Գործիքներ ինտեգրման և տրամաբանության համար
1) Ինչո՞ ւ է դա անհրաժեշտ
Նպատակները
Գործողության հետադարձ կապ (ով/ինչ/երբ/որտեղից/ինչու)։
Արագ հետազոտություններ են կատարվում և ֆորենզիկան։
Կարգավորիչների և խորհրդատվությունների պահանջների համապատասխանությունը։
Ռիսկերի կառավարումը և MTTR նվազումը միջադեպերի ժամանակ։
Ռիսկի մոդելների, հակաֆրոդի, կոմպլենսի (KYC/AML/RTBF/Legal Hold) աջակցությունը։
Հիմնական սկզբունքները
Ռուսական աղբյուրների ամբողջականությունը։
Ձայնագրությունների անփոփոխ և ամբողջականություն։
Իրադարձությունների ստանդարտացված սխեմաները։
Որոնման հասանելիությունը և հարաբերակցությունը։
Անձնական տվյալների նվազեցումը և գաղտնիության վերահսկումը։
2) Գործիքների լանդշաֆտը
2. 1 Լոգարանների կառավարում և ինդեքսավորում
Պահեստ և որոնում ՝ Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Deladog Logs։
Striming/անվադողեր ՝ Kafka/Redpanda, NATS, Pulsar - բուֆերիզացիայի և ֆան-աուտայի համար։
Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Պարսինգը և նորմալացումը ՝ Prok/regex, OTel processors, Logstash pipelines։
2. 2 SIEM/Detect & Respond
UEBA/վարքագծային վերլուծություն 'ներկառուցված մոդուլներ SIEM, ML դետեկտորներ։
SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
SOAR/նվագախումբը 'Wintex/XSOAR, Tines, Shuffle - պլեյբուսի ավտոմատիզացիա։
2. 3 Աուդիտ և անփոփոխ
Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
Անփոփոխ պահպանումը 'WORM-բաքերը (Object Prok), S3 Glacier Vance Prock, write-once volumes, cryptopodel/hash շղթա։
TFC/ժամանակավոր կոմպոզիցիաները 'NTP/PTP կապակցումը, արտաքին վստահելի ժամանակում հեշի պարբերական հարցաթերթիկը։
2. 4 Դիտողություններ և հետքեր
Metrics/treiss: Prometheus + Tempo/Jaeger/OTel, Loges-ի կորլեացիան trace _ id/dime _ id։
Դաշբորդներն ու ալերտները ՝ Grafana/Kibana/Dradog։
3) Իրադարձությունների աղբյուրները (սկոպը)
Ենթակառուցվածքը ՝ OS (wwww.slog, auditd), բեռնարկղերը (Docker), նվագախումբը (Kubernetes Events + Audit), ցանցային սարքերը, WAF/CDN, SDN, IAM։
Ծրագրերը և API-ը 'API-դարպասը, ծառայությունը, վեբ-սերվերները, backends, հերթերը, պլանավորողները, webhuks-ը։
ԲԴ-ն և բանախոսները 'հարցումներ, DDL/DML, գաղտնիքների/բեկորների հասանելիությունը, օբյեկտի պահեստավորման հասանելիությունը։
Հիբրիդային կոմպոզիցիաներ ՝ PSA/equairing, chargeback-ivents, 3DS։
Վիրահատություններ և գործընթացներ 'վահանակի/CI/CD, admin վահանակներ, խմբակցությունների/ֆիչֆլագների փոփոխություններ, ալգորիթմներ։
Անվտանգությունը ՝ IDS/IPS, EDR/AV, խոցելիության սկաներներ, DLP։
Օգտագործողի իրադարձությունները 'վավերացում, մուտքի փորձեր, KYC կարգավիճակի փոփոխություն, դեպոզիտներ/եզրակացություններ, տոկոսադրույքներ/խաղեր (անհրաժեշտության դեպքում անանուն)։
4) Տվյալների և ստանդարտների սխեմաները
Իրադարձության միասնական մոդել '"timestamp", "event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Հարաբերական բանալիները ՝ "trace _ id", "session _ id", "request _ id", "device _ id", "k8s. pod_uid`.
Որակը 'պարտադիր դաշտեր, վալիդացիա, դեդուպլիկացիա, սերմնավորում «աղմկոտ» աղբյուրների համար։
5) Ճարտարապետական հանրաքվե
1. Հավաքումը նոդների/գործակալների վրա
2. Pre-պրոցեսինգը (parsing, PII-խմբագրություն, նորմալացում)
3. Շինա (Kafka), 3-7 օր ռենտենշով
4. Հոսքերի ամրոցներ
Հիբրիդային պահեստ (որոնում/հարաբերակցություն, 7-30 օր տաք պահեստավորում)։
Անփոփոխ արխիվը (WORM/Glacier 1-7 տարի զբոսաշրջիկների համար)։
SIEM (դետեկտիվ և պատահականություն)։
5. Dashbords/որոնում (վիրահատություն, անվտանգություն, կոմպլենսենս)։
6. SOAR-ը ռեակցիաների ավտոմատացման համար։
Պահեստային շերտերը
Hot: SSD/ինդեքսավորում, արագ որոնում (հիբրիդային արձագանք)։
Warm: ագրեսիա/ավելի քիչ հաճախակի հասանելիություն։
Cold/Archive (WORM) 'էժան երկարաժամկետ պահպանումը, բայց անփոփոխ։
6) Անփութություն, ամբողջականություն, վստահություն
WORM/օբյեկտ-լոկը 'արգելափակումը և փոփոխությունը քաղաքականության ժամանակահատվածի համար։
Cryptopodram և hash շղթա 'կռիվներով/չաններով։
Hash-ancering: Hash-ի պարբերական հրատարակումը արտաքին խմբագրության կամ վստահելի ժամանակի մեջ։
Ժամանակի համաժամացումը 'NTP/PTP, dreefa; ձայնագրությունը 'clock։ source`.
Փոփոխությունների վերահսկումը 'չորս գլազիա/densil քաղաքական համար retention/Legal Hold։
7) Գաղտնիությունը և կոմպլենսը
PII-ի նվազեցումը 'պահել միայն անհրաժեշտ դաշտերը, խմբագրել/դիմակավորել ingest-ում։
Կեղծանունացում '"user. pseudo _ id ", մապինգի պահեստավորում առանձին և սահմանափակ։
GDPR/DSAR/RTBF 'աղբյուրների դասակարգում, կառավարվող տրամաբանական հեռացում/թաքցնում կրկնօրինակներում, բացառություններ իրավաբանական պահպանման համար։
Legal Hold: wwww.freeze-ը, սանկցիաները արխիվներում։ Հոլդի շուրջ գործողությունների ամսագիրը։
Mapping ստանդարտների վրա ՝ ISO 27001 Ault/12/15, SOC 2 III 7, PCI DSS Req։ 10, տեղական շուկաների կարգավորումը։
8) Օպերացիա և գործընթացներ
8. 1 Պլեյբուկի/Runbooks
Աղբյուրի կորուստը 'ինչպես հայտնաբերել (heartbeats), ինչպես վերականգնել (replay անվադողից), ինչպես փոխհատուցել բացերը։
Ուշացումների աճը 'հերթերի ստուգում, շարդինգ, ինդեքսներ, backpressure։
X-ի իրադարձության հետազոտությունը 'KQL/ES-query + կապը թրեյսային կոնտեքստի հետ։
Legal Hold: Ով է դնում, թե ինչպես է նկարում, ինչպես է փաստաթղթավորվում։
8. 2 RACI (կարճ)
R (Responsible): Observability-թիմը հավաքելու/առաքման համար; SecOps-ը դետեկտիվ կանոնների համար։
A (Accountable): MSO/Head of Ops քաղաքականության և բյուջեի համար։
C (Consulted): DPO/Legal գաղտնիության համար; Սխեմաների ճարտարապետությունը։
I (Informed): Sapport/արտադրանք/Ռիսկային կառավարում։
9) Որակի մետրերը (SLO/KPI)
Coverage: Քննադատական աղբյուրների տոկոսը միացված է (նպատակը 3699 տոկոսն է)։
Ingest lag: p95 առաքման ուշացում (<30 վայրկյան)։
Indexing success: իրադարձությունների մասը առանց պարսինգի սխալների (> 99։ 9%).
Search latency: p95 <2 վայրկյան 105 h պատուհանի տիպիկ հարցումների վրա։
Drop rate 'իրադարձությունների կորուստ <0։ 01%.
Alporfidelity: Precision/Recall կանոններով, կեղծ դրական մասը։
Cost per GB 'պահպանման/ինդեքսի արժեքը ժամանակահատվածի համար։
10) Պահեստավորման քաղաքականությունը (օրինակ)
Քաղաքական գործիչները հստակեցվում են Legal/DPO և տեղական կարգավորումներով։
11) Դետեկտիվ և ալերտներ (կմախք)
Կանոնները (rule-as-code)
Կասկածելի վավերացում (անհնար շարժում, TOR, հաճախակի սխալներ)։
Արտոնությունների/դերերի էսկալացիա։
Խմբակցությունների/գաղտնիքների փոփոխությունը կիսագունդից դուրս։
Գործարքների աննորմալ արտոնագրերը (AML/հակաֆրոդ ազդանշաններ)։
Տվյալների զանգվածային արտանետումները (DLP-տրիգերներ)։
Անկայունություն '5xx-ի սանդղակ, latency-ի դեգրադացիա, pod' s-ի բազմակի ռեստարտներ։
Համատեքստերը
Գեո/IP հեղինակության հարստացումը, արտահայտությունների/ֆիչֆլագների կապումը, ուղիների հետ կապը։
12) Լոգարանների հասանելիության անվտանգությունը
RBAC-ը և պարտականությունների տարանջատումը 'ընթերցողների/վերլուծաբանների/ադմինինների համար առանձնահատուկ դերեր։
Just-in-time հասանելիությունը 'ժամանակավոր հոսանքներ, բոլոր ընթերցումների աուդիտ «զգայուն» ինդեքսների համար։
Կոդավորումը ՝ in-transit (TFC), at-rest (KFC/CMK), կոդավորման մեկուսացում։
Գաղտնիքները և բանալիները 'ռոտացիան, PII-ի հետ իրադարձությունների արտահանման սահմանափակումը։
13) Իրականացման ճանապարհային քարտեզը
MVP (4-6 շաբաթ)
1. Աղբյուրների կատալոգը + նվազագույն սխեմա (ECS/OCSF)։
2. Գործակալ + OTel Collector; կենտրոնացված պարսինգը։
3. Hot (OpenSearch/Elasticsearch/Loki) + dashbords։
4. Հիմնական ալերտները (վավերացում, 5xx, եզրերի փոփոխությունները)։
5. Արխիվը Object Storage-ում օբյեկտի (WORM) հետ։
Ռուանդա 2
Kafka որպես անվադողեր, repley, retray-հերթեր։
SIEM + առաջին հարաբերական կանոնները, SOAR պլեյբուկները։
Կռիվների կրիպտոոդոգրաֆիա, ահռելի անկերինգ։
Legal Hold, DSAR/RTBF գործընթացները։
Ռուանդա 3
UEBA/ML դետեկտիվ։
Իրադարձությունների կատալոգավորումը (Catalog), lineage։
Արժեքի օպտիմիզացումը '«աղմկոտ» լոգարանների սերմնացումը, tiering։
14) Հաճախակի սխալներ և ինչպես խուսափել դրանցից
Լոգ-աղմուկը առանց սխեմայի 'նախատեսվում է մուտքագրել պարտադիր դաշտեր և սեմպլինգ։
Ոչ մի ուղի չկա 'նախատեսվում է trace _ id ներդնել կոր ծառայությունների և շարժիչների մեջ։
Միակ «մոնոլիտ» լոգոներ 'պլանավորվում է բաժանել քննադատության օրինագծերով և մակարդակներով։
Անփութության բացակայությունը 'WORM/Object Systek-ը և ստորագրությունը։
Գաղտնիքները լոգարաններում ՝ ֆիլտրերի/խմբագիրների, սկաներների, խանդի։
15) Չեկի թուղթ
- Ռուսական աղբյուրները կրիտիկական առաջնահերթությամբ։
- Միասնական սխեմա և վալիդատորներ (CI պարսերների համար)։
- Գործակալական ռազմավարություն (daemonset k8s, Beats/OTel)։
- Շինա և ռենտենշն։
- Տաք/սառը/արխիվային պահպանումը + WORM։
- RBAC, ծածկագրում, հասանելիության ամսագիր։
- Հիմնական ալերտները և SOAR պլեյբուսները։
- Dashbords Ops/Sec/Compliance համար։
- DSAR/RTBF/Legal Hold քաղաքական գործիչները։
- KPI/SLO + պահպանման բյուջե։
16) Իրադարձությունների օրինակները (պարզեցված)
json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}17) Գլոսարիա (հակիրճ)
Audit trail-ը անփոփոխ ձայնագրությունների հաջորդականություն է, որը արձանագրում է առարկայի գործողությունները։
WORM - պահեստավորման ռեժիմը «մի անգամ գրեց, կարդացի ավելցուկը»։
SOAR-ը պլեյբուսների պատահարի վրա կասկածի ավտոմատացում է։
UEBA-ը օգտագործողների և էակների վարքագծի վերլուծությունն է։
OCSF/ECS/OTel-ը լոգարանների և հեռուստատեսության սխեմաների ստանդարտներն են։
18) Արդյունքը
Ինտեգրման և լոգիստիկայի համակարգը ոչ թե «ստեկներ» է, այլ կառավարվող ծրագիր տվյալների հստակ սխեմայով, անփոփոխ արխիվով, հարաբերությամբ և արձագանքի պլեյբուսներով։ Այս հոդվածից սկզբունքները պահպանելը մեծացնում է դիտարկումը, արագացնում հետազոտությունները և փակում Վիրահատության և Կոմպլանսի հիմնական պահանջները։