GH GambleHub

Registrazione e protocolli

1) Perché i registri e i protocolli

I registri sono la scatola nera dell'organizzazione: forniscono prove (evidence) per le verifiche e le indagini, riducono i rischi operativi e regolatori, consentono di ripristinare gli eventi e confermare l'esecuzione delle regole (access, retence, crittografia, KYC/AML, PCI, ecc.).

Obiettivi:
  • Traccia le azioni (chi/cosa/quando/dove/perché/cosa).
  • Rilevamento e contenimento degli incidenti (controllo investigativo e preventivo).
  • Base di prova per regolatori/revisori (immutability).
  • Analisi delle prestazioni e della conformità SLA/SLO.

2) Tassonomia del covo (copertura minima)

Accessibilità e identità (IAM/IGA): autenticazione, modifica dei ruoli, SoD, disponibilità JIT.
Infrastruttura/cloud/IaC: chiamate API, deriva di configurazione, eventi KMS/HSM.
Applicazioni/business: transazioni, operazioni PI/finanza, ciclo di vita query (DSAR).
Sicurezza: IDS/IPS, EDR, DLP/EDRM, WAF, vulnerabilità/patch, antivirus.
Rete: firewall, VPN/Zero Trust, proxy, DNS.
CI/CD/DevSecOps: assemblaggio, deposito, SAST/DAST/SCA, segreto-scan.
Dati/analisi: lineage, accesso alle vetrine, occultamento/anonimizzazione.
Operazioni: test ITSM/ticket, incidenti, change-management, DR/BCP.
Vendor/3rd-party: webhook, Federazione SSO, eventi SLA.

3) Requisiti normativi (orientamenti)

GDPR/ISO 27701: minimizzazione/occultamento PI, retensione grafica, Legale Hold, traccia DSAR.
SOC 2/ISO 27001: trailer di controllo, controllo dell'accesso ai logi, prove di esecuzione dei controlli.
PCI DSS: logica le disponibilità agli ambienti/dati delle mappe, integrità dei registri, revisione giornaliera.
AML/KYC: tracciabilità dei controlli, sanzione/screening RR, protocolli STRR/SAR.

4) Architettura di loging

1. Producers: applicazioni, cloud, rete, agenti host.
2. Bus/raccoglitori - Ricezione con back-pressure, retry, TLS mTLS, deduplicazione.
3. Normalizzazione: formato unico (JSON/OTEL), arricchimento (tenant, user, geo, severity).

4. Storage:
  • Caldo (ricerca/SIEM): 7-30 giorni, accesso rapido.
  • Freddo (oggetto): mesi/anni, conservazione a basso costo.
  • Archivio-evidence (WORM/Object Lock) - Invariabile, ricevute hash.
  • 5. Integrità e firma: catene di hashtag/legno merckley/etichette temporali.
  • 6. Accesso e sicurezza: RBAC/ABAC, segmentazione per giurisdizione, accesso basato su valigetta.
  • 7. Analisi e alert: SIEM/SOAR, correlation ID, playbooks.
  • 8. Directory e schemi: registro dei tipi di evento, versioning, test degli schemi.

5) Criteri-come-codice (esempi YAML)

Retenza e Legale Hold

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

Integrità e firma

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) Requisiti di qualità dei registri

Strutturazione: solo JSON/OTEL, senza testo «grezzo».
Sincronizzazione temporale: NTP/PTP, drivt control; scrittura «timestamp», «received _ at».
Correlation IDs: 'trace _ id', 'span _ id', 'sollest _ id', 'user _ id' (alias).
La semantica dei campi è il dizionario (data dictionary) e il contratto dello schema di test.
Localizzazione/lingua: campi - chiave inglese, valori unificati (enum).
Volume e drop policy: vietare il drop senza controllo; code/quote/sempling a rischio.
Dati sensibili: maschera/tornitura il divieto di mantenere segreti/mappe.

7) Privacy e minimizzazione

Igiene PII: logifichiamo hash/token al posto dei valori; maschera rigorosa per email/telefono/IP.
Contesto: Non cinguettare payload con dati personali senza basi.
Giurisdizioni: archiviazione e accesso nazionale (data residency), tracciabilità delle copie.
DSAR: etichette di ricerca ed esportazione tramite valigetta Possibilità di stampare report con depersonalizzazione.

8) Immutabilità e prove (immutabilità)

WORM/Object Lock - Impedisce l'eliminazione/sovrascrizione durante il periodo.
Cryptodem firma battelli; le radici merckley con l'anchering giornaliero.
Catena di storage (chain of custody) - Registro di accesso, ricevute hash, pari ai rapporti.
Verifica: controlli periodici di integrità e avvisi di rassincronizzazione.

9) Controllo dell'accesso ai fogli

RBAC/ABAC: ruoli di lettura/solo ricerca "vs" esportazione/sharing ".
Case-based access: accesso a login sensibili solo nell'ambito di un'indagine/ticket.
Segreti/chiavi: KMS/HSM; rotazione, split-knowledge, dual-control.
Controllo degli accessi: un singolo registro «chi ha letto quali loghi» + alert su anomalie.

10) Metriche e logica SLO

Ingestion Lag: 95 percento ritardo di ricezione (obiettivo 60 secondi).
Drop Rate - Percentuale di eventi persi (obiettivo 0; alert> 0. 001%).
Schema Compliance:% degli eventi di convalida dello schema (≥ 99. 5%).
Coverage:% di sistemi con logica centralizzata (≥ 98% critici).
Integrity Pass - Verifica corretta delle catene hash (100%).
Access Review: promozione mensile dei diritti, ritardo 0.
PII Leak Rate - PI «puliti» rilevati nei loghi (obiettivo 0 critico).

11) Dashboard (set minimo)

Ingestione & Lag: volume/velocità, lega, drop, sorgenti «hot».
Integrity & WORM: stato di ankering, convalida, Object Lock.
Sicurezza Events: correlazioni critiche, mappa MITRE.
Access to Logs: chi ha letto/esportato e cosa; Anomalie.
Compliance View: retenza/Legale Hold states, report di verifica, esportazioni DSAR.
Schema Health: errori di parsing/versioni degli schemi, percentuale di agenti obsoleti.

12) SOP (procedure standard)

SOP-1 - Connettere l'origine dei tubo

1. Registrazione della fonte e delle criticità (2) selezione dello schema/OTEL (3) , token

2. dry-run in stage (convalida di diagrammi, maschera PII) → 5) connessione in →

3. aggiunta a directory/dashboard → 7) verifica retrazione/WORM.

SOP-2: Risposta all'incidente (riviste come evidence)

Detect → Triage → Raccolta di fogli (case-scope) → Congelamento (Legale Hold) →

e Report e CAPA.

SOP-3: query/controllo

1. Apri la valigetta e i filtri per l'ID di richiesta → 2) esporta nel formato richiesto →

2. Verifica Legale/Compliance (4) dashboard hash (5) invio e registro.

SOP-4 - Revisione dell'accesso ai fogli

Certificazione mensile dei proprietari; l'auto-riva dei diritti degli orfani; Il rapporto di SoD.

13) Formati e esempi

Esempio evento di accesso (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

Regola di rilevamento (pseudo-Rego)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) Ruoli e RACI

RuoloResponsabilità
Log Platform Owner (A)Affidabilità, sicurezza, retensione, budget
Compliance Engineering (R)Criteri-come-codice, schemi, retenza/Legale Hold
SecOps/DFIR (R)Rilevamenti, indagini, playbook SOAR
Data Platform (R)DWH/cataloghi, espositori, vetrine evidence
IAM/IGA (C)Separazione di accesso, certificazione, SoD
Legal/DPO (C)Privacy, posizione predefinita, DSAR/Legale Hold
Internal Audit (I)Verifica delle procedure e degli artefatti

15) Gestione dei venditori e della catena di approvvigionamento

I contratti includono il controllo dei logi, i formati, lo storage e l'accesso SLA, WORM/immutability.
I sottoprocessori sono il registro delle origini e la retenzione'passante '.
Esporta/off - Conferma distruzione e resoconto hash.

16) Antipattern

Fogli in testo libero, senza schemi o correlazioni.
Storage senza WORM e hash-failover: è un problema di verifica.
I dati sensibili sono «com'è».
Nessuna sincronizzazione tra tempo e normale trace _ id.
Drop eventi ai picchi di carico nessuna back-pressure.
Accesso universale ai reparti senza valigetta.
«Eterni» diritti di lettura dei reparti, senza certificazione.

17) Assegno fogli

Avvio della funzionalità Loging

  • Tassonomia delle fonti e criticità definite.
  • Gli schemi e i criteri di reticenza/Legale Hold sono stati dichiarati (as-code).
  • TLS/mTLS, token, agenti con aggiornamento automatico.
  • Le maschere PI/token sono state testate.
  • WORM/Object Lock e l'anchering sono inclusi.
  • Dashboard/alert/metriche sono stabiliti.
  • La revisione dell'accesso e l'accesso sono stati configurati.

Prima di un'udienza/una query

  • Assemblare «auditpack»: schemi, criteri, report di integrità, campionamento.
  • Verifica dell'integrity e dei registri di accesso nel periodo.
  • Stato DSAR/Legale Hold confermato.
  • È stato generato un riepilogo hash per caricare e confermare l'invio.

18) Modello di maturità (M0-M4)

M0 Manuale: fogli separati, nessun schema e nessuna reticenza.
M1 Raccolta centralizzata: ricerca di base, tassonomia parziale.
M2 Gestito: schemi e criteri-come-codice, dashboard, retenza/WORM.
M3 Traccia integrata, SOAR, questionario/merckley, case-based access.
M4 Assured: «audit-ready», rilevazioni di previsione, controllo automatico dell'integrità e ricevute legali.

19) Articoli wiki collegati

Monitoraggio continuo della conformità (CCM)

KPI e metriche della compilazione

Legale Hold e congelamento dei dati

Ciclo di vita di regole e procedure

Comunicazione delle soluzioni complesse

Gestione delle modifiche al criterio di compilazione

Due Diligence e rischi di outsourcing

Totale

La funzionalità di loging più forte non è il «magazzino dei messaggi», ma il sistema gestito: eventi strutturati, diagrammi rigorosi e rettifiche, immutabilità e firma, privacy predefinita, controllo dell'accesso rigido e replica alle prove. Questo sistema rende le indagini veloci, le verifiche prevedibili e i rischi gestibili.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.