IG2 IG3

جمع سجلات تدقيق سطر الأوامر

مجموعة الضابط: 8. إدارة سجلات التدقيق

نوع الأصل: الأجهزة

وظيفة الأمان: كشف

الوصف

جمع سجلات تدقيق سطر الأوامر. تتضمن تطبيقات المثال جمع سجلات التدقيق من PowerShell و BASH و أدوات سطر الأوامر الطرفية البعيدة.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة

Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل

Microsoft Sentinel Gartner MQ Leader, SIEM 2024

منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة

Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)

CrowdStrike Falcon LogScale Gartner MQ Leader, EPP 2024; Forrester Wave Leader, Security Analytics 2024

منصة عالية الأداء لإدارة السجلات والمراقبة مصممة للبيانات بحجم بيتابايت مع البحث في الوقت الفعلي

CrowdStrike · اشتراك لكل غيغابايت

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

تهرب هجوم استخدام أدوات النظام المدمجة

السرية

يستخدم المهاجمون أدوات نظام التشغيل المدمجة مثل PowerShell وcmd.exe وbash وWMI لتنفيذ أوامر خبيثة تمتزج مع النشاط الإداري العادي، وبدون تسجيل سطر الأوامر لا تترك هذه الهجمات بدون ملفات أي أثر للكشف أو الطب الشرعي.

تنفيذ حمولة PowerShell مموهة

السلامة

تُنفذ نصوص PowerShell الخبيثة باستخدام أوامر مشفرة وتقنيات تجاوز AMSI وتحميل الوحدات على نقاط النهاية بدون أي سجل للأوامر الفعلية المنفذة، مما يمنع كشف جمع بيانات الاعتماد والتنقل الأفقي أو إعداد البيانات.

إدارة عن بُعد غير مصرح بها عبر سطر الأوامر

السرية

ينفذ المهاجمون أوامر عبر أدوات الإدارة عن بُعد (PsExec وSSH وWinRM) على الأنظمة المخترقة، وبدون سجلات تدقيق سطر الأوامر لا تستطيع المؤسسة كشف أو إعادة بناء أنشطة المهاجم على كل مضيف مخترق.

الثغرات (عند غياب الإجراء الوقائي)

تعطيل تسجيل كتل النصوص والوحدات في PowerShell

نقاط نهاية Windows ليس لديها تسجيل كتل نصوص PowerShell أو تسجيل الوحدات أو النسخ ممكّنة، مما لا يوفر رؤية لأوامر ونصوص PowerShell الفعلية المنفذة على أصول المؤسسة.

عدم وجود تدقيق سطر الأوامر للعمليات على نقاط النهاية

أنظمة التشغيل غير مكونة لتضمين وسيطات سطر الأوامر في أحداث تدقيق إنشاء العمليات، مما يعني أن أدوات الأمان لا تستطيع رؤية المعلمات التي مُررت إلى الملفات التنفيذية، مما يخفي النية الخبيثة خلف أسماء عمليات شرعية.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة سجلات التدقيق

Control 8

الإجراءات الوقائية ذات الصلة في الضابط 8

8.1 إنشاء وصيانة عملية إدارة سجلات التدقيق

8.2 جمع سجلات التدقيق

8.3 ضمان تخزين كافٍ لسجلات التدقيق

8.4 توحيد مزامنة الوقت

8.5 جمع سجلات تدقيق تفصيلية

8.6 جمع سجلات تدقيق استعلامات DNS

8.7 جمع سجلات تدقيق طلبات URL

8.9 مركزة سجلات التدقيق

8.10 الاحتفاظ بسجلات التدقيق

8.11 إجراء مراجعات سجلات التدقيق

8.12 جمع سجلات مزودي الخدمات