針對稽核紀錄做到維護、監控、分析
藉由收集、管理與分析事件之稽核記錄(Audit Logs),得以有效的偵測、了解,從攻擊中恢復。
為什麼這是關鍵控制項目?
安全日誌記錄和分析方面的缺陷允許攻擊者隱藏其在受害設備上的位置;惡意軟體與活動。即使受害者知道他們的系統已被破壞,沒有受保護和完整的日誌記錄,他們也無法掌握攻擊的細節以及攻擊者後續採取的行動。如果沒有可靠的稽核日誌,攻擊可能無限期被忽視,特定的損害可能是無法反轉的。
有時日誌記錄是攻擊成功的唯一證據。許多組織為了合規目的而保留稽核記錄,但攻擊者依賴於這樣的組織很少查看稽核日誌的事實;並且組織不知道他們的系統已被破壞。由於日誌分析流程較差或不存在,攻擊者有時會控制受害者設備數月或數年,即使攻擊證據已記錄在未經稽核的日誌文件中,目標組織中的任何人都不知道。