SIEM APIを使えば、Workvivo内のユーザーや組織に関連するセキュリティ関連イベントを照会できます。これにより、ログイン活動、ユーザーの操作、主要なシステム変更をセキュリティや監査目的で監視できます。
デバイス: デスクトップ
役割/許可: 開発者
入手可能性: APIはプラットフォーム上で有効化されている必要があります
SIEM APIの使用
機能へのアクセス先
SIEM APIはWorkvivoのAPIエンドポイントを通じてアクセスされます。完全なドキュメントとアクセスの詳細はこちらでご覧いただけます:
使い方
APIにクエリを借りてセキュリティ関連イベントを取得することができます。各イベントには詳細なメタデータが含まれており、どのアクションがいつ起こったのか、どのユーザーが関与したのかを理解するのに役立ちます。
各イベントには以下のフィールドが含まれています:
- created_at_timestamp – イベントが発生した日時
- イベント – 記録されたイベントの種類
- ip_address – イベントに関連付けられたIPアドレス
- user_agent – 使用されるデバイス/ブラウザ
- workvivo_id – WorkvivoユーザーID
- user_email – 関係するユーザーのメールアドレス
- 注記 – 追加文脈(該当する場合)
イベントの種類
以下はサポートされているSIEMイベントの一覧です。利用可能状況は組織の構成によって異なる場合があります。
認証イベント
-
ログイン
パスワードベースの認証でログインしたユーザーを示します。 -
loginMobile
モバイル端末でパスワード認証でログインしたユーザーを示します。 -
loginSaml
SAML(SSO)認証でログインしたユーザーを示します。 -
ログインSaml失敗
SAMLログイン失敗を示します。ノート欄には影響を受けたユーザーのメールアドレスが含まれています。 -
ログインSamlMobile
モバイルデバイスでSAML認証でログインしたユーザーを示します。 -
ログアウト
ウェブブラウザからログアウトしたユーザーを示しています。 -
logoutMobile
モバイル端末からログアウトしたユーザーを示します。
MFA(多要素認証)イベント
-
MFAリセット
管理者がユーザーのMFAトークンをリセットしたことを示します。user_emailは管理者がその操作を実行していることを反映しています。 -
ユーザー設定MFAを成功裏に完了
ユーザーがMFA設定を正常に完了したことを示します。
パスワードイベント
-
ユーザーがパスワードを変更した
ユーザーがパスワードを変更したことを示します(パスワードベースの認証のみ)。 -
パスワード
管理者がユーザーのパスワードを更新したことを示します。ノートフィールドは影響を受けたユーザーを特定します。 -
パスワードリセットリクエスト成功
パスワードリセットの成功例を示します。 -
パスワードリセットリクエストの失敗
パスワードリセットの失敗を示すもので、通常は認識されていないメールアドレスが原因です。
ユーザー切り替えイベント
-
スイッチユーザー
ユーザーが別のアカウントに切り替えたことを示します(委任)。real_userフィールドは元のユーザーを表します。 -
スイッチユーザーが元に戻った
ユーザーが元のアカウントに戻ったことを示します。
システムおよび構成イベント
-
組織
システム設定が変更されたことを示します(例:タイムゾーン、ブランド)。user_emailは変更を行った人物を特定します。 -
App\OrganisationSettings(アプリ\OrganisationSettings)
組織レベルのアプリケーション設定の更新を示します。 -
許可
ユーザーロールや権限の変更を示します。
報告イベント
-
ユーザー要請 ActiveUsers を報告
アクティブユーザー向けのレポートが作成されたことを示します。 -
ユーザー要請 非アクティブユーザーを報告
非アクティブなユーザー向けのレポートが生成されたことを示しています。
コンテンツイベント
-
データ分類
ユーザーがアップデート、シャウトアウト、記事、ページ、イベントなどのコンテンツにデータ分類ラベルを適用したことを示します。
追加情報
- 認証設定によっては、いくつかのイベントが表示されないこともあります(例:SAMLとパスワードベースのログインの違い)。
- MFA関連のイベントは、Workvivo内でMFAが有効になっている場合にのみ適用されます(外部のアイデンティティプロバイダーを通じては有効ではありません)。