GH GambleHub

قطع الأشجار وقطع الأشجار

1) لماذا نحتاج إلى جذوع الأشجار والبروتوكولات

السجلات هي «الصندوق الأسود» للمنظمة: فهي توفر أدلة لعمليات التدقيق والتحقيق، وتقلل من المخاطر التشغيلية والتنظيمية، وتسمح لك باستعادة مسار الأحداث وتأكيد تنفيذ السياسات (الوصول والاحتفاظ والتشفير و KYC/AML و PCI، إلخ).

الأهداف:
  • إجراءات التعقب (من/ماذا/متى/أين/لماذا/ماذا).
  • الكشف عن الحوادث واحتواؤها (ضوابط التحري والوقاية).
  • قاعدة الأدلة للمنظمين/مراجعي الحسابات (عدم قابلية التغيير).
  • تحليلات الأداء والامتثال الخاصة بجيش تحرير السودان/فندق SLO.

2) تصنيف جذوع الأشجار (الحد الأدنى للتغطية)

الوصول والهويات (IAM/IGA): المصادقة، انعكاس الدور، SoD، JIT Accesses.
البنية التحتية/السحابة/IaC: مكالمات واجهة برمجة التطبيقات، انحراف التكوين، أحداث KMS/HSM.

التطبيقات/الأعمال - المعاملات، PI/Financials، دورة حياة الاستعلام (DSAR)

الأمن: IDS/IPS، EDR، DLP/EDRM، WAF، نقاط الضعف/البقع، مكافحة الفيروسات.
الشبكة: جدار الحماية، VPN/Zero Trust، الوكيل، DNS.
CI/CD/DevSecOps: builds، depla، SAST/DAST/SCA، مسح سري.
البيانات/التحليلات: النسب، الوصول إلى واجهة المتجر، الإخفاء/إخفاء الهوية.
العمليات: ITSM/التذاكر، الحوادث، إدارة التغيير، اختبارات DR/BCP.
Vendors/3rd-party: خطوط شبكية، اتحاد SSO، أحداث جيش تحرير السودان.

3) المتطلبات التنظيمية (مبادئ توجيهية)

GDPR/ISO 27701: تقليل/إخفاء PI، الاحتفاظ في الموعد المحدد، عقد قانوني، تتبع DSAR.
SOC 2/ISO 27001: مسارات مراجعة الحسابات، ومراقبة الدخول إلى السجل، وأدلة تنفيذ الرقابة.
PCI DSS: تسجيل الوصول إلى بيانات الوسائط/البطاقات، نزاهة التسجيل، المراجعة اليومية.
AML/KYC: إمكانية تتبع الفحوصات، وفحص العقوبات/PEP، وبروتوكولات STR/SAR.

4) الهيكل المرجعي لقطع الأشجار

1. المنتجون: تطبيقات، سحابة، شبكة، وكلاء مضيفون.
2. حافلات/جامعات: الضغط الخلفي، إعادة المحاولة، TLS mTLS، التفريغ.
3. التطبيع: شكل واحد (JSON/OTel)، التخصيب (مستأجر، مستخدم، جو، شدة).

4. الأقبية:
  • ساخن (بحث/SIEM): 7-30 يومًا، الوصول السريع.
  • بارد (كائن): أشهر/سنوات، تخزين رخيص.
  • دليل الأرشيف (WORM/Object Lock): غير قابل للتغيير، إيصالات التجزئة.
  • 5. النزاهة والتوقيع: سلاسل التجزئة/شجرة ميركلي/الطوابع الزمنية.
  • 6. الوصول والأمن: RBAC/ABAC، التجزئة حسب الولاية القضائية، الوصول على أساس القضايا.
  • 7. التحليلات والتنبيهات: SIEM/SOAR، معرف الارتباط، كتب اللعب.
  • 8. الكتالوجات والمخططات: سجل نوع الحدث، الإصدار، اختبارات المخطط.

5) السياسات كرمز (أمثلة YAML)

الاحتفاظ والتعليق القانوني

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

النزاهة والتوقيع

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) متطلبات جودة السجل

الهيكلة: JSON/OTel فقط، لا يوجد نص خام.
التزامن الزمني: NTP/PTP، التحكم في الانحراف ؛ "timestamp"، "received _ at' entry.
معرفات الارتباط: 'trace _ id'، 'span _ id'، 'request _ id'، 'user _ id' (الاسم المستعار).
دلالات الميدان: قاموس البيانات وعقد مخطط الاختبار.
التوطين/اللغة: ميادين - مفاتيح باللغة الانكليزية، قيم - موحدة (enum).
سياسة الحجم والإسقاط: حظر الهبوط غير المنضبط ؛ قوائم الانتظار/الحصص/أخذ عينات المخاطر.
البيانات الحساسة: إخفاء/ترميز ؛ حظر الاحتفاظ بالأسرار/البطاقات بالكامل.

7) الخصوصية والتقليل

نظافة PII: سجلات التجزئة/الرموز بدلاً من القيم ؛ قناع صارم للبريد الإلكتروني/الهاتف/IP.
السياق: لا تدفع بالبيانات الشخصية بدون سبب.
الولايات القضائية: التخزين والدخول حسب البلد (إقامة البيانات)، إمكانية تتبع النسخ.
DSAR: بطاقات البحث والتصدير حسب الحالة ؛ القدرة على طباعة التقارير مع نزع الشخصية.

8) الثبات والأدلة

WORM/Object Lock - منع الحذف/الكتابة الفوقية في هذه الفترة.
توقيع التشفير: توقيع دفعات ؛ ميركلي جذوره مع الترسيخ اليومي.
سلسلة الاحتجاز: سجل الوصول، إيصالات التجزئة، الحصص في التقارير.
التحقق: التحقق الدوري من السلامة والإنذارات غير المتزامنة.

9) Log access control

RBAC/ABAC: اقرأ/ابحث فقط الأدوار مقابل التصدير/المشاركة.
الوصول على أساس الحالة: الوصول إلى السجلات الحساسة - فقط كجزء من تحقيق/تذكرة.
الأسرار/المفاتيح: KMS/HSM ؛ الدوران، انقسام المعرفة، التحكم المزدوج.
تدقيق الوصول: مجلة منفصلة «تقرأ أي السجلات» + تنبيهات إلى الحالات الشاذة.

10) المقاييس وقطع الأشجار SLO

تأخر الابتلاع: 95 في المائة من تأخير الاستقبال (الهدف ≤ 60 ثانية).
معدل الانخفاض: النسبة المئوية للأحداث المفقودة (الهدف 0 ؛ تنبيه> 0. 001%).
الامتثال للمخطط: النسبة المئوية للأحداث المصادق عليها بواسطة المخطط (≥ 99. 5%).
التغطية: النسبة المئوية للنظم الخاضعة لقطع الأشجار المركزي (≥ 98 في المائة بالغة الأهمية).
تذكرة النزاهة: فحوصات سلسلة التجزئة الناجحة (100٪).
مراجعة الوصول: المطالبة الشهرية بالحقوق، التأخير - 0.
معدل التسرب PII: المؤشرات العامة «النظيفة» المكتشفة في السجلات (الهدف 0 حرج).

11) لوحات القيادة (المجموعة الدنيا)

الابتلاع والتأخر: الحجم/السرعة، التأخر، الهبوط، الينابيع الساخنة.
النزاهة و WORM: حالة التثبيت، التحقق، قفل الكائن.
الأحداث الأمنية: ارتباطات حرجة، بطاقة MITRE.
الوصول إلى السجلات: من وماذا يقرأ/يصدر ؛ الشذوذ.
عرض الامتثال: الاحتفاظ/وضع الاحتفاظ القانوني، تقارير مراجعة الحسابات، صادرات DSAR.
صحة المخطط: تحليل الأخطاء/إصدارات المخطط، النسبة المئوية للعوامل القديمة.

12) SOP (إجراءات موحدة)

SOP-1: اتصال مصدر السجل

1. تسجيل المصدر والحرجية → 2) اختيار مخطط TLS/mTLS → 3)، الرموز →

2. الجافة في مرحلة الانطلاق (التحقق من صحة المخططات، أقنعة PII) → 5) الوصلة في الإنتاج →

3. إضافة إلى الأدلة/لوحات القياس → 7) التحقق من الاحتفاظ/الدودة.

SOP-2: الاستجابة للحوادث (السجلات كدليل)

اكتشاف → الفرز → نطاق القضية → عقد قانوني →

Hash Capture and Anchoring → Analytics/Timeline → Report and CAPA → Lesson Release.

SOP-3: Reg Request/Audit

1. فتح الحالة والفلاتر عن طريق الطلب ID → 2) التصدير إلى الشكل المطلوب →

2. التحقق القانوني/الامتثال → 4) موجز التجزئة → 5) الإرسال وقطع الأشجار.

SOP-4: مراجعة النفاذ إلى السجل

إصدار شهادات شهرية للمالكين ؛ والهدير الذاتي لحقوق «اليتامى» ؛ تقرير SoD.

13) الأشكال والأمثلة

مثال حدث الوصول (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

قاعدة الكشف (pseudo-Rego)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) الأدوار و RACI

دورالمسؤولية
مالك منصة السجل (أ)الموثوقية والسلامة والاحتفاظ بالميزانيات
هندسة الامتثال (R)السياسات في شكل رمز، مخططات، الاحتفاظ/عقد قانوني
SecOps/DFIR (R)الكشف والتحقيقات وكتب اللعب SOAR
منصة البيانات (R)DWH/الكتالوجات، الصادرات، عروض الأدلة
IAM/IGA (C)التحكم في الوصول، التصديق، SoD
الشؤون القانونية/إدارة شؤون الموظفين (جيم)الخصوصية، منصب ريج، DSAR/Legal Hold
المراجعة الداخلية للحسابات (أولا)التحقق من الإجراءات والتحف

15) إدارة البائعين وسلسلة التوريد

في العقود: الحق في مراجعة السجلات، والأشكال، وتخزين جيش تحرير السودان والوصول إليه، والإدارة الدودية للحيوانات/عدم قابلية التغيير.
المعالجات الفرعية: سجل المصدر والاحتفاظ «من البداية إلى النهاية».
التصدير/الإقلاع: تأكيد تقرير موجز عن التدمير والتجزئة.

16) أنتيباترن

سجلات في «نص حر»، بدون مخططات وترابط.
التخزين بدون WORM وتثبيت التجزئة هو نزاع في التدقيق.
بيانات حساسة في السجلات «كما هي».
لا يوجد تزامن بين الوقت trace_id العادية.
انخفاض الحدث عند ذروة الحمل ؛ عدم وجود ضغط خلفي.
الوصول الشامل إلى جذوع الأشجار دون مراقبة الحالة.
حقوق «أبدية» لقراءة جذوع الأشجار، دون إعادة التصديق.

17) القوائم المرجعية

بدء وظيفة قطع الأشجار

  • تحديد المصدر التصنيف والحرجية.
  • مخططات وسياسات الاحتفاظ/الحجز القانوني المعلن (الرمز).
  • TLS/mTLS، الرموز، وكلاء التحديث التلقائي.
  • تم اختبار أقنعة/رموز PII.
  • تم تمكين WORM/Object Lock والتثبيت.
  • يتم إنشاء لوحات معلومات/تنبيهات/مقاييس.
  • تم تشكيل مراجعة الوصول و SoD.

قبل المراجعة/طلب Reg

  • «حزمة مراجعة الحسابات» التي تم جمعها: المخططات والسياسات وتقارير النزاهة والعينات.
  • يتحقق من سلامة وسجلات الوصول للفترة.
  • تم تأكيد حالات DSAR/Legal Hold.
  • تم إنشاء ملخص تجزئة للتحميلات وتأكيد الإرسال.

18) نموذج النضج (M0-M4)

M0 Manual: جذوع الأشجار المتناثرة، لا توجد مخططات وحفظ.
M1 الجمع المركزي: البحث الأساسي، التصنيف الجزئي.
M2 إدارة: المخططات والسياسات كرمز، لوحات القيادة، الاحتفاظ/WORM.
M3 Integrated: OTel tracking, SOAR, anschoring/merkly, case-based access.
M4 مضمون: «جاهز للتدقيق عن طريق الزر»، والاكتشافات التنبؤية، والتحكم التلقائي في النزاهة والإيصالات ذات الأهمية القانونية.

19) مقالات ويكي ذات الصلة

الرصد المستمر للامتثال

مؤشرات الأداء الرئيسية ومقاييس الامتثال

الحجز القانوني وتجميد البيانات

دورة حياة السياسات والإجراءات

الإبلاغ عن حلول الامتثال

إدارة تغيير سياسة الامتثال

مخاطر الحرص الواجب والاستعانة بمصادر خارجية

المجموع

إن وظيفة قطع الأشجار القوية ليست «مستودعًا للرسائل»، ولكنها نظام مُدار: الأحداث المنظمة، والمخططات والأذونات الصارمة، والثبات والتوقيع، والخصوصية الافتراضية، والتحكم الصارم في الوصول والتكرار في الأدلة. مثل هذا النظام يجعل التحقيقات سريعة، ويمكن التنبؤ بعمليات التدقيق ويمكن التحكم فيها.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.