Aller au contenu principal

API SIEM - Types d’événements et définitions

Bryan Byrne
  • Mise à jour

L’API SIEM vous permet d’interroger les événements liés à la sécurité associés à vos utilisateurs et à votre organisation dans Workvivo. Cela vous aide à surveiller l’activité de connexion, les actions des utilisateurs et les changements clés du système pour des raisons de sécurité et d’audit.

Appareil(s) : Ordinateur de bureau
Rôles / Autorisations : Développeur
Disponibilité : Les API doivent être activées sur la plateforme

Utilisation de l’API SIEM

Où accéder à cette fonctionnalité

L’API SIEM est accessible via les points de terminaison de Workvivo. Vous pouvez trouver la documentation complète et les détails d’accès ici : 

Documentation développeur API SIEM Workvivo

Comment utiliser

Vous pouvez interroger l’API pour récupérer les événements liés à la sécurité. Chaque événement contient des métadonnées détaillées pour vous aider à comprendre quelle action a eu lieu, quand elle a eu lieu et quel utilisateur a été impliqué.

Chaque événement comprend les champs suivants :

  • created_at_timestamp – La date et l’heure de l’événement
  • événement – Le type d’événement enregistré
  • ip_address – L’adresse IP associée à l’événement
  • user_agent – L’appareil/navigateur utilisé
  • workvivo_id – L’identifiant utilisateur Workvivo
  • user_email – L’adresse e-mail de l’utilisateur concerné
  • note – Contexte supplémentaire (le cas échéant)

Types d’événements

Vous trouverez ci-dessous une liste des événements SIEM pris en charge. La disponibilité peut varier selon la configuration de votre organisation.

Événements d’authentification

  • Connexion
    Indique un utilisateur connecté via une authentification basée sur un mot de passe.
  • loginMobile
    Indique un utilisateur connecté via une authentification basée sur un mot de passe sur un appareil mobile.
  • connexionSaml
    Indique un utilisateur connecté via une authentification SAML (SSO).
  • loginSamlFailed
    Indique une tentative de connexion SAML ratée. Le champ note inclut l’adresse e-mail de l’utilisateur concerné.
  • loginSamlMobile
    Indique un utilisateur connecté via une authentification SAML sur un appareil mobile.
  • Déconnexion
    Indique qu’un utilisateur s’est déconnecté d’un navigateur web.
  • logoutMobile
    Indique qu’un utilisateur s’est déconnecté d’un appareil mobile.

Événements MFA (Authentification Multi-Facteur)

  • Réinitialisation MFA
    Indique qu’un administrateur a réinitialisé le jeton MFA d’un utilisateur. Le user_email reflète l’administration effectuant l’action.
  • Configuré avec succès par l’utilisateur MFA
    Indique qu’un utilisateur a réussi à configurer la MFA.

Événements de mot de passe

  • utilisateur modifié mot de passe
    Cela indique qu’un utilisateur a changé son mot de passe (authentification basée uniquement sur mot de passe).
  • mot de passe
    Indique qu’un administrateur a mis à jour le mot de passe d’un utilisateur. Le champ note identifie l’utilisateur concerné.
  • Demande de réinitialisation du mot de passe réussie
    Indique une demande de réinitialisation de mot de passe réussie.
  • Échec de la demande de réinitialisation du mot de passe
    Indique une tentative de réinitialisation de mot de passe ratée, généralement due à une adresse e-mail non reconnue.

Événements de commutation utilisateur

  • Utilisateur de commutation
    Indique qu’un utilisateur est passé à un autre compte (délégation). Le champ real_user représente l’utilisateur original.
  • Utilisateur de la commutation réverti
    Indique que l’utilisateur est revenu à son compte d’origine.

Événements système et configuration

  • Organisation
    Indique qu’un réglage système a été modifié (par exemple, fuseau horaire, image de marque). Le user_email identifie qui a opéré ce changement.
  • App\OrganisationSettings
    Indique les mises à jour des paramètres d’application au niveau de l’organisation.
  • Autorisations
    Indique un changement de rôle ou d’autorisations utilisateur.

Événements de couverture

  • Demande d’utilisateur signaler activeUsers
    Indique qu’un rapport pour les utilisateurs actifs a été généré.
  • Demande d’utilisateur signaler inactifsUtilisateurs
    Cela indique qu’un rapport pour les utilisateurs inactifs a été généré.

Événements de contenu

  • Classification des données
    Indique qu’un utilisateur a appliqué une étiquette de classification des données à un contenu tel qu’une mise à jour, un salut, un article, une page ou un événement.

Informations complémentaires

  • Certains événements peuvent ne pas apparaître selon votre configuration d’authentification (par exemple, Connexion SAML vs connexion basée sur mot de passe).
  • Les événements liés à la MFA ne s’appliquent que si la MFA est activée dans Workvivo (pas via votre fournisseur d’identité externe).

Articles associés