Home
CSA-4: Logging e Alerting
Descrizione
Logging e alerting centralizzati forniscono visibilità sulle attività del sistema, supportano il rilevamento di minacce e abilitano l’incident response. I team DEVONO (MUST) implementare logging completo e validare le configurazioni di alerting.
Guida
Logging centralizzato
I log DEVONO (MUST) essere aggregati centralmente:
- AWS: CloudTrail, VPC Flow Logs, Application Logs → CloudWatch Logs o S3
- Azure: Activity Logs, NSG Flow Logs, Application Logs → Azure Monitor o Log Analytics
- Retention: Policy di conservazione appropriate (minimo 90 giorni per log di sicurezza)
Cosa loggare
DEVE (MUST) essere loggato:
- API calls: Tutte le chiamate API (CloudTrail, Azure Activity Log)
- Authentication: Login, logout, failed attempts
- Authorization: Cambi di permessi, accessi a risorse sensibili
- Configuration changes: Modifiche a security groups, IAM, network
- Data access: Accesso a dati sensibili o PII
- Errors e exceptions: Errori applicativi e di sistema
NON DEVE (MUST NOT) essere loggato:
- ❌ Password in chiaro
- ❌ Token di autenticazione
- ❌ Dati di carte di credito
- ❌ PII non necessaria
- ❌ Chiavi crittografiche
I log DOVREBBERO (SHOULD) essere strutturati:
- JSON format: Per parsing e analisi automatizzata
- Timestamp: UTC con precisione millisecondo
- Correlation ID: Per tracciare richieste attraverso servizi
- Severity level: ERROR, WARN, INFO, DEBUG
- Contextual info: User ID, IP address, resource ID
Esempio:
{
"timestamp": "2024-01-15T14:23:45.123Z",
"level": "INFO",
"service": "api-gateway",
"correlationId": "abc-123-xyz",
"userId": "user@example.com",
"action": "LOGIN_SUCCESS",
"ipAddress": "203.0.113.45"
}
Alerting
Gli alert DEVONO (MUST) essere configurati per:
- Security events: Failed login attempts, privilege escalation, unauthorized access
- Availability: Service downtime, health check failures
- Performance: Latency spikes, error rate increases
- Cost: Budget threshold exceeded
Integrazione con SOC
I log di sicurezza DEVONO (MUST) essere integrati con il Security Operations Centre (SOC):
- SIEM integration: Security Information and Event Management system
- Real-time alerting: Alert critici inoltrati al SOC in tempo reale
- Incident response: Runbook per risposta a security events
- Threat intelligence: Correlazione con threat feeds
Protezione dei log
I log stessi DEVONO (MUST) essere protetti:
- Immutability: Log non modificabili (S3 Object Lock, Azure Immutable Storage)
- Access control: Solo personale autorizzato può accedere ai log
- Encryption: Log crittografati at rest e in transit
- Integrity: Checksums o digital signatures per verificare integrità
Testing e validazione
Le configurazioni di logging e alerting DEVONO (MUST) essere testate:
- Log completeness: Verificare che tutti gli eventi richiesti siano loggati
- Alert triggering: Testare che gli alert si attivino correttamente
- Response procedures: Simulare incident per testare runbook
- Performance: Verificare che logging non degradi le prestazioni
Misurazione
| Stato |
Criteri |
| 🟢 VERDE |
Logging completo validato e testato, integrato con SOC, alert configurati |
| 🟡 AMBRA |
Logging configurato ma non testato, integrazione SOC parziale |
| 🔴 ROSSO |
Logging non configurato o incompleto, nessuna integrazione SOC |
Riferimenti