Загрузка аудитных логов Audit Trails в Managed Service for OpenSearch
Рассказываем, как настроить выгрузку аудитных логов из сервиса Audit Trails в Managed Service for OpenSearch, и делимся готовыми правилами реагирования на события безопасности.
6 марта 2023 г.
7 минут чтения
Сценарий, который рассмотрим далее, будет полезен специалистам служб информационной безопасности. Мы покажем, как всего за несколько шагов настроить выгрузку аудитных логов из Audit Trails, используя сервисы Data Streams и Data Transfer и выбрав Managed Service for OpenSearch в качестве SIEM-системы для анализа логов и реагирования на события безопасности.
Создайте первый поток (трейл) выгружаемых в Data Streams данных. Обязательно назовите поток «audit‑trails», чтобы упростить загрузку объектов библиотеки Security Content.
Разверните кластер с помощью Managed Service for OpenSearch.
Настройте эндпоинт «Источник» в сервисе Data Transfer. Источником выступает Data Streams. Обязательно выберите параметр «AuditTrails.v1 парсер» в настройках (Расширенные настройки → Правила конвертации).
Настройте эндпоинт «Приёмник» в сервисе Data Transfer. Приёмником выступает Managed Service for OpenSearch. Можно заранее создать и указать пользователя с ограниченными правами для загрузки данных в кластер OpenSearch.
Мы создали два эндпоинта. Чтобы включить передачу данных между ними, не забудьте нажать кнопку «Активировать».
Всё готово — данные передаются.
Кроме того, в Yandex Cloud Security Solution Library представлено продвинутое решение по выгрузке логов из Audit Trails в OpenSearch через S3 и скрипты автоматизации.
Убедимся, что данные успешно загружаются в OpenSearch.
В веб‑интерфейсе кластера OpenSearch откройте общий тенант Global. Создайте index pattern «audit‑trails*». Индекс, в который загружаются данные из Audit Trails, будет называться «audit‑trails» по имени потока данных в Data Streams.
Во вкладке Discover появятся ваши данные из Audit Trails в формате Elastic Common Schema.
Перейдите в папку auditlogs/export-auditlogs-to-Opensearch/update-opensearch-scheme/include/audit-trail и выполните команду:
cd yc-solution-library-for-security/auditlogs/export-auditlogs-to-Opensearch/update-opensearch-scheme/content-for-transfer/.
В консоли OpenSearch перейдите в Stack management → Saved Objects → Import и импортируйте файлы dashboard.ndjson, filters.ndjson, search.ndjson.
Откройте дашборд.
В разделе Discover перейдите во вкладку Оpen, выберите запрос Search: Yandexcloud: Yandexcloud: Interesting fields. В колонках вы увидите события, которые можно отбирать с помощью фильтров.
Алерты можно настраивать в OpenSearch. Для экономии времени при разборе формата написания сущности monitor мы подготовили образец кода, который достаточно скопировать в окно создания монитора. Также вы можете воспользоваться примером создания trigger action с указанием полей из события.
Настраивайте, пользуйтесь, приносите feature requests или сообщайте о проблемах нашей службе поддержки!