IG2 IG3

Sentralisasi Peringatan Peristiwa Keamanan

Kelompok Kontrol: 13. Pemantauan dan Pertahanan Jaringan

Jenis Aset: Jaringan

Fungsi Keamanan: Deteksi

Deskripsi

Sentralisasi peringatan peristiwa keamanan di seluruh aset perusahaan untuk korelasi dan analisis log. Implementasi praktik terbaik memerlukan penggunaan SIEM, yang mencakup peringatan korelasi peristiwa yang ditentukan vendor dan disesuaikan.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

5

Inventarisasi semua penyedia layanan pihak ketiga

6

Klasifikasikan pihak ketiga berdasarkan tingkat risiko

7

Lakukan penilaian keamanan terhadap vendor kritis

8

Sertakan persyaratan keamanan dalam kontrak

Rekomendasi Alat

Darktrace DETECT + RESPOND Gartner MQ Visionary, NDR 2024; Forrester Wave Leader, NDR 2024

Deteksi dan respons jaringan berbasis AI dengan analisis ancaman mandiri dan respons otonom

Darktrace · Langganan perusahaan

Vectra AI Platform Gartner MQ Leader, NDR 2024

Deteksi dan respons ancaman berbasis AI untuk jaringan, cloud, dan identitas dengan intelijen sinyal serangan

Vectra AI · Langganan perusahaan

ExtraHop RevealX Gartner MQ Leader, NDR 2024; Forrester Wave Leader, NDR 2024

Platform deteksi dan respons jaringan dengan analisis lalu lintas real-time, inspeksi lalu lintas terenkripsi, dan visibilitas cloud

ExtraHop · Langganan per perangkat/bandwidth

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Pergerakan Lateral Tidak Terdeteksi Akibat Analisis Log yang Terisolasi

Confidentiality

Penyerang mengkompromikan satu endpoint dan bergerak secara lateral di seluruh jaringan tanpa terdeteksi karena peristiwa keamanan dari sumber yang berbeda tidak dikorelasikan di platform terpusat.

Deteksi Pelanggaran Tertunda dari Sumber Peringatan yang Terfragmentasi

Confidentiality

Kampanye eksfiltrasi data bertahan selama berbulan-bulan karena log firewall, endpoint, dan autentikasi ditinjau secara independen daripada dikorelasikan, mencegah analis menghubungkan indikator kompromi terkait.

Kelelahan Peringatan dari Peristiwa Keamanan yang Tidak Terkorelasi

Availability

Analis melewatkan indikator serangan kritis yang terkubur di lusinan sumber log independen, memungkinkan operator ransomware menyelesaikan kill chain mereka sebelum terdeteksi.

Kerentanan (Saat Pengamanan Tidak Ada)

Ketiadaan Korelasi Log Terpusat

Tanpa SIEM atau platform peringatan terpusat, indikator serangan terkait di beberapa sistem tidak dapat dikorelasikan, menghasilkan visibilitas yang terfragmentasi dan deteksi yang terlewat.

Peringatan yang Tidak Konsisten di Seluruh Alat Keamanan

Setiap alat keamanan menghasilkan peringatan secara independen tanpa proses triase terpadu, menciptakan titik buta di mana serangan multi-tahap melewati batas alat tanpa memicu peringatan terkonsolidasi.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Keamanan Jaringan

Control 12, Control 13

Kebijakan Kontrol Akses Jaringan

Control 13

Pengamanan Terkait di Kontrol 13

13.2 Terapkan Solusi Deteksi Intrusi Berbasis Host

13.3 Terapkan Solusi Deteksi Intrusi Jaringan

13.4 Lakukan Penyaringan Lalu Lintas Antar Segmen Jaringan

13.5 Kelola Kontrol Akses untuk Aset Jarak Jauh

13.6 Kumpulkan Log Aliran Lalu Lintas Jaringan

13.7 Terapkan Solusi Pencegahan Intrusi Berbasis Host

13.8 Terapkan Solusi Pencegahan Intrusi Jaringan

13.9 Terapkan Kontrol Akses Tingkat Port

13.10 Lakukan Penyaringan Lapisan Aplikasi

13.11 Sesuaikan Ambang Batas Peringatan Peristiwa Keamanan