Gestión de identidades

Gestión de identidades consta de gestión de cuentas, gestión de grupos, gestión de identidades y gestión de derechos de usuario. Esto incluye eventos como la cuenta creada, la cuenta modificada, las adiciones de pertenencia a grupo, supresiones y creaciones de grupo y otros.

Gestión de configuraciones

Gestión de políticas y configuraciones está compuesta de información recopilada a partir de modificaciones de políticas o cambios de configuraciones. Esto se aplica a todos los dispositivos como cortafuegos, host, servidores o políticas de SCC/auditoría. Esto incluye eventos como eventos de modificación de configuraciones, creación de políticas y modificación de políticas.

Seguridad del contenido

Seguridad del contenido consta de información que proporcionan las herramientas de inspección de contenido que supervisan el contenido en los canales de comunicación de Internet, incluidas las herramientas de colaboración el línea (como blogs y wikis), FTP, MI y WebMail.

Acceso a datos

Acceso a datos consta de información proporcionada por un DBMS o herramientas de control de base de datos. Esto incluye eventos como una consulta ejecutada, tabla creada, índice modificado, etc.

Seguridad de host

Integridad y seguridad de host consta de información acerca de la seguridad de un único host (normalmente sistemas de escritorio). Esto incluye eventos como "Virus detectado", "Virus eliminado", etc.

Seguridad de red

Seguridad de red consta de información relativa a la protección de las entidades de red contra el acceso de otras entidades de red. Esto incluye eventos como registros de interrupción de cortafuegos o alertas de infracción de IDS/IPS.

Seguridad operacional

Seguridad operacional consta de información relativa a la capacidad de mantener operaciones normales. Esto incluye eventos como la detención de servicios, inicio de servicios, apagado del sistema o arranque del sistema. Esto también incluye eventos como "registro de seguridad eliminado".

Acceso físico

Acceso físico consta de información recopilada sobre los intentos de entrada a través de dispositivos de seguridad físicos. Esto incluye eventos como "identificador analizado" o "cámara desconectada".

Acceso a recursos

Acceso a recursos consta de información recopilada sobre los intentos de acceder a recursos. Esto incluye acceso a recursos de archivo, recursos de registro y recursos URI. En los recursos, el host es el host que ha registrado el evento y el usuario es el usuario o identidad que intenta acceder al recurso.

Acceso al sistema

Acceso a sistema consta de información recopilada de los intentos de acceso a distintos sistemas. Esto incluye eventos como intentos de establecimiento de usuario o inicios de sesión, así como intentos de autenticación de red (VPN, NAP, 802.11x). Para el acceso al sistema, un recurso es una aplicación que facilita el proceso de inicio de sesión. Por ejemplo, ftpd o sshd se considerarían recursos para el área de acceso del sistema.

Categoría desconocida

Los eventos que no se categorizan en una categoría específica se categorizan en la categoría "Desconocido". En los archivos de asignación de datos, si hay un error en todas las condiciones de asignación para la coincidencia de un evento específico, el evento se etiqueta en esta categoría. Los archivos de asignación de datos deben actualizarse para reducir los eventos con la categoría "Desconocido".

Gestión de vulnerabilidades

Gestión de vulnerabilidades consta de información recopilada de herramientas de gestión y evaluación de seguridad. Esto incluye eventos como “vulnerabilidad encontrada” o “parche necesario”.

Operaciones SIM

Operaciones SIM consta de informes operativos sobre la vida de las operaciones para SIM. Esta información es independiente de la información que procesa y recopila SIM.