Niveles de registro de auditoría

Puedes determinar el nivel de detalle de los registros de auditoría configurando el nivel de los registros de auditoría de Compliance Reporter que cumpla las necesidades de tu organización. La siguiente tabla indica qué información se recopila y se presenta en los registros de auditoría de Compliance Reporter en función del nivel de registro configurado.

  • Nivel 0
    Adecuado cuando solo quieres monitorizar eventos de autenticación y de cambio administrativo, como cuando en un ordenador se cambia un ajuste de núcleo de bajo nivel, un estado de firewall o un objeto de usuario.
    Importante:

    El nivel 0 no cumple los requisitos de auditoría para los bancos de pruebas de seguridad.

  • Nivel 1 Adecuado para la mayoría de ordenadores.
  • Nivel 2 Adecuado para ordenadores que manejan información confidencial habitualmente.
  • Nivel 3 Adecuado para uso a corto plazo en ordenadores que van a desplazarse a entornos de seguridad de alto riesgo o para confirmar a distancia si un sistema se ha visto comprometido.
AjusteNivel 0Nivel 1Nivel 2Nivel 3

Eventos de inicio de sesión

  • Ventana de inicio de sesión y salvapantallas
  • SSH, compartir pantalla y Apple Remote Desktop
  • Compartir archivos y cualquier otro servicio que requiera una cuenta local

Autorizaciones

Incluye todos los eventos del sistema que determinan si un proceso o usuario autenticado tiene permiso para hacer una acción.

Creación o modificación de usuarios y grupos
Eventos de cambios en hardware

Otros eventos de operaciones del sistema

Incluye el montaje de unidades externas o de red y el reinicio, el apagado y las actualizaciones de macOS.

Eventos de volúmenes y unidades externos
Eventos de manipulación de Compliance Reporter
Cambios en la red y el firewall
Cambios en archivos de configuración del sistema

Ejecuciones de procesos de aplicaciones

Incluye la ejecución de apps y las acciones de seguridad realizadas por una app.

Acciones de scripts de shell y Terminal

Incluye comandos ejecutados por los siguientes: raíz, administrador, usuario suplantado y comandos de scripts de shell de administrador o raíz.

1

Procesos que escuchan conexiones de red

Incluye todas las conexiones desde ordenadores externos.

2
Evaluaciones e invalidaciones de Gatekeeper
Evaluaciones y actualizaciones de XProtect
Conexiones de red entrantes
Conexiones de red de usuarios salientes
Conexiones de red salientes a nivel del sistema

Eventos de archivos en unidades externas

Incluye los siguientes eventos de archivos por omisión, pero prevalece la clave de preferencias FileEventInclusionPaths:

  • /etc/pam.d/
  • /Library/Extensions/
  • /var/db/ConfigurationProfiles/
  • /Library/Preferences/
  • /Library/LaunchAgents/
  • /Library/LaunchDaemons/
Todo el tráfico de red
Rutas personalizadas para monitorización de eventos de archivos
Exclusiones de aplicaciones
Exclusiones de usuarios3
1 Incluye todos los comandos y el historial de scripts de shell, con independencia del nivel del usuario o permiso.
2 localhost se ignora.
3 Se ignoran todos los filtros de exclusión de procesos y usuarios configurados y se registran todos los eventos.