GH GambleHub

أدوات مراجعة الحسابات وقطع الأشجار

1) لماذا تحتاجه

الأهداف:
  • إمكانية تتبع الإجراءات (من/ماذا/متى/أين/لماذا).
  • التحقيقات السريعة في الحوادث والطب الشرعي.
  • الامتثال التنظيمي والعملاء.
  • إدارة المخاطر والحد من حوادث النقل العابر للحدود.
  • دعم نماذج المخاطر ومكافحة الغش والامتثال (KYC/AML/RTBF/Legal Hold).
المبادئ الرئيسية:
  • اكتمال تغطية المصدر.
  • سجل الثبات والنزاهة.
  • مخططات الأحداث الموحدة.
  • توافر البحث والارتباط.
  • تقليل البيانات الشخصية والتحكم في الخصوصية.

2) المناظر الطبيعية للأجهزة

2. 1 إدارة السجل والفهرسة

Сбор/агенты: Fluent Bit/Fluentd، Vector، Logstash، Filebeat/Winlogbeat، OpenTelemetry Collector.
التخزين والبحث: Elasticsearch/OpenSearch و Loki و ClickHouse و Splunk و Datadog Logs.
البث/الإطارات: Kafka/Redpanda و NATS و Pulsar - للتخزين المؤقت والمروحة.
التحليل والتطبيع: Grok/regex، معالجات OTel، خطوط أنابيب Logstash.

2. 2 SIEM/Detect & Response

SIEM: Splunk Enterprise Security و Microsoft Sentinel و Elastic Security و QRadar.
UEBA/التحليل السلوكي: وحدات مضمنة في SIEM، كاشفات ML.
SOAR/التنسيق: Cortex/XSOAR، Tines، Shuffle - أتمتة كتاب اللعب.

2. المراجعة 3 للحسابات وعدم قابليتها للتغيير

Аудит подсистем: Linux auditd/ausearch، Windows Event Logs، DB- аудит (pgAudit، تدقيق MySQL)، Kubernetes Audit Logs، CloudTrail/CloudWatch/Azure mate menting/Azure menture ment/ge/Gcome/Gcore/ge/Gcore/gue/Gcome.
التخزين الثابت: دلاء WORM (Object Lock)، S3 Glacier Vault Lock، مجلدات الكتابة مرة واحدة، تسجيل الدخول باستخدام توقيع التشفير/سلسلة التجزئة.
TSA/timestamps: ربط NTP/PTP، تثبيت دوري للتجزئة في وقت خارجي موثوق به.

2. 4 إمكانية الرصد والآثار

المقاييس/المسارات: Prometheus + Tempo/Jaeger/OTel، ارتباط جذوع الأشجار ↔ آثار بواسطة trace_id/span_id.
لوحات القيادة والتنبيهات: Grafana/Kibana/Datadog.

3) مصادر الحدث (نطاق التغطية)

البنية التحتية: نظام التشغيل (syslog، auditd)، الحاويات (Docker)، التنسيق (Kubernetes Events + Audit)، أجهزة الشبكة، WAF/CDN، VPN، IAM.
التطبيقات وواجهات برمجة التطبيقات: بوابة واجهة برمجة التطبيقات، وهريس الخدمة، وخوادم الويب، والنواحي الخلفية، وقوائم الانتظار، والجداول، وخطابات الويب.
DB والخزائن: الاستفسارات، DDL/DML، الوصول إلى الأسرار/المفاتيح، الوصول إلى تخزين الأشياء.
عمليات دمج الدفع: PSP/الاستحواذ، أحداث استرداد التكاليف، 3DS.
العمليات والعمليات: وحدة التحكم/مدخلات CI/CD، لوحات إدارية، تكوين/ميزة تغييرات العلم، الإصدارات.
الأمن: IDS/IPS، EDR/AV، ماسحات الضعف، DLP.
أحداث المستخدم: المصادقة، محاولات تسجيل الدخول، تغيير حالة KYC، الودائع/المخرجات، الرهانات/الألعاب (مع إخفاء الهوية إذا لزم الأمر).

4) مخططات ومعايير البيانات

نموذج الحدث الموحد: "timestamp"، "event. '،' حدث. '،' مستخدم. '،' الموضوع. المصدر. ip '،' http. request_id'، 'تتبع. '،' الخدمة. الاسم "،" البيئة "،" الشدة "،" النتيجة "،" التسميات ".
Стандарты схем: ECS (Elastic Common Schema), OCSF (Open Cybersecurity Schema Framework), OpenTelemetry Logs.
مفاتيح الارتباط: 'trace _ id', 'session _ id', 'request _ id', 'device _ id', 'k8s. pod_uid'.
الجودة: الحقول المطلوبة، والتحقق، والتفريغ، وأخذ العينات للمصادر «الصاخبة».

5) المرجع المعماري

1. جمع العقد/الوكلاء →

2. ) ب (التجهيز المسبق) التحليل، إصدار دليل الأداء الموحد، التطبيع (→

3. صور (كافكا) مع تقشير ≥ 3-7 أيام →

4. شوك الخيط:
  • التخزين عبر الإنترنت (البحث/الارتباط، التخزين الساخن 7-30 يومًا).
  • أرشيف ثابت (WORM/Glacier 1-7 سنوات للتدقيق).
  • SIEM (الكشف والحوادث).
  • 5. لوحات المعلومات/البحث (العمليات، الأمن، الامتثال).
  • 6. SOAR لأتمتة التفاعل.
طبقات التخزين:
  • Hot: SSD/الفهرسة، البحث السريع (الاستجابة السريعة).
  • دافئ: ضغط/وصول أقل تواترا.
  • Cold/Archive (WORM): تخزين رخيص طويل الأجل، لكن لا يمكن تغييره.

6) الثبات والنزاهة والثقة

WORM/lock object - block delement and modification to the time of the policy.
توقيع التشفير وسلسلة التجزئة: بدفعات/قطع من جذوع الأشجار.
إرساء التجزئة: النشر الدوري للتجزئة في سجل خارجي أو وقت موثوق به.
التزامن الزمني: برمجيات التحكم الوطنية/شبكات التحكم المسبقة، رصد الانحراف ؛ تسجيل 'الساعة. المصدر ".
التحكم في التغيير: التحكم الرباعي/المزدوج في سياسات الاحتفاظ/الاحتفاظ القانوني.

7) الخصوصية والامتثال

تقليل PII: تخزين الحقول اللازمة فقط، والتحرير/القناع في الابتلاع.
التسمية المستعارة: "مستخدم. pseudo_id'، تخزين الخرائط منفصل ومحدود.
GDPR/DSAR/RTBF: تصنيف المصدر، الحذف/الاختباء المنطقي المُدار في النسخ المتماثلة، الاستثناءات لمهام الاحتفاظ القانونية.
الحجز القانوني: بطاقات «التجميد»، وتعليق الحذف في المحفوظات ؛ journal of activities around Hold.
رسم الخرائط القياسية: ISO 27001 A.8/12/15، SOC 2 CC7، PCI DSS Req. 10، تنظيم السوق المحلية.

8) العمليات والعمليات

8. 1 كتب اللعب/كتب التشغيل

فقدان المصدر: كيفية تحديد (دقات القلب)، وكيفية الاستعادة (إعادة التشغيل من الحافلة)، وكيفية تعويض الفجوات.
تأخيرات متزايدة: فحص قائمة الانتظار، الشحن، الفهارس، الضغط الخلفي.
التحقيق في الحدث X: KQL/ES-query complate + link to the track context.
عقد قانوني: من يضع، كيف يطلق النار، كيف يوثق.

8. 2 RACI (باختصار)

R (مسؤول): فريق مراقبة للجمع/التسليم ؛ SecOps لقواعد الكشف.
ألف (خاضع للمساءلة): رئيسة العمليات المعنية بالسياسات والميزانية.
جيم (استشاري): مكتب الشؤون السياسية/الشؤون القانونية للخصوصية ؛ الهندسة المعمارية للدوائر.
1 (على علم): الدعم/إدارة المنتجات/المخاطر.

9) مقاييس الجودة (SLO/KPI)

التغطية: النسبة المئوية للمصادر الحرجة متصلة (الهدف ≥ 99 في المائة).
تأخر الابتلاع: تأخير التسليم p95 (أقل من 30 ثانية).
نجاح الفهرسة: نسبة الأحداث بدون أخطاء في التحليل (> 99. 9%).
وقت البحث: p95 <2 ثانية لطلبات النافذة النموذجية 24 ساعة.
معدل الانخفاض: فقدان الأحداث <0. 01%.
إخلاص التنبيه: الدقة/الاستدعاء بالقواعد، حصة الإيجابيات الخاطئة.
التكلفة لكل جيجابايت: تكلفة التخزين/المؤشر لكل فترة.

10) سياسات الاحتفاظ (مثال)

الفئةحاردافئأرشيف (WORM)المجموع
أفرقة إدارة مراجعة الحسابات14 (د)90 (د)5 سنوات5 سنوات
أحداث الدفع7 (د)60 (د)7 سنوات7 سنوات
هؤلاء. سجلات التطبيقات3 (د)30 (د)سنة 1سنة 1
الأمن (IDS/EDR)14 (د)90 (د)2 سنوات2 سنوات

يتم تحديد السياسات من خلال اللوائح القانونية/DPO واللوائح المحلية.

11) الكشف والتنبيهات (الهيكل العظمي)

القواعد (قواعد الرمز):
  • توثيق مشبوه (حركة مستحيلة، اختصاصات، أخطاء متكررة).
  • تصعيد الامتيازات/الأدوار.
  • التكوين/التغييرات السرية خارج جدول الإصدار.
  • أنماط المعاملات غير العادية (إشارات مكافحة الغش).
  • تحميل البيانات الجماعية (محفزات DLP).
  • تحمل الصدع: 5xx squall، تدهور الكمون، إعادة تشغيل جراب متعدد.
السياقات:
  • التخصيب مع سمعة جغرافية/IP، والربط بالإصدارات/أعلام الميزات، والربط بالمسارات.

12) أمان الوصول إلى السجل

RBAC وفصل الواجبات: أدوار منفصلة للقراء/المحللين/المسؤولين.
الوصول في الوقت المناسب: رموز مؤقتة، تدقيق جميع قراءات المؤشرات «الحساسة».
التشفير: أثناء العبور (TLS)، في الاستراحة (KMS/CMK)، عزل رئيسي.
الأسرار والمفاتيح: التناوب، والحد من تصدير الأحداث مع PII.

13) خارطة طريق التنفيذ

أفضل لاعب (4-6 أسابيع):

1. دليل المصدر + مخطط الحد الأدنى (ECS/OCSF).

2. عامل على العقد + جامع OTEL ؛ التحليل المركزي.

3. التخزين الساخن (OpenSearch/Elasticsearch/Loki) + لوحات القيادة.

4. التنبيهات الأساسية (التوثيق، 5xx، تغييرات التهيئة).

5. Archive in Object Storage with a lock object (WORM).

المرحلة 2:
  • كافكا كإطار، إعادة، إعادة طابور.
  • SIEM + قواعد الارتباط الأولى، كتب اللعب SOAR.
  • توقيع التشفير على دفعات، تثبيت التجزئة.
  • سياسات الحيازة القانونية، وإجراءات DSAR/RTBF.
المرحلة 3:
  • كشف UEBA/ML.
  • كتالوج البيانات، النسب.
  • تحسين التكلفة: أخذ عينات من جذوع الأشجار «الصاخبة»، والترتيب.

14) الأخطاء المتكررة وكيفية تجنبها

ضجيج السجل بدون مخطط: → إدخال الحقول الإلزامية وأخذ العينات.
لا توجد آثار: → لتنفيذ trace_id في الخدمات الأساسية والوكلاء.
«كتلة» واحدة من الجذوع: → مقسمة إلى مجالات ومستويات حرجية.
غير قابل للتغيير: → لتمكين WORM/Object Lock والتوقيع.
الأسرار في السجلات: مرشحات/محررات →، ماسحات رمزية، مراجعات.

15) قائمة التحقق من الإطلاق

  • سجل مصدر الأولوية الحرجة.
  • المخطط الموحد والمصدقين (CI للمحللين).
  • استراتيجية الوكيل (daemonset in k8s، Beats/OTel).
  • الجبيرة والاحتفاظ.
  • ساخن/بارد/أرشيف + WORM
  • RBAC، التشفير، سجل الوصول.
  • التنبيهات الأساسية وكتب اللعب SOAR.
  • لوحات معلومات العمليات/Sec/الامتثال.
  • DSAR/RTBF/Legal Hold policies.
  • ميزانية التخزين KPI/SLO +.

16) أمثلة على الأحداث (مبسطة)

json
{
"timestamp": "2025-10-31T19:20:11.432Z",
"event": {"category":"authentication","action":"login","outcome":"failure"},
"user": {"id":"u_12345","pseudo_id":"p_abcd"},
"source": {"ip":"203.0.113.42"},
"http": {"request_id":"req-7f91"},
"trace": {"id":"2fe1…"},
"service": {"name":"auth-api","environment":"prod"},
"labels": {"geo":"EE","risk_score":72},
"severity":"warning"
}

17) مسرد (موجز)

مسار التدقيق - سلسلة من السجلات غير القابلة للتغيير التي تسجل إجراءات الموضوع.
WORM - وضع تخزين الكتابة مرة واحدة والقراءة.
SOAR - أتمتة الاستجابة للحوادث بواسطة كتب اللعب.
UEBA - تحليل سلوك المستخدم والكيانات.
OCSF/ECS/OTel - معايير لمخططات السجل والقياس عن بعد.

18) خلاصة القول

نظام التدقيق والتسجيل ليس «كومة سجلات»، ولكنه برنامج مُدار مع مخطط بيانات واضح، وأرشيف غير قابل للتغيير، وكتب لعب الارتباط والتفاعل. يؤدي الامتثال للمبادئ الواردة في هذه المادة إلى زيادة إمكانية الملاحظة وتسريع التحقيقات وإغلاق المتطلبات الرئيسية للعمليات والامتثال.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.