イベント選択
イベント選択は、不十分な詳細と過剰な詳細とのバランスを維持しなければなりません。
システムでの監査可能イベントのセットでは、 実際に監査可能な発生イベントと、得られる監査の細分性を定義します。 監査可能イベントは前述したように、 システムでのセキュリティー関連イベントを網羅していなければなりません。 監査可能イベントを定義するとき使用する詳細度は、 管理者が選択情報を理解することを困難にする不十分な詳細度と、 過剰な情報収集が行われることになる極度の詳細度との間の平衡を取る必要があります。 イベントの定義は検出イベントの類似性を利用して行います。 ここでの説明の便宜上、検出イベント とは、 監査可能イベントの任意の単一インスタンスのことです。 例えば、あるイベントは各所で検出することができます。 基礎となる原理は、 類似のセキュリティー属性をもつ検出イベントは同じ監査可能イベントとして選択されることです。 以下のリストはセキュリティー・ポリシー・イベントの種別を示しています。
- サブジェクト・イベント
- プロセス作成
- プロセス削除
- サブジェクト・セキュリティー属性の設定: ユーザー ID、グループ ID
- プロセス・グループ、制御端末
- オブジェクト・イベント
- オブジェクト作成
- オブジェクト削除
- オブジェクトのオープン (オブジェクトとしてのプロセスを含む)
- オブジェクトのクローズ (オブジェクトとしてのプロセスを含む)
- オブジェクト・セキュリティー属性の設定: 所有者、グループ、ACL
- インポート/エクスポート・イベント
- オブジェクトのインポートまたはエクスポート
- アカウンタビリティー・イベント
- ユーザーの追加、パスワード・データベース内のユーザー属性の変更
- グループの追加、グループ・データベース内のグループ属性の変更
- ユーザー・ログイン
- ユーザー・ログオフ
- ユーザー認証情報の変更
- トラステッド・パス端末の構成
- 認証構成
- 管理の監査: イベントと監査証跡の選択、スイッチ・オンまたはオフ、ユーザー監査クラスの定義
- 一般システム管理イベント
- 特権の使用
- ファイルシステム構成
- デバイスの定義と構成
- システム構成パラメーターの定義
- 通常のシステム IPL およびシャットダウン
- RAS 構成
- 他のシステム構成
- 監査サブシステムの開始
- 監査サブシステムの停止
- 監査サブシステムの照会
- 監査サブシステムのリセット
- セキュリティー違反 (発生の可能性のある)
- アクセス権の拒否
- 特権の障害
- 診断により検出される障害とシステム・エラー
- TCB の変更の試み