OBS_005_AUDIT_EVENTS_ARE_APPEND_ONLY: Audit-Events sind append-only
Severity: must. Bereich: observability-audit.
Regel
Audit-Events DUERFEN nicht still ueberschrieben werden; Korrekturen muessen als neue Ereignisse oder nachvollziehbare technische Revisionen erscheinen.
Reflection-Check
check:
reflect:
fields:
- before_after_policy
object: audit_eventEvidence
- OWASP_LOGGING, OWASP Logging Cheat Sheet
- LOCAL_SECURITY, Lokale Security YAML Library