Security-Hardening Runde 10: Security-Monitoring + Alerting

Defense-in-Depth für alles, was in den ersten 9 Runden nicht durch Code verhindert wurde: zumindest gesehen + alarmiert werden. 📊 SecurityEvent-Tabelle (Prisma) - Type/Severity/IP/User/Endpoint + Indexen für Filter+Threshold-Detection - Trennt sich vom AuditLog: AuditLog ist forensisch + hash-gekettet, SecurityEvent ist optimiert für Realtime-Alerting + Aggregation. 🪝 Hooks an kritischen Stellen - Login (Success/Failed) – auth.controller - Logout, Password-Reset (Request + Confirm) – auth.controller - Rate-Limit-Hit – middleware/rateLimit - IDOR-403 – utils/accessControl (canAccessCustomer / canAccessContract) - SSRF-Block – emailProvider.controller (test-connection + test-mail-access) - JWT-Reject (alg=none, expired, manipuliert) – middleware/auth 🚨 Threshold-Detection + Alerting (securityAlert.service.ts) - Cron jede Minute: prüft Brute-Force-Patterns je IP - 10× LOGIN_FAILED in 60 min → CRITICAL Brute-Force-Verdacht - 5× ACCESS_DENIED in 5 min → CRITICAL IDOR-Probing-Verdacht - 3× SSRF_BLOCKED in 60 min → CRITICAL SSRF-Probing - 3× TOKEN_REJECTED HIGH in 5 min → CRITICAL JWT-Manipulation - CRITICAL-Events: Sofort-Alert per E-Mail (debounced) - Cron stündlich: Digest mit HIGH+MEDIUM-Events (wenn aktiviert) - Sofort-Alert + Digest laufen über System-E-Mail-Provider (gleicher Pfad wie Geburtstagsgrüße, Passwort-Reset) 🖥 Frontend: Settings → "Sicherheits-Monitoring" - Alert-E-Mail-Adresse + Digest-Toggle - Test-Alert-Button + Digest-jetzt-Button - Stats-Cards pro Severity (CRITICAL/HIGH/MEDIUM/LOW/INFO) - Filter (Type/Severity/Search/IP) + Pagination - Auto-Refresh alle 30 s - Verlinkt aus Settings-Übersicht (settings:read Permission) 🧪 Live-verifiziert - Login-Fehlversuch → LOGIN_FAILED Event - Portal probt 4× fremde Customer-IDs → 4× ACCESS_DENIED - SSRF-Probe (169.254.169.254) → SSRF_BLOCKED Event - 12× LOGIN_FAILED simuliert → Cron erzeugt CRITICAL nach ≤60s - CRITICAL-Sofort-Alert binnen 30s zugestellt - Test-Alert-Button: E-Mail zugestellt - Hourly-Digest mit 5 Events: E-Mail mit Tabelle zugestellt Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-01 09:25:47 +02:00
parent c9a2b9fdba
commit 57eb027d5f
17 changed files with 1188 additions and 8 deletions
@@ -1113,3 +1113,53 @@ model AuditRetentionPolicy {

  @@unique([resourceType, sensitivity])
 }
+
+// ==================== SECURITY MONITORING ====================
+// Sicherheitsrelevante Events für Realtime-Alerting + Forensik.
+// Im Gegensatz zum AuditLog (forensisch, hash-gekettet) ist das hier
+// optimiert für schnelles Filtern + Alerting (nicht-tamper-evident, dafür
+// effizient querybar). Threshold-Detection läuft per Cron.
+
+enum SecurityEventType {
+  LOGIN_FAILED            // falsches Passwort / unbekannter User
+  LOGIN_SUCCESS           // erfolgreicher Login (informativ)
+  RATE_LIMIT_HIT          // express-rate-limit hat zugeschlagen
+  ACCESS_DENIED           // 403 von canAccess* (versuchter IDOR)
+  SSRF_BLOCKED            // ssrfGuard hat geblockte Adresse abgefangen
+  PASSWORD_RESET_REQUEST  // Reset-Mail angefordert
+  PASSWORD_RESET_CONFIRM  // Reset abgeschlossen
+  LOGOUT                  // expliziter Logout
+  TOKEN_REJECTED          // ungültiger / abgelaufener / manipulierter JWT
+  PERMISSION_CHANGED      // Admin hat Rolle/Permission geändert
+  SUSPICIOUS              // generischer Catch-All
+}
+
+enum SecuritySeverity {
+  INFO      // Login-Success, Logout
+  LOW       // Einzelner failed Login, einzelner 403
+  MEDIUM    // Rate-Limit-Hit, mehrere 403er
+  HIGH      // SSRF-Block, JWT-Manipulation
+  CRITICAL  // Threshold überschritten (>10 failed login/h, >5 403/min)
+}
+
+model SecurityEvent {
+  id          Int                @id @default(autoincrement())
+  type        SecurityEventType
+  severity    SecuritySeverity
+  message     String             @db.Text
+  ipAddress   String?
+  userId      Int?               // Mitarbeiter (falls eingeloggt)
+  customerId  Int?               // Portal-Kunde (falls eingeloggt)
+  userEmail   String?            // beste Schätzung – auch bei nicht eingeloggt
+  endpoint    String?            // betroffener Endpoint
+  details     Json?              // strukturierte Zusatzinfo
+  alerted     Boolean            @default(false)  // schon per Email versendet?
+  alertedAt   DateTime?
+
+  createdAt   DateTime           @default(now())
+
+  @@index([type, createdAt])
+  @@index([severity, createdAt])
+  @@index([ipAddress, createdAt])
+  @@index([alerted, severity])
+}