Kebijakan Pemantauan Jaringan

[ORGANIZATION] harus menerapkan kemampuan pemantauan jaringan yang memberikan visibilitas terhadap: seluruh lalu lintas yang melintasi perimeter jaringan (utara-selatan), lalu lintas antara segmen jaringan internal (timur-barat), kueri dan respons DNS, metadata lalu lintas terenkripsi (tanpa memecahkan enkripsi bila tidak diperlukan), dan aktivitas sesi akses jarak jauh.

Tangkapan paket penuh (PCAP) harus dipelihara untuk lalu lintas perimeter jaringan setidaknya selama [CUSTOMIZE: 72 jam/7 hari] untuk tujuan forensik.

Data aliran jaringan (NetFlow/IPFIX) harus dikumpulkan dan disimpan setidaknya selama [CUSTOMIZE: 30/90] hari.

Peringatan otomatis harus dikonfigurasi untuk: koneksi ke indikator ancaman yang diketahui (IP, domain, URL), pola eksfiltrasi data (transfer keluar dalam jumlah besar, protokol yang tidak biasa), indikator pergerakan lateral, layanan jaringan baru atau tidak diotorisasi, dan penyimpangan dari baseline jaringan yang telah ditetapkan.

Peringatan keamanan jaringan harus ditriase dalam waktu [CUSTOMIZE: 15 menit/1 jam/4 jam] berdasarkan tingkat keparahan.

Proses operasi keamanan jaringan harus didokumentasikan yang mencakup: triase dan prioritas peringatan, prosedur investigasi, kriteria eskalasi, dan serah terima insiden ke tim respons insiden.

Lalu lintas keluar harus disaring untuk memblokir: koneksi ke tujuan berbahaya yang diketahui, protokol yang tidak diotorisasi, dan transmisi tidak terenkripsi dari pola data sensitif.

Proxy web atau gateway web aman harus diterapkan untuk seluruh lalu lintas HTTP/HTTPS keluar dengan inspeksi SSL untuk [CUSTOMIZE: seluruh lalu lintas / kategori yang tidak dikecualikan].

Penyaringan URL/konten harus memblokir akses ke kategori termasuk: distribusi malware, phishing, dan domain command-and-control.