Manajemen Log Audit
Mengumpulkan, memberikan peringatan, meninjau, dan menyimpan log audit dari peristiwa yang dapat membantu mendeteksi, memahami, atau memulihkan dari serangan.
Mengapa Kontrol Ini Penting?
Pengumpulan dan analisis log sangat penting bagi kemampuan perusahaan untuk mendeteksi aktivitas berbahaya dengan cepat. Terkadang catatan audit adalah satu-satunya bukti dari serangan yang berhasil. Penyerang mengetahui bahwa banyak perusahaan menyimpan log audit untuk tujuan kepatuhan tetapi jarang menganalisisnya. Penyerang menggunakan pengetahuan ini untuk menyembunyikan lokasi mereka, perangkat lunak berbahaya, dan aktivitas mereka pada mesin korban. Karena proses analisis log yang buruk atau tidak ada, penyerang terkadang mengendalikan mesin korban selama berbulan-bulan atau bertahun-tahun tanpa ada seorang pun di perusahaan target yang mengetahuinya.
Templat Kebijakan Terkait
Pengamanan (12)
| ID | Judul | Fungsi | IG | Item Daftar Periksa | Bukti |
|---|---|---|---|---|---|
| 8.1 | Tetapkan dan Pelihara Proses Manajemen Log Audit | Lindungi |
IG1
IG2
IG3
|
4 | 3 |
| 8.2 | Kumpulkan Log Audit | Deteksi |
IG1
IG2
IG3
|
4 | 3 |
| 8.3 | Pastikan Penyimpanan Log Audit yang Memadai | Lindungi |
IG1
IG2
IG3
|
4 | 3 |
| 8.4 | Standarisasi Sinkronisasi Waktu | Lindungi |
IG2
IG3
|
2 | 1 |
| 8.5 | Kumpulkan Log Audit Terperinci | Deteksi |
IG2
IG3
|
4 | 3 |
| 8.6 | Kumpulkan Log Aliran Lalu Lintas DNS Query | Deteksi |
IG2
IG3
|
5 | 4 |
| 8.7 | Kumpulkan Log Aliran Lalu Lintas URL Request | Deteksi |
IG2
IG3
|
4 | 3 |
| 8.8 | Kumpulkan Log Aliran Lalu Lintas Command-Line Audit | Deteksi |
IG2
IG3
|
4 | 3 |
| 8.9 | Sentralisasi Log Audit | Deteksi |
IG2
IG3
|
4 | 3 |
| 8.10 | Simpan Log Audit | Lindungi |
IG2
IG3
|
4 | 3 |
| 8.11 | Lakukan Tinjauan Log Audit | Deteksi |
IG2
IG3
|
4 | 3 |
| 8.12 | Kumpulkan Log Penyedia Layanan | Deteksi |
IG3
|
4 | 3 |
Detail Verifikasi Audit
Tetapkan dan pelihara proses manajemen log audit yang mendefinisikan persyaratan pencatatan perusahaan. Minimal, tangani pengumpulan, tinjauan, dan retensi log audit untuk aset perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Kumpulkan log audit. Pastikan bahwa pencatatan, sesuai dengan proses manajemen log audit perusahaan, telah diaktifkan di semua aset perusahaan.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Pastikan bahwa tujuan pencatatan mempertahankan penyimpanan yang memadai untuk menyimpan log audit.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Standarisasi sinkronisasi waktu. Konfigurasikan setidaknya dua sumber waktu yang tersinkronisasi di seluruh aset perusahaan, jika didukung.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Konfigurasikan pencatatan audit terperinci untuk aset perusahaan yang berisi data sensitif. Sertakan sumber peristiwa, tanggal, nama pengguna, stempel waktu, alamat sumber, alamat tujuan, dan elemen berguna lainnya yang diidentifikasi oleh perusahaan.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Kumpulkan log aliran lalu lintas DNS query pada aset perusahaan, jika sesuai dan didukung.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Teknis | Konfigurasi penyaringan DNS dan statistik pemblokiran | Bulanan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Kumpulkan log aliran lalu lintas URL request pada aset perusahaan, jika sesuai dan didukung.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Kumpulkan log audit baris perintah. Contoh implementasi termasuk pengumpulan log audit PowerShell®, log Bash, dan log terminal jarak jauh.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Sentralisasi, sejauh mungkin, pengumpulan dan retensi log audit di seluruh aset perusahaan.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Simpan log audit di seluruh aset perusahaan selama minimal 90 hari.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Lakukan tinjauan log audit untuk mendeteksi anomali atau peristiwa tidak normal yang dapat mengindikasikan ancaman potensial. Lakukan tinjauan setiap minggu, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Kumpulkan log penyedia layanan, jika didukung. Contoh implementasi termasuk pengumpulan peristiwa autentikasi dan otorisasi, peristiwa pembuatan dan pembuangan data, dan peristiwa manajemen pengguna.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |