GH GambleHub

Audit və loginq alətləri

1) Niyə lazımdır

Məqsədlər:
  • Hərəkətlərin izlənməsi (kim/nə/nə vaxt/haradan/niyə).
  • Hadisələrin sürətli araşdırılması və forensika.
  • Tənzimləyicilərin və müştərilərin tələblərinə uyğunluq.
  • Risklərin idarə edilməsi və hadisələrdə MTTR-in azaldılması.
  • Risk, antifrod, uyğunluq modellərini dəstəkləmək (KYC/AML/RTBF/Legal Hold).
Əsas prinsiplər:
  • Mənbələrin tam örtüyü.
  • Qeydlərin dəyişməzliyi və bütövlüyü.
  • Standartlaşdırılmış hadisə sxemləri.
  • Axtarış əlçatanlığı və korrelyasiya.
  • Şəxsi məlumatların minimuma endirilməsi və məxfiliyə nəzarət.

2) Alətlərin mənzərəsi

2. 1 Log menecmenti və indeksləşdirmə

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Saxlama və axtarış: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
Streaming/şinlər: Kafka/Redpanda, NATS, Pulsar - bufer və fan-out üçün.
Parsinq və normallaşdırma: Grok/regex, OTel processors, Logstash pipelines.

2. 2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/davranış analizi: SIEM, ML detektorlarında daxili modullar.
SOAR/orkestri: Cortex/XSOAR, Tines, Shuffle - pleybukların avtomatlaşdırılması.

2. 3 Audit və dəyişməzlik

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
Dəyişməz saxlama: WORM-backets (Object Lock), S3 Glacier Vault Lock, write-once volumes, kriptovalyutası/hash zənciri ilə jurnallaşdırma.
TSA/Zaman Etiketləri: NTP/PTP-yə bağlanma, xarici etibarlı vaxtda xash-in periodik çapraz yazılması.

2. 4 Müşahidə və izləmə

Metrik/treys: Prometheus + Tempo/Jaeger/OTel, trace_id/span_id izləri log korelyasiyası.
Daşbordlar və Alertlər: Grafana/Kibana/Datadog.

3) Hadisə mənbələri (örtük)

Infrastruktur: OS (syslog, auditd), konteynerlər (Docker), orkestr (Kubernetes Events + Audit), şəbəkə cihazları, WAF/CDN, VPN, IAM.
Applications və API: API-şluz, xidmət-mash, veb-serverlər, backends, növbələr, planlaşdırıcılar, vebhuks.
DD və anbarlar: sorğular, DDL/DML, məxfilərə/açarlara giriş, obyekt anbarına giriş.
Ödəniş inteqrasiyaları: PSP/ekvayrinq, chargeback-tədbirlər, 3DS.
Əməliyyatlar və proseslər :/CI/CD konsollarına girişlər, admin panelləri, konfiqurasiya dəyişiklikləri/fayllar, buraxılışlar.
Təhlükəsizlik: IDS/IPS, EDR/AV, boşluq skanerləri, DLP.
İstifadəçi hadisələri: autentifikasiya, giriş cəhdləri, KYC statusunun dəyişdirilməsi, depozitlər/nəticələr, bahislər/oyunlar (lazım olduqda anonimləşdirmə ilə).

4) Məlumat sxemləri və standartları

Hadisənin vahid modeli: 'timestamp', 'event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Korrelyasiya açarları: 'trace _ id', 'session _ id', 'request _ id', 'device _ id', 'k8s. pod_uid`.
Keyfiyyət: məcburi sahələr, validasiya, deduplikasiya, «səs-küylü» mənbələr üçün sempleme.

5) Memarlıq referansı

1. Nod/agent yığımı →

2. Pre-prosessinq (parsinq, PII-redaktə, normallaşma) →

3. Şina (Kafka) ≥ 3-7 gün →

4. Forklar axını:
  • Operativ saxlama (axtarış/korrelyasiya, 7-30 gün isti saxlama).
  • Dəyişməz arxiv (WORM/Glacier audit üçün 1-7 il).
  • SIEM (deteksiya və hadisələr).
  • 5. Daşbordlar/axtarış (əməliyyatlar, təhlükəsizlik, komplayens).
  • 6. Reaksiyaların avtomatlaşdırılması üçün SOAR.
Saxlama qatları:
  • Hot: SSD/indeksləşdirmə, sürətli axtarış (operativ cavab).
  • Warm: sıxılma/daha az tez-tez giriş.
  • Cold/Archive (WORM): ucuz uzunmüddətli saxlama, lakin dəyişməz.

6) Dəyişməzlik, bütövlük, etimad

WORM/obyekt-lok: siyasətin müddəti üçün silinmə və modifikasiyanın bloklanması.
Kriptop imzası və hash zənciri: batcham/çantalar vasitəsilə.
Hash-anking: Xarici reyestrdə və ya etibarlı vaxtda hash-in dövri yayımlanması.
Vaxt sinxronizasiyası: NTP/PTP, drift monitorinqi; qeyd 'clock. source`.
Dəyişikliyə nəzarət: retention/Legal Hold siyasətləri üçün dördgözlü/dual control.

7) Gizlilik və uyğunluq

PII Minimallaşdırma: Yalnız lazımi sahələri saxlamaq, redaktə/ingest maskalamaq.
Təxəllüs: 'user. pseudo_id', mappinq ayrı və məhdud saxlanılır.
GDPR/DSAR/RTBF: mənbələrin təsnifatı, idarə olunan məntiqi silmə/replikalarda gizlətmə, hüquqi saxlama vəzifələri üçün istisnalar.
Legal Hold: «freeze» etiketləri, arxivlərdə silinmənin dayandırılması; Hold ətrafında fəaliyyət jurnalı.
ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, yerli bazar tənzimlənməsi.

8) Əməliyyat və proseslər

8. 1 Playbooks/Runbooks

Mənbə itkisi: necə müəyyən etmək (heartbeats), necə bərpa etmək (təkərdən replay), boşluqları necə kompensasiya etmək.
Gecikmələrin artması: növbələrin yoxlanılması, şardinq, indekslər, backpressure.
X hadisəsinin araşdırılması: KQL/ES-query şablonu + Trace konteksti ilə əlaqə.
Legal Hold: kim qoyur, necə çəkilir, necə sənədləşdirilir.

8. 2 RACI (qısaca)

R (Responsible): Toplama/çatdırılma üçün Observability-komanda; Deteksiya qaydaları üçün SecOps.
A (Accountable): Siyasət və büdcə üçün CISO/Head of Ops.
C (Consulted): Gizlilik üçün DPO/Legal; Sxemlər üçün memarlıq.
I (Informed): Sapport/Məhsul/Risk-menecment.

9) Keyfiyyət metrikası (SLO/KPI)

Coverage: kritik mənbələr% bağlı (hədəf ≥ 99%).
Ingest lag: p95 çatdırılma gecikməsi (<30 san).
Indexing success: parsing səhvləri olmadan hadisələrin payı (> 99. 9%).
Search latency: p95 <2 s standart 24h pəncərə sorğu.
Drop rate: hadisə itkisi <0. 01%.
Alert fidelity: Precision/Recall qaydalarına əsasən, saxta pozitivlərin payı.
Cost per GB: dövr üçün saxlama/indeks dəyəri.

10) Saxlama siyasəti (nümunə)

KateqoriyaHotWarmArchive (WORM)Cəmi
İnzibati panellərin auditi14 d90 d5 il5 il
Ödəniş hadisələri7 d60 d7 il7 il
Tech. proqram qeydləri3 d30 d1 il1 il
Təhlükəsizlik (IDS/EDR)14 d90 d2 il2 il

Siyasətçilər Qanuni/DPO və yerli tənzimləmələrlə dəqiqləşdirilir.

11) Deteksiya və alertlər (skelet)

Qaydalar (rule-as-code):
  • Şübhəli identifikasiya (qeyri-mümkün hərəkət, TOR, tez-tez səhvlər).
  • Imtiyazların/rolların artması.
  • Buraxılış cədvəli xaricində konfiqurasiya/sirr dəyişiklikləri.
  • Anormal əməliyyat nümunələri (AML/antifrod siqnalları).
  • Kütləvi data boşaltma (DLP-trigger).
  • Uğursuzluğa davamlılıq: 5xx qasırğa, latency deqradasiyası, pod 'ların dəfələrlə restartları.
Kontekstlər:
  • Geo/IP reputasiyasını zənginləşdirmək, relizlərə/fiçflaglara bağlanmaq, yollarla əlaqə.

12) Log giriş təhlükəsizliyi

RBAC və vəzifələrin ayrılması: oxucular/analitiklər/idarəçilər üçün ayrı rollar.
Just-in-time giriş: müvəqqəti tokenlər, «həssas» indekslərin bütün oxunuşlarının auditi.
Şifrələmə: in-tranzit (TLS), at-rest (KMS/CMK), açar izolyasiyası.
Sirləri və açarları: rotasiya, PII ilə hadisələrin ixracının məhdudlaşdırılması.

13) Tətbiqi yol xəritəsi

MVP (4-6 həftə):

1. Mənbə kataloqu + minimum sxem (ECS/OCSF).

2. Nod + OTel Collector agenti; mərkəzləşdirilmiş parsinq.

3. Hot Depolama (OpenSearch/Elasticsearch/Loki) + dashboard.

4. Əsas risklər (autentifikasiya, 5xx, konfiqurasiya dəyişiklikləri).

5. Object Storage-da Object-lock (WORM) ilə arxiv.

Faza 2:
  • Kafka kimi şin, repley, retray-növbələr.
  • SIEM + ilk korrelyasiya qaydaları, SOAR pleybukları.
  • Kriptopodpiska batchey, çapraz hash.
  • Legal Hold siyasətləri, DSAR/RTBF prosedurları.
Faza 3:
  • UEBA/ML deteksiyası.
  • Hadisə kataloqu (Data Catalog), lineage.
  • Qiymətin optimallaşdırılması: «səs-küylü» log, tiering.

14) Tez-tez səhvlər və onlardan necə qaçmaq olar

Sxem olmadan log-səs: → məcburi sahələri və sampling daxil edin.
Tracking yoxdur: → trace_id kor-services və proxy daxil edin.
Vahid «monolit» log: → domenlər və kritiklik səviyyələrinə görə bölmək.
Dəyişməzlik yoxdur: → WORM/Object Lock və imza daxil edin.
Log sirləri: → filtrlər/redaktorlar, token skanerləri, revyu.

15) Başlanğıc çek siyahısı

  • Kritik prioritet mənbələrin reyestri.
  • Vahid sxem və validatorlar (parserlər üçün CI).
  • Agentlik strategiyası (k8s daemonset, Beats/OTel).
  • Şin və retenshn.
  • Isti/soyuq/arxiv saxlama + WORM.
  • RBAC, şifrələmə, giriş jurnalı.
  • SOAR əsas alertləri və playbukları.
  • Ops/Sec/Compliance üçün Dashboard.
  • DSAR/RTBF/Legal Hold siyasəti.
  • KPI/SLO + saxlama büdcəsi.

16) Hadisə nümunələri (sadələşdirilmiş)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Lüğət (qısa)

Audit trail - subyektin hərəkətlərini qeyd edən dəyişməz qeydlər ardıcıllığı.
WORM - saxlama rejimi «qeyd-bir dəfə, oxu-çox poza».
SOAR - playbook hadisələrinə cavab verməyin avtomatlaşdırılması.
UEBA - istifadəçilərin və mahiyyətlərin davranışının analizi.
OCSF/ECS/OTel - log və telemetriya sxemlərinin standartları.

18) Yekun

Audit və loginq sistemi «log yığını» deyil, dəqiq məlumat sxemi, dəyişməz arxiv, korrelyasiya və reaksiya pleybukları ilə idarə olunan proqramdır. Bu məqalədən prinsiplərə riayət edilməsi müşahidə qabiliyyətini artırır, araşdırmaları sürətləndirir və Əməliyyatların və Komplayensin əsas tələblərini bağlayır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.