پیگیری فعالیت حسابرسی
1) پیگیری حسابرسی چیست و چرا لازم است
دنباله حسابرسی یک زنجیره قابل اثبات از وقایع مربوط به عملیات با سیستم ها و داده ها است: چه کسی، چه چیزی، کجا، چه زمانی و به چه شیوه ای آن را انجام داد، با چه نتیجه و بر اساس چه درخواست/بلیط.
اهداف:- شواهد برای تنظیم کننده ها و حسابرسان
- تحقیقات و پاسخ (خط زمانی حوادث، علت ریشه ای).
- تایید اجرای سیاست (SoD، حفظ، حذف/ناشناس).
- نظارت بر اشخاص ثالث و زیر پردازنده.
2) محدوده (حداقل ثبت نام)
هویت و دسترسی (IAM/IGA): ورود/ورود، شماره/لغو نقش ها، افزایش امتیازات، دسترسی JIT.
داده ها و حریم خصوصی: خواندن/تغییر زمینه های PI، آپلود، پوشش، حذف/TTL، نگه داشتن قانونی.
امور مالی/معاملات: ایجاد/به روز رسانی/لغو، محدودیت ها، معکوس، اقدامات ضد تقلب.
زیرساخت/ابر: تغییرات پیکربندی، اسرار، کلید ها، عملیات KMS/HSM.
SDLC/DevSecOps: ایجاد، استقرار، دروازه های مطابقت، کشیدن کتابخانه (SCA)، اسکن مخفی.
عملیات/ITSM: حوادث، تغییرات، انتشار، تشدید، آزمون DR/BCP.
Webhooks/3rd-party: تماس های ورودی/خروجی، امضا، نتایج اعتبار سنجی.
3) مدل رویداد (فرمت متعارف)
JSON (سازگار با ساختار/OTel):json
{
"ts": "2025-11-01T11:23:45.678Z",
"env": "prod",
"tenant": "eu-1",
"system": "iam",
"domain": "access",
"actor": {"type":"user","id":"u_123","source":"sso","ip":"0.0.0.0"},
"subject": {"type":"role","id":"finance_approver"},
"action": "grant",
"reason": "ITSM-12345",
"result": "success",
"severity": "info",
"labels": {"jurisdiction":"EEA","pii":"no","sod_check":"passed"},
"trace": {"request_id":"r_abc","trace_id":"t_456","span_id":"s_789"},
"integrity": {"batch":"b_20251101_11","merkle_leaf":"..."}
}فیلدهای مورد نیاز «ts, actor, action, subject, result» هستند.
توصیه می شود: «دلیل (بلیط/سفارش)، trace_id/request_id، مستاجر، صلاحیت».
4) اصول کیفیت و معناشناسی
به شدت ساختار یافته: فقط JSON/OTel ؛ یک فرهنگ لغت واحد از زمینه ها و کدهای عمل.
هماهنگ سازی زمان: NTP/PTP، فروشگاه 'ts' و 'received _ at'.
همبستگی 'trace _ id '/' request _ id' برای ردیابی پایان به پایان است.
Idempotency سوابق: کلید قطعی دسته، حفاظت در برابر تکراری.
عادی سازی بازیگر: شخص/سرویس/ربات/فروشنده با منبع تأیید اعتبار.
5) معماری دنباله حسابرسی
1. تولید کنندگان: برنامه های کاربردی، سیستم عامل ها، ابرها، عوامل میزبان.
2. جمع/اتوبوس: تحویل قابل اعتماد (TLS/mTLS، retrai، فشار پشت، dedup).
3. غنی سازی/عادی سازی: طرح های یکنواخت، نقشه برداری نقش/صلاحیت.
- داغ (جستجو/تجزیه و تحلیل) - 30-90 روز.
- سرد (شی/آرشیو) - 1-7 سال، بسته به هنجارها.
- WORM/Object Lock - غیر قابل تغییر بودن شواهد.
- 5. یکپارچگی: امضای دسته ها، زنجیره ای از هش ها، لنگر روزانه (ریشه های merkly).
- 6. دسترسی: RBAC/ABAC، دسترسی مبتنی بر مورد.
- 7. تجزیه و تحلیل/هشدار: SIEM/SOAR، همبستگی، قوانین رفتاری.
- 8. کاتالوگ رویداد: نسخه طرح، مرجع فعالیت، آزمون طرح در CI.
6) تغییر ناپذیری و اهمیت قانونی
WORM/Object Lock: جلوگیری از حذف/بازنویسی برای مدت زمان ادعا.
تثبیت رمزنگاری: دسته های SHA-256، درختان merkly، لنگر خارجی (در برنامه).
زنجیره نگهداری: ورود به سیستم دسترسی به ورود (چه کسی و زمانی که خوانده شده/صادر شده)، رسید هش در گزارش.
تأیید منظم: وظایف یکپارچگی ؛ هشدار در طول desynchronization.
7) حفظ حریم خصوصی و به حداقل رساندن
به حداقل رساندن PI: ورود هش/نشانه، زمینه ماسک (ایمیل/تلفن/IP).
زمینه به جای محتوا: ضبط «عملیات واقعی»، نه بار کامل.
حوزه های قضایی و مرزها: ذخیره سازی توسط کشور (اقامت داده ها)، علائم برای انتقال مرزی.
DSAR و depersonalization: برچسب ها برای جستجوی سریع، صادرات با ماسک.
8) کنترل دسترسی (چه کسی دنباله حسابرسی را می بیند)
RBAC/ABAC: تحلیلگر می بیند حداقل ؛ صادرات توسط نرم افزار/مورد تنها.
دسترسی مبتنی بر مورد: تحقیق/حسابرسی → دسترسی موقت با ورود به سیستم.
تفکیک وظایف: ممنوع کردن مدیران سیستم از ویرایش آثار خود.
صدور گواهینامه ماهانه: صدور گواهینامه مجدد حقوق خواندن/صادرات.
9) بازپرداخت، نگهداری قانونی و حذف
برنامه های ذخیره سازی: توسط دامنه ها و هنجارها (به عنوان مثال، دسترسی - 1 سال، معاملات مالی - 5-7 سال).
نگهداری قانونی: توقف فوری رویدادهای مربوطه، اولویت بیش از TTL.
تأیید حذف: گزارش با خلاصه هش دسته های حذف شده.
نگهداری پایان به پایان برای شخص ثالث: SLA های ذخیره سازی/دسترسی/حذف قراردادی.
10) داشبورد و گزارش
پوشش: کدام سیستم ها/حوزه های قضایی تحت پوشش قرار می گیرند ؛ فضا ها
یکپارچگی/WORM - وضعیت لنگر انداختن و بررسی یکپارچگی.
دسترسی به دنباله حسابرسی: چه کسی تماشا می کند/چه چیزی صادر می کند ؛ ناهنجاریها
فعالیت تغییر و مدیریت: اقدامات حساس (امتیازات، کلید ها، اسرار).
لنز حریم خصوصی: رویدادهای بیش از PI، DSAR/حذف، حقوقی نگه دارید.
نمایش انطباق: آمادگی «با دکمه» برای ممیزی/درخواست.
11) معیارها و SLO
تاخیر در مصرف p95 ≤ 60 ثانیه
نرخ افت = 0 (هشدار> 0. 001%).
انطباق طرح ≥ 99. 5%.
یکپارچگی پاس = 100٪ از چک.
پوشش سیستم های بحرانی ≥ 98٪
SLA Access Review: ارزیابی حقوق ماهانه 100٪.
PII نرخ نشت: 0 بحرانی در دنباله حسابرسی.
12) SOP (روش های استاندارد)
SOP-1: منبع اتصال
1. ثبت نام منبع و بحرانی → 2) انتخاب طرح/OTel → 3) TLS/mTLS، کلید → 4) خشک اجرا (اعتبار سنجی طرح/ماسک) → 5) انتشار به تولید → 6) گنجاندن در دایرکتوری ها و داشبورد.
SOP-2: پاسخ به درخواست نظارتی/حسابرسی
Open the case → filter events by object/period → export با یک رسید هش → بررسی حقوقی → ارسال از طریق کانال رسمی → بایگانی به WORM.
SOP-3: حادثه (DFIR)
یخ (حقوقی نگه دارید) → جدول زمانی trace_id → مصنوعات استخراج (اقدامات کلیدی) → گزارش با شواهد → CAPA و تشخیص به روز رسانی.
SOP-4: حذف TTL
شناسایی دسته آماده برای حذف → چک برای از دست رفته نگه حقوقی → حذف → تولید یک گزارش حذف با خلاصه هش.
13) قانون/پرس و جو نمونه
جستجو برای افزایش بحرانی امتیازات (شبه SQL)
sql
SELECT ts, actor.id, subject.id
FROM audit_events
WHERE domain='access' AND action='grant'
AND subject.id IN ('admin','db_root','kms_manager')
AND reason NOT LIKE 'ITSM-%'
AND ts BETWEEN @from AND @to;قانون SoD (شبه رگو)
rego deny_if_sod_conflict {
input.domain == "access"
input.action == "grant"
input.subject.id == "payment_approver"
has_role(input.actor.id, "payment_creator")
}فیلتر بر روی DSAR (JSONPath)
$.events[?(@.domain=='privacy' && @.action in ['dsar_open','dsar_close','delete'])]14) نقشه برداری به نسبت (معیار)
GDPR (ماده 5, 30, 32, 33, 34): به حداقل رساندن, حساب های عمل, امنیت پردازش, حادثه اطلاعیه; DSAR/حذف/حقوقی نگه دارید.
ISO/IEC 27001/27701: A.12/A 18 - روزنامه نگاری، مدیریت شواهد، حفظ حریم خصوصی.
SOC 2 (CC6/CC7/CC8): کنترل دسترسی، نظارت، مدیریت حادثه، یکپارچگی ورود به سیستم.
PCI DSS (10) x): ردیابی اقدامات بر روی داده ها و سیستم های نقشه، بررسی روزانه، یکپارچگی ورود به سیستم.
15) ادغام با سایر توابع
انطباق به عنوان کد/CCM: تست های سیاست اجرا می شوند و وارد سیستم می شوند ؛ هشدارها - برای انحرافات.
RBA (حسابرسی ریسک): نمونه ها و رپرتاژ ها با توجه به داده های دنباله حسابرسی.
ریسک فروشنده: حقوق حسابرسی و صادرات در قراردادها ؛ حفظ آینه با پیمانکاران.
چرخه عمر سیاست - تغییرات در الزامات → تولید خودکار قوانین جدید و زمینه های طرح.
16) ضد گلوله
ناتوانی در مرتبط کردن یک رویداد با یک بلیط/دلیل
«متن آزاد» بدون طرح و معانی.
دسترسی «برای همه» بدون مورد و خواندن ورود به سیستم.
فقدان WORM/امضا - شواهد مورد اختلاف.
مخلوط کردن مناطق زمانی و خارج از همگام سازی «ts »/« received _ at».
ورود به سیستم «کامل» PI/اسرار به جای هش/ماسک.
17) مدل بلوغ (M0-M4)
M0 کتابچه راهنمای کاربر: سیاهههای مربوط پراکنده، پوشش ناقص، بدون احتباس.
M1 مجموعه متمرکز: جستجوی پایه، فرمت تا حدی یکپارچه.
M2 مدیریت: دایرکتوری رویداد، طرح به عنوان کد، نگهداری/نگهداری قانونی، RBAC.
M3 اطمینان: WORM+анкеринг، دسترسی مبتنی بر مورد، KPI/SLO، شواهد خودکار.
M4 تضمین مداوم: ردیابی، تشخیص پیش بینی، «حسابرسی آماده توسط دکمه».
18) مقالات ویکی مرتبط
ورود و خروج
نظارت بر انطباق مداوم (CCM)
KPI ها و معیارهای انطباق
نگهداری قانونی و انجماد داده ها
چرخه عمر سیاست ها و رویه ها
ارتباطات راه حل های انطباق
سیاست انطباق مدیریت تغییر
علت سعی و کوشش و خطرات برون سپاری
نتیجه گیری
یک دنباله حسابرسی قوی، رویدادهای ساختاری، غیر قابل تغییر و متنی با دسترسی واضح «به صورت موردی»، ردیابی انتها به انتها و نگهداری کنترل شده است. چنین سیستمی تحقیقات را سرعت می بخشد، بازرسی ها را قابل پیش بینی می کند و انطباق را به یک فرآیند قابل تکرار و قابل اندازه گیری تبدیل می کند.