مركزة سجلات التدقيق
الوصف
مركزة تجميع وتخزين سجلات التدقيق من أصول المؤسسة.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة
Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل
منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة
Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)
نظام إدارة معلومات وأحداث الأمان المدعوم بالذكاء الاصطناعي مع التحليلات السلوكية والتحقيق الآلي وقدرات الاستجابة الآلية لاكتشاف التهديدات
Exabeam · اشتراك لكل مستخدم
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
فقدان أنماط هجوم عبر الأنظمة في سجلات موزعة
السريةتمر الهجمات المتطورة متعددة المراحل التي تمتد عبر أنظمة متعددة دون كشف لأن السجلات تبقى على الأصول الفردية حيث يبدو كل جزء حميداً، والربط المركزي فقط سيكشف نمط الهجوم الكامل.
تدمير السجلات من قبل المهاجمين على المضيفات المخترقة
السلامةيحذف المهاجمون ذوو الوصول الإداري على الأنظمة المخترقة ملفات السجل المحلية أو يعبثون بها لتغطية آثارهم، وبدون جمع سجلات مركزي تُفقد سجلات التدقيق هذه بشكل دائم.
تأخر كشف الاختراق من مراجعة السجلات اليدوية
السريةبدون تجميع سجلات مركزي، يجب على محللي الأمان الوصول يدوياً إلى الأنظمة الفردية لمراجعة السجلات، مما يزيد بشكل كبير من وقت كشف الاختراقات ويمدد فترة بقاء المهاجم من أيام إلى أشهر.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود منصة SIEM أو تجميع سجلات مركزية
تبقى سجلات التدقيق على الأصول الفردية بدون جمع مركزي، مما يجعل الربط عبر الأنظمة مستحيلاً ويزيد وقت التحقيق بشكل أسي ويترك السجلات عرضة للعبث المحلي من قبل المهاجمين.
إعادة توجيه سجلات جزئية مع أنواع مصادر مفقودة
يغطي تمركز السجلات فقط بعض فئات الأصول بينما تحتفظ أخرى (الخدمات السحابية وأجهزة الشبكة ومضيفات Linux) بالسجلات محلياً، مما يخلق نقاطاً عمياء في قدرات المراقبة والربط المركزية.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |