<div><div dir="auto">I have used audit logs instead of a FIM solution for PCI compliance at the system/OS level. IMO most FIM-only products do not provide a significant value or reduction in threats.</div></div><div dir="auto"><br></div><div dir="auto">Farhan</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 13, 2020 at 12:46 PM MAUPERTUIS, PHILIPPE <<a href="mailto:philippe.maupertuis@equensworldline.com">philippe.maupertuis@equensworldline.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="FR" link="blue" vlink="purple">
<div class="m_-493385025883880932WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hi,<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">Redhat is providing audit rules sample for PCI DSS.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">For the requirement 10.2.7 it is written :<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">## 10.2.7 Creation and deletion of system-level objects<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">## This requirement seems to be database table related and not audit<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">However the PCI glossary defines system level objects as :<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">System-level object:<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">Anything on a system component that is required for its operation, including but not limited to database tables, stored procedures, application executables and configuration files, system configuration files, static and
 shared libraries and DLLs, system executables, device drivers and device configuration files,and third-party components.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">It seems It should be covered by the FIM solution and not by audit.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">However loading and unloading kernel modules  should probably be covered by auditd.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">Could you tell me which events are generated in that case ?<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">Are there any others events that should consider for this requirement<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">Regards<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US">Philippe<u></u><u></u></span></p>
</div>
<p>equensWorldline is a registered trade mark and trading name owned by the Worldline Group through its holding company.<br>
This e-mail and the documents attached are confidential and intended solely for the addressee. If you receive this e-mail in error, you are not authorized to copy, disclose, use or retain it. Please notify the sender immediately and delete this email from your
 systems. As emails may be intercepted, amended or lost, they are not secure. EquensWorldline and the Worldline Group therefore can accept no liability for any errors or their content. Although equensWorldline and the Worldline Group endeavours to maintain
 a virus-free network, we do not warrant that this transmission is virus-free and can accept no liability for any damages resulting from any virus transmitted. The risks are deemed to be accepted by everyone who communicates with equensWorldline and the Worldline
 Group by email<br>
</p>
</div>

--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com" target="_blank">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a></blockquote></div></div>