Auditné logy

Posted on by P. Varga
Auditné logy

Prečo logy a auditné stopy rozhodujú

Logy a auditné stopy sú základnou infraštruktúrou dôvery: umožňujú detekciu incidentov, forenznú rekonštrukciu, preukázanie súladu a nepopierateľnosť kľúčových úkonov. Bez nich je reakcia na incidenty pomalá, kontroly sú formalitou a riziko eskaluje. Zároveň však platí, že neuvážený zber vytvára súkromnostné a právne riziká. Cieľom je zbierať len to, čo potrebujeme, v struktúrovanej podobe, s kontrolovanou retenciou a technickou integritou.

Terminológia a rámec

  • Log: štruktúrovaný záznam o udalosti systému alebo aplikácie.
  • Auditná stopa: konzistentný sled udalostí viazaný na identitu, systém alebo proces s cieľom preukázateľnosti.
  • Telemetria: metriky, trasy (traces) a logy používané na observabilitu.
  • Nepopierateľnosť (non-repudiation): vlastnosť, že pôvod a integrita záznamu sú preukázateľné (podpisy, časové pečiatky, WORM úložisko).

Princíp minimalizmu: čo naozaj zbierať

Každá kategória logov musí mať účel, schému a retenciu. Ak chýba, nezbierajte ju. Osožné sú najmä:

  • Identita a prístup: prihlásenia, zlyhané pokusy, zmeny hesiel/2FA, pridelenie/odobratie rolí, elevation (JIT/JEA).
  • Správa konfigurácie: zmeny politiky (GPO/MDM), firewall/ACL, IAM policies, infra-as-code diffs, nasadenia (CI/CD).
  • Citlivé operácie: čítanie/export dát, zmeny limitov, finančné transakcie, schválenia, deaktivácia ochranných mechanizmov.
  • Sieť a perimetr: VPN/ZTNA udalosti, proxy/HTTP summary, IDS/IPS, DNS dotazy (agregované), e-mailové brány.
  • Endpoint/EDR: spustenia procesov, zmeny registru, karantény, zistené indikátory kompromitácie.
  • Aplikačné logy: chyby (error/exception), prístup k API (kto/kedy/endpoint/result), limity a anomálie.
  • Integrita a verzovanie: integritné kontroly konfigurácií, kontrolné súčty artefaktov, podpisy.

Čo nezbierať alebo agresívne redigovať

  • Osobný obsah (telá e-mailov, správy, dokumenty) – ak nie je nevyhnutné; radšej metadata a kontrolované vzorkovanie.
  • PII v surovej podobe (rodné čísla, adresy, celé čísla kariet) – použite maskovanie/hashe s „salt“ podľa účelu.
  • Plné IP/UA na dlhú retenciu – pre analytiku stačia skrátené IP alebo kategórie.
  • Tajomstvá (tokeny, kľúče, heslá) – nikdy nelogujte; validujte to lintermi a runtime filtrami.

Štruktúrované logovanie a schéma

  • JSON s pevnou schémou (verzia schémy, povinné polia, enumy, časové zóny UTC).
  • Identifikácia: korelačné ID (trace/span), request ID, ID súhlasu/zdroja.
  • Kontext: účel spracovania, citlivosť (štítok „confidential“), výsledok (allow/deny), dôvod zamietnutia.
  • Čas: RFC3339, synchronizovaný cez NTP/PTP; zaznamenajte drift a status synchronizácie.

Integrita a nepopierateľnosť

  • Podpisovanie dávok logov (JWS) alebo jednotlivých záznamov; kľúče v HSM/KMS, rotácia a audit prístupov.
  • Merkle reťazenie (hash chain) pre dôkaz nezmeniteľnosti medzi časovými oknami.
  • WORM úložiská (object lock) s politikami retention a legal hold; životne dôležité pre forenziku.
  • Časové pečiatky (TSA) pre kľúčové udalosti – podpisy, zmeny politiky, schválenia.

Pipeline: príjem, obohatenie, ukladanie

  1. Ingest: spoľahlivý transport (TLS/mTLS, backpressure, retry), ochrana pred log injection (escape, validácia).
  2. Enrichment: normalizácia polí, mapovanie IP→ASN (agregované), geokategórie, štítky citlivosti, mapping identít.
  3. Filtering & redakcia: server-side drop/mask pravidlá (regex, políčka), PII firewall.
  4. Storage: horúca vrstva (SIEM/search), teplá (objektové), studená (archív s WORM); definujte TTL a tiering.

Prístupy a oddelenie rolí

  • Least privilege k logom; analytik nevidí PII, iba pseudonymy/štítky; DPO/DPA má riadený prístup na de-pseudonymizáciu.
  • Segregation of duties: kto mení retenčné politiky, nesmie mazať incidentné logy; zmeny vyžadujú 4-eyes.
  • Just-in-time prístupy s časovým obmedzením a auditom; zákaz permanentných admin tokenov.

Retencia a právny súlad

Retenčné doby vychádzajú z účelu, regulácie a rizika. Príklady:

  • Bezpečnostné logy (IAM, EDR, sieť): 6–24 mesiacov podľa rizika; horúca vrstva 30–90 dní.
  • Finančné transakcie a schválenia: podľa lokálnych účtovných/fin. predpisov (často 5–10 rokov) – s prísnym obmedzením prístupu.
  • PII ťažké logy: minimalizovať, skracovať, anonymizovať po skončení účelu; dokumentovať právny základ (legitímny záujem, právna povinnosť).

GDPR a práva dotknutých osôb v logoch

  • Informovanie o kategóriách logovania a retenčných dobách v zásadách ochrany súkromia.
  • Prístup a výmaz: pre PII v logoch definujte feasible proces (pseudonymizácia, „selective purge“) bez narušenia forenziky.
  • Minimalizácia a účel: netiahnite logy do BI bez zhodnotenia účelu; oddelte observabilitu od marketingu.

Observabilita bez úniku: bezpečný dizajn

  • Structured logging + OpenTelemetry pre traces/metrics; jednotný kontext a korelácia.
  • Sampling pre vysoké objemy (tail-based pre chyby a anomálie); selektívne rozšírenie pri incidente.
  • Redakcia na okraji (edge redaction): citlivé polia sa maskujú ešte pred opustením zóny aplikácie.
  • Data contracts pre logy: schémy verzované, testované v CI; nasadenie blokované pri pridaní PII bez schválenia.

Detekcia a reagovanie: od pravidiel po ML

  • Use-cases: bruteforce IAM, exfiltrácia (veľké exporty), zmena politiky mimo úradných hodín, nové admin roly, deaktivácia EDR.
  • Correlation rules a behaviorálne modely: viac-zdrojové anomálie (SIM-change + nové zariadenie + zmena 2FA).
  • SOAR playbooky: pri high-risk udalosti automatické zablokovanie tokenu, step-up autentifikácia, ticket a notifikácia DPO.

Testovanie a kvalita logov

  • Log chaos testing: simulácia výpadkov ingestu, dropovanie polí, poruchy časovej synchronizácie.
  • Canary events: syntetické udalosti na overenie end-to-end cesty (aplikácia → SIEM → alert).
  • Data quality KPI: percento záznamov so schémou v1/v2, podiel „unknown“ polí, latencia ingestu, percento podpísaných dávok.

Bezpečnostné zásady pri práci s logmi

  • Šifrovanie v prenose (mTLS) aj v pokoji (AES-256/KMS), oddelené kľúče pre prostredia (dev/test/prod).
  • Privátne spojenia (VPC peering/PrivateLink) medzi aplikáciami a SIEM; žiadne verejné endpointy bez dôvodu.
  • Kontrola exportov: povolené iba kurátorské exporty; veľké dumpy vyžadujú schválenie a časové pečiatky.
  • Monitoring prístupu do logov samotných (meta-audit) – kto čítal citlivé stopy a prečo.

Špecifiká: cloud, mobil, zdravotníctvo a bankovníctvo

  • Cloud: využite natívne audit logy (control plane/data plane), cloud-trail-like prúdy ukladajte do vlastného účtu so zámkom.
  • Mobil: diagnostika bez osobného obsahu; crash reporty bez PII, anonymizované zariadenia, opt-in pre rozšírenú telemetriu.
  • Zdravotníctvo/financie: sprísnené retenčné a prístupové režimy; role-based zobrazenie s de-identifikáciou.

Procesy: governance a zodpovednosti

  • Vlastníci dát (data stewards) pre log streamy; zodpovedajú za schému, účel, retenciu a DLP pravidlá.
  • Change management: zmeny schém a retenčných politík idú cez bezpečnostnú radu (security review + DPO).
  • Pravidelné audity: overenie podpisov, WORM zámkov, náhodné kontroly prístupov a incidentných spisov.

Kontrolný zoznam pre architektov a vývojárov

  • Logujem štruktúrovane, so schémou a bez tajomstiev.
  • Mám maskovanie/redakciu na okraji a testy, ktoré zlyhajú pri úniku PII do logu.
  • Každý request má trace ID; korelačné ID propagujem naprieč službami.
  • Citlivé operácie vyvolávajú explicite audit event s identitou a dôvodom.

Kontrolný zoznam pre prevádzku a bezpečnosť

  • NTP/PTP synchronizácia je monitorovaná a drift je v tolerancii.
  • Logy sú podpísané, uložené v WORM a prístupy sú auditované.
  • Retenčné politiky sú automatizované (TTL, tiering) a testované.
  • Existujú SOAR playbooky pre top scenáre (exfiltrácia, zneužitie účtu, zmena politiky).

KPI a metriky riadenia rizika

  • Pokrývka logovania: percento kľúčových systémov s aktívnym ingestom a schémou.
  • Integrita: podiel dávok s validným podpisom/merkle hranou; počet zlyhaných verifikácií.
  • Latencia detekcie: priemerný čas od udalosti po alert; cieľ < 5 min pre vysoké riziko.
  • Privacy score: podiel záznamov s PII mimo povolených polí; cieľ → 0.

Incident response: práca s logmi počas a po incidente

  1. Stabilizovať ingest (buffering), zmraziť retencie (legal hold) a zabrániť prepisu.
  2. Forenzika: vytvoriť immutable kópie, overiť podpisy, vypočítať hashe; práca iba na klonoch.
  3. Rekonštrukcia: korelovať identitu, sieť, endpoint, aplikáciu; budovať časovú os.
  4. Post-mortem: upraviť pravidlá, doplniť udalosti chýbajúce pre „slepé miesta“, aktualizovať playbooky.

90-dňový plán zavedenia alebo zlepšenia

  1. Dni 1–30: inventarizácia log streamov, definícia schém a účelov, NTP audit, nasadenie edge redakcie PII, základné SIEM pravidlá.
  2. Dni 31–60: podpisovanie dávok, WORM pre kritické prúdy, canary events, SOAR playbooky pre top 5 scenárov, prvé KPI dashboardy.
  3. Dni 61–90: sampling a optimalizácie nákladov, rozšírenie korelácií, právny review retenčných politík, cvičný forenzný test.

Menej šumu, viac dôkazov

Silný program logovania a auditných stôp je kombinácia minimalizmu, štruktúry, integrity a riadenia prístupu. Zbierajte to, čo má pre bezpečnosť a súlad zmysel, chráňte to ako citlivé dáta a udržujte schopnosť kedykoľvek preukázať, kto čo urobil – bez toho, aby ste z logov urobili novú plochu útoku alebo súkromnostné riziko.

Related Posts

Acquis communautaire

Acquis communautaire zahŕňa celú škálu princípov, zákonov, politík, záväzkov a cieľov prijatých v rámci Európskej únie a obsiahnutých predovšetkým v zmluvách, legislatíve a rozhodnutiach Súdneho […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *