إدارة سجلات التدقيق

جمع سجلات التدقيق والتنبيه بشأنها ومراجعتها وحفظها للأحداث التي يمكن أن تساعد في اكتشاف هجوم أو فهمه أو التعافي منه.

لماذا هذا الضابط مهم؟

يُعد جمع السجلات وتحليلها أمراً حاسماً لقدرة المؤسسة على اكتشاف النشاط الخبيث بسرعة. في بعض الأحيان تكون سجلات التدقيق هي الدليل الوحيد على هجوم ناجح. يعلم المهاجمون أن العديد من المؤسسات تحتفظ بسجلات التدقيق لأغراض الامتثال ولكنها نادراً ما تحللها. يستخدم المهاجمون هذه المعرفة لإخفاء موقعهم وبرمجياتهم الخبيثة وأنشطتهم على أجهزة الضحايا. بسبب عمليات تحليل السجلات السيئة أو المعدومة، يتحكم المهاجمون أحياناً في أجهزة الضحايا لأشهر أو سنوات دون علم أي شخص في المؤسسة المستهدفة.

قوالب السياسات ذات الصلة

سياسة إدارة سجلات التدقيق سياسة الاحتفاظ بالسجلات

الإجراءات الوقائية (12)

المعرف	العنوان	الوظيفة	مجموعات التطبيق	عناصر التدقيق	الأدلة
8.1	إنشاء وصيانة عملية إدارة سجلات التدقيق	حماية	IG1 IG2 IG3	2	1
8.2	جمع سجلات التدقيق	كشف	IG1 IG2 IG3	2	1
8.3	ضمان تخزين كافٍ لسجلات التدقيق	حماية	IG1 IG2 IG3	2	1
8.4	توحيد مزامنة الوقت	حماية	IG2 IG3	2	1
8.5	جمع سجلات تدقيق تفصيلية	كشف	IG2 IG3	2	1
8.6	جمع سجلات تدقيق استعلامات DNS	كشف	IG2 IG3	3	2
8.7	جمع سجلات تدقيق طلبات URL	كشف	IG2 IG3	2	1
8.8	جمع سجلات تدقيق سطر الأوامر	كشف	IG2 IG3	2	1
8.9	مركزة سجلات التدقيق	كشف	IG2 IG3	2	1
8.10	الاحتفاظ بسجلات التدقيق	حماية	IG2 IG3	2	1
8.11	إجراء مراجعات سجلات التدقيق	كشف	IG2 IG3	2	1
8.12	جمع سجلات مزودي الخدمات	كشف	IG3	2	1

تفاصيل التحقق من التدقيق

8.1 إنشاء وصيانة عملية إدارة سجلات التدقيق

IG1 IG2 IG3

2 عنصر

إنشاء وصيانة عملية إدارة سجلات التدقيق التي تحدد متطلبات التسجيل للمؤسسة. كحد أدنى، معالجة جمع وتنسيق ومراجعة ومدة الاحتفاظ بسجلات التدقيق لأصول المؤسسة. مراجعة وتحديث الوثائق سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.2 جمع سجلات التدقيق

IG1 IG2 IG3

2 عنصر

جمع سجلات التدقيق. التأكد من أن كل أصل من أصول المؤسسة يولد سجلات تدقيق كافية. تتضمن تطبيقات المثال المصادقة وقرارات التفويض وتغييرات التكوين ومحاولات الوصول غير المصرح به. استخدام منصة SIEM أو مكافئة لتوحيد ومراجعة سجلات التدقيق.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.3 ضمان تخزين كافٍ لسجلات التدقيق

IG1 IG2 IG3

2 عنصر

التأكد من أن مواقع تخزين سجلات التدقيق لديها تخزين كافٍ وأن السجلات متاحة قبل الكتابة فوقها.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.4 توحيد مزامنة الوقت

IG2 IG3

2 عنصر

توحيد مزامنة الوقت. تكوين ما لا يقل عن خادمي مصدر وقت متزامنين عبر أصول المؤسسة حيثما كان ذلك مدعومًا.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.5 جمع سجلات تدقيق تفصيلية

IG2 IG3

2 عنصر

تكوين سجلات التدقيق التفصيلية لأصول المؤسسة التي تحتوي على بيانات حساسة. تتضمن مصدر الحدث والتاريخ واسم المستخدم والطابع الزمني وعناوين المصدر وعناوين الوجهة وعناصر مفيدة أخرى لكل حدث.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.6 جمع سجلات تدقيق استعلامات DNS

IG2 IG3

3 عنصر

جمع سجلات تدقيق استعلامات DNS على أصول المؤسسة حيثما كان ذلك مناسبًا ومدعومًا.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

تقني

تصفية DNS نشطة وتحظر النطاقات الخبيثة المعروفة.

تهيئة تصفية DNS، إحصائيات الحظر

النوع	عنصر الدليل	التكرار
تقني	تهيئة تصفية DNS وإحصائيات الحظر	شهرياً
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.7 جمع سجلات تدقيق طلبات URL

IG2 IG3

2 عنصر

جمع سجلات تدقيق طلبات URL على أصول المؤسسة حيثما كان ذلك مناسبًا ومدعومًا.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.8 جمع سجلات تدقيق سطر الأوامر

IG2 IG3

2 عنصر

جمع سجلات تدقيق سطر الأوامر. تتضمن تطبيقات المثال جمع سجلات التدقيق من PowerShell و BASH و أدوات سطر الأوامر الطرفية البعيدة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.9 مركزة سجلات التدقيق

IG2 IG3

2 عنصر

مركزة تجميع وتخزين سجلات التدقيق من أصول المؤسسة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.10 الاحتفاظ بسجلات التدقيق

IG2 IG3

2 عنصر

الاحتفاظ بسجلات التدقيق عبر أصول المؤسسة لمدة لا تقل عن 90 يومًا.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.11 إجراء مراجعات سجلات التدقيق

IG2 IG3

2 عنصر

إجراء مراجعات لسجلات التدقيق للكشف عن الشذوذ والأحداث الأمنية التي يمكن أن تشير إلى تهديد محتمل. إجراء مراجعات أسبوعيًا أو بشكل أكثر تكرارًا.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

8.12 جمع سجلات مزودي الخدمات

IG3

2 عنصر

جمع سجلات مزودي الخدمات حيثما كان ذلك مدعومًا. تتضمن تطبيقات المثال سجلات المصادقة والتفويض وتغييرات مخزون البيانات والاتصالات الواردة والصادرة للشبكة.

قائمة التحقق من التدقيق

الحوكمة

توجد سياسة أو إجراء حاكم، معتمد من الإدارة، وتمت مراجعته خلال الـ 12 شهراً الماضية.

وثيقة سياسة موقعة/معتمدة مع تاريخ المراجعة

تم تعيين الأدوار والمسؤوليات لهذه الضمانة رسمياً وتم إبلاغها.

مصفوفة RACI، سجلات تعيين الأدوار، أو الأوصاف الوظيفية

النوع	عنصر الدليل	التكرار
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

الضابط 7 الضابط 9