Связаться с намиПодключиться

Загрузка аудитных логов в SIEM ArcSight

Статья создана
Обновлена 22 октября 2024 г.

Создайте трейл, который будет загружать аудитные логи уровня конфигурации ресурсов отдельного каталога в бакет Yandex Object Storage с включенным шифрованием. Затем настройте непрерывную доставку логов в SIEM ArcSight.

Для успешного прохождения руководства у вас должен быть установлен экземпляр ArcSight.

Решение, которое описано в руководстве, работает по следующей схеме:

  1. Трейл загружает логи в бакет Object Storage.
  2. Бакет монтируется через FUSE-интерфейс к папке на промежуточной ВМ.
  3. SmartConnector забирает логи из папки и передает их в ArcSight для анализа.

Подробнее о сценариях загрузки аудитных логов в ArcSight смотрите в Yandex Cloud Security Solution Library.

Примечание

Yandex Cloud Security Solution Library — это набор примеров и рекомендаций по построению безопасной инфраструктуры в Yandex Cloud, собранных в публичном репозитории на GitHub.

Чтобы настроить доставку файлов аудитных логов в ArcSight:

  1. Подготовьте облако к работе.
  2. Подготовьте окружение.
  3. Назначьте роли сервисным аккаунтам.
  4. Создайте трейл.
  5. Смонтируйте бакет.
  6. Подключите ArcSight SmartConnector.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки инфраструктуры входит:

Подготовьте окружение

Подготовьте промежуточную ВМ

Вы можете использовать готовую ВМ, у которой есть доступ к экземпляру ArcSight, или создать новую:

  1. Создайте ВМ из образа Linux с операционной системой Ubuntu 20.04.
  2. Подключитесь к ВМ по SSH.

Создайте бакет для аудитных логов

  1. В консоли управления перейдите в каталог, в котором хотите создать бакет, например, example-folder.
  2. Выберите сервис Object Storage.
  3. Нажмите Создать бакет.
  4. На странице создания бакета:

    1. Введите имя бакета в соответствии с правилами именования.

    2. При необходимости ограничьте максимальный размер бакета.

      Размер 0 означает отсутствие ограничений и аналогичен включенной опции Без ограничения.

    3. Выберите тип доступа Ограниченный.

    4. Выберите класс хранилища по умолчанию.

    5. Нажмите Создать бакет.

Создайте ключ шифрования в сервисе Key Management Service

  1. В консоли управления перейдите в каталог example-folder.
  2. Выберите сервис Key Management Service.
  3. Нажмите Создать ключ и укажите:
    • Имяarcsight-kms.
    • Алгоритм шифрованияAES-256.
    • Для остальных параметров оставьте значения по умолчанию.
  4. Нажмите Создать.

Включите шифрование бакета

  1. В консоли управления перейдите в бакет, созданный ранее.
  2. На панели слева выберите Безопасность.
  3. Откройте вкладку Шифрование.
  4. В поле Ключ KMS выберите ключ arcsight-kms.
  5. Нажмите Сохранить.

Создайте сервисные аккаунты

Необходимо создать два аккаунта — отдельно для трейла и бакета.

Создайте сервисный аккаунт sa-arcsight:

  1. В консоли управления перейдите в каталог example-folder.

  2. В списке сервисов выберите Identity and Access Management.

  3. Нажмите кнопку Создать сервисный аккаунт.

  4. Введите имя сервисного аккаунта в соответствии с правилами именования:

    • длина — от 3 до 63 символов;
    • может содержать строчные буквы латинского алфавита, цифры и дефисы;
    • первый символ — буква, последний — не дефис.

    Например, sa-arcsight.

  5. Нажмите Создать.

Аналогично создайте сервисный аккаунт с именем sa-arcsight-bucket.

Создайте статический ключ

Идентификатор ключа и секретный ключ понадобятся вам на этапе монтирования бакета.

  1. В консоли управления перейдите в каталог example-folder.

  2. В списке сервисов выберите Identity and Access Management.

  3. На панели слева выберите Сервисные аккаунты.

  4. В открывшемся списке выберите сервисный аккаунт sa-arcsight-bucket.

  5. Нажмите Создать новый ключ на верхней панели.

  6. Выберите Создать статический ключ доступа.

  7. Задайте описание ключа и нажмите Создать.

  8. Сохраните идентификатор и секретный ключ.

    Внимание

    После закрытия диалога значение ключа будет недоступно.

  1. Создайте ключ доступа для сервисного аккаунта sa-arcsight-bucket:

    yc iam access-key create --service-account-name sa-arcsight-bucket

    Результат:

    access_key:
  id: aje*******k2u
  service_account_id: aje*******usm
  created_at: "2022-09-22T14:37:51Z"
  key_id: 0n8*******0YQ
secret: JyT*******zMP1

  2. Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа снова будет невозможно.

Назначьте роли сервисным аккаунтам

Назначьте сервисному аккаунту sa-arcsight роли audit-trails.viewer, storage.uploader и kms.keys.encrypterDecrypter:

  1. Роль audit-trails.viewer на каталог:

    yc resource-manager folder add-access-binding \
--role audit-trails.viewer \
--id <идентификатор_каталога> \
--service-account-id <идентификатор_сервисного_аккаунта>

    Где:

    • --role — назначаемая роль;
    • --id — идентификатор каталога example-folder;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight.

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

  2. Роль storage.uploader на каталог с бакетом:

    yc resource-manager folder add-access-binding \
--role storage.uploader \
--id <идентификатор_каталога> \
--service-account-id <идентификатор_сервисного_аккаунта>

    Где:

    • --role — назначаемая роль;
    • --id — идентификатор каталога example-folder;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight.

  3. Роль kms.keys.encrypterDecrypter на ключ шифрования arcsight-kms:

    yc kms symmetric-key add-access-binding \
--role kms.keys.encrypterDecrypter \
--id <идентификатор_ключа> \
--service-account-id <идентификатор_сервисного_аккаунта>

    Где:

    • --role — назначаемая роль;
    • --id — идентификатор KMS-ключа arcsight-kms;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight.

Назначьте сервисному аккаунту sa-arcsight-bucket роли storage.viewer и kms.keys.encrypterDecrypter:

  1. Роль storage.viewer на каталог:

    yc resource-manager folder add-access-binding \
--id <идентификатор_каталога> \
--role storage.viewer \
--service-account-id <идентификатор_сервисного_аккаунта>

    Где:

    • --id — идентификатор каталога example-folder;
    • --role — назначаемая роль;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight-bucket.

  2. Роль kms.keys.encrypterDecrypter на ключ шифрования arcsight-kms:

    yc kms symmetric-key add-access-binding \
--role kms.keys.encrypterDecrypter \
--id <идентификатор_ключа> \
--service-account-id <идентификатор_сервисного_аккаунта>

    Где:

    • --role — назначаемая роль;
    • --id — идентификатор KMS-ключа arcsight-kms;
    • --service-account-id — идентификатор сервисного аккаунта sa-arcsight-bucket.

Создайте трейл

  1. В консоли управления перейдите в каталог example-folder.

  2. Выберите сервис Audit Trails.

  3. Нажмите Создать трейл и укажите:

    • Имя — имя создаваемого трейла, например, arcsight-trail.
    • Описание — описание трейла, необязательный параметр.

  4. В блоке Назначение задайте параметры объекта назначения:

    • НазначениеObject Storage.
    • Бакет — имя бакета.
    • Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.

    Примечание

    Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.

    • Ключ шифрования — укажите ключ шифрования arcsight-kms, которым зашифрован бакет.

  5. В блоке Сервисный аккаунт выберите sa-arcsight.

  6. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:

    • Сбор событий — выберите Включено.
    • Ресурс — выберите Каталог.
    • Каталог — не требует заполнения, содержит имя текущего каталога.

  7. В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите Выключено.

  8. Нажмите Создать.

Важно

Решение будет удалять логи из бакета после экспорта в ArcSight. Если вам нужно хранить логи в бакете, создайте отдельные бакет и трейл.

Смонтируйте бакет

Бакет монтируется на промежуточной ВМ, на нее же устанавливается ArcSight SmartConnector.
Чтобы смонтировать бакет, создайте файл со статическим ключом доступа сервисного аккаунта sa-arcsight-bucket.

  1. На промежуточной ВМ создайте файл со статическим ключом доступа:

    echo <идентификатор_ключа_доступа>:<секретный_ключ_доступа> > ${HOME}/.passwd-s3fs
chmod 600 ${HOME}/.passwd-s3fs

  2. Установите s3fs:

    sudo apt install s3fs

  3. Создайте директорию, к которой будет монтироваться бакет, например, mybucket в домашней директории:

    sudo mkdir ${HOME}/mybucket

  4. Смонтируйте бакет:

    s3fs <имя_бакета> ${HOME}/mybucket -o passwd_file=${HOME}/.passwd-s3fs -o url=https://storage.yandexcloud.net -o use_path_request_style

  5. Проверьте, что бакет смонтирован:

    ls ${HOME}/mybucket

Установите и настройте ArcSight SmartConnector

Примечание

Для выполнения этого этапа руководства вам нужен дистрибутив ArcSight SmartConnector и доступ к экземпляру ArcSight.

  1. На промежуточной ВМ установите ArcSight SmartConnector:

    1. При установке выберите ArcSight FlexConnector JSON Folder Follower и укажите путь к папке mybucket.
    2. Укажите JSON configuration filename prefix: yc.

  2. Скачайте файлы arcsight_content.

  3. Скопируйте файл yc.jsonparser.properties из папки flex в папку с адресом <папка_установки_агента>/current/user/agent/flexagent.

  4. Скопируйте файл map.0.properties из папки flex в папку с адресом <папка_установки_агента>/current/user/agent/map.

  5. Отредактируйте файл <папка_установки_агента>/current/user/agent/agent.properties:

    agents[0].mode=DeleteFile
agents[0].proccessfoldersrecursively=true

  6. Запустите коннектор и убедитесь, что события поступают в ArcSight:

    image

Как удалить созданные ресурсы

Некоторые ресурсы платные. Чтобы за них не списывалась плата, удалите ресурсы, которые вы больше не будете использовать:

  1. Удалите бакет Object Storage.
  2. Удалите ключ Key Management Service.
  3. Удалите промежуточную ВМ, если вы создали ее в Compute Cloud.
Предыдущая
Загрузка аудитных логов в SIEM Splunk
Следующая
Загрузка аудитных логов в SIEM KUMA