Загрузка аудитных логов в MaxPatrol SIEM
MaxPatrol SIEM
Чтобы настроить экспорт аудитных логов:
- Подготовьте облако к работе.
- Подготовьте окружение.
- Создайте трейл, который отправляет логи в поток данных Data Streams.
- Настройте в MaxPatrol SIEM задачу по сбору данных из потока Data Streams.
Если созданные ресурсы вам больше не нужны, удалите их.
Перед началом работы
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления
, затем войдите в Yandex Cloud или зарегистрируйтесь. - На странице Yandex Cloud Billing
убедитесь, что у вас подключен платежный аккаунт, и он находится в статусеACTIVE
илиTRIAL_ACTIVE
. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
В стоимость поддержки инфраструктуры входит:
- использование потока данных (см. тарифы Data Streams).
- использование Yandex Managed Service for YDB в бессерверном режиме (см. тарифы Managed Service for YDB).
Подготовьте окружение
Создайте сервисный аккаунт и назначьте ему роли
От имени сервисного аккаунта трейл будет собирать логи всех ресурсов организации и загружать их в поток данных Data Streams.
Создайте сервисный аккаунт в том же каталоге, в котором создадите трейл, например, в example-folder
:
- В консоли управления
выберите каталогexample-folder
. - В списке сервисов выберите Identity and Access Management.
- Нажмите кнопку Создать сервисный аккаунт.
- Введите имя сервисного аккаунта
maxpatrol-sa
. - Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Создайте сервисный аккаунт:
yc iam service-account create --name maxpatrol-sa
Результат:
id: aje*****ckg folder_id: b1g*****rnj created_at: "2022-09-18..." name: maxpatrol-sa
Подробнее о команде
yc iam service-account create
см. в справочнике CLI.
Назначьте сервисному аккаунту maxpatrol-sa
роли audit-trails.viewer
и yds.editor
:
-
Роль
audit-trails.viewer
на организацию:yc organization-manager organization add-access-binding \ --role audit-trails.viewer \ --id <идентификатор_организации> \ --service-account-id <идентификатор_сервисного_аккаунта>
Где:
--role
— назначаемая роль.--id
— идентификатор организации, в которой находится сервисный аккаунт.--service-account-id
— идентификатор сервисного аккаунтаmaxpatrol-sa
.
Результат:
done (1s)
Подробнее о команде
yc organization-manager organization add-access-binding
см. в справочнике CLI. -
Роль
yds.editor
на каталогexample-folder
:yc resource-manager folder add-access-binding example-folder \ --role yds.editor \ --subject serviceAccount:<идентификатор_сервисного_аккаунта>
Где:
--role
— назначаемая роль.--subject
— идентификатор сервисного аккаунтаmaxpatrol-sa
.
Результат:
done (1s)
Подробнее о команде
yc resource-manager folder add-access-binding
см. в справочнике CLI.
Создайте статические ключи доступа
MaxPatrol SIEM использует статические ключи доступа для авторизации запросов к потоку данных Data Streams.
- В консоли управления
выберите каталогexample-folder
. - В списке сервисов выберите Identity and Access Management.
- На панели слева выберите
Сервисные аккаунты. - В открывшемся списке выберите сервисный аккаунт
maxpatrol-sa
. - Нажмите Создать новый ключ на верхней панели.
- Выберите Создать статический ключ доступа.
- Задайте описание ключа и нажмите Создать.
Внимание
Сохраните идентификатор и секретный ключ. После закрытия диалога значение ключа будет недоступно.
Создайте статический ключ доступа для сервисного аккаунта maxpatrol-sa
:
yc iam access-key create --service-account-name maxpatrol-sa
Результат:
access_key:
id: YCd*****W7t
service_account_id: aje*****ckg
created_at: "2022-09-18..."
key_id: YCA*****5Ws4
secret: YCM76*******I3fk
Внимание
Сохраните идентификатор key_id
и секретный ключ secret
. Получить значение ключа снова невозможно.
Подробнее о команде yc iam access-key create
см. в справочнике CLI.
Создайте бессерверную БД YDB
База данных необходима для потока данных Data Streams
.
- В консоли управления
выберите каталогexample-folder
. - Нажмите Создать ресурс и выберите База данных YDB.
- Укажите Имя —
maxpatrol-db
. - В блоке Тип базы данных выберите
Serverless
. - Для остальных параметров оставьте значения по умолчанию.
- Нажмите Создать базу данных.
Дождитесь, когда статус базы данных изменится на Running
.
-
Создайте базу данных:
yc ydb database create --name maxpatrol-db --serverless --folder-name example-folder
Где:
--name
— имя базы данных.--serverless
— тип serverless.--folder-name
— имя каталога.
Результат:
done (7s) id: etn*****r5t folder_id: b1g*****rnj created_at: "2022-09-18..." name: maxpatrol-db status: PROVISIONING ...
Подробнее о команде
yc ydb database create
см. в справочнике CLI. -
Проверьте статус созданной БД:
yc ydb database get maxpatrol-db
Дождитесь, когда статус базы данных изменится на
RUNNING
.
Создайте поток данных
В этот поток данных трейл будет загружать логи ресурсов организации.
- В консоли управления
выберите каталогexample-folder
. - Нажмите Создать ресурс и выберите Data Streams.
- В поле База данных выберите
maxpatrol-db
. - Укажите Имя
maxpatrol-stream
. - Для остальных параметров оставьте значения по умолчанию.
- Нажмите кнопку Создать.
Дождитесь когда статус потока данных сменится на Running
.
Создайте трейл
Трейл будет собирать аудитные логи уровня конфигурации всех ресурсов вашей организации и загружать их в поток данных maxpatrol-stream
.
- В консоли управления
выберите каталогexample-folder
. - Нажмите кнопку Создать ресурс и выберите пункт Audit trail.
- Укажите Имя создаваемого трейла
maxpatrol-trail
. - В блоке Назначение задайте параметры объекта назначения:
- Назначение —
Data Streams
. - Поток данных — выберите поток данных
maxpatrol-stream
.
- Назначение —
- В блоке Сервисный аккаунт выберите сервисный аккаунт
maxpatrol-sa
. - В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:
- Сбор событий — выберите
Включено
. - Ресурс — выберите
Организация
. - Организация — не требует заполнения (содержит имя организации, в котором будет находиться трейл).
- Облако — оставьте значение по умолчанию
Все
.
- Сбор событий — выберите
- В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите
Выключено
. - Нажмите Создать.
Настройте MaxPatrol SIEM
Создайте учетные записи
Учетные записи можно использовать как хранилища секретов. Создайте учетные записи static-key-id
и static-key-private
, чтобы сохранить в них идентификатор и секретный ключ доступа:
- Войдите в веб-интерфейс MaxPatrol SIEM.
- В разделе Сбор данных нажмите Учетные записи.
- Нажмите Добавить учетную запись → Пароль и укажите параметры:
- Название —
static-key-id
; - Пароль — идентификатор статического ключа;
- Подтверждение пароля — повторите идентификатор статического ключа.
- Название —
- Нажмите Сохранить.
Аналогично создайте учетную запись static-key-private
, содержащую секретный ключ.
Создайте задачу на сбор данных
Создайте и запустите задачу на сбор данных с профилем Yandex Data Streams:
- Войдите в веб-интерфейс MaxPatrol SIEM.
- В разделе Сбор данных нажмите Задачи.
- На странице Задачи по сбору данных:
- На панели инструментов нажмите Создать задачу.
- Нажмите Сбор данных.
- На странице Создание задачи на сбор данных укажите параметры:
- Название —
YDS-logs-task
. - Профиль —
Yandex Data Streams
. - В иерархическом списке выберите Запуск сценария.
- В блоке Подключение укажите:
- Учетная запись —
static-key-id
; - Учетная запись для повышения привилегий —
static-key-private
.
- Учетная запись —
- Параметры запуска сценария:
- database —
<идентификатор_БД_maxpatrol-db>
; - folder —
<идентификатор_облака_для_каталога_example-folder>
; - region_name —
ru-central1
; - stream_name —
<имя_потока_maxpatrol-stream>
.
- database —
- На панели Цели сбора данных:
- Выберите вкладку Включить.
- В поле Сетевые адреса укажите
yandex-cloud
.
- Нажмите Сохранить и запустить.
- Название —
Чтобы просмотреть логи, перейдите на страницу просмотра событий:
- Перейдите на страницу Задачи по сбору данных.
- Нажмите на задачу
YDS-logs-task
. - Нажмите Собранные события → Перейти.
Как удалить созданные ресурсы
Удалите ресурсы, которые вы больше не будете использовать, чтобы за них не списывалась плата: