Bezpieczeństwomedium

Jakie sygnały bezpieczeństwa logować i monitorować, i dlaczego?

Tagi

#logging#monitoring#security-events

Odpowiedź

Loguj zdarzenia auth (nieudane logowania, zmiany MFA), zmiany uprawnień, dostęp do wrażliwych danych i nietypowe wzorce ruchu. Monitoruj skoki, anomalie geograficzne i nieudane akcje, by szybko wykrywać nadużycia i wspierać IR.

Odpowiedź zaawansowana

Głębiej

Logi bezpieczeństwa muszą być akcjonowalne i zgodne z prywatnością:

Zdarzenia auth: logowania, błędy, włączenie/wyłączenie MFA, wydanie tokenu.
Uprawnienia: zmiany ról, akcje admina, edycje polityk.
Dostęp do danych: odczyty wrażliwych danych, eksporty, masowe operacje.
Anomalie: geo-velocity, reputacja IP, nagłe skoki.

Przykłady

Minimalny schemat logu:

{ userId, action, target, result, ip, userAgent, traceId }

Typowe pułapki

Logowanie sekretów lub pełnego PII wprost.
Brak correlation ID, przez co nie da się odtworzyć incydentu.
Brak alertów, więc logi działają dopiero po incydencie.

Pytania uzupełniające na rozmowie

Jak balansujesz prywatność i detekcję?
Jakie zdarzenia powinny page'ować od razu?
Jak długo trzymać logi?

Powiązane pytania

PostgreSQL

Jak `pg_stat_activity` i `pg_stat_statements` pomagają w troubleshootingu?

#postgres#monitoring#pg_stat_activity

Chmura

Observability: czym różnią się metryki, logi i trace’y?

#cloud#observability#metrics

Monolity

Correlation ID w monolicie: co to jest i gdzie go generujesz?

#monoliths#logging