Настройка реагирования в Yandex Cloud Logging и Yandex Cloud Functions
Вы можете использовать сервис Cloud Functions для настройки автоматического реагирования на события аудитного лога. Например, отправлять сообщения по удобным каналам оповещения или автоматически изменять настройки ресурсов Yandex Cloud в качестве компенсационных мер.
Схема работы
В общем виде для настройки реагирования через Cloud Functions понадобятся следующие компоненты:
- Трейл — загружает аудитные логи в лог-группу.
- Лог-группа — выступает промежуточным звеном между трейлом и триггером Cloud Functions.
- Триггер для Yandex Cloud Logging — вызывает функцию при добавлении записи в лог-группу.
- Функция Cloud Functions — выполняет логику реагирования.
- Опциональный вспомогательный компонент, например, Telegram-бот или почтовый сервер.
Пример реализации
В Yc-security-solutions-library
Оповещение реализовано для следующих событий:
- Группы безопасности: разрешение входящего трафика на все внутренние адреса (0.0.0.0/0).
- Object Storage: включение публичного доступа к бакету.
- Yandex Lockbox: назначение прав на секрет.
Компенсирующее воздействие на ресурсы Yandex Cloud:
- Группы безопасности: удаление правила.
- Yandex Lockbox: удаление назначенных прав на секрет.
Примечание
Yandex Cloud Security Solution Library
Решение содержит исходные коды Python-функции и скрипта Terraform, который выполняет настройку всех компонентов Yandex Cloud, необходимых для выполнение процедуры.
Что дальше
- Узнайте о формате аудитных логов.
- Узнайте о существующих решениях по экспорту аудитных логов в SIEM.