IG2 IG3

Kumpulkan Log Aliran Lalu Lintas DNS Query

Kelompok Kontrol: 8. Manajemen Log Audit

Jenis Aset: Jaringan

Fungsi Keamanan: Deteksi

Deskripsi

Kumpulkan log aliran lalu lintas DNS query pada aset perusahaan, jika sesuai dan didukung.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

5

Implementasikan solusi penyaringan/keamanan DNS

6

Konfigurasikan pemblokiran domain berbahaya yang diketahui

7

Aktifkan pencatatan dan pemantauan kueri DNS

Rekomendasi Alat

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan

Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365

Microsoft · Bayar sesuai penggunaan (per GB yang diproses)

CrowdStrike Falcon LogScale Gartner MQ Leader, EPP 2024; Forrester Wave Leader, Security Analytics 2024

Platform manajemen log dan observabilitas berkinerja tinggi yang dirancang untuk data skala petabyte dengan pencarian real-time

CrowdStrike · Langganan per GB

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Penghindaran Command-and-Control Berbasis DNS

Confidentiality

Malware berkomunikasi dengan infrastruktur command-and-control menggunakan DNS tunneling atau DNS-over-HTTPS, dan tanpa pencatatan kueri DNS organisasi tidak dapat mendeteksi saluran terselubung ini atau mengidentifikasi host yang dikompromikan.

Eksfiltrasi Data melalui Kueri DNS

Confidentiality

Penyerang mengkodekan data curian ke dalam subdomain kueri DNS untuk mengeksfiltrasi informasi sensitif melalui protokol DNS, yang tanpa pencatatan kueri tampak sebagai lalu lintas DNS normal dan melewati kontrol DLP tradisional.

Resolusi Domain Berbahaya Tanpa Deteksi

Integrity

Aset perusahaan menyelesaikan domain berbahaya yang diketahui, situs phishing, atau infrastruktur ancaman yang baru terdaftar, tetapi tanpa log kueri DNS tim keamanan tidak memiliki visibilitas terhadap indikator kompromi ini.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Pencatatan Kueri DNS pada Server DNS Perusahaan

Server DNS internal dan resolver tidak memiliki pencatatan kueri yang diaktifkan, menyediakan nol visibilitas terhadap domain mana yang diselesaikan oleh aset perusahaan dan menghilangkan sumber data kritis untuk deteksi ancaman.

Kueri DNS Melewati Resolver yang Dipantau

Endpoint diizinkan membuat kueri DNS langsung ke resolver eksternal (8.8.8.8, 1.1.1.1) daripada dipaksa melalui server DNS perusahaan, sepenuhnya melewati pencatatan DNS yang ada.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Teknis	Konfigurasi penyaringan DNS dan statistik pemblokiran	Bulanan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Log Audit

Control 8

Pengamanan Terkait di Kontrol 8

8.1 Tetapkan dan Pelihara Proses Manajemen Log Audit

8.2 Kumpulkan Log Audit

8.3 Pastikan Penyimpanan Log Audit yang Memadai

8.4 Standarisasi Sinkronisasi Waktu

8.5 Kumpulkan Log Audit Terperinci

8.7 Kumpulkan Log Aliran Lalu Lintas URL Request

8.8 Kumpulkan Log Aliran Lalu Lintas Command-Line Audit

8.9 Sentralisasi Log Audit

8.10 Simpan Log Audit

8.11 Lakukan Tinjauan Log Audit

8.12 Kumpulkan Log Penyedia Layanan