Audit we logirleme gurallary

1) Bu näme üçin zerur?

• Hereketleriň yzarlanylmagy (kim/näme/haçan/nireden/näme üçin).
• Wakalary çalt derňemek we forensika.
• Düzgünleşdirijileriň we müşderileriň talaplaryna laýyk gelmek.
• Töwekgelçilikleri dolandyrmak we hadysalarda MTTR-ni azaltmak.
• Töwekgelçilik, antifrod, laýyklyk modellerini goldamak (KYC/AML/RTBF/Legal Hold).

• Çeşmeleriň doly ýapylmagy.
• Ýazgylaryň üýtgemezligi we bitewiligi.
• Wakalaryň standartlaşdyrylan shemalary.
• Gözleg elýeterliligi we baglanyşygy.
• Şahsy maglumatlary minimallaşdyrmak we gizlinlige gözegçilik etmek.

2) Gurallaryň landşafty

2. 1 Loglary dolandyrmak we indekslemek

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Ammar we gözlemek: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
Akym/teker: Kafka/Redpanda, NATS, Pulsar - buferizasiýa we fan-aut üçin.
Parsing we kadalaşma: Grok/regex, OTel processors, Logstash pipelines.

2. 2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/özüni alyp barş derňewi: SIEM, ML detektorlarynda gurlan modullar.
SOAR/orkestri: Cortex/XSOAR, Tines, Shuffle - pleýbuklary awtomatlaşdyrmak.

2. 3 Audit we üýtgemezlik

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
Üýtgewsiz saklamak: WORM-baketalar (Object Lock), S3 Glacier Vault Lock, write-once volumes, kripto goly/hashes zynjyry bilen journalizasiýa.
TSA/Wagt bellikleri: NTP/PTP-e baglanyşyk, daşarky ynanylan wagtdaky heşleri wagtal-wagtal açyp durmak.

2. 4 Syn etmek we yzarlamak

Metrikler/söwdalar: Prometheus + Tempo/Jaeger/OTel, trace_id/span_id boýunça yzarlama ýazgylarynyň korelýasiýasy.
Daşbordlar we alertler: Grafana/Kibana/Datadog.

3) Wakalaryň çeşmeleri (örtük satyn almak)

Infrastruktura: OS (syslog, auditd), konteýnerler (Docker), orkestr (Kubernetes Events + Audit), tor enjamlary, WAF/CDN, VPN, IAM.
Programmalar we API: API-şlýuz, hyzmat-mesh, web-serwerler, yzlar, nobatlar, meýilleşdirijiler, webhuklar.
DB we ammar: soraglar, DDL/DML, syrlara/açarlara girmek, obýekt ammaryna girmek.
Töleg integrasiýalary: PSP/satyn almak, çargeback-çäreler, 3DS.
Amallar we prosesler :/CI/CD konsollaryna girişler, dolandyryş panelleri, konfigurasiýalary/fiçflaglary üýtgetmek, goýberişler.
Howpsuzlyk: IDS/IPS, EDR/AV, gowşak skanerler, DLP.
Ulanyjy wakalary: tassyklamak, girmek synanyşyklary, KYC-statusyny üýtgetmek, goýumlar/netijeler, nyrhlar/oýunlar (zerur bolanda anonimleşdirmek bilen).

4) Maglumatlaryň shemalary we standartlary

Wakanyň ýeke-täk modeli: 'timestamp', 'event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Baglanyşyk açarlary: 'trace _ id', 'session _ id', 'request _ id', 'device _ id', 'k8s. pod_uid`.
Hili: hökmany meýdanlar, "şowhunly" çeşmeler üçin walidasiýa, de-duplikasiýa, sempleme.

5) Binagärlik salgylanmasy

1. Nod/agentlerde ýygnamak →

2. Pre-prosessing (parsing, PII-redaksiýa, kadalaşma) →

3. Teker (Kafka) ≥ 3-7 gün →

• Operatiw ammar (gözlemek/baglanyşdyrmak, gyzgyn saklamak 7-30 gün).
• Üýtgemeýän arhiw (WORM/Glacier audit üçin 1-7 ýyl).
• SIEM (deteksiýa we hadysalar).
• 5. Daşbordlar/gözleg (amallar, howpsuzlyk, komplayens).
• 6. Reaksiýalary awtomatlaşdyrmak üçin SOAR.

• Hot: SSD/indeksasiýa, çalt gözleg (çalt jogap).
• Warm: gysyş/az ýygy-ýygydan giriş.
• Cold/Archive (WORM): arzan uzak möhletli saklamak, ýöne üýtgemez.

6) Üýtgemezlik, bitewilik, ynam

WORM/obýekt-lok: syýasatyň möhleti üçin aýyrmagy we üýtgetmegi blokirlemek.
Kriptopodýazgy we kesiş zynjyry: bapcham/çantalar boýunça.
Hash-anking: heşleri daşary sanawda ýa-da ynanylan wagtda wagtal-wagtal çap etmek.
Wagt sinhronizasiýasy: NTP/PTP, sürüşme gözegçiligi; 'clock. source`.
Üýtgeşmelere gözegçilik etmek: retention/Legal Hold syýasaty üçin dört gözli/dual control.

7) Gizlinlik we gabat gelmek

PII-iň minimallaşdyrylmagy: diňe zerur meýdanlary saklamak, ingest-de redaktirlemek/maskalaşdyrmak.
Lakamlaşdyrma: 'user. pseudo_id', mappingiň aýratyn we çäkli saklanylmagy.
GDPR/DSAR/RTBF: çeşmeleriň klassifikasiýasy, dolandyrylýan logiki aýyrmak/replikalarda gizlemek, saklamagyň kanuny borçlary üçin kadadan çykmalar.
Legal Hold: "freeze" bellikleri, arhiwde aýyrmagyň togtadylmagy; "Hold" -yň töweregindäki hereketler.
ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10. Bazarlaryň ýerli düzgünleşdirilmegi.

8) Operasiýa we prosesler

8. 1 pleibook/Runbooks

Çeşmäniň ýitmegi: nädip tapmaly (heartbeats), nädip dikeltmeli (tekerden replay), nädip öwezini dolmaly.
Gijikdirmeleriň ösüşi: nobatlary barlamak, şarding, indeksler, backpressure.
X wakasyny derňemek: KQL/ES-query şablony + Trace kontekstli baglanyşyk.
Legal Hold: kim goýýar, nädip surata düşürýär, nädip resminamalaşdyrylýar.

8. 2 RACI (gysgaça)

R (Responsible): Observability - ýygnamak/eltip bermek üçin topar; Deteksiýa düzgünleri üçin SecOps.
A (Accountable): Syýasatlar we býudjet üçin CISO/Head of Ops.
C (Consulted): Gizlinlik üçin DPO/Legal; Shemalar üçin arhitektura.
I (Informed): Sapport/Önüm/Töwekgelçilik-dolandyryş.

9) Hil ölçegleri (SLO/KPI)

Coverage: Möhüm çeşmeleriň% -i birikdirildi (maksat ≥ 99%).
Ingest lag: p95 eltmegiň gijikdirilmegi (<30 sek).
Indexing success: parsing ýalňyşlyklary bolmazdan wakalaryň paýy (> 99. 9%).
Search latency: p95 <2 sek 24h penjireleri.
Drop rate: wakalaryň ýitmegi <0. 01%.
Alert fidelity: Precision/Recall düzgünleri boýunça, ýalan pozitiwleriň paýy.
Cost per GB: döwür üçin saklamak/indeksiň bahasy.

10) Saklamak syýasaty (mysal)

Syýasatçylar Kanuny/DPO we ýerli düzgünler bilen kesgitlenýär.

11) Deteksiýa we alertler (skelet)

• Şübheli şahsyýet (mümkin bolmadyk hereket, TOR, ýygy-ýygydan ýalňyşlyklar).
• Artykmaçlyklaryň/rollaryň güýçlenmegi.
• Goýberiş tertibinden daşary konfigurasiýalary/syrlary üýtgetmek.
• Geleşikleriň anomal nagyşlary (AML/antifrod signallary).
• Maglumatlary köpçülikleýin düşürmek (DLP-triggerler).
• Şowsuzlyga çydamlylyk: 5xx tupan, latency degradasiýasy, pod 'owlaryň köp gezek gaýtadan dikeldilmegi.

• Geo/IP-abraý bilen baýlaşdyrmak, relizlere/fiçflaglara baglanyşyk, ýollar bilen baglanyşyk.

12) Loglara girmegiň howpsuzlygy

RBAC we borçlaryň bölünmegi: okyjylar/analitikler/dolandyryjylar üçin aýratyn rollar.
Just-in-time giriş: wagtlaýyn bellikler, "duýgur" indeksleriň ähli okalyşlarynyň barlagy.
Şifrlemek: in-transit (TLS), at-rest (KMS/CMK), açar izolýasiýasy.
Syrlar we açarlar: PII bilen wakalaryň dolanyşygy, eksportynyň çäklendirilmegi.

13) Durmuşa geçirmegiň ýol kartasy

1. Çeşmeler katalogy + minimal shema (ECS/OCSF).

2. Nod agenti + OTel Collector; merkezleşdirilen parsing.

3. Depozit Hot (OpenSearch/Elasticsearch/Loki) + dashbordlar.

4. Esasy alertler (autentifikasiýa, 5xx, konfigurasiýalary üýtgetmek).

5. Object Storage-da Lokal Object Storage (WORM).

• Kafka teker, repleýler, retrai-nobatlar ýaly.
• SIEM + ilkinji korrelýasiýa düzgünleri, SOAR pleýbuklary.
• Kriptopodýazgy batchei, ankering hashe.
• Legal Hold, DSAR/RTBF amallary.

• UEBA/ML deteksiýasy.
• Wakalary kataloglamak (Data Catalog), lineage.
• Gymmaty optimizirlemek: "şowhunly" ýazgylary semplemek, tiering.

14) Ýygy-ýygydan ýalňyşlyklar we olardan nädip gaça durmaly

Shemasyz log-ses: → hökmany meýdanlary we sampling girizmek.
Tracker ýok: → trace_id kor-hyzmatlara we proksilere girizmek.
Bloglaryň ýeke-täk "monoliti": → domenlere we kritiki derejelere görä bölmek.
Üýtgewsizligiň ýoklugy: → WORM/Object Lock we goly goşuň.
Sahypalardaky syrlar: → süzgüçler/redaktorlar, bellik skanerleri, rewyu.

15) Işe girizmegiň çek-sanawy

• Kritikligiň ileri tutulýan çeşmeleriniň sanawy.
• Bitewi shema we tassyklaýjylar (parserler üçin CI).
• Agentlik strategiýasy (k8s-de daemonset, Beats/OTel).
• Teker we retenşn.
• Gyzgyn/sowuk/arhiw saklamak + WORM.
• RBAC, şifrlemek, giriş sanawy.
• Esasy alertler we pleýbuklar SOAR.
• Ops/Sec/Compliance üçin daşbordlar.
• DSAR/RTBF/Legal Hold syýasaty.
• KPI/SLO + saklamak üçin býudjet.

16) Wakalaryň mysallary (ýönekeýleşdirilen)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Sözlük (gysgaça)

Audit trail - subýektiň hereketlerini belleýän üýtgemeýän ýazgylaryň yzygiderliligi.
WORM - saklamak düzgüni "bir gezek ýazdy, okady-köp söz".
SOAR - pleýbuklar boýunça hadysalara jogap bermegi awtomatlaşdyrmak.
UEBA - ulanyjylaryň we mazmunyň özüni alyp barşynyň seljermesi.
OCSF/ECS/OTel - log we telemetriýa shemalarynyň standartlary.

18) Jemleýji

Audit we logirleme ulgamy "bloglaryň yrgysy" däl-de, takyk maglumat shemasy, üýtgewsiz arhiw, baglanyşyk we reaksiýanyň pleýbuklary bolan dolandyrylýan programma. Bu maddadan ýörelgeleriň berjaý edilmegi gözegçilik edilişini ýokarlandyrýar, derňewleri çaltlaşdyrýar we Amallaryň we Utgaşmalaryň esasy talaplaryny ýapýar.