IG2 IG3

Kumpulkan Log Audit Terperinci

Kelompok Kontrol: 8. Manajemen Log Audit

Jenis Aset: Jaringan

Fungsi Keamanan: Deteksi

Deskripsi

Konfigurasikan pencatatan audit terperinci untuk aset perusahaan yang berisi data sensitif. Sertakan sumber peristiwa, tanggal, nama pengguna, stempel waktu, alamat sumber, alamat tujuan, dan elemen berguna lainnya yang diidentifikasi oleh perusahaan.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

Rekomendasi Alat

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan

Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365

Microsoft · Bayar sesuai penggunaan (per GB yang diproses)

CrowdStrike Falcon LogScale Gartner MQ Leader, EPP 2024; Forrester Wave Leader, Security Analytics 2024

Platform manajemen log dan observabilitas berkinerja tinggi yang dirancang untuk data skala petabyte dengan pencarian real-time

CrowdStrike · Langganan per GB

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Detail Forensik yang Tidak Cukup untuk Mengidentifikasi Asal Serangan

Confidentiality

Log audit dasar hanya mencatat bahwa suatu peristiwa terjadi tetapi tidak memiliki alamat sumber, alamat tujuan, nama pengguna, dan detail kontekstual lainnya yang diperlukan untuk menentukan siapa yang memulai aktivitas, dari mana, dan apa yang terpengaruh.

Pelanggaran Data Sensitif Tanpa Jejak Atribusi

Confidentiality

Penyerang mengakses penyimpanan data sensitif, tetapi log tidak memiliki detail yang cukup (identitas pengguna, IP sumber, catatan yang diakses) untuk mengidentifikasi akun yang dikompromikan, menentukan cakupan paparan data, atau memenuhi persyaratan pemberitahuan pelanggaran.

Kerentanan (Saat Pengamanan Tidak Ada)

Tingkat Pencatatan Default Tanpa Field Peristiwa yang Terperinci

Aset yang berisi data sensitif menggunakan konfigurasi pencatatan default yang mencatat detail peristiwa minimal, menghilangkan field kritis seperti alamat sumber/tujuan, identitas pengguna, dan detail akses tingkat objek yang diperlukan untuk analisis forensik.

Tidak Ada Standar Pencatatan untuk Aset Data Sensitif

Organisasi belum mendefinisikan field terperinci mana yang harus dicatat dalam log audit untuk aset yang memproses data sensitif, menghasilkan detail pencatatan yang tidak konsisten dan tidak memadai di seluruh basis data, server file, dan aplikasi.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Log Audit

Control 8

Pengamanan Terkait di Kontrol 8

8.1 Tetapkan dan Pelihara Proses Manajemen Log Audit

8.2 Kumpulkan Log Audit

8.3 Pastikan Penyimpanan Log Audit yang Memadai

8.4 Standarisasi Sinkronisasi Waktu

8.6 Kumpulkan Log Aliran Lalu Lintas DNS Query

8.7 Kumpulkan Log Aliran Lalu Lintas URL Request

8.8 Kumpulkan Log Aliran Lalu Lintas Command-Line Audit

8.9 Sentralisasi Log Audit

8.10 Simpan Log Audit

8.11 Lakukan Tinjauan Log Audit

8.12 Kumpulkan Log Penyedia Layanan