IG2 IG3

إجراء مراجعات سجلات التدقيق

مجموعة الضابط: 8. إدارة سجلات التدقيق

نوع الأصل: الشبكة

وظيفة الأمان: كشف

الوصف

إجراء مراجعات لسجلات التدقيق للكشف عن الشذوذ والأحداث الأمنية التي يمكن أن تشير إلى تهديد محتمل. إجراء مراجعات أسبوعيًا أو بشكل أكثر تكرارًا.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة

Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة

Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)

CrowdStrike Falcon LogScale Gartner MQ Leader, EPP 2024; Forrester Wave Leader, Security Analytics 2024

منصة عالية الأداء لإدارة السجلات والمراقبة مصممة للبيانات بحجم بيتابايت مع البحث في الوقت الفعلي

CrowdStrike · اشتراك لكل غيغابايت

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

فترة بقاء مهاجم مطولة من سجلات غير مراجعة

السرية

تلتقط سجلات التدقيق مؤشرات اختراق بما في ذلك محاولات مصادقة فاشلة وأحداث تصعيد صلاحيات وأنماط وصول بيانات غير عادية، لكن بدون مراجعة منتظمة تمر هذه التحذيرات دون ملاحظة بينما يعمل المهاجمون بحرية لأشهر.

مؤشرات تهديد داخلي مفقودة في بيانات سجل قديمة

السرية

تحتوي سجلات التدقيق على أنماط تشير إلى تهديدات داخلية مثل الوصول إلى البيانات بعد ساعات العمل والتنزيلات الجماعية أو إساءة استخدام الصلاحيات، لكن بدون مراجعات سجل أسبوعية لا يتم الإبلاغ عن هذه الشذوذات السلوكية أو التحقيق فيها أبداً.

هجمات القوة الغاشمة تنجح بدون تصعيد التنبيه

السرية

تولد هجمات القوة الغاشمة ورش كلمات المرور أنماط سجل واضحة عبر أنظمة المصادقة، لكن بدون مراجعات سجل مجدولة وكشف شذوذ تنجح هذه الهجمات قبل أن يلاحظ أحد شذوذات المصادقة.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود عملية أو إيقاع مجدول لمراجعة السجلات

تجمع المؤسسة سجلات التدقيق لكن ليس لديها عملية لمراجعتها بانتظام، معاملة جمع السجلات كخانة اختيار امتثال بدلاً من قدرة كشف تهديدات نشطة.

عدم وجود معايير كشف شذوذ محددة لمراجعات السجلات

حتى عند مراجعة السجلات، يفتقر المحللون إلى معايير محددة لما يشكل شذوذاً أو حدثاً غير طبيعي، مما يؤدي إلى جودة مراجعة ذاتية وغير متسقة تفتقد مؤشرات اختراق دقيقة.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة سجلات التدقيق

Control 8

الإجراءات الوقائية ذات الصلة في الضابط 8

8.1 إنشاء وصيانة عملية إدارة سجلات التدقيق

8.2 جمع سجلات التدقيق

8.3 ضمان تخزين كافٍ لسجلات التدقيق

8.4 توحيد مزامنة الوقت

8.5 جمع سجلات تدقيق تفصيلية

8.6 جمع سجلات تدقيق استعلامات DNS

8.7 جمع سجلات تدقيق طلبات URL

8.8 جمع سجلات تدقيق سطر الأوامر

8.9 مركزة سجلات التدقيق

8.10 الاحتفاظ بسجلات التدقيق

8.12 جمع سجلات مزودي الخدمات