ابزار حسابرسی و ورود به سیستم

1) چرا شما به آن نیاز دارید

• ردیابی اقدامات (چه کسی/چه چیزی/چه زمانی/کجا/چرا).
• تحقیقات سریع حادثه و پزشکی قانونی.
• مقررات و انطباق با مشتری.
• مدیریت ریسک و کاهش MTTR در حوادث
• پشتیبانی از مدلهای ریسک، ضد تقلب و انطباق (KYC/AML/RTBF/Legal Hold).

• کامل بودن پوشش منبع
• تغییر ناپذیری و یکپارچگی را ثبت کنید.
• طرح های رویداد استاندارد.
• در دسترس بودن جستجو و همبستگی.
• به حداقل رساندن اطلاعات شخصی و کنترل حریم خصوصی.

2) چشم انداز ابزار

2. 1 مدیریت ورود و نمایه سازی

Сбор/агенты: Fluent Bit/Fluentd، Vector، Logstash، Filebeat/Winlogbeat، OpenTelemetry Collector.
ذخیره سازی و جستجو: Elasticsearch/OpenSearch، Loki، ClickHouse، Splunk، Datadog Logs.
جریان/لاستیک: Kafka/Redpanda، NATS، Pulsar - برای بافر و فن خروجی.
تجزیه و نرمال سازی: Grok/regex، پردازنده های OTel، خطوط لوله Logstash.

2. 2 SIEM/تشخیص و پاسخ

SIEM: Splunk Enterprise Security، Microsoft Sentinel، Elastic Security، QRadar.
UEBA/تجزیه و تحلیل رفتاری: ماژول های جاسازی شده در SIEM، آشکارسازهای ML.
SOAR/ارکستراسیون: Cortex/XSOAR، Tines، Shuffle - اتوماسیون playbook.

2. 3 حسابرسی و تغییر ناپذیری

Аудит подсистем: Linux auditd/ausearch، سیاهههای مربوط رویداد ویندوز، DB- аудит (pgAudit، حسابرسی MySQL)، سیاهههای مربوط به حسابرسی Kubernetes، CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
ذخیره سازی غیر قابل تغییر: سطل WORM (Object Lock)، S3 Glacier Vault Lock، حجم یکبار نوشتن، ورود به سیستم با امضای رمزنگاری/زنجیره هش.
TSA/timestamps: اتصال به NTP/PTP، لنگر زدن دوره ای هش در زمان قابل اعتماد خارجی.

2. 4 قابلیت مشاهده و ردیابی

معیارها/مسیرها: Prometheus + Tempo/Jaeger/OTel، همبستگی سیاهههای مربوط ↔ ردیابی توسط trace_id/span_id.
داشبورد و هشدار: Grafana/Kibana/Datadog.

3) منابع رویداد (دامنه پوشش)

زیرساخت: سیستم عامل (syslog، auditd)، ظروف (Docker)، ارکستراسیون (Kubernetes Events + Audit)، دستگاه های شبکه، WAF/CDN، VPN، IAM.
برنامه ها و API ها: دروازه API، سرویس مش، سرورهای وب، backends، صف ها، برنامه ریزان، webhooks.
DB و vaults: پرس و جو، DDL/DML، دسترسی به اسرار/کلید، دسترسی به ذخیره سازی شی.
یکپارچگی پرداخت: PSP/خرید، رویدادهای بازپرداخت، 3DS.
عملیات و فرایندها: ورودی کنسول/CI/CD، پانل های مدیریت، تغییرات پرچم پیکربندی/ویژگی، انتشار.
امنیت: IDS/IPS، EDR/AV، اسکنرهای آسیب پذیری، DLP.
رویدادهای کاربر: احراز هویت، تلاش برای ورود، تغییر وضعیت KYC، سپرده ها/خروجی ها، شرط ها/بازی ها (با ناشناس در صورت لزوم).

4) طرح ها و استانداردهای داده

مدل رویداد یکپارچه: "برچسب زمان"، "رویداد. دسته بندی '،' رویداد. عمل '،' کاربر. من، موضوع. من، منبع. ip ',' http. request_id'، رد پا. کارت شناسايي، سرويس. نام '،' محیط '،' شدت '،' نتیجه '،' برچسب '.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
کلیدهای همبستگی: 'trace _ id', 'session _ id', 'request _ id', 'device _ id', 'k8s. pod_uid' است.
کیفیت: زمینه های مورد نیاز، اعتبار سنجی، deduplication، نمونه برداری برای منابع «پر سر و صدا».

5) مرجع معماری

1. مجموعه در گره ها/عوامل →

2. پیش پردازش (تجزیه، PII-edition، نرمالیزاسیون) →

3. تایر (کافکا) با retching ≥ 3-7 روز →

• ذخیره سازی آنلاین (جستجو/همبستگی، ذخیره سازی داغ 7-30 روز).
• بایگانی تغییرناپذیر (WORM/Glacier 1-7 سال برای ممیزی).
• SIEM (تشخیص و حوادث)
• 5. داشبورد/جستجو (عملیات، امنیت، انطباق).
• 6. SOAR برای اتوماسیون واکنش.

• داغ: SSD/نمایه سازی، جستجوی سریع (پاسخ سریع).
• گرم: فشرده سازی/دسترسی مکرر.
• Cold/Archive (WORM): ذخیره سازی طولانی مدت ارزان، اما غیر قابل تغییر است.

6) تغییر ناپذیری، صداقت، اعتماد

شیء WORM/lock - حذف و اصلاح بلوک برای مدت زمان سیاست.
امضای رمزنگاری و زنجیره هش: توسط دسته ها/تکه های سیاهههای مربوط.
Hash-anchoring: انتشار دوره ای هش در یک رجیستری خارجی یا زمان قابل اعتماد.
هماهنگ سازی زمان: NTP/PTP، نظارت بر رانش ؛ ساعت ضبط صدا منبع ".
کنترل تغییر: چهار چشم/کنترل دوگانه برای حفظ/سیاست های حقوقی نگه دارید.

7) حفظ حریم خصوصی و انطباق

به حداقل رساندن PII: ذخیره تنها زمینه های لازم، ویرایش/ماسک در مصرف.
نام مستعار: "کاربر. pseudo_id'، ذخیره سازی نقشه ها جداگانه و محدود است.
GDPR/DSAR/RTBF: طبقه بندی منبع، مدیریت منطقی حذف/پنهان کردن در کپی، استثنا برای وظایف نگهداری قانونی.
حقوقی نگه دارید: «مسدود کردن» برچسب ها, تعلیق حذف در آرشیو; مجله فعالیت های اطراف نگه دارید.
نقشه برداری استاندارد: A.8/12/15 ISO 27001، CC7 SOC 2، PCI DSS Req. 10، تنظیم بازار محلی.

8) عملیات و فرآیندها

8. 1 کتابهای پخش/کتابهای اجرا

از دست دادن منبع: چگونه برای شناسایی (ضربان قلب)، چگونه برای بازگرداندن (پخش از اتوبوس)، چگونه برای جبران شکاف.
افزایش تاخیر: چک کردن صف، sharding، شاخص، فشار پشتی.
بررسی رویداد X: KQL/ES پرس و جو قالب + لینک به زمینه ردیابی.
Legal Hold: چه کسی قرار می دهد, چگونه به ساقه, چگونه به سند.

8. 2 RACI (به طور خلاصه)

R (مسئول): تیم مشاهده برای جمع آوری/تحویل ؛ SecOps برای قوانین تشخیص.
A (پاسخگو): CISO/رئیس عملیات برای سیاست ها و بودجه.

C (مشورت): DPO/قانونی برای حفظ حریم خصوصی ؛ معماری برای مدارها

I (مطلع): پشتیبانی/محصول/مدیریت ریسک.

9) معیارهای کیفیت (SLO/KPI)

پوشش:٪ از منابع بحرانی متصل هستند (≥ هدف 99٪).
تاخیر مصرف: تاخیر تحویل p95 (<30 ثانیه).
موفقیت نمایه سازی: نسبت وقایع بدون خطای تجزیه (> 99. 9%).
تاخیر جستجو: p95 <2 ثانیه برای درخواست 24 ساعته پنجره معمولی.
نرخ افت: از دست دادن وقایع <0. 01%.
وفاداری هشدار: دقت/فراخوانی توسط قوانین، سهم مثبت کاذب.
هزینه هر گیگابایت: هزینه ذخیره سازی/شاخص در هر دوره.

10) سیاست های نگهداری (مثال)

سیاست ها توسط قانونی/DPO و مقررات محلی مشخص شده است.

11) تشخیص و هشدار (اسکلت)

• احراز هویت مشکوک (حرکت غیر ممکن، TOR، خطاهای مکرر).
• افزایش امتیازات/نقش ها
• تغییرات پیکربندی/مخفی خارج از برنامه انتشار.
• الگوهای معاملات غیر طبیعی (سیگنال های AML/ضد تقلب).
• بارگذاری دادههای تودهای) محرکهای DLP (.
• تحمل خطا: 5xx squall، تخریب تاخیر، راه اندازی مجدد چند پاد.

• غنی سازی با شهرت geo/IP، پیوند به انتشار/پرچم های ویژگی، پیوند به آهنگ ها.

12) ورود به سیستم امنیت دسترسی

RBAC و تفکیک وظایف: نقش جداگانه برای خوانندگان/تحلیلگران/مدیران.
دسترسی به موقع: نشانه های موقت، ممیزی تمام خواندن شاخص های «حساس».
رمزگذاری: در حمل و نقل (TLS)، در حالت استراحت (KMS/CMK)، جداسازی کلید.
اسرار و کلید: چرخش، محدود کردن صادرات از حوادث با PII.

13) نقشه راه پیاده سازی

1. دایرکتوری منبع + حداقل طرح (ECS/OCSF).

2. عامل در گره ها + جمع کننده OTel ؛ تجزیه متمرکز

3. ذخیره سازی داغ (OpenSearch/Elasticsearch/Loki) + داشبورد.

4. هشدارهای پایه (احراز هویت، 5xx، تغییرات پیکربندی).

5. بایگانی در ذخیره سازی شی با یک شی قفل (WORM).

• کافکا به مثابه تایر، بازپخش، بازپخش صف.
• قوانین همبستگی اول SIEM +، playbooks SOAR.
• امضای رمزنگاری دسته ها، لنگر زدن هش ها.
• سیاست های نگهداری قانونی، روش DSAR/RTBF.

• تشخیص UEBA/ML.
• کاتالوگ داده ها، اصل و نسب.
• بهینه سازی هزینه: نمونه برداری «پر سر و صدا» سیاهههای مربوط، tiering.

14) اشتباهات مکرر و چگونگی اجتناب از آنها

Log noise without a scheme: زمینه های اجباری و نمونه برداری را معرفی می کند.
هیچ اثری وجود ندارد: → برای پیاده سازی trace_id در خدمات اصلی و پروکسی.
یک «یکپارچه» از سیاهههای مربوط: → تقسیم به دامنه و سطح بحرانی.
غیر قابل تغییر: → برای فعال کردن WORM/Object Lock و امضا.
اسرار در سیاهههای مربوط: → فیلترها/سردبیران, اسکنر نشانه, بررسی.

15) چک لیست راه اندازی

• منبع اولویت بحرانی ثبت نام.
• طرح یکپارچه و اعتبار سنج (CI برای تجزیه کننده ها).
• استراتژی عامل (daemonset در k8s، بیت/OTel).
• حفظ و نگهداری.
• داغ/سرد/بایگانی + کرم
• RBAC، رمزگذاری، ورود به سیستم دسترسی.
• هشدار اساسی SOAR و playbooks.
• داشبورد برای عملیات/ثانیه/انطباق.
• DSAR/RTBF/سیاست های حقوقی نگه دارید.
• KPI/SLO + بودجه ذخیره سازی.

16) نمونه هایی از رویدادها (ساده شده)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) واژه نامه (کوتاه)

دنباله حسابرسی - دنباله ای از سوابق غیر قابل تغییر است که اقدامات موضوع را ثبت می کند.
WORM - نوشتن یک بار، خواندن بسیاری از حالت ذخیره سازی.
SOAR - اتوماسیون پاسخ به حوادث توسط playbooks.
UEBA - تجزیه و تحلیل رفتار کاربر و اشخاص.
OCSF/ECS/OTel - استانداردهای ورود به سیستم و تله متری.

18) خط پایین

سیستم حسابرسی و ورود به سیستم یک «پشته ورود به سیستم» نیست، بلکه یک برنامه مدیریت شده با یک طرح داده روشن، یک بایگانی غیر قابل تغییر، همبستگی و کتاب های واکنش است. انطباق با اصول در این مقاله را افزایش می دهد مشاهده، سرعت بخشیدن به تحقیقات و بسته نیازهای کلیدی از عملیات و انطباق.