Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Registros de Acceso verificado
Tras Acceso verificado de AWS evaluar cada solicitud de acceso, registra todos los intentos de acceso. Esto le proporciona una visibilidad centralizada del acceso a las aplicaciones y le ayuda a responder rápidamente a los incidentes de seguridad y a las solicitudes de auditoría. Acceso verificado admite el formato de registro Open Cybersecurity Schema Framework (OCSF).
Cuando habilite el registro, debe configurar un destino para el envío de los registros. La entidad principal de IAM que se utiliza para configurar el destino del registro necesita tener ciertos permisos para que el registro funcione correctamente. Los permisos de IAM necesarios para cada destino de registro se pueden consultar en la sección [Permisos de registro de Acceso verificado](access-logs-permissions.md). Acceso verificado admite los siguientes destinos para publicar los registros de acceso:
+ Grupos de CloudWatch registros de Amazon Logs
+ Buckets de Amazon S3
+ Flujos de entrega de Amazon Data Firehose
**Topics**
+ [
# Versiones de registro de Acceso verificado
](logging-versions.md)
+ [
# Permisos de registro de Acceso verificado
](access-logs-permissions.md)
+ [
# Habilitación o deshabilitación de registros de Acceso verificado
](access-logs-enable.md)
+ [
# Habilitación o deshabilitación del contexto de confianza de Acceso verificado
](include-trust-context.md)
+ [
# Ejemplos de registro de la versión 0.1 de OCSF para Acceso verificado
](ocsfv01-examples.md)
+ [
# Ejemplos de registro de la versión 1.0.0-rc.2 de OCSF para Acceso verificado
](ocsfv1-examples.md)
# Versiones de registro de Acceso verificado
De forma predeterminada, el sistema de registro de Acceso verificado utiliza la versión 0.1 de Open Cybersecurity Schema Framework (OCSF). Para ver ejemplos de registros que utilizan la versión 0.1, consulte[Ejemplos de registro de la versión 0.1 de OCSF para Acceso verificado](ocsfv01-examples.md).
La última versión de registro es compatible con la versión 1.0.0-rc.2 de OCSF. Para obtener más información sobre el esquema, consulte [Esquema OCSF](https://schema.ocsf.io/1.0.0-rc.2/classes/access_activity). Para ver ejemplos de registros que utilizan la versión 1.0.0-rc.2, consulte. [Ejemplos de registro de la versión 1.0.0-rc.2 de OCSF para Acceso verificado](ocsfv1-examples.md)
Tenga en cuenta que no puede usar la versión 0.1 de OCSF si el punto final de Verified Access usa el protocolo TCP.
**Actualización de la versión de registro mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Instancias de Acceso verificado**.
1. Seleccione la instancia de Acceso verificado adecuada.
1. En la pestaña **Configuración del registro de instancias de Acceso verificado****, seleccione Modificar la configuración de registro de instancias de Acceso verificado**.
1. Seleccione **ocsf-1.0.0-rc.2** en la lista desplegable **Actualizar versión de registro**.
1. Seleccione **Modificar la configuración de registro de instancias de Acceso verificado**.
**Para actualizar la versión de registro mediante el AWS CLI**
Utilice el comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Permisos de registro de Acceso verificado
La entidad principal de IAM que se utiliza para configurar el destino del registro necesita tener ciertos permisos para que el registro funcione correctamente. Las siguientes secciones muestran los permisos necesarios para cada destino de registro.
**Para la entrega a Logs: CloudWatch**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration` en la instancia de Acceso verificado
+ `logs:CreateLogDelivery`, `logs:DeleteLogDelivery`, `logs:GetLogDelivery`, `logs:ListLogDeliveries` y `logs:UpdateLogDelivery` en todos los recursos
+ `logs:DescribeLogGroups`, `logs:DescribeResourcePolicies` y `logs:PutResourcePolicy` en el grupo de registro de destino
**Para la entrega en Amazon S3:**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration` en la instancia de Acceso verificado
+ `logs:CreateLogDelivery`, `logs:DeleteLogDelivery`, `logs:GetLogDelivery`, `logs:ListLogDeliveries` y `logs:UpdateLogDelivery` en todos los recursos
+ `s3:GetBucketPolicy` y `s3:PutBucketPolicy` en el bucket de destino
**Para la entrega en Firehose:**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration` en la instancia de Acceso verificado
+ `firehose:TagDeliveryStream` en todos los recursos
+ `iam:CreateServiceLinkedRole` en todos los recursos
+ `logs:CreateLogDelivery`, `logs:DeleteLogDelivery`, `logs:GetLogDelivery`, `logs:ListLogDeliveries` y `logs:UpdateLogDelivery` en todos los recursos
# Habilitación o deshabilitación de registros de Acceso verificado
Puede utilizar los procedimientos de esta sección para habilitar o deshabilitar el registro. Cuando habilite el registro, debe configurar un destino para el envío de los registros. La entidad principal de IAM que se utiliza para configurar el destino del registro debe tener ciertos permisos para que el registro funcione correctamente. Los permisos de IAM necesarios para cada destino de registro se pueden consultar en la sección [Permisos de registro de Acceso verificado](access-logs-permissions.md).
**Topics**
+ [
## Habilitación de registros de acceso
](#enable-access-logs)
+ [
## Desactivación de los registros de acceso
](#disable-access-logs)
## Habilitación de registros de acceso
**Para habilitar los registros de acceso verificado**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Instancias de Acceso verificado**.
1. Seleccione la instancia de Acceso verificado.
1. En la pestaña **Configuración del registro de instancias de Acceso verificado****, seleccione Modificar la configuración de registro de instancias de Acceso verificado**.
1. (Opcional) Para incluir en los registros los datos de confianza enviados por los proveedores de confianza, haga lo siguiente:
1. Seleccione **ocsf-1.0.0-rc.2** en la lista desplegable **Actualizar versión de registro**.
1. Seleccione **Incluir contexto de confianza**.
1. Realice una de las siguientes acciones:
+ Activa **Entregar a Amazon CloudWatch Logs**. Seleccione el grupo de registro de destino.
+ Active la opción **Entregar a Amazon S3**. Introduzca el nombre, el propietario y el prefijo del bucket de destino.
+ Active la opción **Entregar a Firehose**. Elija el flujo de entrega de destino.
1. Seleccione **Modificar la configuración de registro de instancias de Acceso verificado**.
**Para activar los registros de acceso verificado, utilice la AWS CLI**
Utilice el comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
## Desactivación de los registros de acceso
Puede deshabilitar los registros de acceso de su instancia de Acceso verificado en cualquier momento. Después de desactivar los registros de acceso, sus datos de registro permanecerán en su destino de registro hasta que los elimine.
****
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Instancias de Acceso verificado**.
1. Seleccione la instancia de Acceso verificado.
1. En la pestaña **Configuración del registro de instancias de Acceso verificado****, seleccione Modificar la configuración de registro de instancias de Acceso verificado**.
1. Desactive la entrega de registros.
1. Seleccione **Modificar la configuración de registro de instancias de Acceso verificado**.
**Para deshabilitar los registros de acceso verificado mediante el AWS CLI**
Utilice el comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Habilitación o deshabilitación del contexto de confianza de Acceso verificado
El contexto de confianza enviado por su proveedor de confianza puede habilitarse opcionalmente para incluirse en sus registros de Acceso verificado. Esto puede resultar útil al definir políticas que permitan o denieguen el acceso a las aplicaciones. Una vez habilitado, el contexto de confianza se encontrará en el registro situado debajo del campo `data`. Si el contexto de confianza está deshabilitado, el campo `data` se establece en `null`. Si quiere configurar Acceso verificado para que incluya el contexto de confianza en los registros, siga el procedimiento que se indica a continuación.
**nota**
Para incluir el contexto de confianza en los registros de Acceso verificado, debe actualizar a la versión de registro más reciente `ocsf-1.0.0-rc.2`. En el siguiente procedimiento se presupone que ya tiene habilitado el registro. De no ser así, consulte [Habilitación de registros de acceso](access-logs-enable.md#enable-access-logs) para conocer el procedimiento completo.
**Topics**
+ [
## Habilitación del contexto de confianza
](#enable-trust-context)
+ [
## Deshabilitación del contexto de confianza
](#disable-trust-context)
## Habilitación del contexto de confianza
**Inclusión del contexto de confianza en los registros de Acceso verificado mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Instancias de Acceso verificado**.
1. Seleccione la instancia de Acceso verificado adecuada.
1. En la pestaña **Configuración del registro de instancias de Acceso verificado****, seleccione Modificar la configuración de registro de instancias de Acceso verificado**.
1. Seleccione **ocsf-1.0.0-rc.2** en la lista desplegable **Actualizar versión de registro**.
1. Active la opción **Incluir contexto de confianza**.
1. Seleccione **Modificar la configuración de registro de instancias de Acceso verificado**.
**Para incluir el contexto de confianza en los registros de acceso verificado mediante el AWS CLI**
Utilice el comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
## Deshabilitación del contexto de confianza
Si ya no desea incluir el contexto de confianza en los registros, puede eliminarlo mediante el procedimiento que se indica a continuación.
**Eliminación del contexto de confianza de los registros de Acceso verificado mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, seleccione **Instancias de Acceso verificado**.
1. Seleccione la instancia de Acceso verificado adecuada.
1. En la pestaña **Configuración del registro de instancias de Acceso verificado****, seleccione Modificar la configuración de registro de instancias de Acceso verificado**.
1. Desactive la opción **Incluir contexto de confianza**.
1. Seleccione **Modificar la configuración de registro de instancias de Acceso verificado**.
**Para eliminar el contexto de confianza de los registros de acceso verificado mediante el AWS CLI**
Utilice el comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Ejemplos de registro de la versión 0.1 de OCSF para Acceso verificado
A continuación, se muestran ejemplos de registros que utilizan la versión 0.1 de OCSF.
**Topics**
+ [
## Acceso concedido con OIDC
](#access-granted-oidc)
+ [
## Acceso concedido con OIDC y JAMF
](#access-granted-oidc-jamf)
+ [
## Acceso concedido con OIDC y CrowdStrike
](#access-granted-oidc-crowdstrike)
+ [
## Acceso denegado debido a la falta de una cookie
](#access-denied-cookie)
+ [
## Acceso denegado por política
](#access-denied-policy)
+ [
## Entrada de registro desconocida
](#unknown-access)
## Acceso concedido con OIDC
En este ejemplo de entrada de registro, Acceso verificado permite el acceso a un punto de conexión con un proveedor de confianza de usuarios de OIDC.
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Acceso concedido con OIDC y JAMF
En este ejemplo de entrada de registro, Acceso verificado permite el acceso a un punto de conexión con los proveedores de confianza de dispositivos OIDC y JAMF.
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0,
"uid": "41b07859-4222-4f41-f3b9-97dc1EXAMPLE"
},
"duration": "0.347",
"end_time": "1668804944086",
"time": "1668804944086",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 304
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "oidc",
"uid": "vatp-9778003bc2EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "4f040d0f96becEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-321318ce-6100d340adf4fb29dEXAMPLE",
"logged_time": 1668805278555,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-18T20:55:44.086480Z",
"proxy": {
"ip": "10.5.192.96",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-3598f66575EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "192.168.20.246",
"port": 61769
},
"start_time": "1668804943739",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Acceso concedido con OIDC y CrowdStrike
En este ejemplo de entrada de registro, el acceso verificado permite el acceso a un punto final tanto con el OIDC como con los proveedores de confianza de dispositivos. CrowdStrike
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.173.3",
"os": {
"name": "Windows 11",
"type": "Windows",
"type_id": 100
},
"type": "Unknown",
"type_id": 0,
"uid": "122978434f65093aee5dfbdc0EXAMPLE",
"hw_info": {
"serial_number": "751432a1-d504-fd5e-010d-5ed11EXAMPLE"
}
},
"duration": "0.028",
"end_time": "1668816620842",
"time": "1668816620842",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "test.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://test.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 304
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "oidc",
"uid": "vatp-506d9753f6EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "23bb45b16a389EXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-c16c5a65-b641e4056cc6cb0eeEXAMPLE",
"logged_time": 1668816977134,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-19T00:10:20.842295Z",
"proxy": {
"ip": "192.168.144.62",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-2f80f37e64EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.14.173.3",
"port": 55706
},
"start_time": "1668816620814",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Acceso denegado debido a la falta de una cookie
En este ejemplo de entrada de registro, Acceso verificado deniega el acceso porque falta una cookie de autenticación.
```
{
"activity": "Access Denied",
"activity_id": "2",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": null,
"duration": "0.0",
"end_time": "1668593568259",
"time": "1668593568259",
"http_request": {
"http_method": "POST",
"url": {
"hostname": "hello.app.example.com",
"path": "/dns-query",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/dns-query"
},
"user_agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML",
"version": "HTTP/2.0"
},
"http_response": {
"code": 302
},
"identity": null,
"message": "",
"metadata": {
"uid": "Root=1-5cf1c832-a565309ce20cc7dafEXAMPLE",
"logged_time": 1668593776720,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T10:12:48.259762Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-108ed7a672EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.7.178.16",
"port": "46246"
},
"start_time": "1668593568258",
"status_code": "200",
"status_details": "Authentication Denied",
"status_id": "2",
"status": "Failure",
"type_uid": "20800102",
"type_name": "AccessLogs: Access Denied",
"unmapped": null
}
```
## Acceso denegado por política
En este ejemplo de entrada de registro, Acceso verificado deniega una solicitud autenticada porque las políticas de acceso no la permiten.
```
{
"activity": "Access Denied",
"activity_id": "2",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.4.133.137",
"type": "Unknown",
"type_id": 0
},
"duration": "0.023",
"end_time": "1668573630978",
"time": "1668573630978",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 401
},
"identity": {
"authorizations": [],
"idp": {
"name": "user",
"uid": "vatp-e048b3e0f8EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "0e1281ad3580aEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-531a036a-09e95794c7b96aefbEXAMPLE",
"logged_time": 1668573773753,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T04:40:30.978732Z",
"proxy": {
"ip": "3.223.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-021d5eaed2EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.4.133.137",
"port": "31746"
},
"start_time": "1668573630955",
"status_code": "300",
"status_details": "Authorization Denied",
"status_id": "2",
"status": "Failure",
"type_uid": "20800102",
"type_name": "AccessLogs: Access Denied",
"unmapped": null
}
```
## Entrada de registro desconocida
En este ejemplo de entrada de registro, Acceso verificado no puede generar una entrada de registro completa, por lo que emite una entrada de registro desconocida. Esto garantiza que todas las solicitudes aparezcan en el registro de acceso.
```
{
"activity": "Unknown",
"activity_id": "0",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": null,
"duration": "0.004",
"end_time": "1668580207898",
"time": "1668580207898",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"identity": null,
"message": "",
"metadata": {
"uid": "Root=1-435eb955-6b5a1d529343f5adaEXAMPLE",
"logged_time": 1668580579147,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:30:07.898344Z",
"proxy": {
"ip": "10.1.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-6c32b53b3cEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.28.57.68",
"port": "47220"
},
"start_time": "1668580207893",
"status_code": "000",
"status_details": "Unknown",
"status_id": "0",
"status": "Unknown",
"type_uid": "20800100",
"type_name": "AccessLogs: Unknown",
"unmapped": null
}
```
# Ejemplos de registro de la versión 1.0.0-rc.2 de OCSF para Acceso verificado
Los siguientes son ejemplos de registros que utilizan la versión 1.0.0-rc.2 de OCSF.
**Topics**
+ [
## Acceso concedido con el contexto de confianza incluido
](#ocsfv1-with-trust)
+ [
## Acceso concedido con el contexto de confianza omitido
](#ocsfv1-without-trust)
+ [
## Asigne privilegios con el punto final CIDR de la red
](#ocsfv1-with-tcp)
## Acceso concedido con el contexto de confianza incluido
```
{
"activity_name": "Access Grant",
"activity_id": "1",
"actor": {
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"invoked_by": "",
"process": {},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
},
"session": {}
},
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Access Activity",
"class_uid": "3006",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_detail": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "300601",
"type_name": "Access Activity: Access Grant",
"data": {
"context": {
"oidc": {
"family_name": "Last",
"zoneinfo": "America/Los_Angeles",
"exp": 1670631145,
"middle_name": "Middle",
"given_name": "First",
"email_verified": true,
"name": "Test User Display",
"updated_at": 1666305953,
"preferred_username": "johndoe-user@test.com",
"profile": "http://www.example.com",
"locale": "US",
"nickname": "Tester",
"email": "johndoe-user@test.com",
"additional_user_context": {
"aud": "xxx",
"exp": 1000000000,
"groups": [
"group-id-1",
"group-id-2"
],
"iat": 1000000000,
"iss": "https://oidc-tp.com/",
"sub": "xyzsubject",
"ver": "1.0"
}
},
"http_request": {
"x_forwarded_for": "1.1.1.1,2.2.2.2",
"http_method": "GET",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"port": "80",
"hostname": "hostname.net"
}
}
}
}
```
## Acceso concedido con el contexto de confianza omitido
```
{
"activity_name": "Access Grant",
"activity_id": "1",
"actor": {
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"invoked_by": "",
"process": {},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
},
"session": {}
},
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Access Activity",
"class_uid": "3006",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_detail": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "300601",
"type_name": "Access Activity: Access Grant",
"data": null
}
```
## Asigne privilegios con el punto final CIDR de la red
```
{
"activity_id": "1",
"activity_name": "Assign Privileges",
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Authorization",
"class_uid": "3003",
"data": {
"endpoint_type": "cidr",
"protocol": "tcp",
"access_path": "public",
"idp": {
"name": "my-oidc-instance",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"context": {
"oidc": {
"family_name": "Last",
"zoneinfo": "America/Los_Angeles",
"exp": 1670631145,
"middle_name": "Middle",
"given_name": "First",
"email_verified": true,
"name": "Test User Display",
"updated_at": 1666305953,
"preferred_username": "johndoe-user@test.com",
"profile": "http://www.example.com",
"locale": "US",
"nickname": "Tester",
"email": "johndoe-user@test.com",
"additional_user_context": {
"aud": "xxx",
"exp": 1000000000,
"groups": [
"group-id-1",
"group-id-2"
],
"iat": 1000000000,
"iss": "https://oidc-tp.com/",
"sub": "xyzsubject",
"ver": "1.0"
}
},
"tcp_flow": {
"destination_ip": "10.0.0.1",
"destination_port": 22,
"client_ip": "10.2.7.68"
}
}
},
"device": {
"ip": "10.2.7.68",
"port": 1002,
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"metadata": {
"uid": "",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"severity": "Informational",
"severity_id": "1",
"start_time": "1668580194340",
"status_code": "200",
"status_id": "1",
"status": "Success",
"type_uid": "300301",
"type_name": "Authorization: Assign Privileges",
"count": 1,
"dst_endpoint": {
"ip": "107.22.231.155",
"port": 22
},
"privileges": [
"vae-12345cbce2EXAMPLE"
],
"user": {
"email_addr": "johndoe-user@test.com",
"uid": "johndoe-user",
"uuid": "9bcce02a-fc15-4091-a0b7-874d157c67b8"
}
}
```