grammaire commune aux événementsNormalisation et catégorisation des événementsCatégories d'événement › Liste des catégories d'événement

Rubrique précédente: Catégories d'événement

Rubrique suivante: Classes d'événement

Liste des catégories d'événement

Voici la liste actuelle des catégories d'événement.

Nom

Description

Gestion des identités

La catégorie Gestion des identités comprend la gestion des comptes, des groupes, des identités et des droits d'utilisateur. Elle comprend notamment des événements liés aux comptes créés, aux comptes modifiés, aux ajouts d'appartenance à un groupe ou aux créations/suppressions de groupes.

Gestion de la configuration

La catégorie Gestion de la configuration et des stratégies contient des informations collectées à partir des changements de stratégie ou de configuration. Cela concerne toutes les unités, telles que les pare-feu, les hôtes, les serveurs ou les stratégies Audit/SCC. Cette catégorie inclut notamment des événements liés au changement de stratégie, à la création de stratégies ou au changement de configuration.

Sécurité de contenu

La catégorie Sécurité de contenu contient des informations fournies par des outils d'inspection du contenu qui surveillent le contenu dans les canaux de communication Internet, notamment les courriels, le courriel Web, la gestion des identités, le FTP et les outils de collaboration en ligne (comme les blogs et les Wikis).

Accès aux données

La catégorie Accès aux données contient des informations fournies par un SGBD ou des outils de surveillance de bases de données. Elle comprend notamment des événements liés à la requête exécutée, à la table créée ou à l'index modifié.

Sécurité de l'hôte

La catégorie Sécurité et intégrité de l'hôte comporte des informations sur la sécurité d'un hôte unique (généralement des systèmes de bureau). Elle comprend des événements tels que Virus détecté, Virus supprimé, etc.

Sécurité du réseau

La catégorie Sécurité du réseau contient des informations liées à la protection d'entités réseau contre un accès via d'autres entités réseau. Elle comprend notamment des événements liés aux journaux d'interruption de pare-feu ou aux alertes de violation IDS/IPS.

Sécurité opérationnelle

La catégorie Sécurité opérationnelle contient des informations liées à la possibilité de maintenir des opérations normales. Elle comprend des événements liés à l'arrêt ou au démarrage des services, ou encore à l'arrêt ou au démarrage du système, mais aussi des événements Journal de sécurité effacé.

Accès physique

La catégorie Accès physique contient des informations collectées sur les tentatives d'intrusion dans des unités de sécurité physique. Elle comprend notamment des événements tels que Badge analysé ou Caméra désactivée.

Accès aux ressources

La catégorie Accès aux ressources contient des informations collectées sur les tentatives d'accès aux ressources. Cela comprend l'accès aux ressources fichier, aux ressources du registre ou aux ressources URI. En ce qui concerne les ressources, l'hôte est celui qui a enregistré l'événement et l'utilisateur correspond à l'utilisateur ou à l'identité qui tente d'accéder à la ressource.

Accès au système

La catégorie Accès au système contient des informations collectées à partir des tentatives d'accès à différents systèmes. Elle comprend des événements tels que les tentatives de connexion ou de définition d'un utilisateur, ainsi que les tentatives d'authentification réseau (VPN, NAP, 802.11x). En ce qui concerne l'accès au système, une ressource est une application qui facilite le processus de connexion. Par exemple, ftpd ou sshd doivent être considérés comme des ressources en matière d'accès au système.

Catégorie inconnue

Les événements non mappés dans une catégorie spécifique le sont dans la Catégorie inconnue. En effet, si toutes les conditions de mappage ne sont pas réunies pour correspondre à un événement donné dans les fichiers de mappage de données, l'événement est affecté à cette catégorie. Pour réduire le nombre d'événements de cette catégorie, les fichiers de mappage de données doivent être mis à jour.

Gestion de la vulnérabilité

La catégorie Gestion de la vulnérabilité contient des informations collectées à partir d'outils d'évaluation et de gestion de la sécurité. Elle comprend des événements tels que Vulnérabilité détectée ou Patch nécessaire.

Opérations SIM

La catégorie Opérations SIM contient des rapports opérationnels qui diagnostiquent les opérations du SIM. Ces informations sont indépendantes des informations collectées et traitées par le SIM.