Audit va logografiya vositalari

1) Nima uchun bu zarur?

• Harakatlarning kuzatilishi (kim/nima/qachon/qayerdan/nima uchun).
• Hodisalarni tezkor tekshirish va forenzika.
• Regulyatorlar va buyurtmachilar talablariga muvofiqligi.
• Xavf-xatarlarni boshqarish va hodisalarda MTTRni kamaytirish.
• Tavakkalchilik, antifrod, komplayens modellarini qo’llab-quvvatlash (KYC/AML/RTBF/Legal Hold).

• Manbalarni to’liq qoplash.
• Yozuvlarning o’zgarmasligi va yaxlitligi.
• Standartlashtirilgan voqealar sxemalari.
• Qidiruv imkoniyati va korrelyatsiya.
• Shaxsiy ma’lumotlarni minimallashtirish va maxfiylikni nazorat qilish.

2) Asboblar landshafti

2. 1 Loglar menejmenti va indeksatsiya

Сбор/агенты: Fluent Bit/Fluentd, Vector, Logstash, Filebeat/Winlogbeat, OpenTelemetry Collector.
Saqlash va qidirish: Elasticsearch/OpenSearch, Loki, ClickHouse, Splunk, Datadog Logs.
Striming/shinalar: Kafka/Redpanda, NATS, Pulsar - buferlash va fan-aut uchun.
Parsing va normallashtirish: Grok/regex, OTel processors, Logstash pipelines.

2. 2 SIEM/Detect & Respond

SIEM: Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, QRadar.
UEBA/xulq-atvor tahlili: SIEM, ML-detektorlarga o’rnatilgan modullar.
SOAR/orkestrlash: Cortex/XSOAR, Tines, Shuffle - pleybuklarni avtomatlashtirish.

2. 3 Audit va o’zgarmaslik

Аудит подсистем: Linux auditd/ausearch, Windows Event Logs, DB-аудит (pgAudit, MySQL audit), Kubernetes Audit Logs, CloudTrail/CloudWatch/Azure Monitor/GCP Cloud Logging.
O’zgarmas saqlash: WORM-baketalar (Object Lock), S3 Glacier Vault Lock, write-once volumes, kripto imzosi/xesh zanjiri bilan jurnallash.
TSA/Vaqt belgilari: NTP/PTP bilan bogʻlash, tashqi ishonchli vaqtda xeshlarni vaqti-vaqti bilan ankerlash.

2. 4 Kuzatish va trassalash

Metrika/treyslar: Prometheus + Tempo/Jaeger/OTel, trace_id/span_id bo’yicha trastirovkalarning loglarini korelatsiya qilish.
Dashbordlar va alertlar: Grafana/Kibana/Datadog.

3) Hodisa manbalari (qoplama kupi)

Infratuzilma: OS (syslog, auditd), konteynerlar (Docker), orkestr (Kubernetes Events + Audit), tarmoq qurilmalari, WAF/CDN, VPN, IAM.
Ilovalar va API: API-shlyuz, servis-mash, veb-serverlar, bekendlar, navbatlar, rejalashtiruvchilar, vebxuklar.
DD va saqlovchilar: soʻrovlar, DDL/DML, maxfiy/kalitlarga kirish, obʼekt saqloviga kirish.
To’lov integratsiyalari: PSP/ekvayring, chargeback-iventlar, 3DS.
Operatsiyalar va jarayonlar :/CI/CD, ma’muriy panellarga kirish, konfiguratsiyalarni o’zgartirish/fichflaglar, relizlar.
Xavfsizlik: IDS/IPS, EDR/AV, zaiflik skanerlari, DLP.
Foydalanuvchi voqealari: autentifikatsiya, kirishga urinish, KYC maqomini o’zgartirish, depozitlar/xulosalar, stavkalar/o’yinlar (zarurat bo’lganda anonimlashtirish bilan).

4) Ma’lumotlar sxemalari va standartlar

Tadbirning yagona modeli:’timestamp’,’event. category`, `event. action`, `user. id`, `subject. id`, `source. ip`, `http. request_id`, `trace. id`, `service. name`, `environment`, `severity`, `outcome`, `labels.`.
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
Korrelyatsiya kalitlari:’trace _ id’,’session _ id’,’request _ id’,’device _ id’,’k8s. pod_uid`.
Sifati: «shovqinli» manbalar uchun majburiy dalalar, validatsiya, deduplikatsiya, semplash.

5) Arxitektura referensi

1. Nod/agentlarda yig’ish →

2. Pre-protsessing (parsing, PII-tahriri, normallashtirish) →

3. Shina (Kafka) retenshn bilan ≥ 3-7 kun →

• Tezkor saqlash (qidirish/korrelyatsiya, 7-30 kun issiq saqlash).
• O’zgarmas arxiv (WORM/Glacier audit uchun 1-7 yil).
• SIEM (deteksiya va hodisalar).
• 5. Dashbordlar/qidiruv (operatsiyalar, xavfsizlik, komplayens).
• 6. Reaksiyalarni avtomatlashtirish uchun SOAR.

• Hot: SSD/indeksatsiya, tezkor qidirish (tezkor javob berish).
• Warm: siqish/kamroq tez-tez kirish.
• Cold/Archive (WORM): arzon, ammo o’zgarmas saqlash.

6) O’zgarmas, yaxlitlik, ishonch

WORM/obyekt-lok: olib tashlash va modifikatsiyani siyosat muddatiga blokirovka qilish.
Kripto imzosi va xesh zanjiri: botcham/chanklar bo’yicha.
Hash-anking: xeshlarni tashqi reyestrda yoki ishonchli vaqtda vaqti-vaqti bilan e’lon qilish.
Vaqt sinxronizatsiyasi: NTP/PTP, drift monitoringi; ’clock. source`.
Oʻzgarishlarni nazorat qilish: retention/Legal Hold siyosati uchun toʻrt koʻzli/dual control.

7) Maxfiylik va komplayens

PII ni minimallashtirish: faqat kerakli maydonlarni saqlash, ingestda tahrirlash/yashirish.
Taxallusi:’user. pseudo_id', mappingni alohida va cheklangan tarzda saqlash.
GDPR/DSAR/RTBF: manbalar tasnifi, boshqariladigan mantiqiy olib tashlash/replikalarda yashirish, yuridik saqlash majburiyatlari uchun istisnolar.
Legal Hold: «freeze» belgilari, arxivda oʻchirishni toʻxtatish; Hold atrofidagi harakatlar jurnali.
ISO 27001 A.8/12/15, SOC 2 CC7, PCI DSS Req standartlariga mapping. 10, bozorlarni mahalliy tartibga solish.

8) Operatsiya va jarayonlar

8. 1 Pleybuklar/Runbooks

Manbani yoʻqotish: (heartbeats) qanday aniqlash, (shindan replay) qanday tiklash, boʻshliqlarni qanday kompensatsiya qilish.
Kechikishlar: navbatlarni tekshirish, sharding, indekslar, backpressure.
X hodisasini tekshirish: KQL/ES-query namunasi + treys kontekstli bogʻlam.
Legal Hold: kim qoʻyadi, qanday suratga oladi, qanday hujjatlashtiriladi.

8. 2 RACI (qisqacha)

R (Responsible): Observability-jamoa yig’ish/yetkazib berish uchun; Deteksiya qoidalari uchun SecOps.
A (Accountable): Siyosat va byudjet uchun CISO/Head of Ops.
C (Consulted): DPO/Legal - maxfiylik uchun; Sxemalar uchun arxitektura.
I (Informed): Sapport/Mahsulot/Risk-menejment.

9) Sifat metrikasi (SLO/KPI)

Coverage:% tanqidiy manbalar ulangan (maqsad ≥ 99%).
Ingest lag: p95 yetkazib berishda kechikish (<30 sek).
Indexing success: parsing xatosiz hodisalar ulushi (> 99. 9%).

Search latency: p95 <2 sek + 24h + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +

Drop rate: hodisalarni yoʻqotish <0. 01%.
Alert fidelity: Precision/Recall qoidalariga ko’ra, soxta pozitivlar ulushi.
Cost per GB: davr uchun saqlash/indeks qiymati.

10) Saqlash siyosati (misol)

Siyosatchilar Legal/DPO va lokal regulyatsiyalar bilan aniqlanadi.

11) Deteksiya va alerta (skelet)

• Shubhali autentifikatsiya (harakatlanish mumkin emas, TOR, tez-tez xatolar).
• Imtiyozlar/rollarning kuchayishi.
• Chiqarish jadvalidan tashqari konfiguratsiyalar/sirlarni oʻzgartirish.
• Anormal tranzaksiya patternlari (AML/antifrod signallari).
• Ma’lumotlarni ommaviy tushirish (DLP-triggerlar).
• Muvaffaqiyatsizlikka chidamlilik: 5xx shkalasi, latency degradatsiyasi, podlarning ko’p martalik restartlari.

• Geo/IP obro’sini boyitish, relizlarga/fichflaglarga bog’lash, trassalar bilan bog’lash.

12) Loglardan foydalanish xavfsizligi

RBAC va vazifalarni ajratish: o’quvchilar/tahlilchilar/ma’murlar uchun alohida rollar.
Just-in-time: vaqtinchalik tokenlar, barcha «sezgir» indekslarni o’qish auditi.
Shifrlash: in-transit (TLS), at-rest (KMS/CMK), kalitlarni izolyatsiya qilish.
Sirlar va kalitlar: aylanish, PII bilan voqealarni eksport qilishni cheklash.

13) Joriy etish yo’l xaritasi

1. Manba katalogi + minimal sxema (ECS/OCSF).

2. Nodlardagi agent + OTel Collector; markazlashtirilgan parsing.

3. Hot (OpenSearch/Elasticsearch/Loki) ombori + dashbordlar.

4. Bazaviy alertlar (autentifikatsiya, 5xx, konfiguratsiyalarni o’zgartirish).

5. Object Storage (WORM) arxivi.

• Kafka shina, replay, retray-navbat kabi.
• SIEM + birinchi korrelyatsiya qoidalari, SOAR pleybuklari.
• Kripto imzosi batchey, ankering xesh.
• Legal Hold, DSAR/RTBF tartib-qoidalari.

• UEBA/ML deteksiyasi.
• Hodisalarni kataloglash (Data Catalog), lineage.
• Qiymatni optimallashtirish: shovqinli loglarni semplash, tiering.

14) Tez - tez xatolar va ulardan qanday qochish mumkin

Sxemasiz log-shovqin: → majburiy maydonlar va sampling kiritish.
Trassalar yo’q: → trace_id kor-services va proksiga kiritish.
Log yagona «monolit»: → domenlar va darajalar boʻyicha boʻlish.
Oʻzgaruvchanlik yoʻq: → WORM/Object Lock va imzoni yoqish.
Log sirlari: → filtrlar/muharrirlar, token skanerlari, revyu.

15) Ishga tushirish chek-varag’i

• Tanqidiy ustuvor manbalar reyestri.
• Yagona sxema va validatorlar (parserlar uchun CI).
• Agentlik strategiyasi (k8s da daemonset, Beats/OTel).
• Shina va retenshn.
• Issiq/sovuq/arxiv saqlash + WORM.
• RBAC, shifrlash, kirish jurnali.
• SOARning asosiy alertlari va pleybuklari.
• Ops/Sec/Compliance uchun dashbordlar.
• DSAR/RTBF/Legal Hold siyosati.
• KPI/SLO + saqlash uchun budjet.

16) Voqealar namunalari (soddalashtirilgan holda)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) Lugʻat (qisqacha)

Audit trail - subyektning harakatlarini qayd etuvchi o’zgarmas yozuvlar ketma-ketligi.
WORM - saqlash rejimi «bir marta yozilgan, o’qigan ko’p qirrali».
SOAR - pleybuklar bo’yicha hodisalarga javob berishni avtomatlashtirish.
UEBA - foydalanuvchilarning xulq-atvori va mohiyatini tahlil qilish.
OCSF/ECS/OTel - loglar va telemetriya sxemalari standartlari.

18) Jami

Audit va logografiya tizimi - bu «loglar steki» emas, balki aniq ma’lumotlar sxemasi, o’zgarmas arxiv, korrelyatsiya va reaktsiya pleybuklari bo’lgan boshqariladigan dastur. Ushbu moddadagi tamoyillarga rioya qilish kuzatuvni oshiradi, tergovni tezlashtiradi va Operatsiyalar va Komplayensning asosiy talablarini yopadi.