Загрузка аудитных логов в MaxPatrol SIEM
MaxPatrol SIEM может читать аудитные логи Yandex Cloud из потока данных Yandex Data Streams. Для полного прохождения руководства у вас должен быть доступ к экземпляру MaxPatrol SIEM.
Чтобы настроить экспорт аудитных логов:
- Подготовьте облако к работе.
- Подготовьте окружение.
- Создайте трейл, который отправляет логи в поток данных Data Streams.
- Настройте в MaxPatrol SIEM задачу по сбору данных из потока Data Streams.
Если созданные ресурсы вам больше не нужны, удалите их.
Перед началом работы
Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:
- Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
- На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе
ACTIVEилиTRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
В стоимость поддержки инфраструктуры входит:
- использование потока данных (см. тарифы Data Streams).
- использование Yandex Managed Service for YDB в бессерверном режиме (см. тарифы Managed Service for YDB).
Подготовьте окружение
Создайте сервисный аккаунт и назначьте ему роли
От имени сервисного аккаунта трейл будет собирать логи всех ресурсов организации и загружать их в поток данных Data Streams.
Создайте сервисный аккаунт в том же каталоге, в котором создадите трейл, например, в example-folder:
- В консоли управления выберите каталог
example-folder. - Выберите вкладку Сервисные аккаунты.
- Нажмите кнопку Создать сервисный аккаунт.
- Введите имя сервисного аккаунта
maxpatrol-sa. - Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.
-
Создайте сервисный аккаунт:
yc iam service-account create --name maxpatrol-saРезультат:
id: aje*****ckg folder_id: b1g*****rnj created_at: "2022-09-18..." name: maxpatrol-saПодробнее о команде
yc iam service-account createсм. в справочнике CLI.
Назначьте сервисному аккаунту maxpatrol-sa роли audit-trails.viewer и yds.editor:
-
Роль
audit-trails.viewerна организацию:yc organization-manager organization add-access-binding \ --role audit-trails.viewer \ --id <идентификатор_организации> \ --service-account-id <идентификатор_сервисного_аккаунта_maxpatrol-sa>Результат:
done (1s)Подробнее о команде
yc organization-manager organization add-access-bindingсм. в справочнике CLI. -
Роль
yds.editorна каталогexample-folder:yc resource-manager folder add-access-binding example-folder \ --role yds.editor \ --subject serviceAccount:<идентификатор_сервисного_аккаунта_maxpatrol-sa>Результат:
done (1s)Подробнее о команде
yc resource-manager folder add-access-bindingсм. в справочнике CLI.
Создайте статические ключи доступа
MaxPatrol SIEM использует статические ключи доступа для авторизации запросов к потоку данных Data Streams.
- В консоли управления выберите каталог
example-folder. - Перейдите на вкладку Сервисные аккаунты.
- Выберите сервисный аккаунт
maxpatrol-saи нажмите на строку с его именем. - Нажмите Создать новый ключ на верхней панели.
- Выберите Создать статический ключ доступа.
- Задайте описание ключа и нажмите Создать.
Внимание
Сохраните идентификатор и секретный ключ. После закрытия диалога значение ключа будет недоступно.
Создайте статический ключ доступа для сервисного аккаунта maxpatrol-sa:
yc iam access-key create --service-account-name maxpatrol-sa
Результат:
access_key:
id: YCd*****W7t
service_account_id: aje*****ckg
created_at: "2022-09-18..."
key_id: YCA*****5Ws4
secret: YCM76*******I3fk
Внимание
Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа снова невозможно.
Подробнее о команде yc iam access-key create см. в справочнике CLI.
Создайте бессерверную БД YDB
База данных необходима для потока данных Data Streams.
- В консоли управления выберите каталог
example-folder. - Нажмите Создать ресурс и выберите Managed Service for YDB.
- Нажмите Создать базу данных.
- Укажите Имя —
maxpatrol-db. - В блоке Тип базы данных выберите
Serverless. - Для остальных параметров оставьте значения по умолчанию.
- Нажмите Создать базу данных.
Дождитесь, когда статус базы данных изменится на Running.
-
Создайте базу данных:
yc ydb database create --name maxpatrol-db --serverless --folder-name example-folderГде:
name— имя базы данных.serverless— тип serverless.folder-name— имя каталога.
Результат:
done (7s) id: etn*****r5t folder_id: b1g*****rnj created_at: "2022-09-18..." name: maxpatrol-db status: PROVISIONING ...Подробнее о команде
yc ydb database createсм. в справочнике CLI. -
Проверьте статус созданной БД:
yc ydb database get maxpatrol-dbДождитесь, когда статус базы данных изменится на
RUNNING.
Создайте поток данных
В этот поток данных трейл будет загружать логи ресурсов организации.
- В консоли управления выберите каталог
example-folder. - Нажмите Создать ресурс и выберите Data Streams.
- В поле База данных выберите
maxpatrol-db. - Укажите Имя
maxpatrol-stream. - Для остальных параметров оставьте значения по умолчанию.
- Нажмите кнопку Создать.
Дождитесь когда статус потока данных сменится на Running.
Создайте трейл
Трейл будет собирать аудитные логи всех ресурсов вашей организации и загружать их в поток данных maxpatrol-stream.
- В консоли управления выберите каталог
example-folder. - Нажмите кнопку Создать ресурс и выберите пункт Audit trail.
- Укажите Имя создаваемого трейла
maxpatrol-trail. - В блоке Фильтр задайте параметры области сбора аудитных логов:
- Ресурс — выберите
Организация. - Организацию — не требует заполнения (содержит имя организации, в котором будет находиться трейл).
- Ресурс — выберите
- В блоке Назначение задайте параметры объекта назначения:
- Назначение —
Data Streams. - Поток данных — выберите поток данных
maxpatrol-stream.
- Назначение —
- В блоке Сервисный аккаунт выберите сервисный аккаунт
maxpatrol-sa. - Нажмите Создать.
Настройте MaxPatrol SIEM
Создайте учетные записи
Учетные записи можно использовать как хранилища секретов. Создайте учетные записи static-key-id и static-key-private, чтобы сохранить в них идентификатор и секретный ключ доступа:
- Войдите в веб-интерфейс MaxPatrol SIEM.
- В разделе Сбор данных нажмите Учетные записи.
- Нажмите Добавить учетную запись → Пароль и укажите параметры:
- Название —
static-key-id; - Пароль — идентификатор статического ключа;
- Подтверждение пароля — повторите идентификатор статического ключа.
- Название —
- Нажмите Сохранить.
Аналогично создайте учетную запись static-key-private, содержащую секретный ключ.
Создайте задачу на сбор данных
Создайте и запустите задачу на сбор данных с профилем Yandex Data Streams:
- Войдите в веб-интерфейс MaxPatrol SIEM.
- В разделе Сбор данных нажмите Задачи.
- На странице Задачи по сбору данных:
- На панели инструментов нажмите Создать задачу.
- Нажмите Сбор данных.
- На странице Создание задачи на сбор данных укажите параметры:
- Название —
YDS-logs-task. - Профиль —
Yandex Data Streams. - В иерархическом списке выберите Запуск сценария.
- В блоке Подключение укажите:
- Учетная запись —
static-key-id; - Учетная запись для повышения привилегий —
static-key-private.
- Учетная запись —
- Параметры запуска сценария:
- database — <идентификатор_бд_maxpatrol-db>;
- folder — <идентификатор_каталога_example-folder>;
- region_name — ru-central1;
- stream_name — <идентификатор_потока_maxpatrol-stream>.
- На панели Цели сбора данных:
- Выберите вкладку Включить.
- В поле Сетевые адреса укажите
yandex-cloud.
- Нажмите Сохранить и запустить.
- Название —
Чтобы просмотреть логи, перейдите на страницу просмотра событий:
- Перейдите на страницу Задачи по сбору данных.
- Нажмите на задачу
YDS-logs-task. - Нажмите Собранные события → Перейти.
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы: