← [Главная](../README.md)

# Раздел 08 — Runtime и мониторинг

Безопасность не заканчивается на deploy. Этот раздел — **наблюдаемость и реагирование**: логи, SIEM, алерты, incident response и непрерывное **управление уязвимостями** в production.

## Карта тем

| Тема | Файл | Фокус |
|------|------|-------|
| Logging и audit trail | [logging-audit-trail.md](logging-audit-trail.md) | Что логировать, retention, integrity |
| SIEM и алерты | [siem-i-alerty.md](siem-i-alerty.md) | Корреляция, detection, noise |
| Incident response | [incident-response.md](incident-response.md) | Playbooks, roles, comms |
| Vulnerability management | [vulnerability-management.md](vulnerability-management.md) | CVE lifecycle в prod |

## Рекомендуемый порядок

```
logging-audit-trail → siem-i-alerty → incident-response → vulnerability-management
```

Сначала данные (logs), затем detection, затем действия при инциденте, затем процесс патчей.

## Цель раздела

Вы сможете описать **минимальный security operations loop** для маленькой команды: какие логи собирать, какой алерт критичен, первые шаги при инциденте и как не копить CVE годами.

## Предварительно

- [Раздел 06](../06-bezopasnost-koda/README.md) — findings до prod.
- [Раздел 07](../07-infrastruktura/README.md) — cloud audit logs, K8s audit.

## Время

| Формат | Оценка |
|--------|--------|
| Чтение | 3–4 часа |
| Draft runbook exercise | 2–3 часа |

## Shift-right complement

| Shift-left (05–07) | Shift-right (08) |
|--------------------|------------------|
| Prevent defects | Detect abuse |
| Block bad deploy | Respond to active attack |
| Design controls | Prove compliance after fact |

Оба нужны.

## Самопроверка

- [ ] Могу перечислить 5 security events для audit log.
- [ ] Понимаю разницу SIEM alert vs application error log.
- [ ] Знаю первые 3 шага incident response без паники.

## OODA loop для security operations

```
Observe (logs) → Orient (SIEM) → Decide (IC) → Act (contain)
```

Повторяется непрерывно — не только при P1.

## Минимальный stack для маленькой команды

| Функция | Open-source старт | Managed альтернатива |
|---------|-------------------|----------------------|
| Log storage | Loki / OpenSearch | Datadog, Elastic Cloud |
| SIEM rules | Wazuh, Elastic SIEM | Sentinel, Splunk |
| Alerting | Alertmanager → Slack | PagerDuty |
| Ticketing | GitHub Issues / Jira | Jira Service Management |
| Status | Cachet | statuspage.io |

Не покупайте enterprise SIEM day one без ingest plan.

## Связь с compliance

| Требование auditor | Арtefact из раздела 08 |
|--------------------|------------------------|
| Audit trail | [Logging spec](logging-audit-trail.md) |
| Monitoring | SIEM rules + on-call |
| Incident process | [IR runbooks](incident-response.md) |
| Vuln management | [VM SLA table](vulnerability-management.md) |

## Метрики зрелости (self-assessment)

| Уровень | Признаки |
|---------|----------|
| 0 | Логи только on disk pod |
| 1 | Central logs, manual search |
| 2 | SIEM + 5 rules + on-call |
| 3 | IR runbooks tested, VM SLAs met |
| 4 | Tabletop quarterly, MTTD tracked |

## Частые ошибки

| Ошибка | Fix |
|--------|-----|
| Collect everything → bankruptcy | Filter + tier retention |
| Alerts to `#general` | Dedicated `#security-alerts` |
| No runbook | 1-page per top scenario |
| CVE backlog 2 years | Risk-based SLA + automate |

## Практика

1. Напишите logging spec для `POST /login` (5 полей JSON).
2. Сформулируйте 3 detection rules с severity и runbook link.
3. Draft IR runbook «утечка credentials» на одной странице.

## Самопроверка (раздел)

- [ ] Могу описать путь log line от app до alert.
- [ ] Знаю 4 фазы IR после Detect.
- [ ] Понимаю, зачем VM SLA отличается для prod и dev.

## Дальше

[Logging и audit trail](logging-audit-trail.md)