Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Journaux d'accès vérifiés
Après avoir Accès vérifié par AWS évalué chaque demande d'accès, il enregistre toutes les tentatives d'accès. Cela vous fournit une visibilité centralisée sur l'accès aux applications et vous aide à répondre rapidement aux incidents de sécurité et aux demandes d'audit. Verified Access prend en charge le format de journalisation OCSF (Open Cybersecurity Schema Framework).
Lorsque vous activez la journalisation, vous devez configurer une destination pour les journaux à envoyer. Le principal IAM utilisé pour configurer la destination de journalisation doit disposer de certaines autorisations pour que la journalisation fonctionne correctement. Les autorisations IAM requises pour chaque destination de journalisation sont indiquées dans la [Autorisations de journalisation des accès vérifiées](access-logs-permissions.md) section. Verified Access prend en charge les destinations suivantes pour la publication des journaux d'accès :
+ Groupes de CloudWatch journaux Amazon Logs
+ Compartiments Amazon S3
+ Flux de livraison Amazon Data Firehose
**Topics**
+ [Versions d'enregistrement de Verified Access](logging-versions.md)
+ [Autorisations de journalisation des accès vérifiées](access-logs-permissions.md)
+ [Activer ou désactiver les journaux d'accès vérifiés](access-logs-enable.md)
+ [Activer ou désactiver le contexte de confiance d'accès vérifié](include-trust-context.md)
+ [Exemples de journaux OCSF version 0.1 pour Verified Access](ocsfv01-examples.md)
+ [Exemples de journaux OCSF version 1.0.0-rc.2 pour Verified Access](ocsfv1-examples.md)
# Versions d'enregistrement de Verified Access
Par défaut, le système de journalisation des accès vérifiés utilise la version 0.1 de l'Open Cybersecurity Schema Framework (OCSF). Pour des exemples de journaux utilisant la version 0.1, voir[Exemples de journaux OCSF version 0.1 pour Verified Access](ocsfv01-examples.md).
La dernière version de journalisation est compatible avec la version OCSF 1.0.0-rc.2. Pour plus d'informations sur le schéma, consultez [Schéma OCSF](https://schema.ocsf.io/1.0.0-rc.2/classes/access_activity). Pour des exemples de journaux utilisant la version 1.0.0-rc.2, consultez. [Exemples de journaux OCSF version 1.0.0-rc.2 pour Verified Access](ocsfv1-examples.md)
Notez que vous ne pouvez pas utiliser la version 0.1 d'OCSF si le point de terminaison Verified Access utilise le protocole TCP.
**Pour mettre à niveau la version de journalisation à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access appropriée.
1. Dans l'onglet **Configuration de la journalisation de l'instance Verified Access, choisissez Modifier la configuration** **de journalisation de l'instance Verified Access**.
1. **Sélectionnez **ocsf-1.0.0-rc.2 dans la liste déroulante des versions du journal des mises** à jour.**
1. Choisissez **Modifier la configuration de journalisation de l'instance Verified Access**.
**Pour mettre à niveau la version de journalisation à l'aide du AWS CLI**
Utilisez la commande [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Autorisations de journalisation des accès vérifiées
Le principal IAM utilisé pour configurer la destination de journalisation doit disposer de certaines autorisations pour que la journalisation fonctionne correctement. Les sections suivantes indiquent les autorisations requises pour chaque destination de journalisation.
**Pour la livraison à CloudWatch Logs :**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`sur l'instance Verified Access
+ `logs:CreateLogDelivery`,`logs:DeleteLogDelivery`, `logs:GetLogDelivery``logs:ListLogDeliveries`, et `logs:UpdateLogDelivery` sur toutes les ressources
+ `logs:DescribeLogGroups``logs:DescribeResourcePolicies`, et `logs:PutResourcePolicy` sur le groupe de journaux de destination
**Pour la livraison vers Amazon S3 :**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`sur l'instance Verified Access
+ `logs:CreateLogDelivery`,`logs:DeleteLogDelivery`, `logs:GetLogDelivery``logs:ListLogDeliveries`, et `logs:UpdateLogDelivery` sur toutes les ressources
+ `s3:GetBucketPolicy`et `s3:PutBucketPolicy` sur le compartiment de destination
**Pour la livraison à Firehose :**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration`sur l'instance Verified Access
+ `firehose:TagDeliveryStream`sur toutes les ressources
+ `iam:CreateServiceLinkedRole`sur toutes les ressources
+ `logs:CreateLogDelivery`,`logs:DeleteLogDelivery`, `logs:GetLogDelivery``logs:ListLogDeliveries`, et `logs:UpdateLogDelivery` sur toutes les ressources
# Activer ou désactiver les journaux d'accès vérifiés
Vous pouvez utiliser les procédures décrites dans cette section pour activer ou désactiver la journalisation. Lorsque vous activez la journalisation, vous devez configurer une destination pour les journaux à envoyer. Le principal IAM utilisé pour configurer la destination de journalisation doit disposer de certaines autorisations pour que la journalisation fonctionne correctement. Les autorisations IAM requises pour chaque destination de journalisation sont indiquées dans la [Autorisations de journalisation des accès vérifiées](access-logs-permissions.md) section.
**Topics**
+ [Activer les journaux d'accès](#enable-access-logs)
+ [Désactiver les journaux d'accès](#disable-access-logs)
## Activer les journaux d'accès
**Pour activer les journaux d'accès vérifiés à**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access.
1. Dans l'onglet **Configuration de la journalisation de l'instance Verified Access, choisissez Modifier la configuration** **de journalisation de l'instance Verified Access**.
1. (Facultatif) Pour inclure les données de confiance envoyées par les fournisseurs de confiance dans les journaux, procédez comme suit :
1. **Sélectionnez **ocsf-1.0.0-rc.2 dans la liste déroulante des versions du journal des mises** à jour.**
1. Choisissez **Inclure le contexte de confiance**.
1. Effectuez l’une des actions suivantes :
+ Activez **Deliver to Amazon CloudWatch Logs**. Choisissez le groupe de journaux de destination.
+ Activez **Deliver to Amazon S3**. Entrez le nom, le propriétaire et le préfixe du compartiment de destination.
+ Activez **Deliver to Firehose**. Choisissez le flux de livraison de destination.
1. Choisissez **Modifier la configuration de journalisation de l'instance Verified Access**.
**Pour activer les journaux d'accès vérifiés à l'aide du AWS CLI**
Utilisez la commande [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
## Désactiver les journaux d'accès
Vous pouvez désactiver les journaux d'accès pour votre instance Verified Access à tout moment. Une fois que vous avez désactivé les journaux d'accès, les données de vos journaux restent dans votre destination de journal jusqu'à ce que vous les supprimiez.
**Pour désactiver les journaux d'accès vérifiés à**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access.
1. Dans l'onglet **Configuration de la journalisation de l'instance Verified Access, choisissez Modifier la configuration** **de journalisation de l'instance Verified Access**.
1. Désactivez la livraison du journal.
1. Choisissez **Modifier la configuration de journalisation de l'instance Verified Access**.
**Pour désactiver les journaux d'accès vérifiés à l'aide du AWS CLI**
Utilisez la commande [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Activer ou désactiver le contexte de confiance d'accès vérifié
Le contexte de confiance envoyé par votre fournisseur de confiance peut éventuellement être activé pour être inclus dans vos journaux d'accès vérifié. Cela peut être utile lorsque vous définissez des politiques qui autorisent ou refusent l'accès à vos applications. Une fois que vous l'avez activé, le contexte de confiance se trouve dans le journal situé sous le `data` champ. Si le contexte de confiance est désactivé, le `data` champ est défini sur`null`. Pour configurer Verified Access afin d'inclure le contexte de confiance dans les journaux, procédez comme suit.
**Note**
L'inclusion d'un contexte de confiance dans vos journaux d'accès vérifié nécessite une mise à niveau vers la dernière version de journalisation`ocsf-1.0.0-rc.2`. La procédure suivante suppose que la journalisation est déjà activée. Si ce n'est pas le cas, consultez [Activer les journaux d'accès](access-logs-enable.md#enable-access-logs) la procédure complète.
**Topics**
+ [Activer le contexte de confiance](#enable-trust-context)
+ [Désactiver le contexte de confiance](#disable-trust-context)
## Activer le contexte de confiance
**Pour inclure un contexte de confiance dans les journaux d'accès vérifié à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access appropriée.
1. Dans l'onglet **Configuration de la journalisation de l'instance Verified Access, choisissez Modifier la configuration** **de journalisation de l'instance Verified Access**.
1. **Sélectionnez **ocsf-1.0.0-rc.2 dans la liste déroulante des versions du journal des mises** à jour.**
1. Activez l'option **Inclure le contexte de confiance**.
1. Choisissez **Modifier la configuration de journalisation de l'instance Verified Access**.
**Pour inclure un contexte de confiance dans les journaux d'accès vérifié à l'aide du AWS CLI**
Utilisez la commande [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
## Désactiver le contexte de confiance
Si vous ne souhaitez plus inclure le contexte de confiance dans les journaux, vous pouvez le supprimer en suivant la procédure suivante.
**Pour supprimer le contexte de confiance des journaux d'accès vérifié à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access appropriée.
1. Dans l'onglet **Configuration de la journalisation de l'instance Verified Access, choisissez Modifier la configuration** **de journalisation de l'instance Verified Access**.
1. Désactivez l'option **Inclure le contexte de confiance**.
1. Choisissez **Modifier la configuration de journalisation de l'instance Verified Access**.
**Pour supprimer le contexte de confiance des journaux d'accès vérifié à l'aide du AWS CLI**
Utilisez la commande [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Exemples de journaux OCSF version 0.1 pour Verified Access
Voici des exemples de journaux utilisant la version 0.1 d'OCSF.
**Topics**
+ [Accès accordé avec OIDC](#access-granted-oidc)
+ [Accès accordé avec OIDC et JAMF](#access-granted-oidc-jamf)
+ [Accès accordé par OIDC et CrowdStrike](#access-granted-oidc-crowdstrike)
+ [Accès refusé en raison d'un cookie manquant](#access-denied-cookie)
+ [Accès refusé par la politique](#access-denied-policy)
+ [Entrée de journal inconnue](#unknown-access)
## Accès accordé avec OIDC
Dans cet exemple d'entrée de journal, Verified Access autorise l'accès à un point de terminaison auprès d'un fournisseur de confiance des utilisateurs OIDC.
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Accès accordé avec OIDC et JAMF
Dans cet exemple d'entrée de journal, Verified Access autorise l'accès à un point de terminaison auprès des fournisseurs de confiance des appareils OIDC et JAMF.
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0,
"uid": "41b07859-4222-4f41-f3b9-97dc1EXAMPLE"
},
"duration": "0.347",
"end_time": "1668804944086",
"time": "1668804944086",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 304
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "oidc",
"uid": "vatp-9778003bc2EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "4f040d0f96becEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-321318ce-6100d340adf4fb29dEXAMPLE",
"logged_time": 1668805278555,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-18T20:55:44.086480Z",
"proxy": {
"ip": "10.5.192.96",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-3598f66575EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "192.168.20.246",
"port": 61769
},
"start_time": "1668804943739",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Accès accordé par OIDC et CrowdStrike
Dans cet exemple d'entrée de journal, Verified Access autorise l'accès à un point de terminaison avec des fournisseurs OIDC et CrowdStrike Device Trust.
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.173.3",
"os": {
"name": "Windows 11",
"type": "Windows",
"type_id": 100
},
"type": "Unknown",
"type_id": 0,
"uid": "122978434f65093aee5dfbdc0EXAMPLE",
"hw_info": {
"serial_number": "751432a1-d504-fd5e-010d-5ed11EXAMPLE"
}
},
"duration": "0.028",
"end_time": "1668816620842",
"time": "1668816620842",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "test.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://test.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 304
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "oidc",
"uid": "vatp-506d9753f6EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "23bb45b16a389EXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-c16c5a65-b641e4056cc6cb0eeEXAMPLE",
"logged_time": 1668816977134,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-19T00:10:20.842295Z",
"proxy": {
"ip": "192.168.144.62",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-2f80f37e64EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.14.173.3",
"port": 55706
},
"start_time": "1668816620814",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Accès refusé en raison d'un cookie manquant
Dans cet exemple d'entrée de journal, Verified Access refuse l'accès en raison de l'absence d'un cookie d'authentification.
```
{
"activity": "Access Denied",
"activity_id": "2",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": null,
"duration": "0.0",
"end_time": "1668593568259",
"time": "1668593568259",
"http_request": {
"http_method": "POST",
"url": {
"hostname": "hello.app.example.com",
"path": "/dns-query",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/dns-query"
},
"user_agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML",
"version": "HTTP/2.0"
},
"http_response": {
"code": 302
},
"identity": null,
"message": "",
"metadata": {
"uid": "Root=1-5cf1c832-a565309ce20cc7dafEXAMPLE",
"logged_time": 1668593776720,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T10:12:48.259762Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-108ed7a672EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.7.178.16",
"port": "46246"
},
"start_time": "1668593568258",
"status_code": "200",
"status_details": "Authentication Denied",
"status_id": "2",
"status": "Failure",
"type_uid": "20800102",
"type_name": "AccessLogs: Access Denied",
"unmapped": null
}
```
## Accès refusé par la politique
Dans cet exemple d'entrée de journal, Verified Access refuse une demande authentifiée car celle-ci n'est pas autorisée par les politiques d'accès.
```
{
"activity": "Access Denied",
"activity_id": "2",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.4.133.137",
"type": "Unknown",
"type_id": 0
},
"duration": "0.023",
"end_time": "1668573630978",
"time": "1668573630978",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 401
},
"identity": {
"authorizations": [],
"idp": {
"name": "user",
"uid": "vatp-e048b3e0f8EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "0e1281ad3580aEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-531a036a-09e95794c7b96aefbEXAMPLE",
"logged_time": 1668573773753,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T04:40:30.978732Z",
"proxy": {
"ip": "3.223.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-021d5eaed2EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.4.133.137",
"port": "31746"
},
"start_time": "1668573630955",
"status_code": "300",
"status_details": "Authorization Denied",
"status_id": "2",
"status": "Failure",
"type_uid": "20800102",
"type_name": "AccessLogs: Access Denied",
"unmapped": null
}
```
## Entrée de journal inconnue
Dans cet exemple d'entrée de journal, Verified Access ne peut pas générer une entrée de journal complète. Il émet donc une entrée de journal inconnue. Cela garantit que chaque demande apparaît dans le journal d'accès.
```
{
"activity": "Unknown",
"activity_id": "0",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": null,
"duration": "0.004",
"end_time": "1668580207898",
"time": "1668580207898",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"identity": null,
"message": "",
"metadata": {
"uid": "Root=1-435eb955-6b5a1d529343f5adaEXAMPLE",
"logged_time": 1668580579147,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:30:07.898344Z",
"proxy": {
"ip": "10.1.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-6c32b53b3cEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.28.57.68",
"port": "47220"
},
"start_time": "1668580207893",
"status_code": "000",
"status_details": "Unknown",
"status_id": "0",
"status": "Unknown",
"type_uid": "20800100",
"type_name": "AccessLogs: Unknown",
"unmapped": null
}
```
# Exemples de journaux OCSF version 1.0.0-rc.2 pour Verified Access
Voici des exemples de journaux utilisant la version 1.0.0-rc.2 d'OCSF.
**Topics**
+ [Accès accordé avec contexte de confiance inclus](#ocsfv1-with-trust)
+ [Accès accordé sans contexte de confiance](#ocsfv1-without-trust)
+ [Attribuer des privilèges avec le point de terminaison réseau CIDR](#ocsfv1-with-tcp)
## Accès accordé avec contexte de confiance inclus
```
{
"activity_name": "Access Grant",
"activity_id": "1",
"actor": {
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"invoked_by": "",
"process": {},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
},
"session": {}
},
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Access Activity",
"class_uid": "3006",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_detail": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "300601",
"type_name": "Access Activity: Access Grant",
"data": {
"context": {
"oidc": {
"family_name": "Last",
"zoneinfo": "America/Los_Angeles",
"exp": 1670631145,
"middle_name": "Middle",
"given_name": "First",
"email_verified": true,
"name": "Test User Display",
"updated_at": 1666305953,
"preferred_username": "johndoe-user@test.com",
"profile": "http://www.example.com",
"locale": "US",
"nickname": "Tester",
"email": "johndoe-user@test.com",
"additional_user_context": {
"aud": "xxx",
"exp": 1000000000,
"groups": [
"group-id-1",
"group-id-2"
],
"iat": 1000000000,
"iss": "https://oidc-tp.com/",
"sub": "xyzsubject",
"ver": "1.0"
}
},
"http_request": {
"x_forwarded_for": "1.1.1.1,2.2.2.2",
"http_method": "GET",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"port": "80",
"hostname": "hostname.net"
}
}
}
}
```
## Accès accordé sans contexte de confiance
```
{
"activity_name": "Access Grant",
"activity_id": "1",
"actor": {
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"invoked_by": "",
"process": {},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
},
"session": {}
},
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Access Activity",
"class_uid": "3006",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_detail": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "300601",
"type_name": "Access Activity: Access Grant",
"data": null
}
```
## Attribuer des privilèges avec le point de terminaison réseau CIDR
```
{
"activity_id": "1",
"activity_name": "Assign Privileges",
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Authorization",
"class_uid": "3003",
"data": {
"endpoint_type": "cidr",
"protocol": "tcp",
"access_path": "public",
"idp": {
"name": "my-oidc-instance",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"context": {
"oidc": {
"family_name": "Last",
"zoneinfo": "America/Los_Angeles",
"exp": 1670631145,
"middle_name": "Middle",
"given_name": "First",
"email_verified": true,
"name": "Test User Display",
"updated_at": 1666305953,
"preferred_username": "johndoe-user@test.com",
"profile": "http://www.example.com",
"locale": "US",
"nickname": "Tester",
"email": "johndoe-user@test.com",
"additional_user_context": {
"aud": "xxx",
"exp": 1000000000,
"groups": [
"group-id-1",
"group-id-2"
],
"iat": 1000000000,
"iss": "https://oidc-tp.com/",
"sub": "xyzsubject",
"ver": "1.0"
}
},
"tcp_flow": {
"destination_ip": "10.0.0.1",
"destination_port": 22,
"client_ip": "10.2.7.68"
}
}
},
"device": {
"ip": "10.2.7.68",
"port": 1002,
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"metadata": {
"uid": "",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"severity": "Informational",
"severity_id": "1",
"start_time": "1668580194340",
"status_code": "200",
"status_id": "1",
"status": "Success",
"type_uid": "300301",
"type_name": "Authorization: Assign Privileges",
"count": 1,
"dst_endpoint": {
"ip": "107.22.231.155",
"port": 22
},
"privileges": [
"vae-12345cbce2EXAMPLE"
],
"user": {
"email_addr": "johndoe-user@test.com",
"uid": "johndoe-user",
"uuid": "9bcce02a-fc15-4091-a0b7-874d157c67b8"
}
}
```