注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

セキュリティ監査ログの監視

Palantir サービスの監査ログ記録

全ての Palantir プラットフォームからの監査ログは、まずディスクに書き込まれ、書き込みから 24 時間以内にスタック固有のストレージバケット(AWS S3、Azure Blob Storage、またはオンプレミスストレージ)にアーカイブされます。これらのバケットへのアクセスは厳重に制限されています。Palantir の顧客は、監査ログをアーカイブから Foundry 内または下流の SIEM の組織ごとのデータセットにエクスポートする監査インフラストラクチャを有効にするオプションを持っています。監査エクスポートデータセットの設定と結果のデータセットスキーマについては、監査配信 を参照してください。監査ログは、そのライフサイクル全体で追記のみになるように設計されており、分析のための整合性を確保しています。

監査ログのレビュー

Foundry の監査ログを取り込んだ後、顧客は通常、監査ログ分析の努力の大部分を占める以下の 3 つの優先事項を持っています:

セキュリティ

セキュリティの観点から監査ログをレビューすることは、許可されていないログイン活動の検索、または機密データの削除を含むことがあります。

アカウンタビリティと監視

Foundry は強力なツールであり、ユーザーに大きな可視性を提供します。顧客が機密性のある、または規制されたデータを扱っている場合、ユーザーの行動の監視を維持するために監査ログをレビューすることが賢明であると感じることがよくあります。

メトリクス

特定の組織は、ユーザーが Foundry プラットフォームをどのように操作しているか(ユーザーの数、特定のアクションの頻度など)について可視性を得たいと考える場合があります。Foundry の監査ログは、特定のプラットフォームに対する望ましい可視性を提供することができます。

監査ログイベント

監査ログは一般的に、特定の活動のファミリーを反映するイベントタイプをカテゴライズする手段である監査カテゴリーに分けられ、監査カテゴリーはコアとなる Foundry サービス(Multipass、Compass、Blobster など)間で共有されます。監査可能なイベントは、監査カテゴリーの組み合わせを通じて記述可能であるべきです。

カテゴリーを基に操作することは、分析者がどのイベント&イベントタイプが検索に関連するかを判断するのに役立ちます。以下の例には、Foundry の監査ログでより一般的に検索されるカテゴリーのいくつかが含まれています:

カテゴリー説明パラメーター
authenticationCheckトークン検証などのプログラムまたは手動の認証イベントを経由して認証状態を確認します。ユーザー ID、ユーザー名、セッション ID(既知の場合)、レルム(palantir、顧客ネットワーク、サービスユーザーなど)Multipass のトークン有効性エンドポイント
dataCreate新しいデータエントリーをプラットフォームに追加することを示します。namespaceRid, organizationMarkingIds, organizationMarkingIds, etcFoundry カタログのデータセット作成エンドポイント
dataDeleteシステムからデータを削除するための任意のアクション。削除されたリソース IDCompass の削除エンドポイント
dataExportシステムからデータを転送するための任意のアクション。リソース ID、サイズBlobster のエクスポートエンドポイント
dataImport外部データをシステムにアップロードするための任意のアクション。ファイル名、ファイルタイプ、リソース ID、含有フォルダー ID、サイズBlobster のアップロードエンドポイント
tokenGenerationシステム内で新たな JSON Web Token (JWT) を生成しようとする試み。トークン ID、トークン有効期間、トークンタイプMultipass の各種トークン作成エンドポイント
userLoginログイン試行。ユーザー ID、ユーザー名、セッション ID、レルムMultipass のログインエンドポイント
userLogoutログアウト試行。ユーザー ID、ユーザー名、セッション ID、レルムMultipass のログアウトエンドポイント

利用可能なカテゴリーの完全なリストについては、監査ログカテゴリーを参照してください。

共有セキュリティモデル

Foundry の共有セキュリティモデルの一部として、Palantir の情報セキュリティエンジニアも、ホストされた各顧客の Foundry プラットフォームの監査ログを取り込みます。これらのログは主にインフラレベルのイベントであり、顧客データは含まれていません

Palantir のコンピュータインシデント対応チーム(CIRT)は、ホストされた顧客プラットフォーム上の活動を対象とした内部のアラート&検出戦略を維持しています。Palantir の CIRT が、顧客のプラットフォーム上で不審な活動を反映するアラートを特定した場合、顧客に連絡して活動を調整します。

私たちは、顧客が自身の監査ログセキュリティアラートを、既知の良好な活動基準の理解に従って作成することを奨励しています。これにより、異常なアクションを自身で識別することが可能となります。