Prüfprotokollebenen
Sie können den Detailgrad der Prüfprotokolle festlegen, indem Sie die Prüfprotokollebene von Compliance Reporterso konfigurieren, dass sie den Anforderungen Ihrer Organisation entspricht. Die folgende Tabelle zeigt, welche Informationen in den Compliance Reporter Prüfprotokollen abhängig von der konfigurierten Prüfprotokollebene gesammelt und berichtet werden.
- Ebene 0—
Geeignet, wenn Sie nur Authentifizierungsereignisse und administrative Änderungsereignisse überwachen wollen – beispielsweise, wenn eine Kernel-Einstellung auf niedriger Ebene, ein Firewall-Status oder ein Benutzerobjekt auf einem Computer geändert wird.Wichtig:
Ebene 0 erfüllt nicht die Prüfanforderungen für Sicherheitsbenchmarks.
- Ebene 1—Geeignet für die meisten Computer.
- Ebene 2—Geeignet für Computer, die regelmäßig vertrauliche Informationen verarbeiten.
- Ebene 3—Geeignet für den kurzfristigen Einsatz auf Computern, die in eine Hochrisiko-Umgebung mitgenommen werden, oder um eine Kompromittierung eines Systems aus der Ferne zu bestätigen.
| Einstellung | Ebene 0 | Ebene 1 | Ebene 2 | Ebene 3 |
|---|---|---|---|---|
Anmeldeereignisse
|  | | | |
Autorisierungen Umfasst alle Systemereignisse, bei denen bestimmt wird, ob ein authentifizierter Benutzer oder Prozess die Berechtigung hat, eine Aktion auszuführen | | | | |
| Erstellen oder Bearbeiten von Benutzern und Gruppen | | | | |
| Ereignisse beim Ändern von Hardware | | | | |
Andere Ereignisse zu Systemoperationen Umfasst das Mounten externer Laufwerke oder Netzwerklaufwerke, Neustarts, Herunterfahren und macOS Updates | | | | |
| Ereignisse zu externen Laufwerken und Datenträgern | | | | |
| Compliance Reporter Manipulationsereignisse | | | | |
| Netzwerk- und Firewall-Änderungen | | | | |
| Änderungen an Systemkonfigurationsdateien | | | | |
Ausführen von Anwendungsprozessen Inklusive App-Ausführungen und jeglicher Sicherheitsaktionen, die eine App durchführt | | | | |
Terminal-und Shell-Skript-Aktionen Inklusive Befehle, die ausgeführt werden durch: Root, Administratoren, imitierte Benutzer sowie Shell-Skript-Befehle, die von Root- oder Administrator-Benutzern durchgeführt werden | | | 1 | |
Prozesse, die auf Netzwerkverkehr achten Inklusive aller Verbindungen von externen Computern | 2 | | | |
| Gatekeeper Beurteilungen und Überschreibungen | | | | |
| XProtect Bewertungen und Updates | | | | |
| Eingehende Netzwerkverbindungen | | | ||
| Ausgehende Benutzernetzwerkverbindungen | | | ||
| Ausgehende Netzwerkverbindungen auf Systemebene | | | ||
| Gesamter Netzwerkverkehr | | |||
| Benutzerdefinierte Pfade für das Datei-Ereignis-Monitoring | | | | |
| Anwendungsausschlüsse | | | | |
| Benutzerausschlüsse | | | 3 | |
1 Inklusive aller Befehle und dem Shell-Skript-Verlauf, unabhängig vom Benutzer oder der Berechtigungsebene. 2 localhosts wird ignoriert. 3 Alle konfigurierten Ausschlussfilter für Benutzer und Prozesse werden ignoriert und alle Ereignisse werden protokolliert. | ||||