Denetim İzleri ve Erişim İzleri
1) Amaç ve kapsam
Amaç: Kullanıcı/hizmet eylemlerinin kanıtlanabilirliğini, soruşturmaların şeffaflığını, düzenleyici gerekliliklere ve iç standartlara uygunluğu sağlamak (GDPR/AML, PSP/KYC sağlayıcıları ile sözleşmeler, varsa ISO/PCI).
Kapsam: tüm üretim sistemleri, platform hizmetleri (hesap, ödemeler, dolandırıcılıkla mücadele, CUS/yaptırımlar, RG), yönetici panelleri, API ağ geçitleri, DWH/BI, altyapı (K8s/bulut), satıcılarla entegrasyon.
2) Ne günlüğe kaydedilir (olay sınıfları)
1. Tanımlama ve erişim: giriş/çıkış, MFA, şifre/anahtar değişikliği, SSO, "kırılma camı" erişimi.
2. İdari eylemler: rollerde/haklarda değişiklikler, yapılandırmalar, dolandırıcılıkla mücadele/yaptırım kuralları, özellik bayrakları.
3. PII/finansal verilerle yapılan işlemler: okuma/dışa aktarma/silme, yükleme, KYC'ye erişme, VIP profillerini görüntüleme.
4. İşlemler ve para: Nakit çıkışları/mevduat, iptaller, iadeler, ters ibraz kararları.
5. Uyum/AML/KYC: tarama sonuçları (yaptırımlar/PEP/Advers Medya), kararlar (TP/FP), EDD/STR/SAR.
6. Olaylar ve güvenlik: yükselmeler, WAF/IDS kural değişiklikleri, hizmet izolasyonu, gizli rotasyon.
7. Entegrasyonlar/satıcılar: API çağrıları, hatalar, zaman aşımları, dışa aktarma, veri silme/iade onayları.
3) Zorunlu etkinlik alanları (minimum)
'event _ id' (UUID), 'ts _ utc', 'ts _ local', 'source _ service', 'trace _ id'/' span _ id'
'actor _ type' (kullanıcı/hizmet/satıcı), 'actor _ id' (güçlü tanımlayıcı), 'actor _ org' (B2B ise)
'subject _ type' (account/tx/document/dataset), 'subject _ id'
'Eylem' (örneğin, 'READ _ PII', 'EXPORT _ DATA', 'ROLE _ UPDATE', 'PARA ÇEKME _ ONAYLAMA')
'result' (başarı/inkar/hata) и 'reason'/' error _ code'
'ip', 'device _ fingerprint', 'geo' (ülke/bölge), 'auth _ context' (MFA/SSO)
'fields _ accessed'/' scope' (PII/finansal verilerle çalışırken) - maskeleme ile
'purpose'/' ticket _ id' (sebep: DSAR, olay, regülatör talebi, operasyonel görev)
4) Değişmezlik ve kanıtlanabilirlik
"Altın" kopya için WORM depolama (değişmez kovalar/saklama politikaları).
Kripto imza/hash zinciri: periyodik olarak olayların yığınlarını imzalama ve/veya değişiklikleri tanımlamak için bir hash zinciri (hash zincirleme) oluşturma.
Şemalarda/kurallarda yapılan değişikliklerin günlüğü: sürüm şemaları ve kayıt politikası; Herhangi bir düzenleme CAB'den geçer.
Çift döngülü depolama: çevrimiçi dizin (arama) + arşiv/değişmezlik.
5) Zaman senkronizasyonu ve izleme
Tüm ortamlarda tek NTP/Chrony; Günlüklerde - 'ts _ utc'bir hakikat kaynağı olarak.
Her günlüğe - 'trace _ id'/' span _ id' taleplerin uçtan uca izlenmesi için (hizmetler, satıcılar ve ön taraf arasındaki korelasyon).
6) Gizlilik ve sırlar
Yasak: şifreler, belirteçler, tam PAN/CSC, tam belge numaraları, ham biyometri.
Varsayılan maskeleme: e-posta/telefon/IBAN/PAN - belirteçler/kısmi ekran.
Aliasing: 'user _ id' - analitikte kararlı belirteç; Gerçek bir kimliğe bağlanma - sadece korumalı bir döngüde.
DSAR uyumluluğu: Yabancı PII'yi açığa çıkarmadan konuya göre günlükleri seçici olarak çıkarma yeteneği.
7) Raf ömrü ve seviyeleri (tutma)
Belirli son tarihler, yargı yetkileri, lisanslar ve sözleşmeler (PSP/KYC/cloud) dikkate alınarak Legal/Compliance tarafından onaylanır.
8) Erişim ve Kontrol (RBAC/ABAC)
Denetim günlüğü okuma rolleri yönetim rollerinden ayrıdır.
Otomatik iptal/nedenlerin günlüğe kaydedilmesiyle MFA ve Just-in-Time erişimi (kırılma camı).
"Minimum" politika: PII/finansal alanlara yalnızca gerektiğinde ve "amaç" tespiti ile erişim.
Dışa aktarma/yükleme: hedeflerin ve formatların beyaz listeleri; zorunlu imza/karma, yükleme günlüğü.
9) SIEM/SOAR/ETL entegrasyonu
Denetim olayı akışı, korelasyonlar için SIEM'e girer (örneğin, yeni cihazdan kütle 'READ _ PII' + girişi).
SOAR playbooks: politikaların ihlali için otomatik biletler ("amaç" yok, anormal hacim, pencerenin dışına erişim).
ETL/DWH: 'audit _ access', 'pii _ export', 'admin _ changes' pencereleri kalite kontrol ve şema sürümleri ile değiştirir.
10) Veri kalitesi ve doğrulayıcılar
Kod olarak şemalar (JSON/Protobuf/Avro): gerekli alanlar, türler, sözlükler; CI doğrulayıcıları.
Şema hatası olan olaylar için reddetme ve karantina kuyruğu; hurda metrikleri.
'(event_id, trace_id, ts)'ile veri tekilleştirme/idempotency; Yeniden iletim kontrolü.
11) RACI
12) SOP: Veri Erişimi Araştırması
1. Tetikleyici: SIEM uyarısı (anormal 'READ _ PII'/dışa aktarma), şikayet, satıcıdan sinyal.
2. Eserlerin toplanması: olayları 'actor _ id'/' subject _ id'/' trace _ id', 'purpose' log, ilgili loglar (WAF/IdP) ile boşaltma.
3. Yasallığın doğrulanması: bir vakfın varlığı (DSAR/olay/hizmet görevi), koordinasyon, erişim pencereleri.
4. Etki değerlendirmesi: PII kapsamı/kategorileri, yargı alanları, konular için risk.
5. Çözüm: olay köprüsü (Yüksek/Kritik olduğunda), sınırlama (erişimlerin iptali, tuş dönüşü).
6. Rapor ve CAPA'lar: nedenler, ihlal edilen politikalar, önlemler (maskeleme, eğitim, RBAC değişiklikleri), son tarihler.
13) SOP: Veri İhracatı (Regülatör/Ortak/DSAR)
1. İstek - kuruluş ve kimliğin doğrulanması (DSAR için) - DWH'ye talebin oluşturulması.
2. Varsayılan olarak depersonalizasyon/minimizasyon; PII'nin yalnızca yasal gerekçelerle dahil edilmesi.
3. İndirme üretimi (CSV/JSON/Parquet) - imza/karma - indirme günlüğüne yazın (kim/ne zaman/ne/to/reason).
4. Onaylanmış bir kanal üzerinden transfer (sFTP/Güvenli bağlantı); Kopyalama tutma süresi - politikaya göre.
5. İnceleme sonrası: makbuzun onaylanması, geçici dosyaların silinmesi.
14) Metrikler ve KRI'lar/KPI'lar
Kapsam: Denetim olayları gönderen kritik sistemlerin payı %95 ≥.
DQ hataları: doğrulayıcı ≤ 0 tarafından reddedilen olaylar. Akışın %5'i.
Akış kaybının MTTD'si: ≤ 15 dakika (sessizlikte uyarı).
'Amaç' olmadan anormal erişimler: = 0 (KRI).
Araştırmaya yanıt süresi: Medyan ≤ 4 h, P95 ≤ 24 h.
İmzalı/karma ihracat: %100.
Tutma: Zamanında silme/arşivleme ≥ %99.
15) Satıcı ve alt işlemci gereksinimleri
DPA/SLA: denetim günlüklerinin tanımı (şemalar, terimler, coğrafya, ihracat formatı), WORM/değişmezlik, olay bildirimlerinin SLA'sı.
Satıcı erişimi: adlandırılmış hizmet hesapları, eylemlerinin günlükleri, seçici denetim olasılığı.
Offboarding: anahtar iptali, günlüklerin dışa aktarılması/silinmesi, kapanış eylemi, yedek imha onayı.
16) Manipülasyona karşı güvenlik ve koruma
Rollerin ayrılması: kaynak yöneticisi ≠ depolama yöneticisi ≠ denetçi.
Ajan/toplayıcı imzası, bileşenler arasında mTLS.
Kurcalama önleyici kontroller: Karmaların karşılaştırılması, düzenli bütünlük kontrolleri, tutarsızlıklar için uyarılar.
WORM kopyalarının geo-replikasyonu ve düzenli kurtarma testleri.
17) Tür hataları ve anti-desenler
Hassas değerlerin günlüğe kaydedilmesi (PAN/secrets) - redaksiyon-ara katman yazılımının anında dahil edilmesi.
PII'ye erişirken 'amaç'/' ticket _ id' eksik.
Yerel yüklemeler "masaüstüne've e-posta ile gönderme.
Tek bir şema ve doğrulama eksikliği - sessiz alanlar, korelasyon imkansızlığı.
Bir kişiye veya hizmete bağlı olmadan tek bir süper hesap.
18) Kontrol listeleri
18. 1 Politika Başlatma/İnceleme
- Şemalar ve sözlükler onaylanmıştır; Gerekli alanlar dahil
- Maskeleme ve sırlar üzerindeki yasaklar etkin
- NTP yapılandırılmış,'trace _ id'her yerde
- Sıcak/Sıcak/Soğuk/WORM katmanları istiflenir
- RBAC/ABAC ve kırılma camı tasarlanmıştır
- SIEM/SOAR entegre, uyarılar test edildi
18. 2 Aylık denetim
- İhracat Seçimi: İmzalar/Günlükler Doğru
- Tutma/silme işlemlerini kontrol edin/Yasal Bekletme
- DQ metrikleri Tamam, karantina ayrıştırma
- Satıcı günlükleri mevcut/dolu
19) Uygulama Yol Haritası
1-2. Haftalar: sistemlerin envanteri, şemaların ve zorunlu alanların koordinasyonu, zaman ve izleme ayarları.
3-4. Haftalar: maskeleme, WORM katmanı, SIEM/SOAR entegrasyonu, ihracat günlüklerinin çalıştırılması.
Ay 2: doğrulayıcı/uyarı otomasyonu, soruşturma oyun kitapları, takım eğitimi.
Ay 3 +: düzenli denetimler, bütünlük stres testleri, katmanlama, satıcı/sözleşme denetimleri.
TL; DR
Güçlü denetim izleri = tam ve yapılandırılmış olaylar + değişmezlik (WORM) ve imzalar + PII maskeleme + sabit erişim ve yükleme günlükleri + SIEM/SOAR entegrasyonu. Bu, araştırmaları hızlandırır, riskleri azaltır ve uygunluğu kanıtlanabilir kılar.