IG2 IG3

Sentralisasi Log Audit

Kelompok Kontrol: 8. Manajemen Log Audit

Jenis Aset: Jaringan

Fungsi Keamanan: Deteksi

Deskripsi

Sentralisasi, sejauh mungkin, pengumpulan dan retensi log audit di seluruh aset perusahaan.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

Rekomendasi Alat

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Platform SIEM dengan manajemen log, deteksi ancaman, investigasi, dan pelaporan kepatuhan di seluruh sumber data perusahaan

Cisco (Splunk) · Berbasis ingest atau berbasis beban kerja

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

SIEM dan SOAR cloud-native dengan analitik berbasis AI, respons ancaman otomatis, dan integrasi native Azure/M365

Microsoft · Bayar sesuai penggunaan (per GB yang diproses)

Exabeam Gartner MQ Visionary, SIEM 2024; Forrester Wave Strong Performer 2024

SIEM berbasis AI dengan analitik perilaku, investigasi otomatis, dan kemampuan SOAR untuk deteksi ancaman

Exabeam · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Pola Serangan Lintas Sistem Hilang dalam Log yang Terdistribusi

Confidentiality

Serangan multi-tahap canggih yang mencakup beberapa sistem tidak terdeteksi karena log tetap pada aset individual di mana setiap fragmen tampak tidak berbahaya, dan hanya korelasi terpusat yang akan mengungkapkan pola serangan lengkap.

Penghancuran Log oleh Penyerang pada Host yang Dikompromikan

Integrity

Penyerang dengan akses administratif ke sistem yang dikompromikan menghapus atau memanipulasi file log lokal untuk menutupi jejak mereka, dan tanpa pengumpulan log terpusat jejak audit ini hilang secara permanen.

Deteksi Pelanggaran Tertunda dari Tinjauan Log Manual

Confidentiality

Tanpa agregasi log terpusat, analis keamanan harus secara manual mengakses sistem individual untuk meninjau log, secara dramatis meningkatkan waktu untuk mendeteksi pelanggaran dan memperpanjang waktu tinggal penyerang dari hari ke bulan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada SIEM atau Platform Agregasi Log Terpusat

Log audit tetap pada aset individual tanpa pengumpulan terpusat, membuat korelasi lintas sistem tidak mungkin, meningkatkan waktu investigasi secara eksponensial, dan meninggalkan log rentan terhadap manipulasi lokal oleh penyerang.

Penerusan Log Parsial dengan Jenis Sumber yang Hilang

Sentralisasi log mencakup hanya beberapa kategori aset sementara yang lain (layanan cloud, perangkat jaringan, host Linux) menyimpan log secara lokal, menciptakan titik buta dalam pemantauan dan kemampuan korelasi terpusat.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Log Audit

Control 8

Pengamanan Terkait di Kontrol 8

8.1 Tetapkan dan Pelihara Proses Manajemen Log Audit

8.2 Kumpulkan Log Audit

8.3 Pastikan Penyimpanan Log Audit yang Memadai

8.4 Standarisasi Sinkronisasi Waktu

8.5 Kumpulkan Log Audit Terperinci

8.6 Kumpulkan Log Aliran Lalu Lintas DNS Query

8.7 Kumpulkan Log Aliran Lalu Lintas URL Request

8.8 Kumpulkan Log Aliran Lalu Lintas Command-Line Audit

8.10 Simpan Log Audit

8.11 Lakukan Tinjauan Log Audit

8.12 Kumpulkan Log Penyedia Layanan