الاحتفاظ بسجلات التدقيق
الوصف
الاحتفاظ بسجلات التدقيق عبر أصول المؤسسة لمدة لا تقل عن 90 يومًا.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة
Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل
منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة
Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)
نظام إدارة معلومات وأحداث الأمان المدعوم بالذكاء الاصطناعي مع التحليلات السلوكية والتحقيق الآلي وقدرات الاستجابة الآلية لاكتشاف التهديدات
Exabeam · اشتراك لكل مستخدم
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
تدمير أدلة هجوم تاريخية بالحذف المبكر للسجلات
السلامةيتم الاحتفاظ بالسجلات لأقل من 90 يوماً، وعند اكتشاف اختراق بعد أشهر من الاختراق الأولي ويتطلب تحقيقاً جنائياً، تكون الأدلة الحرجة من مرحلتي التسلل الأولي والتنقل الأفقي قد تم مسحها بالفعل.
انتهاك امتثال بسبب احتفاظ سجلات غير كافٍ
التوفرتفرض المتطلبات التنظيمية فترات احتفاظ بالسجلات محددة (غالباً 1-7 سنوات)، والاحتفاظ غير الكافي يؤدي إلى فشل الامتثال ونتائج التدقيق وعقوبات محتملة أثناء الفحوصات التنظيمية.
الثغرات (عند غياب الإجراء الوقائي)
احتفاظ بالسجلات أقل من الحد الأدنى 90 يوماً
يتم الاحتفاظ بسجلات التدقيق لأقل من 90 يوماً بسبب قيود التخزين أو سياسات التدوير المكونة بشكل خاطئ، مما يدمر الأدلة الجنائية اللازمة لتحقيقات الحوادث نظراً لأن متوسط وقت كشف الاختراق يتجاوز 200 يوم.
عدم وجود آلية إنفاذ سياسة الاحتفاظ بالسجلات
حتى حيث توجد سياسات احتفاظ على الورق، لا توجد ضوابط تقنية تفرض فترات احتفاظ دنيا، مما يسمح لضغط التخزين أو أخطاء التكوين بمسح السجلات بصمت قبل انتهاء فترة الاحتفاظ المطلوبة.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |