Сбор, мониторинг и анализ аудитных логов

Статья создана

Уровень Yandex Cloud
Уровень ОС
Уровень приложений
Уровень сети
Синхронизация времени

Аудитные логи (журналы аудита) — это записи обо всех событиях в системе, включая доступ к ней и выполненные операции. Сбор и проверка аудитных логов позволяют контролировать соблюдение установленных процедур и стандартов безопасности и выявить изъяны в механизмах безопасности.

События в аудитных логах относятся к различным уровням:

уровень Yandex Cloud — события, происходящие с ресурсами Yandex Cloud;
уровень ОС;
уровень приложений;
уровень сети (Flow Logs).

Примечание

О событиях Kubernetes читайте в разделе Сбор, мониторинг и анализ аудитных логов в Yandex Managed Service for Kubernetes.

Уровень Yandex Cloud

Сбор событий

Основным инструментом сбора логов уровня Yandex Cloud является сервис Yandex Audit Trails. Сервис позволяет собирать аудитные логи о происходящих с ресурсами Yandex Cloud событиях и загружать эти логи в бакет Yandex Object Storage или лог-группу Cloud Logging для дальнейшего анализа или экспорта. См. инструкцию, как запустить сбор логов, а также формат и справочник событий.

Примечание

Рекомендации по безопасности Yandex Object Storage представлены в разделе Yandex Object Storage.

Для сбора метрик, анализа некоторых событий уровня Yandex Cloud и настройки оповещений рекомендуется использовать сервис Yandex Monitoring. С его помощью возможно отслеживать, например, резкое возрастание нагрузки на Compute Cloud, RPS сервиса Application Load Balancer, значительные изменения в статистике событий сервиса Identity and Access Management.

Кроме того, Yandex Monitoring можно применять для мониторинга работоспособности самого сервиса Audit Trails и мониторинга событий безопасности.

Решение: Мониторинг Audit Trails и событий безопасности с помощью Yandex Monitoring

Аудитные логи возможно экспортировать в лог-группу Cloud Logging и в SIEM-систему клиента для анализа информации о событиях и инцидентах.

Список важных событий уровня Yandex Cloud для поиска в аудитных логах:
Решение: поиск важных событий безопасности в аудитных логах

Экспорт событий в SIEM

Audit Trails

Решения для экспорта аудитных логов Yandex Cloud подготовлены для следующих SIEM-систем:

Yandex Managed Service for Elasticsearch (ELK)

Решение: Сбор, мониторинг и анализ аудитных логов в Yandex Managed Service for Elasticsearch
ArcSight

Решение: Сбор, мониторинг и анализ аудитных логов во SIEM ArcSight
Splunk

Решение: Сбор, мониторинг и анализ аудитных логов в SIEM Splunk

Для настройки экспорта в любые SIEM подходят утилиты GeeseFS или s3fs. Она позволяет смонтировать бакет Yandex Object Storage как локальный диск виртуальной машины. Далее на ВМ необходимо установить коннектор для SIEM и настроить вычитывание JSON-файлов из бакета.

Метрики Yandex Monitoring

Выгрузка метрик в SIEM-систему возможна через API, см. инструкцию.

Реагирование на события

C помощью Yandex Cloud Functions можно настроить оповещения о событиях Audit Trails, а так же автоматическое реагирование на вредоносные действия, например удаление опасных правил или прав доступа.

Решение: уведомления и реагирование на события ИБ Audit Trails с помощью Cloud Logging/Cloud Functions + Telegram

Уровень ОС

При использовании облачных сервисов по модели IaaS и использовании групп узлов Kubernetes клиент отвечает за безопасность ОС и выполняет сбор событий уровня ОС самостоятельно. Для сбора стандартных событий, которые генерирует ОС, и их экспорта в SIEM-систему клиента существуют бесплатные инструменты, такие как:

Дополнительные опции генерации событий возможно реализовать с помощью утилиты Auditd для Linux, Sysmon для Windows.

Системные метрики Linux (процессор, память, диск) можно собирать с помощью компонента Unified Agent сервиса Yandex Monitoring.

Также события ОС возможно экспортировать в Cloud Logging с помощью плагина Fluent bit.

Для описания событий, которые нужно искать в логах, рекомендуем использовать формат Sigma, поддерживаемый популярными SIEM-системами. Репозиторий Sigma содержит библиотеку событий, описанных в этом формате.

Уровень приложений

Сбор событий уровня приложений, развернутых на ресурсах Compute Cloud, клиент может выполнять самостоятельно. Например, записывать логи приложения в файл и передавать их в SIEM-систему с помощью инструментов, перечисленных в подразделе Уровень ОС выше.

Уровень сети

Запись событий о сетевом трафике VPC (Flow Logs) на текущий момент может выполняться только средствами клиента. Для сбора и передачи событий могут использоваться решения из Yandex Cloud Marketplace (например, NGFW, IDS/IPS, сетевые продукты) либо бесплатное ПО.

Синхронизация времени

Чтобы получать точную хронологию событий уровня ОС и приложений, настройте синхронизацию часов по инструкции.