Identitätsverwaltung

Identitätsverwaltung umfasst Kontenverwaltung, Gruppenverwaltung, Identitätsverwaltung und Benutzerrechteverwaltung. Hierzu zählen folgende Ereignisse: Konto erstellt, Konto geändert, Hinzufügungen von Gruppenmitgliedern, Gruppenerstellungen oder -Löschungen usw.

Konfigurationsverwaltung

Konfigurations- und Richtlinienverwaltung umfasst Informationen aus Richtlinienänderungen oder Konfigurationsänderungen. Dies betrifft alle Einrichtungen, z. B. Firewalls, Hosts, Server oder Audit/SCC-Richtlinien. Hierzu zählen Ereignisse wie Richtlinienänderung, Richtlinienerstellung oder Konfigurationsänderungsereignisse.

Inhaltssicherheit

Inhaltssicherheit umfasst Informationen aus folgenden Quellen: Inhaltsprüfungstools zur Überwachung von Inhalten in Internet-Kommunikationskanälen wie E-Mail, WebMail, Instant Messaging, FTP und Online-Kollaborationstools (z. B. Blogs und Wikis).

Datenzugriff

Datenzugriff umfasst Informationen aus einem Datenbank-Management-System oder aus Datenbanküberwachungstools. Hierzu zählen Ereignisse wie Abfrage ausgeführt, Tabelle erstellt, Index geändert usw.

Hostsicherheit

Hostsicherheit und Integrität umfassen Informationen über die Sicherheit eines einzelnen Hosts (normalerweise Desktop-Systeme). Hierzu zählen Ereignisse wie Virus erkannt, Virus bereinigt etc.

Netzwerksicherheit

Netzwerksicherheit umfasst Informationen zum Schutz von Netzwerkentitäten vor dem Zugriff durch andere Netzwerkentitäten. Hierzu zählen Ereignisse wie Firewall-Unterbrechungsprotokolle oder IDS/IPS-Verstoßmeldungen.

Betriebssicherheit

Betriebssicherheit umfasst Informationen über die Fähigkeit, den Normalbetrieb aufrechtzuerhalten. Hierzu zählen Ereignisse wie Servicebeendigung, Servicestart, Herunterfahren des Systems oder Starten des Systems. Außerdem zählen hierzu gelöschte Sicherheitsprotokolle.

Physischer Zugriff

Physischer Zugriff umfasst Informationen über Versuche, physische Sicherheitsschranken zu überwinden. Hierzu zählen zum Beispiel Ereignisse wie Ausweis gescannt oder Kamera deaktiviert.

Ressourcenzugriff

Ressourcenzugriff umfasst Informationen über Versuche, auf Ressourcen zuzugreifen. Letztere beinhalten Dateizugriffressourcen, Registrierungsressourcen oder URI-Ressourcen. Bei Ressourcen steht "Host" für den Host, der das Ereignis aufgezeichnet hat. "Benutzer" steht für den Benutzer oder die Identität, der/die versucht, auf die Ressource zuzugreifen.

Systemzugriff

Systemzugriff umfasst Informationen über Versuche, auf verschiedene Systeme zuzugreifen. Hierzu zählen Ereignisse wie Anmeldungen, Versuche zur Festlegung des Benutzers und Netzwerkauthentifizierungsversuche (VPNs, NAP, 802.11x). In Bezug auf den Systemzugriff ist eine Ressource definiert als Anwendung, die den Anmeldeprozess vereinfacht. Ressourcen wären in diesem Zusammenhang zum Beispiel "ftpd" und "sshd".

Unbekannte Kategorie

Ereignisse, die keiner speziellen Kategorie zugeordnet sind, fallen unter die Kategorie "Unbekannt". Beispiel Datenzuordnungsdateien: Wenn keine der Zuordnungsbedingungen erlaubt, ein spezielles Ereignis zuzuordnen, wird das Ereignis mit dieser Kategorie gekennzeichnet. Datenzuordnungsdateien sollten aktualisiert werden, um die Anzahl der Ereignisse der Kategorie "Unbekannt" zu verringern.

Schwachstellenverwaltung

Schwachstellenverwaltung umfasst Informationen aus Tools für Sicherheitsbewertung und -Management. Hierzu zählen Ereignisse wie “Schwachstelle gefunden” oder “Patch erforderlich”.

SIM-Vorgänge

SIM-Vorgänge umfassen operative Berichte über den Zustand von Operationen für SIM. Diese Informationen sind unabhängig von den durch SIM erfassten und verarbeiteten Informationen.