保护受控未分类信息 Rev 3

支持审计功能所需的审计记录内容可能包括时间戳、源和目标地址、用户或进程标识符、事件描述、文件名以及被调用的访问控制或流量控制规则。事件结果可以包括事件成功或失败的指示以及特定事件的结果（例如，事件发生后系统的安全状态）。组织在审计记录中考虑的详细信息可能包括特权命令的完整文本记录或组账户用户的个人身份信息。

审计记录可以在不同的抽象级别生成，包括在信息通过网络传输时的分组级别。选择合适的抽象级别是审计日志功能的关键方面，并且有助于识别问题的根本原因。在审计记录中添加生成信息的能力取决于系统配置审计记录内容的功能。组织可以考虑在审计记录中包含额外信息，包括调用的访问控制或流程控制规则以及组账户用户的个人身份信息。组织还可以考虑将额外的审计记录信息限制为仅限于审计要求明确需要的信息。

审计记录在 03.03.03 中生成。审计记录生成后进行审计记录缩减和报告生成。审计记录缩减是一个处理收集到的审计信息并将其整理成对分析人员更有意义的摘要格式的过程。审计记录的减少和报告生成能力并不总是来自执行审计活动的同一系统或组织实体。审计记录减少能力可以包括例如使用先进数据筛选的现代数据挖掘技术，以识别审计记录中的异常行为。系统提供的报表生成功能可以帮助生成可定制的报表。如果记录中的时间戳粒度不足，审计记录的时间排序可能会成为一个重要问题。

审计记录的审查、分析和报告涉及组织执行的信息安全日志记录，并且可以包括由以下行为产生的日志：账户使用监控、远程访问、无线连接、配置设置、维护工具和非本地维护的使用、系统组件清单、移动设备连接、设备交付与移除、物理访问、温度与湿度、系统接口通信以及移动代码的使用。调查结果可以报告给组织机构，例如事件响应团队、服务台以及安全或隐私办公室。如果组织被禁止审查和分析审计记录或无法进行此类活动，则审查或分析可以由获得此类权限的其他组织进行。审核记录的审查、分析和报告的范围、频率和/或深度可以根据收到的新信息进行调整，以满足组织需求。将审核记录的审查、分析和报告过程进行关联，有助于确保审核记录整体上形成更完整的事件视图。

事件是系统中任何可观察到的现象，包括非法或未经授权的系统活动。组织会确定需要进行日志记录的事件类型。这包括与系统的安全性及其运行环境相关的事件，以满足特定的、持续的审计需求。事件类型可以包括密码更改、特权功能的执行、失败的登录或与系统相关的访问、管理员权限的使用，或第三方凭证使用。在确定需要记录的事件类型时，组织会考虑每项安全需求所适合的系统监控和审计措施。在定义事件类型时，组织会考虑记录与相关事件相关的必要日志，例如分布式的、基于事务的流程中的步骤（例如跨多个组织分布的流程）以及在面向服务或基于云的架构中发生的操作。监控和审计需求可以与其他系统需求进行平衡。例如，组织可能会确定系统必须具备记录每次文件访问（成功或失败）的能力，但仅在特定情况下启用该功能，以避免对系统性能造成潜在负担。组织记录的事件类型可能会随时间而变化。审查和更新已记录的事件类型是必要的，以确保当前的事件类型集保持相关性。

审计信息包括成功审计系统活动所需的信息，例如审计记录、审计日志设置、审计报告和个人身份信息。审计日志工具是用于进行审计和日志活动的程序和设备。审计信息的保护重点是技术保护，并限制只有授权人员才能访问和执行审计记录工具。审计信息的物理保护通过介质和物理保护要求来实现。具有系统特权访问权限的个人或角色，如果他们也是系统审计的对象，可能会通过干扰审计活动或修改审计记录来影响审计信息的可靠性。要求将特权访问进一步区分为与审计相关的特权和其他特权，可以限制具有审计相关特权的用户或角色的数量。

审计日志记录过程的失败包括软件和硬件错误、审计日志捕获机制的故障以及审计日志存储容量的达到或超限。应对措施包括覆盖最旧的审计记录、关闭系统以及停止生成审计记录。组织可以根据故障类型、故障位置、故障严重性或这些因素的组合，为审计日志处理失败定义额外的操作。当审计日志处理失败与存储相关时，将对应于审计日志存储库执行响应（即审计日志存储的不同系统组件）、审计日志所在的系统、组织的总审计日志存储容量（即所有审计日志存储库的总和），或者三者兼有。组织可以决定在提醒指定角色或人员后不采取额外的行动。

系统生成的时间戳包括日期和时间。时间通常以协调世界时（UTC）表示——这是格林威治标准时间（GMT）的现代延续——或者以带有UTC偏移的本地时间表示。时间测量的粒度指的是系统时钟与参考时钟之间的同步程度（例如，时钟在数百或数十毫秒内同步）。组织可以为系统组件定义不同的时间粒度。时间服务可能对其他安全功能（例如访问控制以及身份识别和认证）至关重要，这取决于用于支持这些功能的机制的性质。