Strumenti di controllo e loging

1) Perché è necessario

• Tracciabilità delle azioni (chi/cosa/quando/da dove/perché).
• Indagini rapide su incidenti e forenseria.
• Conformità a regolatori e clienti
• Gestione dei rischi e riduzione dell'MTTR durante gli incidenti.
• Supporto per modelli di rischio, antifrode, compilazione (KYC/AML/RTBF/Legale Hold).

• La copertura completa delle sorgenti.
• Invariabilità e integrità dei record.
• Schemi di eventi standardizzati.
• Disponibilità di ricerca e correlazione.
• Ridurre al minimo i dati personali e controllare la privacy.

2) Paesaggio degli strumenti

2. 1 Gestione dei fogli e indicizzazione

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
e ricerca: , Loki, , Splunk, Datadog Logs.
Streaming/pneumatici: Kafka/Redpanda, NATS, Pulsar - per buffer e fan-out.
Parsing e normalizzazione: Grok/regex, OTEL processors, Logstash pipelines.

2. 2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/Analisi comportamentali - moduli integrati in SIEM, rilevatori ML.
SOAR/orchestrazione: Cortex/XSOAR, Tines, Shuffle - Automazione playbook.

2. 3 Controllo e invariabilità

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
Storage invariato: bozzetti WORM (Object Lock), S3 Glacier Vault Lock, write-once volumi, registrazione con cryptopodigrafia/catena hash.
TSA/Indicatori temporali - Riferimento a NTP/PTP, interrogazione periodica degli hash nel tempo affidabile esterno.

2. 4 Osservabilità e tracciabilità

Metriche/trailer: Prometheus + Tempo/Jaeger/OTel, corollario dei reparti di traccia su trace _ id/span _ id.
Dashboard e alert: Grafana/Kibana/Datadog.

3) Sorgenti di eventi (rivestimento)

Infrastruttura: sistema operativo (syslog, auditd), contenitori (Docker), orchestrazione (Kubernets Events + Auditel), dispositivi di rete, WAF/CDN, VPN, IAM.
Applicazioni e API: gateway API, servizio mash, server Web, backend, code, pianificatori, webhook.
Database e archiviazione: query, DDL/DML, accesso a segreti/chiavi, accesso a un archivio oggetti.
Integrazione dei pagamenti: PSP/Equairing, aggregazione, 3DS.
Operazioni e processi: accessi alla console/CI/CD, dashboard, modifiche alle configurazioni/fittiflag, rilasci.
Sicurezza: IDS/IPS, EDR/AV, scanner di vulnerabilità, DLP.
Eventi utente: autenticazione, tentativi di accesso, cambio di stato KYC, depositi/conclusioni, scommesse/giochi (con anonimato se necessario).

4) Schemi di dati e standard

Un unico modello di evento è timestamp, event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Chiavi di correlazione: "trace _ id", "sessions _ id", "sollest _ id", "device _ id", "k8s. pod_uid`.
Qualità: campi obbligatori, convalida, deduplicazione, semilibertà per le sorgenti «rumorose».

5) Arbitro architettonico

1. Raccoglimento su nodi/agenti →

2. Pre-processing (parsing, revisione PII, normalizzazione)

3. Pneumatico (Kafka) con retino da 3 a 7 giorni

• Storage online (ricerca/correlazione, storage caldo da 7 a 30 giorni).
• Archivio immutabile (WORM/Glacier 1-7 anni per il controllo).
• SIEM (rilevamento e incidenti).
• 5. Dashboard/ricerca (operazioni, sicurezza, compilazione).
• 6. SOAR per l'automazione delle reazioni.

• Hot: SSD/indicizzazione, ricerca rapida (risposta online).
• Compressione/accesso meno frequente.
• Cold/Archive (WORM): conservazione a lungo termine a basso costo, ma invariabile.

6) Immutabile, integrità, fiducia

WORM/oggetto lock - Blocca l'eliminazione e la modifica per la durata dei criteri.
Cryptodinamica e catena di hash, per batch/cagnolini.
Hash-anchering - Pubblicazione periodica di hash nel registro esterno o nell'ora attendibile.
Sincronizzazione temporale: NTP/PTP, monitoraggio della deriva scrivere'clock. source`.
Controllo delle modifiche a quattro zampe/dual control per le regole Retention/Legale Hold.

7) Privacy e compliance

Minimizza PII - Memorizza solo i campi necessari, modifica/maschera in ingest.
Alias: 'user. pseudo _ id ', memorizzazione del mapping separata e limitata.
GDPR/DSAR/RTBF: classificazione delle origini, rimozione o occultamento logico gestito nelle repliche, eccezioni per i compiti legali di conservazione.
Legale Hold: etichette «freeze», sospensione dell'eliminazione negli archivi; registro delle azioni intorno a Hold.
Mupping standard ISO 27001 A.8/12/15, SOC2 CC7, PCI DSS Req. 10, regolazioni locali dei mercati.

8) Operazioni e processi

8. 1 Playbook/Runbooks

Perdita della fonte: come individuare (heartbeats), come ripristinare (replay dal bus), come compensare i passaggi.
Aumento dei ritardi: controllo delle code, sharding, indici, backpressure.
Indagine evento X: modello KQL/ES-query + collegamento con contesto trazione.
Legale Hold: chi mette in scena le riprese, come viene documentato.

8. 2 RACI (in breve)

R (Secondable) - Comando Osservabilità per raccolta/consegna; SecOps per le regole di rilevamento.
A (Accountable) - CISCO/Head of Ops per criteri e budget.
C (Consulted): DPO/Legale per la privacy; Architettura per diagrammi.
I (Informed) - Zapport/Prodotto/Gestione dei rischi.

9) Metriche di qualità (SLO/KPI)

Coverage:% sorgenti critiche connesse (obiettivo 99%).
Ingest lag: p95 ritardo di consegna (<30 secondi).
Indexing success: percentuale di eventi senza errori di parsing (> 99. 9%).
Ricerca latency: p95 <2 secondi per le richieste tipiche 24h della finestra.
Drop rate: perdita di eventi <0. 01%.
Alert fidelity: Precision/Recall secondo le regole, quota di falsi positivi.
Cost per GB: costo di conservazione/indice per il periodo.

10) Criteri di conservazione (esempio)

I criteri sono definiti da Legale/DPO e regolazioni locali.

11) Rilevamento e alerti (scheletro)

• Autenticazione sospetta (impossibile da spostare, TOR, errori frequenti).
• Escalation di privilegi/ruoli.
• Modifiche a configurazioni/segreti al di fuori del programma di rilascio.
• Cartelli di transazione anomali (segnali AML/antifrode).
• Caricamento di massa (trigger DLP).
• Tolleranza di errore: onda 5xx, degrado latency, restrizioni multiple pod'ov.

• Arricchimento della reputazione geo/IP, collegamento alle release/fitchflag, collegamento alle piste.

12) Protezione dell'accesso ai fogli

RBAC e segregazione dei compiti: ruoli separati per lettori/analisti/ammiragli.
Accesso Just-in-time: token temporanei, controllo di tutte le letture degli indici sensibili.
Crittografia: in-transit (TLS), at-rest (KMS/CMK), isolamento chiavi.
Segreti e chiavi: rotazione, limitazione dell'esportazione di eventi dal PII.

13) Road map di implementazione

1. Directory origini + schema minimo (ECS/OCSF).

2. Agente su nodi + OTEL Collector; parsing centralizzato.

3. Magazzino Hot (OpenSearch/Elasticsearch/Loki) + dashboard.

4. Alert di base (autenticazione, 5xx, modifiche alla configurazione).

5. Archivio in Object Storage con oggetto WORM.

• Kafka come pneumatico, repliche, fila di retrai.
• SIEM + prime regole di correlazione, playbook SOAR.
• Cryptodem di batch, ankering hash.
• Regole Legali Hold, DSAR/RTBF procedure.

• Rilevamento UEBA/ML.
• Directory eventi (Data Catalog), lineage.
• Ottimizzazione dei costi: riepilogo dei loghi rumorosi, tiering.

14) Errori frequenti e come evitarli

→ rumore senza schema: inserisci campi obbligatori e sempling.
Nessuna traccia: → incorporare trace _ id nei servizi di corteccia e proxy.
Un unico «monolite» dei loghi consente di dividere i domini e i livelli di criticità.
Nessuna invariabilità: → abilitare WORM/Object Lock e la firma.
I segreti sono filtri/redattori, scanner di token, gelosia.

15) Assegno foglio di avvio

• Registro delle fonti con priorità di criticità.
• Unico schema e validatori (CI per parser).
• Strategia di agenzia (daemonset in k8s, Beats/OTel).
• Pneumatico e retensivo.
• Storage caldo/freddo/archiviazione + WORM.
• RBAC, crittografia, registro di accesso.
• Alert di base e playbook SOAR.
• Dashboard per Ops/Sec/Compliance.
• Criteri DSAR/RTBF/Legale Hold.
• KPI/SLO + budget di archiviazione.

16) Esempi di eventi (semplificato)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Glossario (brevemente)

Audittrail è una sequenza di record invariati che registra le azioni del soggetto.
WORM - Modalità di memorizzazione «registrato-un-giorno, letto-multiplo».
SOAR - automazione della risposta agli incidenti tramite playbook.
UEBA - Analisi del comportamento degli utenti e delle entità.
OCSF/ECS/OTEL - Standard di diagrammi di logi e telemetria.

18) Totale

Il sistema di verifica e loging non è una pila di logi, ma un programma gestito con uno schema di dati nitido, un archivio, una correlazione e un playbook di reazione. Il rispetto dei principi di questo articolo aumenta l'osservabilità, accelera le indagini e chiude i requisiti chiave delle Operazioni e della Complaens.