GH GambleHub

Jurnal və protokolların aparılması

1) Niyə jurnallar və protokollar lazımdır

Jurnallar - təşkilatın «qara qutusu»: onlar audit və araşdırmalar üçün sübut (evidence) təmin edir, əməliyyat və tənzimləyici riski azaldır, hadisələrin gedişatını bərpa etməyə və siyasətlərin (access, retance, şifrələmə, KYC/AML, PCI və s.) icrasını təsdiqləməyə imkan verir.

Məqsədlər:
  • Hərəkət izi (kim/nə/nə zaman/harada/niyə/nə).
  • Hadisələrin aşkarlanması və qarşısının alınması (detektiv və profilaktik nəzarət).
  • Tənzimləyicilər/auditorlar üçün sübut bazası (immutability).
  • Performans analitikası və SLA/SLO uyğunluğu.

2) Log taksonomiyası (minimum əhatə)

Access & Identity (IAM/IGA): Autentifikasiya, rolların dəyişdirilməsi, SoD, JIT Access.
Infrastruktur/bulud/IaC: API çağırışları, konfiqurasiya sürüklənməsi, KMS/HSM hadisələri.
Proqramlar/biznes: əməliyyatlar, PI/maliyyə əməliyyatları, sorğuların həyat dövrü (DSAR).
Təhlükəsizlik: IDS/IPS, EDR, DLP/EDRM, WAF, boşluqlar/yamalar, antivirus.
Şəbəkə: firewall, VPN/Zero Trust, proxy, DNS.
CI/CD/DevSecOps: montaj, deploy, SAST/DAST/SCA, gizli scan.
Məlumat/analitika: lineage, vitrinlərə giriş, maskalanma/anonimləşdirmə.
Əməliyyatları: ITSM/biletlər, insidentlər, change-management, DR/BCP testləri.
Satıcılar/3rd-party: vebhuk, SSO federasiyası, SLA hadisələri.

3) Normativ tələblər

GDPR/ISO 27701: PI-nin minimuma endirilməsi/maskalanması, qrafikə uyğun retensiya, Legal Hold, DSAR-track.
SOC 2/ISO 27001: audit-treyler, log giriş nəzarət, nəzarət icra sübut.
PCI DSS: mühit/kart məlumatlarına giriş, jurnalların bütövlüyü, gündəlik baxış.
AML/KYC: yoxlamaların izlənilebilirliyi, sanksiya/RER-skrininq, STR/SAR protokolları.

4) istinad-loging arxitekturası

1. Producers: proqramlar, bulud, şəbəkə, hosting agentləri.
2. Lastik/kollektorlar: back-pressure, retry, TLS mTLS, deduplikasiya ilə qəbul.
3. Normallaşma: vahid format (JSON/OTel), zənginləşdirmə (tenant, user, geo, severity).

4. Anbarlar:
  • İsti (axtarış/SIEM): 7-30 gün, sürətli giriş.
  • Soyuq (obyekt): ay/illər, ucuz saxlama.
  • Arxiv-evidence (WORM/Object Lock): dəyişməzlik, hash qəbzləri.
  • 5. Bütövlük və imza: Hash zəncirləri/Merkli ağacı/vaxt işarələri.
  • 6. Giriş və təhlükəsizlik: RBAC/ABAC, yurisdiksiya seqmentasiyası, case-bazalı giriş.
  • 7. Analitika və alertlər: SIEM/SOAR, correlation ID, playbooks.
  • 8. Kataloqlar və sxemlər: hadisə növlərinin reyestri, versioning, sxem testləri.

5) Kod kimi siyasətlər (YAML nümunələri)

Retence və Legal Hold

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

Bütövlük və imza

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) Jurnalların keyfiyyətinə dair tələblər

Strukturlaşdırma: yalnız JSON/OTel, «xam» mətn olmadan.
Vaxt sinxronizasiyası: NTP/PTP, drift nəzarət; 'timestamp', 'received _ at' yazılır.
Correlation IDs: 'trace _ id', 'span _ id', 'request _ id', 'user _ id' (təxəllüs).
Sahələrin semantikası: lüğət (data dictionary) və testlərlə müqavilə sxemləri.
Lokalizasiya/dil: sahələr - ingilis açarları, mənalar - unifikasiya edilmiş (enum).
Həcmi və drop siyasəti: nəzarətsiz drop qadağan; növbələr/kvotalar/risk sampling.
Həssas məlumatlar: maskalanma/tokenizasiya; tamamilə sirləri/kartları saxlamaq qadağandır.

7) Gizlilik və minimallaşdırma

PII-gigiyena: dəyər əvəzinə hash/tokenlər; e-poçt/telefon/IP üçün sərt maska.
Kontekst: heç bir əsas olmadan şəxsi məlumatlarla payload yazmayın.
Yurisdiksiyalar: ölkə üzrə saxlama və giriş (data residency), nüsxələrin izlənilebilirliyi.
DSAR: axtarış işarələri və case ixrac; depersonalizasiya ilə hesabatların çap imkanı.

8) Dəyişməzlik və sübut (immutability)

WORM/Object Lock: müddət ərzində silinməsini/yenidən yazılmasını qadağan edir.
Kriptovalyutası: batchey imzası; gündəlik ankerinq ilə merkli kökləri.
Saxlama zənciri (chain of custody): giriş jurnalı, heş qəbzləri, hesabatlarda kvitalar.
Doğrulama: Periodik bütövlük yoxlamaları və rasinxronizasiya xəbərdarlığı.

9) Log giriş nəzarət

RBAC/ABAC: rolları «oxu/yalnız axtarış» vs «ixrac/paylaşma».
Case-based access: həssas loglara giriş - yalnız araşdırma/bilet çərçivəsində.
Sirləri/açarları: KMS/HSM; rotasiya, split-knowledge, dual-control.
Giriş auditi: ayrı bir jurnal «kim nə oxudu» + anomaliyada alert.

10) Metrika və SLO Loging

Ingestion Lag: 95-ci alış gecikməsi (hədəf ≤ 60 san).
Drop Rate: itirilmiş hadisələrin payı (hədəf 0; alert> 0. 001%).
Schema Compliance: sxem validasiyasından keçən hadisələrin% -i (≥ 99. 5%).
Coverage: mərkəzləşdirilmiş loging altında sistemlərin% (≥ 98% kritik).
Integrity Pass: Hash zəncirlərinin uğurlu yoxlanılması (100%).
Access Review: aylıq reklam hüquqları, gecikmə - 0.
PII Leak Rate: tapılan «təmiz» PI (0 kritik hədəf).

11) Daşbordlar (minimum dəsti)

Ingestion & Lag: həcm/sürət, lag, drop, «isti» bulaqlar.
Integrity & WORM: ankerinq, yoxlama, Object Lock statusu.
Security Events: Kritik korrelyasiya, MITRE kartı.
Access to Logs: kim və nə oxumaq/ixrac; anomaliyalar.
Compliance View: Retence/Legal Hold statusları, audit hesabatları, DSAR ixracatı.
Schema Health: sxemlərin parsinq/versiyası səhvləri, köhnəlmiş agentlərin payı.

12) SOP (standart prosedurlar)

SOP-1: Log mənbəyinə qoşulma

1. Mənbə və kritikliyin qeydiyyatı → 2) sxem seçimi/OTel → 3) TLS/mTLS, tokenlər →

2. Steycinqdə dry-run (sxemlərin validasiyası, PII maskaları) → 5) Prod-a qoşulma →

3. kataloq/dashboard əlavə → 7) Retance/WORM yoxlama.

SOP-2: Hadisəyə cavab (evidence kimi jurnallar)

Detect → Triage → Qeydlərin toplanması (case-scope) → Dondurma (Legal Hold) →

Hash fiksasiya və ankerinq → Analitika/time line → Hesabat və CAPA → Dərslərin buraxılışı.

SOP-3: Req-sorğu/audit

1. Sorğunun ID-si ilə case və filtrləri açın → 2) tələb olunan formata ixrac →

2. Legal/Compliance yoxlama → 4) heş-xülasə → 5) göndərmə və jurnallaşdırma.

SOP-4: Loglara giriş təftişi

Sahiblərinin aylıq attestasiyası; avto-revok «yetim» hüquqlar; SoD hesabatı.

13) Formatlar və nümunələr

Giriş hadisəsinin nümunəsi (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

Deteksiya qaydası (psevdo-Rego)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) Rollar və RACI

RolMəsuliyyət
Log Platform Owner (A)Etibarlılıq, təhlükəsizlik, retensiya, büdcələr
Compliance Engineering (R)Siyasət-kimi-kod, sxemlər, Retence/Legal Hold
SecOps/DFIR (R)Deteksiyalar, araşdırmalar, SOAR pleybukları
Data Platform (R)DWH/kataloqlar, ixracatlar, evidence-vitrinlər
IAM/IGA (C)Giriş, sertifikatlaşdırma, SoD
Legal/DPO (C)Gizlilik, req mövqe, DSAR/Legal Hold
Internal Audit (I)Prosedurların və artefaktların yoxlanılması

15) Satıcıların və təchizat zəncirinin idarə edilməsi

Müqavilələrdə: log audit hüququ, formatlar, SLA saxlama və giriş, WORM/immutability.
Subprosessorlar: mənbələrin reyestri və «keçici» retensiya.
İxrac/offbording: məhv təsdiq və hash hesabat.

16) Antipattern

«Sərbəst mətndə», heç bir sxem və korrelyasiya olmadan.
WORM və hash fiksasiya olmadan saxlama - audit mübahisəlidir.
Həssas məlumatlar «olduğu kimi».
Vaxt sinxronizasiyası və normal trace_id yoxdur.
Yük zirvələri zamanı hadisələrin dağılması; back-pressure yoxdur.
Case nəzarət olmadan çox yönlü giriş.
«Əbədi» log oxu hüquqları, re-attestasiya olmadan.

17) Çek vərəqləri

Log funksiyasının işə salınması

  • Mənbələrin taksonomiyası və kritikliyi müəyyən edilmişdir.
  • Retence sxemləri və siyasətləri/Legal Hold elan (as-code).
  • TLS/mTLS, tokenlər, avtomatik yeniləmə agentləri.
  • PII maskalar/tokenlər sınaqdan keçirilir.
  • WORM/Object Lock və ankraj daxildir.
  • Daşbordlar/alertlər/metriklər açılmışdır.
  • Access Review və SoD xüsusi.

Auditdən əvvəl/req-sorğu

  • «audit paketi» toplanmışdır: sxemlər, siyasətlər, bütövlük hesabatları, nümunələr.
  • Dövr üçün integrity və giriş jurnallarının yoxlanılması.
  • DSAR/Legal Hold statusları təsdiq edilmişdir.
  • Yükləmə və göndərmə təsdiqinin heş-xülasəsi formalaşdırılmışdır.

18) Yetkinlik modeli (M0-M4)

M0 Əl: dağınıq log, heç bir sxem və retensiya.
M1 Mərkəzləşdirilmiş yığım: əsas axtarış, qismən taksonomiya.
M2 Managed: sxemlər və siyasət-kimi-kod, dashboard, Retence/WORM.
M3 Inteqrasiya: OTel-track, SOAR, ankerinq/merkli, case-based access.
M4 Assured: «düymə ilə audit-ready», proqnozlaşdırılan detektsiyalar, avtomatik bütövlük nəzarəti və qanuni əhəmiyyətli qəbzlər.

19) Əlaqəli məqalələr wiki

Davamlı uyğunluq monitorinqi (CCM)

KPI və komplayens metrikası

Legal Hold və məlumatların dondurulması

Siyasət və prosedurların həyat dövrü

Komplayens həllərinin kommunikasiyası

Uyğunluq siyasətində dəyişikliklərin idarə edilməsi

Due Diligence və autsorsing riskləri

Yekun

Güclü loging funksiyası «mesaj anbarı» deyil, idarə olunan sistemdir: strukturlaşdırılmış hadisələr, ciddi sxemlər və retensiyalar, dəyişməzlik və imza, varsayılan gizlilik, sərt giriş nəzarəti və sübut replikasiyası. Belə bir sistem araşdırmaları sürətli, auditləri proqnozlaşdırıla bilən və riskləri idarə edilə bilən edir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.