Связаться с намиПодключиться

Загрузка аудитных логов в MaxPatrol SIEM

Статья создана
Обновлена 22 октября 2024 г.

MaxPatrol SIEM может читать аудитные логи Yandex Cloud из потока данных Yandex Data Streams. Для полного прохождения руководства у вас должен быть доступ к экземпляру MaxPatrol SIEM.

Чтобы настроить экспорт аудитных логов:

  1. Подготовьте облако к работе.
  2. Подготовьте окружение.
  3. Создайте трейл, который отправляет логи в поток данных Data Streams.
  4. Настройте в MaxPatrol SIEM задачу по сбору данных из потока Data Streams.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки инфраструктуры входит:

Подготовьте окружение

Создайте сервисный аккаунт и назначьте ему роли

От имени сервисного аккаунта трейл будет собирать логи всех ресурсов организации и загружать их в поток данных Data Streams.

Создайте сервисный аккаунт в том же каталоге, в котором создадите трейл, например, в example-folder:

  1. В консоли управления выберите каталог example-folder.
  2. В списке сервисов выберите Identity and Access Management.
  3. Нажмите кнопку Создать сервисный аккаунт.
  4. Введите имя сервисного аккаунта maxpatrol-sa.
  5. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Создайте сервисный аккаунт:

    yc iam service-account create --name maxpatrol-sa

    Результат:

    id: aje*****ckg
folder_id: b1g*****rnj
created_at: "2022-09-18..."
name: maxpatrol-sa

    Подробнее о команде yc iam service-account create см. в справочнике CLI.

Назначьте сервисному аккаунту maxpatrol-sa роли audit-trails.viewer и yds.editor:

  1. Роль audit-trails.viewer на организацию:

    yc organization-manager organization add-access-binding \
--role audit-trails.viewer \
--id <идентификатор_организации> \
--service-account-id <идентификатор_сервисного_аккаунта>

    Где:

    • --role — назначаемая роль.
    • --idидентификатор организации, в которой находится сервисный аккаунт.
    • --service-account-id — идентификатор сервисного аккаунта maxpatrol-sa.

    Результат:

    done (1s)

    Подробнее о команде yc organization-manager organization add-access-binding см. в справочнике CLI.

  2. Роль yds.editor на каталог example-folder:

    yc resource-manager folder add-access-binding example-folder \
  --role yds.editor \
  --subject serviceAccount:<идентификатор_сервисного_аккаунта>

    Где:

    • --role — назначаемая роль.
    • --subject — идентификатор сервисного аккаунта maxpatrol-sa.

    Результат:

    done (1s)

    Подробнее о команде yc resource-manager folder add-access-binding см. в справочнике CLI.

Создайте статические ключи доступа

MaxPatrol SIEM использует статические ключи доступа для авторизации запросов к потоку данных Data Streams.

  1. В консоли управления выберите каталог example-folder.
  2. В списке сервисов выберите Identity and Access Management.
  3. На панели слева выберите Сервисные аккаунты.
  4. В открывшемся списке выберите сервисный аккаунт maxpatrol-sa.
  5. Нажмите Создать новый ключ на верхней панели.
  6. Выберите Создать статический ключ доступа.
  7. Задайте описание ключа и нажмите Создать.

Внимание

Сохраните идентификатор и секретный ключ. После закрытия диалога значение ключа будет недоступно.

Создайте статический ключ доступа для сервисного аккаунта maxpatrol-sa:

yc iam access-key create --service-account-name maxpatrol-sa

Результат:

access_key:
id: YCd*****W7t
service_account_id: aje*****ckg
created_at: "2022-09-18..."
key_id: YCA*****5Ws4
secret: YCM76*******I3fk

Внимание

Сохраните идентификатор key_id и секретный ключ secret. Получить значение ключа снова невозможно.

Подробнее о команде yc iam access-key create см. в справочнике CLI.

Создайте бессерверную БД YDB

База данных необходима для потока данных Data Streams.

  1. В консоли управления выберите каталог example-folder.
  2. Нажмите Создать ресурс и выберите База данных YDB.
  3. Укажите Имяmaxpatrol-db.
  4. В блоке Тип базы данных выберите Serverless.
  5. Для остальных параметров оставьте значения по умолчанию.
  6. Нажмите Создать базу данных.

Дождитесь, когда статус базы данных изменится на Running.

  1. Создайте базу данных:

    yc ydb database create --name maxpatrol-db --serverless --folder-name example-folder

    Где:

    • --name — имя базы данных.
    • --serverless — тип serverless.
    • --folder-name — имя каталога.

    Результат:

    done (7s)
id: etn*****r5t
folder_id: b1g*****rnj
created_at: "2022-09-18..."
name: maxpatrol-db
status: PROVISIONING
...

    Подробнее о команде yc ydb database create см. в справочнике CLI.

  2. Проверьте статус созданной БД:

    yc ydb database get maxpatrol-db

    Дождитесь, когда статус базы данных изменится на RUNNING.

Создайте поток данных

В этот поток данных трейл будет загружать логи ресурсов организации.

  1. В консоли управления выберите каталог example-folder.
  2. Нажмите Создать ресурс и выберите Data Streams.
  3. В поле База данных выберите maxpatrol-db.
  4. Укажите Имя maxpatrol-stream.
  5. Для остальных параметров оставьте значения по умолчанию.
  6. Нажмите кнопку Создать.

Дождитесь когда статус потока данных сменится на Running.

Создайте трейл

Трейл будет собирать аудитные логи уровня конфигурации всех ресурсов вашей организации и загружать их в поток данных maxpatrol-stream.

  1. В консоли управления выберите каталог example-folder.
  2. Нажмите кнопку Создать ресурс и выберите пункт Audit trail.
  3. Укажите Имя создаваемого трейла maxpatrol-trail.
  4. В блоке Назначение задайте параметры объекта назначения:
    • НазначениеData Streams.
    • Поток данных — выберите поток данных maxpatrol-stream.
  5. В блоке Сервисный аккаунт выберите сервисный аккаунт maxpatrol-sa.
  6. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:
    • Сбор событий — выберите Включено.
    • Ресурс — выберите Организация.
    • Организация — не требует заполнения (содержит имя организации, в котором будет находиться трейл).
    • Облако — оставьте значение по умолчанию Все.
  7. В блоке Сбор событий с уровня сервисов в поле Сбор событий выберите Выключено.
  8. Нажмите Создать.

Настройте MaxPatrol SIEM

Создайте учетные записи

Учетные записи можно использовать как хранилища секретов. Создайте учетные записи static-key-id и static-key-private, чтобы сохранить в них идентификатор и секретный ключ доступа:

  1. Войдите в веб-интерфейс MaxPatrol SIEM.
  2. В разделе Сбор данных нажмите Учетные записи.
  3. Нажмите Добавить учетную записьПароль и укажите параметры:
    • Названиеstatic-key-id;
    • Пароль — идентификатор статического ключа;
    • Подтверждение пароля — повторите идентификатор статического ключа.
  4. Нажмите Сохранить.

Аналогично создайте учетную запись static-key-private, содержащую секретный ключ.

Создайте задачу на сбор данных

Создайте и запустите задачу на сбор данных с профилем Yandex Data Streams:

  1. Войдите в веб-интерфейс MaxPatrol SIEM.
  2. В разделе Сбор данных нажмите Задачи.
  3. На странице Задачи по сбору данных:
    1. На панели инструментов нажмите Создать задачу.
    2. Нажмите Сбор данных.
  4. На странице Создание задачи на сбор данных укажите параметры:
    1. НазваниеYDS-logs-task.
    2. ПрофильYandex Data Streams.
    3. В иерархическом списке выберите Запуск сценария.
    4. В блоке Подключение укажите:
      • Учетная записьstatic-key-id;
      • Учетная запись для повышения привилегийstatic-key-private.
    5. Параметры запуска сценария:
      • database<идентификатор_БД_maxpatrol-db>;
      • folder<идентификатор_облака_для_каталога_example-folder>;
      • region_nameru-central1;
      • stream_name<имя_потока_maxpatrol-stream>.
    6. На панели Цели сбора данных:
      1. Выберите вкладку Включить.
      2. В поле Сетевые адреса укажите yandex-cloud.
    7. Нажмите Сохранить и запустить.

Чтобы просмотреть логи, перейдите на страницу просмотра событий:

  1. Перейдите на страницу Задачи по сбору данных.
  2. Нажмите на задачу YDS-logs-task.
  3. Нажмите Собранные событияПерейти.

Как удалить созданные ресурсы

Удалите ресурсы, которые вы больше не будете использовать, чтобы за них не списывалась плата:

Предыдущая
Загрузка аудитных логов в Yandex Managed Service for OpenSearch
Следующая
Загрузка аудитных логов в SIEM Splunk