GH GambleHub

Denetim izi Etkinlik Takibi

1) Denetim izi nedir ve neden gereklidir

Denetim izi, sistemler ve verilerle yapılan işlemlerle ilgili kanıtlanabilir bir olaylar zinciridir: kim, ne, nerede, ne zaman ve ne şekilde yaptı, hangi sonuçla ve hangi istek/bilete dayanarak.

Hedefler:
  • Düzenleyiciler ve denetçiler için kanıt.
  • Araştırmalar ve yanıt (olayların zaman çizgisi, kök neden).
  • Politika yürütme onayı (SoD, saklama, silme/anonimleştirme).
  • Üçüncü tarafların ve alt işlemcilerin denetimi.

2) Kapsam (minimum kayıt)

Kimlikler ve erişim (IAM/IGA): oturum açma/oturum açma, rollerin sorun/iptali, ayrıcalıkların artması, JIT erişimi.
Veri ve gizlilik: PI alanlarını okuma/değiştirme, yükleme, maskeleme, silme/TTL, Yasal Bekletme.
Finans/işlemler: oluşturma/güncelleme/iptal, limitler, geri dönüşler, dolandırıcılık karşıtı eylemler.
Altyapı/bulut: yapılandırma değişiklikleri, sırlar, anahtarlar, KMS/HSM işlemleri.
SDLC/DevSecOps: oluşturur, dağıtmak, kapıları maç, kütüphane pull-up (SCA), gizli tarama.
Operasyonlar/ITSM: Olaylar, Değişiklikler, Bültenler, Yükselmeler, DR/BCP Testleri.
Webhooks/3rd-party: gelen/giden aramalar, imza, doğrulama sonuçları.

3) Olay modeli (kanonik format)

Önerilen JSON (yapılandırılmış/OTel uyumlu): 
json
{
"ts": "2025-11-01T11:23:45.678Z",
"env": "prod",
"tenant": "eu-1",
"system": "iam",
"domain": "access",
"actor": {"type":"user","id":"u_123","source":"sso","ip":"0.0.0.0"},
"subject": {"type":"role","id":"finance_approver"},
"action": "grant",
"reason": "ITSM-12345",
"result": "success",
"severity": "info",
"labels": {"jurisdiction":"EEA","pii":"no","sod_check":"passed"},
"trace": {"request_id":"r_abc","trace_id":"t_456","span_id":"s_789"},
"integrity": {"batch":"b_20251101_11","merkle_leaf":"..."}
}

Gerekli alanlar't, aktör, eylem, konu, sonuç'dur.
Önerilen: 'sebep (bilet/sipariş), trace_id/request_id, kiracı, yargı yetkisi'.

4) Kalite ve semantik ilkeleri

Kesinlikle yapılandırılmış: Sadece JSON/OTel; Alanların ve eylem kodlarının tek bir sözlüğü.
Zaman senkronizasyonu: NTP/PTP, mağaza 'ts've' received _ at '.
Korelasyon, uçtan uca izleme için 'trace _ id'/' request _ id'dir.
Kayıtların idempotensi: partilerin deterministik anahtarları, kopyalara karşı koruma.
Aktör normalleştirme: kimlik doğrulama kaynağı olan kişi/hizmet/bot/satıcı.

5) Denetim izi mimarisi

1. Üreticiler: uygulamalar, platformlar, bulutlar, ev sahibi ajanlar.
2. Kollektörler/veri yolu: güvenilir teslimat (TLS/mTLS, retrai, geri basınç, dedup).
3. Zenginleştirme/normalleştirme: tekdüze şemalar, rol/yargı haritalama.

4. Depolama:
  • Sıcak (arama/analitik) - 30-90 gün.
  • Soğuk (nesne/arşiv) - normlara bağlı olarak 1-7 yıl.
  • WORM/Nesne Kilidi - kanıtsal değişmezlik.
  • 5. Bütünlük: partilerin imzası, karma zincirleri, günlük çapalama (merkly kökleri).
  • 6. Erişim: RBAC/ABAC, vaka tabanlı erişim.
  • 7. Analiz/uyarılar: SIEM/SOAR, korelasyonlar, davranış kuralları.
  • 8. Olay kataloğu: şema sürümü, etkinlik referansı, CI'da şema testleri.

6) Değişmezlik ve hukuki önemi

WORM/Object Lock: Talep süresince silinmeyi/yeniden yazmayı önler.
Kriptografik sabitleme: SHA-256 partiler, neşeli ağaçlar, dış çapalama (programa göre).
Gözetim Zinciri: Günlüğe erişim günlüğü (kim ve ne zaman okunur/dışa aktarılır), raporlardaki hash makbuzları.
Düzenli doğrulama: bütünlük görevleri; Eşzamansızlık sırasında uyarı.

7) Gizlilik ve minimize etme

PI'yi en aza indirin: günlük karmaları/belirteçleri, maske alanları (e-posta/telefon/IP).
İçerik yerine bağlam: tam yükü değil, "gerçek işlemi" yakalayın.
Yargı bölgeleri ve sınırlar: ülkeye göre depolama (veri ikameti), sınır ötesi transfer için işaretler.
DSAR ve depersonalizasyon: hızlı arama için etiketler, maskeleme ile dışa aktarma.

8) Erişim kontrolü (denetim izini gören)

RBAC/ABAC: Analist minimum görür; Yalnızca uygulama/durum ile dışa aktarma.
Vaka tabanlı erişim: soruşturma/denetim - günlük kaydı ile geçici erişim.
Görevlerin Ayrılması: Sistem yöneticilerinin kendi izlerini düzenlemesini yasaklar.
Aylık sertifikasyon: Okuma/ihracat haklarının yeniden belgelendirilmesi.

9) Retansiyon, Yasal Tutma ve Kaldırma

Depolama programları: etki alanlarına ve normlara göre (örneğin, erişim - 1 yıl, finansal işlemler - 5-7 yıl).
Yasal Bekletme: İlgili olayların derhal dondurulması, TTL'ye göre öncelik.
Silme onayı: silinen partilerin özet özetini içeren rapor.
Üçüncü taraf için uçtan uca saklama: sözleşmeli depolama/erişim/silme SLA'ları.

10) Panolar ve raporlar

Kapsam: Hangi sistemlerin/yargı alanlarının kapsandığı; boşluklar.
Bütünlük/WORM - demirleme durumu ve bütünlük kontrolleri.
Denetim İzine Erişim: Kim İzliyor/Ne İhraç Ediyor; Anomaliler.
Değişiklik ve Yönetici Etkinliği: hassas eylemler (ayrıcalıklar, anahtarlar, sırlar).
Gizlilik Lensi: PI üzerinden olaylar, DSAR/silme, Yasal Bekletme.
Uyumluluk Görünümü: denetimler/talepler için "düğmeyle" hazır olma.

11) Metrikler ve SLO

Yutma Lag p95 ≤ 60 sn

Düşme Oranı = 0 (uyarı> 0. 001%).
Şema Uyumluluğu ≥ 99. 5%.
Bütünlük Geçişi = kontrollerin %100'ü.
Kapsama Kritik Sistemler ≥ %98.
Access Review SLA: %100 aylık yetki değerlendirmeleri.
PII Sızıntı Oranı: Denetim izinde 0 kritik.

12) SOP (standart prosedürler)

SOP-1: Kaynak bağlantısı

1. Kaynak ve kritiklik kaydı 2) TLS/mTLS şemasının seçimi 3) TLS/mTLS şeması, tuşlar 4) kuru çalıştırma (şemaların/maskelerin doğrulanması) 5) üretime bırakma 6) dizinlere ve panolara dahil olma.

SOP-2: Düzenleyici İstek/Denetime Yanıt

Kasayı açın, olayları nesneye/döneme göre filtreleyin, hash makbuzuyla dışa aktarın, yasal inceleme yapın, resmi kanaldan gönderin, WORM'a arşivleyin.

SOP-3: Olay (DFIR)

Freeze (Legal Hold) - trace_id zaman çizelgesi - özüt eserler (anahtar eylemler) - kanıtlarla rapor - CAPA ve güncelleme algılamaları.

SOP-4: TTL Silme

Silinmeye hazır grupları belirleyin - eksik Yasal Bekletmeyi kontrol edin - silin - özet özet içeren bir silme raporu oluşturun.

13) Kural/Sorgu Örnekleri

Ayrıcalıklarda kritik artış aranıyor (SQL pseudo)

sql
SELECT ts, actor.id, subject.id
FROM audit_events
WHERE domain='access' AND action='grant'
AND subject.id IN ('admin','db_root','kms_manager')
AND reason NOT LIKE 'ITSM-%'
AND ts BETWEEN @from AND @to;

SoD kuralı (sözde-Rego)

rego deny_if_sod_conflict {
input.domain == "access"
input.action == "grant"
input.subject.id == "payment_approver"
has_role(input.actor.id, "payment_creator")
}

DSAR üzerinde filtre (JSONPath)


$.events[?(@.domain=='privacy' && @.action in ['dsar_open','dsar_close','delete'])]

14) Oranlara eşleme (kıyaslamalar)

GDPR (m. 5, 30, 32, 33, 34): minimizasyon, eylem hesapları, işlem güvenliği, olay bildirimleri; DSAR/silme/Yasal Bekletme.
ISO/IEC 27001/27701: A.12/A. 18 - günlük tutma, kanıt yönetimi, gizlilik.
SOC 2 (CC6/CC7/CC8): erişim kontrolü, izleme, olay işleme, günlük bütünlüğü.
PCI DSS (10. x): harita verileri ve sistemleri üzerindeki eylemlerin izlenebilirliği, günlük inceleme, günlük bütünlüğü.

15) Diğer fonksiyonlarla entegrasyon

Kod Olarak Uyumluluk/CCM: politika testleri yürütülür ve günlüğe kaydedilir; Uyarılar - sapmalar için.
RBA (risk denetimi): Denetim izi verilerine göre örnekler ve reperformlar.
Satıcı Riski: Sözleşmelerdeki denetim ve ihracat hakları; Müteahhitlerle ayna tutma.
Policy Lifecycle - gereksinimlerde yapılan değişiklikler - yeni kuralların ve şema alanlarının otomatik olarak oluşturulması.

16) Antipatterns

Şemalar ve semantikler olmadan "serbest metin".
Bir olayı bir bilet/sebep ile ilişkilendirememe.
Vaka ve okuma günlüğü olmadan'herkes için "erişin.
WORM/imza eksikliği - tartışmalı kanıt.
Zaman dilimlerini karıştırma ve senkronizasyon dışı 'ts'/' received _ at'.
Özet/maskeler yerine "tam" PI/sırları günlüğe kaydetme.

17) Olgunluk modeli (M0-M4)

M0 Kılavuzu: dağınık günlükler, eksik kapsama, saklama yok.
M1 Merkezileştirilmiş koleksiyon: temel arama, kısmen birleştirilmiş biçim.
M2 Yönetilen: olay dizini, kod olarak şemalar, tutma/Yasal Tutma, RBAC.
M3 Garantili: WORM+анкеринг, vaka tabanlı erişim, KPI/SLO, otomatik kanıt.
M4 Sürekli Güvence: izleme, öngörücü algılama, "butonla denetime hazır".

18) İlgili wiki makaleleri

Günlük Kaydı ve Günlük Kaydı

Sürekli Uyumluluk İzleme (CCM)

KPI'lar ve uyumluluk metrikleri

Yasal Tutma ve Veri Dondurma

Politikalar ve Prosedürler Yaşam Döngüsü

Uyumluluk çözümlerinin iletişimi

Uyum politikası değişim yönetimi

Durum Tespiti ve Dış Kaynak Kullanımı Riskleri

Sonuç

Güçlü bir denetim izi, "duruma göre" net erişim, uçtan uca izleme ve kontrollü tutma ile yapılandırılmış, değiştirilemez ve bağlamsal olaylardır. Böyle bir sistem araştırmaları hızlandırır, denetimleri öngörülebilir kılar ve uygunluğu tekrarlanabilir, ölçülebilir bir sürece dönüştürür.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.