GH GambleHub

Воситаҳои аудит ва сабти ном

1) Чаро ба шумо лозим аст

Вазифаҳо:
  • Пайгирӣ кардани амалҳо (кӣ/чӣ/кай/дар куҷо/чаро).
  • Тафтишоти фаврии ҳодисаҳо ва криминалистика.
  • Риояи танзим ва муштариён.
  • Идоракунии хавфҳо ва кам кардани MTTR дар ҳодисаҳо.
  • Дастгирии хавф, зидди қаллобӣ, моделҳои мувофиқат (KYC/AML/RTBF/Hold Legal).
Принсипҳои асосӣ:
  • Пуррагии фарогирии манбаъ.
  • Номутобиқатӣ ва якпорчагиро сабт кунед.
  • Схемаҳои стандартии чорабиниҳо.
  • Дастрасӣ ва таносуби ҷустуҷӯ.
  • Кам кардани маълумоти шахсӣ ва назорати дахолатнопазирӣ.

2) Манзараи асбобҳо

2. 1 Идоракунии журнал ва индексатсия

Сбор/агенты: Бит/Флуентд, Вектор, Логсташ, Филебат/Винлогбит, Коллектори Open

Нигоҳдорӣ ва ҷустуҷӯ: Elasticsearch/Open

Ҷараён/чархҳо: Кафка/Редпанда, NATS, Пулсар - барои буферкунӣ ва мухлиси-берун.
Коркард ва нормализатсия: Grok/regex, протсессори OT-el, қубурҳои Logstash.

2. 2 SIEM/Муайян кардан ва ҷавоб додан

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QR badar.
Таҳлили рафтории UEBA/: модулҳои дохилшуда дар SIEM, детекторҳои ML.
SOAR/оркестр: Cortex/XSOAR, Tines, Shuffle - автоматизатсияи китобҳои бозӣ.

2. 3 Аудит ва тағйирнопазирӣ

Audit podsistem: Linux auditd/ausearch, Windows Event Logs, DB-audit (аудити My itor/GCP Cloud Logging.
Нигоҳдории тағйирнопазир: сатилҳои WORM (Object Lock), S3 Glacier Vault Lock, ҳаҷми як маротиба навиштан, воридшавӣ бо имзои крипто/занҷири ҳаш.
TSA/timestamps: ҳатмӣ ба NTP/PTP, лангари даврии hash дар вақти бовариноки беруна.

2. 4 Мушоҳида ва пайгирӣ

Нишондиҳандаҳо/роҳҳо: Prometheus + Tempo/Jaeger/OT el, таносуби гузоришҳо ↔ пайҳо аз ҷониби trace_id/span_id.
Панели панелҳо ва огоҳиҳо: Графана/Кибана/Датадог.

3) Манбаъҳои ҳодиса (доираи фарогирӣ)

Инфраструктура: OS (syslog, auditd), контейнерҳо (Docker), оркестр (Kubernetes Events + Audit), дастгоҳҳои шабакавӣ, WAF/CDN, VPN, IAM.
Барномаҳо ва API: дарвозаи API, машки хидматрасонӣ, серверҳои веб, пуштибонҳо, навбатҳо, нақшакашҳо, вебхукҳо.
DB ва таҳхонаҳо: дархостҳо, DDL/DML, дастрасӣ ба асрҳо/калидҳо, дастрасӣ ба нигаҳдории объект.
Интегратсияи пардохт: PSP/ба даст овардан, чорабиниҳои пардохт, 3DS.
Амалиётҳо ва равандҳо: вуруди консол/CI/CD, панелҳои маъмурӣ, тағиротҳои конфигуратсия/хусусиятҳо, релизҳо.
Амният: IDS/IPS, EDR/AV, сканерҳои осебпазир, DLP.
Чорабиниҳои корбар: аутентификатсия, кӯшиши воридшавӣ, тағир додани вазъи KYC, амонатҳо/натиҷаҳо, гарав/бозиҳо (ҳангоми зарурат беном).

4) Схемаҳо ва стандартҳои маълумот

Модели ягонаи чорабинӣ: 'timestamp', 'ҳодиса. категорияи ',' ҳодиса. амал ',' корбар. id ',' мавзӯъ. id ',' манбаъ. ip ',' http. request_id', 'пайгирӣ. id ',' хидмат. ном ',' муҳит ',' вазнинӣ ',' натиҷа ',' тамғакоғазҳо. '

Стандарты схем: ECS (Elastic Common Schema), OCSF (Чаҳорчӯбаи кушодаи киберамният), Гузоришҳои кушодаи телеметрӣ.
Калидҳои коррелятсия: 'trace _ id', 'session _ id', 'request _ id', 'дастгоҳ _ id', 'k8s. pod_uid'.
Сифат: майдонҳои зарурӣ, санҷиш, такрорӣ, интихоб барои манбаъҳои "ғавғо".

5) Истинодҳои меъморӣ

1. Ҷамъоварӣ дар гиреҳҳо/агентҳо

2. Коркарди пешакӣ (таҳлил, нашри PII, нормализатсия) →

3. Тир (Кафка) бо ретчинг ≥ 3-7 рӯз →

4. Ғалтаки ғилдиракдор:
  • Нигаҳдории онлайн (ҷустуҷӯ/коррелятсия, нигаҳдории гарм 7-30 рӯз).
  • Бойгонии тағйирнопазир (WORM/пирях 1-7 сол барои санҷиш).
  • SIEM (ошкор ва ҳодисаҳо).
  • 5. Панели панелҳо/ҷустуҷӯ (амалиёт, амният, мувофиқат).
  • 6. SOAR барои автоматизатсияи реаксия.
Қабатҳои нигоҳдорӣ:
  • Гарм: SSD/индексатсия, ҷустуҷӯи зуд (вокуниши фаврӣ).
  • Гарм: фишурдасозӣ/дастрасии камтар зуд-зуд.
  • Хунук/бойгонӣ (WORM): нигоҳдории дарозмуддати арзон, аммо тағирнопазир.

6) Тағйирнопазирӣ, беайбӣ, эътимод

Объекти WORM/қулф - нест кардан ва тағир додани блок дар тӯли сиёсат.
Имзои крипто ва занҷири ҳаш: аз ҷониби гурӯҳҳо/қисмҳои гузоришҳо.
Ҳаш-лангар: нашри даврии ҳашҳо дар феҳристи беруна ё вақти боэътимод.
Ҳамоҳангсозии вақт: NTP/PTP, мониторинги дрифт; сабти 'соат. манбаъ '.
Назорати тағирот: назорати чор чашм/дугона барои нигоҳдорӣ/Сиёсати нигоҳдории ҳуқуқӣ.

7) Махфият ва риояи он

Ҳадди ақалл кам кардани PII: танҳо майдонҳои заруриро нигоҳ доред, таҳрир/ниқоб дар infest.
Бегона: 'корбар. pseudo_id', нигоҳдории харитасозӣ алоҳида ва маҳдуд аст.
GDPR/DSAR/RTBF: таснифи манбаъ, нест кардани мантиқии идорашаванда/пинҳон дар нусхаҳо, истисноҳо барои ӯҳдадориҳои нигоҳдории ҳуқуқӣ.
Нигоҳдории ҳуқуқӣ: барчаспҳои "ях кардан", боздоштани несткунӣ дар бойгонӣ; маҷаллаи фаъолият дар атрофи Hold.
Харитаи стандартӣ: ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, танзими бозори маҳаллӣ.

8) Амалиёт ва равандҳо

8. 1 Китобҳои бозӣ/Runbooks

Талафоти манбаъ: чӣ гуна муайян кардан (зарбаҳои дил), чӣ гуна барқарор кардан (такрори автобус), чӣ гуна ҷуброни камбудиҳоро.
Афзоиши таъхирҳо: санҷиши навбат, sharding, indexes, backpressure.
Тафтиши ҳодисаи X: қолаби KQL/ES-дархост + пайванд ба контексти пайгирӣ.
Нигоҳдории ҳуқуқӣ: кӣ мегузорад, чӣ гуна тирандозӣ мекунад, чӣ гуна ҳуҷҷатгузорӣ мекунад.

8. 2 RACI (мухтасар)

R (Масъул): Гурӯҳи назоратӣ барои ҷамъоварӣ/таҳвил; Секопҳо барои қоидаҳои муайянкунӣ.
A (Ҳисоботдиҳанда): CISO/Роҳбари Ops оид ба сиёсат ва буҷа.
C (Машварат): DPO/Ҳуқуқӣ барои дахолатнопазирӣ; Меъморӣ барои схемаҳо.
Ман (Маълумот): Дастгирӣ/Маҳсулот/Идоракунии хавфҳо.

9) Нишондиҳандаҳои сифат (SLO/KPI)

Фарогирӣ:% манбаъҳои интиқодӣ пайвастанд (ҳадаф ≥ 99%).
Ақибмонӣ: таъхири расонидани p95 (<30 сония).
Индексатсияи муваффақият: таносуби ҳодисаҳое, ки хатогиҳои таҳлилӣ надоранд (> 99). 9%).
Таъхири ҷустуҷӯ: p95 <2 сония барои дархостҳои муқаррарии равзанаи 24h.
Сатҳи тарки: аз даст додани рӯйдодҳо <0. 01%.
Ҳушёрӣ: Дақиқӣ/Ёдоварӣ аз рӯи қоидаҳо, ҳиссаи мусбатҳои бардурӯғ.
Арзиши як ГБ: Арзиши нигаҳдорӣ/шохис дар як давра.

10) Сиёсати нигоҳдорӣ (мисол)

КатегорияГармГармБойгонӣ (WORM)Ҷамъ
Панелҳои маъмурии аудит14 д90 д5 сол5 сол
Чорабиниҳои пардохт7 д60 д7 сол7 сол
Онҳое. гузоришҳои барнома3 д30 д1 сол1 сол
Амният (IDS/EDR)14 д90 д2 сол2 сол

Сиёсатҳо бо қоидаҳои ҳуқуқӣ/DPO ва қоидаҳои маҳаллӣ муайян карда мешаванд.

11) Муайянкунӣ ва огоҳиҳо (скелет)

Қоидаҳо (қоида ҳамчун рамз):
  • Аутентификатсияи шубҳанок (ҳаракати ғайриимкон, TOR, хатогиҳои зуд-зуд).
  • Афзоиши имтиёзҳо/нақшҳо.
  • Танзимот/тағироти махфӣ берун аз ҷадвали озодкунӣ.
  • Шаклҳои ғайримуқаррарии муомилот (сигналҳои AML/зидди қаллобӣ).
  • Боркунии оммавии маълумот (триггерҳои DLP).
  • Таҳаммулпазирии хато: 5xx squall, таназзули дермонӣ, бозоғозии чандкарата.
Контекстҳо:
  • Ғанисозӣ бо эътибори geo/IP, пайвастшавӣ бо релизҳо/парчамҳои хусусӣ, пайвастшавӣ бо роҳҳо.

12) Амнияти дастрасӣ ба журнал

RBAC ва тақсимоти вазифаҳо: нақшҳои алоҳида барои хонандагон/таҳлилгарон/маъмурон.
Дастрасии саривақтӣ: аломатҳои муваққатӣ, аудити ҳама индексатсияҳои "ҳассос" -ро мехонанд.
Рамзгузорӣ: дар транзит (TLS), истироҳат (KMS/CMK), ҷудокунии калидҳо.
Асрҳо ва калидҳо: гардиш, маҳдуд кардани содироти рӯйдодҳо бо PII.

13) Харитаи роҳсозӣ

MVP (4-6 ҳафта):

1. Феҳристи манбаъ + схемаи ҳадди аққал (ECS/OCSF).

2. Агент дар гиреҳҳо + OTel коллектор; таҳлили мутамарказ.

3. Нигаҳдории гарм (Open/Search/Elasticsearch/Loki) + панели панелҳо.

4. Огоҳиҳои асосӣ (аутентификатсия, 5xx, тағиротҳои конфигуратсия).

5. Бойгонӣ дар нигаҳдории объект бо объекти қулф (WORM).

Марҳилаи 2:
  • Кафка ҳамчун чарх, такрорӣ, навбати бозгашт.
  • SIEM + қоидаҳои таносуби аввал, китобҳои бозикунии SOAR.
  • Имзои криптографии партияҳо, лангари ҳашҳо.
  • Сиёсати нигоҳдории ҳуқуқӣ, тартиботи DSAR/RTBF.
Марҳилаи 3:
  • Муайянкунии UEBA/ML.
  • Каталоги маълумот, насл.
  • Оптимизатсияи хароҷот: намунаҳои гузоришҳои "ғалоғула", сатҳ.

14) Хатогиҳои зуд-зуд ва чӣ гуна аз онҳо канорагирӣ кардан

Ғавғои сабти бе схема: → ворид кардани майдонҳои ҳатмӣ ва интихоб.
Ягон нишона нест: → барои иҷрои trace_id дар хидматҳои асосӣ ва шахсони боэътимод.
Як "монолит" -и гузоришҳо: → ба доменҳо ва сатҳи танқид тақсим карда мешавад.
Тағирнопазир аст: → барои фаъол кардани WORM/Object Lock ва имзо.
Асрори гузоришҳо: → филтрҳо/муҳаррирон, сканерҳои токен, шарҳҳо.

15) Рӯйхати назоратӣ оғоз кунед

  • Феҳристи сарчашмаҳои афзалиятноки танқид.
  • Нақшаи ягона ва валидаторҳо (CI барои парсерҳо).
  • Стратегияи агент (daemonset дар k8s, Beats/OTel).
  • Тақсим ва нигоҳ доштан.
  • Гарм/Хунук/Бойгонӣ + WORM
  • RBAC, рамзгузорӣ, сабти дастрасӣ.
  • SOAR огоҳиҳо ва китобҳои асосӣ.
  • Панели панелҳо барои Ops/Sec/Мувофиқат.
  • Сиёсати DSAR/RTBF/Нигоҳдории ҳуқуқӣ.
  • Буҷаи нигаҳдории KPI/SLO +.

16) Намунаҳои рӯйдодҳо (соддакардашуда)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Луғат (мухтасар)

Роҳи аудит - пайдарпаии сабтҳои тағйирнопазире, ки амалҳои мавзӯъро сабт мекунанд.
WORM - як маротиба нависед, ҳолати нигоҳдории бисёр хонед.
SOAR - автоматикунонии вокуниш ба ҳодисаҳо аз ҷониби китобҳои бозӣ.
UEBA - таҳлили рафтор ва объектҳои корбар.
OCSF/ECS/OT bel - стандартҳо барои схемаҳои сабти ном ва телеметрия.

18) Сатри поён

Системаи аудит ва сабти ном "стеки сабти ном" нест, балки барномаи идорашаванда бо схемаи дақиқи маълумот, бойгонии ивазнашаванда, коррелятсия ва дафтарҳои реаксия мебошад. Риояи принсипҳои ин мақола мушоҳидаҳоро афзоиш медиҳад, тафтишотро суръат мебахшад ва талаботи асосии Амалиёт ва Мувофиқатро қатъ мекунад.

Contact

Тамос гиред

Барои саволҳо ё дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Оғози интегратсия

Email — муҳим аст. Telegram ё WhatsApp — ихтиёрӣ.

Номи шумо ихтиёрӣ
Email ихтиёрӣ
Мавзӯъ ихтиёрӣ
Паём ихтиёрӣ
Telegram ихтиёрӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиёрӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.