ضمان تخزين كافٍ لسجلات التدقيق
الوصف
التأكد من أن مواقع تخزين سجلات التدقيق لديها تخزين كافٍ وأن السجلات متاحة قبل الكتابة فوقها.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة
Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل
منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة
Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)
منصة عالية الأداء لإدارة السجلات والمراقبة مصممة للبيانات بحجم بيتابايت مع البحث في الوقت الفعلي
CrowdStrike · اشتراك لكل غيغابايت
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
فقدان بيانات السجل بسبب استنفاد التخزين
السلامةيتم الكتابة فوق بيانات سجل التدقيق الحرجة بصمت أو التخلص منها عندما ينفد تخزين وجهات التسجيل، مما يدمر أدلة الهجمات الجارية أو السجلات المطلوبة للامتثال خلال الفترات التي تكون فيها أكثر حاجة.
رفض التسجيل عبر هجوم إغراق التخزين
التوفريولد المهاجمون عمداً أحجاماً ضخمة من إدخالات السجل لاستنفاد التخزين المتاح، مما يتسبب في إسقاط أحداث التدقيق المشروعة وخلق نافذة نشاط غير مراقب لعملياتهم الخبيثة الفعلية.
الثغرات (عند غياب الإجراء الوقائي)
عدم مراقبة سعة التخزين لوجهات السجل
لا يتم مراقبة أحجام تخزين السجلات للسعة ولا تُطلق تنبيهات عندما يقترب التخزين من عتبات السعة، مما يؤدي إلى فقدان سجلات صامت عند امتلاء الأقراص خلال فترات النشاط العالي أو الهجمات.
تخزين سجلات ناقص الحجم بدون توافق مع الاحتفاظ
سعة تخزين السجلات غير كافية للاحتفاظ بالسجلات للفترة المحددة بسياسة الاحتفاظ بالمؤسسة، مما يفرض إما حذف السجلات المبكر أو فشل التسجيل الذي يضر بالامتثال والقدرة الجنائية.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |