Yandex Audit Trails: три сценария использования для любого бизнеса

Audit Trails собирает события двух уровней: конфигураций и сервисов. Логи конфигураций позволяют отслеживать создание и удаление ресурсов, изменение их настроек и прав доступа. Логи сервисов помогают анализировать операции с данными и предоставляют инструменты для расследования инцидентов безопасности.

Сервис подходит и малому бизнесу, и крупным корпорациям. Небольшие компании работают с логами через веб‑интерфейс, а крупные интегрируют сервис со своими SIEM‑системами. Дополнительные инструменты Yandex Cloud помогут соответствовать требованиям регуляторов: Object Storage сохранит логи на долгий срок, а Yandex Query поможет быстро найти в них нужную информацию.

Главные преимущества Audit Trails:

• Гибкая настройка сбора аудитных логов.

• Экспорт и хранение данных в сторонних SIEM‑системах.

• Возможность расследования инцидентов на основе событий аудита.

• Соответствие требованиям законодательства и стандартам информационной безопасности.

Сервис можно использовать тремя способами, каждый из них помогает следить за безопасностью данных в облаке. Расскажем, как это работает.

Интеграция Audit Trails с SIEM‑системамиИнтеграция Audit Trails с SIEM‑системами

Этот вариант подойдёт крупным корпоративным клиентам, которые используют SIEM‑системы для хранения и обработки событий безопасности. С помощью специальных инструментов — дашбордов, конструкторов правил корреляции и встроенных систем визуализации — специалисты по безопасности могут анализировать разрозненные данные в едином формате. SIEM‑система помогает выявлять связи между событиями и автоматически создаёт инциденты для расследования, если обнаружит угрозу.

Audit Trails собирает все события в облаке и передаёт их в SIEM‑систему компании. Это даёт возможность анализировать данные из облака вместе с другими событиями в привычном интерфейсе SIEM‑системы и настраивать корреляции между ними.

Интегрировать SIEM‑систему с Audit Trails можно двумя способами:

• Через Object Storage (S3). Этот способ позволяет одновременно решить две задачи: наладить поставку данных в SIEM и организовать экономичное хранение в Object Storage.

• Через Data Streams. Этот вариант упрощает интеграцию для некоторых сценариев использования.

Audit Trails работает с любой SIEM‑системой. Для ArcSight, Splunk, MaxPatrol SIEM и Kaspersky Unified Monitoring and Analysis Platform (KUMA) мы создали готовые сценарии интеграции и подробные инструкции. Это поможет быстрее настроить передачу данных из Audit Trails в SIEM.

Долгосрочное хранение и анализ событий безопасностиДолгосрочное хранение и анализ событий безопасности

Если в компании ещё нет SIEM‑системы, можно использовать комбинацию Audit Trails, Object Storage и Yandex Query. Эта связка сервисов позволяет сократить затраты на хранение больших объёмов данных и быстро находить нужную информацию. Object Storage снижает затраты на хранение редко используемых данных, а Yandex Query помогает эффективно искать события в архиве.

Object Storage экономит деньги компании благодаря гибким тарифам: данные можно хранить в холодном хранилище по сниженной цене. А Yandex Query быстро находит в хранилище нужную информацию. Для этого сервис одновременно запускает десятки параллельных задач на поиск.

Быстрый старт с Cloud LoggingБыстрый старт с Cloud Logging

Этот сценарий подойдёт малому и среднему бизнесу, которому нужен удобный инструмент для просмотра событий в облаке. Audit Trails собирает события безопасности, а Cloud Logging предоставляет интерфейс для работы с ними. В Cloud Logging можно легко найти и отсортировать события по нужным параметрам.

С помощью Yandex Cloud Functions можно автоматизировать реакцию на важные события в облаке — например, получать уведомления об изменении прав доступа к облачным ресурсам.

Преимущества этого сценария:

• Быстрая настройка сбора событий.

• Удобный поиск по событиям в интерфейсе.

• Возможность настроить автоматическую обработку и реагирование на события аудита.

Audit Trails подойдёт для компаний любого масштаба, независимо от того, используют ли они SIEM‑системы. Особенно важен сервис для финансового сектора, где требования к безопасности данных максимально строгие. Банки и финансовые организации работают с конфиденциальной информацией клиентов, поэтому им нужно соблюдать требования 152‑ФЗ, стандарта PCI DSS и ГОСТ Р 57580.

Облачные технологии помогают финансовым компаниям быстро масштабировать инфраструктуру. Чтобы защитить данные в облаке, важно отслеживать все действия с ними. Audit Trails собирает логи и позволяет анализировать операции с облачными ресурсами: работу с виртуальными машинами, изменения в базах данных и расследования инцидентов.