GH GambleHub

Jurnallar va protokollarni yuritish

1) Jurnallar va bayonnomalar nima uchun kerak?

Jurnallar - tashkilotning «qora qutisi»: ular audit va tekshiruvlar uchun dalillarni (evidence) ta’minlaydi, operatsion va tartibga solish xavfini kamaytiradi, voqealarning borishini tiklaydi va siyosatning bajarilishini tasdiqlaydi (access, retensiya, shifrlash, KYC/AML, PCI va boshqalar).

Maqsadlar:
  • Harakatlarni izlash (kim/nima/qachon/qaerda/nima/nima).
  • Hodisalarni aniqlash va to’xtatib turish (detektiv va preventiv nazorat).
  • Regulyatorlar/auditorlar uchun dalillar bazasi (immutability).
  • SLA/SLO unumdorligi va muvofiqligi tahlili.

2) Loglarning taksonomiyasi (minimal qamrov)

Kirish va identifikatsiyalar (IAM/IGA): autentifikatsiya, rollarni o’zgartirish, SoD, JIT kirish.
Infratuzilma/bulutlar/IaC: API chaqiruvlari, konfiguratsiya dreyfi, KMS/HSM hodisalari.
Ilovalar/biznes: tranzaksiyalar, PI/moliya bilan operatsiyalar, so’rovlarning hayot sikli (DSAR).
Xavfsizlik: IDS/IPS, EDR, DLP/EDRM, WAF, zaifliklar/patchlar, antivirus.
Tarmoq: firewall, VPN/Zero Trust, proksi, DNS.
CI/CD/DevSecOps: yigʻishlar, deploy, SAST/DAST/SCA, sir-skan.
Ma’lumotlar/tahlillar: lineage, vitrinalarga kirish, niqoblash/anonimlashtirish.
Operatsiyalar: ITSM/biletlar, hodisalar, change-management, DR/BCP testlari.
Vendorlar/3rd-party: vebxuklar, SSO federatsiyasi, SLA voqealari.

3) Normativ talablar (mo’ljallar)

GDPR/ISO 27701: PI ni minimallashtirish/kamuflyaj qilish, jadval bo’yicha retensiya, Legal Hold, DSAR-trassirovkasi.
SOC 2/ISO 27001: audit-treyllar, loglarga kirishni nazorat qilish, nazorat bajarilishining dalillari.
PCI DSS: chorshanba/xarita ma’lumotlari, jurnallarning yaxlitligi, kundalik sharh.
AML/KYC: tekshiruvlarning izlanishi, sanksiya/RER-skrining, STR/SAR protokollari.

4) Logografiyaning referens arxitekturasi

1. Producers: dasturlar, bulut, tarmoq, xost agentlari.
2. Shina/kollektorlar: back-pressure, retry, TLS mTLS bilan qabul qilish, deduplikatsiya.
3. Normallashtirish: yagona format (JSON/OTel), boyitish (tenant, user, geo, severity).

4. Saqlovchilar:
  • Issiq (qidirish/SIEM): 7-30 kun, tezkor kirish.
  • Sovuq (obyekt): oylar/yillar, arzon saqlash.
  • Arxiv-evidence (WORM/Object Lock): o’zgarmas, xesh-kvitansiyalar.
  • 5. Yaxlitlik va imzo: xeshey zanjirlari/merkli daraxti/vaqtinchalik belgilar.
  • 6. Kirish va xavfsizlik: RBAC/ABAC, yurisdiksiyalar bo’yicha segmentatsiya, keys-bazali kirish.
  • 7. Tahlillar va alertlar: SIEM/SOAR, correlation ID, playbooks.
  • 8. Kataloglar va sxemalar: voqealar turlari reyestri, versioning, sxemalar testlari.

5) Kod kabi siyosatlar (YAML misollari)

Retensiya va Legal Hold

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

Yaxlitlik va imzo

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) Jurnallar sifatiga qo’yiladigan talablar

Tuzilishi: faqat JSON/OTel, «xom» matnsiz.
Vaqtni sinxronlashtirish: NTP/PTP, drift nazorati; ’timestamp’,’received _ at’yozuvi.
Correlation IDs:’trace _ id’,’span _ id’,’request _ id’,’user _ id’(taxallusi).
Dalalar semantikasi: lugʻat (data dictionary) va testlar bilan kontrakt sxemasi.
Lokalizatsiya/til: maydonlar - inglizcha kalitlar, qiymatlar - unifikatsiyalangan (enum).
Drop siyosati va hajmi: nazoratsiz drop taqiqlash; xavf bo’yicha navbatlar/kvotalar/sampling.
Sezgir ma’lumotlar: maskalash/tokenlash; sirlarni/xaritalarni to’liq saqlashni taqiqlash.

7) Maxfiylik va minimallashtirish

PII-gigiyena: qiymatlar o’rniga xesh/tokenlarni loglaymiz; email/telefon/IP uchun qattiq niqob.
Kontekst: Hech qanday asossiz shaxsiy maʼlumotlar bilan payload yozib boʻlmaydi.
Yurisdiksiyalar: mamlakat bo’ylab saqlash va foydalanish (data residency), nusxalarning izlanuvchanligi.
DSAR: qidiruv belgilari va keys boʻyicha eksport; hisobotlarni depersonalizatsiya bilan chop etish imkoniyati.

8) O’zgarmaslik va dalillar (immutability)

WORM/Object Lock: oʻchirish/qayta yozishni taqiqlash.
Kripto imzosi: batcha imzosi; kundalik ankering bilan merkli ildizlari.
Saqlash zanjiri (chain of custody): kirish jurnali, xesh-kvitansiyalar, hisobotlardagi kvitalar.
Verifikatsiya: yaxlitlikni davriy tekshirish va rassinxronizatsiya to’g "risida xabardor qilish.

9) Loglarga kirishni boshqarish

RBAC/ABAC: «oʻqish/faqat qidirish» va «eksport/sharing» rollari.
Case-based access: sezgir loglarga kirish faqat tekshiruv/chipta doirasida amalga oshiriladi.
Sirlar/kalitlar: KMS/HSM; rotatsiya, split-knowledge, dual-control.
Kirish auditi: alohida jurnal «kim nima o’qidi» + anomaliyalarda alertlar.

10) Metrika va SLO logografiyasi

Ingestion Lag: qabul qilishni kechiktirishning 95-persentili (maqsad ≤ 60 sek).
Drop Rate: yoʻqotilgan hodisalar ulushi (0 maqsadi; alert> 0. 001%).
Schema Compliance: sxema validatsiyasidan oʻtgan hodisalar% (99 ≥. 5%).
Coverage: markazlashtirilgan loging tizimlari (≥ 98%).
Integrity Pass: xesh-zanjirlarni muvaffaqiyatli tekshirish (100%).
Access Review: huquqlarni har oyda reklama qilish, kechiktirish - 0.
PII Leak Rate: aniqlangan «toza» PI (0 kritik maqsad).

11) Dashbordlar (minimal to’plam)

Ingestion & Lag: hajm/tezlik, lag, drop, «issiq» manbalar.
Integrity & WORM: ankering, verifikatsiya, Object Lock maqomi.
Security Events: tanqidiy aloqalar, MITRE-karta.
Access to Logs: kim va nima o’qigan/eksport qilgan; anomaliyalar.
Compliance View: retensiya/Legal Hold maqomlari, audit hisobotlari, DSAR-eksport.
Schema Health: parsing/sxemalar versiyasi xatolari, eskirgan agentlar ulushi.

12) SOP (standart tartib-taomillar)

SOP-1: Loglarni ulash

1. Manbani va tanqidiylikni ro’yxatdan o’tkazish → 2) sxemani tanlash/OTel → 3) TLS/mTLS, tokenlar →

2. steyjingda dry-run (sxemalar validatsiyasi, PII-niqoblar) → 5) prodga ulanish →

3. kataloglar/dashbordlarga qoʻshish → 7) retensiyani tekshirish/WORM.

SOP-2: Hodisaga javob (jurnallar evidence sifatida)

Detect → Triage → Loglarni yig’ish (case-scope) → Muzlatish (Legal Hold) →

Xesh-fiksatsiya va ankering → Tahlillar/taymline → Hisobot va CAPA → Darslar soni.

SOP-3: Reg-so’rov/audit

1. Keys va filtrlarni talab qilingan formatga eksport qilish → 2)

2. verifikatsiya Legal/Compliance → 4) xesh-xat → 5) jo’natish va jurnallashtirish.

SOP-4: Loglardan foydalanish taftishi

Egalarini har oyda attestatsiyadan o’tkazish; «yetim qolgan» huquqlarni avto-revok qilish; SoD bo’yicha hisobot.

13) Formatlar va misollar

Kirish hodisasi namunasi (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

Deteksiya qoidasi (psevdo-Rego)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) Rollar va RACI

RolMas’uliyat
Log Platform Owner (A)Ishonchlilik, xavfsizlik, retensiya, budjetlar
Compliance Engineering (R)Siyosat-kod, sxemalar, retensiya/Legal Hold
SecOps/DFIR (R)Deteksiya, tekshirish, SOAR-pleybuklar
Data Platform (R)DWH/kataloglar, eksportlar, evidence-vitrinalar
IAM/IGA (C)Foydalanish chegarasi, attestatsiya, SoD
Legal/DPO (C)Maxfiylik, reg-pozitsiya, DSAR/Legal Hold
Internal Audit (I)Tartib-taomillar va artefaktlarni verifikatsiya qilish

15) Vendorlar va yetkazib berish zanjirini boshqarish

Shartnomalarda: log auditi huquqi, formatlar, saqlash va foydalanish SLA, WORM/immutability.
Subprotsessorlar: manbalar reyestri va «uzluksiz» retensiya.
Eksport/offbording: yo’q qilinganligini tasdiqlash va xesh-xat hisoboti.

16) Antipatternlar

«Erkin matnda», sxemalar va korrelyatsiyasiz.
WORM va xesh-fiksatsiyasiz saqlash - auditda bahsli.
Log’dagi sezgir ma’lumotlar.
Vaqt va normal trace_id sinxronlashuvi yoʻq.
Yuklama cho’qqilaridagi hodisalarni drop; back-pressure yo’qligi.
Keys-nazoratsiz loglarga universal kirish.
Ro’yxatdan o’tmasdan, «abadiy» huquqlar.

17) Chek-varaqlar

Logistika funksiyasini ishga tushirish

  • Manbalarning taksonomiyasi va tanqidiyligi aniqlangan.
  • Retensiya/Legal Hold sxemalari va siyosatlari deklaratsiyalangan (as-code).
  • TLS/mTLS, tokenlar, avtomatik yangilanishga ega agentlar.
  • PII niqoblar/tokenlar sinovdan o’tkazildi.
  • WORM/Object Lock va ankering mavjud.
  • Dashbordlar/alertlar/metriklar ochilgan.
  • Kirish taftishi va SoD moslashtirilgan.

Audit/reg-so’rov oldidan

  • «Audit pack» yig’ilgan: sxemalar, siyosatlar, yaxlitlik hisobotlari, namunalar.
  • Davr uchun integrity va kirish jurnallarini tekshirish.
  • DSAR/Legal Hold maqomi tasdiqlandi.
  • Yuklash va jo’natishni tasdiqlashning xesh-ma’lumotlari shakllantirildi.

18) Etuklik modeli (M0-M4)

M0 Qoʻlda: parchalangan loglar, sxemalar va retensiyalar yoʻq.
M1 Markazlashtirilgan yig’im: bazaviy qidiruv, qisman taksonomiya.
M2 Boshqariladigan: sxemalar va siyosat-kod, dashbordlar, retensiya/WORM.
M3 Integratsiyalashgan: OTel-trasovka, SOAR, ankering/merkli, case-based access.
M4 Assured: «tugma bo’yicha audit-ready», prognoz detektsiyalari, yaxlitlikni avtomatik nazorat qilish va yuridik ahamiyatga ega kvitansiyalar.

19) wiki bilan bog’liq moddalar

Muvofiqlikning uzluksiz monitoringi (CCM)

KPI va komplayens metrikasi

Legal Hold va muzlatish

Siyosat va tartib-taomillarning hayot sikli

Komplayens yechimlar kommunikatsiyasi

Komplayens siyosatidagi oʻzgarishlarni boshqarish

Due Diligence va autsorsing xavfi

Jami

Kuchli logistika funksiyasi «xabarlar ombori» emas, balki boshqariladigan tizim: tuzilishli voqealar, qat’iy sxemalar va retensiyalar, o’zgaruvchanlik va imzo, maxfiylik, maxfiylikni qat’iy nazorat qilish va dalillarga replikatsiya qilish. Bunday tizim tergovlarni tezkor, auditlarni oldindan aytib bo’ladigan va xatarlarni boshqaradigan qilib qo’yadi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.