7.10. Для событий ИБ, связанных с идентификацией и аутентификацией субъектов доступа в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуры клиентов аналитику может быть рекомендовано рассмотрение следующей информации:
энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ:
- информация конфигурационных файлов данных операционных систем и приложений целевых систем, информация системного реестра операционной системы Windows:
- конфигурационная информация, определяющая размещение файлов протоколов (журналов) регистрации (log-файлов) и временных файлов;
- конфигурационная информация о составе пользователей – субъектов доступа, включая информацию о составе учетных записей пользователей, статусах учетных записей пользователей;
- информация протоколов (журналов) регистрации (system events, application events, audit records) операционных систем и приложений целевых систем:
- информация, связанная с выполнением операций идентификации и аутентификации;
- информация, связанная с изменением аутентификационных данных субъектов доступа;
энергозависимые технические данные операционных систем и данные, расположенные в оперативной памяти СВТ:
- информация о сетевых соединениях;
- информация об открытых сессиях доступа;
протоколы (журналы) регистрации целевых систем, средств (систем) аутентификации, авторизации и разграничения доступа, СУБД:
- информация о действиях и операциях, связанных с неуспешными попытками доступа к целевым системам, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов, СУБД;
- информация об идентификации и аутентификации субъектов доступа в целевых системах, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов, СУБД;
- информация о неуспешных попытках выполнения идентификации и аутентификации субъектов доступа в целевых системах, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов и СУБД, в том числе связанных с невозможностью получения данных от систем аутентификации;
- информация, связанная с изменением аутентификационных данных субъектов доступа;
- информация о составе субъектов доступа, включая информацию о составе учетных записей субъектов доступа, статусах учетных записей субъектов доступа.