審計日誌和訪問痕跡
1)目的和適用範圍
目的:確保用戶/服務行為的可證明性,調查的透明度,法規遵從性和內部標準(GDPR/AML,與PSP/KYC提供商的合同,ISO/PCI的適用性)。
覆蓋範圍:所有軟件系統,平臺服務(帳戶,付款,反欺詐,KUS/制裁, RG),管理面板,API網關,DWH/BI,基礎設施(K8s/雲),與供應商集成。
2)如何編寫(事件類)
1.識別和訪問:登錄/登錄,MFA,密碼/密鑰更改,SSO,「斷面」訪問。
2.行政行動:角色/權利、配置、反親屬/制裁規則、幻燈片標誌的變化。
3.使用PII/小費的操作:閱讀/導出/刪除、卸載、訪問KYC、查看VIP配置文件。
4.交易和資金:緩存/存款、取消、退款、充電板解決方案。
5.合規性/AML/KYC:篩選結果(制裁/PEP/Adverse Media),解決方案(TP/FP),EDD/STR/SAR。
6.事件和安全:升級,WAF/IDS規則更改,服務隔離,保密輪換。
7.集成/供應商:API調用、錯誤、定時、導出、數據刪除/退回確認。
3)強制性事件字段(最小值)
`event_id` (UUID), `ts_utc`, `ts_local`, `source_service`, `trace_id`/`span_id`
'actor_type' (user/service/vendor)、'actor_id'(持久性標識符)、'actor_org'(如果B2B)
`subject_type` (account/tx/document/dataset), `subject_id`
`action` (e.g., `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `WITHDRAWAL_APPROVE`)
`result` (success/deny/error) и `reason`/`error_code`
「ip」,「device_fingerprint」,「geo」(國家/地區),「auth_context」(MFA/SSO)
「fields_accessed」/「scope」(使用PII/findanns時)-帶有蒙版
「purpose」/「ticket_id」(基礎: DSAR,事件,監管機構請求,操作任務)
4)不可變性和可證明性
WORM存儲,用於「金色」復制件(不可思議的桶裝/retention policies)。
加密腳本/哈希鏈:事件包的周期性簽名和/或哈希鏈的構建(哈希鏈條)以檢測修改。
方案/規則更改日誌:對方案和邏輯策略進行驗證;任何編輯均由CAB進行。
雙環存儲:操作索引(搜索)+歸檔/immutability。
5)時間同步和跟蹤
在所有環境中統一的NTP/Chrony;在邏輯中-'ts_utc'作為真理的來源。
在每個日誌中,「trace_id」/「span_id」用於端到端查詢跟蹤(服務,供應商和前沿之間的相關性)。
6)隱私和秘密
禁止:密碼,代幣,完整的PAN/CSC,完整的文檔號,「原始」生物識別。
默認掩碼:電子郵件/電話/IBAN/PAN →令牌/部分顯示。
別名:「user_id」 →分析中的穩定令牌;綁定到實際ID-僅在受保護的路徑中。
DSAR兼容性:在不透露外部PII的情況下,可以按主題選擇性地檢索日誌。
7)保質期和保質期(續訂)
8)訪問和控制(RBAC/ABAC)
審核日誌讀取角色與管理角色分開。
MFA和Just-in-Time Access(斷面),帶有自動響應/編譯原因。
「最小」策略:僅在需要時才訪問PII/finded字段,並帶有「purpose」固定。
導出/上載:收件人和格式的白名單;強制簽名/散列,上載日誌。
9)與SIEM/SOAR/ETL的集成
審計事件流進入SIEM進行相關性(e。g.,大量「READ_PII」+從新設備登錄)。
SOAR花花公子:違反策略時自動滴答作響(沒有「purpose」,音量異常,窗口外訪問)。
ETL/DWH:「audit_access」,「pii_exports」,「admin_changes」展示櫃,具有電路的質量控制和忠誠度。
10)數據質量和驗證器
方案作為代碼(JSON/Protobuf/Avro):必填字段,類型,字典;CI驗證器。
對電路錯誤事件進行剔除和quarantine隊列;婚姻指標。
「(event_id、trace_id、ts)」的重復數據消除/等效性;控制重新發送。
11) RACI
12)SOP: 調查數據訪問
1.觸發因素:SIEM alert(異常'READ_PII'/出口),投訴,來自供應商的信號。
2.工件收集:通過「actor_id」/「subject_id」/「trace_id」,「purpose」日誌以及隨附的邏輯(WAF/IdP)卸載事件。
3.合法性檢查:存在基礎(DSAR/事件/服務任務),約定,訪問窗口。
4.影響評估:PII的範圍/類別,管轄權,對象的風險。
5.解決方案:事件橋(在High/Critical下),容納(可用性召回,鑰匙旋轉)。
6.報告和CAPA:原因,違反政策,措施(掩蓋,培訓,RBAC更改),時間表。
13) SOP: 數據導出(監管機構/合作夥伴/DSAR)
1.查詢→基礎和身份驗證(用於DSAR)→在DWH中生成查詢。
2.缺省非人格/最小化;僅在法律依據下才包括PII。
3.上載生成(CSV/JSON/Parquet)→簽名/散列→上載日誌記錄(誰/何時/何時/何人/底座)。
4.通過批準的鏈路(sFTP/Secure link)傳輸;副本的保留期是按策略進行的。
5.後控制:確認接收,刪除臨時文件。
14)度量標準和KRIs/KPIs
覆蓋:發送審計事件的關鍵系統的比例≥ 95%。
DQ錯誤:被驗證者拒絕的事件≤ 0。5%的流量。
流失的MTTD:≤ 15分鐘(沈默時的警報器)。
沒有「purpose」的異常訪問:=0(KRI)。
對調查的答復時間:中點≤ 4小時,P95 ≤ 24時。
簽名/哈希出口: 100%.
合規性:刪除/存檔按時≥ 99%。
15)供應商和子處理器的要求
DPA/SLA:對審計日誌的描述(模式,時限,地理,導出格式),WORM/immutability,事件通知的SLA。
供應商訪問:命名服務帳戶、活動日誌、選擇性審核功能。
離岸包裹:召回鑰匙,導出/刪除日誌,關閉行為,確認銷毀後備箱。
16)安全性和防操縱保護
角色劃分:源管理員≠存儲管理員≠審計員。
代理/收集器簽名,組件之間的mTLS。
反沖壓控制:哈希比較,定期完整性檢查,差異差異。
WORM拷貝地理復制和定期恢復測試。
17)類型錯誤和反模式
讀取敏感值(PAN/秘密)→立即啟用幹擾中間件。
訪問PII時不存在「purpose」/「ticket_id」。
當地「上載到桌面」並通過電子郵件轉發。
缺乏單一電路和驗證→「無聲」字段,無法關聯。
一個超級帳戶,不涉及個人或服務。
18)支票單
18.1啟動/審查政策
- 計劃和詞典獲得批準;包括必填字段
- 包含掩蓋和秘密禁令
- NTP配置,「trace_id」無處不在
- Hot/Warm/Cold/WORM層
- RBAC/ABAC和破玻璃裝飾
- SIEM/SOAR集成,Alertes測試
18.2每月審計
- 出口樣本:簽名/日誌正確
- 重新檢查/刪除/法律保留
- DQ度量標準正常,quarantine分析
- Vendor logs可用/完整
19)實施路線圖
第1周至第2周:清點系統,協調電路和必填字段,設置時間和跟蹤。
第3至第4周:啟用掩碼、WORM層、與SIEM/SOAR集成、發布出口日誌。
第2個月:自動驗證器/警報器,調查花花公子,團隊培訓。
3+月:定期審核、誠信壓力測試、價值優化(tiering)、供應商/合同審核。
TL;DR
強大的審計日誌=完整和結構化的事件+immutability (WORM)和簽名+掩蓋PII+硬訪問和卸載日誌+與SIEM/SOAR集成。這加快了調查,降低了風險,使合規性得到證實。