Strategi Mitigasi 16 #Pencatatan Log Terpusat dan Sinkronisasi Waktu Aktivitas Jaringan

Mitigasi

Lakukan pencatatan log tepusat dan mempunyai fitur sinkronisasi waltu dengan analisis log secara real time dan otomatis, penyimpanan catatan log minimal 18 bulan. Catatan log yang penting antara lain infomasi tentang DNS Server, web proxy yang berisi rincian koneksi termmasuk di dalamnya nilai-nilai dari user-agen, waktu lepas DHCP, catatan log firewall yang berisi rincian lalu-lintas jaringan yang keluar-masuk jaringan organisasi, dan metadata seperti Network Flow Data.

Pencatatan log yang terpusat dan sinkronisasi waktu dan analisis log yang tepat waktu akan meningkatkan kemampuan organisasi secara cepat mengidentifikasi pola perilaku mencurigakan dan log kejadian yang berhubungan dengan perilaku perangkat kerja dan server untuk memudahkan investigasi dan audit apabila terjadi insiden siber.

Panduan Implementasi

Lakukan analisis catatan log secara reguler yang berfokus pada koneksi dan jumlah data yang ditransfer oleh Most Likely Target untuk menandai lalu-lintas internal jaringan yang tidak normal seperti percobaan enumerasi pada jaringan yang dibagi dan informasi user termasuk akun honeytoken. Juga fokus pada lalu-lintas jaringan eksternal yang melewati batas perimeter antara lain:

1. periodic beaconing traffic ;

2. Sesi HTTP dengan rasio yang tidak tepat antara lalu-lintas data yang keluar dan data yang masuk

3. Lalu-lintas HTTP dengan sebuah nilai header “User-Agent” yang tidak berhubungan dengan software asli oleh user organisasi

4. DNS lookups untuk nama domain yang tidak ada dan bukan merupakan kesalahan pengetikan oleh user yang menandakan malware berkomunikasi kepada sebuah domain yang mendaftarkan diri melalui pihak ketiga (cyber adversaries)

5. DNS lookups untuk nama domain yang menggunakan sebuah alamat localhost (127.0.0.1) mencirikan malware dimana cyber adversaries tidak siap untuk berkomunikasi

6. Lalu-lintas data yang besar.

7. Lalu-lintas data diluar jam kerja

8. Koneksi long-lived

Informasi lebih lanjut:

Kontrol ISM : 0120, 0670, 0790, 0380, 0957, 0261, 0109, 0580, 0582‐0583, 0584, 0585, 0586, 0587, 0859, 0987, 0988, 0991, 1032, 0631, 0634, 1176, 1305.

 

Leave a Reply

Your email address will not be published. Required fields are marked *