Настроить логирование через Smart Web Security
Примечание
Функциональность сбора логов через Smart Web Security находится на стадии Preview. Для получения доступа обратитесь в службу поддержки
Доступно два варианта сбора логов: через Smart Web Security и через L7-балансировщик Application Load Balancer, к которому подключен профиль безопасности.
Информация в этом разделе относится к логированию через Smart Web Security. О сборе логов через L7-балансировщик см. в разделе Настроить логирование через Application Load Balancer.
Анализ логов Yandex Smart Web Security позволяет:
-
Тестировать работу правил безопасности, WAF и ARL в режиме Только логирование (dry run).
В этом режиме запросы пользователей не блокируются, но в логи записывается информация о срабатывании правил.
-
Посмотреть количество заблокированных и пропущенных запросов, оценить и скорректировать работу правил.
-
Посмотреть подробную информацию о запросе, выявить ложноположительные срабатывания.
-
Расследовать инциденты безопасности.
Вы можете настроить логирование Yandex Smart Web Security с помощью двух сервисов: Yandex Cloud Logging и Yandex Audit Trails.
-
Cloud Logging — позволяет собирать подробные логи по HTTP-запросам и сработавшим правилам профилей безопасности, WAF и ARL.
-
Audit Trails — позволяет собирать аудитные логи (события) по правилам WAF и ARL и событиям безопасности.
В Audit Trails есть два типа событий:
- Уровня конфигурации — действия, связанные с конфигурированием ресурсов Yandex Cloud. Например, создание или удаление профиля безопасности.
- Уровня сервисов — действия, которые происходят с ресурсами внутри сервисов Yandex Cloud. Например, срабатывание правила из профиля WAF.
Записывать события Audit Trails можно в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams.
Чтобы начать работать с логами Smart Web Security:
Включить логирование
Включить логирование можно при создании профиля безопасности или позднее, при его редактировании:
-
В консоли управления
выберите каталог, в котором находится профиль Smart Web Security. -
Выберите сервис Smart Web Security.
-
На панели слева выберите
Профили безопасности. -
В строке с нужным профилем безопасности нажмите
и выберите Редактировать. -
Включите Запись логов.
-
В поле Записывать логи в выберите Cloud Logging.
-
Выберите или создайте лог-группу Cloud Logging, в которую будут записываться логи.
-
Для записи в логи можно выбрать только те запросы, для которых сработали:
-
Базовые правила.
-
Правила Smart Protection.
-
Правила Web Application Firewall.
-
Правила Advanced Rate Limiter.
-
Все выбранные правила применили действие (вердикт) DENY и CAPTCHA.
-
Все выбранные правила применили действие ALLOW (легитимные запросы).
В нормальной ситуации легитимных запросов гораздо больше, чем нелегитимных. Чтобы уменьшить объем логов, настройте параметр Доля обрабатываемых логов с вердиктом ALLOW — от 1 до 100 процентов. При первой настройке правил рекомендуется анализировать все легитимные запросы. Когда вы убедитесь, что правила работают корректно, можно изменить долю логов или отключить логирование запросов с вердиктом ALLOW.
-
-
Нажмите Сохранить.
События Audit Trails можно записывать в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams. В этой инструкции настроим запись событий в лог-группу.
-
В консоли управления
выберите каталог, в котором находится профиль Smart Web Security. -
Выберите сервис Audit Trails.
-
Нажмите кнопку Создать трейл.
-
Введите имя трейла, например
trail-sws
. -
В блоке Назначение выберите объект назначения — Cloud Logging.
-
Выберите или создайте лог-группу Cloud Logging, в которую будут записываться события Smart Web Security.
-
В блоке Сбор событий с уровня сервисов включите сбор событий и выберите сервис Smart Web Security.
Остальные настройки в этом блоке оставьте по умолчанию. Будут записываться все события Smart Web Security уровня сервисов в текущем каталоге. События уровня конфигурации записываться не будут.
-
В блоке Сервисный аккаунт создайте или выберите аккаунт с ролью
logging.writer
. -
Нажмите Создать.
Другие способы включения записи событий см. в разделе Создание трейла для загрузки аудитных логов.
Чтобы Yandex Smart Web Security передавал события в Audit Trails:
- В консоли управления
выберите каталог, в котором находится профиль Smart Web Security. - Выберите сервис Smart Web Security.
- На панели слева выберите Профили безопасности.
- В строке с нужным профилем безопасности нажмите
и выберите Редактировать. - Включите Запись логов.
- В поле Записывать логи в выберите Audit Trails.
- (Опционально) Выберите, по каким правилам или вердиктам передавать события:
- Базовые правила.
- Smart Protection.
- Web Application Firewall.
- Advanced Rate Limiter.
- DENY и CAPTCHA.
- ALLOW.
- Нажмите Создать.
Таким образом можно настроить передачу только событий из отдельных профилей безопасности или только по отдельным правилам и вердиктам.
Просмотреть логи
-
В консоли управления
выберите каталог, в котором находится профиль Smart Web Security. -
Выберите сервис Smart Web Security.
-
Выберите раздел Логи.
-
Выберите лог-группу, если их несколько.
-
Выберите период показа логов одним из способов:
- Нажмите кнопку с обозначением интервала, например Последний час, и выберите один из вариантов: Последние 5 минут, Последние 30 минут... Последний день.
Также в полях От и До можно выбрать нужные даты в календаре и указать время. - Выберите предустановленный период: Сейчас, 5m, 30m, 1h, 1d, 2d или укажите свой.
- На временной шкале переместите индикаторы начала и конца периода.
- Нажмите кнопку с обозначением интервала, например Последний час, и выберите один из вариантов: Последние 5 минут, Последние 30 минут... Последний день.
-
В строке Запрос укажите параметры выбора:
-
Выберите поля логов в выпадающем списке или начните вводить первые буквы названия поля.
Поля для фильтрации описаны в разделе Логирование.
-
Справа от строки запроса нажмите </> и введите запрос в текстовом режиме на языке фильтрующих выражений.
Примеры запросов приведены ниже.
Примечание
По умолчанию в строке запроса выбраны внутренние поля:
project
,cluster
,service
иmessage = *SWS
. Не изменяйте эти значения. -
-
Нажмите кнопку Выполнить запрос. Чтобы посмотреть содержимое лога, разверните его.
Примеры готовых фильтров для логов
Логи поставляются в формате JSON. Одна запись в логах соответствует одному запросу клиента, обработанному Smart Web Security.
Запросы для фильтрации логов составляются, исходя из взаимосвязи профилей и правил Smart Web Security. Вы можете посмотреть логи активных, работающих правил или правил в режиме Только логирование (dry run).
Фильтры для активных правил
-
Показать запросы, заблокированные базовыми правилами с определенными условиями. Например, по списку или региону IP:
module_type = "RULE_CONDITION", meta.matched_rule_verdict = "DENY"
-
Показать запросы, для которых сработали правила Smart Protection с отправкой на капчу:
module_type = "SMART_PROTECTION", meta.matched_rule_verdict = "CAPTCHA"
-
Показать запросы, заблокированные по профилю WAF — правилами WAF из профиля безопасности:
module_type = "WAF", meta.matched_rule_verdict = "DENY"
-
Показать запросы, заблокированные правилами профиля ARL:
meta.arl_verdict = "DENY"
-
Показать запросы, для которых сработало конкретное правило ARL —
arl-rule-1
:meta.arl_verdict = "DENY", meta.arl_applied_quota_name = "arl-rule-1"
Фильтры для правил в режиме логирования
-
Показать запросы, для которых сработали правила Smart Protection с отправкой на капчу:
module_type = "SMART_PROTECTION", meta.dry_run_matched_rule_verdict = "CAPTCHA"
-
Показать запросы, для которых было превышение по конкретному правилу ARL —
arl-rule-1
:meta.arl_verdict = "DENY", meta.arl_dry_run_exceeded_quota_names = "arl-rule-1"
Таким же образом вы можете добавить в фильтры другие условия и изменять их с учетом особенностей вашего потока трафика.
-
В консоли управления
выберите каталог, в котором находится профиль Smart Web Security. -
Выберите сервис Cloud Logging.
-
Выберите лог-группу, в которую передаются события Audit Trails.
-
Выберите количество сообщений на одной странице и период: 1 час, 3 часа, 1 день, 1 неделя, 2 недели.
-
В строке Запрос укажите запрос на языке фильтрующих выражений и нажмите кнопку Выполнить.
Логи Audit Trails записываются в формате JSON. Чтобы найти определенное событие, укажите его имя в формате:
yandex.cloud.audit.smartwebsecurity.<имя_события>
Примеры составления запросов см. в разделе Примеры запросов для поиска событий в аудитных логах.
-
Чтобы посмотреть содержимое лога, разверните его.