Lakukan Tinjauan Log Audit
Deskripsi
Lakukan tinjauan log audit untuk mendeteksi anomali atau peristiwa tidak normal yang dapat mengindikasikan ancaman potensial. Lakukan tinjauan setiap minggu, atau lebih sering.
Daftar Periksa Implementasi
Rekomendasi Alat
Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan
Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja
SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365
Microsoft · Bayar sesuai penggunaan (per GB yang diproses)
Platform manajemen log dan observabilitas berkinerja tinggi yang dirancang untuk data skala petabyte dengan pencarian real-time
CrowdStrike · Langganan per GB
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Waktu Tinggal Penyerang yang Berkepanjangan dari Log yang Tidak Ditinjau
ConfidentialityLog audit mencatat indikator kompromi termasuk upaya autentikasi gagal, peristiwa eskalasi hak istimewa, dan pola akses data yang tidak biasa, tetapi tanpa tinjauan reguler peringatan ini tidak diperhatikan sementara penyerang beroperasi bebas selama berbulan-bulan.
Indikator Ancaman Orang Dalam yang Terlewat dalam Data Log yang Usang
ConfidentialityLog audit berisi pola yang menunjukkan ancaman orang dalam seperti akses data di luar jam kerja, unduhan massal, atau penyalahgunaan hak istimewa, tetapi tanpa tinjauan log mingguan anomali perilaku ini tidak pernah ditandai atau diselidiki.
Serangan Brute Force Berhasil Tanpa Eskalasi Peringatan
ConfidentialitySerangan brute force dan password spraying menghasilkan pola log yang jelas di seluruh sistem autentikasi, tetapi tanpa tinjauan log terjadwal dan deteksi anomali serangan ini berhasil sebelum ada yang menyadari anomali autentikasi.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Proses atau Kadens Tinjauan Log Terjadwal
Organisasi mengumpulkan log audit tetapi tidak memiliki proses untuk meninjaunya secara reguler, memperlakukan pengumpulan log sebagai kotak centang kepatuhan daripada kemampuan deteksi ancaman aktif.
Tidak Ada Kriteria Deteksi Anomali yang Ditetapkan untuk Tinjauan Log
Bahkan ketika log ditinjau, analis tidak memiliki kriteria yang ditetapkan untuk apa yang merupakan anomali atau peristiwa abnormal, menghasilkan kualitas tinjauan yang subjektif dan tidak konsisten yang melewatkan indikator kompromi yang halus.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |