Denetim Günlüğü nedir?

Denetim günlükleri, güvenlik soruşturmasının temel sorularını yanıtlar: Kim, hangi kaynağa, ne yaptı; ne zaman ve nereden? Kullanıcı girişleri, veri erişimi, izin değişiklikleri, API çağrıları, yönetimsel eylemler ve başarısız kimlik doğrulama girişimleri gibi olayları kaydeder. Bir güvenlik olayında denetim günlükleri, bir ihlalin kapsamını ve saldırganın eylemlerini anlamak için genellikle birincil kanıt kaynağıdır.

Etkili denetim kaydı birkaç özellik gerektirir: eksiksizlik (tüm güvenlikle ilgili olaylar yakalanır), değiştirilemezlik (günlükler denetlenen aktörler tarafından değiştirilemez veya silinemez), güvenilir bir kaynaktan zaman damgaları, yeterli ayrıntı (kimlik, eylem, hedef kaynak ve sonuç dahil) ve izlenen sistemlerden ayrı güvenli depolama. SOC 2, HIPAA, PCI-DSS ve GDPR gibi birçok uyum çerçevesi, belirli denetim kaydı gereksinimleri öngörür.

Denetim günlüklerindeki zorluk, eksiksizlik ile gizlilik ve depolama arasındaki dengeyi kurmaktır. Çok az kayıt yapmak, adli kapasitede boşluklar bırakır. Çok fazla kayıt ise (özellikle GDPR'ın veri minimizasyonu ilkesiyle) gizlilik endişeleri yaratabilir, çok büyük depolama maliyetleri doğurabilir ve ironik biçimde gürültü içinde ilgili olayları bulmayı güçleştirebilir. Kuruluşlar, güvenlikle ilgili bir olayı neyin oluşturduğunu tanımlamalı ve aşırı hassas veri toplamadan bu olayların yakalandığından emin olmalıdır.

Vaulted Denetim Günlüğü nasıl kullanır

Vaulted'ın sıfır bilgi mimarisi, denetlenebileceklerin kasıtlı sınırlarını belirler. Sunucu, gizli dizi oluşturma zaman damgaları, görüntüleme sayıları ve süre dolumu olayları gibi işlemsel meta verileri günlüğe kaydeder; ancak şifreli içeriği veya şifreleme anahtarlarını hiçbir zaman günlüğe kaydetmez, çünkü bunlara sahip değildir. Bu yaklaşım veri minimizasyonu ilkeleriyle örtüşür: denetim izi, sistem sağlığını izlemek ve istismar kalıplarını tespit etmek için yeterince bilgi yakalar; günlüklerin kendisi ele geçirilse bile hassas verileri açığa çıkaracak bir kayıt oluşturmaz.