Системный журнал#
Типы событий безопасности подразделяются на две разновидности: системные и теговые.
Системные типы событий безопасности заносятся в журнал аудита с атрибутом type=значение. Теговые события безопасности включают в себя один или несколько системных типов, при занесении которых в журнал аудита используются атрибуты вида key=значение. Для всех системных типов, принадлежащих к одному теговому типу, используется одинаковое значение атрибута key.
Типы событий безопасности для Операционной системы (ОС)#
Типы событий безопасности для ОС и связанные с ними функции приведены в таблице ниже.
№ |
Функция |
Системный тип события безопасности |
Теговый тип события безопасности |
|---|---|---|---|
1 |
Запуск и завершение выполнения функций аудита |
DAEMON_START, DAEMON_END |
|
2 |
Модификация конфигурации аудита, происходящие во время сбора данных аудита |
DAEMON_CONFIG |
|
3 |
Модификация режима выполнения функций из числа ФБО; модификация политики аудита |
SERVICE_STOP, SERVICE_START, CONFIG_CHANGE |
enable-disable-service |
4 |
Чтение информации из записей аудита |
audit-read-logs |
|
5 |
Неуспешные попытки читать информацию из записей аудита |
sys-EACCES |
|
6 |
Предпринимаемые действия при сбое хранения журнала аудита |
SYSTEM_RUNLEVEL, DAEMON_ROTATE |
|
7 |
Использование механизма идентификации пользователя, включая представленный идентификатор пользователя |
USER_LOGIN |
|
8 |
Достижение ограничения неуспешных попыток аутентификации и предпринятые действия (блокирование терминала, блокирование учетной записи) |
ANOM_LOGIN_FAILURES, ACCT_UNLOCK_TIMED |
|
9 |
Все случаи использования механизма аутентификации |
USER_AUTH |
|
10 |
Все попытки открытия сеанса пользователя |
USER_START |
|
11 |
События, связанные с истечением установленного администратором срока действия пароля |
USER_MGMT |
|
12 |
События, связанные с истечением установленного администратором срока действия идентификатора пользователя ОС (учетной записи) |
USER_MGMT |
|
13 |
Действия, предпринимаемые в ответ на возможные нарушения безопасности |
sys-EPERM |
|
14 |
Все запросы на выполнение операций на объекте (на который распространяется политика функций безопасности дискреционной и ролевой ПФБ) |
perm_mod |
|
15 |
Все попытки экспортировать информацию (данных пользователя с атрибутами безопасности) |
backup |
|
16 |
Все решения по запросам на информационные потоки (правила фильтрации) |
NETFILTER_PKT |
|
17 |
Применение механизма восстановления информации |
backup |
|
18 |
Изменение настроек механизмов уничтожения (стирания) данных |
grub-config |
|
19 |
Отклонение или принятие ФБО любого проверенного секрета |
USER_CHAUTHTOK |
|
20 |
Результат действия каждого активизированного механизма вместе (в сочетании) с итоговым решением |
USER_AUTH, USER_ACСT |
|
21 |
Успешное или неуспешное связывание атрибутов безопасности пользователя с субъектом (например, успешное или неуспешное создание субъекта) |
CRED_ACQ |
|
22 |
Все модификации значений атрибутов безопасности |
NETFILTER_CFG, USER_CHAUTHTOK, USER_MGMT |
perm_mod |
23 |
Модификация настройки по умолчанию разрешающих или ограничительных правил; все модификации начальных значений атрибутов безопасности |
sys-umask |
|
24 |
Все модификации значений данных ФБО |
USER_CHAUTHTOK |
FST-DATA |
25 |
Модификации ограничений данных ФБО; модификация действий, предпринимаемых при нарушениях ограничений |
CONFIG_CHANGE |
edit-audit-conf |
26 |
Полнотекстовая запись привилегированных команд(команд, управляющих системными функциями) |
priv-exec |
|
27 |
Назначение срока действия для атрибута; действия, предпринятые по истечении назначенного срока |
USER_MGMT, ACCOUNT_SCAN_RESULT |
|
28 |
Использование функций управления |
SYSTEM_RUNLEVEL |
FST-DATA |
29 |
Модификация группы пользователей — исполнителей роли |
etc-selinux, etc-sudoers |
|
30 |
Выполнение и результаты самотестирования ФБО |
SELFTEST |
|
31 |
Факт возникновения сбоя и тип сбоя или прерывания обслуживания |
ANOM_ABEND, SERVICE_STOP |
|
32 |
Возобновление нормальной работы |
SYSTEM_RUNLEVEL |
|
33 |
Изменения внутреннего представления времени |
time-change |
|
34 |
Сбой ФБО; все операции, прерванные из-за сбоя |
ANOM_ABEND |
|
35 |
Все попытки использования функции распределения ресурсов с учетом приоритетности обслуживания |
sys-nice |
|
36 |
Все обращения к функциям распределения ресурсов, управляемых ФБО |
sys-res-alloc |
|
37 |
Отклонение нового сеанса, основанное на ограничении числа параллельных сеансов |
ANOM_LOGIN_SESSIONS |
|
38 |
Блокирование интерактивного сеанса механизмом блокирования сеанса |
vlock |
|
39 |
Все попытки разблокирования интерактивного сеанса |
USER_AUTH |
|
40 |
Завершение интерактивного сеанса механизмом блокирования сеанса |
USER_END |
|
41 |
Все попытки открытия сеанса пользователя |
LOGIN |
|
42 |
Попытки запуска компонентов программного обеспечения, целостность которых была нарушена |
INTEGRITY_DATA, INTEGRITY_METADATA, FANOTIFY |
|
43 |
Попытки запуска компонентов программного обеспечения, произведенных в нарушение установленных правил запуска компонентов программного обеспечения |
INTEGRITY_DATA, INTEGRITY_METADATA, FANOTIFY |
|
44 |
Сбои в работе механизма изоляции процессов |
ANOM_ABEND |
|
45 |
Попытки установки внешних модулей уровня ядра, не проверенных разработчиком (производителем), или внешних модулей уровня ядра с нарушенной целостностью |
sys-module-load |
Типы событий безопасности для Системы виртуализации#
Типы событий безопасности для Системы виртуализации (СВ) и связанные с ними функции приведены в таблице ниже.
№ |
Функция |
Системный тип события безопасности |
Теговый тип события безопасности |
|---|---|---|---|
1 |
Запуск и остановка ВМ с указанием причины остановки |
VIRT_CONTROL |
|
2 |
Создание ВМ |
VIRT_CREATE |
|
3 |
Удаление ВМ |
VIRT_DESTROY |
|
4 |
Доступ пользователей СВ к ВМ |
VIRT_CONSOLE |
|
5 |
Изменение конфигураций ВМ |
VIRT_CFG_VM |
|
6 |
Успешные и неуспешные попытки аутентификации пользователей СВ |
USER_LOGIN |
|
7 |
Изменение конфигурации СВ |
VIRT_CFG |
|
8 |
Изменение ролевой модели СВ |
virt-rbac-policy |
|
9 |
Факты нарушения целостности объектов контроля |
FANOTIFY |
|
10 |
Нарушения целостности лога |
LOG_INTEGRITY_FAIL |
|
11 |
Запуск СВ |
SERVICE_START |
|
12 |
Остановка СВ |
SERVICE_STOP |
Типы событий безопасности для Системы контейнеризации#
Типы событий безопасности для Системы контейнеризации (СК) и связанные с ними функции приведены в таблице ниже.
№ |
Функция |
Системный тип события безопасности |
|---|---|---|
1 |
Создание и модификация образов контейнеров |
CONT_CREATE |
2 |
Удаление образов контейнеров |
CONT_DESTROY |
3 |
Запуск и остановка контейнеров с указанием причины остановки |
CONT_CONTROL |
4 |
Получение доступа к образам контейнеров |
CONT_IMG_HOST |
5 |
Модификация запускаемых контейнеров |
CONT_IMG_CHANGE |
6 |
Факты нарушения целостности объектов контроля |
CONT_INTEGRITY_CHECK |
7 |
Выявление известных уязвимостей в образах контейнеров |
CONT_CVE |
8 |
Выявление некорректности конфигурации контейнеров |
CONT_CFG_IMPROPERTY |
9 |
Нарушения целостности лога |
LOG_INTEGRITY_FAIL |