01
云上合规审计概述
为什么需要云审计?合规性要求(GDPR、等保2.0、SOC2),审计日志的核心价值。
合规基础
02
日志源与采集策略
云平台日志类型(操作审计、访问日志、数据库审计),日志采集架构设计(Agent vs Agentless)。
采集架构
03
日志标准化与格式化
Syslog、JSON、CEF格式解析,字段映射与富化,时间戳规范化。
SyslogJSON
04
日志存储与生命周期管理
集中存储方案(S3/OSS/日志服务),冷热分层,数据保留策略与归档。
存储生命周期
05
日志传输与网络安全
TLS/mTLS加密传输,VPC内网采集,跨账号日志汇聚方案。
加密网络
06
审计规则引擎设计
规则语法(SQL/CEL),实时告警 vs 离线分析,规则生命周期管理。
规则引擎
07
用户行为分析(UEBA)
基线建立,异常检测模型(孤立森林、LSTM),用户实体画像。
UEBAML
08
数据脱敏与隐私保护
动态脱敏 vs 静态脱敏,敏感数据识别(PII/SPI),审计日志脱敏实践。
脱敏隐私
09
合规报告与仪表盘
预置合规报告模板(PCI DSS、HIPAA),自定义仪表盘设计,定时报告推送。
报告仪表盘
10
告警与事件响应
告警收敛与降噪,事件工单系统集成(Jira/PagerDuty),SOAR自动化响应。
告警SOAR
11
审计日志的完整性保护
日志防篡改(WORM存储、区块链存证),数字签名与校验和。
完整性防篡改
12
多云环境日志审计
AWS CloudTrail、Azure Monitor、阿里云ActionTrail统一管理,多云日志关联分析。
多云统一
13
容器与K8s审计
Kubernetes审计日志(API Server审计)、容器运行时日志(Falco)、Pod安全策略审计。
K8s容器
14
Serverless审计
函数计算(Lambda/FC)调用日志、API Gateway访问日志、事件驱动审计。
Serverless事件
15
数据库审计
SQL审计日志(RDS审计、自建数据库审计)、慢查询分析、数据访问异常检测。
数据库SQL
16
网络流量审计
VPC流日志、DNS日志、Web应用防火墙(WAF)日志分析。
网络流量
17
身份与访问管理(IAM)审计
IAM策略变更日志、角色扮演审计、权限滥用检测。
IAM权限
18
配置变更审计
基础设施即代码(IaC)审计、配置漂移检测、合规基线扫描(CIS Benchmarks)。
IaCCIS
19
日志审计系统的性能优化
高吞吐写入优化(批处理、压缩)、查询加速(索引、物化视图)、成本控制。
性能优化
20
审计系统的可观测性
审计系统自身的监控(日志、指标、链路追踪),SLA保障与容量规划。
可观测SLA
21
日志审计与SIEM集成
与Splunk、ELK、QRadar等SIEM系统对接,日志格式适配与字段映射。
SIEM集成
22
审计数据湖建设
基于数据湖(Delta Lake/Iceberg)的审计存储,数据湖查询引擎(Presto/Trino)应用。
数据湖Presto
23
审计日志的机器学习应用
异常检测模型训练,日志聚类与模式发现,预测性维护。
ML聚类
24
合规审计自动化
自动化合规扫描(AWS Config、Azure Policy),合规即代码(Policy as Code)。
自动化Policy
25
审计系统的灾备与高可用
多Region部署,日志数据异地备份,故障切换与数据一致性。
灾备高可用
26
审计日志的查询与分析语言
SQL查询技巧,Piped Query Language(PPL),可视化查询构建器。
查询PPL
27
审计系统的成本优化
日志采样策略,存储压缩算法,查询成本控制与预算管理。
成本压缩
28
审计系统的安全加固
审计系统自身的安全(访问控制、加密、审计),最小权限原则实践。
安全加固
29
审计系统的合规认证
SOC2 Type II审计准备,ISO 27001认证支持,审计证据链管理。
认证SOC2
30
实战案例:从零搭建云上合规日志审计系统
需求分析、架构设计、实施部署、验收测试全流程。
实战全流程