GH GambleHub

Denetim ve günlüğe kaydetme araçları

1) Neden ihtiyacınız var

Hedefler:
  • Eylemlerin izlenebilirliği (kim/ne/ne/ne zaman/nerede/neden).
  • Hızlı olay araştırmaları ve adli tıp.
  • Düzenleyici ve müşteri uyumluluğu.
  • Olaylarda risk yönetimi ve MTTR azaltımı.
  • Risk, dolandırıcılıkla mücadele, uyumluluk modelleri desteği (KYC/AML/RTBF/Legal Hold).
Temel ilkeler:
  • Kaynak kapsamının bütünlüğü.
  • Değişmezliği ve bütünlüğü kaydedin.
  • Standartlaştırılmış olay şemaları.
  • Arama kullanılabilirliği ve korelasyon.
  • Kişisel verilerin ve gizlilik kontrolünün en aza indirilmesi.

2) Enstrüman manzarası

2. 1 Günlük yönetimi ve indeksleme

Сбор/агенты: Akıcı Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Depolama ve arama: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
Akış/lastikler: Kafka/Redpanda, NATS, Pulsar - tamponlama ve fan çıkışı için.
Ayrıştırma ve normalleştirme: Grok/regex, OTel işlemciler, Logstash boru hatları.

2. 2 SIEM/Tespit Et ve Yanıtla

SIEM: Splunk Kurumsal Güvenlik, Microsoft Sentinel, Elastik Güvenlik, QRadar.
UEBA/davranış analizi: SIEM, ML dedektörlerinde gömülü modüller.
SOAR/orkestrasyon: Cortex/XSOAR, Tines, Shuffle - oyun kitabı otomasyonu.

2. 3 Denetim ve değişmezlik

Аудит подсистем: Linux auditd/ausearch, Windows Olay Günlükleri, DB- аудит (pgAudit, MySQL denetimi), Kubernetes Denetim Günlükleri, CloudTrail/CloudWatch/Azure Monitor/GCP Bulut Günlüğü.
Değişmez depolama: WORM kovaları (Nesne Kilidi), S3 Glacier Vault Lock, bir kez yazma birimleri, kripto imza/karma zinciri ile günlüğe kaydetme.
TSA/zaman damgaları: NTP/PTP'ye bağlanma, harici güvenilir zamanda hash'lerin periyodik olarak sabitlenmesi.

2. 4 Gözlemlenebilirlik ve izler

Metrikler/yollar: Prometheus + Tempo/Jaeger/OTel, günlüklerin ↔ izlerin trace_id/span_id göre korelasyonu.
Panolar ve uyarılar: Grafana/Kibana/Datadog.

3) Olay kaynakları (kapsam)

Altyapı: İşletim sistemi (syslog, auditd), kapsayıcılar (Docker), orkestrasyon (Kubernetes Events + Audit), ağ cihazları, WAF/CDN, VPN, IAM.
Uygulamalar ve API'ler: API ağ geçidi, servis püresi, web sunucuları, arka uçlar, kuyruklar, zamanlayıcılar, webhook'lar.
DB ve kasalar: sorgular, DDL/DML, sırlara/anahtarlara erişim, nesne depolama alanına erişim.
Ödeme entegrasyonları: PSP/edinme, ters ibraz etkinlikleri, 3DS.
İşlemler ve süreçler: Konsol/CI/CD girişleri, yönetici panelleri, yapılandırma/özellik bayrağı değişiklikleri, sürümler.
Güvenlik: IDS/IPS, EDR/AV, güvenlik açığı tarayıcıları, DLP.
Kullanıcı etkinlikleri: kimlik doğrulama, oturum açma girişimleri, KYC durum değişikliği, para yatırma/çıktılar, bahisler/oyunlar (gerekirse anonimleştirme ile).

4) Veri şemaları ve standartları

Birleştirilmiş olay modeli: 'timestamp','olay. Kategori ',' olay. Eylem ',' kullanıcı. id ',' konu. id ',' kaynak. ip ', http. request_id', iz. id ',' hizmet. ',' çevre ',' önem ',' sonuç ',' etiketler. '

Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Korelasyon anahtarları: 'trace _ id', 'session _ id', 'request _ id', 'device _ id', 'k8s. pod_uid'.
Kalite: gerekli alanlar, doğrulama, veri tekilleştirme, "gürültülü" kaynaklar için örnekleme.

5) Mimari referans

1. Düğümler/ajanlar üzerinde toplama

2. Ön işleme (ayrıştırma, PII-edition, normalleştirme)

3. 3-7 gün ≥ rötuş ile Lastik (Kafka)

4. İplik çatalları:
  • Çevrimiçi depolama (arama/korelasyon, sıcak depolama 7-30 gün).
  • Değişmez arşiv (denetim için WORM/Glacier 1-7 yıl).
  • SIEM (algılama ve olaylar).
  • 5. Panolar/arama (işlemler, güvenlik, uyumluluk).
  • 6. Reaksiyon otomasyonu için SOAR.
Depolama katmanları:
  • Sıcak: SSD/indeksleme, hızlı arama (hızlı yanıt).
  • Sıcak: sıkıştırma/daha az sıklıkta erişim.
  • Soğuk/Arşiv (WORM): ucuz uzun süreli depolama, ancak değiştirilemez.

6) Değişmezlik, bütünlük, güven

WORM/lock nesnesi - politikanın süresi boyunca blok silme ve değiştirme.
Kripto imza ve hash zinciri: kütük yığınları/parçaları ile.
Hash-anchoring: Hash'lerin harici bir kayıt defterinde veya güvenilir bir zamanda periyodik olarak yayınlanması.
Zaman senkronizasyonu: NTP/PTP, sürüklenme izleme; Kayıt saati. Kaynak.
Değişiklik kontrolü: Tutma/Yasal Tutma politikaları için dört gözlü/çift kontrol.

7) Gizlilik ve uyumluluk

PII minimizasyonu: sadece gerekli alanları saklayın, alımda düzenleyin/maskeleyin.
Aliasing: 'kullanıcı. pseudo_id', haritalamanın depolanması ayrı ve sınırlıdır.
GDPR/DSAR/RTBF: kaynak sınıflandırma, kopyalarda yönetilen mantıksal silme/gizleme, yasal saklama görevleri için istisnalar.
Yasal Tutma: "dondur" etiketleri, arşivlerde silinmenin askıya alınması; Hold çevresindeki faaliyetlerin günlüğü.
Standart haritalama: ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req. 10, yerel piyasa düzenlemesi.

8) Operasyonlar ve süreçler

8. 1 Playbook'lar/Runbook'lar

Kaynak kaybı: nasıl tanımlanır (kalp atışları), nasıl geri yüklenir (otobüsten tekrar oynatılır), boşluklar nasıl telafi edilir.
Artan gecikmeler: kuyruk kontrolü, sharding, indeksler, geri basınç.
Olay X'in araştırılması: KQL/ES-sorgu şablonu + izleme bağlamına bağlantı.
Legal Hold: kim koyar, nasıl ateş edilir, nasıl belgelenir.

8. 2 RACI (kısaca)

R (Sorumlu): Toplama/teslim için gözlem ekibi; Algılama kuralları için SecOps.
A (Sorumlu): Politikalar ve bütçe için CISO/Ops Başkanı.
C (Danışılan): Gizlilik için DPO/Yasal; Devreler için mimari.
I (Bilgilendirilmiş): Destek/Ürün/Risk Yönetimi.

9) Kalite Metrikleri (SLO/KPI)

Kapsam: Kritik kaynakların %'si bağlı (hedef ≥ %99).
Ingest lag: p95 teslim gecikmesi (<30 sn).
İndeksleme başarısı: Ayrıştırma hatası olmayan olayların oranı (> 99. 9%).
Arama gecikmesi: Tipik pencere 24h istekleri için p95 <2 sn.
Düşme oranı: olayların kaybı <0. 01%.
Uyarı sadakati: Kurallara göre hassasiyet/hatırlama, yanlış pozitiflerin paylaşımı.
GB başına maliyet: Dönem başına depolama/dizin maliyeti.

10) Saklama politikaları (örnek)

KategoriSıcakSıcakArşiv (WORM)Toplam
Denetim yönetici panelleri14 d90 d5 yıl5 yıl
Ödeme olayları7 d60 d7 yıl7 yıl
Şunlar. Uygulama günlükleri3 d30 d1 yıl1 yıl
Güvenlik (IDS/EDR)14 d90 d2 yıl2 yıl

Politikalar Yasal/DPO ve yerel düzenlemeler tarafından belirlenir.

11) Algılama ve uyarılar (iskelet)

Kurallar (kod olarak kural):
  • Şüpheli kimlik doğrulama (imkansız hareket, TOR, sık hatalar).
  • Ayrıcalıkların/rollerin yükselmesi.
  • Sürüm zamanlaması dışındaki yapılandırma/gizli değişiklikler.
  • Anormal işlem modelleri (AML/anti-dolandırıcılık sinyalleri).
  • Toplu veri yüklemeleri (DLP tetikleyicileri).
  • Hata toleransı: 5xx squall, gecikme bozulması, çoklu pod yeniden başlatılıyor.
Bağlamlar:
  • Coğrafi/IP itibarı ile zenginleştirme, sürümlere/özellik bayraklarına bağlantı, parçalara bağlantı.

12) Giriş erişim güvenliği

RBAC ve görevlerin ayrımı: okuyucular/analistler/yöneticiler için ayrı roller.
Tam zamanında erişim: geçici belirteçler, "hassas" indekslerin tüm okumalarının denetimi.
Şifreleme: In-transit (TLS), at-rest (KMS/CMK), anahtar yalıtımı.
Sırlar ve anahtarlar: döndürme, PII ile olayların dışa aktarılmasını sınırlama.

13) Uygulama Yol Haritası

MVP (4-6 hafta):

1. Kaynak dizin + minimum şema (ECS/OCSF).

2. Düğümlerde ajan + OTel Toplayıcı; merkezi ayrıştırma.

3. Depolama Sıcak (OpenSearch/Elasticsearch/Loki) + panoları.

4. Temel uyarılar (kimlik doğrulama, 5xx, yapılandırma değişiklikleri).

5. Bir kilit nesnesiyle (WORM) Nesne Depolamasında arşivleyin.

Aşama 2:
  • Kafka lastik olarak, tekrar oynat, tekrar oynat kuyruğu.
  • SIEM + ilk korelasyon kuralları, SOAR oyun kitapları.
  • Partilerin kripto imzası, hash'lerin sabitlenmesi.
  • Yasal Tutma politikaları, DSAR/RTBF prosedürleri.

3. aşama:

UEBA/ML algılama.
Veri Kataloğu, soy.
Maliyet optimizasyonu: örnekleme "gürültülü" günlükleri, katmanlama.

14) Sık yapılan hatalar ve bunlardan nasıl kaçınılacağı

Bir şema olmadan günlük gürültüsü: - zorunlu alanları ve örneklemeyi tanıtın.
İz yok: Temel hizmetler ve proxy'lerde trace_id uygulamak.
Günlüklerin tek bir "monoliti": - alanlara ve kritiklik seviyelerine ayrılmıştır.
Değişmez değil: WORM/Object Lock ve imzayı etkinleştirmek için.
Günlüklerdeki sırlar: - filtreler/editörler, belirteç tarayıcıları, incelemeler.

15) Kontrol listesini başlat

  • Kritiklik Öncelikli Kaynak Kaydı.
  • Birleşik şema ve doğrulayıcılar (ayrıştırıcılar için CI).
  • Ajan stratejisi (k8s daemonset, Beats/OTel).
  • Atel ve tutma.
  • Sıcak/Soğuk/Arşiv + WORM
  • RBAC, şifreleme, erişim günlüğü.
  • SOAR temel uyarıları ve oyun kitapları.
  • Ops/Sec/Compliance için panolar.
  • DSAR/RTBF/Legal Hold politikaları.
  • KPI/SLO + depolama bütçesi.

16) Olay örnekleri (basitleştirilmiş)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Sözlük (kısa)

Denetim izi - konunun eylemlerini kaydeden değiştirilemez kayıtların bir dizisi.
WORM - bir kez yazma, çok okuma depolama modu.
SOAR - olaylara playbook'lar tarafından verilen yanıtların otomasyonu.
UEBA - kullanıcı davranışlarının ve varlıklarının analizi.
OCSF/ECS/OTel - log şemaları ve telemetri için standartlar.

18) Alt satır

Denetim ve kayıt sistemi bir "günlük yığını'değil, net bir veri şeması, değiştirilemez bir arşiv, korelasyon ve reaksiyon oyun kitapları ile yönetilen bir programdır. Bu makaledeki ilkelere uygunluk, gözlemlenebilirliği arttırır, araştırmaları hızlandırır ve Operasyonların ve Uyumun temel gereksinimlerini kapatır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.