ファミリのふるまい
91 このファミリは、実際のセキュリティ侵害あるいはその可能性を探す、システムアクティビ ティ及び監査データを分析する自動化された手段の要件を定義する。この分析は、侵入 検出や、潜在的なセキュリティ侵害への自動応答をサポートして働くこともある。
92 この検出に基づいてとられるアクションは、必要に応じて、セキュリティ監査自動応答 (FAU_ARP)ファミリを使用して特定することができる。
コンポーネントのレベル付け
FAU_SAA: セキュリティ監査分析
1
2
3 4
93 FAU_SAA.1 侵害の可能性の分析では、固定した規則セットに基づく基本的な閾値検出
が要求される。
94 FAU_SAA.2 プロファイルベースに基づく異常検出では、TSF はシステム利用の個々の
プロファイルを維持する。ここでプロファイルとは、プロファイルターゲットグループのメンバ によって実行された利用の履歴パターンをいう。プロファイルターゲットグループとは、そ のTSFと対話する一人あるいは複数の個々人(例えば、単一利用者、1つのグループID あるいはグループアカウントを共有する複数の利用者、ある割り付けられた役割に沿って 運用する利用者、1 つのシステムあるいはネットワークノード全体の利用者)のグループを いう。プロファイルターゲットグループの各メンバには、そのメンバの現在のアクティビティ が、プロファイルに書かれた確立した利用パターンとどれくらいよく対応するかを表す個々 の疑惑率が割り付けられる。この分析は、ランタイムで、あるいは後収集バッチモード分析 で実行される。
95 FAU_SAA.3 単純攻撃の発見において、TSF は、SFR の実施に対して重大な脅威を表
す特徴的事象の発生を検出できなければならない。特徴的事象に対するこの探索は、リ アルタイムあるいは後収集バッチモード分析で行える。
96 FAU_SAA.4 複合攻撃の発見において、TSF は、多段階の侵入シナリオを表現し、かつ
検出できなければならない。TSFは、システム事象(複数の人間によって実行されているか もしれない)と、侵入シナリオ全体をあらわすものとして既知の事象シーケンスとを比較する ことができる。TSF は、SFR 実施の侵害の可能性を示す特徴的事象あるいは事象シーケ ンスがいつ見つかったかを示すことができなければならない。
管理: FAU_SAA.1
97 以下のアクションはFMTにおける管理機能と考えられる:
a) 規則のセットから規則を(追加、改変、削除)することによる規則の維持。
管理: FAU_SAA.2
98 以下のアクションはFMTにおける管理機能と考えられる:
a) プロファイルターゲットグループにおける利用者グループの維持(削除、改変、追加)。
管理: FAU_SAA.3
99 以下のアクションはFMTにおける管理機能と考えられる:
a) システム事象のサブセットの維持(削除、改変、追加)。 管理: FAU_SAA.4
100 以下のアクションはFMTにおける管理機能と考えられる: a) システム事象のサブセットの維持(削除、改変、追加);
b) システム事象のシーケンスのセットの維持(削除、改変、追加)。 監査: FAU_ SAA.1、FAU_ SAA.2、FAU_ SAA.3、FAU_ SAA.4
101 セキュリティ監査データ生成(FAU_GEN)がPP/STに含まれていれば、以下のアクションを 監査対象にすべきである:
a) 最小: すべての分析メカニズムの動作/停止; b) 最小: ツールによって実行される自動応答。
FAU_SAA.1 侵害の可能性の分析
下位階層: なし
依存性: FAU_GEN.1監査データ生成
FAU_SAA.1.1 TSFは、監査事象の監視に規則のセットを適用し、これらの規則に基づきSFR実施の侵
害の可能性を示すことができなければならない。
FAU_SAA.1.2 TSFは、監査された事象を監視するための以下の規則を実施しなければならない:
a) セキュリティ侵害の可能性を示すものとして知られている[割付: 定義された監査対 象事象のサブセット]の集積、あるいは組み合わせたもの;
b) [割付: その他の規則]
FAU_SAA.2 プロファイルに基づく異常検出 下位階層: なし
依存性: FIA_UID.1識別のタイミング
FAU_SAA.2.1 TSF は、システム利用法のプロファイルを維持できなければならない。ここで個々のプロ
ファイルは、[割付: プロファイルターゲットグループを特定]のメンバーによって実施され た利用の履歴パターンを表す。
FAU_SAA.2.2 TSF は、その動作がプロファイルに記録されている各利用者に関連付けられた疑惑率を 維持できねばならない。ここで疑惑率とは、利用者の現在の動作が、プロファイル中に表 示された設置済みの使用パターンと一致しないと見られる度合いを表す。
FAU_SAA.2.3 TSF は、利用者の疑惑率が以下のような閾値の条件を超えた場合、SFR 実施の侵害の
可能性を通知できなければならない。:[割付: 異例な動作がTSFにより報告される条件]
FAU_SAA.3 単純攻撃の発見 下位階層: なし 依存性: なし
FAU_SAA.3.1 TSFは、SFR実施の侵害を示している可能性がある以下のような特徴的事象[割付: シス
テム事象のサブセット]の内部表現を維持できなければならない。
FAU_SAA.3.2 TSF は、特徴的事象を、[割付: システムのアクティビティを決定するのに使用される情報
を特定]を検査することにより判別できるシステムのアクティビティの記録と比較できなけれ ばならない。
FAU_SAA.3.3 TSF は、システム事象が SFR 実施の侵害の可能性を示す特徴的事象と合致した場合、
SFR実施の侵害の可能性を通知できなければならない。
FAU_SAA.4 複合攻撃の発見
下位階層: FAU_SAA.3単純攻撃の発見 依存性: なし
FAU_SAA.4.1 TSF は、以下のような既知の侵入シナリオの事象シーケンス[割付: 既知の侵入シナリオ
が発生していることを示すシステム事象のシーケンスのリスト]及び以下の SFR 実施の侵 害を示している可能性がある特徴的事象[割付: システム事象のサブセット]の内部表現を 維持できなければならない。
FAU_SAA.4.2 TSF は、特徴的事象及び事象シーケンスを、[割付: システムのアクティビティを決定する
のに使用される情報]を検査することにより判別できるシステムのアクティビティの記録と比 較できなければならない。
FAU_SAA.4.3 TSF は、システムアクティビティがSFR 実施の侵害の可能性を示す特徴的事象または事
象シーケンスと合致した場合、SFR実施の侵害の可能性を通知できなければならない。