IG3

جمع سجلات مزودي الخدمات

مجموعة الضابط: 8. إدارة سجلات التدقيق

نوع الأصل: البيانات

وظيفة الأمان: كشف

الوصف

جمع سجلات مزودي الخدمات حيثما كان ذلك مدعومًا. تتضمن تطبيقات المثال سجلات المصادقة والتفويض وتغييرات مخزون البيانات والاتصالات الواردة والصادرة للشبكة.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة

Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة

Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)

CrowdStrike Falcon LogScale Gartner MQ Leader, EPP 2024; Forrester Wave Leader, Security Analytics 2024

منصة عالية الأداء لإدارة السجلات والمراقبة مصممة للبيانات بحجم بيتابايت مع البحث في الوقت الفعلي

CrowdStrike · اشتراك لكل غيغابايت

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

اختراق حساب SaaS بدون رؤية تدقيق

السرية

يخترق المهاجمون بيانات اعتماد منصات مزودي الخدمات السحابية (Microsoft 365 وAWS وSalesforce) ولا تمتلك المؤسسة رؤية لأحداث المصادقة أو تغييرات الصلاحيات أو الوصول إلى البيانات لأن سجلات مزود الخدمة لا يتم جمعها.

تسريب بيانات سحابية عبر واجهات برمجة مزود غير مراقبة

السرية

يتم الوصول إلى البيانات الحساسة المخزنة في المنصات السحابية أو تصديرها عبر واجهات برمجة المزود وآليات المشاركة، لكن بدون جمع سجلات مزود الخدمة لا تستطيع المؤسسة كشف الوصول غير المصرح به للبيانات أو التسريب من هذه المنصات.

نشاط مسؤول ظلي في الخدمات السحابية

السلامة

يمر تصعيد الصلاحيات غير المصرح به أو إنشاء حسابات مسؤول في مزودي الخدمات السحابية دون كشف لأن أحداث إدارة المستخدمين من هذه المنصات لا يتم جمعها أو مراقبتها من قبل فريق الأمان المؤسسي.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود تكامل مع واجهات برمجة سجلات مزود الخدمة السحابية

لم تكون المؤسسة جمع السجلات من مزودي الخدمات السحابية (AWS CloudTrail وAzure Activity Logs وGoogle Cloud Audit Logs وMicrosoft 365 Unified Audit Log)، تاركة جميع الأنشطة السحابية غير مراقبة.

عدم إعادة توجيه سجلات تطبيقات SaaS إلى SIEM المركزي

تمتلك تطبيقات SaaS الحرجة للأعمال قدرات تسجيل تدقيق، لكن سجلاتها لا تُعاد توجيهها إلى SIEM المؤسسي، مما يخلق فجوات رؤية للتطبيقات التي تعالج البيانات الحساسة خارج البنية التحتية المحلية.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة سجلات التدقيق

Control 8

الإجراءات الوقائية ذات الصلة في الضابط 8

8.1 إنشاء وصيانة عملية إدارة سجلات التدقيق

8.2 جمع سجلات التدقيق

8.3 ضمان تخزين كافٍ لسجلات التدقيق

8.4 توحيد مزامنة الوقت

8.5 جمع سجلات تدقيق تفصيلية

8.6 جمع سجلات تدقيق استعلامات DNS

8.7 جمع سجلات تدقيق طلبات URL

8.8 جمع سجلات تدقيق سطر الأوامر

8.9 مركزة سجلات التدقيق

8.10 الاحتفاظ بسجلات التدقيق

8.11 إجراء مراجعات سجلات التدقيق