GH GambleHub

벌목 및 벌목

1) 왜 로그와 프로토콜이 필요합니까?

로그는 조직의 "블랙 박스" 입니다. 감사 및 조사에 대한 증거를 제공하고 운영 및 규제 위험을 줄이며 이벤트 과정을 복원하고 정책 실행 (액세스, 보존, 암호화, KYC/AML, PCI) 을 확인할 수 있습니다. 등).

목표:
  • 추적 작업 (누가/무엇/언제/어디서/왜/무엇).
  • 사고 탐지 및 격리 (탐지 및 예방 통제).
  • 규제 기관/감사인을위한 증거 기반 (불변성).
  • SLA/SLO 성능 및 규정 준수 분석.

2) 로그 분류 (최소 적용 범위)

액세스 및 정체성 (IAM/IGA): 인증, 역할 반전, SoD, JIT 액세스.
인프라/클라우드/IaC: API 호출, 구성 드리프트, KMS/HSM 이벤트.

응용 프로그램/비즈니스-거래, PI/재무, 쿼리 라이프 사이클 (DSAR)

보안: IDS/IPS, EDR, DLP/EDRM, WAF, 취약점/패치, 안티 바이러스.
네트워크: 방화벽, VPN/제로 트러스트, 프록시, DNS.
CI/CD/DevSecOps: 빌드, 데플라, SAST/DAST/SCA, 비밀 스캔.
데이터/분석: 계보, 상점 액세스, 마스킹/익명화.
운영: ITSM/티켓, 사고, 변경 관리, DR/BCP 테스트.
공급 업체/타사: 웹 후크, SSO 페더레이션, SLA 이벤트.

3) 규제 요건 (지침)

GDPR/ISO 27701: 최소화/마스킹 PI, 일정 유지, 법적 보류, DSAR 추적.
SOC 2/ISO 27001: 감사 추적, 로그 액세스 제어, 제어 실행 증거.
PCI DSS: 미디어/카드 데이터에 대한 액세스 기록, 로그 무결성, 일일 검토.
AML/KYC: 수표 추적 성, 제재/PEP 심사, STR/SAR 프로토콜.

4) 로깅의 참조 아키텍처

1. 프로듀서: 응용 프로그램, 클라우드, 네트워크, 호스트 에이전트.
2. 버스/수집기: 역압, 재 시도, TLS mSL, 중복 제거.
3. 정규화: 단일 형식 (JSON/OTel), 농축 (테넌트, 사용자, 지리, 심각도).

4. 금고:
  • 핫 (검색/SIEM): 7-30 일, 빠른 액세스.
  • 감기 (개체): 개월/년, 저렴한 스토리지.
  • 보관 증거 (WORM/Object Lock): 불변성, 해시 영수증.
  • 5. 무결성 및 서명: 해시 체인/머 클리 트리/타임 스탬프.
  • 6. 액세스 및 보안: RBAC/ABAC, 관할권 별 세분화, 사례 기반 액세스.
  • 7. 분석 및 경고: SIEM/SOAR, 상관 ID, 플레이 북.
  • 8. 카탈로그 및 스키마: 이벤트 유형 레지스트리, 버전 지정, 스키마 테스트.

5) 코드 별 정책 (YAML 예)

유지 및 법적 보류

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

무결성 및 서명

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) 로그 품질 요구 사항

구조: JSON/OTel 만, 원본 텍스트는 없습니다.
시간 동기화: NTP/PTP, 드리프트 제어; '타임 스탬프', '수신 _ at' entry를 받았습니다.
상관 ID: 'trace _ id', 'span _ id', '요청 _ id', 'user _ id' (별칭).
현장 의미론: 데이터 사전 및 테스트 스키마 계약.
현지화/언어: 필드-영어 키, 값-통합 (enum).
볼륨 및 드롭 정책: 통제되지 않은 드롭 금지; 대기열/할당량/위험 샘플링.

민감한 데이터: 마스킹/토큰 화; 비밀/카드를 완전히 유지하는 것을 금지합

7) 개인 정보 보호 및 최소화

PII 위생: 값 대신 로그 해시/토큰; 이메일/전화/IP에 대한 엄격한 마스크.
문맥: 이유없이 개인 데이터를 지불하지 마십시오.
관할권: 국가 별 저장 및 액세스 (데이터 거주자), 사본 추적 성.
DSAR: 사례별로 검색 라벨 및 수출; 개인화로 보고서를 인쇄하는 기능.

8) 불변성과 증거

WORM/Object Lock-해당 기간 동안 삭제/덮어 쓰기를 방지합니다.
암호화 서명: 배치의 서명; 매일 정박하는 머 클리 뿌리.
양육권 체인: 보고서의 로그 액세스, 해시 영수증, 할당량.
검증: 정기적 인 무결성 검사 및 동기화되지 않은 경고.

9) 로그 액세스 제어

RBAC/ABAC: 수출/공유 대 역할 만 읽거나 검색하십시오.
사례 기반 액세스: 민감한 로그에 대한 액세스-조사/티켓의 일부로만 가능합니다.
비밀/키: KMS/HSM; 회전, 분할 지식, 이중 제어.
액세스 감사: "어떤 로그를 읽는 사람" + 이상에 대한 경고 별도의 잡지.

10) 측정 및 SLO 로깅

섭취 지연: 수신 지연의 95 번째 백분위 수 (대상 PK60 초).
드롭 속도: 손실 된 이벤트의 백분율 (목표 0; 경고> 0. 001%).
스키마 규정 준수: 스키마에 의해 검증 된 이벤트의% 5%).
적용 범위: 중앙 집중식 로깅중인 시스템의% (98% 중요).
무결성 패스: 성공적인 해시 체인 검사 (100%).
액세스 검토: 월별 권리 청구, 지연-0.
PII 누출 률: 로그에서 "깨끗한" PI가 감지되었습니다 (대상 0 임계 값).

11) 대시 보드 (최소 세트)

섭취 및 지연: 부피/속도, 지연, 낙하, 온천.
무결성 및 세계: 고정 상태, 검증, 객체 잠금.
보안 이벤트: 중요한 상관 관계, MITRE 카드.
로그에 대한 액세스: 누가 읽고 읽은 내용/수출; 이상.
준수보기: 유지/법적 보류 상태, 감사 보고서, DSAR 수출.

스키마 건강: 구문 분석 오류/스키마 버전, 레거시 에이전트의 백분율

12) SOP (표준 절차)

SOP-1: 로그 소스 연결

1. 출처 및 중요도 등록 → 2 )/OTel → 3 선택) TLS/mSL 체계, 토큰 →

2. 준비 중 드라이 런 (체계 검증, PII 마스크) → 5) 생산 →

3. 디렉토리/대시 보드에 추가 → 7) 보존/WORM 검증.

SOP-2: 사건 대응 (증거로 로그)

탐지 → Triage → 사례 범위 → 법적 보류 →

해시 캡처 및 앵커링 → 분석/타임 라인 → 보고서 및 CAPA → 레슨 릴리스.

SOP-3: 요청 요청/감사

1. 케이스를 열고 요청 ID → 2) 필요한 형식으로 내보내기 →

2. 법률/준수 확인 → 4) 해시 요약 → 5) 전송 및 로깅.

SOP-4: 로그 액세스 개정

소유자의 월간 인증; "고아" 권리의 자동 포효; SoD 보고서.

13) 형식과 예

액세스 이벤트 예 (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

탐지 규칙 (의사 레고)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) 역할 및 RACI

역할책임
로그 플랫폼 소유자 (A)신뢰성, 안전, 유지, 예산
규정 준수 엔지니어링 (R)코드 별 정책, 체계, 유지/법적 보류
SecOps/DFIR (R)탐지, 조사, SOAR 플레이 북
데이터 플랫폼 (R)DWH/카탈로그, 수출, 증거 쇼케이스
IAM/IGA (C)액세스 제어, Attestation, SoD
법률/DPO (C)개인 정보 보호, 재입국, DSAR/법적 보류
내부 감사 (I)절차 및 인공물 검증

15) 공급 업체 및 공급망 관리

계약서: 로그, 형식, SLA 스토리지 및 액세스, WORM/불변성을 감사 할 권리.
하위 프로세서: 소스 레지스터 및 "엔드 투 엔드" 보존.
수출/오프 보드: 파괴 및 해시 요약 보고서 확인.

16) 안티 패턴

다이어그램과 상관 관계없이 "무료 텍스트" 로그.
WORM 및 해시 고정이없는 스토리지는 감사에서 분쟁입니다.
"있는 그대로" 로그의 민감한 데이터.
시간과 정규 추적 _ id의 동기화가 없습니다.
하중 피크에서 이벤트 하락; 역압 부족.
케이스 제어없이 로그에 대한 일반적인 액세스.
재 인증없이 로그를 읽을 수있는 "영원한" 권리.

17) 점검표

로깅 기능 시작

  • 소스 분류 및 중요성이 확인되었습니다.
  • 유지 체계 및 정책/법률 보유가 선언되었습니다 (코드로).

(PHP 3 = 3.0.6, PHP 4)

  • PII 마스크/토큰을 테스트했습니다.
  • WORM/Object Lock 및 고정이 활성화되었습니다.
  • 대시 보드/알림/메트릭이 설정되었습니다.
  • 액세스 개정 및 SoD가 구성됩니다.

감사/요청 요청 전에

  • "감사 팩" 수집: 스키마, 정책, 무결성 보고서, 샘플.
  • 해당 기간 동안 무결성 및 액세스 로그를 확인합니다.
  • DSAR/Legal Hold 상태가 확인되었습니다.
  • 업로드 및 전송 확인의 해시 요약이 생성되었습니다.

18) 성숙도 모델 (M0-M4)

M0 매뉴얼: 흩어져있는 로그, 체계 및 보류 없음.
M1 중앙 집중식 수집: 기본 검색, 부분 분류.
M2 관리: 스키마 및 코드 정책, 대시 보드, 보존/WORM.
M3 통합: OTel 추적, SOAR, 고정/머클리, 케이스 기반 액세스.
M4 확인: "버튼으로 감사 준비", 예측 탐지, 자동 무결성 제어 및 법적으로 중요한 영수증.

19) 관련 위키 기사

연속 준수 모니터링 (CCM)

KPI 및 규정 준수 지표

법적 보류 및 데이터 동결

정책 및 절차 수명주기

규정 준수 솔루션 커뮤니케이

준수 정책 변경 관리

근면 및 아웃소싱 위험

합계

강력한 로깅 기능은 "메시지 하우스" 가 아니라 관리 시스템: 구조화 된 이벤트, 엄격한 체계 및 권한, 불변성 및 서명, 기본 개인 정보 보호, 엄격한 액세스 제어 및 증거 복제. 이러한 시스템을 통해 조사가 빠르고 감사가 예측 가능하며 위험을 관리 할 수 있습니다.

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

Telegram
@Gamble_GC
통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.