# Атрибутный состав записи в журнале

**Зона ответственности:** Printum

> **Коротко:** Каждая запись журнала информационной безопасности Printum содержит сведения о времени события, субъекте, объекте, типе операции, результате выполнения и других атрибутах, необходимых для расследования инцидентов и передачи событий во внешние системы мониторинга.

## Требование

Система должна обеспечивать регистрацию событий безопасности с сохранением информации, достаточной для расследования инцидентов, анализа действий пользователей и последующей корреляции событий во внешних системах мониторинга.

## Как это реализовано в Printum

Для каждого зарегистрированного события безопасности в журнале информационной безопасности сохраняется следующий набор атрибутов:

<table id="bkmrk-%D0%90%D1%82%D1%80%D0%B8%D0%B1%D1%83%D1%82%D0%A1%D0%BE%D0%B4%D0%B5%D1%80%D0%B6%D0%B0%D0%BD%D0%B8%D0%B5-%D0%92%D1%80"><tr><th>Атрибут</th><th>Содержание</th></tr><tr><td>Время события (UTC)</td><td>Дата и время регистрации события</td></tr><tr><td>Группа события</td><td>Категория события безопасности</td></tr><tr><td>Тип события</td><td>Конкретное зарегистрированное событие</td></tr><tr><td>Уникальный идентификатор события</td><td>Уникальный код события</td></tr><tr><td>Тип операции</td><td>Выполненное действие (создание, изменение, удаление, авторизация и др.)</td></tr><tr><td>Субъект операции</td><td>Пользователь, выполнивший действие</td></tr><tr><td>IP-адрес субъекта</td><td>Сетевой адрес источника события</td></tr><tr><td>Объект операции</td><td>Объект, над которым выполнялось действие</td></tr><tr><td>Идентификатор объекта</td><td>Адрес или идентификатор объекта операции</td></tr><tr><td>Компонент системы</td><td>Наименование и версия компонента Printum</td></tr><tr><td>Результат операции</td><td>Успешное или неуспешное выполнение действия</td></tr><tr><td>Изменённые параметры</td><td>Старые и новые значения изменённых данных</td></tr><tr><td>Дополнительная информация</td><td>Диагностическая информация и сведения об ошибках</td></tr><tr><td>Метод запроса</td><td>Используемый HTTP-метод</td></tr><tr><td>Уровень важности</td><td>Критичность события безопасности</td></tr></table>

Совокупность указанных атрибутов позволяет определить источник события, объект воздействия, характер выполненной операции, результат её выполнения и изменения, внесённые в систему, что обеспечивает возможность расследования инцидентов и последующей корреляции событий безопасности.

В журнале фиксируются операции создания, изменения, удаления, просмотра, аутентификации, авторизации, установки, удаления, синхронизации и другие действия пользователей и компонентов системы.

Атрибутный состав записи соответствует требованиям ГОСТ Р 59548-2022 к журналированию событий безопасности и используется для поиска событий, расследования инцидентов, формирования отчётов и передачи событий во внешние системы мониторинга и SIEM.