder bearbeiten, wird der Einstellungsbildschirm mit den folgenden Elementen angezeigt:
Feld |
Beschreibung |
|---|---|
|
Der Schalter zeigt an, ob der Audit-Log-Kanal aktiviert ist oder nicht. |
Note |
Optional: Fügen Sie eine kurze Beschreibung des Kanals hinzu. |
Report Type |
Wählen Sie die Art des Berichts, den Sie senden möchten, indem Sie auf die entsprechende Schaltfläche klicken. |
Hostname |
Nur für Email-Berichte: Geben Sie den Mailserver an, den Sie verwenden möchten. |
Port |
Nur für Email-Berichte: Geben Sie den Port an, an den Threat Defender die Benachrichtigungen sendet. |
|
Nur für Email-Berichte: Stellen Sie den Schalter auf |
Username |
Nur für Email-Berichte: Geben Sie den Benutzernamen ein, der für die Authentisierung am Mailserver verwendet wird. |
Password |
Nur für Email-Berichte: Geben Sie das Passwort ein, das für die Authentisierung am Mailserver verwendet wird. Optional: Wählen Sie Show Password, wenn Sie das Passwort in Klartext anzeigen möchten. |
From Address |
Nur für Email-Berichte: Geben Sie die E-Mail-Adresse des Absenders ein, z.B. |
To Address |
Nur für Email-Berichte: Geben Sie die E-Mail-Adresse des Empfängers ein. |
Webhook URL |
Nur für Webhook-Berichte: Geben Sie die URL ein, an die die Benachrichtigungen gesendet werden sollen. |
Username |
Nur für Webhook-Berichte: Geben Sie den Benutzernamen des Absenders der Benachrichtigungen ein, z.B. |
Channel |
Nur für Webhook-Berichte: Geben Sie den Kanal ein, an den die Benachrichtigungen gesendet werden sollen. |
Icon URL |
Nur für Webhook-Berichte: Optional. Geben Sie die URL ein, wenn Sie ein Icon in den Benachrichtigungen verwenden wollen. |
Filter by These Categories |
Wählen Sie die Ereigniskategorien aus, die Sie in den Bericht aufnehmen möchten. Sie können in dem Eingabefeld tippen, um die Liste auf die Kategorien einzugrenzen, die die Zeichen enthalten, die Sie gerade eingeben. Klicken Sie auf |
Interval |
Wählen Sie die Häufigkeit aus, in der Benachrichtigungen generiert werden sollen, indem Sie auf die entsprechende Schaltfläche klicken. Wenn Sie |
Mit den Schaltflächen im unteren Bereich des Bildschirms können Sie Ihre Änderungen speichern (SAVE) oder verwerfen (CANCEL).