审计日志和访问痕迹
1)目的和适用范围
目的:确保用户/服务行为的可证明性,调查的透明度,法规遵从性和内部标准(GDPR/AML,与PSP/KYC提供商的合同,ISO/PCI的适用性)。
覆盖范围:所有软件系统,平台服务(帐户,付款,反欺诈,KUS/制裁, RG),管理面板,API网关,DWH/BI,基础设施(K8s/云),与供应商集成。
2)如何编写(事件类)
1.识别和访问:登录/登录,MFA,密码/密钥更改,SSO,"断面"访问。
2.行政行动:角色/权利、配置、反亲属/制裁规则、幻灯片标志的变化。
3.使用PII/小费的操作:阅读/导出/删除、卸载、访问KYC、查看VIP配置文件。
4.交易和资金:缓存/存款、取消、退款、充电板解决方桉。
5.合规性/AML/KYC:筛选结果(制裁/PEP/Adverse Media),解决方案(TP/FP),EDD/STR/SAR。
6.事件和安全:升级,WAF/IDS规则更改,服务隔离,保密轮换。
7.集成/供应商:API调用、错误、定时、导出、数据删除/退回确认。
3)强制性事件字段(最小值)
`event_id` (UUID), `ts_utc`, `ts_local`, `source_service`, `trace_id`/`span_id`
'actor_type' (user/service/vendor)、'actor_id'(持久性标识符)、'actor_org'(如果B2B)
`subject_type` (account/tx/document/dataset), `subject_id`
`action` (e.g., `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `WITHDRAWAL_APPROVE`)
`result` (success/deny/error) и `reason`/`error_code`
"ip","device_fingerprint","geo"(国家/地区),"auth_context"(MFA/SSO)
"fields_accessed"/"scope"(使用PII/findanns时)-带有蒙版
"purpose"/"ticket_id"(基础: DSAR,事件,监管机构请求,操作任务)
4)不可变性和可证明性
WORM存储,用于"金色"复制件(不可思议的桶装/retention policies)。
加密脚本/哈希链:事件包的周期性签名和/或哈希链的构建(哈希链条)以检测修改。
方案/规则更改日志:对方案和逻辑策略进行验证;任何编辑均由CAB进行。
双环存储:操作索引(搜索)+归档/immutability。
5)时间同步和跟踪
在所有环境中统一的NTP/Chrony;在逻辑中-'ts_utc'作为真理的来源。
在每个日志中,"trace_id"/"span_id"用于端到端查询跟踪(服务,供应商和前沿之间的相关性)。
6)隐私和秘密
禁止:密码,代币,完整的PAN/CSC,完整的文档号,"原始"生物识别。
默认掩码:电子邮件/电话/IBAN/PAN →令牌/部分显示。
别名:"user_id" →分析中的稳定令牌;绑定到实际ID-仅在受保护的路径中。
DSAR兼容性:在不透露外部PII的情况下,可以按主题选择性地检索日志。
7)保质期和保质期(续订)
8)访问和控制(RBAC/ABAC)
审核日志读取角色与管理角色分开。
MFA和Just-in-Time Access(断面),带有自动响应/编译原因。
"最小"策略:仅在需要时才访问PII/finded字段,并带有"purpose"固定。
导出/上载:收件人和格式的白名单;强制签名/散列,上载日志。
9)与SIEM/SOAR/ETL的集成
审计事件流进入SIEM进行相关性(e。g.,大量"READ_PII"+从新设备登录)。
SOAR花花公子:违反策略时自动滴答作响(没有"purpose",音量异常,窗口外访问)。
ETL/DWH:"audit_access","pii_exports","admin_changes"展示柜,具有电路的质量控制和忠诚度。
10)数据质量和验证器
方案作为代码(JSON/Protobuf/Avro):必填字段,类型,字典;CI验证器。
对电路错误事件进行剔除和quarantine队列;婚姻指标。
"(event_id、trace_id、ts)"的重复数据消除/等效性;控制重新发送。
11) RACI
12)SOP: 调查数据访问
1.触发因素:SIEM alert(异常'READ_PII'/出口),投诉,来自供应商的信号。
2.工件收集:通过"actor_id"/"subject_id"/"trace_id","purpose"日志以及随附的逻辑(WAF/IdP)卸载事件。
3.合法性检查:存在基础(DSAR/事件/服务任务),约定,访问窗口。
4.影响评估:PII的范围/类别,管辖权,对象的风险。
5.解决方案:事件桥(在High/Critical下),容纳(可用性召回,钥匙旋转)。
6.报告和CAPA:原因,违反政策,措施(掩盖,培训,RBAC更改),时间表。
13) SOP: 数据导出(监管机构/合作伙伴/DSAR)
1.查询→基础和身份验证(用于DSAR)→在DWH中生成查询。
2.缺省非人格/最小化;仅在法律依据下才包括PII。
3.上载生成(CSV/JSON/Parquet)→签名/散列→上载日志记录(谁/何时/何时/何人/底座)。
4.通过批准的链路(sFTP/Secure link)传输;副本的保留期是按策略进行的。
5.后控制:确认接收,删除临时文件。
14)度量标准和KRIs/KPIs
覆盖:发送审计事件的关键系统的比例≥ 95%。
DQ错误:被验证者拒绝的事件≤ 0。5%的流量。
流失的MTTD:≤ 15分钟(沉默时的警报器)。
没有"purpose"的异常访问:=0(KRI)。
对调查的答复时间:中点≤ 4小时,P95 ≤ 24时。
签名/哈希出口: 100%.
合规性:删除/存档按时≥ 99%。
15)供应商和子处理器的要求
DPA/SLA:对审计日志的描述(模式,时限,地理,导出格式),WORM/immutability,事件通知的SLA。
供应商访问:命名服务帐户、活动日志、选择性审核功能。
离岸包裹:召回钥匙,导出/删除日志,关闭行为,确认销毁后备箱。
16)安全性和防操纵保护
角色划分:源管理员≠存储管理员≠审计员。
代理/收集器签名,组件之间的mTLS。
反冲压控制:哈希比较,定期完整性检查,差异差异。
WORM拷贝地理复制和定期恢复测试。
17)类型错误和反模式
读取敏感值(PAN/秘密)→立即启用干扰中间件。
访问PII时不存在"purpose"/"ticket_id"。
当地"上载到桌面"并通过电子邮件转发。
缺乏单一电路和验证→"无声"字段,无法关联。
一个超级帐户,不涉及个人或服务。
18)支票单
18.1启动/审查政策
- 计划和词典获得批准;包括必填字段
- 包含掩盖和秘密禁令
- NTP配置,"trace_id"无处不在
- Hot/Warm/Cold/WORM层
- RBAC/ABAC和破玻璃装饰
- SIEM/SOAR集成,Alertes测试
18.2每月审计
- 出口样本:签名/日志正确
- 重新检查/删除/法律保留
- DQ度量标准正常,quarantine分析
- Vendor logs可用/完整
19)实施路线图
第1周至第2周:清点系统,协调电路和必填字段,设置时间和跟踪。
第3至第4周:启用掩码、WORM层、与SIEM/SOAR集成、发布出口日志。
第2个月:自动验证器/警报器,调查花花公子,团队培训。
3+月:定期审核、诚信压力测试、价值优化(tiering)、供应商/合同审核。
TL;DR
强大的审计日志=完整和结构化的事件+immutability (WORM)和签名+掩盖PII+硬访问和卸载日志+与SIEM/SOAR集成。这加快了调查,降低了风险,使合规性得到证实。