Niveaux des journaux d’audit

Vous pouvez déterminer le niveau de détail du journal d’audit en configurant le niveau du journal d’audit de Compliance Reporter qui répond le mieux aux besoins de votre organisation. Le tableau suivant décrit les informations collectées et inscrites dans les journaux d’audit de Compliance Reporter selon le niveau de journal configuré.

  • Niveau 0
    Convient si vous voulez uniquement surveiller les événements d’authentification et les événements de changement administratif, par exemple lorsqu’un réglage du noyau de bas niveau, du statut du pare-feu ou d’un objet utilisateur est modifié sur un ordinateur.
    Important :

    Le niveau 0 ne répond pas aux exigences d’audit en matière de sécurité.

  • Niveau 1Convient à la plupart des ordinateurs.
  • Niveau 2Convient aux ordinateurs gérant régulièrement des informations sensibles.
  • Niveau 3Convient pour une utilisation à court terme sur des ordinateurs installés dans des environnements comportant des risques de sécurité élevés, ou pour confirmer une brèche à distance dans un système.
RéglageNiveau 0Niveau 1Niveau 2Niveau 3

Événements de connexion

  • Fenêtre d’ouverture de session et économiseur d’écran
  • SSH, partage d’écran et Apple Remote Desktop
  • Partage de fichiers et tout autre service nécessitant un compte local

Autorisations

Inclut tous les événements système déterminant si un utilisateur ou un processus authentifié est autorisé à exécuter une action

Création ou modification d’un utilisateur ou groupe
Événements signalant une modification apportée au matériel

Autres événements d’exploitation du système

Inclut le montage de disques externes ou réseau ainsi que la réinitialisation, la fermeture et les mises à jour de macOS

Événements portant sur les disques externes et les volumes
Événements de falsification Compliance Reporter
Modifications réseau et pare-feu
Modifications des fichiers de configuration système

Exécution des processus d’application

Inclut l’exécution des apps et toutes les actions concernant la sécurité menées par une app.

Actions de script Terminal et shell

Inclut les commandes exécutées par : utilisateur racine, administrateur, utilisateur dont l’identité a été empruntée, mais aussi commandes de script shell root ou administrateur.

1

Processus à l’écoute des connexions réseau

Inclut toutes les connexions émanant d’ordinateurs extérieurs.

2
Évaluations et remplacements Gatekeeper
Évaluations et mises à jour XProtect
Connexions réseau entrantes
Connexions réseau utilisateur sortantes
Connexions réseau sortantes de niveau système

Événements de fichier sur disques externes

Inclut les événements de fichier suivants par défaut, avec un remplacement par la clé de préférence FileEventInclusionPaths :

  • /etc/pam.d/
  • /Library/Extensions/
  • /var/db/ConfigurationProfiles/
  • /Library/Preferences/
  • /Library/LaunchAgents/
  • /Library/LaunchDaemons/
Tout le trafic réseau
Chemins personnalisés de surveillance des événements de fichier
Exclusions d’application
Exclusions d’utilisateur3
1 Inclut toutes les commandes et l’historique des scripts shell, tous niveaux de l’utilisateur ou d’autorisation confondus.
2 localhost est ignoré.
3 Tous les filtres d’exclusion utilisateur et processus configurés sont ignorés, et tous les événements sont consignés.