Niveaux des journaux d’audit
Vous pouvez déterminer le niveau de détail du journal d’audit en configurant le niveau du journal d’audit de Compliance Reporter qui répond le mieux aux besoins de votre organisation. Le tableau suivant décrit les informations collectées et inscrites dans les journaux d’audit de Compliance Reporter selon le niveau de journal configuré.
- Niveau 0—
Convient si vous voulez uniquement surveiller les événements d’authentification et les événements de changement administratif, par exemple lorsqu’un réglage du noyau de bas niveau, du statut du pare-feu ou d’un objet utilisateur est modifié sur un ordinateur.Important :
Le niveau 0 ne répond pas aux exigences d’audit en matière de sécurité.
- Niveau 1—Convient à la plupart des ordinateurs.
- Niveau 2—Convient aux ordinateurs gérant régulièrement des informations sensibles.
- Niveau 3—Convient pour une utilisation à court terme sur des ordinateurs installés dans des environnements comportant des risques de sécurité élevés, ou pour confirmer une brèche à distance dans un système.
| Réglage | Niveau 0 | Niveau 1 | Niveau 2 | Niveau 3 |
|---|---|---|---|---|
Événements de connexion
|  | | | |
Autorisations Inclut tous les événements système déterminant si un utilisateur ou un processus authentifié est autorisé à exécuter une action | | | | |
| Création ou modification d’un utilisateur ou groupe | | | | |
| Événements signalant une modification apportée au matériel | | | | |
Autres événements d’exploitation du système Inclut le montage de disques externes ou réseau ainsi que la réinitialisation, la fermeture et les mises à jour de macOS | | | | |
| Événements portant sur les disques externes et les volumes | | | | |
| Événements de falsification Compliance Reporter | | | | |
| Modifications réseau et pare-feu | | | | |
| Modifications des fichiers de configuration système | | | | |
Exécution des processus d’application Inclut l’exécution des apps et toutes les actions concernant la sécurité menées par une app. | | | | |
Actions de script Terminal et shell Inclut les commandes exécutées par : utilisateur racine, administrateur, utilisateur dont l’identité a été empruntée, mais aussi commandes de script shell root ou administrateur. | | | 1 | |
Processus à l’écoute des connexions réseau Inclut toutes les connexions émanant d’ordinateurs extérieurs. | 2 | | | |
| Évaluations et remplacements Gatekeeper | | | | |
| Évaluations et mises à jour XProtect | | | | |
| Connexions réseau entrantes | | | ||
| Connexions réseau utilisateur sortantes | | | ||
| Connexions réseau sortantes de niveau système | | | ||
| Tout le trafic réseau | | |||
| Chemins personnalisés de surveillance des événements de fichier | | | | |
| Exclusions d’application | | | | |
| Exclusions d’utilisateur | | | 3 | |
1 Inclut toutes les commandes et l’historique des scripts shell, tous niveaux de l’utilisateur ou d’autorisation confondus. 2 localhost est ignoré. 3 Tous les filtres d’exclusion utilisateur et processus configurés sont ignorés, et tous les événements sont consignés. | ||||