IG2 IG3

Kumpulkan Log Aliran Lalu Lintas Command-Line Audit

Kelompok Kontrol: 8. Manajemen Log Audit

Jenis Aset: Perangkat

Fungsi Keamanan: Deteksi

Deskripsi

Kumpulkan log audit baris perintah. Contoh implementasi termasuk pengumpulan log audit PowerShell®, log Bash, dan log terminal jarak jauh.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

Rekomendasi Alat

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan

Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365

Microsoft · Bayar sesuai penggunaan (per GB yang diproses)

CrowdStrike Falcon LogScale Gartner MQ Leader, EPP 2024; Forrester Wave Leader, Security Analytics 2024

Platform manajemen log dan observabilitas berkinerja tinggi yang dirancang untuk data skala petabyte dengan pencarian real-time

CrowdStrike · Langganan per GB

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Penghindaran Serangan Living-Off-the-Land

Confidentiality

Penyerang menggunakan alat OS bawaan seperti PowerShell, cmd.exe, bash, dan WMI untuk mengeksekusi perintah berbahaya yang menyatu dengan aktivitas administratif normal, dan tanpa pencatatan command-line serangan fileless ini tidak meninggalkan jejak untuk deteksi atau forensik.

Eksekusi Payload PowerShell yang Diobfuskasi

Integrity

Skrip PowerShell berbahaya menggunakan perintah yang dikodekan, teknik bypass AMSI, dan pemuatan modul dieksekusi pada endpoint tanpa catatan perintah yang sebenarnya dijalankan, mencegah deteksi pengambilan kredensial, pergerakan lateral, atau staging data.

Administrasi Jarak Jauh Tidak Sah melalui Command Line

Confidentiality

Penyerang mengeksekusi perintah melalui alat administrasi jarak jauh (PsExec, SSH, WinRM) pada sistem yang dikompromikan, dan tanpa log audit command-line organisasi tidak dapat mendeteksi atau merekonstruksi aktivitas penyerang pada setiap host yang dikompromikan.

Kerentanan (Saat Pengamanan Tidak Ada)

PowerShell Script Block dan Module Logging Dinonaktifkan

Endpoint Windows tidak memiliki PowerShell script block logging, module logging, atau transkripsi yang diaktifkan, tidak menyediakan visibilitas terhadap perintah dan skrip PowerShell yang sebenarnya dieksekusi pada aset perusahaan.

Tidak Ada Audit Command-Line Proses pada Endpoint

Sistem operasi tidak dikonfigurasi untuk menyertakan argumen command-line dalam peristiwa audit pembuatan proses, yang berarti alat keamanan tidak dapat melihat parameter apa yang diberikan ke executable, menyembunyikan niat berbahaya di balik nama proses yang sah.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Log Audit

Control 8

Pengamanan Terkait di Kontrol 8

8.1 Tetapkan dan Pelihara Proses Manajemen Log Audit

8.2 Kumpulkan Log Audit

8.3 Pastikan Penyimpanan Log Audit yang Memadai

8.4 Standarisasi Sinkronisasi Waktu

8.5 Kumpulkan Log Audit Terperinci

8.6 Kumpulkan Log Aliran Lalu Lintas DNS Query

8.7 Kumpulkan Log Aliran Lalu Lintas URL Request

8.9 Sentralisasi Log Audit

8.10 Simpan Log Audit

8.11 Lakukan Tinjauan Log Audit

8.12 Kumpulkan Log Penyedia Layanan