모든 Palantir 플랫폼의 감사 로그는 먼저 디스크에 기록된 후 기록된 지 24시간 이내에 스택별 스토리지 버킷(AWS S3, Azure Blob Storage 또는 온프레미스 스토리지)에 보관됩니다. 이러한 버킷에 대한 접근은 엄격히 제한됩니다. Palantir 고객은 감사 인프라를 활성화하여 아카이브에서 조직별 데이터셋으로 감사 로그를 내보내 Foundry 또는 다운스트림 SIEM에서 분석할 수 있는 옵션이 있습니다. 감사 내보내기 데이터셋 설정 및 결과 데이터셋 스키마에 대한 지침은 audit delivery를 확인 해주세요. 감사 로그는 분석의 무결성을 보장하기 위해 라이프사이클 동안 추가만 가능하도록 설계되었습니다.
Foundry의 감사 로그를 수집한 후 고객은 일반적으로 감사 로그 분석 작업의 대부분을 차지하는 세 가지 우선순위를 가지고 있습니다:
보안의 맥락에서 감사 로그를 검토하는 것은 승인되지 않은 로그인 활동이나 민감한 데이터의 삭제를 검색하는 것을 포함할 수 있습니다.
Foundry는 강력한 도구로 사용자에게 엄청난 가시성을 제공합니다. 고객이 민감하거나 규제된 데이터를 다루는 경우, 사용자 행동에 대한 감독을 유지하기 위해 감사 로그를 검토하는 것이 현명하다고 종종 판단합니다.
일부 조직은 Foundry 플랫폼을 사용하는 방법(사용자 수, 특정 액션 빈도 등)에 대한 가시성을 얻고자 할 수 있습니다. Foundry 감사 로그는 주어진 플랫폼에 대한 원하는 가시성을 제공할 수 있습니다.
감사 로그는 일반적으로 감사 카테고리로 나뉘며, 이는 특정 활동군을 반영하는 이벤트 유형을 분류하는 수단입니다(예: 데이터 생성, 사용자 로그인 등). 감사 카테고리는 Multipass, Compass, Blobster와 같은 Foundry의 핵심 서비스 간에 공유됩니다. 감사 가능한 이벤트는 감사 카테고리의 결합을 통해 설명될 수 있어야 합니다.
카테고리를 기준으로 작업하면 분석가가 검색과 관련된 이벤트 및 이벤트 유형을 식별하는 데 도움이 됩니다. 다음 예제는 Foundry의 감사 로깅에서 자주 검색되는 카테고리 중 일부를 포함합니다:
| Category | 설명 | 파라미터 | 예제 |
|---|---|---|---|
| authenticationCheck | 프로그램적 또는 수동 인증 이벤트를 통해 인증 상태를 확인합니다, 예: 토큰 유효성 검사. | 사용자 ID, 사용자 이름, 세션 ID(알려진 경우), 영역(palantir, 고객 네트워크, 서비스 사용자 등) | Multipass의 토큰 유효성 엔드포인트 |
| dataCreate | 플랫폼에 새로운 데이터 항목을 추가하는 것을 나타냅니다. | spaceRid, organizationMarkingIds 등 | Foundry 카탈로그의 데이터셋 생성 엔드포인트 |
| dataDelete | 시스템에서 데이터를 제거하기 위한 액션. | 삭제된 리소스 ID | Compass 삭제 엔드포인트 |
| dataExport | 시스템에서 데이터를 전송하기 위한 액션. | 리소스 ID, 크기 | Blobster의 내보내기 엔드포인트 |
| dataImport | 시스템에 외부 데이터를 업로드하기 위한 액션. | 파일 이름, 파일 유형, 리소스 ID, 포함된 폴더 ID, 크기 | Blobster의 업로드 엔드포인트 |
| tokenGeneration | 시스템에서 새로운 JSON Web Token (JWT)을 생성하려는 시도. | 토큰 ID, 토큰 수명, 토큰 유형 | Multipass의 다양한 토큰 생성 엔드포인트 |
| userLogin | 로그인 시도. | 사용자 ID, 사용자 이름, 세션 ID, 영역 | Multipass의 로그인 엔드포인트 |
| userLogout | 로그아웃 시도. | 사용자 ID, 사용자 이름, 세션 ID, 영역 | Multipass의 로그아웃 엔드포인트 |
사용 가능한 카테고리의 전체 목록은 감사 로그 카테고리를 확인 해주세요.
Foundry의 공유 보안 모델의 일환으로, Palantir의 정보 보안 엔지니어는 호스팅된 고객의 Foundry 플랫폼에 대한 감사 로그도 수집합니다. 이러한 로그는 주로 인프라 수준의 이벤트이며, 고객 데이터를 포함하지 않습니다.
Palantir의 컴퓨터 사고 대응 팀(CIRT)은 호스팅된 고객 플랫폼의 활동을 목표로 하는 내부 알림 및 탐지 전략 ↗을 유지합니다. Palantir의 CIRT가 고객 플랫폼에서 의심스러운 활동을 반영하는 경고를 식별하는 경우, 고객에게 연락하여 활동을 조정합니다.
고객이 알려진 정상 활동 기준에 따라 자체 감사 로그 보안 경고를 작성하여 이상 행동을 스스로 식별할 것을 권장합니다.