GH GambleHub

Audit Trail: əməliyyatların izlənməsi

1) Audit trail nədir və niyə lazımdır

Audit trail - sistem və məlumat əməliyyatları haqqında sübut edilə bilən hadisələr zənciridir: kim, nə, nə, nə vaxt və hansı üsulla, hansı nəticə ilə və hansı sorğu/biletlə.

Məqsədlər:
  • Tənzimləyicilər və auditorlar üçün sübut (evidence).
  • Araşdırmalar və cavab (hadisələrin taymline, root cause).
  • Siyasətçilərin icrasının təsdiqlənməsi (SoD, Retence, Silinmə/Anonimləşdirmə).
  • Üçüncü tərəflərə və subprosessorlara nəzarət.

2) əhatə dairəsi (minimum dəsti)

Kimlik və Access (IAM/IGA): giriş/giriş, rolların verilməsi/geri çağırılması, imtiyazların artması, JIT Access.
Verilənlər və gizlilik: PI sahələrinin oxunması/dəyişdirilməsi, boşaldılması, maskalanması, silinməsi/TTL, Legal Hold.
Maliyyə/əməliyyatlar: yaradılması/yeniləmə/ləğv, limitlər, reversallar, antifrod hərəkətləri.
infrastruktur/bulud: konfiqurasiya dəyişikliklər, sirləri, açarları, KMS/HSM əməliyyatları.
SDLC/DevSecOps: montajlar, deploy, geytalar uyğunluq, kitabxanaların çəkilməsi (SCA), gizli tarama.
Əməliyyat/ITSM: insidentlər, dəyişikliklər, buraxılışlar, eskalasiyalar, DR/BCP testləri.
Webhook/3rd-party: giriş/çıxış zəngləri, imza, validasiya nəticələri.

3) Hadisə modeli (kanonik format)

Tövsiyə JSON (strukturlaşdırılmış/OTel uyğun): 
json
{
"ts": "2025-11-01T11:23:45.678Z",
"env": "prod",
"tenant": "eu-1",
"system": "iam",
"domain": "access",
"actor": {"type":"user","id":"u_123","source":"sso","ip":"0.0.0.0"},
"subject": {"type":"role","id":"finance_approver"},
"action": "grant",
"reason": "ITSM-12345",
"result": "success",
"severity": "info",
"labels": {"jurisdiction":"EEA","pii":"no","sod_check":"passed"},
"trace": {"request_id":"r_abc","trace_id":"t_456","span_id":"s_789"},
"integrity": {"batch":"b_20251101_11","merkle_leaf":"..."}
}

Məcburi sahələr: 'ts, actor, action, subject, result'.
Tövsiyə olunur: 'reason (bilet/sifariş), trace_id/request_id, tenant, jurisdiction'.

4) Keyfiyyət və semantika prinsipləri

Ciddi strukturlu: yalnız JSON/OTel; vahid sahə lüğəti və hərəkət kodları.
Vaxt sinxronizasiyası: NTP/PTP, saxlamaq 'ts' və 'received _ at'.
Korrelyasiya: 'trace _ id '/' request _ id'.
Qeydlərin idempotentliyi: determinant batch açarları, dubl qorunması.
Aktorların normallaşdırılması: autentifikasiya mənbəyi olan şəxs/xidmət/bot/satıcı.

5) Audit trail arxitekturası

1. Producers: proqramlar, platformalar, buludlar, hosting agentləri.
2. Kollektorlar/şin: etibarlı çatdırılma (TLS/mTLS, retray, back-pressure, dedup).
3. Zənginləşdirmə/normallaşdırma: vahid sxemlər, rolların/yurisdiksiyaların mappinqi.

4. Saxlama:
  • İsti (axtarış/analitik) - 30-90 gün.
  • Soyuq (obyekt/arxiv) - normalardan asılı olaraq 1-7 il.
  • WORM/Object Lock - sübut dəyişməzlik.
  • 5. Bütövlük: batch imzası, hash zəncirləri, gündəlik ankerinq (merkli kökləri).
  • 6. Giriş: RBAC/ABAC, case-based access (yalnız case daxilində giriş).
  • 7. Analitika/Alertlər: SIEM/SOAR, korrelyasiya, davranış qaydaları.
  • 8. Hadisələr kataloqu: sxemlərin versiyası, hərəkətlər kataloqu, CI-də sxemlərin testləri.

6) Dəyişməzlik və hüquqi əhəmiyyət

WORM/Object Lock: Gecikmə müddəti üçün silinməsini/yenidən yazılmasını qadağan edir.
Kriptoqrafik fiksasiya: batch SHA-256, merkli ağacları, xarici ankerinq (cədvəl üzrə).
Chain of Custody: log giriş log (kim və nə vaxt oxudu/ixrac etdi), hesabatlarda hash qəbzləri.
Müntəzəm yoxlama: bütövlüyü yoxlamaq vəzifələri; rasinxronizasiya zamanı alert.

7) Gizlilik və minimallaşdırma

PI-ni minimuma endirin: hash/tokenləri qeyd edin, sahələri maskalayın (email/phone/IP).
Məzmun əvəzinə kontekst: tam payload deyil, «əməliyyat faktı» qeyd.
Yurisdiksiya və sərhədlər: ölkə üzrə saxlama (data residency), transsərhəd ötürmə üçün qeydlər.
DSAR və depersonalization: sürətli axtarış üçün etiketlər, kamuflyaj ilə ixrac.

8) Access Management (kim audit trail görür)

RBAC/ABAC: analitik minimum görür; ixrac yalnız ərizə/case.
Case-based access: araşdırma/audit → jurnallaşdırma ilə müvəqqəti giriş.
Segregation of Duties: Sistem administratorlarına öz izlərini düzəltməyi qadağan edir.
Aylıq sertifikatlaşdırma: oxu/ixrac hüquqlarının yenidən sertifikatlaşdırılması.

9) Retence, Legal Hold və aradan qaldırılması

Saxlama qrafikləri: domenlərə və normalara görə (məsələn, giriş - 1 il, maliyyə əməliyyatları - 5-7 il).
Legal Hold: Müvafiq hadisələrin dərhal dondurulması, TTL üzərində üstünlük.
Silmə təsdiqi: silinmiş partiyaların hash hesabatı ilə hesabat.
3rd-party üçün keçici retensiya: saxlama/giriş/silmə üçün müqavilə SLA.

10) Daşbordlar və hesabatlar

Coverage: hansı sistemlər/yurisdiksiyalar əhatə olunur; boşluqlar.
Integrity/WORM: ankerinq və bütövlük yoxlamaları statusu.
Access to Audit Trail: kim baxır/nə ixrac; anomaliyalar.
Change & Admin Activity: həssas hərəkətlər (imtiyazlar, açarlar, sirlər).
Privacy Lens: PI, DSAR/silmə, Legal Hold üzərində hadisələr.
Compliance View: auditlərə/sorğulara «düymə ilə» hazırlıq.

11) Metrika və SLO

Ingestion Lag p95 ≤ 60 san.
Drop Rate = 0 (alert> 0. 001%).
Schema Compliance ≥ 99. 5%.
Integrity Pass = 100% yoxlama.
Coverage Critical Systems ≥ 98%.
Access Review SLA: 100% aylıq hüquqların sertifikatlaşdırılması.
PII Leak Rate: 0 audit trail kritik.

12) SOP (standart prosedurlar)

SOP-1: Mənbə bağlantısı

1. Mənbə və kritikliyin qeydiyyatı → 2) sxem seçimi/OTel → 3) TLS/mTLS, açarlar → 4) dry-run (sxemlərin/maskaların validasiyası) → 5) buraxılış prod → 6) kataloqlara və dashbordlara daxil edilməsi.

SOP-2: Tənzimləyici sorğuya cavab/audit

Case açın → obyektlər/dövr üzrə hadisələri süzün → hash qəbzi ilə ixrac → legal review → rəsmi kanal vasitəsilə göndərilməsi → WORM arxivləşdirilməsi.

SOP-3: Hadisə (DFIR)

Freeze (Legal Hold) → time line trace_id → artefaktları çıxarın (əsas hərəkətlər) → sübut hesabatı → CAPA və deteksiya yenilənməsi.

SOP-4: TTL ilə silinir

Aradan qaldırılması üçün hazır batches müəyyən → yoxlamaq qeyri-qanuni Hold → silmək → hash hesabat ilə silinməsi hesabat yaratmaq.

13) Qaydalar/sorğular nümunələri

Prioritetlərin kritik eskalasiyasının axtarışı (SQL-psevdo)

sql
SELECT ts, actor.id, subject.id
FROM audit_events
WHERE domain='access' AND action='grant'
AND subject.id IN ('admin','db_root','kms_manager')
AND reason NOT LIKE 'ITSM-%'
AND ts BETWEEN @from AND @to;

SoD qaydası (psevdo-Rego)

rego deny_if_sod_conflict {
input.domain == "access"
input.action == "grant"
input.subject.id == "payment_approver"
has_role(input.actor.id, "payment_creator")
}

DSAR əməliyyatlarında filtr (JSONPath)


$.events[?(@.domain=='privacy' && @.action in ['dsar_open','dsar_close','delete'])]

14) Standartlara Mappinq

GDPR (Art. 5, 30, 32, 33, 34): minimallaşdırma, fəaliyyət hesabları, emal təhlükəsizliyi, hadisə bildirişləri; DSAR/silmə/Legal Hold.
ISO/IEC 27001/27701: A.12/A. 18 - jurnallaşdırma, sübutların idarə edilməsi, məxfilik.
SOC 2 (CC6/CC7/CC8): giriş nəzarəti, monitorinq, hadisə emalı, giriş bütövlüyü.
PCI DSS (10. x): kart və sistemlər üzərində hərəkətlərin izlənilebilirliyi, gündəlik baxış, jurnalların bütövlüyü.

15) Digər funksiyalarla inteqrasiya

Compliance-as-Code/CCM: siyasətlərin testləri yerinə yetirilir və protokollaşdırılır; alertlər - sapmalar üçün.
RBA (risk-audit): audit trail məlumatları üzrə nümunələr və islahatlar.
Vendor Risk: müqavilələrdə audit və ixrac hüquqları; podratçılarda güzgü retensiyası.
Policy Lifecycle: tələblərin dəyişdirilməsi → yeni qaydalar və sxemlərin sahələrinin avtomatik generasiyası.

16) Antipattern

«Pulsuz mətn» heç bir sxem və semantika.
Hadisəni biletlə/əsasla əlaqələndirə bilməmək (reason).
«Hər kəs üçün» case və oxu log olmadan giriş.
WORM/imza olmaması - sübutların mübahisəsi.
Vaxt zonaları və rassinxron qarışdırılması 'ts '/' received _ at'.
Hash/maskalar əvəzinə «tam» PI/sirləri qeyd edin.

17) Yetkinlik modeli (M0-M4)

M0 Əl: dağınıq log, natamam əhatə, heç bir retensiya.
M1 Mərkəzləşdirilmiş yığım: əsas axtarış, vahid format qismən.
M2 Managed: Hadisələr kataloqu, kod kimi sxemlər, Retence/Legal Hold, RBAC.
M3 Assured: WORM+анкеринг, case-based access, KPI/SLO, auto-evidence.
M4 Continuous Assurance: keçid izi (trace), proqnoz detektsiyaları, «düymə ilə audit-ready».

18) Əlaqəli məqalələr wiki

Jurnal və protokolların aparılması

Davamlı uyğunluq monitorinqi (CCM)

KPI və komplayens metrikası

Legal Hold və məlumatların dondurulması

Siyasət və prosedurların həyat dövrü

Komplayens həllərinin kommunikasiyası

Uyğunluq siyasətində dəyişikliklərin idarə edilməsi

Due Diligence və autsorsing riskləri

Yekun

Güclü audit trail - struktur, dəyişməz və kontekstli hadisələrdir. Belə bir sistem araşdırmaları sürətləndirir, yoxlamaları proqnozlaşdırıla bilən edir və uyğunluğu təkrar edilə bilən, ölçülə bilən bir prosesə çevirir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.