Niveles de registro de auditoría
Puedes determinar el nivel de detalle de los registros de auditoría configurando el nivel de los registros de auditoría de Compliance Reporter que cumpla las necesidades de tu organización. La siguiente tabla indica qué información se recopila y se presenta en los registros de auditoría de Compliance Reporter en función del nivel de registro configurado.
-
Nivel 0—
Adecuado cuando solo quieres monitorizar eventos de autenticación y de cambio administrativo, como cuando en un ordenador se cambia un ajuste de núcleo de bajo nivel, un estado de firewall o un objeto de usuario.Importante:
El nivel 0 no cumple los requisitos de auditoría para los bancos de pruebas de seguridad.
- Nivel 1— Adecuado para la mayoría de ordenadores.
- Nivel 2— Adecuado para ordenadores que manejan información confidencial habitualmente.
- Nivel 3— Adecuado para uso a corto plazo en ordenadores que van a desplazarse a entornos de seguridad de alto riesgo o para confirmar a distancia si un sistema se ha visto comprometido.
| Ajuste | Nivel 0 | Nivel 1 | Nivel 2 | Nivel 3 |
|---|---|---|---|---|
Eventos de inicio de sesión
|  | | | |
Autorizaciones Incluye todos los eventos del sistema que determinan si un proceso o usuario autenticado tiene permiso para hacer una acción. | | | | |
| Creación o modificación de usuarios y grupos | | | | |
| Eventos de cambios en hardware | | | | |
Otros eventos de operaciones del sistema Incluye el montaje de unidades externas o de red y el reinicio, el apagado y las actualizaciones de macOS. | | | | |
| Eventos de volúmenes y unidades externos | | | | |
| Eventos de manipulación de Compliance Reporter | | | | |
| Cambios en la red y el firewall | | | | |
| Cambios en archivos de configuración del sistema | | | | |
Ejecuciones de procesos de aplicaciones Incluye la ejecución de apps y las acciones de seguridad realizadas por una app. | | | | |
Acciones de scripts de shell y Terminal Incluye comandos ejecutados por los siguientes: raíz, administrador, usuario suplantado y comandos de scripts de shell de administrador o raíz. | | | 1 | |
Procesos que escuchan conexiones de red Incluye todas las conexiones desde ordenadores externos. | 2 | | | |
| Evaluaciones e invalidaciones de Gatekeeper | | | | |
| Evaluaciones y actualizaciones de XProtect | | | | |
| Conexiones de red entrantes | | | ||
| Conexiones de red de usuarios salientes | | | ||
| Conexiones de red salientes a nivel del sistema | | | ||
| Todo el tráfico de red | | |||
| Rutas personalizadas para monitorización de eventos de archivos | | | | |
| Exclusiones de aplicaciones | | | | |
| Exclusiones de usuarios | | | 3 | |
1 Incluye todos los comandos y el historial de scripts de shell, con independencia del nivel del usuario o permiso. 2 localhost se ignora. 3 Se ignoran todos los filtros de exclusión de procesos y usuarios configurados y se registran todos los eventos. | ||||