Требования к сбору, мониторингу и анализу аудитных логов
5. Сбор, мониторинг и анализ аудитных логов
Аудитные логи (журналы аудита) — это записи обо всех событиях в системе, включая доступ к ней и выполненные операции. Сбор и проверка аудитных логов позволяют контролировать соблюдение установленных процедур и стандартов безопасности и выявить изъяны в механизмах безопасности.
События в аудитных логах относятся к различным уровням:
- уровень Yandex Cloud — события, происходящие с ресурсами Yandex Cloud;
- уровень ОС;
- уровень приложений;
- уровень сети (Flow Logs).
Примечание
О событиях Kubernetes читайте в разделе Сбор, мониторинг и анализ аудитных логов в Yandex Managed Service for Kubernetes.
Общее
5.1 Включен сервис Yandex Audit Trails на уровне организации
Основным инструментом сбора логов уровня Yandex Cloud является сервис Yandex Audit Trails. Сервис позволяет собирать аудитные логи о происходящих с ресурсами Yandex Cloud событиях и загружать эти логи в бакет Yandex Object Storage или лог-группу Cloud Logging для дальнейшего анализа или экспорта. См. инструкцию, как запустить сбор логов.
Аудитные логи Audit Trails могут содержать два разных типа событий: события уровня конфигурации и события уровня сервисов.
К событиям уровня конфигурации относятся действия, связанные с конфигурированием ресурсов Yandex Cloud, такие как создание, изменение или удаление компонентов инфраструктуры, пользователей или политик. К событиям уровня сервисов относятся изменения и действия, которые происходят с данными и ресурсами внутри сервисов Yandex Cloud. По умолчанию Audit Trails не регистрирует события уровня сервисов. Включать сбор аудитных логов уровня сервисов нужно отдельно для каждого из поддерживаемых сервисов.
Подробнее см. в разделе Сравнение логов событий уровня конфигурации и уровня сервисов.
Для сбора метрик, анализа некоторых событий уровня Yandex Cloud и настройки оповещений рекомендуется использовать сервис Yandex Monitoring. С его помощью возможно отслеживать, например, резкое возрастание нагрузки на Compute Cloud, RPS сервиса Application Load Balancer, значительные изменения в статистике событий сервиса Identity and Access Management.
Кроме того, Monitoring можно применять для мониторинга работоспособности самого сервиса Audit Trails и мониторинга событий безопасности. Выгрузка метрик в SIEM-систему возможна через API, см. инструкцию.
Решение: Мониторинг Audit Trails и событий безопасности с помощью Monitoring
Аудитные логи возможно экспортировать в лог-группу Cloud Logging или Data Streams и в SIEM-систему клиента для анализа информации о событиях и инцидентах.
Список важных событий уровня Yandex Cloud для поиска в аудитных логах:
Решение: поиск важных событий безопасности в аудитных логах
Yandex Audit Trails возможно включить на уровне каталога, облака и организации. Рекомендуется включать Yandex Audit Trails на уровне всей организации — это позволит централизованно собирать аудитные логи, например, в отдельное облако безопасности.
- В консоли управления выберите облако или каталог, в которых необходимо проверить функции.
- В списке сервисов выберите Yandex Audit Trails.
- Убедитесь, что в параметре Фильтр находится значение Организация.
- Дополнительно убедитесь, что назначение логов: bucket Yandex Object Storage, лог-группа Cloud Logging, Data Streams в рабочем состоянии и логи доступны для дальнейшего анализа.
5.2 События Yandex Audit Trails экспортируются в SIEM-системы
Решения для экспорта аудитных логов Yandex Cloud подготовлены для следующих SIEM-систем:
-
ArcSight — Сбор, мониторинг и анализ аудитных логов во SIEM ArcSight
-
Splunk — Сбор, мониторинг и анализ аудитных логов в SIEM Splunk
-
MaxPatrol SIEM — Сбор, мониторинг и анализ аудитных логов в MaxPatrol SIEM
Вы можете подробнее ознакомиться с MaxPatrol в разделе.
Для настройки экспорта в любые SIEM подходят утилиты GeeseFS или s3fs. Они позволяют смонтировать бакет Yandex Object Storage как локальный диск виртуальной машины. Далее на ВМ необходимо установить коннектор для SIEM и настроить вычитывание JSON-файлов из бакета. Либо утилиты совместимые с AWS Kinesis datastreams в случае, если вы направляете аудитные логи в Yandex Data Streams.
Вы также можете анализировать аудитные логи вручную, если у вас отсутствует SIEM-система, с помощью поиска событий Yandex Cloud в Yandex Query, Cloud Logging или Object Storage.
Убедитесь, что аудитные логи из Yandex Audit Trails экспортируются для анализа в SIEM-систему либо анализируются в облаке одним из способов.
5.3 Настроено реагирование на события Yandex Audit Trails
Вы можете реагировать на события Yandex Audit Trails средствами вашей SIEM-системы либо вручную. Либо вы можете использовать автоматическое реагирование.
C помощью Yandex Cloud Functions можно настроить оповещения о событиях Audit Trails, а так же автоматическое реагирование на вредоносные действия, например удаление опасных правил или прав доступа.
5.4 Выполнен hardering бакета Object Storage, где хранятся аудитные логи Yandex Audit Trails
Убедитесь, что в случае записи аудитных логов Yandex Audit Trails в bucket Yandex Object Storage сам бакет настроен в соответствии с лучшими практиками безопасности:
- Отсутствует публичный доступ к бакету Yandex Object Storage.
- В Yandex Object Storage используются политики доступа (Bucket Policy).
- В Yandex Object Storage включена функция Блокировка версии объекта (object lock).
- В Yandex Object Storage включен механизм логирования действий с бакетом.
- В Yandex Object Storage включено шифрование данных at rest с помощью ключа KMS.
Вы можете воспользоваться решением для настройки безопасного бакета Yandex Object Storage с помощью Terraform.
Выполните проверку вручную.
5.5 Выполняется сбор аудитных логов с уровня ОС
При использовании облачных сервисов по модели IaaS и использовании групп узлов Kubernetes клиент отвечает за безопасность ОС и выполняет сбор событий уровня ОС самостоятельно. Для сбора стандартных событий, которые генерирует ОС, и их экспорта в SIEM-систему клиента существуют бесплатные инструменты, такие как:
Дополнительные опции генерации событий возможно реализовать с помощью утилиты Auditd для Linux, Sysmon для Windows.
Системные метрики Linux (процессор, память, диск) можно собирать с помощью компонента Unified Agent сервиса Monitoring.
Также события ОС возможно экспортировать в Cloud Logging с помощью плагина Fluent bit либо в Data Streams.
Для описания событий, которые нужно искать в логах, рекомендуем использовать формат Sigma, поддерживаемый популярными SIEM-системами. Репозиторий Sigma содержит библиотеку событий, описанных в этом формате.
Чтобы получать точную хронологию событий уровня ОС и приложений, настройте синхронизацию часов по инструкции.
Выполните проверку вручную.
5.6 Выполняется сбор аудитных логов с уровня приложений
Сбор событий уровня приложений, развернутых на ресурсах Compute Cloud, клиент может выполнять самостоятельно. Например, записывать логи приложения в файл и передавать их в SIEM-систему с помощью инструментов, перечисленных в подразделе выше.
Выполните проверку вручную.
5.7 Выполняется сбор логов с уровня сети
Запись событий о сетевом трафике VPC (Flow Logs) на текущий момент может выполняться только средствами клиента. Для сбора и передачи событий могут использоваться решения из Yandex Cloud Marketplace (например, NGFW, IDS/IPS, сетевые продукты) либо бесплатное ПО. Также сбор логов уровня сети возможно выполнять с помощью различных агентов — HIDS и др.
Выполните проверку вручную.
5.8 Отслеживаются события уровня сервисов
Аудитный лог событий уровня сервисов — это запись о событиях, которые произошли с ресурсами Yandex Cloud, в форме JSON-объекта. Благодаря отслеживанию событий уровня сервисов вам будет проще собирать дополнительные события с облачных сервисов, что позволит эффективнее реагировать на инциденты безопасности в облаках. Кроме того, отслеживание событий уровня сервисов поможет обеспечить соответствие вашей облачной инфраструктуры нормативным правовым актам и отраслевым стандартам. Например, вы можете отслеживать получение сотрудниками доступа к конфиденциальным данным, хранящимся в бакетах.
-
В консоли управления выберите каталог, в котором расположен трейл.
-
В списке сервисов выберите Audit Trails.
-
Выберите нужный трейл.
-
Убедитесь, что на странице с информацией о трейле в блоке Сбор событий с уровня сервисов указаны все сервисы, для которых вы хотите собирать логи уровня сервисов, и для каждого указанного сервиса задана нужная область сбора аудитных логов.
Список поддерживаемых сервисов см. в Справочник событий уровня сервисов.
5.9 Включен модуль Security Deck Access Transparency для проверки действий, произведенных сотрудниками Yandex Cloud с инфраструктурой
Все действия сотрудников Yandex Cloud фиксируются и контролируются с помощью бастионных хостов, на которых записываются операции с ресурсами, обрабатывающими пользовательские данные.
Модуль Access Transparency позволяет проверить, для каких целей сотрудники провайдера получили доступ к инфраструктуре. Например, для выполнения дополнительной диагностики IT‑систем инженерами службы поддержки или обновления ПО. ML‑модели анализируют эти действия. YandexGPT, встроенный в Access Transparency, создает сводки о событиях доступа для повышения прозрачности. Подозрительные сессии автоматически передаются на рассмотрение команде безопасности Yandex Cloud.
- Перейдите в сервис Yandex Security Deck.
- На панели слева выберите Access Transparency.
- Если вы видите предложение о подключении модуля Access Transparency, то этот модуль у вас еще не активирован: перейдите к п.
Инструкции и решения по выполнению
.
Инструкции и решения по выполнению:
Нажмите кнопку Подключить, чтобы активировать модуль Access Transparency.
ClickHouse® является зарегистрированным товарным знаком ClickHouse, Inc.