Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Audit Trails
  • Начало работы
    • Все руководства
    • Поиск событий Yandex Cloud в Object Storage
    • Поиск событий Yandex Cloud в Cloud Logging
    • Настройка алертов в Monitoring
    • Настройка реагирования в Cloud Functions
    • Обработка аудитных логов Audit Trails
      • Загрузка аудитных логов в MaxPatrol SIEM
      • Загрузка аудитных логов в SIEM Splunk
      • Загрузка аудитных логов в SIEM ArcSight
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Справочник событий уровня конфигурации
  • Справочник событий уровня сервисов
  • История изменений
  • Обучающие курсы

В этой статье:

  • Перед началом работы
  • Необходимые платные ресурсы
  • Подготовьте окружение
  • Подготовьте промежуточную ВМ
  • Создайте бакет для аудитных логов
  • Создайте ключ шифрования в сервисе Key Management Service
  • Включите шифрование бакета
  • Создайте сервисные аккаунты
  • Создайте статический ключ
  • Назначьте роли сервисным аккаунтам
  • Создайте трейл
  • Смонтируйте бакет
  • Установите и настройте ArcSight SmartConnector
  • Как удалить созданные ресурсы
  1. Практические руководства
  2. Экспорт аудитных логов в SIEM
  3. Загрузка аудитных логов в SIEM ArcSight

Загрузка аудитных логов в SIEM ArcSight

Статья создана
Yandex Cloud
Улучшена
Обновлена 21 апреля 2025 г.
  • Перед началом работы
    • Необходимые платные ресурсы
  • Подготовьте окружение
    • Подготовьте промежуточную ВМ
    • Создайте бакет для аудитных логов
    • Создайте ключ шифрования в сервисе Key Management Service
    • Включите шифрование бакета
    • Создайте сервисные аккаунты
    • Создайте статический ключ
  • Назначьте роли сервисным аккаунтам
  • Создайте трейл
  • Смонтируйте бакет
  • Установите и настройте ArcSight SmartConnector
  • Как удалить созданные ресурсы

Создайте трейл, который будет загружать аудитные логи уровня конфигурации ресурсов отдельного каталога в бакет Yandex Object Storage с включенным шифрованием. Затем настройте непрерывную доставку логов в SIEM ArcSight.

Для успешного прохождения руководства у вас должен быть установлен экземпляр ArcSight.

Решение, которое описано в руководстве, работает по следующей схеме:

  1. Трейл загружает логи в бакет Object Storage.
  2. Бакет монтируется через FUSE-интерфейс к папке на промежуточной ВМ.
  3. SmartConnector забирает логи из папки и передает их в ArcSight для анализа.

Подробнее о сценариях загрузки аудитных логов в ArcSight смотрите в Yandex Cloud Security Solution Library.

Примечание

Yandex Cloud Security Solution Library — это набор примеров и рекомендаций по построению безопасной инфраструктуры в Yandex Cloud, собранных в публичном репозитории на GitHub.

Чтобы настроить доставку файлов аудитных логов в ArcSight:

  1. Подготовьте облако к работе.
  2. Подготовьте окружение.
  3. Назначьте роли сервисным аккаунтам.
  4. Создайте трейл.
  5. Смонтируйте бакет.
  6. Подключите ArcSight SmartConnector.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работыПеред началом работы

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки инфраструктуры входит:

  • использование виртуальных машин (см. тарифы Compute Cloud);
  • плата за хранение данных в бакете (см. тарифы Object Storage);
  • плата за операции с данными (см. тарифы Object Storage);
  • плата за использование ключей KMS (см. тарифы Key Management Service).

Подготовьте окружениеПодготовьте окружение

Подготовьте промежуточную ВМПодготовьте промежуточную ВМ

Вы можете использовать готовую ВМ, у которой есть доступ к экземпляру ArcSight, или создать новую:

  1. Создайте ВМ из образа Linux с операционной системой Ubuntu 20.04.
  2. Подключитесь к ВМ по SSH.

Создайте бакет для аудитных логовСоздайте бакет для аудитных логов

Консоль управления
  1. В консоли управления перейдите в каталог, в котором хотите создать бакет, например, example-folder.
  2. Выберите сервис Object Storage.
  3. Нажмите Создать бакет.
  4. На странице создания бакета:
    1. Введите имя бакета в соответствии с правилами именования.

    2. При необходимости ограничьте максимальный размер бакета.

      Размер 0 означает отсутствие ограничений и аналогичен включенной опции Без ограничения.

    3. Выберите тип доступа Ограниченный.

    4. Выберите класс хранилища по умолчанию.

    5. Нажмите Создать бакет.

Создайте ключ шифрования в сервисе Key Management ServiceСоздайте ключ шифрования в сервисе Key Management Service

Консоль управления
  1. В консоли управления перейдите в каталог example-folder.
  2. Выберите сервис Key Management Service.
  3. Нажмите Создать ключ и укажите:
    • Имя — arcsight-kms.
    • Алгоритм шифрования — AES-256.
    • Для остальных параметров оставьте значения по умолчанию.
  4. Нажмите Создать.

Включите шифрование бакетаВключите шифрование бакета

Консоль управления
  1. В консоли управления перейдите в бакет, созданный ранее.
  2. На панели слева выберите Безопасность.
  3. Откройте вкладку Шифрование.
  4. В поле Ключ KMS выберите ключ arcsight-kms.
  5. Нажмите Сохранить.

Создайте сервисные аккаунтыСоздайте сервисные аккаунты

Необходимо создать два аккаунта — отдельно для трейла и бакета.

Создайте сервисный аккаунт sa-arcsight:

Консоль управления
  1. В консоли управления перейдите в каталог example-folder.

  2. В списке сервисов выберите Identity and Access Management.

  3. Нажмите кнопку Создать сервисный аккаунт.

  4. Введите имя сервисного аккаунта в соответствии с правилами именования:

    • длина — от 2 до 63 символов;
    • может содержать строчные буквы латинского алфавита, цифры и дефисы;
    • первый символ — буква, последний — не дефис.

    Например, sa-arcsight.

  5. Нажмите Создать.

Аналогично создайте сервисный аккаунт с именем sa-arcsight-bucket.

Создайте статический ключСоздайте статический ключ

Идентификатор ключа и секретный ключ понадобятся вам на этапе монтирования бакета.

Консоль управления
CLI
  1. В консоли управления перейдите в каталог example-folder.

  2. В списке сервисов выберите Identity and Access Management.

  3. На панели слева выберите Сервисные аккаунты.

  4. В открывшемся списке выберите сервисный аккаунт sa-arcsight-bucket.

  5. Нажмите Создать новый ключ на верхней панели.

  6. Выберите Создать статический ключ доступа.

  7. Задайте описание ключа и нажмите Создать.

  8. Сохраните идентификатор и секретный ключ.

    Внимание

    После закрытия диалога значение ключа будет недоступно.

  1. Создайте ключ доступа для сервисного аккаунта sa-arcsight-bucket:

    yc iam access-key create --service-account-name sa-arcsight-bucket
    

    Результат:

    access_key:
      id: aje*******k2u
      service_account_id: aje*******usm
      created_at: "2022-09-22T14:37:51Z"
      key_id: 0n8*******0YQ
    secret: JyT*******zMP1
    
  2. Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа снова будет невозможно.

Назначьте роли сервисным аккаунтамНазначьте роли сервисным аккаунтам

Назначьте сервисному аккаунту sa-arcsight роли audit-trails.viewer, storage.uploader и kms.keys.encrypterDecrypter:

CLI
  1. Роль audit-trails.viewer на каталог:

    yc resource-manager folder add-access-binding \
    --role audit-trails.viewer \
    --id <идентификатор_каталога> \
    --service-account-id <идентификатор_сервисного_аккаунта>
    

    Где:

    • --role — назначаемая роль;
    • --id — идентификатор каталога example-folder;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight.

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

  2. Роль storage.uploader на каталог с бакетом:

    yc resource-manager folder add-access-binding \
    --role storage.uploader \
    --id <идентификатор_каталога> \
    --service-account-id <идентификатор_сервисного_аккаунта>
    

    Где:

    • --role — назначаемая роль;
    • --id — идентификатор каталога example-folder;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight.
  3. Роль kms.keys.encrypterDecrypter на ключ шифрования arcsight-kms:

    yc kms symmetric-key add-access-binding \
    --role kms.keys.encrypterDecrypter \
    --id <идентификатор_ключа> \
    --service-account-id <идентификатор_сервисного_аккаунта>
    

    Где:

    • --role — назначаемая роль;
    • --id — идентификатор KMS-ключа arcsight-kms;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight.

Назначьте сервисному аккаунту sa-arcsight-bucket роли storage.viewer и kms.keys.encrypterDecrypter:

CLI
  1. Роль storage.viewer на каталог:

    yc resource-manager folder add-access-binding \
    --id <идентификатор_каталога> \
    --role storage.viewer \
    --service-account-id <идентификатор_сервисного_аккаунта>
    

    Где:

    • --id — идентификатор каталога example-folder;
    • --role — назначаемая роль;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight-bucket.
  2. Роль kms.keys.encrypterDecrypter на ключ шифрования arcsight-kms:

    yc kms symmetric-key add-access-binding \
    --role kms.keys.encrypterDecrypter \
    --id <идентификатор_ключа> \
    --service-account-id <идентификатор_сервисного_аккаунта>
    

    Где:

    • --role — назначаемая роль;
    • --id — идентификатор KMS-ключа arcsight-kms;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight-bucket.

Создайте трейлСоздайте трейл

Консоль управления
  1. В консоли управления перейдите в каталог example-folder.

  2. Выберите сервис Audit Trails.

  3. Нажмите Создать трейл и укажите:

    • Имя — имя создаваемого трейла, например, arcsight-trail.
    • Описание — описание трейла, необязательный параметр.
  4. В блоке Назначение задайте параметры объекта назначения:

    • Назначение — Object Storage.
    • Бакет — имя бакета.
    • Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.

    Примечание

    Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.

    • Ключ шифрования — укажите ключ шифрования arcsight-kms, которым зашифрован бакет.
  5. В блоке Сервисный аккаунт выберите sa-arcsight.

  6. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:

    • Сбор событий — выберите Включено.
    • Ресурс — выберите Каталог.
    • Каталог — не требует заполнения, содержит имя текущего каталога.
  7. В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите Выключено.

  8. Нажмите Создать.

Важно

Решение будет удалять логи из бакета после экспорта в ArcSight. Если вам нужно хранить логи в бакете, создайте отдельные бакет и трейл.

Смонтируйте бакетСмонтируйте бакет

Бакет монтируется на промежуточной ВМ, на нее же устанавливается ArcSight SmartConnector.
Чтобы смонтировать бакет, создайте файл со статическим ключом доступа сервисного аккаунта sa-arcsight-bucket.

  1. На промежуточной ВМ создайте файл со статическим ключом доступа:

    echo <идентификатор_ключа_доступа>:<секретный_ключ_доступа> > ${HOME}/.passwd-s3fs
    chmod 600 ${HOME}/.passwd-s3fs
    
  2. Установите s3fs:

    sudo apt install s3fs
    
  3. Создайте директорию, к которой будет монтироваться бакет, например, mybucket в домашней директории:

    sudo mkdir ${HOME}/mybucket
    
  4. Смонтируйте бакет:

    s3fs <имя_бакета> ${HOME}/mybucket -o passwd_file=${HOME}/.passwd-s3fs -o url=https://storage.yandexcloud.net -o use_path_request_style
    
  5. Проверьте, что бакет смонтирован:

    ls ${HOME}/mybucket
    

Установите и настройте ArcSight SmartConnectorУстановите и настройте ArcSight SmartConnector

Примечание

Для выполнения этого этапа руководства вам нужен дистрибутив ArcSight SmartConnector и доступ к экземпляру ArcSight.

  1. На промежуточной ВМ установите ArcSight SmartConnector:

    1. При установке выберите ArcSight FlexConnector JSON Folder Follower и укажите путь к папке mybucket.
    2. Укажите JSON configuration filename prefix: yc.
  2. Скачайте файлы arcsight_content.

  3. Скопируйте файл yc.jsonparser.properties из папки flex в папку с адресом <папка_установки_агента>/current/user/agent/flexagent.

  4. Скопируйте файл map.0.properties из папки flex в папку с адресом <папка_установки_агента>/current/user/agent/map.

  5. Отредактируйте файл <папка_установки_агента>/current/user/agent/agent.properties:

    agents[0].mode=DeleteFile
    agents[0].proccessfoldersrecursively=true
    
  6. Запустите коннектор и убедитесь, что события поступают в ArcSight:

    image

Как удалить созданные ресурсыКак удалить созданные ресурсы

Некоторые ресурсы платные. Чтобы за них не списывалась плата, удалите ресурсы, которые вы больше не будете использовать:

  1. Удалите бакет Object Storage.
  2. Удалите ключ Key Management Service.
  3. Удалите промежуточную ВМ, если вы создали ее в Compute Cloud.

Была ли статья полезна?

Предыдущая
Загрузка аудитных логов в SIEM Splunk
Следующая
Обзор
Проект Яндекса
© 2025 ООО «Яндекс.Облако»