IG3

Kumpulkan Log Penyedia Layanan

Kelompok Kontrol: 8. Manajemen Log Audit

Jenis Aset: Data

Fungsi Keamanan: Deteksi

Deskripsi

Kumpulkan log penyedia layanan, jika didukung. Contoh implementasi termasuk pengumpulan peristiwa autentikasi dan otorisasi, peristiwa pembuatan dan pembuangan data, dan peristiwa manajemen pengguna.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

Rekomendasi Alat

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan

Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365

Microsoft · Bayar sesuai penggunaan (per GB yang diproses)

CrowdStrike Falcon LogScale Gartner MQ Leader, EPP 2024; Forrester Wave Leader, Security Analytics 2024

Platform manajemen log dan observabilitas berkinerja tinggi yang dirancang untuk data skala petabyte dengan pencarian real-time

CrowdStrike · Langganan per GB

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kompromi Akun SaaS Tanpa Visibilitas Audit

Confidentiality

Penyerang mengkompromikan kredensial untuk platform penyedia layanan cloud (Microsoft 365, AWS, Salesforce) dan organisasi tidak memiliki visibilitas terhadap peristiwa autentikasi, perubahan hak istimewa, atau akses data karena log penyedia layanan tidak dikumpulkan.

Eksfiltrasi Data Cloud melalui API Penyedia yang Tidak Dipantau

Confidentiality

Data sensitif yang disimpan di platform cloud diakses atau diekspor melalui API dan mekanisme berbagi penyedia, tetapi tanpa mengumpulkan log penyedia layanan organisasi tidak dapat mendeteksi akses data atau eksfiltrasi yang tidak sah dari platform ini.

Aktivitas Administrator Bayangan di Layanan Cloud

Integrity

Eskalasi hak istimewa atau pembuatan akun admin yang tidak sah di penyedia layanan cloud tidak terdeteksi karena peristiwa manajemen pengguna dari platform ini tidak dikumpulkan atau dipantau oleh tim keamanan perusahaan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Integrasi dengan API Log Penyedia Layanan Cloud

Organisasi belum mengkonfigurasi pengumpulan log dari penyedia layanan cloud (AWS CloudTrail, Azure Activity Logs, Google Cloud Audit Logs, Microsoft 365 Unified Audit Log), meninggalkan semua aktivitas berbasis cloud tidak dipantau.

Log Aplikasi SaaS Tidak Diteruskan ke SIEM Pusat

Aplikasi SaaS yang kritikal untuk bisnis memiliki kemampuan pencatatan audit, tetapi log mereka tidak diteruskan ke SIEM perusahaan, menciptakan kesenjangan visibilitas untuk aplikasi yang memproses data sensitif di luar infrastruktur on-premises.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Log Audit

Control 8

Pengamanan Terkait di Kontrol 8

8.1 Tetapkan dan Pelihara Proses Manajemen Log Audit

8.2 Kumpulkan Log Audit

8.3 Pastikan Penyimpanan Log Audit yang Memadai

8.4 Standarisasi Sinkronisasi Waktu

8.5 Kumpulkan Log Audit Terperinci

8.6 Kumpulkan Log Aliran Lalu Lintas DNS Query

8.7 Kumpulkan Log Aliran Lalu Lintas URL Request

8.8 Kumpulkan Log Aliran Lalu Lintas Command-Line Audit

8.9 Sentralisasi Log Audit

8.10 Simpan Log Audit

8.11 Lakukan Tinjauan Log Audit