IG1 IG2 IG3

جمع سجلات التدقيق

مجموعة الضابط: 8. إدارة سجلات التدقيق

نوع الأصل: الشبكة

وظيفة الأمان: كشف

الوصف

جمع سجلات التدقيق. التأكد من أن كل أصل من أصول المؤسسة يولد سجلات تدقيق كافية. تتضمن تطبيقات المثال المصادقة وقرارات التفويض وتغييرات التكوين ومحاولات الوصول غير المصرح به. استخدام منصة SIEM أو مكافئة لتوحيد ومراجعة سجلات التدقيق.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة

Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة

Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)

CrowdStrike Falcon LogScale Gartner MQ Leader, EPP 2024; Forrester Wave Leader, Security Analytics 2024

منصة عالية الأداء لإدارة السجلات والمراقبة مصممة للبيانات بحجم بيتابايت مع البحث في الوقت الفعلي

CrowdStrike · اشتراك لكل غيغابايت

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

نقاط عمياء تمكن اختراقاً غير مكتشف

السرية

يستهدف المهاجمون تحديداً الأصول التي يكون تسجيل التدقيق فيها معطلاً أو غير مجموع، عالمين أن أنشطتهم لن تترك أثراً جنائياً، مما يمكن فترات بقاء مطولة وتسريب بيانات غير مكتشف.

العبث بدون دليل على أنظمة غير مسجلة

السلامة

يعدل المطلعون الخبيثون أو المهاجمون الخارجيون البيانات الحرجة أو التكوينات أو ضوابط الوصول على أنظمة لا يتم جمع سجلات التدقيق منها، مما يجعل من المستحيل كشف التغييرات غير المصرح بها أو نسبتها.

استغلال مضادات الطب الشرعي لفجوات التسجيل

السرية

يوجه المهاجمون المتطورون أنشطتهم عبر أصول بدون جمع سجلات، مستخدمين هذه النقاط العمياء كمناطق إعداد للتنقل الأفقي وإعداد البيانات مع البقاء غير مرئيين للمراقبة الأمنية.

الثغرات (عند غياب الإجراء الوقائي)

تسجيل التدقيق معطل على أصول المؤسسة الحرجة

الخوادم وقواعد البيانات وأجهزة الشبكة والخدمات السحابية الرئيسية لديها تسجيل التدقيق معطل افتراضياً أو تم تعطيله عمداً للحفاظ على الموارد، مما يخلق نقاطاً عمياء جنائية عبر البنية التحتية.

جمع سجلات غير متسق عبر أنواع الأصول

التسجيل ممكّن على بعض فئات الأصول (مثل وحدات التحكم بالنطاق) لكن ليس على غيرها (مثل خوادم Linux وأجهزة الشبكة وتطبيقات SaaS)، تاركاً أجزاء كبيرة من البيئة بدون سجلات تدقيق.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة سجلات التدقيق

Control 8

الإجراءات الوقائية ذات الصلة في الضابط 8

8.1 إنشاء وصيانة عملية إدارة سجلات التدقيق

8.3 ضمان تخزين كافٍ لسجلات التدقيق

8.4 توحيد مزامنة الوقت

8.5 جمع سجلات تدقيق تفصيلية

8.6 جمع سجلات تدقيق استعلامات DNS

8.7 جمع سجلات تدقيق طلبات URL

8.8 جمع سجلات تدقيق سطر الأوامر

8.9 مركزة سجلات التدقيق

8.10 الاحتفاظ بسجلات التدقيق

8.11 إجراء مراجعات سجلات التدقيق

8.12 جمع سجلات مزودي الخدمات