Атрибутный состав записи в журнале
Зона ответственности: Printum
Коротко: Каждая запись журнала информационной безопасности Printum содержит сведения о времени события, субъекте, объекте, типе операции, результате выполнения и других атрибутах, необходимых для расследования инцидентов и передачи событий во внешние системы мониторинга.
Требование
Система должна обеспечивать регистрацию событий безопасности с сохранением информации, достаточной для расследования инцидентов, анализа действий пользователей и последующей корреляции событий во внешних системах мониторинга.
Как это реализовано в Printum
Для каждого зарегистрированного события безопасности в журнале информационной безопасности сохраняется следующий набор атрибутов:
| Атрибут | Содержание |
|---|---|
| Время события (UTC) | Дата и время регистрации события |
| Группа события | Категория события безопасности |
| Тип события | Конкретное зарегистрированное событие |
| Уникальный идентификатор события | Уникальный код события |
| Тип операции | Выполненное действие (создание, изменение, удаление, авторизация и др.) |
| Субъект операции | Пользователь, выполнивший действие |
| IP-адрес субъекта | Сетевой адрес источника события |
| Объект операции | Объект, над которым выполнялось действие |
| Идентификатор объекта | Адрес или идентификатор объекта операции |
| Компонент системы | Наименование и версия компонента Printum |
| Результат операции | Успешное или неуспешное выполнение действия |
| Изменённые параметры | Старые и новые значения изменённых данных |
| Дополнительная информация | Диагностическая информация и сведения об ошибках |
| Метод запроса | Используемый HTTP-метод |
| Уровень важности | Критичность события безопасности |
Совокупность указанных атрибутов позволяет определить источник события, объект воздействия, характер выполненной операции, результат её выполнения и изменения, внесённые в систему, что обеспечивает возможность расследования инцидентов и последующей корреляции событий безопасности.
В журнале фиксируются операции создания, изменения, удаления, просмотра, аутентификации, авторизации, установки, удаления, синхронизации и другие действия пользователей и компонентов системы.
Атрибутный состав записи соответствует требованиям ГОСТ Р 59548-2022 к журналированию событий безопасности и используется для поиска событий, расследования инцидентов, формирования отчётов и передачи событий во внешние системы мониторинга и SIEM.