Ferramentas de auditoria e logagem

1) Por que é necessário

• Rastreabilidade das ações (quem/o/o/o/o/o/o/o porquê).
• Investigação rápida de incidentes e forense.
• Conformidade com reguladores e clientes.
• Gerenciamento de risco e redução de MTTR em incidentes.
• Suporte a modelos de risco, antifrode, complacência (KYC/AML/PTBF/Legal Hold).

• A totalidade da cobertura das fontes.
• A imutabilidade e integridade das gravações.
• Esquemas de evento normalizados.
• Disponibilidade de busca e correlação.
• Minimizar os dados pessoais e controlar a privacidade.

2) Paisagem de ferramentas

2. 1 Gestão de logs e indexação

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Armazenamento e pesquisa: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
Streaming/pneus: Kafka/Redpanda, NATS, Pulsar - para buffer e fã-out.
Parsing e normalização: Grok/regex, processores OTEL, Logstash pipelines.

2. 2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/análise comportamental: módulos incorporados no SIEM, detectores ML.
SOAR/Orquestra: Cortex/XSOAR, Tines, Shuffle - automação de playbooks.

2. 3 Auditoria e imutabilidade

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
Armazenamento imutável: baquetes WORM (Object Lock), S3 Glacier Vault Lock, write-once volumes, revista com criptopodescrição/cadeia de hasts.
TSA/rótulos de tempo: vinculação a NTP/PTP, questionário periódico de haste em tempo de confiança externo.

2. 4 Observabilidade e rastreamento

Métricas/trailers: Prometheus + Tempo/Jaeger/OTel, coralização de logs ↔ traçados por trace _ id/span _ id.
Dashboards e alertas: Grafana/Kibana/Datadog.

3) Fontes de evento (revestimento)

Infraestrutura: sistema operacional (syslog, auditd), contêineres (Docker), orquestração (Kubernetes Events + Auditórios), dispositivos de rede, WAF/CDN, VPN, IAM.
Aplicativos e APIs: entrada de API, serviço de maca, servidores Web, backends, filas, programadores, webhooks.
BD e armazenamento: consultas, DDL/DML, acesso a segredos/chaves, acesso ao armazenamento de objetos.
Integração de pagamento PSP/Equiring, plugeback-ivents, 3DS.
Transações e processos: entradas no console/CI/CD, painéis admins, alterações de configuração/fichflags, lançamentos.
Segurança: IDS/IPS, EDR/AV, scanners de vulnerabilidade, DLP.
Eventos personalizados: autenticação, tentativas de logon, mudança de status KYC, depósitos/conclusões, apostas/jogos (com anonimato, se necessário).

4) Circuitos de dados e padrões

Um único modelo de evento: 'timestamp', 'event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Chaves de correlação: 'trace _ id', 'sessions _ id', 'request _ id', 'device _ id', 'k8s. pod_uid`.
Qualidade: campos obrigatórios, validação, dedução, semente para fontes «ruidosas».

5) Árbitro arquitetônico

1. Coleta em nodes/agentes →

2. Processamento pré-processamento (parsing, edição PII, normalização) →

3. Pneu (Kafka) com retino ≥ 3-7 dias →

• Armazenamento operacional (busca/correlação, armazenamento quente de 7 a 30 dias).
• Arquivo imutável (WORM/Glacier 1-7 anos para auditoria).
• SIEM (detecção e incidentes).
• 5. Dashboard/pesquisa (operações, segurança, complacência).
• 6. SOAR para automação de reações.

• Hot: SSD/indexação, busca rápida (resposta rápida).
• Warm: compressão/acesso menos frequente.
• Cold/Archive (WORM): armazenamento de longo prazo barato, mas imutável.

6) Imutabilidade, integridade, confiança

WORM/objeto-lock: bloqueio de remoção e modificação de políticas.
Criptopoder e cadeia de hits, batch/chanchadas de logs.
Hash-ankering: publicação periódica de hashes em registro externo ou horário de confiança.
Sincronização do tempo: NTP/PTP, monitoramento da deriva; gravação 'clock. source`.
Controle de alterações: controle de quatro olhos/dual para políticas de retenção/Legal Hold.

7) Privacidade e complacência

Minimizar PII: armazenar apenas os campos necessários, editar/mascarar no ingest.
Pseudônimo: 'user. pseudo _ id ', armazenamento de mapping separado e limitado.
GDPR/DSAR/PTBF: classificação de fontes, remoção/ocultação lógica administrada em réplicas, exceções para obrigações legais de armazenamento.
Legal Hold: rótulos «freeze», suspensão da remoção nos arquivos; registro de ações em torno da Hold.
Mapping padrão: ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, regulações locais dos mercados.

8) Operação e processos

8. 1 Playbooks/Runbooks

Perda da fonte: como identificar (heartbeats), como recuperar (replay do pneu), como compensar passagens.
Aumento de atrasos: verificação de filas, charding, índices, backpressure.
Investigação do evento X: modelo KQL/ES-query + ligação com contexto de trailer.
Legal Hold: Quem coloca, como filma, como é documentado.

8. 2 RACI (resumo)

R (Resolvível): Observabilidade-comando por coleta/entrega; Por regras de detecção.
A (Accountable): CISCO/Head of Ops para políticas e orçamento.
C (Consulted): DPO/Legal para privacidade; Arquitetura para circuitos.
I (Informed): Safort/Produto/Gerenciamento de risco.

9) Métricas de qualidade (SLO/KPI)

Coverage:% das fontes críticas estão conectadas (alvo ≥ 99%).
Ingest lag: p95 atrasos de entrega (<30 segundos).
Indexing sucess: proporção de eventos sem erros de parsing (> 99. 9%).
Search latency: p95 <2 segundos para solicitações típicas 24h da janela.
Drop rate: perda de eventos <0. 01%.
Alert fidelidade: Precision/Recall de acordo com as regras, proporção de falsos positivos.
Custo per GB: custo de armazenamento/índice por período.

10) Políticas de armazenamento (exemplo)

As políticas são definidas pelo DPO/Legal e regulações locais.

11) Detecção e alertas (esqueleto)

• Autenticação suspeita (movimentação impossível, TOR, erros frequentes).
• Escalar privilégios/papéis.
• Alterações de configuração/segredos fora do cronograma de lançamento.
• Sinais anômalos de transação (AML/antifrode).
• Carregamento de dados em massa (DLP).
• Resistência a falhas: escala 5xx, degradação latency, múltiplos restartes pod' ov.

• Enriquecimento de geo/reputação IP, ligação com lançamentos/fichflagelos, ligação com pistas.

12) Segurança de acesso aos logs

RBAC e segregação de responsabilidades: papéis individuais para leitores/analistas/almirantes.
Acesso Just-in-time: tokens temporários, auditoria de todas as leituras de índice «sensível».
Criptografia in-transit (TLS), at-rest (KMS/CMK), isolamento das chaves.
Segredos e chaves: rotação, restrição à exportação de eventos do PII.

13) Mapa de trânsito de implementação

1. Catálogo de fontes + padrão mínimo (ECS/OCSF).

2. Agente em nodes + OTel Colector; parsing centralizado.

3. Armazém Hot (OpenSearch/Elasticsearch/Loki) + dashboard.

4. Alertas básicos (autenticação, 5xx, alterações de configs).

5. Arquivo no Object Armazenamento com objeto-local (WORM).

• Kafka como pneu, réplicas, filas de retais.
• SIEM + as primeiras regras de correlação, playbooks SOAR.
• Criptopobre batches, anquering hash.
• Políticas Legal Hold, DSAR/39BF procedimentos.

• Detecção UEBA/ML.
• Catálogo de eventos (Data Catalog), lineage.
• Otimização de custo: semente logs «ruidosos», tiering.

14) Erros frequentes e como evitá-los

Ruído lógico sem padrão: → digitar campos obrigatórios e sempling.
Nenhum traçado: → implantar trace _ id em serviços de córrego e proxy.
Um único «monolito» de logs: → dividir em domínios e níveis de criticidade.
Não é imutável: → ativar o WORM/Object Lock e a assinatura.
Segredos nos logs: filtros/editores, scanners de token, ciúmes.

15) Folha de cheque de lançamento

• Registro de fontes com prioridade de criticidade.
• Esquema único e validadores (CI para parsers).
• Estratégia de agência (daemonset em k8s, Beats/OTel).
• Pneu e retino.
• Armazenamento quente/frio/arquivo + WORM.
• RBAC, criptografia, registro de acesso.
• Alertas básicos e playbooks SOAR.
• Dashboard para Ops/Sec/Compliance.
• Políticas DSAR/PTBF/Legal Hold.
• KPI/SLO + orçamento de armazenamento.

16) Exemplos de eventos (simplificado)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Glossário (breve)

O Check trail é uma sequência de gravações invariáveis que registra as ações do sujeito.
O modo de armazenamento WORM «gravou-um-dia, leu-o- ».
SOAR - automação de resposta a incidentes de playbooks.
UEBA - Análise do comportamento dos usuários e entidades.
OCSF/ECS/OTel - padrões de esquema de logs e telemetria.

18) Total

O sistema de auditoria e loging não é uma pilha de logs, mas sim um programa administrado com um padrão de dados claro, arquivo, correlação e playbooks de reação imutáveis. O cumprimento dos princípios deste artigo aumenta a observabilidade, acelera as investigações e encerra os requisitos essenciais das Operações e da Complaens.