Kumpulkan Log Audit
Deskripsi
Kumpulkan log audit. Pastikan bahwa pencatatan, sesuai dengan proses manajemen log audit perusahaan, telah diaktifkan di semua aset perusahaan.
Daftar Periksa Implementasi
Rekomendasi Alat
Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan
Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja
SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365
Microsoft · Bayar sesuai penggunaan (per GB yang diproses)
Platform manajemen log dan observabilitas berkinerja tinggi yang dirancang untuk data skala petabyte dengan pencarian real-time
CrowdStrike · Langganan per GB
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Titik Buta yang Memungkinkan Kompromi Tidak Terdeteksi
ConfidentialityPenyerang secara khusus menargetkan aset di mana pencatatan audit dinonaktifkan atau tidak dikumpulkan, mengetahui aktivitas mereka tidak akan meninggalkan jejak forensik, memungkinkan waktu tinggal yang berkepanjangan dan eksfiltrasi data yang tidak terdeteksi.
Manipulasi Tanpa Bukti pada Sistem yang Tidak Dicatat
IntegrityOrang dalam yang berbahaya atau penyerang eksternal memodifikasi data kritis, konfigurasi, atau kontrol akses pada sistem di mana log audit tidak dikumpulkan, membuat tidak mungkin mendeteksi atau mengatribusikan perubahan yang tidak sah.
Eksploitasi Anti-Forensik dari Kesenjangan Pencatatan
ConfidentialityPenyerang canggih mengarahkan aktivitas mereka melalui aset tanpa pengumpulan log, menggunakan titik buta ini sebagai area staging untuk pergerakan lateral dan staging data sambil tetap tidak terlihat oleh pemantauan keamanan.
Kerentanan (Saat Pengamanan Tidak Ada)
Pencatatan Audit Dinonaktifkan pada Aset Perusahaan Kritis
Server, basis data, perangkat jaringan, dan layanan cloud utama memiliki pencatatan audit yang dinonaktifkan secara default atau sengaja dimatikan untuk menghemat sumber daya, menciptakan titik buta forensik di seluruh infrastruktur.
Pengumpulan Log yang Tidak Konsisten di Seluruh Jenis Aset
Pencatatan diaktifkan pada beberapa kategori aset (misalnya, domain controller) tetapi tidak pada yang lain (misalnya, server Linux, peralatan jaringan, aplikasi SaaS), meninggalkan bagian signifikan lingkungan tanpa jejak audit.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Teknis | Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan | Diambil setiap bulan |
| Catatan | Catatan peninjauan log dan temuan | Setiap siklus peninjauan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |