7.3 安全審計分析（FAU_SAA）

子類行為
本子類定義，為尋找可能的或真正的安全侵害，用來分析系統活動和審計數據的自動化措施的要求。這種分析可用入侵檢測來支持，或對即將來臨的安全侵害作出自動應答。
基于檢測結果，可采取FAU_ARP子類指定的行為。
組件層次

在FAU_SAA.1潛在侵害分析中，需要一個基于固定規則集的基本門限檢測。
在FAU_SAA.2基于輪廓的異常檢測中，TSF維護個人的系統使用輪廓，這里“輪廓”代表由輪廓目標組成員完成的歷史使用模式。輪廓目標組是指與TSF交互的一個或多個人（如單個用戶、共享一個身份或帳號的用戶、指定角色的用戶、整個系統或網絡節點的用戶）。輪廓目標組的每個成員都被分配給一個單獨的置疑等級，表明成員當前的行動與輪廓中已建立的使用模式的一致程度如何。此分析可在運行期間完成，或在信息采集后的批量分析階段完成。
FAU_SAA.3簡單攻擊探測，TSF應能檢測到那些表明對TSP實施將產生重大威脅的特征事件的發生。對特征事件的搜索可以實時進行，也可以在信息采集后的批量分析階段進行。
FAU_SAA.4復雜攻擊探測，TSF應能描述并檢測到多步驟入侵情景。TSF應能根據已知的事件序列把系統事件（可能是由多個用戶執行的）模擬成完整的入侵情景。TSF應能指出特征事件或事件序列發生的時間，指出對TSP的潛在侵害。
管理：FAU_SAA.1
應為FMT的管理功能考慮以下行動：
a) 通過（添加／修改／刪除）規則集中的規則來維護規則。
管理：FAU_SAA.2
應為FMT的管理功能考慮以下行動：
a) 對輪廓目標組中的用戶組進行維護（刪除／修改／添加）。
管理：FAU_SAA.3
應為FMT的管理功能考慮以下行動：
a) 對系統事件的子集進行維護（刪除／修改／添加）。
管理：FAU_SAA.4
應為FMT的管理功能考慮以下行動：
a) 對系統事件的子集進行維護（刪除／修改／添加）；
b) 對系統事件的序列集進行維護（刪除／修改／添加）。
審計：FAU_SAA.1，FAU_SAA.2，FAU_SAA.3，FAU_SAA.4
如果在PP/ST中包含了FAU_GEN安全審計數據產生，那么下述行動應為可審計：
a) 最小級：開啟和關閉任何分析機制；
b) 最小級：以工具完成自動應答。
.
FAU_SAA.1 潛在侵害分析
從屬于：無其他組件。
FAU_SAA.1.1 TSF應能用一系列的規則去監控審計事件，并根據這些規則指示出TSP的潛在侵害。
FAU_SAA.1.2 TSF應用下列規則來監控審計事件：
a) 已知的用來指示潛在安全侵害的［賦值：已定義的可審計事件的子集］的積累或組合；
b) ［賦值：任何其它規則］。

FAU_SAA.2基于輪廓的異常檢測
從屬于：FAU_SAA.1
FAU_SAA.2.1 TSF應能維護系統使用輪廓。在這里個人輪廓代表［賦值：規定輪廓目標組］成員的歷史使用模式。
FAU_SAA.2.2 TSF應維護與每個用戶相對應的置疑等級，這些用戶的活動已記錄在輪廓中。在這里，“置疑等級”代表用戶當前活動與輪廓中已建立的使用模式不一致的程度。
FAU_SAA.2.3 當用戶的置疑等級超過門限條件［賦值：TSF報告“異常”的條件］時，TSF應能指出即將發生對TSP的侵害。

FAU_SAA.3簡單攻擊探測
從屬于：FAU_SAA.1
FAU_SAA.3.1 TSF應能維護預示對TSP侵害的以下特征事件［賦值：系統事件的一個子集］的內部表示。
FAU_SAA.3.2 TSF應根據系統活動的記錄來比較特征事件，這里系統活動可以通過對［賦值：用來決定系統活動的信息］檢查而辨明。
FAU_SAA.3.3 當一個系統事件被發現與一個預示對TSP的潛在攻擊的特征事件匹配時，TSF應指出對TSP的攻擊即將到來。

FAU_SAA.4復雜攻擊探測
從屬于：FAU_SAA.3
FAU_SAA.4.1 TSF應能維護已知入侵情景的事件序列［賦值：已知攻擊出現的系統事件序列表］和預示對TSP的潛在攻擊的特征事件［賦值：系統事件的一個子集］的內部表示。
FAU_SAA.4.2 TSF應比較系統活動的記錄與特征事件和事件序列，這里的系統活動可以通過對[賦值：用來決定系統活動的信息]檢查來辯明。
FAU_SAA.4.3 當一個系統事件或事件序列被發現與一個預示對TSP的潛在攻擊的特征事件匹配時，TSF應能指示出對TSP的攻擊即將到來。
依賴關系：無依賴關系。