Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Загрузка аудитных логов в Cloud Logging
      • Организация
      • Облако
      • Каталог
    • Загрузка аудитных логов в Data Streams
      • Организация
      • Облако
      • Каталог
    • Загрузка аудитных логов в Object Storage
      • Организация
      • Облако
      • Каталог
  • Практические руководства
    • Поиск событий Yandex Cloud в Yandex Query
    • Поиск событий Yandex Cloud в Object Storage
    • Поиск событий Yandex Cloud в Cloud Logging
    • Настройка алертов в Yandex Monitoring
    • Настройка реагирования в Cloud Functions
    • Загрузка аудитных логов в Yandex Managed Service for ClickHouse и визуализация данных в Yandex DataLens
    • Экспорт аудитных логов в SIEM
      • Загрузка аудитных логов в Yandex Managed Service for Elasticsearch
      • Загрузка аудитных логов в MaxPatrol SIEM
      • Загрузка аудитных логов в SIEM Splunk
      • Загрузка аудитных логов в SIEM ArcSight
  • Концепции
    • Обзор
    • Трейл
    • Аудитный лог событий
    • Справочник событий
    • Экспорт в SIEM
    • Квоты и лимиты
    • Метрики
  • Управление доступом
  • Правила тарификации
  1. Практические руководства
  2. Экспорт аудитных логов в SIEM
  3. Загрузка аудитных логов в MaxPatrol SIEM

Загрузка аудитных логов в MaxPatrol SIEM

Статья создана
Yandex Cloud
  • Перед началом работы
    • Необходимые платные ресурсы
  • Подготовьте окружение
    • Создайте сервисный аккаунт и назначьте ему роли
    • Создайте статические ключи доступа
    • Создайте бессерверную БД YDB
    • Создайте поток данных
  • Создайте трейл
  • Настройте MaxPatrol SIEM
    • Создайте учетные записи
    • Создайте задачу на сбор данных
  • Как удалить созданные ресурсы

MaxPatrol SIEM может читать аудитные логи Yandex Cloud из потока данных Yandex Data Streams. Для полного прохождения руководства у вас должен быть доступ к экземпляру MaxPatrol SIEM.

Чтобы настроить экспорт аудитных логов:

  1. Подготовьте облако к работе.
  2. Подготовьте окружение.
  3. Создайте трейл, который отправляет логи в поток данных Data Streams.
  4. Настройте в MaxPatrol SIEM задачу по сбору данных из потока Data Streams.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсы

В стоимость поддержки инфраструктуры входит:

  • использование потока данных (см. тарифы Data Streams).
  • использование Yandex Managed Service for YDB в бессерверном режиме (см. тарифы Managed Service for YDB).

Подготовьте окружение

Создайте сервисный аккаунт и назначьте ему роли

От имени сервисного аккаунта трейл будет собирать логи всех ресурсов организации и загружать их в поток данных Data Streams.

Создайте сервисный аккаунт в том же каталоге, в котором создадите трейл, например, в example-folder:

Консоль управления
CLI
  1. В консоли управления выберите каталог example-folder.
  2. Выберите вкладку Сервисные аккаунты.
  3. Нажмите кнопку Создать сервисный аккаунт.
  4. Введите имя сервисного аккаунта maxpatrol-sa.
  5. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Создайте сервисный аккаунт:

    yc iam service-account create --name maxpatrol-sa
    

    Результат:

    id: aje*****ckg
    folder_id: b1g*****rnj
    created_at: "2022-09-18..."
    name: maxpatrol-sa
    

    Подробнее о команде yc iam service-account create см. в справочнике CLI.

Назначьте сервисному аккаунту maxpatrol-sa роли audit-trails.viewer и yds.editor:

CLI
  1. Роль audit-trails.viewer на организацию:

    yc organization-manager organization add-access-binding \
    --role audit-trails.viewer \
    --id <идентификатор_организации> \
    --service-account-id <идентификатор_сервисного_аккаунта_maxpatrol-sa>
    

    Результат:

    done (1s)
    

    Подробнее о команде yc organization-manager organization add-access-binding см. в справочнике CLI.

  2. Роль yds.editor на каталог example-folder:

    yc resource-manager folder add-access-binding example-folder \
      --role yds.editor \
      --subject serviceAccount:<идентификатор_сервисного_аккаунта_maxpatrol-sa>
    

    Результат:

    done (1s)
    

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Создайте статические ключи доступа

MaxPatrol SIEM использует статические ключи доступа для авторизации запросов к потоку данных Data Streams.

Консоль управления
CLI
  1. В консоли управления выберите каталог example-folder.
  2. Перейдите на вкладку Сервисные аккаунты.
  3. Выберите сервисный аккаунт maxpatrol-sa и нажмите на строку с его именем.
  4. Нажмите Создать новый ключ на верхней панели.
  5. Выберите Создать статический ключ доступа.
  6. Задайте описание ключа и нажмите Создать.

Внимание

Сохраните идентификатор и секретный ключ. После закрытия диалога значение ключа будет недоступно.

Создайте статический ключ доступа для сервисного аккаунта maxpatrol-sa:

yc iam access-key create --service-account-name maxpatrol-sa

Результат:

access_key:
id: YCd*****W7t
service_account_id: aje*****ckg
created_at: "2022-09-18..."
key_id: YCA*****5Ws4
secret: YCM76*******I3fk

Внимание

Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа снова невозможно.

Подробнее о команде yc iam access-key create см. в справочнике CLI.

Создайте бессерверную БД YDB

База данных необходима для потока данных Data Streams.

Консоль управления
CLI
  1. В консоли управления выберите каталог example-folder.
  2. Нажмите Создать ресурс и выберите Managed Service for YDB.
  3. Нажмите Создать базу данных.
  4. Укажите Имя — maxpatrol-db.
  5. В блоке Тип базы данных выберите Serverless.
  6. Для остальных параметров оставьте значения по умолчанию.
  7. Нажмите Создать базу данных.

Дождитесь, когда статус базы данных изменится на Running.

  1. Создайте базу данных:

    yc ydb database create --name maxpatrol-db --serverless --folder-name example-folder
    

    Где:

    • name — имя базы данных.
    • serverless — тип serverless.
    • folder-name — имя каталога.

    Результат:

    done (7s)
    id: etn*****r5t
    folder_id: b1g*****rnj
    created_at: "2022-09-18..."
    name: maxpatrol-db
    status: PROVISIONING
    ...
    

    Подробнее о команде yc ydb database create см. в справочнике CLI.

  2. Проверьте статус созданной БД:

    yc ydb database get maxpatrol-db
    

    Дождитесь, когда статус базы данных изменится на RUNNING.

Создайте поток данных

В этот поток данных трейл будет загружать логи ресурсов организации.

Консоль управления
  1. В консоли управления выберите каталог example-folder.
  2. Нажмите Создать ресурс и выберите Data Streams.
  3. В поле База данных выберите maxpatrol-db.
  4. Укажите Имя maxpatrol-stream.
  5. Для остальных параметров оставьте значения по умолчанию.
  6. Нажмите кнопку Создать.

Дождитесь когда статус потока данных сменится на Running.

Создайте трейл

Трейл будет собирать аудитные логи всех ресурсов вашей организации и загружать их в поток данных maxpatrol-stream.

Консоль управления
  1. В консоли управления выберите каталог example-folder.
  2. Нажмите кнопку Создать ресурс и выберите пункт Audit trail.
  3. Укажите Имя создаваемого трейла maxpatrol-trail.
  4. В блоке Фильтр задайте параметры области сбора аудитных логов:
    • Ресурс — выберите Организация.
    • Организацию — не требует заполнения (содержит имя организации, в котором будет находиться трейл).
  5. В блоке Назначение задайте параметры объекта назначения:
    • Назначение — Data Streams.
    • Поток данных — выберите поток данных maxpatrol-stream.
  6. В блоке Сервисный аккаунт выберите сервисный аккаунт maxpatrol-sa.
  7. Нажмите Создать.

Настройте MaxPatrol SIEM

Создайте учетные записи

Учетные записи можно использовать как хранилища секретов. Создайте учетные записи static-key-id и static-key-private, чтобы сохранить в них идентификатор и секретный ключ доступа:

  1. Войдите в веб-интерфейс MaxPatrol SIEM.
  2. В разделе Сбор данных нажмите Учетные записи.
  3. Нажмите Добавить учетную запись → Пароль и укажите параметры:
    • Название — static-key-id;
    • Пароль — идентификатор статического ключа;
    • Подтверждение пароля — повторите идентификатор статического ключа.
  4. Нажмите Сохранить.

Аналогично создайте учетную запись static-key-private, содержащую секретный ключ.

Создайте задачу на сбор данных

Создайте и запустите задачу на сбор данных с профилем Yandex Data Streams:

  1. Войдите в веб-интерфейс MaxPatrol SIEM.
  2. В разделе Сбор данных нажмите Задачи.
  3. На странице Задачи по сбору данных:
    1. На панели инструментов нажмите Создать задачу.
    2. Нажмите Сбор данных.
  4. На странице Создание задачи на сбор данных укажите параметры:
    1. Название — YDS-logs-task.
    2. Профиль — Yandex Data Streams.
    3. В иерархическом списке выберите Запуск сценария.
    4. В блоке Подключение укажите:
      • Учетная запись — static-key-id;
      • Учетная запись для повышения привилегий — static-key-private.
    5. Параметры запуска сценария:
      • database — <идентификатор_бд_maxpatrol-db>;
      • folder — <идентификатор_каталога_example-folder>;
      • region_name — ru-central1;
      • stream_name — <идентификатор_потока_maxpatrol-stream>.
    6. На панели Цели сбора данных:
      1. Выберите вкладку Включить.
      2. В поле Сетевые адреса укажите yandex-cloud.
    7. Нажмите Сохранить и запустить.

Чтобы просмотреть логи, перейдите на страницу просмотра событий:

  1. Перейдите на страницу Задачи по сбору данных.
  2. Нажмите на задачу YDS-logs-task.
  3. Нажмите Собранные события → Перейти.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  • удалите поток данных maxpatrol-stream;
  • удалите базу данных maxpatrol-db.

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Перед началом работы
  • Необходимые платные ресурсы
  • Подготовьте окружение
  • Создайте сервисный аккаунт и назначьте ему роли
  • Создайте статические ключи доступа
  • Создайте бессерверную БД YDB
  • Создайте поток данных
  • Создайте трейл
  • Настройте MaxPatrol SIEM
  • Создайте учетные записи
  • Создайте задачу на сбор данных
  • Как удалить созданные ресурсы