GH GambleHub

Urmărirea activității de audit

1) Ce este o pistă de audit și de ce este necesar

Pista de audit este un lanț dovedibil de evenimente despre operațiunile cu sisteme și date: cine, ce, unde, când și în ce fel a făcut-o, cu ce rezultat și pe baza ce cerere/bilet.

Obiective:
  • Dovezi pentru autoritățile de reglementare și auditori.
  • Investigații și răspuns (linia de timp a incidentelor, cauza principală).
  • Confirmarea executării politicii (SoD, păstrare, ștergere/anonimizare).
  • Supravegherea părților terțe și a subprocesorilor.

2) Domeniul de aplicare (înscriere minimă)

Identități și acces (IAM/IGA): autentificare/autentificare, emiterea/revocarea rolurilor, escaladarea privilegiilor, acces JIT.
Date și confidențialitate: citire/schimbare câmpuri PI, încărcări, mascare, ștergere/TTL, Legal Hold.
Finanțe/tranzacții: creare/actualizare/anulare, limite, inversări, acțiuni antifraudă.
Infrastructură/cloud: modificări de configurare, secrete, chei, operațiuni KMS/HSM.
SDLC/DevSecOps: construiește, implementează, porți de meci, bibliotecă pull-up (SCA), scanare secretă.
Operațiuni/ITSM: Incidente, Modificări, Versiuni, Escaladări, Teste DR/BCP.
Webhooks/3rd-party: apeluri de intrare/ieșire, semnătură, rezultate de validare.

3) Modelul evenimentului (format canonic)

JSON recomandat (structurat/compatibil OTel): 
json
{
"ts": "2025-11-01T11:23:45.678Z",
"env": "prod",
"tenant": "eu-1",
"system": "iam",
"domain": "access",
"actor": {"type":"user","id":"u_123","source":"sso","ip":"0.0.0.0"},
"subject": {"type":"role","id":"finance_approver"},
"action": "grant",
"reason": "ITSM-12345",
"result": "success",
"severity": "info",
"labels": {"jurisdiction":"EEA","pii":"no","sod_check":"passed"},
"trace": {"request_id":"r_abc","trace_id":"t_456","span_id":"s_789"},
"integrity": {"batch":"b_20251101_11","merkle_leaf":"..."}
}

Câmpurile obligatorii sunt 'ts, actor, acțiune, subiect, rezultat'.
Recomandat: „motiv (bilet/comandă), trace_id/request_id, chiriaș, jurisdicție”.

4) Principii de calitate și semantică

Strict structurat: numai JSON/OTel; un singur dicționar de câmpuri și coduri de acțiune.
Sincronizarea timpului: NTP/PTP, stochează 'ts' și' received _ at'.
Corelația este 'trace _ id'/' request _ id' for end-to-end tracing.
Idempotența înregistrărilor: chei deterministe ale loturilor, protecție împotriva duplicatelor.
Normalizarea actorilor: persoană/serviciu/bot/furnizor cu sursă de autentificare.

5) Arhitectura traseului de audit

1. Producători: aplicații, platforme, nori, agenți gazdă.
2. Colectoare/autobuz: livrare fiabilă (TLS/mTLS, retrai, back-pressure, dedup).
3. Îmbogățirea/normalizarea: scheme uniforme, cartografierea rolului/jurisdicției.

4. Depozitare:
  • Fierbinte (căutare/analiză) - 30-90 zile.
  • Rece (obiect/arhivă) - 1-7 ani, în funcție de norme.
  • WORM/Object Lock - imuabilitate evidențială.
  • 5. Integritate: semnătura loturilor, lanțuri de hashes, ancorare zilnică (rădăcini merkly).
  • 6. Acces: RBAC/ABAC, acces la caz.
  • 7. Analytics/alerts: SIEM/SOAR, corelații, reguli comportamentale.
  • 8. Catalog evenimente: versiune schema, referinta activitate, teste schema in CI.

6) Imutabilitate și semnificație juridică

WORM/Object Lock: preveni ștergerea/rescrierea pe durata creanței.
Fixare criptografică: loturi de SHA-256, copaci merkly, ancorare externă (în grafic).
Lanțul de custodie: jurnalul de acces la jurnal (cine și când este citit/exportat), chitanțe hash în rapoarte.
Verificare periodică: sarcini de integritate; alertă în timpul desincronizării.

7) Confidențialitate și minimizare

Minimizați PI: conectați hashes/jetoane, câmpuri de măști (e-mail/telefon/IP).
Context în loc de conținut: captură „funcționare reală”, nu sarcină utilă completă.
Jurisdicții și frontiere: stocare pe țări (rezidență de date), mărci pentru transfer transfrontalier.
DSAR și depersonalizare: etichete pentru căutare rapidă, export cu mascare.

8) Controlul accesului (cine vede pista de audit)

RBAC/ABAC: Analistul vede minim; export numai prin cerere/caz.
Acces la caz: investigație/audit → acces temporar cu exploatare forestieră.
Segregarea sarcinilor: interzicerea administratorilor de sistem să-și editeze propriile urme.
Certificare lunară: re-certificarea drepturilor de citire/export.

9) Retensiune, reținere legală și îndepărtare

Orare de stocare: pe domenii si norme (de exemplu, acces - 1 an, tranzactii financiare - 5-7 ani).
Legal Hold: înghețarea imediată a evenimentelor relevante, prioritate față de TTL.
Confirmarea ștergerii: raport cu rezumatul hash al loturilor șterse.
Retenție finală pentru terțe părți: SLA-uri contractuale de stocare/acces/ștergere.

10) Tablouri de bord și rapoarte

Acoperire: ce sisteme/jurisdicții sunt acoperite; spații.
Integritatea/WORM - starea controalelor de ancorare și integritate.
Accesul la traseul de audit: cine urmărește/ce exportă; anomalii.
Activitate de schimbare și admin: acțiuni sensibile (privilegii, chei, secrete).
Lentile de confidențialitate: Evenimente prin PI, DSAR/ștergeri, Legal Hold.
Conformitate Vizualizare: disponibilitate „prin buton” pentru audituri/cereri.

11) Metrics și SLO

Gal de ingestie p95 ≤ 60 sec

Rata picătură = 0 (alertă> 0. 001%).
Conformitatea schemei ≥ 99. 5%.
Integrity Pass = 100% din controale.
Sisteme critice de acoperire ≥ 98%.
Access Review SLA: 100% evaluări lunare ale drepturilor.
Rata de scurgere PII: 0 critică în traseul de audit.

12) POS (proceduri standard)

SOP-1: Conexiune sursă

1. Înregistrarea sursei și a criticii → 2) selectarea schemei/OTel → 3) TLS/mTLS, tastele → 4) rularea uscată (validarea schemelor/măștilor) → 5) eliberarea în producție → 6) includerea în directoare și tablouri de bord.

SOP-2: Răspuns la cererea de reglementare/audit

Deschideți cazul → filtrați evenimentele după obiect/perioadă → export cu o chitanță hash → revizuire legală → trimiteți prin canalul oficial → arhivă la WORM.

SOP-3: Incident (DFIR)

Freeze (Legal Hold) → trace_id cronologie → extract de artefacte (acțiuni cheie) → raport cu dovezi → CAPA și detectări de actualizare.

SOP-4: Ștergerea TTL

Identificați loturile gata pentru ștergere → verificați dacă lipsește Legal Hold → ștergeți → generați un raport de ștergere cu un rezumat hash.

13) Rule/Exemple de interogare

Căutarea escaladării critice a privilegiilor (pseudo SQL)

sql
SELECT ts, actor.id, subject.id
FROM audit_events
WHERE domain='access' AND action='grant'
AND subject.id IN ('admin','db_root','kms_manager')
AND reason NOT LIKE 'ITSM-%'
AND ts BETWEEN @from AND @to;

Regula SoD (pseudo-Rego)

rego deny_if_sod_conflict {
input.domain == "access"
input.action == "grant"
input.subject.id == "payment_approver"
has_role(input.actor.id, "payment_creator")
}

Filtru pe DSAR (JSONPath)


$.events[?(@.domain=='privacy' && @.action in ['dsar_open','dsar_close','delete'])]

14) Maparea raporturilor (repere)

GDPR (art. 5, 30, 32, 33, 34): minimizare, conturi de actiune, securitatea procesarii, incidente-notificari; DSAR/ștergere/Legal Hold.
ISO/IEC 27001/27701: A.12/A. 18 - jurnalizare, managementul probelor, confidențialitate.
SOC 2 (CC6/CC7/CC8): controlul accesului, monitorizarea, manipularea incidentelor, integritatea jurnalului.
PCI DSS (10. x): trasabilitatea acțiunilor privind datele și sistemele hărții, revizuirea zilnică, integritatea jurnalului.

15) Integrarea cu alte funcții

Conformitate-as-Code/CCM: testele de politică sunt executate și înregistrate; alerte - pentru abateri.
RBA (audit de risc): eșantioane și reperforme în conformitate cu datele privind traseul de audit.
Risc de vânzător: drepturi de audit și export în contracte; retenție oglindă cu contractori.
Policy Lifecycle - modificări ale cerințelor → generarea automată a noilor reguli și domenii de schemă.

16) Antipattern

„Text gratuit” fără scheme și semantică.
Incapacitatea de a asocia un eveniment cu un bilet/motiv.
Accesați „pentru toți” fără caz și citiți înregistrarea.
Lipsa WORM/semnătură - dovezi disputate.
Amestecarea fusurilor orare și a sincronizării "ts "/" received _ at'.
Logare „plin” PI/secrete în loc de hashes/masti.

17) Modelul de maturitate (M0-M4)

Manual M0: jurnale împrăștiate, acoperire incompletă, fără reținere.
M1 Colecție centralizată: căutare de bază, format parțial unificat.
M2 Managed: director de evenimente, scheme ca cod, păstrare/Legal Hold, RBAC.
M3 Asigurat: WORM+анкеринг, acces pe bază de caz, KPI/SLO, auto-probe.
M4 Continuous Assurance: trace, predictive detection, „audit-ready by button”.

18) Articole wiki înrudite

Logare și exploatare forestieră

Monitorizarea continuă a conformității (CCM)

KPI-uri și măsurători de conformitate

Păstrarea legală și înghețarea datelor

Ciclul de viață al politicilor și procedurilor

Comunicarea soluțiilor de conformitate

Managementul schimbării politicii de conformitate

Due Diligence și riscurile de externalizare

Rezultat

O pistă puternică de audit este structurată, evenimente neschimbabile și contextuale cu acces clar „după caz”, urmărire finală și retenție controlată. Un astfel de sistem accelerează investigațiile, face inspecțiile previzibile și transformă conformitatea într-un proces reproductibil, măsurabil.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.