GH GambleHub

監査およびロギングツール

1)なぜそれを必要とします

目的:
  • アクションのトレーサビリティ(who/what/when/where/why)。
  • 迅速な事件調査と鑑識。
  • 規制および顧客コンプライアンス。
  • インシデントのリスク管理とMTTR削減。
  • リスク、不正防止、コンプライアンスモデル(KYC/AML/RTBF/Legal Hold)のサポート).
主な原則:
  • ソースカバレッジの完全性。
  • 不変性と完全性を記録します。
  • 標準化されたイベントスキーマ。
  • 検索の可用性と相関性。
  • 個人データとプライバシー管理の最小化。

2)器械の景色

2.1ログ管理とインデックス作成

Filebeat/Winlogbeat、 OpenTelemetry Collector、 Fluent Bit/Fluentd、 Vector、 Logstash。
ストレージと検索:Elasticsearch/OpenSearch、 Loki、 ClickHouse、 Splunk、 Datadog Logs。
ストリーミング/タイヤ:カフカ/レッドパンダ、NATS、パルサー-バッファリングとファンアウトのために。
解析と正規化:Grok/regex、 OTelプロセッサ、Logstashパイプライン。

2.2 SIEM/検出および応答

SIEM: Splunk Enterprise Security、 Microsoft Sentinel、 Elastic Security、 QRadar。
UEBA/行動解析:SIEM、 ML検出器に組み込まれたモジュール。
SOAR/orchestration: Cortex/XSOAR、 Tines、 Shuffle-プレイブックの自動化。

2.3監査と不変性

Linux auditd/ausearch、 Windows Event Logs (pgAudit、 MySQL監査)、Kubernetes監査ログ、CloudTrail/CloudWatch/Azure モニター/GCPクラウドロギング。
不変のストレージ:WORMバケット(オブジェクトロック)、S3 Glacier Vaultロック、書き込み1回のボリューム、暗号署名/ハッシュチェーンでのログ記録。
TSA/タイムスタンプ: NTP/PTPへのバインディング、外部信頼された時間内のハッシュの定期的なアンカー。

2.4観測可能性と痕跡

メトリック/トレイル:Prometheus+Tempo/Jaeger/OTel、 ↔によるログtrace_id/span_idトレースの相関。
ダッシュボードとアラート:Grafana/Kibana/Datadog。

3)イベントソース(カバー範囲)

インフラストラクチャ:OS (syslog、 auditd)、コンテナ(Docker)、オーケストレーション(Kubernetes Events+Audit)、ネットワークデバイス、WAF/CDN、 VPN、 IAM。
アプリケーションとAPI: APIゲートウェイ、サービスマッシュ、Webサーバー、バックエンド、キュー、スケジューラ、Webhook。
DBとvaults:クエリ、DDL/DML、シークレット/キーへのアクセス、オブジェクトストレージへのアクセス。
決済統合:PSP/取得、チャージバックイベント、3DS。
操作とプロセス:コンソール/CI/CD入力、管理パネル、構成/機能フラグの変更、リリース。
セキュリティ:IDS/IPS、 EDR/AV、脆弱性スキャナ、DLP。
ユーザーイベント:認証、ログイン試行、KYCステータス変更、入金/出力、賭け/ゲーム(必要に応じて匿名化)。

4)データスキームと標準

統一イベントモデル:'timestamp'、 'event。カテゴリ'、'イベント。アクション'、'ユーザー。id'、'subject。id'、'source。ip'、'http。request_id'、'トレース。id'、'サービス。名前'、'環境'、'重大度'、'結果'、'ラベル'。
схем: ECS (Elastic Common Schema)、 OCSF (Open Cybersecurity Schema Framework)、 OpenTelemetry Logs。
相関キー:'trace_id'、 'session_id'、 'request_id'、 'device_id'、 'k8s。 。 。
品質:必要なフィールド、検証、重複排除、「騒々しい」ソースのサンプリング。

5)建築リファレンス

1.ノード/エージェントのコレクション→

2.前処理(解析、PII版、正規化)→

3.レッチング付きタイヤ(カフカ)≥ 3-7日→

4.スレッドフォーク:
  • オンラインストレージ(検索/相関、ホットストレージ7-30日)。
  • 不変アーカイブ(WORM/Glacier監査のための1-7年)。
  • SIEM(検出とインシデント)。
  • 5.ダッシュボード/検索(操作、セキュリティ、コンプライアンス)。
  • 6.反応自動化のためのSOAR。
ストレージ・レイヤー:
  • ホット:SSD/インデックス作成、高速検索(高速応答)。
  • 暖かい:圧縮/より少ない頻繁なアクセス。
  • Cold/Archive (WORM):安価な長期保管ですが、変更はありません。

6)不変性、完全性、信頼

WORM/lockオブジェクト-ポリシーの期間中の削除と変更をブロックします。
暗号署名とハッシュチェーン:ログのバッチ/チャンクによる。
ハッシュアンカーリング:外部レジストリまたは信頼できる時間にハッシュを定期的に公開します。
時間同期:NTP/PTPのドリフト監視;レコーディング時計。ソース'。
変更制御:保持/法的保持ポリシーの4つ目/デュアルコントロール。

7)プライバシーとコンプライアンス

PII最小化:必要なフィールドのみを格納し、編集/マスクをingestに格納します。
エイリアス:'user。pseudo_id'、マッピングの保存は別個で制限されています。
GDPR/DSAR/RTBF:ソース分類、レプリカの管理論理削除/非表示、法的保持義務の例外。
法的保持:「凍結」タグ、アーカイブ内の削除の停止。ホールド周辺の活動のジャーナル。
標準マッピング:ISO 27001 A.8/12/15、 SOC 2 CC7、 PCI DSS Req。10のローカル市場の規則。

8)操作およびプロセス

8.1プレイブック/ランブック

ソース損失:識別方法(ハートビート)、復元方法(バスからのリプレイ)、ギャップを補償する方法。
遅延の増加:キューチェック、シャーディング、インデックス、バックプレッシャー。
イベントXの調査:KQL/ESクエリのテンプレート+トレースコンテキストへのリンク。
リーガルホールド:誰を置く、撮影する方法、文書化する方法。

8.2 RACI(簡潔に)

R(責任がある):収集/配達のための観察チーム;検出ルールのSecOps。
A(説明責任):CISO/政策と予算のOpsの責任者。
C(相談される):プライバシーのためのDPO/Legal;回路のためのアーキテクチャ。
I(インフォームド):サポート/製品/リスク管理。

9)品質指標(SLO/KPI)

カバレッジ:重要なソースの%が接続されています(ターゲット≥ 99%)。
インジェストラグ:p95配信遅延(<30秒)。

インデックスの成功: 解析エラーのないイベントの割合(>99。9%).

検索レイテンシー:典型的なウィンドウ24時間リクエストのためのp95 <2秒。

ドロップレート: イベントの損失<0。01%.

Alert fidelity: Precision/Recall by rules、 share of false positives。
GBあたりのコスト:期間あたりのストレージ/インデックスのコスト。

10)保持ポリシー(例)

カテゴリー一覧ホット暖かいですアーカイブ(WORM)[合計]
管理パネルの監査14 D90 D5年間5年間
支払いイベント7 D60 D7年間7年間
それは……アプリケーションログ3 D30 D1年1年
セキュリティ(IDS/EDR)14 D90 D2年間2年間

ポリシーは、法律/DPOおよび現地の規制によって指定されています。

11)検出および警報(スケルトン)

ルール(rule-as-code):
  • 疑わしい認証(不可能な動き、TOR、頻繁なエラー)。
  • 特権/役割のエスカレーション。
  • リリーススケジュール外の構成/秘密の変更。
  • 異常なトランザクションパターン(AML/不正防止信号)。
  • マスデータアップロード(DLPトリガー)。
  • フォールトトレランス:5xxスクオール、レイテンシーの劣化、複数のポッドの再起動。
コンテキスト:
  • geo/IPの評判の豊かさ、リリース/フィーチャーフラグへのリンク、トラックへのリンク。

12)ログアクセスセキュリティ

RBACと職務の分離:読者/アナリスト/管理者のための個別の役割。
ジャストインタイムアクセス:一時的なトークン、すべての読み取りの監査「機密」インデックス。
暗号化:in-transit (TLS)、 at-rest (KMS/CMK)、キー分離。
秘密と鍵:回転、PIIでイベントのエクスポートを制限します。

13)実装ロードマップ

MVP (4-6週):

1.ソースディレクトリ+最小スキーマ(ECS/OCSF)。

2.ノード上のエージェント+OTel Collector;一元化された解析。

3.ストレージホット(OpenSearch/Elasticsearch/Loki)+ダッシュボード。

4.基本的なアラート(認証、5xx、設定の変更)。

5.ロックオブジェクト(WORM)を使用してオブジェクトストレージにアーカイブします。

フェーズ2:
  • タイヤ、リプレイ、リトレイキューとしてのカフカ。
  • SIEM+最初の相関ルール、SOARプレイブック。
  • バッチの暗号署名、ハッシュのアンカー。
  • 法的保持ポリシー、DSAR/RTBF手続き。
フェーズ3:
  • UEBA/ML検出。
  • データカタログ、系統。
  • コスト最適化:「騒々しい」ログのサンプリング、階層化。

14)頻繁な間違いとそれらを回避する方法

スキームのないログノイズ:→必須フィールドとサンプリングを導入します。
トレースなし:→コアサービスとプロキシにtrace_idを実装する。
ログの単一の「モノリス」:→ドメインとクリティカルレベルに分かれています。
不変:→WORM/オブジェクトロックと署名を有効にします。
ログの秘密:→フィルター/エディター、トークンスキャナー、レビュー。

15)チェックリストを起動する

  • Criticality Priority Source Register。
  • 統合スキームとバリデータ(パーサのCI)。
  • エージェント戦略(k8s、 Beats/OTelのデーモンセット)。
  • スプリントと保持。
  • ホット/コールド/アーカイブ+ワーム
  • RBAC、暗号化、アクセスログ。
  • SOAR基本アラートとプレイブック。
  • Ops/Sec/Complianceのダッシュボード。
  • DSAR/RTBF/Legal Holdポリシー。
  • KPI/SLO+ストレージの予算。

16)イベントの例(簡略化)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17)用語集(短い)

監査証跡-件名のアクションを記録する変更できないレコードのシーケンス。
WORM-write-once、 read-manyストレージモード。
SOAR-プレイブックによるインシデントへの応答の自動化。
UEBA-ユーザーの行動とエンティティの分析。
OCSF/ECS/OTel-ログスキームとテレメトリーの標準。

18)ボトムライン

監査とロギングシステムは「ログスタック」ではなく、明確なデータスキーマ、変更できないアーカイブ、相関、反応のプレイブックを備えた管理プログラムです。この記事の原則の遵守は、観測性を高め、調査をスピードアップし、オペレーションとコンプライアンスの重要な要件を閉じます。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。