GH GambleHub

ورود و خروج

1) چرا ما به سیاهههای مربوط و پروتکل نیاز داریم

سیاهههای مربوط «جعبه سیاه» سازمان هستند: آنها شواهدی را برای ممیزی و تحقیقات ارائه می دهند، خطر عملیاتی و نظارتی را کاهش می دهند، به شما این امکان را می دهند که دوره رویدادها را بازگردانید و اجرای سیاست ها (دسترسی، نگهداری، رمزگذاری، KYC/AML، PCI و غیره) را تأیید کنید.

اهداف:
  • ردیابی اقدامات (چه کسی/چه چیزی/چه زمانی/کجا/چرا/چه).
  • تشخیص و مهار حادثه (کنترل های کارآگاهی و پیشگیرانه).
  • پایه شواهد برای تنظیم کننده ها/حسابرسان (تغییر ناپذیری).
  • تجزیه و تحلیل عملکرد و انطباق SLA/SLO.

2) طبقه بندی سیاهههای مربوط (حداقل پوشش)

دسترسی ها و هویت ها (IAM/IGA): احراز هویت، بازگشت نقش، SoD، دسترسی JIT.
زیرساخت/ابر/IaC: تماس های API، رانش پیکربندی، رویدادهای KMS/HSM.

برنامه های کاربردی/کسب و کار - معاملات، PI/مالی، چرخه عمر پرس و جو (DSAR)

امنیت: IDS/IPS، EDR، DLP/EDRM، WAF، آسیب پذیری ها/تکه ها، آنتی ویروس.
شبکه: فایروال، VPN/Zero Trust، پروکسی، DNS.
CI/CD/DevSecOps: ساخت، تخلیه، SAST/DAST/SCA، اسکن مخفی.
داده ها/تجزیه و تحلیل: اصل و نسب، دسترسی به فروشگاه، پوشش/ناشناس.
عملیات: ITSM/بلیط، حوادث، مدیریت تغییر، آزمون DR/BCP.
Vendors/3rd-party: وب سایت ها، فدراسیون SSO، رویدادهای SLA.

3) الزامات قانونی (دستورالعمل ها)

GDPR/ISO 27701: به حداقل رساندن/پوشش PI، حفظ در برنامه، نگه داشتن حقوقی، ردیابی DSAR.
SOC 2/ISO 27001: مسیرهای حسابرسی، کنترل دسترسی ورود به سیستم، شواهد اجرای کنترل.
PCI DSS: ورود به سیستم دسترسی به داده های رسانه/کارت، یکپارچگی ورود به سیستم، بررسی روزانه.
AML/KYC: قابلیت ردیابی چک ها، غربالگری تحریم/PEP، پروتکل های STR/SAR.

4) معماری مرجع ورود به سیستم

1. تولید کنندگان: برنامه های کاربردی، ابر، شبکه، عوامل میزبان.
2. اتوبوس/جمع: فشار پشت، تلاش مجدد، TLS mTLS، deduplication.
3. عادی سازی: فرمت واحد (JSON/OTel)، غنی سازی (مستاجر، کاربر، جغرافیایی، شدت).

4. غرفه ها:
  • داغ (جستجو/SIEM): 7-30 روز، دسترسی سریع.
  • سرد (شی): ماه/سال، ذخیره سازی ارزان.
  • شواهد بایگانی (WORM/Object Lock): غیر قابل تغییر بودن، رسید هش.
  • 5. یکپارچگی و امضا: زنجیره های هش/merkley-tree/timestamps.
  • 6. دسترسی و امنیت: RBAC/ABAC، تقسیم بندی توسط صلاحیت، دسترسی مبتنی بر مورد.
  • 7. تجزیه و تحلیل و هشدار: SIEM/SOAR، شناسه همبستگی، playbooks.
  • 8. کاتالوگ ها و طرح ها: رجیستری نوع رویداد، نسخه، تست طرح.

5) سیاست به عنوان کد (نمونه YAML)

نگهداری و نگهداری قانونی

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

یکپارچگی و امضا

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) الزامات کیفیت ورود

ساختار: فقط JSON/OTel، بدون متن خام.
هماهنگ سازی زمان: NTP/PTP، کنترل رانش ؛ «مهر زمان»، در بدو ورود دریافت شد.
شناسه های همبستگی: 'trace _ id'، 'span _ id'، 'request _ id'، 'user _ id' (نام مستعار).
معناشناسی فیلد: فرهنگ لغت داده ها و قرارداد طرح تست.
محلی سازی/زبان: زمینه ها - کلید های انگلیسی، ارزش ها - متحد (enum).
سیاست حجم و کاهش: ممنوعیت افت کنترل نشده ؛ صف/سهمیه/نمونه برداری خطر.
داده های حساس: پوشش/نشانه گذاری ؛ ممنوعیت نگه داشتن اسرار/کارت به طور کامل.

7) حفظ حریم خصوصی و به حداقل رساندن

بهداشت PII: ورود هش/نشانه به جای ارزش ؛ ماسک سخت برای ایمیل/تلفن/IP.
زمینه: با اطلاعات شخصی بدون دلیل پرداخت نکنید.
حوزه های قضایی: ذخیره سازی و دسترسی به کشور (اقامت داده ها)، ردیابی نسخه ها.
DSAR: برچسب های جستجو و صادرات بر اساس مورد ؛ توانایی چاپ گزارش با depersonalization.

8) غیر قابل تغییر و شواهد

WORM/Object Lock - جلوگیری از حذف/رونویسی در دوره.
امضای رمزنگاری: امضای دسته ها ؛ Merkli ریشه با لنگر روزانه.
زنجیره نگهداری: ورود به سیستم دسترسی، رسید هش، سهمیه در گزارش.
تأیید: چک های یکپارچگی دوره ای و هشدارهای خارج از همگام سازی.

9) کنترل دسترسی ورود

RBAC/ABAC: خواندن/جستجو فقط نقش در مقابل صادرات/به اشتراک گذاری.
دسترسی مبتنی بر مورد: دسترسی به سیاهههای مربوط حساس - فقط به عنوان بخشی از تحقیقات/بلیط.
اسرار/کلید: KMS/HSM ؛ چرخش، تقسیم دانش، کنترل دوگانه.
حسابرسی دسترسی: یک مجله جداگانه «که خواندن که سیاهههای مربوط» + هشدار به ناهنجاری.

10) متریک و ورود به سیستم SLO

تاخیر مصرف: درصد 95 تاخیر پذیرش (≤ هدف 60 ثانیه).
نرخ افت: درصد رویدادهای از دست رفته (هدف 0 ؛ هشدار> 0 001%).
انطباق طرح:٪ از رویدادهای تایید شده توسط طرح (≥ 99. 5%).
پوشش:٪ از سیستم های تحت ورود به سیستم متمرکز (≥ 98٪ بحرانی).
Integrity Pass: چک های زنجیره ای هش موفق (100٪).
بررسی دسترسی: ادعای ماهانه حقوق, تاخیر - 0.
PII نرخ نشت: شناسایی «پاک» PI ها در سیاهههای مربوط (هدف 0 بحرانی).

11) داشبورد (حداقل مجموعه)

هضم و تاخیر: حجم/سرعت، تاخیر، قطره، چشمه های گرم.
یکپارچگی و WORM: وضعیت لنگر انداختن، تأیید، قفل شی.
رویدادهای امنیتی: همبستگی بحرانی، کارت MITRE.

دسترسی به سیاهههای مربوط: چه کسی و چه خوانده شده/صادر شده ؛ ناهنجاریها

مشاهده انطباق: وضعیت نگهداری/نگهداری قانونی، گزارش حسابرسی، صادرات DSAR.
سلامت طرح: تجزیه خطاها/نسخه های طرح، درصد عوامل میراث.

12) SOP (روش های استاندارد)

SOP-1: ورود به سیستم اتصال منبع

1. ثبت نام منبع و بحرانی → 2) انتخاب/OTel → 3) طرح TLS/mTLS, نشانه →

2. اجرای خشک در مرحله بندی (اعتبار سنجی طرح ها، ماسک های PII) → 5) اتصال در تولید →

3. اضافه کردن به دایرکتوری ها/داشبورد → 7) تایید حفظ/WORM.

SOP-2: پاسخ حادثه (سیاهههای مربوط به عنوان شواهد)

Detect → Triage → case-scope → حقوقی نگه دارید →

Hash Capture and Anchoring → تجزیه و تحلیل/جدول زمانی → گزارش و CAPA → انتشار درس.

SOP-3: درخواست مجدد/حسابرسی

1. باز کردن مورد و فیلترها با شناسه درخواست → 2) صادرات به فرمت مورد نیاز →

2. تأیید قانونی/انطباق → 4) خلاصه هش → 5) ارسال و ورود به سیستم.

SOP-4: بازنگری دسترسی ورود

صدور گواهینامه ماهانه صاحبان ؛ غرش خودکار حقوق «یتیم» ؛ گزارش SoD

13) فرمت ها و مثال ها

مثال رویداد دسترسی (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

قانون تشخیص (شبه رگو)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) نقش ها و RACI

نقش هامسئولیت پذیری
ورود صاحب پلت فرم (A)قابلیت اطمینان، ایمنی، نگهداری، بودجه
مهندسی انطباق (R)سیاست ها به عنوان کد، طرح ها، نگهداری/نگهداری قانونی
SecOps/DFIR (R)کشف، تحقیقات، کتاب های SOAR
پلت فرم داده (R)DWH/کاتالوگ، صادرات، شواهد ویترین
IAM/IGA (C)کنترل دسترسی، گواهی، SoD
حقوقی/DPO (C)حفظ حریم خصوصی، موقعیت reg، DSAR/حقوقی نگه دارید
حسابرسی داخلی (I)تایید روش ها و مصنوعات

15) فروشنده و مدیریت زنجیره تامین

در قراردادها: حق ممیزی سیاهههای مربوط، فرمت ها، ذخیره سازی و دسترسی SLA، WORM/غیر قابل تغییر.
زیر پردازنده: ثبت نام منبع و «پایان به پایان» حفظ.
صادرات/خروج: تایید گزارش تخریب و خلاصه هش.

16) ضد گلوله

سیاهههای مربوط به «متن آزاد»، بدون نمودار و همبستگی.
ذخیره سازی بدون WORM و تثبیت هش یک اختلاف در حسابرسی است.
اطلاعات حساس در سیاهههای مربوط «همانطور که هست».
هیچ هماهنگی زمان و trace_id عادی وجود ندارد.

افت رویداد در قله بار ؛ عدم وجود فشار برگشتی

دسترسی جهانی به سیاهههای مربوط بدون کنترل مورد.
حقوق «ابدی» برای خواندن سیاهههای مربوط، بدون صدور گواهینامه مجدد.

17) چک لیست

شروع تابع ورود به سیستم

  • طبقه بندی منبع و بحرانی شناسایی شده است.
  • طرح حفظ و سیاست/حقوقی نگه اعلام کرد (به عنوان کد).
  • TLS/mTLS، نشانه ها، عوامل خودکار به روز رسانی.
  • ماسک PII/نشانه تست شده است.
  • WORM/Object Lock و لنگر انداختن فعال هستند.
  • داشبورد/هشدار/متریک ایجاد شده است.
  • بازبینی دسترسی و SoD پیکربندی شده است.

قبل از ممیزی/درخواست مجدد

  • «بسته حسابرسی» جمع آوری شده: طرح ها، سیاست ها، گزارش های یکپارچگی، نمونه ها.
  • بررسی یکپارچگی و ورود به سیستم برای دوره.
  • وضعیت DSAR/Legal Hold تایید شده است.
  • خلاصه هش آپلود ها و تأیید ارسال ایجاد شده است.

18) مدل بلوغ (M0-M4)

M0 کتابچه راهنمای کاربر: سیاهههای مربوط پراکنده، بدون طرح و retentions.
M1 مجموعه متمرکز: جستجوی پایه، طبقه بندی جزئی.
M2 مدیریت: طرح ها و سیاست ها به عنوان کد، داشبورد، نگهداری/WORM.
M3 مجتمع: ردیابی OTel، SOAR، لنگر/merkly، دسترسی مبتنی بر مورد.
M4 اطمینان: «حسابرسی آماده شده توسط دکمه»، تشخیص پیش بینی، کنترل یکپارچگی خودکار و رسید قانونی قابل توجه است.

19) مقالات ویکی مرتبط

نظارت بر انطباق مداوم (CCM)

KPI ها و معیارهای انطباق

نگهداری قانونی و انجماد داده ها

چرخه عمر سیاست ها و رویه ها

ارتباطات راه حل های انطباق

سیاست انطباق مدیریت تغییر

علت سعی و کوشش و خطرات برون سپاری

مجموع

یک تابع ورود به سیستم قوی «انبار پیام» نیست، بلکه یک سیستم مدیریت شده است: رویدادهای ساخت یافته، طرح ها و مجوزهای دقیق، غیرقابل تغییر و امضا، حریم خصوصی پیش فرض، کنترل دسترسی شدید و تکرار به شواهد. چنین سیستمی باعث می شود تحقیقات سریع، حسابرسی قابل پیش بینی و خطرات قابل کنترل باشد.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.