Например вход в систему

Может это зависит от конкретной информационной системы?

Информации много в сети, я не смогу всё перечислить:)

Гугл в помощь это здорово. Просто хотелось бы обменяться опытом с 1.2 k подписчиками

События с пользователями создание/изменение добавление в группу и т.д. Аутентификация успех:неуспех интерактивно/по сети, вход под конкретной у.з.

Реальный опыт, просили помочь после взлома одной конторы, хакеры увели деньги через бк. Одним из первых действий было создание у.з. с именем похожим на технологическую у.з. И добавление её в группу администраторов. Потом подменили файл сервера удаленного рабочего стола, заменили десктопную версию на серверную. Потом подключились удаленно вторым сеансом не выкидывая основного пользователя и натворили делов. Соотвественно надо было мониторить события создания пользователей, целостности ос, события удаленного входа.

А как целостность ОС мониторилась?

Никак, там ни за чем не следили.

А после?

Тоже никак. Я рекомендовал вывести фин операции из этого филиала а головную организацию, к этому совету прислушались.

Специалистов и бюджета там не было.

Я тогда в РОВД как свидетель ходил, рассказывал отделу К как дело было:)

Видимо, это большая проблема - контроль целостности ОС?

Очень.

Сейчас Каспер начал реагировать на подмену файлов в систем32

на Астре это не проблема, например

Линукс тут на голову выше всегда был

Дело не в Линуксе )

А в наличии или отсутствии встроенных средств контроля целостности

Хакеры кстати за собой журналы тогда подтёрли и диск закосячили, но на этом и спалились, что система нештатно завершила работу.