GH GambleHub

ביקורת וכלי רישום

1) למה אתה צריך את זה

מטרות:
  • איתור פעולות (מי/מה/מתי/איפה/למה).
  • חקירות תקריות מהירות וזיהוי פלילי.
  • רגולציה וציות ללקוחות.
  • ניהול סיכונים והפחתת MTTR בתקריות.
  • תמיכה בסיכון, אנטי-הונאה, מודל ציות (KYC/AML/RTBF/Legal Hold).
עקרונות מפתח:
  • שלמות של כיסוי מקור.
  • רשום חוסר יכולת ויושרה.
  • תרשימי אירועים סטנדרטיים.
  • זמינות חיפוש וקורלציה.
  • מזעור מידע אישי ובקרת פרטיות.

2) נוף מכשירים

2. 1 ניהול יומן ואינדקס

Fluente Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
אחסון וחיפוש: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.

זרימה/צמיגים: Kafka/Redpanda, NATS, Pulsar

פירוק ונורמליזציה: Grok/regex, מעבדי OTEL, לוגסטאש צינורות.

2. 2 SIEM/זיהוי & תגובה

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
ניתוח UEBA/התנהגותי: מודולים משובצים ב-SIEM, גלאי ML.
SOAR/תזמור: Cortex/XSOAR, Tines, Shuffle - אוטומציה לספרי משחק.

2. 3 ביקורת חשבונות וחוסר תזוזה

Linux auditd/ausearch, Windows Event Logs, DB-Azure Monitor/Azure Monitor/GCCL כריתת ענן פי.
אחסון בלתי הפיך: דלי תולעת (Object Lock), מנעול קרחון S3, כרכים כתיבה-פעם, התחברות עם חתימת קריפטו/שרשרת חשיש.
TSA/timestamps: קשירה ל NTP/PTP, עיגון מחזורי של חשיש בזמן אמין חיצוני.

2. 4 יכולת תצפית ועקבות

Metrics/Trails: Prometheus + Tempo/Jaeger/Otel, מתאם של יומנים ↔ עקבות על ידי trace_id/span_id.
לוחות מחוונים והתראות: Grafana/Kibana/Datadog.

3) מקורות אירוע (היקף כיסוי)

תשתיות: מערכת ההפעלה (syslog, auditd), מכלים (Docker), תזמור (Kubernetes Events + Audit), התקני רשת, WAF/CDN, VPN, IAM.
יישומים ו API: שער API, מחית שירות, שרתי אינטרנט, אחורי, תורים, לוחות זמנים, פתקי אינטרנט.
DB וקמרונות: שאילתות, DDL/DML, גישה לסודות/מפתחות, גישה לאחסון אובייקטים.
אינטגרציית תשלומים: PSP/רכישה, אירועי שרטוט, 3DS.
פעולות ותהליכים: קונסולה/CI/CD inputs, לוחות ניהול, הגדרות/שינויי דגל, משחררים.
אבטחה: IDS/IPS, EDR/AV, סורקי פגיעות, DLP.
אירועי משתמש: אימות, ניסיונות התחברות, שינוי מצב KYC, הפקדות/יציאות, הימורים/משחקים (עם אנונימציה במידת הצורך).

4) תוכניות נתונים וסטנדרטים

מודל אירוע מאוחד: ”חותמת זמן”, אירוע. קטגוריה, אירוע. פעולה ”, משתמש”. תעודה מזהה, נושא. תעודה מזהה, מקור. ip ',' http. request_id', "עקבות. תעודה מזהה, שירות. שם ',' סביבה ',' חומרה ',' תוצאה ',' תוויות '.
ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
מפתחות קורלציה: ”trace _ id',” session _ id', ”request _ id',” pace _ id', ”k8”. pod_uid'.
איכות: שדות דרושים, אימות, שכפול, דגימה למקורות ”רועשים”.

5) התייחסות ארכיטקטונית

1. אוסף על צמתים/סוכנים

2. קדם-עיבוד (פירוק, מהדורת PII, נורמליזציה) #

3. צמיג (קפקא) עם שחזור 3-7 ימים

4. מזלגות חוט:
  • אחסון מקוון (חיפוש/מתאם, אחסון חם 7-30 ימים).
  • ארכיון Immutable (תולעת/קרחון 1-7 שנים לביקורת חשבונות).
  • SIEM (גילוי ותקריות).
  • 5. לוחות מחוונים/חיפוש (פעולות, אבטחה, ציות).
  • 6. SOAR עבור אוטומציה תגובה.
שכבות אחסון:
  • חם: SSD/indexing, חיפוש מהיר (תגובה מהירה).
  • חם: דחיסה/פחות גישה תכופה.
  • קר/ארכיון (תולעת): אחסון זול לטווח ארוך, אבל בלתי ניתן לשינוי.

6) חוסר יכולת, יושרה, אמון

תולעת/נעילת אובייקט - מחיקת חסימה ושינוי למשך המדיניות.
חתימת קריפטו ושרשרת חשיש: על ידי חבורות/נתחים של יומנים.
חשיש-עוגן: פרסום תקופתי של חשיש ברישום חיצוני או זמן מהימן.
סינכרון זמן: NTP/PTP, ניטור סחף; הקלטה בשעה. מקור ".
בקרת שינוי: ארבע עיניים/שליטה כפולה עבור שימור/מדיניות Ligal Hold.

7) פרטיות וציות

מזעור PII: לאחסן רק את השדות הדרושים, לערוך/מסכה בלע.
שינוי: "משתמש. pseudo_id', אחסון המיפוי הוא נפרד ומוגבל.
GDPR/DSAR/RTBF: סיווג מקור, מחק/מסתור לוגי בהעתקים, חריגים לחובות שימור חוקיות.
Hold משפטי: ”להקפיא” תגיות, השהיית מחיקה בארכיונים; כתב עת של פעילויות סביב Hold.
מיפוי סטנדרטי: ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, תקנות השוק המקומי.

8) פעולות ותהליכים

8. 1 ספרי משחק/ספרי ריצות

אובדן מקור: כיצד לזהות (פעימות לב), כיצד לשחזר (שידור חוזר מהאוטובוס), כיצד לפצות על פערים.
עיכובים הולכים וגוברים: בדיקת תורים, שירטוט, אינדקס, תרמיל גב.
חקירת האירוע X: KQL/ES-query template + קישור להקשר העקבות.
החזק משפטי: מי שם, איך לירות, איך לתעד.

8. 2 RACI (בקיצור)

צוות תצפית לאוסף/משלוח; מחסנים לכללים לגילוי.
CISO/ראש המבצעים למדיניות ותקציב.
C (ייעוץ): DPO/משפטי לפרטיות; ארכיטקטורה למעגלים.
תמיכה/מוצר/ניהול סיכונים.

9) מטריצות איכות (SLO/KPI)

כיסוי:% ממקורות קריטיים מחוברים (יעד 99%).
פיגור במשלוח p95 (<30 שניות).
הצלחה באינדקס: פרופורציה של אירועים ללא שגיאות ניתוחים (> 99. 9%).
חיפוש latency: p95 <2 שניות לבקשות טיפוסיות של חלון 24h.
קצב ירידה: אובדן אירועים <0. 01%.
התראה נאמנות: Precision/Recall על ידי כללים, שיתוף של חיובי כוזב.
עלות לכל GB: עלות אחסון/אינדקס לכל תקופה.

10) מדיניות שימור (דוגמה)

קטגוריהחםחםארכיון (תולעת)סה "כ
לוחות ביקורת מנהלים14 ד '90 d5 שנים5 שנים
אירועי תשלום7 ד '60 d7 שנים7 שנים
אלה. רישומי יישומים3 d30 dהשנה 1השנה 1
אבטחה (IDS/EDR)14 ד '90 d2 שנים2 שנים

מדיניות מוגדרת על ידי חוקי/DPO ותקנות מקומיות.

11) גילוי והתראות (שלד)

חוקים (חוק-כקוד):
  • אימות חשוד (תנועה בלתי אפשרית, TOR, שגיאות תכופות).
  • הסלמה של הרשאות/תפקידים.
  • הגדרות/שינויים סודיים מחוץ ללוח הזמנים של השחרור.
  • דפוסי עסקה חריגים (אותות AML/אנטי-הונאה).
  • העלאות נתונים המוניות (מפעיל DLP).
  • סובלנות לקויה: 5xx סקוול, דלדול אחסון, הפעלה מחדש של תרמיל מרובה.
הקשרים:
  • העשרה עם מוניטין Geo/IP, קישור לשחרור/תכונה דגלים, קישור לרצועות.

12) אבטחת גישה ליומן

RBAC והפרדה בין חובות: תפקידים נפרדים לקוראים/אנליסטים/מנהל.
גישה בזמן בלבד: אסימונים זמניים, ביקורת של כל הקריאות של אינדקסים ”רגישים”.
הצפנה: בטרנזיט (TLS), at-rest (KMS/CMK), בידוד מפתח.
סודות ומפתחות: סיבוב, הגבלת הייצוא של אירועים עם מח "ש.

13) מימוש מפת דרכים

MVP (4-6 שבועות):

1. סכימת ספריית המקור + מינימום (ECS/OCSF).

2. סוכן על צמתים + Otel אספן; ניתוחים מרכזיים.

3. אחסון חם (OpenSearch/Elasticsearch/Loki) + לוחות מחוונים.

4. התראות בסיסיות (אימות, 5xx, שינויים בהגדרות).

5. ארכיון באחסון אובייקטים עם אובייקט מנעול (תולעת).

שלב 2:
  • קפקא כצמיג, שידור חוזר, תור למגש מחדש.
  • כללי התאמה ראשונים של SIEM, ספרי משחק של SOAR.
  • חתימה מוצפנת של חבורות, עיגון של חשיש.
  • מדיניות Ligal Hold, הליכי DSAR/RTBF.
שלב 3:
  • זיהוי UEBA/ML.
  • קטלוג נתונים, שושלת.
  • אופטימיזציה עלויות: דגימת יומנים ”רועשים”, טיפ.

14) טעויות תכופות וכיצד להימנע מהן

רעש יומן ללא תכנית: # הצג שדות חובה ודגימה.
אין עקבות: = ליישם trace_id בשירותי הליבה ובשירותי פרוקסי.
אחד ”מונולית” של יומנים: = מחולק לתחומים ורמות ביקורת.
לא בלתי ניתן לשינוי: = כדי לאפשר נעילה וחתימה של תולעת/אובייקט.
סודות ביומנים: מסננים/עורכים, סורקי סמלים, ביקורות.

15) שיגור רשימת בדיקות

[ ] ביקורת בעדיפות ראשונה.
[ ] מאוחדת ומאשרת (CI for Parsers).

אסטרטגיית סוכן (daemonset in k8, Beats/Otel).

[ ] קיבוע ושימור.
[ ] חם/קר/ארכיון + תולעת
[ ] RBAC, הצפנה, יומן גישה.
[ ] התראות בסיסיות וספרי משחק.
[ ] לוחות מחוונים עבור Ops/Sec/ציות.
[ ] מדיניות DSAR/RTBF/Legal Hold.
[ ] תקציב האחסון של KPI/SLO +.

16) דוגמאות למאורעות (מפושטים) ‏

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) גלוסרי (קצר)

שביל ביקורת - רצף של רשומות בלתי ניתנות לשינוי שמתעד את הפעולות של הנושא.
תולעת - לכתוב-פעם אחת, לקרוא-הרבה מצב אחסון.
SOAR - אוטומציה של תגובה לתקריות באמצעות ספרי משחק.
UEBA - ניתוח התנהגות המשתמש וישויות.
תקני OCSF/ECS/OTEL - לתוכניות רישום וטלמטריה.

18) השורה התחתונה

מערכת הביקורת וכריתת העצים אינה ”מחסנית רישומים”, אלא תוכנה מנוהלת עם סכימת נתונים ברורה, ארכיון בלתי משתנה, מתאם וספרי משחק. ציות לעקרונות במאמר זה מגביר את יכולת התצפית, מאיץ את החקירות וסוגר את דרישות המפתח של מבצעים וציות.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.