Audit ログレベル
Audit ログの冗長性は、組織の必要性に合わせて Compliance Reporter (コンプライアンス報告者) の Audit ログレベルを構成することで決定できます。以下の表は、構成されたログレベルに応じて、Compliance Reporter (コンプライアンス報告者) の Audit ログにどのような情報が収集され、レポートされるかを示したものです。
- レベル 0—
認証イベントと管理に関する変更イベント (低レベルのカーネル設定、ファイアウォールのステータス、ユーザオブジェクトがコンピュータ上で変更された場合など) のみを監視する場合に適しています。重要:
レベル 0 はセキュリティのベンチマークの監査要件を満たしていません。
- レベル 1—ほとんどのコンピュータに適しています。
- レベル 2—機密情報を定期的に扱うコンピュータに適しています。
- レベル 3—リスクの高いセキュリティ環境に移動するコンピュータでの短期間の使用や、システムへの侵害をリモートで確認するのに適しています。
| 設定 | レベル 0 | レベル 1 | レベル 2 | レベル 3 |
|---|---|---|---|---|
ログインイベント
|  | | | |
権限 認証されたユーザまたはプロセスがアクションを実行する権限を持っているかどうかを判断するすべてのシステムイベントが含まれます | | | | |
| ユーザまたはグループの作成または修正 | | | | |
| ハードウェア変更イベント | | | | |
その他のシステム操作イベント 外部ドライブまたはネットワークドライブのマウント、再起動、シャットダウン、macOS のアップデートが含まれます | | | | |
| 外部ドライブおよびボリュームのイベント | | | | |
| Compliance Reporter (コンプライアンス報告者) タンパーイベント | | | | |
| ネットワークおよびファイアウォールの変更 | | | | |
| システム構成ファイルの変更 | | | | |
アプリケーションプロセスの実行 App の実行と、App が実行するセキュリティアクションが含まれます。 | | | | |
ターミナルおよびシェルスクリプトのアクション ルートユーザ、管理者、偽装ユーザによって実行されるコマンド、およびルートユーザまたは管理者によってシェルスクリプトを使用して実行されるコマンドが含まれます。 | | | 1 | |
ネットワーク接続を待機するプロセス 外部のコンピュータからのすべての接続が含まれます。 | 2 | | | |
| Gatekeeper の評価およびオーバーライド | | | | |
| Xprotect の評価およびアップデート | | | | |
| 受信ネットワーク接続 | | | ||
| ユーザの送信ネットワーク接続 | | | ||
| システムレベルの送信ネットワーク接続 | | | ||
| すべてのネットワークトラフィック | | |||
| カスタムのパスを監視するファイルイベント | | | | |
| アプリケーションの除外 | | | | |
| ユーザの除外 | | | 3 | |
1 ユーザレベルや権限レベルを問わず、すべてのコマンドとシェルスクリプトの履歴が含まれます。 2 ローカルホストは無視されます。 3 構成されたユーザおよびプロセスの除外フィルタはすべて無視され、すべてのイベントがログ記録されます。 | ||||