Tools für Audit und Protokollierung

1) Warum es notwendig ist

• Rückverfolgbarkeit der Aktivitäten (wer/was/wann/woher/warum).
• Schnelle Untersuchungen von Vorfällen und Forensik.
• Erfüllen Sie die Anforderungen von Aufsichtsbehörden und Kunden.
• Risikomanagement und Reduzierung der MTTR bei Vorfällen.
• Unterstützung von Risikomodellen, Anti-Fraud, Compliance (KYC/AML/RTBF/Legal Hold).

• Vollständigkeit der Abdeckung der Quellen.
• Unveränderlichkeit und Integrität der Aufzeichnungen.
• Standardisierte Ereignismuster.
• Suchmaschinenverfügbarkeit und Korrelation.
• Minimierung personenbezogener Daten und Kontrolle der Privatsphäre.

2) Werkzeuglandschaft

2. 1 Logmanagement und Indexierung

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Speicherung und Suche: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
Streaming/Busse: Kafka/Redpanda, NATS, Pulsar - zum Puffern und Fan-Aus.
Parsing und Normalisierung: Grok/Regex, OTel-Prozessoren, Logstash-Pipelines.

2. 2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/Verhaltensanalyse: eingebettete Module in SIEM, ML-Detektoren.
SOAR/Orchestrierung: Cortex/XSOAR, Tines, Shuffle - Automatisierung von Playbooks.

2. 3 Audit und Unveränderlichkeit

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
Unveränderliche Speicherung: WORM-Baquets (Object Lock), S3 Glacier Vault Lock, write-once volumes, logging mit Kryptounterschrift/Hashkette.
TSA/Zeitstempel: Bindung an NTP/PTP, periodische Verankerung von Hashes in der extern vertrauenswürdigen Zeit.

2. 4 Beobachtbarkeit und Traces

Metriken/Trails: Prometheus + Tempo/Jaeger/OTel, Korrelation von Protokollen ↔ Traces nach trace_id/span_id.
Dashboards und Alerts: Grafana/Kibana/Datadog.

3) Ereignisquellen (Coverage scope)

Infrastruktur: OS (syslog, auditd), Container (Docker), Orchestrierung (Kubernetes Events + Audit), Netzwerkgeräte, WAF/CDN, VPN, IAM.
Anwendungen und APIs: API-Gateway, Service Mash, Webserver, Backends, Warteschlangen, Planer, Webhooks.
DB und Speicher: Abfragen, DDL/DML, Zugriff auf Geheimnisse/Schlüssel, Zugriff auf Objektspeicher.
Zahlungsintegrationen: PSP/Acquiring, Chargeback-Events, 3DS.
Operationen und Prozesse: Konsolen/CI/CD-Eingänge, Admin-Panels, Konfigurationsänderungen/Fichflags, Releases.
Sicherheit: IDS/IPS, EDR/AV, Schwachstellenscanner, DLP.
Benutzerereignisse: Authentifizierung, Anmeldeversuche, Änderung des KYC-Status, Einzahlungen/Auszahlungen, Wetten/Spiele (ggf. mit Anonymisierung).

4) Datenschemata und Standards

Einheitliches Ereignismodell: 'timestamp', 'event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Korrelationsschlüssel: 'trace _ id', 'session _ id', 'request _ id', 'device _ id', 'k8s. pod_uid`.
Qualität: Pflichtfelder, Validierung, Deduplizierung, Sampling für „laute“ Quellen.

5) Architektonische Referenz

1. Sammlung auf Knoten/Agenten →

2. Vorverarbeitung (Parsing, PII-Revision, Normalisierung) →

3. Reifen (Kafka) mit Retention ≥ 3-7 Tage →

• Online-Speicherung (Suche/Korrelation, Hot-Storage 7-30 Tage).
• Unveränderliches Archiv (WORM/Glacier 1-7 Jahre für Audit).
• SIEM (Detection and Incidents).
• 5. Dashboards/Suche (Betrieb, Sicherheit, Compliance).
• 6. SOAR zur Automatisierung von Reaktionen.

• Hot: SSD/Indexierung, schnelle Suche (schnelle Reaktion).
• Warm: Kompression/weniger häufiger Zugriff.
• Cold/Archive (WORM): kostengünstige Langzeitlagerung, aber unveränderbar.

6) Unveränderlichkeit, Integrität, Vertrauen

WORM/Lock-Objekt: Sperrt das Löschen und Ändern für die Dauer der Richtlinie.
Krypto-Anmeldung und Hash-Kette: durch Battes/Changes der Logs.
Hash-Anker: Periodische Veröffentlichung von Hashes in einem externen Register oder einer vertrauenswürdigen Zeit.
Zeitsynchronisation: NTP/PTP, Driftüberwachung; Aufnahme' clock. source`.
Change Control: Vier Augen/Dual Control für Retention/Legal Hold Policies.

7) Datenschutz und Compliance

PII-Minimierung: Nur benötigte Felder speichern, bearbeiten/maskieren in ingest.
Pseudonymisierung: 'user. pseudo_id' ist die Speicherung von Mupping separat und begrenzt.
DSGVO/DSAR/RTBF: Quellenklassifizierung, kontrolliertes logisches Löschen/Ausblenden in Replikaten, Ausnahmen für gesetzliche Aufbewahrungspflichten.
Legal Hold: Etiketten „freeze“, Aussetzung der Löschung in Archiven; Logbuch der Aktivitäten rund um Hold.
ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, lokale Regulierung der Märkte.

8) Betrieb und Prozesse

8. 1 Playbooks/Runbooks

Quellverlust: Wie man identifiziert (Heartbeats), wie man wiederherstellt (Replay vom Bus), wie man Lücken ausgleicht.
Steigende Verzögerungen: Warteschlangen-Check, Sharding, Indizes, Backpressure.
Untersuchung von Ereignis X: Vorlage KQL/ES-Abfrage + Verknüpfung mit Trace-Kontext.
Legal Hold: Wer inszeniert, wie filmt, wie dokumentiert.

8. 2 RACI (in Kürze)

R (Responsible): Observability-Team für Abholung/Lieferung; SecOps für Erkennungsregeln.
A (Accountable): CISO/Head of Ops für Politik und Haushalt.
C (konsultiert): DPO/Legal für den Datenschutz; Architektur für Schaltungen.
I (Informed): Sapport/Produkt/Risikomanagement.

9) Qualitätsmetriken (SLO/KPI)

Coverage:% der kritischen Quellen sind verbunden (Ziel ≥ 99%).
Ingest lag: p95 Lieferverzögerung (<30 sec).
Indexerfolg: Anteil der Ereignisse ohne Parsingfehler (> 99. 9%).
Suchlatenz: p95 <2 sec für typische 24h-Fensterabfragen.
Drop rate: Verlust von Ereignissen <0. 01%.
Alert fidelity: Präzision/Recall nach den Regeln, Anteil der Falschpositive.
Kosten pro GB: Kosten der Speicherung/Index pro Periode.

10) Aufbewahrungsrichtlinien (Beispiel)

Die Richtlinien werden durch Legal/DSB und lokale Vorschriften festgelegt.

11) Detektion und Alerts (Skelett)

• Verdächtige Authentifizierung (unmögliche Bewegung, TOR, häufige Fehler).
• Eskalation von Privilegien/Rollen.
• Änderungen an Konfigurationen/Geheimnissen außerhalb des Release-Zeitplans.
• Anomale Transaktionsmuster (AML/Anti-Fraud-Signale).
• Massenentladungen von Daten (DLP-Trigger).
• Fehlertoleranz: 5xx-Flut, Latenz-Degradation, mehrere Pod-Restarts.

• Bereicherung durch Geo/IP-Reputation, Verknüpfung mit Releases/Fichflags, Verknüpfung mit Tracks.

12) Protokollzugriffssicherheit

RBAC und Segregation von Verantwortlichkeiten: getrennte Rollen für Leser/Analysten/Admins.
Just-in-time-Zugriff: temporäre Token, Prüfung aller Lesungen von „sensiblen“ Indizes.
Verschlüsselung: in-transit (TLS), at-rest (KMS/CMK), Schlüsselisolierung.
Geheimnisse und Schlüssel: Rotation, Exportbeschränkung von Veranstaltungen mit PII.

13) Roadmap für die Umsetzung

1. Quellverzeichnis + Minimalschema (ECS/OCSF).

2. Agent auf Knoten + OTel Collector; zentralisiertes Parsing.

3. Hot-Speicher (OpenSearch/Elasticsearch/Loki) + Dashboards.

4. Basis-Alerts (Authentifizierung, 5xx, Config-Änderungen).

5. Ein Archiv in Object Storage mit einem Lock-Objekt (WORM).

• Kafka als Reifen, Replika, Retray-Warteschlange.
• SIEM + erste Korrelationsregeln, SOAR-Playbooks.
• Krypto-Kampf, Hash-Anker.
• Richtlinien Legal Hold, DSAR/RTBF Verfahren.

• UEBA/ML-Detektion.
• Ereigniskatalog (Data Catalog), lineage.
• Kostenoptimierung: Sampling von „lauten“ Logs, Tiering.

14) Häufige Fehler und wie man sie vermeidet

Log-Rauschen ohne Schema: → geben Sie Pflichtfelder und Sampling ein.
Keine Verfolgungen: Es ist →, trace_id in Cor-Dienste und Proxies einzuführen.
Ein einzelner „Monolith“ von Protokollen: → nach Domänen und Kritikalitätsstufen unterteilt werden.
Keine Unveränderlichkeit: WORM/Object Lock und Signatur → aktiviert werden.
Geheimnisse in den Protokollen: → Filter/Editoren, Token-Scanner, Revue.

15) Start-Checkliste

• Register der Quellen mit Kritikalitätspriorität.
• Einheitliches Schema und Validatoren (CI für Parser).
• Agenturstrategie (daemonset in k8s, Beats/OTel).
• Reifen und Retention.
• Hot/Cold/Archivierung + WORM.
• RBAC, Verschlüsselung, Zugriffsprotokoll.
• SOAR Basic Alerts und Playbooks.
• Dashboards für Ops/Sec/Compliance.
• DSAR/RTBF/Legal Hold Policies.
• KPI/SLO + Budget für die Lagerung.

16) Beispiele für Ereignisse (vereinfacht)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Glossar (kurz)

Audit trail - eine Folge von unveränderlichen Einträgen, die die Handlungen des Subjekts aufzeichnen.
WORM - Speichermodus „einmal aufgezeichnet, mehrmals gelesen“.
SOAR - Automatisierung der Incident Response über Playbooks.
UEBA - Analyse des Verhaltens von Benutzern und Entitäten.
OCSF/ECS/OTel sind Standards für Log- und Telemetrieschaltungen.

18) Ergebnis

Das Auditing- und Logging-System ist kein „Log-Stack“, sondern ein verwaltetes Programm mit einem klaren Datenschema, unveränderlichem Archiv, Korrelation und Reaktionsabspielbüchern. Die Einhaltung der Prinzipien aus diesem Artikel erhöht die Beobachtbarkeit, beschleunigt die Untersuchungen und schließt die wichtigsten Anforderungen von Operations und Compliance ab.