Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Загрузка аудитных логов в Cloud Logging
      • Организация
      • Облако
      • Каталог
    • Загрузка аудитных логов в Data Streams
      • Организация
      • Облако
      • Каталог
    • Загрузка аудитных логов в Object Storage
      • Организация
      • Облако
      • Каталог
  • Практические руководства
    • Поиск событий Yandex Cloud в Yandex Query
    • Поиск событий Yandex Cloud в Object Storage
    • Поиск событий Yandex Cloud в Cloud Logging
    • Настройка алертов в Yandex Monitoring
    • Настройка реагирования в Cloud Functions
    • Загрузка аудитных логов в Yandex Managed Service for ClickHouse и визуализация данных в Yandex DataLens
    • Экспорт аудитных логов в SIEM
      • Загрузка аудитных логов в Yandex Managed Service for Elasticsearch
      • Загрузка аудитных логов в MaxPatrol SIEM
      • Загрузка аудитных логов в SIEM Splunk
      • Загрузка аудитных логов в SIEM ArcSight
  • Концепции
    • Обзор
    • Трейл
    • Аудитный лог событий
    • Справочник событий
    • Экспорт в SIEM
    • Квоты и лимиты
    • Метрики
  • Управление доступом
  • Правила тарификации
  1. Пошаговые инструкции
  2. Загрузка аудитных логов в Object Storage
  3. Организация

Загрузка аудитных логов организации в Object Storage

Статья создана
Yandex Cloud
  • Подготовить окружение
  • Зашифровать бакет
  • Создать трейл
  • Что дальше

По этой инструкции вы создадите новый трейл, который будет загружать аудитные логи всех ресурсов организации в бакет Object Storage.

Совет

Чтобы дополнительно защитить аудитные логи, зашифруйте бакет.

Подготовить окружение

Для сбора аудитных логов организации:

  1. Создайте новый бакет для загрузки в него аудитных логов.

  2. Создайте сервисный аккаунт.

  3. Назначьте роли сервисному аккаунту:

    CLI

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    • audit-trails.viewer на организацию, с которой будут собираться аудитные логи:

      yc organization-manager organization add-access-binding \
        --role audit-trails.viewer \
        --id <идентификатор_организации> \
        --service-account-id <идентификатор_сервисного_аккаунта>
      

      Где:

      • role — назначаемая роль;
      • id — идентификатор организации, со всех ресурсов которой будут собираться аудитные логи;
      • service-account-id — идентификатор сервисного аккаунта.
    • storage.uploader на каталог, в котором будет находиться трейл:

      yc resource-manager folder add-access-binding \
        --role storage.uploader \
        --id <идентификатор_каталога> \
        --service-account-id <идентификатор_сервисного_аккаунта>
      

      Где:

      • role — назначаемая роль;
      • id — идентификатор каталога, в котором будет находиться трейл;
      • service-account-id — идентификатор сервисного аккаунта.
  4. На странице Права доступа убедитесь, что у вас есть роли:

    • iam.serviceAccounts.user на сервисный аккаунт;
    • audit-trails.editor на каталог, где будет находиться трейл;
    • audit-trails.viewer на организацию, с которой будут собираться аудитные логи;
    • storage.viewer на бакет или каталог.

Зашифровать бакет

Чтобы хранить логи в зашифрованном виде:

  1. Создайте ключ шифрования в сервисе Yandex Key Management Service.

  2. Включите шифрование бакета, используя созданный ключ.

  3. Назначьте сервисному аккаунту, который вы создали ранее, роль kms.keys.encrypterDecrypter на ключ:

    yc kms symmetric-key add-access-binding \
        --role kms.keys.encrypterDecrypter \
        --id <идентификатор_ключа_шифрования> \
        --service-account-id <идентификатор_сервисного_аккаунта>
    

    Где:

    • role — назначаемая роль;
    • id — идентификатор ключа шифрования;
    • service-account-id — идентификатор сервисного аккаунта.

Создать трейл

Чтобы создать первый трейл в Audit Trails и запустить процесс управления аудитными логами:

Консоль управления
  1. В консоли управления выберите каталог, в котором вы хотите разместить трейл.

  2. Выберите сервис Audit Trails.

  3. Нажмите кнопку Создать трейл и укажите:

    • Имя — имя создаваемого трейла.
    • Описание — описание трейла, необязательный параметр.
  4. В блоке Фильтр задайте параметры области сбора аудитных логов:

    • Ресурс — выберите Организация.
    • Организация — не требует заполнения, содержит имя текущей организации.
  5. В блоке Назначение задайте параметры объекта назначения:

    • Назначение — Object Storage.
    • Бакет — имя бакета, в который будут загружаться аудитные логи.
    • Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.

    Примечание

    Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.

  6. В блоке Сервисный аккаунт выберите сервисный аккаунт, от имени которого трейл будет загружать файлы аудитного лога в бакет.

  7. Нажмите кнопку Создать.

Что дальше

  • Узнайте о формате аудитных логов.
  • Узнайте о порядке загрузки аудитных логов в SIEM.
  • Узнайте о поиске по аудитным логам в бакете.

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Подготовить окружение
  • Зашифровать бакет
  • Создать трейл
  • Что дальше