Загрузка аудитных логов Audit Trails в Managed Service for OpenSearch

Сценарий, который рассмотрим далее, будет полезен специалистам служб информационной безопасности. Мы покажем, как всего за несколько шагов настроить выгрузку аудитных логов из Audit Trails, используя сервисы Data Streams и Data Transfer и выбрав Managed Service for OpenSearch в качестве SIEM-системы для анализа логов и реагирования на события безопасности.

Настройка передачи данных в OpenSearchНастройка передачи данных в OpenSearch

1. Создайте первый поток (трейл) выгружаемых в Data Streams данных. Обязательно назовите поток «audit‑trails», чтобы упростить загрузку объектов библиотеки Security Content.

2. Разверните кластер с помощью Managed Service for OpenSearch.

3. Настройте эндпоинт «Источник» в сервисе Data Transfer. Источником выступает Data Streams. Обязательно выберите параметр «AuditTrails.v1 парсер» в настройках (Расширенные настройки → Правила конвертации).

4. Настройте эндпоинт «Приёмник» в сервисе Data Transfer. Приёмником выступает Managed Service for OpenSearch. Можно заранее создать и указать пользователя с ограниченными правами для загрузки данных в кластер OpenSearch.

5. Мы создали два эндпоинта. Чтобы включить передачу данных между ними, не забудьте нажать кнопку «Активировать».

6. Всё готово — данные передаются.

Проверка передачи данныхПроверка передачи данных

Убедимся, что данные успешно загружаются в OpenSearch.

1. В веб‑интерфейсе кластера OpenSearch откройте общий тенант Global. Создайте index pattern «audit‑trails*». Индекс, в который загружаются данные из Audit Trails, будет называться «audit‑trails» по имени потока данных в Data Streams.

2. Во вкладке Discover появятся ваши данные из Audit Trails в формате Elastic Common Schema.

Загрузка дополнительного контентаЗагрузка дополнительного контента

Для вашего удобства команда безопасности Yandex Cloud подготовила библиотеку объектов для загрузки в OpenSearch — Security Content. Она включает:

• дашборд с примерами использования и полезной статистикой;
• набор готовых запросов для удобного поиска событий безопасности;
• примеры событий, на которые настроены оповещения (назначение уведомлений следует указывать самостоятельно).

Все необходимые поля событий преобразованы в формат Elastic Common Schema (ECS), а полную таблицу маппинга можно скачать здесь.

Чтобы воспользоваться Security Content:

1. Скачайте контент и выполните команду:

git clone https://github.com/yandex-cloud/yc-solution-library-for-security.git.

2. Перейдите в папку auditlogs/export-auditlogs-to-Opensearch/update-opensearch-scheme/include/audit-trail и выполните команду:

cd yc-solution-library-for-security/auditlogs/export-auditlogs-to-Opensearch/update-opensearch-scheme/content-for-transfer/.

3. В консоли OpenSearch перейдите в Stack management → Saved Objects → Import и импортируйте файлы dashboard.ndjson, filters.ndjson, search.ndjson.

4. Откройте дашборд.

5. В разделе Discover перейдите во вкладку Оpen, выберите запрос Search: Yandexcloud: Yandexcloud: Interesting fields. В колонках вы увидите события, которые можно отбирать с помощью фильтров.

6. Алерты можно настраивать в OpenSearch. Для экономии времени при разборе формата написания сущности monitor мы подготовили образец кода, который достаточно скопировать в окно создания монитора. Также вы можете воспользоваться примером создания trigger action с указанием полей из события.

Настраивайте, пользуйтесь, приносите feature requests или сообщайте о проблемах нашей службе поддержки!