تتبع نشاط مسار التدقيق
1) ما هو مسار مراجعة الحسابات ولماذا هو مطلوب
مسار مراجعة الحسابات هو سلسلة من الأحداث التي يمكن إثباتها حول العمليات ذات الأنظمة والبيانات: من، وماذا، وأين، ومتى، وكيف فعلت، وما هي النتيجة وعلى أساس الطلب/التذكرة.
الأهداف:- أدلة للمنظمين ومراجعي الحسابات.
- التحقيقات والاستجابة (الجدول الزمني للحوادث، الأسباب الجذرية).
- تأكيد تنفيذ السياسة العامة (الاستبقاء، الحذف/إخفاء الهوية).
- الإشراف على الأطراف الثالثة والمجهزين الفرعيين.
2) النطاق (الحد الأدنى للتسجيل)
الهويات والوصول (IAM/IGA): تسجيل الدخول/تسجيل الدخول، إصدار/إلغاء الأدوار، تصعيد الامتيازات، الوصول إلى JIT.
البيانات والخصوصية: قراءة/تغيير حقول PI والتحميلات والإخفاء والحذف/TTL و Legal Hold.
التمويل/المعاملات: الإنشاء/التحديث/الإلغاء، الحدود، التراجع، إجراءات مكافحة الغش.
البنية التحتية/السحابة: تغييرات التكوين، الأسرار، المفاتيح، عمليات KMS/HSM.
SDLC/DevSecOps: يبني، ينشر، بوابات المباراة، سحب المكتبة (SCA)، مسح سري.
العمليات/ITSM: الحوادث والتغييرات والإطلاقات والتصعيد واختبارات DR/BCP.
Webhooks/3rd-party: المكالمات الواردة/الصادرة، والتوقيع، ونتائج التصديق.
3) نموذج الحدث (الشكل القانوني)
JSON الموصى به (متوافق هيكلي/OTEL):json
{
"ts": "2025-11-01T11:23:45.678Z",
"env": "prod",
"tenant": "eu-1",
"system": "iam",
"domain": "access",
"actor": {"type":"user","id":"u_123","source":"sso","ip":"0.0.0.0"},
"subject": {"type":"role","id":"finance_approver"},
"action": "grant",
"reason": "ITSM-12345",
"result": "success",
"severity": "info",
"labels": {"jurisdiction":"EEA","pii":"no","sod_check":"passed"},
"trace": {"request_id":"r_abc","trace_id":"t_456","span_id":"s_789"},
"integrity": {"batch":"b_20251101_11","merkle_leaf":"..."}
}الحقول المطلوبة هي ts، الفاعل، العمل، الموضوع، النتيجة '.
الموصى به: «السبب (تذكرة/طلب)، trace_id/request_id، المستأجر، الولاية القضائية».
4) مبادئ الجودة والدلالات
منظم بدقة: JSON/OTel فقط ؛ قاموس واحد للحقول وقوانين العمل.
تزامن الوقت: NTP/PTP, store's ts' and 'received _ at'.
الارتباط هو «تتبع - معرف »/« طلب - معرف» للتتبع من طرف إلى طرف.
فراغ السجلات: مفاتيح حتمية للدفعات، الحماية من التكرارات.
تطبيع الممثل: الشخص/الخدمة/الروبوت/البائع مع مصدر المصادقة.
5) بنية تتبع التدقيق
1. المنتجون: التطبيقات والمنصات والغيوم والوكلاء المضيفين.
2. هواة الجمع/الحافلة: التسليم الموثوق (TLS/mTLS، retrai، الضغط الخلفي، التخلص).
3. التخصيب/التطبيع: مخططات موحدة، رسم خرائط الأدوار/الولاية القضائية.
- ساخن (بحث/تحليلات) - 30-90 يومًا.
- بارد (كائن/أرشيف) - 1-7 سنوات، حسب المعايير.
- WORM/Object Lock - ثبات الإثبات.
- 5. النزاهة: توقيع دفعات، سلاسل تجزئة، ترسيخ يومي (جذور ميركلي).
- 6. الوصول: RBAC/ABAC، الوصول على أساس الحالة.
- 7. التحليلات/التنبيهات: SIEM/SOAR، الارتباطات، القواعد السلوكية.
- 8. كتالوج الأحداث: نسخة المخطط، مرجع النشاط، اختبارات المخطط في CI.
6) الثبات والأهمية القانونية
WORM/Object Lock: منع الحذف/إعادة الكتابة طوال مدة المطالبة.
تثبيت التشفير: دفعات SHA-256، أشجار ميركلي، تثبيت خارجي (في الموعد المحدد).
سلسلة الحراسة: سجل الوصول إلى السجل (من، وعند قراءته/تصديره)، إيصالات التجزئة في التقارير.
التحقق المنتظم: مهام السلامة ؛ أثناء عدم التزامن.
7) الخصوصية والتقليل
تقليل PI: سجلات التجزئة/الرموز، حقول الأقنعة (البريد الإلكتروني/الهاتف/IP).
السياق بدلاً من المحتوى: التقاط «التشغيل الفعلي» وليس الحمولة الكاملة.
الولايات القضائية والحدود: التخزين حسب البلد (إقامة البيانات)، وعلامات النقل عبر الحدود.
DSAR ونزع الشخصية: ملصقات للبحث السريع والتصدير مع القناع.
8) مراقبة الوصول (من يرى أثر التدقيق)
RBAC/ABAC: يرى المحلل الحد الأدنى ؛ التصدير حسب الطلب/الحالة فقط.
الوصول على أساس القضايا: التحقيق/مراجعة الحسابات → الوصول المؤقت مع قطع الأشجار.
الفصل بين الواجبات: منع مسؤولي النظام من تحرير آثارهم الخاصة.
الشهادات الشهرية: إعادة التصديق على حقوق القراءة/التصدير.
9) الاستبعاد والعقد القانوني والإزالة
جداول التخزين: حسب المجالات والمعايير (على سبيل المثال، الوصول - السنة 1، المعاملات المالية - 5-7 سنوات).
تعليق قانوني: التجميد الفوري للأحداث ذات الصلة، والأولوية على TTL.
تأكيد الحذف: تقرير مع ملخص تجزئة الدفعات المحذوفة.
الاحتفاظ من طرف إلى طرف للطرف الثالث: التخزين التعاقدي/الدخول/الحذف.
10) لوحات المعلومات والتقارير
التغطية: ما هي النظم/الولايات القضائية المشمولة ؛ المساحات.
النزاهة/WORM - حالة الترسيخ وفحص النزاهة.
الوصول إلى مسار التدقيق: من يراقب/ماذا يصدر ؛ الشذوذ.
التغيير والنشاط الإداري: الإجراءات الحساسة (الامتيازات والمفاتيح والأسرار).
عدسة الخصوصية: الأحداث فوق PI، DSAR/deletions، Legal Hold.
عرض الامتثال: الاستعداد «للزر» لعمليات مراجعة الحسابات/الطلبات.
11) المقاييس و SLO
الابتلاع Lag p95 ≤ 60 ثانية
معدل الانخفاض = 0 (تنبيه> 0. 001%).
امتثال المخطط ≥ 99. 5%.
تذكرة النزاهة = 100٪ من الشيكات.
تغطية الأنظمة الحرجة ≥ 98٪.
استعراض الوصول: تقييم شهري للاستحقاقات بنسبة 100 في المائة.
معدل التسرب PII: 0 حاسم في مسار التدقيق.
12) SOP (إجراءات موحدة)
SOP-1: اتصال المصدر
1. تسجيل المصدر والحرجية → 2) اختيار مخطط/OTEL → 3) TLS/mTLS، المفاتيح → 4) التشغيل الجاف (التحقق من صحة المخططات/الأقنعة) → 5) إطلاقها إلى الإنتاج → 6) إدراجها في الأدلة ولوحات القيادة.
SOP-2: الاستجابة للطلب التنظيمي/التدقيق
فتح القضية → تصفية الأحداث حسب الشيء/الفترة → التصدير مع إيصال التجزئة → المراجعة القانونية → إرسال عبر القناة الرسمية → الأرشيف إلى WORM.
SOP-3: حادثة (DFIR)
Freeze (Legal Hold) → trace_id الجدول الزمني → استخراج القطع الأثرية (الإجراءات الرئيسية) → الإبلاغ مع الأدلة → CAPA وتحديث الاكتشافات.
SOP-4: حذف TTL
تحديد الدفعات الجاهزة للحذف → التحقق من عدم وجود عقد قانوني → حذف → إصدار تقرير حذف مع ملخص التجزئة.
13) أمثلة القاعدة/الاستفسار
البحث عن تصعيد حرج للامتيازات (SQL pseudo)
sql
SELECT ts, actor.id, subject.id
FROM audit_events
WHERE domain='access' AND action='grant'
AND subject.id IN ('admin','db_root','kms_manager')
AND reason NOT LIKE 'ITSM-%'
AND ts BETWEEN @from AND @to;قاعدة SoD (Pseudo-Rego)
rego deny_if_sod_conflict {
input.domain == "access"
input.action == "grant"
input.subject.id == "payment_approver"
has_role(input.actor.id, "payment_creator")
}مرشح على DSAR (JSONPath)
$.events[?(@.domain=='privacy' && @.action in ['dsar_open','dsar_close','delete'])]14) رسم الخرائط إلى النسب (المعايير)
اللائحة العامة لحماية البيانات (المواد 5 و30 و32 و33 و34): التقليل إلى أدنى حد، وحسابات الإجراءات، وأمن المعالجة، والإخطارات بالحوادث ؛ DSAR/حذف/عقد قانوني.
ISO/IEC 27001/27701: A.12/A. 18 - المجلات، إدارة الأدلة، الخصوصية.
المادة 2 من الاتفاقية (CC6/CC7/CC8): مراقبة الدخول، والرصد، ومعالجة الحوادث، وسلامة السجلات.
PCI DSS (10. x): إمكانية تتبع الإجراءات على بيانات ونظم الخرائط، والاستعراض اليومي، وسلامة السجلات.
15) التكامل مع المهام الأخرى
الامتثال كمدونة/اتفاقية الذخائر العنقودية: تجرى اختبارات السياسات وتسجل ؛ تنبيهات - للانحرافات.
المكتب الإقليمي لأفريقيا (مراجعة حسابات المخاطر): عينات ونماذج وفقا لبيانات تتبع مراجعة الحسابات.
مخاطر البائعين: مراجعة الحسابات وحقوق التصدير في العقود ؛ الاحتفاظ بالمرآة مع المقاولين.
دورة حياة السياسة - التغييرات → المتطلبات والتوليد التلقائي للقواعد ومجالات المخططات الجديدة.
16) أنتيباترن
«النص الحر» بدون مخططات ودلالات.
عدم القدرة على ربط الحدث بتذكرة/سبب.
الوصول «للجميع» بدون حالة وقراءة تسجيل الدخول.
عدم وجود WORM/التوقيع - أدلة متنازع عليها.
الخلط بين المناطق الزمنية والخروج من «ts'/» received _ at'.
تسجيل PI/أسرار «كاملة» بدلاً من التجزئة/الأقنعة.
17) نموذج النضج (M0-M4)
M0 الدليل: جذوع الأشجار المتناثرة، التغطية غير الكاملة، عدم الاحتفاظ.
M1 جمع مركزي: بحث أساسي، شكل موحد جزئيا.
إدارة M2: دليل الأحداث، المخططات كرمز، الاحتفاظ/عقد قانوني، RBAC.
M3 مضمون: WORM+анкеринг، الوصول على أساس الحالة، KPI/SLO، الأدلة التلقائية.
ضمان M4 المستمر: تتبع، كشف تنبؤي، «جاهز للتدقيق بالزر».
18) مقالات ويكي ذات الصلة
قطع الأشجار وقطع الأشجار
الرصد المستمر للامتثال
مؤشرات الأداء الرئيسية ومقاييس الامتثال
الحجز القانوني وتجميد البيانات
دورة حياة السياسات والإجراءات
الإبلاغ عن حلول الامتثال
إدارة تغيير سياسة الامتثال
مخاطر الحرص الواجب والاستعانة بمصادر خارجية
النتيجة
ويتمثل المسار القوي لمراجعة الحسابات في أحداث منظمة وغير قابلة للتغيير وسياقية مع إمكانية الوصول الواضح «لكل حالة»، والتعقب من طرف إلى طرف، والاحتفاظ الخاضع للرقابة. يسرع مثل هذا النظام التحقيقات، ويجعل عمليات التفتيش قابلة للتنبؤ بها ويحول الامتثال إلى عملية قابلة للتكرار وقابلة للقياس.