審核和編寫工具

1）為什麼需要它

• 活動的可追溯性（何人/何時/何地/為什麼）。
• 快速調查事件和偽裝。
• 符合監管機構和客戶的要求。
• 風險管理和事件中MTTR的減少。
• 支持風險模型，防凍劑，合成（KYC/AML/RTBF/Legal Hold）。

• 源塗層的完整性。
• 記錄的不變性和完整性。
• 標準化事件圖。
• 搜索可用性和相關性。
• 最大限度地減少個人數據和隱私控制。

2）工具景觀

2.1個日誌管理和索引

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.

存儲和搜索： Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.

流媒體/輪胎：Kafka/Redpanda、NATS、Pulsar-用於緩沖和粉絲外出。
解析和歸一化：Grok/regex，OTel處理器，Logstash管道。

2.2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.

UEBA/行為分析：SIEM，ML檢測器的嵌入式模塊。
SOAR/編排：Cortex/XSOAR，Tines，Shuffle-花花公子自動化。

2.3審計和不變性

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.

不可變存儲：WORM罐（對象鎖），S3冰川保險庫鎖，寫單卷，帶有加密腳本/哈希鏈的日誌。
TSA/時間標記：綁定到NTP/PTP，在外部受信任的時間中定期錨定哈希。

2.4可觀察性和跟蹤性

度量/示蹤劑：Prometheus+Tempo/Jaeger/OTel，對日誌↔ trace_id/span_id跟蹤的聯合。
Dashbords和Alerts：Grafana/Kibana/Datadog。

3）事件來源（覆蓋範圍）

基礎架構：OS（syslog，auditd），容器（Docker），編排（Kubernetes Events+Audit），網絡設備，WAF/CDN，VPN，IAM。
應用程序和API：API網關，服務市政廳，Web服務器，後端，隊列，調度程序，webhooks。
DB和存儲：查詢、DDL/DML、秘密/密鑰訪問、對象存儲訪問。
支付集成：PSP/收購，充電包，3 DS。
操作和過程：進入控制臺/CI/CD 、管理面板、配置/fichflags更改、發行版。
安全性：IDS/IPS，EDR/AV，漏洞掃描儀，DLP。
定制事件：身份驗證，登錄嘗試，KYC狀態更改，存款/結算，投註/遊戲（必要時匿名）。

4）數據圖和標準

一個事件模型： "timestamp"，"event。category`, `event.action`, `user.id`, `subject.id`, `source.ip`, `http.request_id`, `trace.id`, `service.name`, `environment`, `severity`, `outcome`, `labels.`.

Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.

相關鍵是： 'trace_id'，'session_id'，'request_id'，'device_id'，'k8s。pod_uid`.

質量：強制性字段、驗證、重復數據消除、「噪音」源采樣。

5）建築參考

1.在nods/代理上收集 →

2.Pre-processing（解析、PII修訂、規範化）→

3.Sheena （Kafka）重生≥ 3-7天→

• 在線存儲（搜索/相關性，熱存儲7-30天）。
• 不可更改的歸檔（WORM/Glacier 1-7年進行審核）。
• SIEM（檢測和事件）。
• 5.Dashbords/搜索（操作，安全，合規性）。
• 6.用於反應自動化的SOAR。

• Hot：SSD/索引，快速搜索（快速響應）。
• Warm：加壓/不經常訪問。
• 冷庫（WORM）：廉價的長期存儲，但不變。

6）不變性、誠信、信任

WORM/lock對象：在策略期限內阻止刪除和修改。
加密和哈希鏈條：在徽章/徽章上。
哈希錨定：定期在外部註冊表或可信時間中發布哈希。

時間同步： NTP/PTP，漂移監測；錄制時鐘。source`.

更改控制：Retention/Legal Hold策略的四眼/雙控件。

7）隱私和合規性

PII最小化：僅存儲必要的字段,編輯/掩蓋到ingest。
別名：'user。pseudo_id'，mapping的存儲是分開和有限的。
GDPR/DSAR/RTBF：源分類，可管理的邏輯刪除/副本隱藏，合法存儲義務的例外情況。
法律保留：「freeze」標簽，在檔案中暫停刪除；Hold周圍的動作日誌。
標準制圖：ISO 27001 A.8/12/15，SOC 2 CC7，PCI DSS Req。10、地方市場監管。

8）操作和流程

8.1 個花花公子/Runbooks

來源損失：如何揭示（heartbeats）、如何恢復（從總線復制）、如何補償遺漏。
延遲增加：隊列檢查，緩存，索引，後壓。
事件X調查：KQL/ES-query模板+帶有跟蹤上下文的捆綁。
Legal Hold：誰上演，如何拍攝，如何記錄。

8.2 RACI（簡稱）

R（響應）：監視團隊，負責收集/交付；SecOps用於檢測規則。
A（會計）：政策和預算的CISO/行動負責人。
C（咨詢）：隱私的DPO/法律；圖形的體系結構。
I （Informed）： Sapport/產品/風險管理。

9）質量指標（SLO/KPI）

Coverage：連接的關鍵源%（目標≥ 99%）。
Ingest lag： p95延遲交付（<30秒）。

指數成功： 無解析錯誤事件比例（>99.9%).

Search latency： p95 <2秒到24 h窗口的典型請求。

丟棄率： 事件丟失<0。01%.

警報富達：按規則，假陽性比例精確。
Cost per GB：期內存儲/指數成本。

10）保留策略（示例）

策略由Legal/DPO和本地法規指定。

11）檢測和Alertes（骨骼）

• 可疑身份驗證（無法移動，TOR，頻繁錯誤）。
• 特權/角色升級。
• 在發布時間表之外更改配置/秘密。
• 異常事務模式（AML/防凍信號）。
• 大量數據上載（DLP觸發器）。
• 容錯性：5xx沖擊，後退退化，多次pod's重啟。

• 豐富地理/IP聲譽，綁定到發布/fichflags，綁定到軌道。

12）登錄訪問安全

RBAC和職責隔離：針對讀者/分析師/管理人員的單獨角色。
即時訪問：時間令牌，審核所有「敏感」索引讀取。
加密：transit （TLS）, at rest （KMS/CMK）,密鑰隔離。
秘密和鑰匙：輪換，限制使用PII導出事件。

13）實施路線圖

1.源目錄+最小電路（ECS/OCSF）。

2.Nods+OTel Collector上的代理；集中式解析。

3.熱存儲（OpenSearch/Elasticsearch/Loki）+行車記錄儀。

4.基本Alertes（身份驗證，5xx，configs更改）。

5.對象存儲（WORM）中的歸檔。

• Kafka作為輪胎，繼電器和retray隊列。
• SIEM+第一個相關規則，SOAR花花公子。
• 加密蹦床，錨定哈希。
• 法律保留政策，DSAR/RTBF程序。

• UEBA/ML檢測。
• 事件編目（數據目錄），lineage。
• 成本優化：采樣「嘈雜」的日誌,tiering.

14）常見錯誤以及如何避免錯誤

無模式日誌噪聲：→引入必填字段和采樣。
沒有跟蹤：→將trace_id嵌入到皮層服務和代理中。
一個邏輯的「整體」：→按域和臨界級別劃分。
不變性：→啟用WORM/Object Lock和簽名。
博客中的秘密：→過濾器/編輯器，令牌掃描儀，咆哮。

15）發射支票清單

• 具有臨界優先級的來源登記冊。
• 單個電路和驗證器（針對解析器的CI）。
• 代理策略（k8s, Beats/OTel）。
• Sheena和重建。
• 熱/冷/存檔存儲+WORM。
• RBAC,加密,訪問日誌。
• 基本的Alerta和SOAR花花公子。
• Ops/Sec/Compliance的Dashbords。
• DSAR/RTBF/法律保留策略。
• KPI/SLO+存儲預算。

16）事件示例（簡化）

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17）詞匯表（簡短）

Audit Trail是一系列不變的記錄，記錄對象的行為。
WORM-「記錄一次，閱讀多種族」的存儲模式。
SOAR-花花公子事件響應自動化。
UEBA-分析用戶和實體的行為。
OCSF/ECS/OTel是日誌方案和遙測的標準。

18）結果

審核和拼寫系統不是「日誌堆棧」，而是具有明確數據方案，檔案，相關性和響應花花公子的托管程序。遵守本文中的原則可提高可觀察性，加快調查速度，並關閉行動和契約的關鍵要求。