감사 및 로깅 도구

1) 왜 필요한가

• 행동의 추적 성 (누가/무엇/언제/어디서/왜).
• 빠른 사건 조사 및 법의학.
• 규제 및 고객 준수.
• 사고의 위험 관리 및 MTTR 감소.
• 위험, 사기 방지, 규정 준수 모델 (KYC/AML/RTBF/Legal Hold) 지원.

• 소스 범위의 완전성.
• 불변성과 무결성을 기록하십시오.
• 표준화 된 이벤트 스키마.
• 검색 가용성 및 상관 관계.
• 개인 데이터 및 개인 정보 보호 제어의 최소화.

2) 기기 풍경

2. 1 로그 관리 및 색인

확실한 비트/Fluentd, 벡터, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
저장 및 검색: ElasticSearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
스트리밍/타이어: 버퍼링 및 팬 아웃을위한 Kafka/Redpanda, NATS, Pulsar.
파싱 및 정규화: Grok/regex, OTel 프로세서, Logstash 파이프 라인.

2. 2 SIEM/탐지 및 응답

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/행동 분석: SIEM, ML 검출기에 내장 된 모듈.
SOAR/오케스트레이션: Cortex/XSOAR, Tines, Shuffle-플레이 북 자동화.

2. 3 감사 및 불변성

게 이미지: Linux 감사/ausearch, Windows 이벤트 로그, DB-а계정 (pgAudit, MySQL 감사), Kubernetes 감사 로그, CloudTrail/CloudWatch/Azure Monitor/GCP 클라우드 로깅.
불변의 스토리지: WORM 버킷 (Object Lock), S3 Glacier Vault Lock, 한 번의 볼륨, 암호화 시그니처/해시 체인으로 로깅.
TSA/타임 스탬프: NTP/PTP에 바인딩하고 외부 신뢰할 수있는 시간에 해시를 정기적으로 고정합니다.

2. 4 관찰 및 추적

메트릭/트레일: Prometheus + Tempo/Jaeger/OTel, trace _ id/span _ id에 의한 로그 트레이스의 상관 관계.
대시 보드 및 경고: Grafana/Kibana/Datadog.

3) 이벤트 소스 (표지 범위)

인프라: OS (소 로그, 감사), 컨테이너 (도커), 오케스트레이션 (Kubernetes 이벤트 + 감사), 네트워크 장치, WAF/CDN, VPN, IAM.
응용 프로그램 및 API: API 게이트웨이, 서비스 매시, 웹 서버, 백엔드, 대기열, 스케줄러, 웹 후크.
DB 및 보관소: 쿼리, DDL/DML, 비밀/키 액세스, 객체 스토리지 액세스.
지불 통합: PSP/획득, 청구 이벤트, 3DS.
작업 및 프로세스: 콘솔/CI/CD 입력, 관리 패널, 구성/기능 플래그 변경, 릴리스.
보안: IDS/IPS, EDR/AV, 취약성 스캐너, DLP.
사용자 이벤트: 인증, 로그인 시도, KYC 상태 변경, 예금/출력, 베팅/게임 (필요한 경우 익명화).

4) 데이터 체계 및 표준

통합 이벤트 모델: '타임 스탬프', '이벤트. 카테고리 ',' 이벤트. 동작 ',' 사용자. id ',' 주제. id ',' 소스. ip ',' http. (PHP 3 = 3.0.6, PHP 4) id ',' 서비스. 이름 ',' 환경 ',' 심각도 ',' 결과 ',' 라벨 '.
자유롭게 사용할 수 있는 방법이 없습니다. ECS (탄성 공통 스키마), OCSF (공개 사이버 보안 스키마 프레임 워크), OpenTelemetry 로그.

상관 키: 'trace _ id', 'setion _ id', '요청 _ id', '장치 _ id', 'k8s. (PHP 3 = 3.0.6, PHP

품질: 필요한 필드, 검증, 중복 제거, "잡음" 소스에 대한 샘플링.

5) 건축 참조

1. 노드/에이전트에 대한 수집 →

2. 사전 처리 (구문 분석, PII 버전, 정규화) →

3. 3-7 일 이상 재 포장 된 타이어 (Kafka) →

• 온라인 스토리지 (검색/상관, 핫 스토리지 7-30 일).
• 불변의 아카이브 (감사를위한 WORM/Glacier 1-7 년).
• SIEM (탐지 및 사고).
• 5. 대시 보드/검색 (운영, 보안, 규정 준수).
• 6. 반응 자동화를위한 SOAR.

• 핫: SSD/인덱싱, 빠른 검색 (빠른 응답).
• 따뜻함: 압축/덜 빈번한 액세스.
• 콜드/아카이브 (WORM): 저렴한 장기 스토리지이지만 변경할 수 없습니다.

6) 불변성, 성실, 신뢰

WORM/잠금 객체-정책 기간 동안 블록 삭제 및 수정.
암호화 시그니처 및 해시 체인: 로그 배치/덩어리로.
해시 앵커링: 외부 레지스트리 또는 신뢰할 수있는 시간에 해시를 정기적으로 게시합니다.
시간 동기화: NTP/PTP, 드리프트 모니터링; 기록시. 출처 '.
제어 변경: 유지/법적 보류 정책을위한 4 눈/이중 제어.

7) 개인 정보 보호 및 준수

PII 최소화: 필요한 필드 만 저장, 편집/마스크 수집.
할당: '사용자. pseudo _ id ', 매핑 저장소는 분리되어 있으며 제한되어 있습니다.
GDPR/DSAR/RTBF: 소스 분류, 복제본에서 관리되는 논리적 삭제/숨기기, 법적 보유 업무 예외.
법적 보류: "동결" 태그, 보관소의 삭제 중단; Hold 주변의 활동 저널.
표준 매핑: ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, 현지 시장 규제.

8) 운영 및 프로세스

8. 플레이 북 1 개/런북

출처 손실: 식별 방법 (심장 박동), 복원 방법 (버스에서 재생), 격차 보상 방법.
지연 증가: 대기열 확인, 날카로움, 색인, 역압.
이벤트 X: KQL/ES 쿼리 템플릿 + 링크를 추적 컨텍스트로 연결합니다.
법적 보류: 누가, 촬영 방법, 문서화 방법.

8. 2 RACI (간단히 말해)

R (책임): 수집/전달을위한 관찰 팀; 탐지 규칙을위한 SecOps.
A (책임): 정책 및 예산에 대한 CISO/Ops 책임자.
C (컨설팅): 개인 정보 보호를위한 DPO/Legal; 회로 아키텍처.
I (정보): 지원/제품/위험 관리.

9) 품질 측정 항목 (SLO/KPI)

적용 범위: 중요한 소스의% 가 연결되어 있습니다 (대상 99% 이상).
지연 지연: p95 전달 지연 (<30 초).
인덱싱 성공: 파싱 오류가없는 이벤트 비율 (> 99. 9%).

대기 시간 검색: 일반적인 창 24 시간 요청의 경우 p95 <2 초

드롭 속도: 이벤트 손실 <0. 01%.
충실도 경고: 규칙에 따른 정밀/리콜, 오 탐지의 공유.
GB당 비용: 기간 당 스토리지/인덱스 비용.

10) 보존 정책 (예)

정책은 법률/DPO 및 현지 규정에 의해 지정됩니다.

11) 탐지 및 경고 (골격)

• 의심스러운 인증 (불가능한 움직임, TOR, 빈번한 오류).
• 권한/역할의 확대.
• 릴리스 일정 이외의 설정/비밀 변경
• 비정상적인 거래 패턴 (AML/사기 방지 신호).
• 대량 데이터 업로드 (DLP 트리거).
• 내결함: 5xx 스쿨, 대기 시간 저하, 다중 포드 재시작.

• 지리/IP 평판이 강화되어 릴리스/기능 플래그에 연결되고 트랙에 연결됩니다.

12) 로그 액세스 보안

RBAC 및 업무 분리: 독자/분석가/광고에 대한 별도의 역할.
정시 액세스: 임시 토큰, "민감한" 인덱스에 대한 모든 읽기 감사.
암호화: 대중 교통 중 (SL), 휴식 (KMS/CMK), 키 격리.
비밀과 키: 회전, PII 이벤트 내보내기 제한.

13) 구현 로드맵

1. 소스 디렉토리 + 최소 스키마 (ECS/OCSF).

2. 노드 에이전트 + OTel 수집기; 중앙 집중식 파싱.

3. 스토리지 핫 (OpenSearch/ElasticSearch/Loki) + 대시 보드.

4. 기본 알림 (인증, 5xx, 설정 변경).

5. 잠금 오브젝트 (WORM) 를 사용하여 오브젝트 스토리지에 보관합니다

• 카프카는 타이어, 재생, 대기열로 재생됩니다.
• SIEM + 첫 번째 상관 규칙, SOAR 플레이 북.
• 배치의 암호화 시그니처, 해시의 고정.
• 법적 보류 정책, DSAR/RTBF 절차.

• UEBA/ML 탐지.
• 데이터 카탈로그, 계보.
• 비용 최적화: "잡음" 로그 샘플링, 계층 화.

14) 빈번한 실수와 피하는 방법

체계없이 로그 노이즈: → 필수 필드 및 샘플링을 도입합니다.
추적 없음: → 핵심 서비스 및 프록시에서 trace _ id를 구현합니다.
로그의 단일 "모놀리스": → 도메인과 중요 수준으로 나뉩니다.
불변화 할 수 없음: → WORM/Object Lock 및 서명을 활성화합니다.
로그의 비밀: → 필터/편집기, 토큰 스캐너, 리뷰.

15) 출시 점검표

• 비판 우선 순위 소스 등록.
• 통합 체계 및 검증자 (파서 용 CI).
• 에이전트 전략 (k8, Beats/OTel의 데몬 셋).
• 부목과 보존.
• 핫/콜드/아카이브 + WORM
• RBAC, 암호화, 액세스 로그.
• SOAR 기본 알림 및 플레이 북.
• Ops/Sec/Compliance 용 대시 보드.
• DSAR/RTBF/Legal Hold 정책.
• KPI/SLO + 스토리지 예산.

16) 사건의 예 (단순화)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) 용어집 (브리핑)

감사 흔적-주제의 행동을 기록하는 일련의 변경 불가능한 기록.
WORM-한 번 쓰기, 많은 읽기 스토리지 모드.
SOAR-플레이 북에 의한 사건에 대한 응답 자동화.
UEBA-사용자 행동 및 엔티티 분석.
OCSF/ECS/OTel-로그 체계 및 원격 측정 표준.

18) 결론

감사 및 로깅 시스템은 "로그 스택" 이 아니라 명확한 데이터 스키마, 변경 불가능한 아카이브, 상관 관계 및 반응 플레이 북이있는 관리 프로그램입니다. 이 기사의 원칙을 준수하면 관찰 가능성이 높아지고 조사 속도가 빨라지며 운영 및 준수의 주요 요구 사항이 닫힙니다.