ГОСТРИСО 27789—2016
Т аб лиц а 10 — Коды типа точки доступа
Значение
Содержанке
1
Имя машины, включая имя DNS
2
IP-адрес
3
Номер телефона
Логическое обоснование. Эти данные определяют идентификатор типа точки доступа к сети при
бора пользователя для события аудита. Это необязательное значение, которое может быть использо
вано для групповых событий, записанных на отдельных серверах, для анализа доступа в соответствии
с типом точки доступа к сети.
7.4.2 Идентификатор точки доступа к сети (Network access point ID)
Описание. Идентификатор для точки доступа к сети прибора пользователя для события аудита.
Это может быть идентификатор прибора, IP-адрес или какой-либо другой идентификатор, ассоцииро
ванный с прибором.
Степень важности. Необязательное.
Формат/Значения. Если установлено, текст может быть ограничен до допустимых значений для
данного типа точки доступа к сети. В случае нескольких доступных вариантов рекомендации должны
быть максимально индивидуальными.
Логическое обоснование. Эти данные определяют точку доступа к сети пользователя, которая
может отличаться от сервера, осуществившего действие. Это необязательное значение, которое может
быть использовано для групповых событий, записанных на отдельных серверах, для анализа доступа к
данным определенной точки доступа к сети во всех серверах.
П р и м е ч а н и е — Идентификатор точки доступа к сети не заменяет личную учетность. В частности,
IP-адреса в интернете очень изменчивы и могут быть присвоены нескольким людям за короткий период времени.
Примеры
1 Идентификатор точки доступа к сети: 192.0.2.2.
Код типа точки доступа к сети: 2 = IP-adpec.
2 Идентификатор точки доступа к сети: 610-555-1212.
Код типа точки доступа к сети: 3 = Номер телефона.
7.5 Идентификация источника аудита
7.5.1 Общие сведения
Данные следов аудита могут быть собраны из различных источников, таких как.
- данные защиты информационных систем;
- службы каталогов;
- сервисы определения политик доступа;
- данные доступа на уровне приложения.
Защищенные сервисы должны получать эти данные.
Рассматриваемые ниже данные необходимы в основном для систем и процессов приложений. Так
как многоуровневые, распределенные или составные приложения делают идентификацию источника
неоднозначной, данный набор полей может повторяться для каждого приложения или процесса, ак
тивно участвующего в событии. Например, множественные наборы значений могут идентифицировать
участвующие веб-серверы, процессы приложений и серверные потоки баз данных в n-уровневом рас
пределенном приложении. Неактивные участники события, например средства передачи данных сетей
низкого уровня, должны быть идентифицированы.
В зависимости от стратегий внедрения, возможно, что компоненты в многоуровневом, распре
деленном или составном приложении могут создавать несколько записей аудита для одного события
приложения. Различные данные в записи аудита могут быть использованы для идентификации таких
случаев, поддерживая последующее сокращение объема данных. Настоящий стандарт предполагает, что
механизмы хранения и представления отчетов осуществляют сокращение объема данных при не
обходимости. но не определяет, какие это механизмы.
14