Аудит жана Логин куралдары

1) Эмне үчүн керек

• Иш-аракеттерди көзөмөлдөө (ким/эмне/качан/кайдан/эмне үчүн).
• Тез иликтөө жана Forensics.
• Жөнгө салуучу жана кардарлардын талаптарына жооп берүү.
• Тобокелдиктерди башкаруу жана инциденттерде MTTRди азайтуу.
• Тобокелдик, антифрод, комплаенс моделдерин колдоо (KYC/AML/RTBF/Legal Hold).

• Булактардын толук камтылышы.
• Жазуулардын өзгөрбөстүгү жана бүтүндүгү.
• Стандартташтырылган окуялар схемалары.
• Издөө жеткиликтүүлүгү жана корреляция.
• Жеке маалыматтарды минималдаштыруу жана купуялуулукту көзөмөлдөө.

2) аспаптар пейзаж

2. 1 Логларды башкаруу жана индекстөө

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Сактоо жана издөө: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
Striming/шиналар: Kafka/Redpanda, NATS, Pulsar - буферизация жана күйөрман үчүн.
Парсинг жана нормалдаштыруу: Grok/regex, OTel processors, Logstash pipelines.

2. 2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/жүрүм-турум талдоо: SIEM, ML Detectors киргизилген модулдары.
SOAR/оркестр: Cortex/XSOAR, Tines, Shuffle - плейбуктарды автоматташтыруу.

2. 3 Аудит жана өзгөрбөстүк

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
Өзгөрүлбөс сактоо: WORM-Backets (Object Lock), S3 Glacier Vault Lock, write-once volumes, крипто кол коюу/хэш чынжыры менен журнал.
TSA/Time Tags: NTP/PTP байлап, тышкы ишенимдүү убакыттын ичинде хэш мезгил-мезгили менен.

2. 4 Байкоо & Tracking

Metrics/Trades: Prometheus + Tempo/Jaeger/OTel, Кореляция Логи trace_id/span_id.
Dashbord жана Алерт: Grafana/Kibana/Datadog.

3) Окуялардын булактары (каптоо)

Инфраструктура: OS (syslog, auditd), контейнерлер (Docker), оркестр (Kubernetes Events + Audit), тармактык түзмөктөр, WAF/CDN, VPN, IAM.
Колдонмолор жана API: API-шлюз, кызмат-mash, Web-Server, Backends, кезек, пландаштыруу, Webhook.
DD жана сактоо: суроолор, DDL/DML, сырларга/ачкычтарга жетүү, объект сактоо мүмкүнчүлүгү.
Төлөм интеграциясы: PSP/эквайринг, chargeback-events, 3DS.
Операциялар жана процесстер: консолдорго кирүү/CI/CD, башкаруу панелдери, конфигурацияларды/физфлагтарды өзгөртүү, релиздер.
Коопсуздук: IDS/IPS, EDR/AV, алсыздык сканерлери, DLP.
Колдонуучу окуялар: аутентификация, кирүү аракети, KYC статусун өзгөртүү, депозиттер/корутундулар, коюмдар/оюндар (зарыл болгон учурда анонимдештирүү менен).

4) Маалыматтар схемалары жана стандарттары

Бир окуя модели: 'timestamp', 'event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Корреляциялык ачкычтар: 'trace _ id', 'session _ id', 'request _ id', 'device _ id', 'k8s. pod_uid`.
Сапат: милдеттүү талаалар, валидация, дедупликация, "ызы-чуу" булактары үчүн семплирлөө.

5) Архитектуралык шилтеме

1. Нод/агенттерге чогултуу →

2. Pre-процессинг (парсинг, PII-чыгаруу, нормалдаштыруу) →

3. Шина (Kafka) менен ≥ 3-7 күн →

• Оперативдүү сактоо (издөө/корреляция, 7-30 күн ысык сактоо).
• Өзгөрүлбөгөн архив (WORM/Glacier аудит үчүн 1-7 жыл).
• SIEM (детекция жана окуялар).
• 5. Dashbord/издөө (операциялар, коопсуздук, комплаенс).
• 6. жооп автоматташтыруу үчүн SOAR.

• Hot: SSD/индекстөө, тез издөө (ыкчам жооп).
• Warm: кысуу/аз тез-тез кирүү.
• Cold/Archive (WORM): арзан узак мөөнөттүү сактоо, бирок өзгөрүлбөс.

6) Өзгөрбөстүк, бүтүндүк, ишеним

WORM/объект-лок: өчүрүү бөгөт коюу жана саясаттын мөөнөтүнө өзгөртүү.
Криптоподпис жана хэш чынжырчасы: батам/чанк логдору боюнча.
Hash-ankering: тышкы реестринде же ишенимдүү убакытта хэштерди мезгил-мезгили менен жарыялоо.
убакыт синхрондоштуруу: NTP/PTP, drift мониторинг; жазуу 'clock. source`.
Өзгөрүүлөрдү көзөмөлдөө: retention/Legal Hold саясаты үчүн төрт көздүү/кош көзөмөл.

7) Купуялык жана комплаенс

PII минималдаштыруу: гана зарыл болгон талааларды сактоо, өзгөртүү/ingest маскировкалоо.
Псевдоним: 'user. pseudo_id', сактоо өзүнчө жана чектелген.
GDPR/DSAR/RTBF: булактардын классификациясы, башкарылуучу логикалык алып салуу/репликаларда жашыруу, юридикалык сактоо милдеттери үчүн өзгөчөлүктөр.
Legal Hold: "freeze" белгилери, архивде өчүрүүнү токтотуу; Hold айланасындагы иш-аракеттер журналы.
стандарттар боюнча Mapping: ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, жергиликтүү рынокторду жөнгө салуу.

8) Иштетүү жана процесстер

8. 1 Playbooks/Runbooks

Булак жоготуу: кантип аныктоо (heartbeats), кантип калыбына келтирүү (шинадан кайра), кантип ордун толтуруу үчүн.
кечигүү өсүшү: кезектерди текшерүү, шардана, индекстер, backpressure.
X окуяны иликтөө: KQL/ES-query үлгү + Trace контекстинде менен байланыш.
Legal Hold: ким коюшат, кантип тартат, кантип документтештирилет.

8. 2 RACI (кыскача)

R (Responsible): Observability-чогултуу/жеткирүү үчүн команда; SecOps детекция эрежелери үчүн.
A (Accountable): Саясат жана бюджет үчүн CISO/Head of Ops.
C (Consulted): DPO/купуялык үчүн мыйзамдуу; Схемалар үчүн архитектура.
I (Informed): Саппорт/Продукт/Тобокелдик-менеджмент.

9) Сапат көрсөткүчтөрү (SLO/KPI)

Coverage: критикалык булактардын% туташтырылган (максаты ≥ 99%).
Ingest lag: p95 жеткирүү кечигүү (<30 сек).
Indexing success: parsing каталары жок окуялардын үлүшү (> 99. 9%).
Search latency: p95 <2 секунданын ичинде 24h терезе типтүү суроо.
Drop rate: окуя жоготуу <0. 01%.
Alert fidelity: Precision/Recall эрежелери боюнча, жалган позитивдердин үлүшү.
Cost per GB: сактоо наркы/мезгил ичинде индекси.

10) Сактоо саясаты (мисал)

Саясатчылар мыйзамдуу/DPO жана жергиликтүү жөнгө салуу менен такталат.

11) Детекция жана алерта (скелет)

• Шектүү аутентификация (мүмкүн эмес кыймыл, TOR, көп каталар).
• Артыкчылыктардын/ролдордун күчөшү.
• Чыгаруу графиктен тышкары конфигурацияларды/сырларды өзгөртүү.
• Транзакциялардын аномалдуу үлгүлөрү (AML/антифрод сигналдары).
• Массалык маалыматтар чыгаруу (DLP-триггерлер).
• Бузулууга туруктуулук: 5xx бороон-чапкын, latency деградациясы, pod's бир нече кайра.

• Гео/IP-кадыр-баркын байытуу, релиздерге/фичфлагтарга байлоо, жолдор менен байланыш.

12) Logs жетүү коопсуздугу

RBAC жана милдеттерди сегрегациялоо: окурмандар/аналитиктер/администраторлор үчүн өзүнчө ролдор.
Just-in-time жетүү: убактылуу белгилер, "сезгич" индекстердин бардык окуу аудит.
Шифрлөө: in-transit (TLS), at-rest (KMS/CMK), ачкычтарды изоляциялоо.
Сырлар жана ачкычтар: айлануу, PII менен окуялардын экспортун чектөө.

13) Ишке ашыруунун жол картасы

1. Булак каталогу + минималдуу схема (ECS/OCSF).

2. Nod + OTel Collector боюнча агент; борборлоштурулган парсинг.

3. Hot сактоо (OpenSearch/Elasticsearch/Loki) + dashboard.

4. Негизги тобокелдиктер (аутентификация, 5xx, конфигурацияларды өзгөртүү).

5. Object Storage Lock Object (WORM) архиви.

• Kafka сыяктуу шиналар, репликалар, ретрай-кезек.
• SIEM + биринчи корреляциялык эрежелер, SOAR playbook.
• Криптоподпись батчи, анкеринг хэш.
• Мыйзам Hold саясаты, DSAR/RTBF жол-жоболору.

• UEBA/ML-детекция.
• Catalog (Data Catalog), lineage.
• Чыгымдарды оптималдаштыруу: "ызы-чуу" үймөктөрдү, tiering.

14) Көп каталар жана аларды алдын алуу үчүн кантип

Log-ызы схемасы жок: → милдеттүү талааларды жана семплингди киргизүү.
Tracking жок: → кор-кызмат жана прокси trace_id киргизүү.
Бирдиктүү "монолит" Логдор: → домендер жана критикалык деңгээл боюнча бөлүү.
Өзгөрбөстүктүн жоктугу: → WORM/Object Lock жана кол коюуну камтыйт.
Логдордо сырлар: → чыпкалар/редакторлор, токен сканерлери, ревю.

15) Чек тизмеси ишке киргизүү

• сын артыкчылыгы менен булактардын реестри.
• Бирдиктүү схема жана валидаторлор (парсерлер үчүн CI).
• Агенттик стратегиясы (k8s daemonset, Beats/OTel).
• Шина жана retenshn.
• Ысык/муздак/архив сактоо + WORM.
• RBAC, шифрлөө, кирүү журналы.
• SOAR негизги Алерт жана Playbook.
• Ops/Sec/Compliance үчүн Dashboard.
• DSAR/RTBF/Legal Hold саясаты.
• KPI/SLO + сактоо бюджети.

16) Окуялардын мисалдары (жөнөкөйлөштүрүлгөн)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Глоссарий (кыскача)

Audit trail - субъекттин аракетин жаздыруучу өзгөрүлбөгөн жазуулардын ырааттуулугу.
WORM - сактоо режими "жазылган-бир жолу, окуп-көп сөз".
SOAR - плейбуктар боюнча инциденттерге жооп берүүнү автоматташтыруу.
UEBA - колдонуучулардын жана жактардын жүрүм-турумун талдоо.
OCSF/ECS/OTel - Логин жана телеметрия схемаларынын стандарттары.

18) Жыйынтык

Аудит жана логирлөө системасы - бул "логдордун стеги" эмес, маалыматтардын так схемасы, өзгөрүлбөгөн архиви, корреляциясы жана реакциянын плейбуктары бар башкарылуучу программа. Бул беренеден принциптерди сактоо байкоону жогорулатат, иликтөөлөрдү тездетет жана Операциялардын жана Комплаенстин негизги талаптарын жабат.