FAU_SAA.1 侵害の可能性の分析

管理: FAU_SAA.1

以下のアクションはFMTにおける管理機能と考えられる:

a) 規則のセットから規則を(追加、改変、削除)することによる規則の維持。

管理: FAU_SAA.2

以下のアクションはFMTにおける管理機能と考えられる:

a) プロファイルターゲットグループにおける利用者グループの維持(削除、改変、追 加)。

管理: FAU_SAA.3

以下のアクションはFMTにおける管理機能と考えられる:

a) システム事象のサブセットの維持(削除、改変、追加)。

管理: FAU_SAA.4

以下のアクションはFMTにおける管理機能と考えられる:

a) システム事象のサブセットの維持(削除、改変、追加);

b) システム事象のシーケンスのセットの維持(削除、改変、追加)。

監査: FAU_ SAA.1、FAU_ SAA.2、FAU_ SAA.3、FAU_ SAA.4

FAU_GEN セキュリティ監査データ生成がPP/STに含まれていれば、以下のアクション

を監査対象にすべきである:

a) 最小: すべての分析メカニズムの活性化/非活性化。

b) 最小: ツールによって実行される自動応答。

FAU_SAA.2 プロファイルに基づく異常検出

下位階層: FAU_SAA.1

FAU_SAA.2.1 TSFは、システム利用法のプロファイルを維持できなければならない。

ここで個々のプロファイルは、[割付: プロファイルターゲットグルー プ を特定]のメンバーによって実施された利用の履歴パターンを表す。

FAU_SAA.2.2 TSFは、その動作がプロファイルに記録されている各利用者に関連付け られた疑惑率を維持できねばならない。ここで疑惑率とは、利用者の 現在の動作が、プロファイル中に表示された設置済みの使用パターン と一致しないと見られる度合いを表す。

FAU_SAA.2.3 TSFは、利用者の疑惑率が以下のような閾値の条件[割付: 異例な動作が

TSFにより報告される条件]を超えた場合、TSPの侵害が差し迫ってい

ることを通知できなければならない。

依存性: FAU_UID.1 識別のタイミング

FAU_SAA.3 単純攻撃の発見

下位階層: FAU_SAA.1

FAU_SAA.3.1 TSFは、TSP侵害を示しているかもしれない以下のような特徴的事象[割 付: システム事象のサブセット]の内部表現を維持できなければならな い。

FAU_SAA.3.2 TSFは、特徴的事象を、[割付: システムのアクティビティを決定するの に使用される情報を特定]を検査することにより判別できるシステムの アクティビティの記録と比較できなければならない。

FAU_SAA.3.3 TSFは、システム事象がTSP侵害の可能性を示す特徴的事象と合致した 場合、TSPの侵害が差し迫っていることを通知できなければならない。

依存性: なし

FAU_SAA.4 複合攻撃の発見

下位階層: FAU_SAA.3

FAU_SAA.4.1 TSFは、以下のような既知の侵入シナリオの事象シーケンス[割付: 既知 の侵入シナリオが発生していることを示すシステム事象のシーケンス

のリスト ]及び以下のTSP侵害を示しているかもしれない特徴的事象

[割付: システム事象のサブセット]の内部表現を維持できなければなら

ない。

FAU_SAA.4.2 TSFは、特徴的事象及び事象シーケンスを、[割付: システムのアクティ ビティを決定するのに使用される情報]を検査することにより判別でき るシステムのアクティビティの記録と比較できなければならない。

FAU_SAA.4.3 TSFは、システムのアクティビティがTSP侵害の可能性を示す特徴的事 象または事象シーケンスと合致した場合、TSPの侵害が差し迫ってい ることを通知できなければならない。

依存性: なし

8.4 セキュリティ監査レビュー(FAU_SAR)

ファミリのふるまい

このファミリでは、権限のある利用者が監査データをレビューする際の助けとなる監査 ツールのための要件を定義している。

コンポーネントのレベル付け

1

FAU_SAR セキュリティ監査レビュー 2

3

FAU_SAR.1 監査レビューは、監査記録からの情報読み出し能力を提供する。

FAU_SAR.2 限定監査レビューは、FAU_SAR.1で識別された者を除き、それ以外に情 報を読み出せる利用者はいないことを要求する。

FAU_SAR.3 選択可能監査レビューは、基準に基づき、レビューされる監査データを選 択する監査レビューツールを要求する。

管理: FAU_ SAR.1

以下のアクションはFMTにおける管理機能と考えられる:

a) 監査記録に対して読み出し権のある利用者グループの維持(削除、改変、追加)。

管理: FAU_SAR.2、FAU_SAR.3

予見される管理アクティビティはない。

監査: FAU_ SAR.1

セキュリティ監査データ生成(FAU_GEN)がPP/STに含まれていれば、以下のアクション を監査対象にすべきである:

a) 基本: 監査記録からの情報の読み出し。

監査: FAU_SAR.2

セキュリティ監査データ生成(FAU_GEN)がPP/STに含まれていれば、以下のアクション を監査対象にすべきである:

a) 基本: 監査記録からの成功しなかった情報読み出し。

監査: FAU_SAR.3

セキュリティ監査データ生成(FAU_GEN)がPP/STに含まれていれば、以下のアクション を監査対象にすべきである:

a) 詳細: 閲覧に使用されるパラメタ。