7.3.1 Характеристика семейства
Семейство FAU_SAA определяет требования для автоматизированных средств, которые анализируют показатели функционирования системы и данные аудита в целях поиска возможных или реальных нарушений безопасности. Этот анализ может использоваться для поддержки как обнаружения проникновения, так и автоматической реакции на потенциальное нарушение безопасности.
Действия, предпринимаемые при обнаружении нарушений, могут быть при необходимости определены с использованием семейства FAU_ARP "Автоматическая реакция аудита безопасности".
7.3.2 Ранжирование компонентов
В FAU_SAA.1 "Анализ потенциального нарушения" требуется базовый порог обнаружения на основе установленного набора правил.
В FAU_SAA.2 "Выявление аномалии, основанное на профиле" ФБО поддерживают отдельные профили использования системы, где профиль представляет собой шаблоны предыстории использования, выполнявшиеся участниками целевой группы профиля. Целевая группа профиля может включать в себя одного или нескольких участников (например, отдельный пользователь; пользователи, совместно использующие общий идентификатор или общие учетные данные; пользователи, которым назначена одна роль; все пользователи системы или сетевого узла), которые взаимодействуют с ФБО. Каждому участнику целевой группы профиля назначается индивидуальный рейтинг подозрительной активности, который показывает, насколько текущие показатели действий участника соответствуют установленным шаблонам использования, представленным в профиле. Этот анализ может выполняться во время функционирования ОО или при анализе данных аудита в пакетном режиме.
В FAU_SAA.3 "Простая эвристика атаки" ФБО должны быть способны обнаружить возникновение характерных событий, которые свидетельствуют о значительной угрозе для реализации ФТБ. Этот поиск характерных событий может происходить в режиме реального времени или при анализе данных аудита в пакетном режиме.
В FAU_SAA.4 "Сложная эвристика атаки" ФБО должны быть способны задать и обнаружить многошаговые сценарии проникновения. Здесь ФБО способны сравнить события в системе (возможно, выполняемые несколькими участниками) с последовательностями событий, известными как полные сценарии проникновения. ФБО должны быть способны указать на обнаружение характерного события или последовательности событий, свидетельствующих о возможном нарушении реализации ФТБ.
7.3.3 Управление: FAU_SAA.1
Для функций управления из класса FMT могут рассматриваться следующие действия: а) сопровождение (добавление, модификация, удаление) правил из набора правил.
7.3.4 Управление: FAU_SAA.2
Для функций управления из класса FMT могут рассматриваться следующие действия:
а) сопровождение (удаление, модификация, добавление) группы пользователей в целевой группе профиля.
7.3.5 Управление: FAU_SAA.3
Для функций управления из класса FMT могут рассматриваться следующие действия:
а) сопровождение (удаление, модификация, добавление) подмножества событий системы.
7.3.6 Управление: FAU_SAA.4
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) сопровождение (удаление, модификация, добавление) подмножества событий системы;
b) сопровождение (удаление, модификация, добавление) набора последовательностей событий системы.
7.3.7 Аудит: FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) Минимальный: подключение и отключение любого из механизмов анализа.
b) Минимальный: автоматические реакции, выполняемые инструментальными средствами.
7.3.8 FAU_SAA.1 Анализ потенциального нарушения
Иерархический для: Нет подчиненных компонентов.
Зависимости: FAU_GEN.1 Генерация данных аудита
7.3.8.1 FAU_SAA.1.1