注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
所有Palantir平台的审计日志首先写入磁盘,然后在写入后24小时内存档到特定堆栈的存储桶中(AWS S3、Azure Blob Storage或本地存储)。访问这些存储桶的权限受到严格限制。Palantir客户可以选择启用审计基础设施,以便从存档中导出审计日志到每个组织的数据集,以便在Foundry或下游SIEM中进行分析。有关设置审计导出数据集和结果数据集模式的说明,请参阅audit delivery。审计日志在其生命周期中被设计为仅可追加,以确保其分析的完整性。
在接收Foundry的审计日志后,客户通常有三个优先事项,这些优先事项代表了大多数审计日志分析工作:
在安全上下文中审查审计日志可能涉及搜索未经授权的登录活动或敏感数据的删除。
Foundry是一个强大的工具,并为用户提供了巨大的可见性。如果客户处理敏感或受监管的数据,他们通常会发现审查审计日志以维护对用户行为的监督是明智的。
某些组织可能希望了解其用户如何操作Foundry平台(用户数量、某些操作的频率等)。Foundry审计日志可以提供对给定平台所需的可见性。
审计日志通常分为audit categories,这是将事件类型分类为反映某种活动类别的一种方法(例如,数据创建、用户登录等),审计类别在核心Foundry服务之间共享(例如Multipass、Compass和Blobster)。任何可审计事件都应该可以通过审计类别的联合来描述。
基于类别的操作将帮助分析人员辨别哪些事件和事件类型与他们的搜索相关。以下示例包括Foundry审计日志中一些更常搜索的类别:
| 类别 | 描述 | 参数 | 示例 |
|---|---|---|---|
| authenticationCheck | 通过程序性或手动认证事件检查认证状态,例如词元验证。 | 用户ID、用户名、会话ID(如果已知)、领域(palantir、客户网络、服务用户等) | Multipass的词元有效性终端 |
| dataCreate | 表示在平台中添加了一些新的数据条目。 | spaceRid, organizationMarkingIds, organizationMarkingIds等 | Foundry目录的创建数据集终端 |
| dataDelete | 从系统中清除数据的任何操作。 | 已删除资源ID | Compass删除终端 |
| dataExport | 将数据从系统中转出的任何操作。 | 资源ID,大小 | Blobster的导出终端 |
| dataImport | 将外部数据上传到系统的任何操作。 | 文件名,文件类型,资源ID,包含文件夹ID,大小 | Blobster的上传终端 |
| tokenGeneration | 尝试在系统中生成新的JSON Web 词元(JWT)。 | 词元ID,词元生存时间,词元类型 | Multipass的各种词元创建终端 |
| userLogin | 登录尝试。 | 用户ID、用户名、会话ID、领域 | Multipass的登录终端 |
| userLogout | 注销尝试。 | 用户ID、用户名、会话ID、领域 | Multipass的注销终端 |
有关可用类别的完整列表,请参阅audit log categories。
作为Foundry的共享安全模型的一部分,Palantir的信息安全工程师也会接收每个托管客户的Foundry平台的审计日志。这些日志主要是基础设施级别的事件,并且不包含客户数据。
Palantir的计算机事件响应团队(CIRT)维护内部的告警和检测策略 ↗,针对我们托管客户平台上的活动。在Palantir的CIRT识别到反映客户平台上可疑活动的警报时,客户将被联系以调和该活动。
我们鼓励客户根据其对已知良好活动基线的理解,编写自己的审计日志安全警报,以便自我识别任何异常行为。