如何让应用程序审计日志在安全审查中发挥作用

应用程序审计日志是每个产品都声称具备的功能之一，但当真正的审查开始时，许多日志几乎无法使用。我曾在一个 SaaS 管理工具上吃过苦头，当时的日志只显示"用户更新了设置"。这在仪表板上看起来没问题，但它无法回答基本问题：谁更改了它、更改了什么记录、更改了什么值，以及是哪个请求导致的。 解决方法并不是在日志中添加更多随机文本。我们围绕人们后续实际会审查的操作重写了事件。例如：登录完成、个人资料邮箱更改、角色分配、账单导出开始、集成设置编辑、数据导入批准。每个事件都携带了操作者 ID、目标 ID、租户 ID、当时的权限角色、结果、请求 ID、源应用程序，以及敏感字段更改前后的简短值。我们将私有负载排除在日志之外，因为包含客户数据的日志会增加一个需要保护的额外场所。 请求 ID 的作用比预期的要大得多。支持团队可以打开一个事件，跳转到应用程序日志，并查看相关的请求，而无需请求工程团队运行临时查询…