GH GambleHub

Günlük Kaydı ve Günlük Kaydı

1) Neden günlüklere ve protokollere ihtiyacımız var?

Günlükler kuruluşun'kara kutusu'dur: denetimler ve soruşturmalar için kanıt sağlar, operasyonel ve düzenleyici riski azaltır, olayların seyrini geri yüklemenize ve politikaların (erişim, saklama, şifreleme, KYC/AML, PCI, vb.)

Hedefler:
  • İzleme eylemleri (kim/ne/ne/ne zaman/nerede/neden/ne).
  • Olay algılama ve önleme (dedektif ve önleyici kontroller).
  • Düzenleyiciler/denetçiler için kanıt tabanı (değişmezlik).
  • SLA/SLO performans ve uyumluluk analizi.

2) Günlüklerin taksonomisi (minimum kapsama alanı)

Erişimler ve Kimlikler (IAM/IGA): Kimlik Doğrulama, Rol Değiştirme, SoD, JIT Erişimleri.
Altyapı/bulut/IaC: API çağrıları, yapılandırma sürüklenmesi, KMS/HSM olayları.

Uygulamalar/İş - İşlemler, PI/Finansal, Sorgu Yaşam Döngüsü (DSAR)

Güvenlik: IDS/IPS, EDR, DLP/EDRM, WAF, güvenlik açıkları/yamalar, antivirüs.
Ağ: güvenlik duvarı, VPN/Sıfır Güven, proxy, DNS.
CI/CD/DevSecOps: builds, depla, SAST/DAST/SCA, secret scan.
Veri/analitik: soy, mağaza erişimi, maskeleme/anonimleştirme.
Operasyonlar: ITSM/biletler, olaylar, değişim yönetimi, DR/BCP testleri.
Vendors/3rd-party: webhooks, SSO federasyonu, SLA etkinlikleri.

3) Düzenleyici gereklilikler (kılavuzlar)

GDPR/ISO 27701: küçültme/maskeleme PI, programda tutma, Yasal Bekletme, DSAR izleme.
SOC 2/ISO 27001: denetim izleri, günlük erişim kontrolü, kontrol yürütme kanıtı.
PCI DSS: medya/kart verilerine erişim, günlük bütünlüğü, günlük inceleme.
AML/KYC: Kontrollerin izlenebilirliği, yaptırım/PEP taraması, STR/SAR protokolleri.

4) Günlüğün referans mimarisi

1. Üreticiler: uygulamalar, bulut, ağ, ana bilgisayar aracıları.
2. Veri yolu/toplayıcılar: geri basınç, yeniden deneme, TLS mTLS, veri tekilleştirme.
3. Normalleştirme: tek format (JSON/OTel), zenginleştirme (kiracı, kullanıcı, coğrafi, şiddet).

4. Kasalar:
  • Sıcak (arama/SIEM): 7-30 gün, hızlı erişim.
  • Soğuk (nesne): aylar/yıllar, ucuz depolama.
  • Arşiv kanıtı (WORM/Nesne Kilidi): değişmezlik, hash makbuzları.
  • 5. Bütünlük ve imza: karma zincirler/merkley ağacı/zaman damgaları.
  • 6. Erişim ve güvenlik: RBAC/ABAC, yargı alanına göre segmentasyon, vaka tabanlı erişim.
  • 7. Analiz ve uyarılar: SIEM/SOAR, korelasyon kimliği, oyun kitapları.
  • 8. Kataloglar ve şemalar: olay tipi kayıt defteri, sürüm oluşturma, şema testleri.

5) Policies-as-code (YAML örnekleri)

Tutma ve Yasal Tutma

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

Bütünlük ve imza

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) Günlük kalitesi gereksinimleri

Yapılandırma: Yalnızca JSON/OTel, ham metin yok.
Zaman senkronizasyonu: NTP/PTP, sürüklenme kontrolü; 'estamp', 'received _ at' entry.
Korelasyon kimlikleri: 'trace _ id', 'span _ id', 'request _ id', 'user _ id' (takma ad).
Alan semantiği: veri sözlüğü ve test şeması sözleşmesi.
Yerelleştirme/dil: alanlar - İngilizce anahtarlar, değerler - birleşik (enum).
Hacim ve düşüş politikası: kontrolsüz düşüşün yasaklanması; kuyruklar/kotalar/risk örneklemesi.
Hassas veriler: maskeleme/tokenization; Tamamen sır/kart saklama yasağı.

7) Gizlilik ve minimize etme

PII hijyeni: değerler yerine günlük hash/token; E-posta/telefon/IP için sıkı maske.
Bağlam: Kişisel verilerle sebepsiz yere ödeme yapmayın.
Yargı bölgeleri: Ülkeye göre depolama ve erişim (veri ikameti), kopyaların izlenebilirliği.
DSAR: arama etiketleri ve duruma göre ihracat; Depersonalization ile raporları yazdırma yeteneği.

8) Değişmezlik ve kanıt

WORM/Nesne Kilidi - dönemde silinmeyi/üzerine yazmayı önler.
Kripto imzası: partilerin imzası; Merkli günlük çapalama ile köklenir.
Gözetim zinciri: giriş kayıtları, hash makbuzları, raporlardaki kotalar.
Doğrulama: periyodik bütünlük kontrolleri ve senkronizasyon dışı uyarılar.

9) Günlük erişim kontrolü

RBAC/ABAC: sadece rolleri oku/ara vs dışa aktarma/paylaşma.
Vaka tabanlı erişim: hassas günlüklere erişim - yalnızca bir soruşturma/biletin parçası olarak.
Sırlar/anahtarlar: KMS/HSM; rotasyon, split-knowledge, dual-control.
Erişim denetimi:'hangi günlükleri okuyan "+ anomalilere karşı uyaran ayrı bir dergi.

10) Metrikler ve SLO günlüğü

Yutma Gecikmesi: Alım gecikmesinin yüzde 95'i (hedef ≤ 60 saniye).
Düşme Oranı: kaybedilen olayların yüzdesi (hedef 0; Uyarı> 0. 001%).
Şema Uyumluluğu: Şema tarafından doğrulanan olayların yüzdesi (≥ 99. 5%).
Kapsam: Merkezi kayıt altındaki sistemlerin %'si (≥ %98 kritik).
Bütünlük Geçişi: Başarılı hash zinciri kontrolleri (%100).
Erişim İncelemesi: aylık hak talebi, gecikme - 0.
PII Sızıntı Oranı: günlüklerde "temiz" PI'lar tespit edildi (hedef 0 kritik).

11) Gösterge Panoları (minimum set)

Yutma ve Gecikme: hacim/hız, gecikme, düşme, kaplıcalar.
Bütünlük ve WORM: bağlantı durumu, doğrulamalar, Nesne Kilidi.
Güvenlik Olayları: kritik korelasyonlar, MITRE kartı.
Günlüklere Erişim: Kim ve Ne Okundu/Dışa Aktarıldı; Anomaliler.
Uyumluluk Görünümü: saklama/Yasal Tutma durumları, denetim raporları, DSAR dışa aktarma.
Şema Sağlığı: ayrıştırma hataları/şema sürümleri, eski ajanların yüzdesi.

12) SOP (standart prosedürler)

SOP-1: Günlük kaynak bağlantısı

1. Kaynak ve kritiklik kaydı 2 )/OTel'in seçimi 3) TLS/mTLS şeması, belirteçler

2. evrelemede kuru çalışma (şemaların doğrulanması, PII maskeleri) - 5) üretimde bağlantı

3. Dizinlere/panolara ekleme - 7) tutma/WORM doğrulaması.

SOP-2: Olay yanıtı (kanıt olarak günlükler)

Detect> Triage> case-scope> Legal Hold

Hash Capture and Anchoring - Analytics/Timeline - Rapor ve CAPA - Ders Yayını.

SOP-3: Reg İstek/Denetim

1. Kasayı ve filtreleri istek kimliğine göre açın - 2) gerekli formata dışa aktarın

2. Yasal/Uygunluk doğrulaması - 4) özet özet - 5) gönderme ve kaydetme.

SOP-4: Günlük erişimi revizyonu

Sahiplerin aylık sertifikasyonu; "Yetim" haklarının oto-kükremesi; SoD raporu.

13) Formatlar ve örnekler

Erişim Olayı Örneği (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

Algılama kuralı (sözde-Rego)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) Roller ve RACI

RolSorumluluk
Log Platform Sahibi (A)Güvenilirlik, güvenlik, elde tutma, bütçeler
Uyumluluk Mühendisliği (R)Policies-as-code, schemes, retention/Legal Hold (Kod Olarak Politikalar)
SecOps/DFIR (R)Algılamalar, soruşturmalar, SOAR oyun kitapları
Veri Platformu (R)DWH/kataloglar, ihracat, kanıt vitrinleri
IAM/IGA (C)Erişim Kontrolü, Tasdik, SoD
Yasal/DPO (C)Gizlilik, reg pozisyonu, DSAR/Yasal Bekletme
İç denetim (I)Prosedürlerin ve eserlerin doğrulanması

15) Satıcı ve Tedarik Zinciri Yönetimi

Sözleşmelerde: günlükleri, formatları, SLA depolama ve erişim, WORM/değişmezliği denetleme hakkı.
Alt işlemciler: kaynak kaydı ve "uçtan uca" tutma.
Export/offboarding: imha onayı ve özet özet raporu.

16) Antipatterns

Diyagramlar ve korelasyon olmadan "serbest metin'de oturum açar.
WORM ve hash fiksasyonu olmadan depolama, denetimde bir anlaşmazlıktır.
Günlüklerdeki hassas veriler "olduğu gibi".
Zaman ve normal trace_id senkronizasyonu yoktur.
Yük zirvelerinde olay düşüşü; Sırt basıncı eksikliği.
Vaka kontrolü olmadan günlüklere evrensel erişim.
Yeniden sertifikalandırmadan günlükleri okumak için "ebedi" haklar.

17) Kontrol listeleri

Günlüğe kaydetme işlevini başlatma

  • Kaynak taksonomi ve kritiklik tanımlandı.
  • Saklama planları ve politikaları/Yasal Tutma beyan edildi (kod olarak).
  • TLS/mTLS, belirteçler, otomatik güncelleme ajanları.
  • PII maskeleri/belirteçleri test edildi.
  • WORM/Object Lock ve bağlantı özelliği etkinleştirilmiştir.
  • Gösterge tabloları/uyarılar/metrikler oluşturulur.
  • Erişim revizyonu ve SoD yapılandırılmıştır.

Denetimden Önce/Reg İsteği

  • "denetim paketi" toplandı: şemalar, politikalar, bütünlük raporları, örnekler.
  • Dönem için bütünlük ve erişim günlüklerini denetler.
  • DSAR/Legal Hold durumları onaylandı.
  • Yükleme ve gönderme onayının özet özeti oluşturuldu.

18) Olgunluk modeli (M0-M4)

M0 Kılavuzu: dağınık günlükleri, hiçbir düzenleri ve retentions.
M1 Merkezi koleksiyon: temel arama, kısmi taksonomi.
M2 Managed: şemalar ve kod olarak ilkeler, gösterge panoları, retention/WORM.
M3 Entegre: OTel izleme, SOAR, ankraj/merk, vaka tabanlı erişim.
M4 Güvence: "Denetime hazır düğme", öngörücü tespitler, otomatik bütünlük kontrolü ve yasal olarak önemli makbuzlar.

19) İlgili wiki makaleleri

Sürekli Uyumluluk İzleme (CCM)

KPI'lar ve uyumluluk metrikleri

Yasal Tutma ve Veri Dondurma

Politikalar ve Prosedürler Yaşam Döngüsü

Uyumluluk çözümlerinin iletişimi

Uyum politikası değişim yönetimi

Durum Tespiti ve Dış Kaynak Kullanımı Riskleri

Toplam

Güçlü bir günlüğe kaydetme işlevi bir "mesaj deposu'değil, yönetilen bir sistemdir: yapılandırılmış olaylar, katı şemalar ve izinler, değişmezlik ve imza, varsayılan gizlilik, sıkı erişim kontrolü ve kanıtlara çoğaltma. Böyle bir sistem soruşturmaları hızlı, denetimleri öngörülebilir ve riskleri yönetilebilir hale getirir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.