Настройка реагирования в Yandex Cloud Logging и Yandex Cloud Functions
Важно
Часть ресурсов, необходимых для прохождения практического руководства, доступны только в регионе Россия.
Вы можете использовать сервис Cloud Functions для настройки автоматического реагирования на события аудитного лога. Например, отправлять сообщения по удобным каналам оповещения или автоматически изменять настройки ресурсов Yandex Cloud в качестве компенсационных мер.
Схема работы
В общем виде для настройки реагирования через Cloud Functions понадобятся следующие компоненты:
- Трейл — загружает аудитные логи в лог-группу.
- Лог-группа — выступает промежуточным звеном между трейлом и триггером Cloud Functions.
- Триггер для Yandex Cloud Logging — вызывает функцию при добавлении записи в лог-группу.
- Функция Cloud Functions — выполняет логику реагирования.
- Опциональный вспомогательный компонент, например, Telegram-бот или почтовый сервер.
Пример реализации
В Yc-security-solutions-library содержится пример решения, которое использует Cloud Functions для оповещения о заданных событиях через Telegram-бота и компенсирующего воздействия на ресурсы Yandex Cloud через методы API.
Оповещение реализовано для следующих событий:
- Группы безопасности: разрешение входящего трафика на все внутренние адреса (0.0.0.0/0).
- Object Storage: включение публичного доступа к бакету.
- Yandex Lockbox: назначение прав на секрет.
Компенсирующее воздействие на ресурсы Yandex Cloud:
- Группы безопасности: удаление правила.
- Yandex Lockbox: удаление назначенных прав на секрет.
Примечание
Yandex Cloud Security Solution Library — это набор примеров и рекомендаций по построению безопасной инфраструктуры в Yandex Cloud, собранных в публичном репозитории на GitHub.
Решение содержит исходные коды Python-функции и скрипта Terraform, который выполняет настройку всех компонентов Yandex Cloud, необходимых для выполнение процедуры.
Что дальше
- Узнайте о формате аудитных логов.
- Узнайте о существующих решениях по экспорту аудитных логов в SIEM.