注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。
Palantir のすべてのプラットフォームからの監査ログは、まずディスクに書き込まれ、その後、書き込みから24時間以内にスタック固有のストレージバケットにアーカイブされます(AWS S3、Azure Blob Storage、またはオンプレミスストレージ)。これらのバケットへのアクセスは厳重に制限されています。Palantir の顧客は、監査ログをアーカイブから組織ごとのデータセットにエクスポートし、Foundry または下流の SIEM 内で分析するための監査インフラストラクチャを有効にするオプションを持っています。監査エクスポートデータセットの設定と結果のデータセットスキーマについては、監査配信を参照してください。監査ログは、そのライフサイクル全体で追加のみになるように設計されているため、分析のための完全性を保証します。
Foundry の監査ログを取り込んだ後、顧客は通常、監査ログ分析の努力の大部分を代表する3つの優先事項を持っています:
セキュリティの文脈で監査ログを確認するということは、非認可のログイン活動を検索するか、または機密データの削除を行うことを含むかもしれません。
Foundry は強力なツールであり、ユーザーに広範な可視性を提供します。顧客が機密または規制されたデータを扱っている場合、彼らはしばしば、ユーザーの行動の監督を維持するために監査ログを確認することが賢明であると考えます。
特定の組織は、ユーザーが Foundry プラットフォームをどのように操作しているか(ユーザー数、特定のアクションの頻度など)についての可視性を得ることを希望するかもしれません。Foundry の監査ログは、特定のプラットフォームに対する所望の可視性を提供することができます。
監査ログは一般的に、特定の活動ファミリー(例えば、データ作成、ユーザーログインなど)を反映するイベントタイプをカテゴリー化する手段である監査カテゴリーに分けられ、監査カテゴリーは Foundry のコアサービス(Multipass、Compass、Blobster など)間で共有されます。監査可能なイベントは、監査カテゴリーの組み合わせを通じて説明可能であるべきです。
カテゴリーの基準で運用することは、アナリストが自分の検索に関連するイベントとイベントタイプを見極めるのを助けます。以下の例は、Foundry の監査ログでより一般的に検索されるカテゴリーの一部を含みます:
| カテゴリー | 説明 | パラメーター | 例 |
|---|---|---|---|
| authenticationCheck | プログラムによるまたは手動の認証イベント、たとえばトークンの検証を通じて認証ステータスをチェックします。 | ユーザーID、ユーザーネーム、セッションID(既知の場合)、レルム(palantir、顧客ネットワーク、サービスユーザーなど) | Multipass のトークン有効性エンドポイント |
| dataCreate | プラットフォームに新しいデータエントリーの追加を示します。 | spaceRid、organizationMarkingIds、organizationMarkingIdsなど | Foundry カタログのデータセット作成エンドポイント |
| dataDelete | システムからデータをパージするために取られた任意のアクション。 | 削除されたリソースID | Compass の削除エンドポイント |
| dataExport | システムからデータを転送するために取られた任意のアクション。 | リソースID、サイズ | Blobster のエクスポートエンドポイント |
| dataImport | システムに外部データをアップロードするために取られた任意のアクション。 | ファイル名、ファイルタイプ、リソースID、含むフォルダーID、サイズ | Blobster のアップロードエンドポイント |
| tokenGeneration | システム内で新しい JSON Web Token (JWT) を生成する試み。 | トークンID、トークンの有効期間、トークンタイプ | Multipass の各種トークン作成エンドポイント |
| userLogin | ログイン試行。 | ユーザーID、ユーザーネーム、セッションID、レルム | Multipass のログインエンドポイント |
| userLogout | ログアウト試行。 | ユーザーID、ユーザーネーム、セッションID、レルム | Multipass のログアウトエンドポイント |
利用可能なカテゴリーの完全なリストについては、監査ログカテゴリーを参照してください。
Foundry の共有セキュリティモデルの一部として、Palantir の情報セキュリティエンジニアも、各ホストされた顧客の Foundry プラットフォームの監査ログを取り込みます。これらのログは主にインフラストラクチャレベルのイベントであり、顧客データを含みません。
Palantir のコンピュータインシデント対応チーム(CIRT)は、ホストされた顧客プラットフォーム上の活動に対象を絞った内部警告&検出戦略 ↗を維持しています。Palantir の CIRT が顧客のプラットフォーム上で不審な活動を反映する警告を特定した場合、その活動を調整するために顧客に連絡します。
顧客が既知の良好な活動ベースラインの理解に従って自分たちの監査ログセキュリティ警告を作成することを奨励します。これにより、異常なアクションを自己識別することができます。