감사 트레일 활동 추적

1) 감사 추적 인 이유와 필요한 이유

감사 트레일은 시스템 및 데이터를 사용한 운영에 관한 입증 가능한 이벤트 체인입니다. 누가, 무엇을, 언제, 어떤 방식으로, 어떤 결과를 얻었으며 어떤 요청/티켓을 기반으로했는지.

• 규제 기관 및 감사인에 대한 증거.
• 조사 및 대응 (사고 시간 선, 근본 원인).
• 정책 실행 확인 (SoD, 보존, 삭제/익명화).
• 타사 및 하위 프로세서의 감독.

2) 범위 (최소 등록)

신원 및 액세스 (IAM/IGA): 로그인/로그인, 역할 발행/취소, 권한 확대, JIT 액세스.
데이터 및 개인 정보 보호: PI 필드 읽기/변경, 업로드, 마스킹, 삭제/TTL, 법적 보류.
금융/거래: 생성/업데이트/취소, 제한, 반전, 사기 방지 조치.
인프라/클라우드: 구성 변경, 비밀, 키, KMS/HSM 작업.
SDLC/DevSecOps: 빌드, 배치, 매치 게이트, 라이브러리 풀업 (SCA), 비밀 스캔.
운영/ITSM: 사건, 변경, 릴리스, 에스컬레이션, DR/BCP 테스트.
웹 후크/타사: 들어오는/발신 통화, 서명, 검증 결과.

3) 이벤트 모델 (표준 형식)

json
{
"ts": "2025-11-01T11:23:45.678Z",
"env": "prod",
"tenant": "eu-1",
"system": "iam",
"domain": "access",
"actor": {"type":"user","id":"u_123","source":"sso","ip":"0.0.0.0"},
"subject": {"type":"role","id":"finance_approver"},
"action": "grant",
"reason": "ITSM-12345",
"result": "success",
"severity": "info",
"labels": {"jurisdiction":"EEA","pii":"no","sod_check":"passed"},
"trace": {"request_id":"r_abc","trace_id":"t_456","span_id":"s_789"},
"integrity": {"batch":"b_20251101_11","merkle_leaf":"..."}
}

필요한 분야는 'ts, 배우, 행동, 주제, 결과' 입니다.
권장: '이유 (티켓/주문), trace _ id/요청 _ id, 세입자, 관할권'.

4) 품질과 의미의 원리

엄격하게 구조화: JSON/OTel 만; 단일 필드 및 동작 코드 사전.
시간 동기화: NTP/PTP, 저장 'ts' 및 '수신 _ at'.
상관 관계는 엔드 투 엔드 추적을위한 'trace _ id '/' 요청 _ id' 입니다.
기록의 이념성: 배치의 결정 론적 키, 중복으로부터의 보호.
배우 정규화: 인증 소스가있는 사람/서비스/봇/공급 업체.

5) 감사 트레일 아키텍처

1. 생산자: 응용 프로그램, 플랫폼, 구름, 호스트 에이전트.
2. 수집기/버스: 안정적인 배송 (SL/mSL, retrai, backpressure, dedup).
3. 농축/정규화: 균일 한 체계, 역할/관할권 매핑.

• 핫 (검색/분석) -30-90 일.
• 추위 (객체/아카이브) -규범에 따라 1-7 년.
• WORM/Object Lock-증거 불변성.
• 5. 무결성: 배치의 시그니처, 해시 체인, 매일 고정 (merkly roots).
• 6. 액세스: RBAC/ABAC, 사례 기반 액세스.
• 7. 분석/경고: SIEM/SOAR, 상관 관계, 행동 규칙.
• 8. 이벤트 카탈로그: CI의 스키마 버전, 활동 참조, 스키마 테스트.

6) 불변성과 법적 중요성

WORM/Object Lock: 청구 기간 동안 삭제/재 작성을 방지하십시오.
암호화 고정: Ś-256 배치, 머클리 트리, 외부 고정 (일정).
양육권 체인: 로그에 대한 액세스 로그 (누가 읽거나 내보낼 때) 는 보고서에서 영수증을 해시합니다.
정기적 인 검증: 무결성 작업; 비 동기화 중 경고.

7) 개인 정보 보호 및 최소화

최소화 PI: 로그 해시/토큰, 마스크 필드 (이메일/전화/IP).
컨텐츠 대신 컨텍스트: 전체 페이로드가 아닌 "실제 작동" 을 캡처하십시오.
관할권 및 국경: 국가 별 저장 (데이터 거주), 국경 간 이전 표시.
DSAR 및 개인화: 빠른 검색 레이블, 마스킹으로 내보내기.

8) 액세스 제어 (감사 흔적을 보는 사람)

RBAC/ABAC: 분석가는 최소값을 봅니다. 응용 프로그램/케이스로만 내보내십

사례 기반 액세스: 조사/감사 → 로깅에 대한 임시 액세스.
직무 분리: 시스템 관리자가 자신의 흔적을 편집하는 것을 금지합니다.
월간 인증: 읽기/내보내기 권리의 재 인증.

9) 퇴직, 법적 보류 및 제거

스토리지 일정: 도메인 및 규범 별 (예: 액세스 - 1 년, 금융 거래 - 5-7 년).
법적 보류: 관련 이벤트의 즉각적인 동결, TTL보다 우선 순위.
삭제 확인: 삭제 된 배치의 해시 요약과 함께보고합니다.
타사의 엔드 투 엔드 보존: 계약 스토리지/액세스/삭제 SLA.

10) 대시 보드 및 보고서

적용 범위: 어떤 시스템/관할 구역이 적용됩니까? 공간.
무결성/세계-고정 및 무결성 검사 상태.
감사 트레일 이용: 누가보고 있는지/수출하는 것; 이상.
변경 및 관리 활동: 민감한 행동 (권한, 키, 비밀).
개인 정보 보호 렌즈: PI 이상의 이벤트, DSAR/삭제, 법적 보류.
준수보기: 감사/요청에 대한 "버튼 별" 준비.

11) 측정 및 SLO

섭취 래그 p95 λ60 초

드롭 속도 = 0 (경고> 0. 001%).
스키마 준수 이하 99. 5%.
무결성 패스 = 수표의 100%.

적용 범위 중요 시스템은 98% 이상입니다

액세스 검토 SLA: 100% 월 자격 평가.
PII 누출 률: 감사 추적에서 0이 중요합니다.

12) SOP (표준 절차)

SOP-1: 소스 연결

1. 출처 및 중요도 등록 → 2 )/OTel → 3) SL/mSL 체계, 키 → 4) 드라이 런 (체계/마스크 검증) → 5) 생산 → 5) 디렉토리 및 대시 보드에 포함됩니다.

SOP-2: 규제 요청/감사에 대한 답변

해시 영수증 → 법적 검토 → 공식 채널 → 아카이브를 통해 WORM으로 전송하여 객체/기간 → 내보내기로 사례 → 필터 이벤트를 엽니 다.

SOP-3: 사건 (DFIR)

Freeze (Legal Hold) → trace _ id 타임 라인 → 증거 → CAPA 및 업데이트 탐지와 함께 아티팩트 (주요 작업) → 추출 → 보고서.

SOP-4: TTL 삭제

삭제 준비가 된 배치를 식별 → 누락 된 Legal Hold → 삭제 → 해시 요약으로 삭제 보고서를 생성합니다.

13) 규칙/쿼리 예

권한의 중요한 확대 검색 (SQL 의사)

sql
SELECT ts, actor.id, subject.id
FROM audit_events
WHERE domain='access' AND action='grant'
AND subject.id IN ('admin','db_root','kms_manager')
AND reason NOT LIKE 'ITSM-%'
AND ts BETWEEN @from AND @to;

SoD 규칙 (의사 레고)

rego deny_if_sod_conflict {
input.domain == "access"
input.action == "grant"
input.subject.id == "payment_approver"
has_role(input.actor.id, "payment_creator")
}

DSAR 필터 (JSONPath)

$.events[?(@.domain=='privacy' && @.action in ['dsar_open','dsar_close','delete'])]

14) 비율에 매핑 (벤치 마크)

GDPR (Art 5, 30, 32, 33, 34): 최소화, 행동 계정, 처리 보안, 사건 알림; DSAR/삭제/법적 보류.
ISO/IEC 27001/27701: A.12/A. 18-저널링, 증거 관리, 개인 정보 보호.
SOC 2 (CC6/CC7/CC8): 액세스 제어, 모니터링, 사고 처리, 로그 무결성.
PCI DSS (10. x): 맵 데이터 및 시스템에서의 동작 추적 성, 일일 검토, 로그 무결성.

15) 다른 기능과의 통합

코드 준수/CCM: 정책 테스트가 실행 및 기록됩니다. 경고-편차에 대한 경고.
RBA (위험 감사): 감사 추적 데이터에 따라 샘플 및 재수행.
공급 업체 위험: 계약의 감사 및 수출 권리; 계약자와의 거울 보유.
정책 라이프 사이클-요구 사항으로 변경 → 새로운 규칙 및 스키마 필드의 자동 생성.

16) 안티 패턴

사례없이 "모두를 위해" 액세스하고 로깅을 읽으십시오

스키마와 의미가없는 "무료 텍스트".
이벤트를 티켓/이성과 연관시킬 수 없습니다.
WORM/서명 부족-논쟁의 여지가있는 증거.
시간대 혼합 및 동기화되지 않은 'ts '/' sed _ at'.
해시/마스크 대신 "전체" PI/비밀을 기록합니다.

17) 성숙도 모델 (M0-M4)

M0 매뉴얼: 흩어져있는 로그, 불완전한 적용 범위, 보존 없음.
M1 중앙 집중식 모음: 기본 검색, 부분적으로 통합 된 형식.
M2 관리: 이벤트 디렉토리, 코드로서의 스키마, 유지/법적 보류, RBAC.
M3 Assured: WORM + анкерин달력, 사례 기반 액세스, KPI/SLO, 자동 증거.
M4 연속 보증: 추적, 예측 탐지, "버튼 별 감사 준비".

18) 관련 위키 기사

벌목 및 벌목

연속 준수 모니터링 (CCM)

KPI 및 규정 준수 지표

법적 보류 및 데이터 동결

정책 및 절차 수명주기

규정 준수 솔루션 커뮤니

준수 정책 변경 관리

근면 및 아웃소싱 위험

결과

강력한 감사 흔적은 "사례별로" 명확한 액세스, 엔드 투 엔드 추적 및 제어 된 보존을 갖춘 구조적이고 변경 불가능하며 상황에 맞는 이벤트입니다. 이러한 시스템은 조사 속도를 높이고 검사를 예측 가능하게하며 준수를 재현 가능하고 측정 가능한 프로세스로 전환합니다.