Identity Management

Gestione identità (IM, Identity Management) è costituito da gestione account, gestione gruppi, gestione identità e gestione diritti utente. Questo comprende eventi come account creato, account modificato, aggiunte di appartenenza a gruppo, creazioni o eliminazioni di gruppi e altro ancora.

Gestione configurazione

Gestione configurazione e criteri è costituita dalle informazioni raccolte dalle modifiche dei criteri o della configurazione. Questo riguarda in modo trasversale tutti i dispositivi, come firewall, host, server o criteri di controllo/SCC. Questo comprende eventi come modifica criteri, creazione criteri o modifica configurazione.

Protezione del contenuto

Protezione del contenuto è costituita da informazioni fornite dagli strumenti di controllo del contenuto che effettuano il monitoraggio del contenuto sui canali di comunicazione Internet, compresi posta elettronica, WebMail, IM, FTP e strumenti di collaborazione online (come blog e wiki).

Data Access

Data Access (Accesso ai dati) è costituita da informazioni fornite da un DBMS o dagli strumenti di monitoraggio dei database. Questo comprende eventi come query eseguita, tabella creata, indice modificato, ecc.

Host Security

Host Security and Integrity (Protezione e integrità dell'host) è costituita da informazioni relative alla protezione di un singolo host (in genere i sistemi desktop). Questo comprende eventi come virus rilevato, virus pulito, ecc.

Network Security

Network Security (Protezione rete) è costituita da informazioni riguardanti la protezione di entità della rete dall'accesso da parte di altre entità della rete. Questo comprende eventi come registri di interruzioni del firewall o avvisi di violazione IDS/IPS.

Protezione operativa

Protezione operativa è costituita dfa informazioni relative alla capacità di mantenere il normale funzionamento. Questo comprende eventi come interruzione dei servizi, avvio dei servizi, arresto del sistema o avvio del sistema. Questo include inoltre eventi come “registro protezione cancellato”.

Accesso fisico

Accesso fisico è costituito da informazioni raccolte in merito al tentativo di penetrare attraverso i dispositivi di protezione fisici. Questo comprende eventi come “badge analizzato” o “fotocamera disattivata”.

Accesso alle risorse

Accesso alle risorse è costituita dalle informazioni raccolte in merito ai tentativi di accedere alle risorse. Questo comprende l'accesso alle risorse file, alle risorse del Registro di configurazione o alle risorse URI. Per le risorse, l'host è quello che ha registrato l'evento, mentre l'utente è l'utente o l'identità che cerca di accedere alla risorsa.

Accesso di sistema

Accesso di sistema è costituita dalle informazioni raccolte dai tentativi di accesso a vari sistemi. Questo comprende eventi come tentativi di accesso o di impostazione utente, oltre a tentativi di autenticazione sulla rete (VPN, NAP, 802.11x). Per l'accesso di sistema, una risorsa è un'applicazione che agevola il processo di accesso. Ad esempio, ftpd o sshd verrebbero considerate risorse per l'area di accesso al sistema.

Categoria sconosciuta

Gli eventi che non sono mappati con una categoria specifica vengono mappati con “Unknown Category” (Categoria sconosciuta). Nei file di mapping dei dati, se tutte le condizioni di mapping non riescono a trovare una corrispondenza con un evento specifico, l'evento viene contrassegnato con questa categoria. I file di mapping dei dati devono essere aggiornati per ridurre gli eventi con categoria sconosciuta.

Gestione vulnerabilità

Gestione vulnerabilità è costituita da informazioni raccolte dagli strumenti di valutazione e gestione della protezione. Questo comprende eventi come “vulnerabilità individuata” o “patch necessaria”.

Operazioni SIM

Operazioni SIM contiene rapporti operativi in merito all'integrità delle operazioni per il SIM. Queste informazioni sono indipendenti da quelle raccolte ed elaborate dal SIM.