Narzędzia audytu i pozyskiwania drewna

1) Dlaczego go potrzebujesz

• Możliwość śledzenia działań (kto/co/kiedy/gdzie/dlaczego).
• Szybkie śledztwo i śledztwo.
• Zgodność z przepisami i klientem.
• Zarządzanie ryzykiem i zmniejszenie MTTR w incydentach.
• Wsparcie dla ryzyka, zwalczania nadużyć finansowych, modeli zgodności (KYC/AML/RTBF/Legal Hold).

• Kompletność pokrycia źródłowego.
• Zapis niezmienności i integralności.
• Standardowe schematy zdarzeń.
• Dostępność i korelacja wyszukiwania.
• Minimalizacja danych osobowych i kontrola prywatności.

2) Krajobraz instrumentu

2. 1 Zarządzanie dziennikami i indeksowanie

Сбова/абента: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Przechowywanie i wyszukiwanie: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
Strumieniowe/opony: Kafka/Redpanda, NATS, Pulsar - do buforowania i wentylacji.
Parsing i normalizacja: Grok/regex, procesory OTel, rurociągi Logstash.

2. 2 SIEM/Wykryć i odpowiedzieć

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
Analiza UEBA/behawioralna: wbudowane moduły w detektory SIEM, ML.
SOAR/orkiestra: Cortex/XSOAR, Tines, Shuffle - automatyka playbook.

2. 3 Audyt i niezawodność

Абдинкодсистев: Linux auditd/ausearch, Windows Event Logs, DB-alubenдий (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
Niezmienne przechowywanie: wiadra WORM (Object Lock), S3 Glacier Vault Lock, jednokrotne zapisanie woluminów, rejestrowanie za pomocą łańcucha podpisu kryptograficznego/hash.
TSA/timestamps: wiązanie z NTP/PTP, okresowe kotwiczenie hashes w zewnętrznym zaufanym czasie.

2. 4 Obserwowalność i ślady

Mierniki/szlaki: Prometheus + Tempo/Jaeger/OTel, korelacja kłód i śladów według trace_id/span_id.
Deski rozdzielcze i wpisy: Grafana/Kibana/Datadog.

3) Źródła zdarzeń (zakres pokrycia)

Infrastruktura: OS (syslog, auditd), kontenery (Docker), orkiestra (Kubernetes Events + Audit), urządzenia sieciowe, WAF/CDN, VPN, IAM.
Aplikacje i interfejsy API: brama API, zacieranie usług, serwery internetowe, backendy, kolejki, harmonogramy, haki internetowe.
DB i skarbce: zapytania, DDL/DML, dostęp do sekretów/klawiszy, dostęp do magazynu obiektów.
Integracja płatności: PSP/przejęcie, zdarzenia związane z obciążeniem zwrotnym, 3DS.
Operacje i procesy: wejścia konsoli/CI/CD, panele administratora, zmiany flagi konfiguracji/funkcji, wydania.
Bezpieczeństwo: IDS/IPS, EDR/AV, skanery wrażliwości, DLP.
Zdarzenia użytkownika: uwierzytelnianie, próby logowania, zmiana statusu KYC, wpłaty/wyjścia, zakłady/gry (w razie potrzeby z anonimizacją).

4) Systemy i standardy danych

Ujednolicony model wydarzenia: "znacznik czasu", "wydarzenie. kategoria „,” wydarzenie. działanie „,” użytkownik. id ',' temat. id ',' źródło. ip ',' http. request_id', ślad. id ',' serwis. nazwa "," środowisko "," dotkliwość "," wynik "," etykiety ".;

Стандарта сна: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Klucze korelacji: 'trace _ id',' session _ id', 'request _ id',' device _ id', 'k8s'. pod_uid'.
Jakość: wymagane pola, walidacja, deduplikacja, pobieranie próbek dla „hałaśliwych” źródeł.

5) Odniesienie architektoniczne

1. Kolekcja na węzłach/agentów →

2. Wstępne przetwarzanie (parsing, wydanie PII, normalizacja) →

3. Opona (Kafka) z odciąganiem ≥ 3-7 dni →

• Przechowywanie w Internecie (wyszukiwanie/korelacja, hot storage 7-30 dni).
• Niezmienne archiwum (WORM/Lodowiec 1-7 lat na audyt).
• SIEM (wykrywanie i incydenty).
• 5. Deski rozdzielcze/wyszukiwanie (operacje, bezpieczeństwo, zgodność).
• 6. SOAR do automatyzacji reakcji.

• Hot: SSD/indeksowanie, szybkie wyszukiwanie (szybka odpowiedź).
• Ciepło: kompresja/mniejszy dostęp.
• Cold/Archive (WORM): tanie przechowywanie długoterminowe, ale niezmienne.

6) Niezmienność, integralność, zaufanie

Obiekt WORM/lock - usunięcie bloku i modyfikacja na czas trwania polityki.
Podpis kryptograficzny i łańcuch skrótów: według partii/kawałków kłód.
Kotwiczenie hash: okresowa publikacja hashes w rejestrze zewnętrznym lub zaufanym czasie.
Synchronizacja czasu: NTP/PTP, monitorowanie dryfu; nagrywanie w nocy. źródło ".
Kontrola zmian: kontrola czteroosiowa/podwójna do celów zatrzymywania/polityka legalnego trzymania.

7) Prywatność i zgodność

Minimalizacja PII: przechowywać tylko niezbędne pola, edytować/maskować w połknięciu.
Aliasing: 'użytkownik. pseudo_id', przechowywanie mapowania jest oddzielne i ograniczone.
RODO/DSAR/RTBF: klasyfikacja źródeł, zarządzane logiczne usuwanie/ukrywanie w replikach, wyjątki od legalnych obowiązków zatrzymywania.
Legal Hold: „zamrozić” tagi, zawieszenie usuwania w archiwach; dziennik działalności wokół Hold.
Standardowe odwzorowanie: ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, lokalna regulacja rynku.

8) Operacje i procesy

8. 1 Playbooks/Runbooks

Utrata źródła: jak zidentyfikować (uderzenia serca), jak przywrócić (powtórka z autobusu), jak zrekompensować luki.
Rosnące opóźnienia: sprawdzanie kolejki, rzucanie, indeksy, ciśnienie wsteczne.
Badanie zdarzenia X: szablon zapytania KQL/ES + link do kontekstu śladu.
Legal Hold: kto umieszcza, jak strzelać, jak dokumentować.

8. 2 RACI (w skrócie)

R (odpowiedzialny): zespół obserwacyjny ds. zbierania/dostarczania; Secopy do wykrywania zasad.
A (Odpowiedzialność): CISO/Szef Działów ds. Polityki i Budżetu.
C (Konsultacja): DPO/Legal for privacy; Architektura obwodów.
I (Poinformowany): Wsparcie/Produkt/Zarządzanie Ryzykiem.

9) Wskaźniki jakości (SLO/KPI)

Zasięg:% źródeł krytycznych jest połączonych (cel ≥ 99%).
Ingest lag: p95 opóźnienie dostawy (<30 sek).
Indeksowanie sukcesu: odsetek zdarzeń bez błędów parsingowych (> 99. 9%).
Opóźnienie wyszukiwania: p95 <2 sek dla typowych żądań 24h okna.
Wskaźnik spadku: utrata zdarzeń <0. 01%.
Alert wierność: Precyzja/Przypomnij według reguł, udział fałszywych pozytywów.
Koszt na GB: Koszt magazynowania/indeksu na okres.

10) Polityka zatrzymywania (przykład)

Zasady są określone w przepisach prawnych/IOD i lokalnych.

11) Wykrywanie i wpisy (szkielet)

• Podejrzane uwierzytelnianie (niemożliwy ruch, TOR, częste błędy).
• Eskalacja przywilejów/ról.
• Konfiguracja/tajne zmiany poza harmonogramem wydania.
• Nieprawidłowe wzorce transakcji (sygnały AML/anti-fraud).
• Masowe przesyłanie danych (wyzwalacze DLP).
• Tolerancja uszkodzenia: 5xx kwadrat, rozkład opóźnienia, wielokrotne ponowne uruchomienie kapsuły.

• Wzbogacenie o reputację geo/IP, powiązanie z flagami wydań/funkcji, powiązanie z utworami.

12) Bezpieczeństwo dostępu do dziennika

RBAC i segregacja obowiązków: oddzielne role czytelników/analityków/administratorów.
Dostęp w czasie: tymczasowe żetony, audyt wszystkich odczytów „wrażliwych” indeksów.
Szyfrowanie: tranzyt (TLS), odpoczynek (KMS/CMK), izolacja klucza.
Sekrety i klucze: rotacja, ograniczenie eksportu zdarzeń z PII.

13) Plan działania w zakresie wdrażania

1. Katalog źródłowy + schemat minimalny (ECS/OCSF).

2. Agent na węzłach + OTel Collector; scentralizowany parsing.

3. Storage Hot (OpenSearch/Elasticsearch/Loki) + deski rozdzielcze.

4. Podstawowe wpisy (uwierzytelnianie, 5xx, zmiany konfiguracyjne).

5. Archiwum w magazynie obiektu za pomocą obiektu blokady (WORM).

• Kafka jako opona, powtórka, kolejka.
• SIEM + pierwsze zasady korelacji, playbooks SOAR.
• Krypta podpis partii, kotwiczenie hashes.
• Polityka prawna Hold, procedury DSAR/RTBF.

• Wykrywanie UEBA/ML.
• Katalog danych, rodowód.
• Optymalizacja kosztów: próbkowanie „hałaśliwych” dzienników, wielopoziomowe.

14) Częste błędy i sposób ich unikania

Hałas kłód bez schematu: → wprowadź obowiązkowe pola i pobieranie próbek.
Brak śladów: → wdrożenie trace_id w podstawowych usługach i serwerach proxy.
Pojedynczy „monolit” kłód: → podzielony na domeny i poziomy krytyki.
Nie immutable: → aby włączyć blokadę WORM/obiektu i podpis.
Sekrety w dziennikach: → filtry/edytory, skanery tokenów, recenzje.

15) Lista kontrolna startu

• Krytyczność Priority Source Register.
• Jednolity system i walidatory (CI dla parserów).
• Strategia agenta (daemonset in k8s, Beats/OTel).
• Splint i retencja.
• Hot/Cold/Archive + WORM
• RBAC, szyfrowanie, dziennik dostępu.
• Podstawowe wpisy SOAR i playbooks.
• Deski rozdzielcze dla Ops/Sec/Compliance.
• Polityka DSAR/RTBF/Legal Hold.
• KPI/SLO + budżet na składowanie.

16) Przykłady zdarzeń (uproszczone)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Słownik (krótki)

Ścieżka audytu - ciąg niezmiennych zapisów rejestrujących działania podmiotu.
WORM - zapisz raz, czytaj-wiele trybu przechowywania.
SOAR - automatyzacja reakcji na incydenty przez playbooks.
UEBA - analiza zachowań użytkowników i podmiotów.
OCSF/ECS/OTel - normy dla schematów dzienników i telemetrii.

18) Najważniejsze

System audytu i rejestrowania nie jest „stos dziennika”, ale zarządzany program z jasnym schematem danych, niezmiennym archiwum, korelacji i odtwarzaczy reakcji. Zgodność z zasadami zawartymi w niniejszym artykule zwiększa obserwowalność, przyspiesza dochodzenia i zamyka kluczowe wymagania dotyczące operacji i zgodności.