# Недостатки протоколирования и мониторинга Раздел из OWASP TOP 10, Который необходим для того чтобы решать проблемы, которые могут возникнуть при наступлении инцидента. Без достаточного логирования и мониторинга серверов, найти и предотвратить атаку будет во много раз сложнее. Что желательно делать с мониторингом и логированием: - создавать события, которые могут быть настроены для аудита событий логина, а так же действия, которые управляют наиболее важными данными приложения - генерировать предупреждения разных уровней, делать четкое определение того, что произошло, чтобы избежать ложной интерпретации - мониторить логи и API приложения на аномальные события - не хранить логи локально на сервере - настроить уровни срабатывания нотификаций, чтобы можно было непрерывно следить за состоянием систем и выявлять атаки на ранних этапах - выполнять постоянные автоматические тесты инфраструктуры с целью поиска появляющихся уязвимостей. Данные инструменты можно так же использовать для отладки набора событий, которые помещаются в логи - приложение должно уметь выявить через системы мониторинга атаку и отправить нотификацию (не обязательно делать внутри приложения, можно пользоваться сторонним софтом) ## Способы защиты - Создание требований для логирующих сообщений - Учет событий и настройка сторонних решений для агрегации и корреляции данных (esearch/kibana) - Установка дополнительных систем защиты: - антивирус - SIEM - ... ## Полезные ресурсы: https://owasp.org/www-project-proactive-controls/v3/en/c9-security-logging.html https://owasp.org/www-project-application-security-verification-standard https://owasp.org/www-project-web-security-testing-guide/v41/4-Web_Application_Security_Testing/08-Testing_for_Error_Handling/01-Testing_for_Error_Code https://cheatsheetseries.owasp.org/cheatsheets/Application_Logging_Vocabulary_Cheat_Sheet.html https://csrc.nist.gov/publications/detail/sp/1800-25/final