As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Logs de Verified Acesss
Depois de Acesso Verificado pela AWS avaliar cada solicitação de acesso, ela registra todas as tentativas de acesso. Isso fornece visibilidade centralizada do acesso à aplicação e ajuda você a responder rapidamente a incidentes de segurança e solicitações de auditoria. O Acesso Verificado suporta o formato de log do Open Cybersecurity Schema Framework (OCSF).
Ao habilitar o registro em log, você precisa configurar um destino para o envio dos logs. A entidade principal do IAM que está sendo usada para configurar o destino do registro em log precisa ter certas permissões para que os registros em log funcionem corretamente. As permissões do IAM necessárias para cada destino de log podem ser vistas na seção [Permissões de registro em log do Acesso Verificado](access-logs-permissions.md). O Acesso Verificado oferece suporte aos seguintes destinos para publicação de logs de acesso:
+ Grupos CloudWatch de registros do Amazon Logs
+ Buckets do Amazon S3
+ Fluxos de entrega do Amazon Data Firehose
**Topics**
+ [Versões de registro em log do Acesso Verificado](logging-versions.md)
+ [Permissões de registro em log do Acesso Verificado](access-logs-permissions.md)
+ [Habilitar ou desabilitar logs de Acesso Verificado](access-logs-enable.md)
+ [Habilitar ou desabilitar o contexto de confiança do Acesso Verificado](include-trust-context.md)
+ [Exemplos de logs em OCSF versão 0.1 para Acesso Verificado](ocsfv01-examples.md)
+ [Exemplos de logs em OCSF versão 1.0.0-rc.2 para Acesso Verificado](ocsfv1-examples.md)
# Versões de registro em log do Acesso Verificado
Por padrão, o sistema de log de Acesso Verificado usa o Open Cybersecurity Schema Framework (OCSF) versão 0.1. Para exemplos de registros que usam a versão 0.1, consulte[Exemplos de logs em OCSF versão 0.1 para Acesso Verificado](ocsfv01-examples.md).
A versão de log mais recente é compatível com a versão 1.0.0-rc.2 do OCSF. Para obter mais informações sobre o esquema, consulte Esquema [OCSF](https://schema.ocsf.io/1.0.0-rc.2/classes/access_activity). Para exemplos de registros que usam a versão 1.0.0-rc.2, consulte. [Exemplos de logs em OCSF versão 1.0.0-rc.2 para Acesso Verificado](ocsfv1-examples.md)
Observe que você não pode usar o OCSF versão 0.1 se o endpoint de acesso verificado usar o protocolo TCP.
**Para atualizar a versão de log usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado apropriada.
1. Na guia **Configuração de log de instância de Acesso Verificado**, escolha **Modificar configuração de log de instância de Acesso Verificado**.
1. Selecione **ocsf-1.0.0-rc.2** na lista suspensa **Versão do log de atualização.**
1. Escolha **Modificar configuração de log da instância de Acesso Verificado**.
**Para atualizar a versão de registro usando o AWS CLI**
Use o comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Permissões de registro em log do Acesso Verificado
A entidade principal do IAM que está sendo usada para configurar o destino do registro em log precisa ter certas permissões para que os registros em log funcionem corretamente. As seções a seguir mostram as permissões necessárias para cada destino de registro em log.
**Para entrega ao CloudWatch Logs:**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration` na instância de Acesso Verificado
+ `logs:CreateLogDelivery`, `logs:DeleteLogDelivery`, `logs:GetLogDelivery`, `logs:ListLogDeliveries` e `logs:UpdateLogDelivery` em todos os recursos
+ `logs:DescribeLogGroups`, `logs:DescribeResourcePolicies`, e `logs:PutResourcePolicy` no grupo de logs de destino
**Para entrega no Amazon S3:**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration` na instância de Acesso Verificado
+ `logs:CreateLogDelivery`, `logs:DeleteLogDelivery`, `logs:GetLogDelivery`, `logs:ListLogDeliveries` e `logs:UpdateLogDelivery` em todos os recursos
+ `s3:GetBucketPolicy` e `s3:PutBucketPolicy` no bucket de destino
**Para entrega ao Firehose:**
+ `ec2:ModifyVerifiedAccessInstanceLoggingConfiguration` na instância de Acesso Verificado
+ `firehose:TagDeliveryStream` Para todos os recursos
+ `iam:CreateServiceLinkedRole` Para todos os recursos
+ `logs:CreateLogDelivery`, `logs:DeleteLogDelivery`, `logs:GetLogDelivery`, `logs:ListLogDeliveries` e `logs:UpdateLogDelivery` em todos os recursos
# Habilitar ou desabilitar logs de Acesso Verificado
Você pode usar os procedimentos nesta seção para habilitar ou desabilitar o registro em log. Ao habilitar o registro em log, você precisa configurar um destino para o envio dos logs. A entidade principal do IAM que é usada para configurar o destino do registro em log precisa ter certas permissões para que os registros em log funcionem corretamente. As permissões do IAM necessárias para cada destino de log podem ser vistas na seção [Permissões de registro em log do Acesso Verificado](access-logs-permissions.md).
**Topics**
+ [Habilitar logs de acesso](#enable-access-logs)
+ [Desabilitar logs de acesso](#disable-access-logs)
## Habilitar logs de acesso
**Para ativar os registros de acesso verificado**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado.
1. Na guia **Configuração de log de instância de Acesso Verificado**, escolha **Modificar configuração de log de instância de Acesso Verificado**.
1. (Opcional) Para incluir dados de confiança enviados de provedores confiáveis nos logs, faça o seguinte:
1. Selecione **ocsf-1.0.0-rc.2** na lista suspensa **Versão do log de atualização.**
1. Escolha **Incluir contexto de confiança**.
1. Faça um dos seguintes procedimentos:
+ Ative a opção **Entregar para Amazon CloudWatch Logs**. Escolha o grupo de logs de destino.
+ Ative a opção **Entregar para o Amazon S3**. Insira o nome, o proprietário e o prefixo do bucket de destino.
+ Ative a opção **Entregar ao Firehose**. Escolha o fluxo de entrega de destino.
1. Escolha **Modificar configuração de log da instância de Acesso Verificado**.
**Para habilitar os registros de acesso verificado usando o AWS CLI**
Use o comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
## Desabilitar logs de acesso
Você pode desativar os logs de acesso da sua instância de Acesso Verificado a qualquer momento. Depois que os logs de acesso forem desabilitados, seus dados permanecerão no destino até que você os exclua.
**Para desativar os registros de acesso verificado**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado.
1. Na guia **Configuração de log de instância de Acesso Verificado**, escolha **Modificar configuração de log de instância de Acesso Verificado**.
1. Desative a entrega de logs.
1. Escolha **Modificar configuração de log da instância de Acesso Verificado**.
**Para desativar os registros de acesso verificado usando o AWS CLI**
Use o comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Habilitar ou desabilitar o contexto de confiança do Acesso Verificado
O contexto de confiança enviado pelo seu provedor de confiança pode, opcionalmente, ser habilitado para inclusão nos logs do Acesso Verificado. Isso pode ser útil ao definir políticas que permitam ou neguem acesso às aplicações. Depois de habilitado, o contexto de confiança será encontrado no log abaixo do campo `data`. Se o contexto de confiança for desabilitado, o campo `data` será definido como `null`. Para configurar o Acesso Verificado para incluir contexto de confiança nos logs, faça o procedimento a seguir.
**nota**
A inclusão do contexto de confiança em seus logs de Acesso Verificado exige a atualização para a versão `ocsf-1.0.0-rc.2` mais recente do log. O procedimento abaixo pressupõe que você já tem o registro em log habilitado. Se isso não for verdade, consulte [Habilitar logs de acesso](access-logs-enable.md#enable-access-logs) o procedimento completo.
**Topics**
+ [Habilitar contexto de confiança](#enable-trust-context)
+ [Desabilitar contexto de confiança](#disable-trust-context)
## Habilitar contexto de confiança
**Para incluir contexto de confiança nos logs de Acesso Verificado usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado apropriada.
1. Na guia **Configuração de log de instância de Acesso Verificado**, escolha **Modificar configuração de log de instância de Acesso Verificado**.
1. Selecione **ocsf-1.0.0-rc.2** na lista suspensa **Versão do log de atualização.**
1. Ative a opção **Incluir contexto de confiança**.
1. Escolha **Modificar configuração de log da instância de Acesso Verificado**.
**Para incluir contexto de confiança nos registros de acesso verificado usando o AWS CLI**
Use o comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
## Desabilitar contexto de confiança
Se você não quiser mais incluir o contexto de confiança nos logs, poderá removê-lo fazendo o procedimento a seguir.
**Para remover o contexto de confiança dos logs de Acesso Verificado usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado apropriada.
1. Na guia **Configuração de log de instância de Acesso Verificado**, escolha **Modificar configuração de log de instância de Acesso Verificado**.
1. Desative a opção **Incluir contexto de confiança**.
1. Escolha **Modificar configuração de log da instância de Acesso Verificado**.
**Para remover o contexto de confiança dos registros de acesso verificado usando o AWS CLI**
Use o comando [modify-verified-access-instance-logging-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance-logging-configuration.html).
# Exemplos de logs em OCSF versão 0.1 para Acesso Verificado
Veja a seguir exemplos de registros usando o OCSF versão 0.1.
**Topics**
+ [Acesso concedido com o OIDC](#access-granted-oidc)
+ [Acesso concedido com OIDC e JAMF](#access-granted-oidc-jamf)
+ [Acesso concedido com o OIDC e CrowdStrike](#access-granted-oidc-crowdstrike)
+ [Acesso negado devido à falta de um cookie](#access-denied-cookie)
+ [Acesso negado pela política](#access-denied-policy)
+ [Entrada de log desconhecida](#unknown-access)
## Acesso concedido com o OIDC
Neste exemplo de entrada de log, o Acesso Verificado permite acesso a um endpoint com um provedor confiável de usuários do OIDC.
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Acesso concedido com OIDC e JAMF
Neste exemplo de entrada de log, o Acesso Verificado permite acesso a um endpoint com provedores confiáveis de dispositivos OIDC e JAMF.
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0,
"uid": "41b07859-4222-4f41-f3b9-97dc1EXAMPLE"
},
"duration": "0.347",
"end_time": "1668804944086",
"time": "1668804944086",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 304
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "oidc",
"uid": "vatp-9778003bc2EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "4f040d0f96becEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-321318ce-6100d340adf4fb29dEXAMPLE",
"logged_time": 1668805278555,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-18T20:55:44.086480Z",
"proxy": {
"ip": "10.5.192.96",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-3598f66575EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "192.168.20.246",
"port": 61769
},
"start_time": "1668804943739",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Acesso concedido com o OIDC e CrowdStrike
Neste exemplo de entrada de registro, o Acesso Verificado permite acesso a um endpoint com OIDC e provedores confiáveis de CrowdStrike dispositivos.
```
{
"activity": "Access Granted",
"activity_id": "1",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.2.173.3",
"os": {
"name": "Windows 11",
"type": "Windows",
"type_id": 100
},
"type": "Unknown",
"type_id": 0,
"uid": "122978434f65093aee5dfbdc0EXAMPLE",
"hw_info": {
"serial_number": "751432a1-d504-fd5e-010d-5ed11EXAMPLE"
}
},
"duration": "0.028",
"end_time": "1668816620842",
"time": "1668816620842",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "test.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://test.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 304
},
"identity": {
"authorizations": [
{
"decision": "Allow",
"policy": {
"name": "inline"
}
}
],
"idp": {
"name": "oidc",
"uid": "vatp-506d9753f6EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "23bb45b16a389EXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-c16c5a65-b641e4056cc6cb0eeEXAMPLE",
"logged_time": 1668816977134,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-19T00:10:20.842295Z",
"proxy": {
"ip": "192.168.144.62",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-2f80f37e64EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.14.173.3",
"port": 55706
},
"start_time": "1668816620814",
"status_code": "100",
"status_details": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "20800101",
"type_name": "AccessLogs: Access Granted",
"unmapped": null
}
```
## Acesso negado devido à falta de um cookie
Neste exemplo de entrada de log, o Acesso Verificado nega o acesso devido à falta de um cookie de autenticação.
```
{
"activity": "Access Denied",
"activity_id": "2",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": null,
"duration": "0.0",
"end_time": "1668593568259",
"time": "1668593568259",
"http_request": {
"http_method": "POST",
"url": {
"hostname": "hello.app.example.com",
"path": "/dns-query",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/dns-query"
},
"user_agent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML",
"version": "HTTP/2.0"
},
"http_response": {
"code": 302
},
"identity": null,
"message": "",
"metadata": {
"uid": "Root=1-5cf1c832-a565309ce20cc7dafEXAMPLE",
"logged_time": 1668593776720,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T10:12:48.259762Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-108ed7a672EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.7.178.16",
"port": "46246"
},
"start_time": "1668593568258",
"status_code": "200",
"status_details": "Authentication Denied",
"status_id": "2",
"status": "Failure",
"type_uid": "20800102",
"type_name": "AccessLogs: Access Denied",
"unmapped": null
}
```
## Acesso negado pela política
Neste exemplo de entrada de log, o Acesso Verificado nega uma solicitação autenticada porque a solicitação não é permitida pelas políticas de acesso.
```
{
"activity": "Access Denied",
"activity_id": "2",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": {
"ip": "10.4.133.137",
"type": "Unknown",
"type_id": 0
},
"duration": "0.023",
"end_time": "1668573630978",
"time": "1668573630978",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "h2",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"version": "HTTP/2.0"
},
"http_response": {
"code": 401
},
"identity": {
"authorizations": [],
"idp": {
"name": "user",
"uid": "vatp-e048b3e0f8EXAMPLE"
},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "0e1281ad3580aEXAMPLE"
}
},
"message": "",
"metadata": {
"uid": "Root=1-531a036a-09e95794c7b96aefbEXAMPLE",
"logged_time": 1668573773753,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T04:40:30.978732Z",
"proxy": {
"ip": "3.223.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-021d5eaed2EXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "10.4.133.137",
"port": "31746"
},
"start_time": "1668573630955",
"status_code": "300",
"status_details": "Authorization Denied",
"status_id": "2",
"status": "Failure",
"type_uid": "20800102",
"type_name": "AccessLogs: Access Denied",
"unmapped": null
}
```
## Entrada de log desconhecida
Neste exemplo de entrada de log, o Acesso Verificado não pode gerar uma entrada de log completa, então emite uma entrada de log desconhecida. Isso garante que todas as solicitações apareçam no log de acesso.
```
{
"activity": "Unknown",
"activity_id": "0",
"category_name": "Application Activity",
"category_uid": "8",
"class_name": "Access Logs",
"class_uid": "208001",
"device": null,
"duration": "0.004",
"end_time": "1668580207898",
"time": "1668580207898",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"identity": null,
"message": "",
"metadata": {
"uid": "Root=1-435eb955-6b5a1d529343f5adaEXAMPLE",
"logged_time": 1668580579147,
"version": "0.1",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:30:07.898344Z",
"proxy": {
"ip": "10.1.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-6c32b53b3cEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.28.57.68",
"port": "47220"
},
"start_time": "1668580207893",
"status_code": "000",
"status_details": "Unknown",
"status_id": "0",
"status": "Unknown",
"type_uid": "20800100",
"type_name": "AccessLogs: Unknown",
"unmapped": null
}
```
# Exemplos de logs em OCSF versão 1.0.0-rc.2 para Acesso Verificado
Veja a seguir exemplos de registros usando o OCSF versão 1.0.0-rc.2.
**Topics**
+ [Acesso concedido com contexto de confiança incluído](#ocsfv1-with-trust)
+ [Acesso concedido com contexto de confiança omitido](#ocsfv1-without-trust)
+ [Atribua privilégios com o endpoint CIDR de rede](#ocsfv1-with-tcp)
## Acesso concedido com contexto de confiança incluído
```
{
"activity_name": "Access Grant",
"activity_id": "1",
"actor": {
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"invoked_by": "",
"process": {},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
},
"session": {}
},
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Access Activity",
"class_uid": "3006",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_detail": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "300601",
"type_name": "Access Activity: Access Grant",
"data": {
"context": {
"oidc": {
"family_name": "Last",
"zoneinfo": "America/Los_Angeles",
"exp": 1670631145,
"middle_name": "Middle",
"given_name": "First",
"email_verified": true,
"name": "Test User Display",
"updated_at": 1666305953,
"preferred_username": "johndoe-user@test.com",
"profile": "http://www.example.com",
"locale": "US",
"nickname": "Tester",
"email": "johndoe-user@test.com",
"additional_user_context": {
"aud": "xxx",
"exp": 1000000000,
"groups": [
"group-id-1",
"group-id-2"
],
"iat": 1000000000,
"iss": "https://oidc-tp.com/",
"sub": "xyzsubject",
"ver": "1.0"
}
},
"http_request": {
"x_forwarded_for": "1.1.1.1,2.2.2.2",
"http_method": "GET",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36",
"port": "80",
"hostname": "hostname.net"
}
}
}
}
```
## Acesso concedido com contexto de confiança omitido
```
{
"activity_name": "Access Grant",
"activity_id": "1",
"actor": {
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"idp": {
"name": "user",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"invoked_by": "",
"process": {},
"user": {
"email_addr": "johndoe@example.com",
"name": "Test User Display",
"uid": "johndoe@example.com",
"uuid": "00u6wj48lbxTAEXAMPLE"
},
"session": {}
},
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Access Activity",
"class_uid": "3006",
"device": {
"ip": "10.2.7.68",
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"http_request": {
"http_method": "GET",
"url": {
"hostname": "hello.app.example.com",
"path": "/",
"port": 443,
"scheme": "https",
"text": "https://hello.app.example.com:443/"
},
"user_agent": "python-requests/2.28.1",
"version": "HTTP/1.1"
},
"http_response": {
"code": 200
},
"message": "",
"metadata": {
"uid": "Root=1-63748362-6408d24241120b942EXAMPLE",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"ref_time": "2022-11-16T06:29:54.344948Z",
"proxy": {
"ip": "192.168.34.167",
"port": 443,
"svc_name": "Verified Access",
"uid": "vai-002fa341aeEXAMPLE"
},
"severity": "Informational",
"severity_id": "1",
"src_endpoint": {
"ip": "172.24.57.68",
"port": "48234"
},
"start_time": "1668580194340",
"status_code": "100",
"status_detail": "Access Granted",
"status_id": "1",
"status": "Success",
"type_uid": "300601",
"type_name": "Access Activity: Access Grant",
"data": null
}
```
## Atribua privilégios com o endpoint CIDR de rede
```
{
"activity_id": "1",
"activity_name": "Assign Privileges",
"category_name": "Audit Activity",
"category_uid": "3",
"class_name": "Authorization",
"class_uid": "3003",
"data": {
"endpoint_type": "cidr",
"protocol": "tcp",
"access_path": "public",
"idp": {
"name": "my-oidc-instance",
"uid": "vatp-09bc4cbce2EXAMPLE"
},
"authorizations": [{
"decision": "Allow",
"policy": {
"name": "inline"
}
}],
"context": {
"oidc": {
"family_name": "Last",
"zoneinfo": "America/Los_Angeles",
"exp": 1670631145,
"middle_name": "Middle",
"given_name": "First",
"email_verified": true,
"name": "Test User Display",
"updated_at": 1666305953,
"preferred_username": "johndoe-user@test.com",
"profile": "http://www.example.com",
"locale": "US",
"nickname": "Tester",
"email": "johndoe-user@test.com",
"additional_user_context": {
"aud": "xxx",
"exp": 1000000000,
"groups": [
"group-id-1",
"group-id-2"
],
"iat": 1000000000,
"iss": "https://oidc-tp.com/",
"sub": "xyzsubject",
"ver": "1.0"
}
},
"tcp_flow": {
"destination_ip": "10.0.0.1",
"destination_port": 22,
"client_ip": "10.2.7.68"
}
}
},
"device": {
"ip": "10.2.7.68",
"port": 1002,
"type": "Unknown",
"type_id": 0
},
"duration": "0.004",
"end_time": "1668580194344",
"time": "1668580194344",
"metadata": {
"uid": "",
"logged_time": 1668580281337,
"version": "1.0.0-rc.2",
"product": {
"name": "Verified Access",
"vendor_name": "AWS"
}
},
"severity": "Informational",
"severity_id": "1",
"start_time": "1668580194340",
"status_code": "200",
"status_id": "1",
"status": "Success",
"type_uid": "300301",
"type_name": "Authorization: Assign Privileges",
"count": 1,
"dst_endpoint": {
"ip": "107.22.231.155",
"port": 22
},
"privileges": [
"vae-12345cbce2EXAMPLE"
],
"user": {
"email_addr": "johndoe-user@test.com",
"uid": "johndoe-user",
"uuid": "9bcce02a-fc15-4091-a0b7-874d157c67b8"
}
}
```