IG2 IG3

توحيد مزامنة الوقت

مجموعة الضابط: 8. إدارة سجلات التدقيق

نوع الأصل: الشبكة

وظيفة الأمان: حماية

الوصف

توحيد مزامنة الوقت. تكوين ما لا يقل عن خادمي مصدر وقت متزامنين عبر أصول المؤسسة حيثما كان ذلك مدعومًا.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة

Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة

Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)

Exabeam Gartner MQ Visionary, SIEM 2024; Forrester Wave Strong Performer 2024

نظام إدارة معلومات وأحداث الأمان المدعوم بالذكاء الاصطناعي مع التحليلات السلوكية والتحقيق الآلي وقدرات الاستجابة الآلية لاكتشاف التهديدات

Exabeam · اشتراك لكل مستخدم

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

جدول زمني جنائي غير موثوق بسبب انحراف الساعات

السلامة

يتسبب التزامن الزمني غير المتسق عبر أصول المؤسسة في انحراف الطوابع الزمنية للسجلات بدقائق أو ساعات، مما يجعل من المستحيل إعادة بناء الجداول الزمنية للهجمات بدقة أو ربط الأحداث عبر الأنظمة أثناء تحقيقات الحوادث.

فشل ربط السجلات يخفي الهجمات المنسقة

السرية

تفشل قواعد ربط SIEM في كشف الهجمات متعددة المراحل لأن الطوابع الزمنية من مصادر سجل مختلفة غير متوازنة بسبب ساعات غير متزامنة، مما يجعل أحداث الهجوم المرتبطة تبدو غير مرتبطة عبر نوافذ زمنية مختلفة.

عدم قبول الأدلة بسبب طوابع زمنية غير موثوقة

السلامة

ترفض الإجراءات القانونية أو التحقيقات التنظيمية أدلة السجلات لأن الطوابع الزمنية لا يمكن إثبات دقتها، مما يقوض قدرة المؤسسة على ملاحقة المهاجمين أو إثبات الامتثال للمتطلبات التنظيمية.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود تكوين NTP موحد عبر أصول المؤسسة

تستخدم أصول المؤسسة خوادم NTP مختلفة أو لا تستخدم أياً منها، مما يتسبب في انحراف الساعات بين الأنظمة الذي يُضعف دقة وموثوقية إدخالات سجل التدقيق المختومة زمنياً المستخدمة للربط والتحليل الجنائي.

مصدر NTP واحد بدون تكرار

الأصول مكونة بمصدر زمني واحد فقط، وإذا أصبح هذا المصدر غير متاح أو مخترقاً، تنحرف الساعات دون كشف، مما يُضعف سلامة جميع عمليات الأمان المعتمدة على الوقت.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة سجلات التدقيق

Control 8

الإجراءات الوقائية ذات الصلة في الضابط 8

8.1 إنشاء وصيانة عملية إدارة سجلات التدقيق

8.2 جمع سجلات التدقيق

8.3 ضمان تخزين كافٍ لسجلات التدقيق

8.5 جمع سجلات تدقيق تفصيلية

8.6 جمع سجلات تدقيق استعلامات DNS

8.7 جمع سجلات تدقيق طلبات URL

8.8 جمع سجلات تدقيق سطر الأوامر

8.9 مركزة سجلات التدقيق

8.10 الاحتفاظ بسجلات التدقيق

8.11 إجراء مراجعات سجلات التدقيق

8.12 جمع سجلات مزودي الخدمات