稽核記錄檔層級
您可以配置符合組織需求的Compliance Reporter稽核記錄檔層級,以確定稽核記錄檔的詳細程度。下表描述了根據配置的記錄檔層級,在Compliance Reporter稽核記錄檔中收集和報告的資訊。
- 層級0—
適用於您只想監視驗證事件和管理變更事件時,例如當電腦上的低層級核心設定、防火牆狀態或使用者物件發生變更時。重要事項:
層級0不符合安全性基準的稽核要求。
- 層級1—適用於大多數電腦。
- 層級2—適用於定期處理敏感資訊的電腦。
- 層級3—適合在前往高風險安全性環境,或從遠端確認系統入侵的電腦上短期使用。
| 設定 | 層級0 | 層級1 | 層級2 | 層級3 |
|---|---|---|---|---|
登入事件
|  | | | |
授權 包括確定已驗證的使用者或程序是否有權執行某個動作的所有系統事件 | | | | |
| 使用者和群組建立或修改 | | | | |
| 硬體變更事件 | | | | |
其他系統操作事件 包括安裝外部或網路磁碟機,以及重新開機、關機和 macOS 更新 | | | | |
| 外部磁碟機和磁碟區事件 | | | | |
| Compliance Reporter 篡改事件 | | | | |
| 網路和防火牆變更 | | | | |
| 系統配置檔變更 | | | | |
應用程序執行 包括應用程式執行,和應用程式執行的任何安全性動作。 | | | | |
終端機和 shell 指令碼動作 包括由下列人員執行的命令:根使用者、管理員、模擬使用者,以及根使用者 或管理員 shell 指令碼命令。 | | | 1 | |
監聽網路連線的程序 包括來自外部電腦的所有連線。 | 2 | | | |
| Gatekeeper 評估和覆寫 | | | | |
| XProtect 評估和更新 | | | | |
| 傳入網路連線 | | | ||
| 傳出使用者網路連線 | | | ||
| 系統層級傳出網路連線 | | | ||
| 所有網路流量 | | |||
| 檔案事件監控自訂路徑 | | | | |
| 應用程式排除 | | | | |
| 使用者排除 | | | 3 | |
1 包括所有命令和 shell 指令碼歷史記錄,不考慮使用者或權限層級。 2 忽略本機主機。 3 將忽略所有已配置的使用者和程序刪除篩選器並記錄所有事件。 | ||||