IG2 IG3

Kumpulkan Log Aliran Lalu Lintas Jaringan

Kelompok Kontrol: 13. Pemantauan dan Pertahanan Jaringan

Jenis Aset: Jaringan

Fungsi Keamanan: Deteksi

Deskripsi

Kumpulkan log aliran lalu lintas jaringan dan/atau lalu lintas jaringan untuk ditinjau dan diberi peringatan dari perangkat jaringan.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

Rekomendasi Alat

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan

Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365

Microsoft · Bayar sesuai penggunaan (per GB yang diproses)

Darktrace DETECT + RESPOND Gartner MQ Visionary, NDR 2024; Forrester Wave Leader, NDR 2024

Deteksi dan respons jaringan berbasis AI dengan analisis ancaman mandiri dan respons otonom

Darktrace · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksfiltrasi Data Terselubung melalui Pola Lalu Lintas yang Tidak Biasa

Confidentiality

Penyerang secara perlahan mengeksfiltrasi data sensitif menggunakan teknik low-and-slow melalui port yang sah, dan volume lalu lintas yang abnormal tidak terdeteksi karena log aliran jaringan tidak dikumpulkan atau dianalisis.

Pemindaian Pengintaian Internal yang Tidak Terdeteksi

Confidentiality

Penyerang melakukan pemindaian port dan enumerasi layanan di seluruh jaringan internal setelah kompromi awal, dan aktivitas pemindaian tidak terlihat karena tidak ada pencatatan aliran lalu lintas jaringan yang tersedia.

Komunikasi Tidak Sah ke Infrastruktur Berbahaya yang Diketahui

Integrity

Sistem yang dikompromikan berkomunikasi dengan infrastruktur aktor ancaman yang diketahui, tetapi koneksi keluar tidak pernah ditandai karena data aliran jaringan tidak ditangkap untuk korelasi intelijen ancaman.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Visibilitas Aliran Jaringan

Tanpa mengumpulkan NetFlow atau log aliran lalu lintas yang setara, tim keamanan tidak dapat mengidentifikasi pola komunikasi abnormal, volume lalu lintas, atau koneksi tidak sah antara sistem internal dan eksternal.

Ketidakmampuan Melakukan Analisis Jaringan Retrospektif

Ketiadaan data aliran lalu lintas jaringan historis mencegah investigasi forensik tentang kapan kompromi dimulai, sistem apa yang berkomunikasi dengan infrastruktur penyerang, dan data apa yang mungkin telah dieksfiltrasi.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Keamanan Jaringan

Control 12, Control 13

Kebijakan Pemantauan Jaringan

Control 13

Pengamanan Terkait di Kontrol 13

13.1 Sentralisasi Peringatan Peristiwa Keamanan

13.2 Terapkan Solusi Deteksi Intrusi Berbasis Host

13.3 Terapkan Solusi Deteksi Intrusi Jaringan

13.4 Lakukan Penyaringan Lalu Lintas Antar Segmen Jaringan

13.5 Kelola Kontrol Akses untuk Aset Jarak Jauh

13.7 Terapkan Solusi Pencegahan Intrusi Berbasis Host

13.8 Terapkan Solusi Pencegahan Intrusi Jaringan

13.9 Terapkan Kontrol Akses Tingkat Port

13.10 Lakukan Penyaringan Lapisan Aplikasi

13.11 Sesuaikan Ambang Batas Peringatan Peristiwa Keamanan