აუდიტის და ლოჯისტიკის ხელსაწყოები

1) რატომ არის ეს აუცილებელი?

მიზნები:

მოქმედების კვალიფიკაცია (ვინ/რა/როდის/საიდან/რატომ).
ინციდენტებისა და წინსვლის სწრაფი გამოძიება.
რეგულატორებისა და მომხმარებლების მოთხოვნების დაცვა.
რისკების მენეჯმენტი და MTTR- ის შემცირება ინციდენტებში.
რისკის, ანტიფროდის, შესაბამისობის მოდელების მხარდაჭერა (KYC/AML/RTBF/Legal Hold).

ძირითადი პრინციპები:

წყაროების დაფარვის სისრულე.
ჩანაწერების უცვლელი და მთლიანობა.
სტანდარტიზებული მოვლენების სქემები.
სამძებრო წვდომა და კორელაცია.
პერსონალური მონაცემების მინიმიზაცია და კონფიდენციალურობის კონტროლი.

2) ინსტრუმენტების ლანდშაფტი

2. 1 ლოგიკის მენეჯმენტი და ინდექსაცია

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
საცავი და ძებნა: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
ნაკადი/საბურავები: Kafka/Redpanda, NATS, Pulsar - ბუფერიზაციისა და გულშემატკივრებისთვის.
პარსინგი და ნორმალიზაცია: Grok/regex, OTel processors, Logstash pipelines.

2. 2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/ქცევითი ანალიზი: ჩაშენებული მოდულები SIEM, ML დეტექტორებში.
SOAR/ორკესტრი: Cortex/XSOAR, Tines, Shuffle - ფლეიბუკების ავტომატიზაცია.

2. 3 აუდიტი და უცვლელი

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
უცვლელი შენახვა: WORM backets (Obect Lock), S3 Glacier Vault Lock, write-once volumes, ჟურნალები კრიპტოვალუტის/ჰეშის ჯაჭვით.
TSA/დროებითი ეტიკეტები: NTP/PTP ბმული, ჰეშის პერიოდული კითხვარი გარე ნდობის დროს.

2. 4 დაკვირვება და კვალი

მეტრიკა/ტრეისი: Prometheus + Tempo/Jaeger/OTel, ლოგოების კორელაცია - ტრეისი ტრეისი/spank _ id.
დაშბორდები და ალერტები: Grafana/Kibana/Datadog.

3) მოვლენების წყაროები (საფარი)

ინფრასტრუქტურა: OS (syslog, auditd), კონტეინერები (Docker), ორკესტრი (Kubernetes Events + Audit), ქსელის მოწყობილობები, WAF/CDN, VPN, IAM.
პროგრამები და API: API კარიბჭე, მომსახურება, ვებ სერვერები, ზურგჩანთები, ხაზები, დამგეგმავები, ვებჰუკი.
BD და საცავი: მოთხოვნები, DDL/DML, საიდუმლოებები/გასაღებები, ობიექტის საცავის წვდომა.
გადახდის ინტეგრაცია: PSP/შეძენა, chargeback ტირაჟი, 3DS.
ოპერაციები და პროცესები: შეყვანა კონსოლში/CI/CD, admin პანელები, კონფიგურაციების/ფიჩფლაგების ცვლილებები, გამოშვებები.
უსაფრთხოება: IDS/IPS, EDR/AV, დაუცველი სკანერები, DLP.
მომხმარებლის მოვლენები: ავთენტიფიკაცია, შესვლის მცდელობები, KYC სტატუსის შეცვლა, ანაბრები/დასკვნები, განაკვეთები/თამაშები (საჭიროების შემთხვევაში ანონიმიზაციით).

4) მონაცემთა სქემები და სტანდარტები

ღონისძიების ერთიანი მოდელი: 'timestamp', 'event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
კორელაციის გასაღებები: 'trace _ id', 'session _ id', 'request _ id', 'device _ id', 'k8s. pod_uid`.
ხარისხი: სავალდებულო ველები, შესაბამისობა, დედაპლაცია, სინთპლაცია „ხმაურიანი“ წყაროებისთვის.

5) არქიტექტურული რეფერენდუმი

1. შეკრება პროექტებზე/აგენტებზე

2. წინასწარი დამუშავება (პარსინგი, PII გამოცემა, ნორმალიზაცია)

3. საბურავი (კაფკა) ჭარხლის ფენით 3-7 დღის განმავლობაში

4. ნაკადის ჩანგლები:

ოპერაციული საცავი (ძებნა/კორელაცია, ცხელი შენახვა 7-30 დღის განმავლობაში).
უცვლელი არქივი (WORM/Glacier 1-7 წელი აუდიტისთვის).
SIEM (იდენტიფიკაცია და ინციდენტები).
5. დაშბორდები/ძებნა (ოპერაციები, უსაფრთხოება, შესაბამისობა).
6. SOAR რეაქციების ავტომატიზაციისთვის.

შენახვის ფენები:

ცხელი: SSD/ინდექსაცია, სწრაფი ძებნა (სწრაფი რეაგირება).
Warm: კომპრესია/ნაკლებად ხშირი წვდომა.
ცივი/არქივი (WORM): იაფი გრძელვადიანი შენახვა, მაგრამ უცვლელი.

6) უცვლელობა, მთლიანობა, ნდობა

WORM/lock ობიექტი: წაშლა და შეცვლა პოლიტიკის ხანგრძლივობისთვის.
კრიპტოვალუტა და უხეში ჯაჭვი: ბრძოლები/მონები.
Hash-ancering: ჰაშის პერიოდული გამოქვეყნება გარე რეესტრში ან სანდო დროში.
დროის სინქრონიზაცია: NTP/PTP, დრიფტის მონიტორინგი; ჩაწერა 'clock. source`.
ცვლილების კონტროლი: ოთხწახნაგოვანი/ორმაგი კონტროლი პოლიტიკოსისთვის retention/Legal Hold.

7) კონფიდენციალურობა და შესაბამისობა

PII- ის მინიმიზაცია: შეინახეთ მხოლოდ საჭირო ველები, რედაქტირება/შენიღბვა ingest- ში.
ფსევდონიმიზაცია: 'user. pseudo _ id ', mapping შენახვა ცალკე და შეზღუდულია.
GDPR/DSAR/RTBF: წყაროების კლასიფიკაცია, კონტროლირებადი ლოგიკური მოცილება/რეპლიკებში დამალვა, იურიდიული შენახვის მოვალეობების გამონაკლისი.
Legal Hold: ეტიკეტები „freeze“, არქივებში მოცილების შეჩერება; Hold- ის გარშემო სამოქმედო ჟურნალი.
სტანდარტების მაპინგი: ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, ბაზრების ადგილობრივი რეგულირება.

8) ოპერაცია და პროცესები

8. 1 Playbooks/Runbooks

წყაროს დაკარგვა: როგორ დავადგინოთ (heartbeats), თუ როგორ უნდა აღვადგინოთ (საბურავები), როგორ ანაზღაურდეს გამოტოვება.
შეფერხებების ზრდა: რიგების შემოწმება, შარდვა, ინდექსები, დაბომბვა.
X მოვლენის გამოძიება: KQL/ES-query + შაბლონი ტრასის კონტექსტით.
Legal Hold: ვინ აყენებს, როგორ ამოიღებს, როგორ არის დოკუმენტირებული.

8. 2 RACI (მოკლედ)

R (Responsible): Observability გუნდი შეკრება/მიწოდებისთვის; SecOps დეტექტივის წესებისთვის.
A (Accountable): CISO/Ops Head პოლიტიკისა და ბიუჯეტისთვის.
C (Consulted): DPO/Legal კონფიდენციალურობისთვის; არქიტექტურა სქემებისთვის.
I (ინფორმირებული): საფორტი/პროდუქტი/რისკის მენეჯმენტი.

9) ხარისხის მეტრიკა (SLO/KPI)

Coverage: კრიტიკული წყაროების% დაკავშირებულია (მიზანი 99%).
Ingest lag: p95 მიწოდების შეფერხება (<30 წ.).
Indexing success: მოვლენების წილი პარსინგის შეცდომების გარეშე (> 99. 9%).
Search latency: p95 <2 წამი 24h ფანჯრის სტანდარტული მოთხოვნებისთვის.
Drop: მოვლენების დაკარგვა <0. 01%.
Alert fidelity: Precision/Recall წესების თანახმად, ყალბი პოზიტივების წილი.
Cost per GB: შენახვის/ინდექსის ღირებულება პერიოდისთვის.

10) შენახვის პოლიტიკა (მაგალითი)

კატეგორია	Hot	Warm	Archive (WORM)	სულ
Admin პანელების აუდიტი	14 დ	90 დ	5 წელი	5 წელი
გადახდის მოვლენები	7 დ	60 დ	7 წელი	7 წელი
ესენი. აპლიკაციის ლოგოები	3 დ	30 დ	1 წელი	1 წელი
უსაფრთხოება (IDS/EDR)	14 დ	90 დ	2 წელი	2 წელი

პოლიტიკოსები განმარტავენ ლეგალურ/DPO და ადგილობრივ რეგულაციებს.

11) დეტექტივი და ალერტა (ჩონჩხი)

წესები (rule-as-code):

საეჭვო ავთენტიფიკაცია (შეუძლებელი გადაადგილება, TOR, ხშირი შეცდომები).
პრივილეგიების/როლების ესკალაცია.
კონფიგურაციის/საიდუმლოების ცვლილებები გამოშვების გრაფიკის მიღმა.
ანომალიური გარიგების ნიმუშები (AML/სიგნალის ანტიფროზი).
მონაცემთა მასობრივი გადმოტვირთვის (DLP გამომწვევები).
შეუსაბამობა: 5xx აურზაური, ლატენტობის დეგრადაცია, pod's მრავალჯერადი რესტრუქტურიზაცია.

კონტექსტები:

გეო/IP რეპუტაციის გამდიდრება, გამოშვებების/ფიჩფლაგების მიბმა, ბილიკებთან დაკავშირება.

12) ლოგებზე წვდომის უსაფრთხოება

RBAC და მოვალეობების სეგრეგაცია: ინდივიდუალური როლები მკითხველს/ანალიტიკოსებს/ადმინებს.
Just-in-time: დროებითი ნიშნები, „მგრძნობიარე“ ინდექსების ყველა კითხვის აუდიტი.
დაშიფვრა: in-transit (TLS), at-rest (KMS/CMK), გასაღების იზოლაცია.
საიდუმლოებები და გასაღებები: როტაცია, მოვლენების ექსპორტის შეზღუდვა PII- სთან.

13) გზის განხორციელების რუკა

MVP (4-6 კვირა):

1. წყაროების კატალოგი + მინიმალური სქემა (ECS/OCSF).

2. აგენტი + OTel Collector; ცენტრალიზებული პარსინგი.

3. Hot საცავი (OpenSearch/Elasticsearch/Loki) + დაშბორდები.

4. ძირითადი ალერტები (ავთენტიფიკაცია, 5xx, კონფიგურაციის ცვლილებები).

5. არქივი Obect Storage- ში ლოკთან (WORM).

ეტაპი 2:

Kafka ჰგავს საბურავს, რეფლექსებს, retray რიგს.
SIEM + პირველი კორელაციის წესები, SOAR ფლეიბუქები.
ბრძოლების კრიპტოვალუტა, ჰაშის დაკითხვა.
პოლიტიკოსები Legal Hold, DSAR/RTBF პროცედურები.

ეტაპი 3:

UEBA/ML დეტექტივი.
მოვლენების კატალოგები (მონაცემთა კატალოგი), ხაზები.
ღირებულების ოპტიმიზაცია: „ხმაურიანი“ ლოგოების სინთეზი, tiering.

14) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

ლოგის ხმაური სქემის გარეშე: სავალდებულო ველების და ნიმუშის შემოღება.
არ არსებობს ტრეკები: trace _ id- ის დანერგვა კორპორატიულ სერვისებში და მარიონეტებში.
ლოგოების ერთი „მონოლითი“: გაყოფა დომენებსა და კრიტიკულ დონეზე.
უცვლელობა: WORM/Object Lock და ხელმოწერა.
საიდუმლოებები ლოგოებში: ფილტრები/რედაქტორები, ტოქსინების სკანერები, შურისძიება.

15) გაშვების სია

პრიორიტეტული წყაროების რეესტრი.
ერთიანი სქემა და მოვალეობები (CI პარსერებისთვის).
აგენტის სტრატეგია (daemonset in k8s, Beats/OTel).
საბურავი და ჭრელი.
ცხელი/ცივი/საარქივო შენახვა + WORM.
RBAC, დაშიფვრა, წვდომის ჟურნალი.
ძირითადი ალერტები და playbuks SOAR.
დაშბორდები Ops/Sec/Compliance.
პოლიტიკოსები DSAR/RTBF/Legal Hold.
KPI/SLO + შენახვის ბიუჯეტი.

16) მოვლენების მაგალითები (გამარტივებული)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) გლოსარიუმი (მოკლედ)

Audit trail არის უცვლელი ჩანაწერების თანმიმდევრობა, რომელიც აფიქსირებს საგნის მოქმედებებს.
WORM - შენახვის რეჟიმი „ჩაწერილი ერთხელ, წაიკითხეთ განმეორებითი“.
SOAR - playbook ინციდენტებზე რეაგირების ავტომატიზაცია.
UEBA - მომხმარებლებისა და პირების ქცევის ანალიზი.
OCSF/ECS/OTel არის ლოგებისა და ტელემეტრიული სქემების სტანდარტები.

18) შედეგი

აუდიტის და ლოჯისტიკის სისტემა არ არის „ლოგოების დასტის“, არამედ კონტროლირებადი პროგრამა, რომელსაც აქვს მკაფიო მონაცემთა სქემა, რომელიც უცვლელია არქივში, კორელაციასა და რეაქციის პლეიბუტებს შორის. ამ სტატიიდან პრინციპების დაცვა ზრდის დაკვირვებას, აჩქარებს გამოძიებას და ხურავს ოპერაციებისა და კომპლაენის საკვანძო მოთხოვნებს.

აუდიტის და ლოჯისტიკის ხელსაწყოები

დაგვიკავშირდით

სწრაფი კავშირი

ვიდეო მალე განახლდება

ჩვენ ახლა ძალიან დაკავებული ვართ პროექტებით