Saltar al contenido principal

API SIEM - Tipos de eventos y definiciones

Bryan Byrne
  • Actualización

La API SIEM te permite consultar eventos relacionados con la seguridad asociados a tus usuarios y organización en Workvivo. Esto te ayuda a monitorizar la actividad de inicio de sesión, las acciones del usuario y los cambios clave del sistema para fines de seguridad y auditoría.

Dispositivo(s): Escritorio
Roles / Permisos: Desarrollador
Disponibilidad: Las APIs deben estar habilitadas en la plataforma

Uso de la API SIEM

Dónde acceder a la función

La API SIEM se accede a través de los endpoints de la API de Workvivo. Puedes encontrar la documentación completa y acceder a los detalles aquí: 

Documentación para desarrolladores de APIs SIEM de Workvivo

Cómo usarlo

Puedes consultar la API para recuperar eventos relacionados con la seguridad. Cada evento contiene metadatos detallados para ayudarte a entender qué acción ocurrió, cuándo ocurrió y qué usuario estuvo involucrado.

Cada evento incluye los siguientes campos:

  • created_at_timestamp – La fecha y hora en que ocurrió el suceso
  • evento – El tipo de evento registrado
  • ip_address – La dirección IP asociada al evento
  • user_agent – El dispositivo/navegador utilizado
  • workvivo_id – El ID de usuario de Workvivo
  • user_email – La dirección de correo electrónico del usuario implicado
  • nota – Contexto adicional (cuando corresponde)

Tipos de eventos

A continuación se muestra una lista de eventos SIEM soportados. La disponibilidad puede variar según la configuración de tu organización.

Eventos de autenticación

  • Iniciar sesión
    Indica que un usuario inició sesión mediante autenticación basada en contraseña.
  • loginMobile
    Indica un usuario iniciado sesión mediante autenticación basada en contraseña en un dispositivo móvil.
  • inicio de sesiónSaml
    Indica que el usuario ha iniciado sesión mediante autenticación SAML (SSO).
  • loginSamlFailed
    Indica un intento fallido de inicio de sesión SAML. El campo de nota incluye el correo electrónico del usuario afectado.
  • inicio de sesiónSamlMobile
    Indica un usuario iniciado sesión mediante autenticación SAML en un dispositivo móvil.
  • cierre de sesión
    Indica que un usuario ha cerrado sesión desde un navegador web.
  • logoutMobile
    Indica que un usuario ha cerrado sesión desde un dispositivo móvil.

Eventos MFA (Autenticación Multifactor)

  • Reinicio MFA
    Indica que un administrador ha restablecido el token MFA de un usuario. El user_email refleja que el administrador realiza la acción.
  • Configuración de MFA por el usuario con éxito
    Indica que el usuario completó con éxito la configuración de MFA.

Eventos de contraseña

  • usuario cambiado la contraseña
    Indica que un usuario cambió su contraseña (solo autenticación basada en contraseña).
  • contraseña
    Indica que un administrador actualizó la contraseña de un usuario. El campo nota identifica al usuario afectado.
  • Solicitud de restablecimiento de contraseña exitosa
    Indica una solicitud de restablecimiento de contraseña exitosa.
  • Fallo en la solicitud de restablecimiento de contraseña
    Indica un intento fallido de restablecimiento de contraseña, normalmente debido a una dirección de correo electrónico no reconocida.

Eventos de cambio de usuario

  • Usuario de cambio
    Indica que un usuario ha cambiado a otra cuenta (delegación). El campo real_user representa al usuario original.
  • Usuario de la Switch revertido
    Indica que el usuario ha vuelto a su cuenta original.

Eventos del sistema y de configuración

  • Organización
    Indica que se ha cambiado una configuración del sistema (por ejemplo, zona horaria, marca). El user_email identifica quién hizo el cambio.
  • App\OrganisationSettings
    Indica actualizaciones en la configuración de aplicaciones a nivel de organización.
  • Permisos
    Indica un cambio en los roles o permisos de usuario.

Reportajes de eventos

  • Informe solicitado por el usuario activosUsuarios
    Indica que se generó un informe para usuarios activos.
  • Reportar usuarios solicitados por usuarios inactivos
    Indica que se generó un informe para usuarios inactivos.

Eventos de contenido

  • Clasificación de datos
    Indica que un usuario aplicó una etiqueta de clasificación de datos a contenido como Actualización, Saludo, Artículo, Página o Evento.

Información adicional

  • Algunos eventos pueden no aparecer dependiendo de tu configuración de autenticación (por ejemplo, Inicio de sesión basado en contraseña por SAML vs por contraseña).
  • Los eventos relacionados con MFA solo se aplican si MFA está habilitado dentro de Workvivo (no a través de tu proveedor externo de identidad).

Artículos relacionados