Auditní záznamy¶
Auditní stopa MazeVault a integrace se SIEM
Verze dokumentu: 1.2.0
Poslední aktualizace: 2026-04-19
1. Přehled¶
MazeVault udržuje komplexní auditní stopu všech operací prováděných na platformě. Auditní záznamy jsou navrženy pro důkazy o souladu s předpisy, forenzní analýzu a bezpečnostní monitorování.
2. Auditované události¶
Události autentizace¶
| Událost | Popis | Závažnost |
|---|---|---|
auth.login.success |
Úspěšná autentizace uživatele | Info |
auth.login.failure |
Neúspěšný pokus o autentizaci | Varování |
auth.logout |
Odhlášení uživatele | Info |
auth.mfa.enabled |
MFA aktivováno pro účet | Info |
auth.mfa.disabled |
MFA deaktivováno pro účet | Varování |
auth.session.expired |
Vypršení časového limitu relace | Info |
auth.token.revoked |
JWT token ručně odvolán | Varování |
Operace s tajnými hodnotami (Secrets)¶
| Událost | Popis | Závažnost |
|---|---|---|
secret.created |
Vytvořena nová tajná hodnota | Info |
secret.read |
Přístup k hodnotě tajné hodnoty | Info |
secret.updated |
Hodnota nebo metadata tajné hodnoty upravena | Info |
secret.deleted |
Tajná hodnota trvale odstraněna | Varování |
secret.rotated |
Hodnota tajné hodnoty rotována | Info |
secret.shared |
Tajná hodnota sdílena s uživatelem/týmem | Info |
secret.version.rollback |
Tajná hodnota vrácena na předchozí verzi | Varování |
Operace s certifikáty¶
| Událost | Popis | Závažnost |
|---|---|---|
cert.requested |
Odeslán požadavek na podpis certifikátu (CSR) | Info |
cert.issued |
Certifikát vydán | Info |
cert.revoked |
Certifikát odvolán | Varování |
cert.renewed |
Certifikát obnoven | Info |
cert.imported |
Certifikát importován | Info |
cert.exported |
Certifikát exportován (s privátním klíčem) | Varování |
cert.deleted |
Certifikát trvale odstraněn | Varování |
Události řízení přístupu¶
| Událost | Popis | Závažnost |
|---|---|---|
rbac.role.created |
Vytvořena nová role | Info |
rbac.role.modified |
Změněna oprávnění role | Varování |
rbac.role.deleted |
Role odstraněna | Varování |
rbac.user.assigned |
Uživatel přiřazen k roli | Info |
rbac.user.removed |
Uživatel odebrán z role | Varování |
rbac.permission.denied |
Přístup zamítnut z důvodu nedostatečných oprávnění | Varování |
Systémové události¶
| Událost | Popis | Závažnost |
|---|---|---|
system.config.changed |
Změněna konfigurace systému | Varování |
system.backup.created |
Zálohovací operace dokončena | Info |
system.backup.restored |
Systém obnoven ze zálohy | Kritická |
system.key.rotated |
Šifrovací klíč rotován | Varování |
system.license.enrolled |
Licence zaregistrována | Info |
system.license.expired |
Licence vypršela | Kritická |
Operace KeyTab¶
Od verze v1.0.38
| Událost | Popis | Závažnost |
|---|---|---|
keytab.imported |
KeyTab soubor importován | Info |
keytab.updated |
Metadata nebo binární data keytab aktualizovány | Info |
keytab.deleted |
KeyTab trvale smazán | Varování |
keytab.downloaded |
Binární keytab stažen (dešifrovaný) | Varování |
keytab.discovered |
Agent nahlásil discovery keytab | Info |
keytab.compliance.checked |
Soulad šifer vyhodnocen | Info |
keytab.policy.updated |
Šifrovací politika organizace změněna | Varování |
Operace reportů¶
Od verze v1.0.38
| Událost | Popis | Závažnost |
|---|---|---|
report.triggered |
Týdenní report ručně spuštěn | Info |
report.settings.updated |
Příjemci nebo nastavení reportu změněny | Info |
report.delivered |
Report odeslán na notifikační kanál | Info |
report.delivery.failed |
Doručení reportu na kanál selhalo | Varování |
3. Formát záznamů¶
Všechny auditní záznamy jsou strukturovány jako JSON pro automatizované zpracování:
{
"timestamp": "2026-02-10T14:30:00.000Z",
"level": "INFO",
"event": "secret.read",
"actor": {
"user_id": "usr_abc123",
"username": "john.doe",
"ip_address": "10.0.1.50",
"user_agent": "Mozilla/5.0..."
},
"resource": {
"type": "secret",
"id": "sec_xyz789",
"project": "production-keys"
},
"context": {
"organization_id": "org_def456",
"request_id": "req_ghi012",
"session_id": "ses_jkl345"
},
"result": "success"
}
Pole záznamů¶
| Pole | Popis | Vždy přítomno |
|---|---|---|
timestamp |
Časové razítko ve formátu ISO 8601 UTC | ✅ |
level |
Závažnost záznamu (INFO, WARNING, CRITICAL) | ✅ |
event |
Identifikátor typu události | ✅ |
actor.user_id |
Jedinečný identifikátor uživatele | ✅ |
actor.username |
Čitelné uživatelské jméno | ✅ |
actor.ip_address |
IP adresa klienta | ✅ |
resource.type |
Typ prostředku (secret, certificate, role atd.) | ✅ |
resource.id |
Jedinečný identifikátor prostředku | ✅ |
resource.project |
Kontext projektu | Pokud je relevantní |
context.request_id |
Jedinečné korelační ID požadavku | ✅ |
result |
Výsledek operace (success, failure, denied) | ✅ |
4. Uchovávání záznamů¶
| Prostředí | Výchozí doba uchovávání | Konfigurovatelné |
|---|---|---|
| Produkce | 365 dní | ✅ |
| Staging | 90 dní | ✅ |
| Vývoj | 30 dní | ✅ |
Regulatorní požadavky
Nakonfigurujte dobu uchovávání záznamů v souladu s regulatorními požadavky vaší organizace. Některé standardy (PCI DSS, SOC 2) vyžadují minimálně 1 rok uchovávání.
5. Integrace se SIEM¶
Auditní záznamy MazeVault lze přeposílat do externích systémů pro správu bezpečnostních informací a událostí (SIEM).
Podporované metody exportu¶
| Metoda | Popis | Konfigurace |
|---|---|---|
| Soubory JSON logů | Strukturované JSON soubory logů na disku | Výchozí, vždy dostupné |
| Syslog (RFC 5424) | Přeposílání do kolektorů kompatibilních se syslog | Konfigurovatelný cíl |
| Metriky Prometheus | Bezpečnostně relevantní metriky na /metrics |
Vestavěné |
| Webhook | HTTP POST na externí endpoint | Konfigurovatelná URL + autentizace |
Příklady integrace¶
Splunk: Nakonfigurujte Splunk Universal Forwarder pro monitorování adresáře logů MazeVault nebo použijte HTTP Event Collector (HEC) s integrací webhook.
Azure Sentinel: Přeposílejte JSON logy do pracovního prostoru Azure Log Analytics pomocí Filebeat nebo Fluentd.
Elastic SIEM: Ingestujte JSON logy pomocí Filebeat s modulem JSON input.
6. Reporty pro dodržování předpisů¶
MazeVault poskytuje několik reportovacích funkcí pro důkazy o souladu s předpisy a provozní přehled.
Vyhledávání v auditních záznamech¶
Použijte vyhledávání v auditních záznamech (POST /audit-logs/search) pro dotazování událostí s pokročilými filtry:
| Filtr | Popis |
|---|---|
| Časový rozsah | Filtrování událostí podle počátečního a koncového data |
| Uživatelé | Filtrování podle jednoho nebo více ID uživatelů |
| Akce | Filtrování podle typů akcí událostí |
| Typy entit | Filtrování podle typu prostředku (secret, certificate, role atd.) |
| Závažnost | Filtrování podle úrovně závažnosti (info, warning, error, critical) |
| Skóre rizika | Filtrování podle minimálního/maximálního skóre rizika |
| IP adresa | Filtrování podle zdrojové IP adresy |
| Fulltextové vyhledávání | Vyhledávání napříč daty událostí |
Výsledky zahrnují agregace podle akce a úrovně závažnosti.
Případy použití pro compliance
Použijte vyhledávání v auditních záznamech pro generování důkazů pro běžné compliance scénáře: filtrujte podle auth.login.failure pro neúspěšné pokusy o přístup, podle typu entity secret pro historii přístupu k tajným hodnotám, podle akcí rbac.* pro změny oprávnění nebo podle typu entity certificate pro události životního cyklu certifikátů.
Reporty compliance rámců¶
MazeVault generuje strukturované compliance reporty v souladu s hlavními regulatorními rámci:
| Rámec | Endpoint | Popis |
|---|---|---|
| PCI-DSS | GET /compliance/pci-dss |
Payment Card Industry Data Security Standard |
| SOC 2 | GET /compliance/soc2 |
Service Organization Control 2 |
| GDPR | GET /compliance/gdpr |
Obecné nařízení o ochraně osobních údajů |
| ISO 27001 | GET /compliance/iso27001 |
Řízení bezpečnosti informací |
Každý report obsahuje:
- Celkové skóre shody (0–100) a stav (compliant / partial / non_compliant)
- Kontroly s důkazy a nálezy pro každou kontrolu
- Statistiky certifikátů — aktivní, expirované, expirující do 30/90 dnů, s povolenou rotací
- Statistiky rotace — úspěšnost, neúspěšné/vrácené rotace
- Statistiky hesel — nakonfigurované politiky, tajné hodnoty s rotací
- Doporučení pro zlepšení stavu shody
Týdenní reporty o expiraci¶
MazeVault může generovat a doručovat týdenní reporty se seznamem certifikátů a tajných hodnot blížících se k expiraci:
- Náhled dat reportu přes
GET /reports/preview - Ruční spuštění doručení přes
POST /reports/trigger - Konfigurace příjemců přes
GET/PUT /reports/settings - Kanály doručení: Email (HTML), Slack, Microsoft Teams, Webhook
Reporty certifikátů¶
Dotazování inventáře certifikátů s filtrováním podle projektu, stavu a zdraví expirace:
| Endpoint | Popis |
|---|---|
GET /reports/certificates |
Přehled certifikátů se stavem zdraví, detaily expirace, algoritmem klíče, nastavením automatického obnovení |
POST /reports/certificates/refresh |
Obnovení podkladového datového pohledu |
Související¶
- Přehled bezpečnosti — Bezpečnostní architektura
- Matice shody — Soulad s regulatorními rámci
- Monitorování — Provozní monitorování a upozornění