公司刚做完一次系统升级,运维小李发现原来的日志采集规则漏掉了新模块的操作记录。这可不是小事,万一出问题,审计日志对不上,追责就成了瞎子摸象。这种情况其实很常见,安全审计策略不是设好了就能一劳永逸,得跟着环境变。
业务系统在变,规则也得跟上
去年上线的订单系统还只有基础功能,审计重点放在金额修改和权限变更上。今年加了退款自动审批、第三方对接,操作路径复杂多了。如果审计策略还停留在老版本,等于只盯着大门,后院已经被人翻了个遍。每次系统更新、接口变动,都得回头看看审计范围有没有覆盖到位。
合规要求不是静态的
年初监管部门发了新通知,要求对敏感数据访问做独立留痕。之前公司只记录了谁登录、什么时候登的,现在得细化到“谁查了客户身份证号”。这种外部要求一变,审计策略就得重新配置,不然年中检查直接就被打回来。
攻击手法也在进化
以前黑客喜欢暴力破解密码,多失败几次就触发告警。现在他们用合法账号慢慢试探,行为模式接近正常用户。旧的审计规则可能根本识别不了这种低频慢速的异常。每隔几个月分析一次日志误报和漏报情况,才能及时调整检测逻辑,比如增加对非常规时间段操作的监控。
人员和权限经常变动
财务部老王调岗了,但他的管理员权限没及时回收。半年后他用旧账号导出了一批报表,系统没告警——因为审计规则里没把“离职人员登录”列为高危事件。人员流动大的时候,审计策略得同步清理关注名单,不然监控就是摆设。
实际配置示例参考
比如在 SIEM 系统中调整日志过滤规则:
<rule name="monitor_sensitive_access">
<condition field="user_role" value="admin" />
<condition field="access_path" value="/api/v2/customer/id_card" />
<alert level="high" channel="security_team" />
</rule>这类规则每季度至少 review 一次,删掉废弃接口,加上新上线的敏感模块。别等到出事才想起补窟窿。