Связаться с намиПодключиться

Загрузка аудитных логов Yandex Audit Trails в SIEM KUMA

Статья создана
Обновлена 20 ноября 2024 г.

В данном руководстве вы создадите трейл Audit Trails, который будет передавать аудитные логи в коллектор KUMA.

Решение, которое описано в руководстве, работает по следующей схеме:

  1. Трейл загружает логи в бакет Yandex Object Storage с включенным шифрованием.
  2. Бакет монтируется как часть файловой системы на сервере с установленным коллектором KUMA.
  3. Коллектор KUMA получает и передает на обработку данные событий из смонтированного бакета.

Чтобы настроить доставку файлов аудитных логов в KUMA:

  1. Подготовьте облако к работе.
  2. Подготовьте окружение.
  3. Создайте бакет.
  4. Создайте трейл.
  5. Смонтируйте бакет на сервере.
  6. Настройте коллектор KUMA.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки создаваемой инфраструктуры Yandex Cloud входят:

  • плата за хранение данных, операции с данными, а также исходящий трафик (см. тарифы Yandex Object Storage);
  • плата за использование симметричного ключа шифрования и выполнение криптографических операций (см. тарифы Yandex Key Management Service);
  • (опционально) плата за постоянно запущенную виртуальную машину (см. тарифы Yandex Compute Cloud);
  • (опционально) плата за использование динамического или статического внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud).

Кроме этого, для прохождения руководства вы должны иметь лицензию на использование KUMA (не поставляется Yandex Cloud).

Подготовьте окружение

Создайте сервисные аккаунты

Для работы создаваемой инфраструктуры потребуются два сервисных аккаунта: один — для бакета Object Storage, второй — для трейла Audit Trails.

Чтобы создать сервисные аккаунты:

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.
  2. В списке сервисов выберите Identity and Access Management.
  3. Нажмите кнопку Создать сервисный аккаунт.
  4. Введите имя сервисного аккаунта для бакета: kuma-bucket-sa.
  5. Нажмите кнопку Создать.
  6. Повторите шаги 3-5, чтобы создать сервисный аккаунт kuma-trail-sa для трейла.

Создайте статический ключ доступа

Чтобы смонтировать бакет на сервере с установленным коллектором KUMA, создайте статический ключ доступа для сервисного аккаунта kuma-bucket-sa:

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

  2. В списке сервисов выберите Identity and Access Management.

  3. На панели слева выберите Сервисные аккаунты.

  4. Выберите сервисный аккаунт kuma-bucket-sa.

  5. На панели сверху нажмите Создать новый ключ и выберите Создать статический ключ доступа.

  6. Задайте описание ключа и нажмите кнопку Создать.

  7. Сохраните полученные идентификатор и секретный ключ: они понадобятся позднее при монтировании бакета на сервере.

    Внимание

    После закрытия диалога значение ключа будет недоступно.

Создайте ключ шифрования

Чтобы создать новый симметричный ключ шифрования:

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

  2. В списке сервисов выберите Key Management Service.

  3. На панели слева выберите Симметричные ключи.

  4. Нажмите кнопку Создать ключ и задайте атрибуты ключа:

    • Имя — kuma-key.
    • Алгоритм шифрования, например AES-256.

  5. Нажмите кнопку Создать.

Назначьте роли сервисным аккаунтам

  1. Чтобы назначить сервисным аккаунтам роли на каталог:

    1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

    2. Перейдите на вкладку Права доступа.

    3. Нажмите кнопку Настроить доступ.

    4. В открывшемся окне выберите раздел Сервисные аккаунты.

    5. В списке выберите сервисный аккаунт kuma-trail-sa, при необходимости воспользуйтесь поиском.

    6. Нажмите кнопку Добавить роль и в появившемся окне выберите роль audit-trails.viewer.

      Повторите этот шаг и добавьте роль storage.uploader.

    7. Нажмите кнопку Сохранить.

    8. Повторите шаги 3-7, чтобы назначить сервисному аккаунту kuma-bucket-sa роль storage.viewer на каталог.

  2. Чтобы назначить сервисным аккаунтам роль kms.keys.encrypterDecrypter на созданный ранее ключ шифрования:

    1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.
    2. В списке сервисов выберите Key Management Service.
    3. На панели слева выберите Симметричные ключи и нажмите на строку с ключом kuma-key.
    4. Перейдите в раздел Права доступа и нажмите кнопку Назначить роли.
    5. Выберите сервисный аккаунт kuma-trail-sa.
    6. Нажмите кнопку Добавить роль и выберите роль kms.keys.encrypterDecrypter.
    7. Нажмите кнопку Сохранить.
    8. Повторите шаги 3-7, чтобы назначить сервисному аккаунту kuma-bucket-sa роль kms.keys.encrypterDecrypter на ключ шифрования.

Создайте бакет

Чтобы создать бакет, в который трейл будет сохранять аудитные логи:

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

  2. В списке сервисов выберите Object Storage.

  3. Справа сверху нажмите Создать бакет.

  4. В поле Имя укажите имя бакета, например: my-audit-logs-for-kuma.

    Примечание

    Имена бакетов должны быть уникальны для всего Object Storage, то есть нельзя создать два бакета с одинаковыми именами даже в разных каталогах разных облаков.

  5. В поле Макс. размер задайте размер создаваемого бакета или включите опцию Без ограничения.

  6. Значения остальных параметров оставьте без изменения и нажмите Создать бакет.

  7. На открывшейся странице со списком бакетов выберите созданный бакет.

  8. В меню слева выберите Безопасность и перейдите на вкладку Шифрование.

  9. В поле Ключ KMS выберите созданный ранее ключ kuma-key.

  10. Нажмите Сохранить.

Создайте трейл

Чтобы создать трейл:

  1. В консоли управления перейдите в каталог, в котором вы создаете инфраструктуру.

  2. Выберите сервис Audit Trails.

  3. Нажмите кнопку Создать трейл и в открывшемся окне:

    1. В поле Имя задайте имя трейла kuma-trail.

    2. В блоке Назначение задайте параметры объекта назначения:

      • НазначениеObject Storage.
      • Бакет — созданный ранее бакет, например: my-audit-logs-for-kuma.
      • Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.

      Примечание

      Используйте префикс, если вы храните аудитные логи и сторонние данные в одном и том же бакете. Не используйте одинаковый префикс для логов и других объектов в бакете, так как в этом случае логи и сторонние объекты могут перезаписать друг друга.

    3. Убедитесь, что в поле Ключ шифрования указан ключ шифрования kuma-key. Если ключ шифрования не задан, нажмите кнопку Добавить и выберите этот ключ.

    4. В блоке Сбор событий c уровня конфигурации задайте параметры сбора аудитных логов уровня конфигурации:

      • Сбор событий — выберите Включено.
      • Ресурс — выберите Каталог.
      • Каталог — не требует заполнения, содержит имя текущего каталога.

    5. В блоке Сервисный аккаунт выше выберите сервисный аккаунт kuma-trail-sa.

    6. В блоке Сбор событий с уровня сервисов оставьте значение Выключено.

    7. Нажмите кнопку Создать.

Смонтируйте бакет на сервере

Это действие выполняется на сервере, на котором будет установлен коллектор KUMA. В качестве сервера вы можете использовать виртуальную машину в Yandex Compute Cloud или свое оборудование. В данном руководстве будет использоваться ВМ Compute Cloud.

Чтобы смонтировать бакет на сервере:

  1. Создайте виртуальную машину из публичного образа Ubuntu 22.04 LTS.

  2. Подключитесь к ВМ по SSH или по OS Login.

  3. Создайте нового пользователя kuma:

    sudo useradd kuma

  4. Создайте домашнюю директорию пользователя kuma:

    sudo mkdir /home/kuma

  5. Создайте файл со статическим ключом доступа и выдайте пользователю kuma права на него:

    sudo bash -c 'echo <идентификатор_ключа_доступа>:<секретный_ключ_доступа> > /home/kuma/.passwd-s3fs'
sudo chmod 600 /home/kuma/.passwd-s3fs
sudo chown -R kuma:kuma /home/kuma

    Где <идентификатор_ключа_доступа> и <секретный_ключ_доступа> — сохраненные ранее значения статического ключа доступа сервисного аккаунта kuma-bucket-sa.

  6. Установите пакет s3fs:

    sudo apt install s3fs

  7. Создайте директорию, которая будет служить точкой монтирования для бакета, и выдайте пользователю kuma права на эту директорию:

    sudo mkdir /var/log/yandex-cloud/
sudo chown kuma:kuma /var/log/yandex-cloud/

  8. Смонтируйте созданный ранее бакет, указав его имя:

    sudo s3fs <имя_бакета> /var/log/yandex-cloud \
  -o passwd_file=/home/kuma/.passwd-s3fs \
  -o url=https://storage.yandexcloud.net \
  -o use_path_request_style \
  -o uid=$(id -u kuma) \
  -o gid=$(id -g kuma)

    Вы можете настроить автоматическое монтирование бакета при запуске операционной системы, для этого откройте файл /etc/fstab (команда sudo nano /etc/fstab) и добавьте в него строку:

    s3fs#<имя_бакета> /var/log/yandex-cloud fuse _netdev,uid=<kuma_uid>,gid=<kuma_gid>,use_path_request_style,url=https://storage.yandexcloud.net,passwd_file=/home/kuma/.passwd-s3fs 0 0

    Где:

    • <имя_бакета> — имя созданного ранее бакета, например: my-audit-logs-for-kuma.

    • <kuma_uid> — идентификатор пользователя kuma в операционной системе ВМ.

    • <kuma_gid> — идентификатор группы пользователей kuma в операционной системе ВМ.

      Чтобы узнать значения <kuma_uid> и <kuma_gid>, в терминале выполните команду id kuma.

  9. Убедитесь, что бакет смонтирован:

    sudo ls /var/log/yandex-cloud/

    Если все настроено верно, команда вернет текущее содержимое бакета с аудитными событиями.

Настройка передачи событий Yandex Cloud завершена. События будут располагаться в следующих директориях в JSON-файлах:

/var/log/yandex-cloud/{audit_trail_id}/{year}/{month}/{day}/*.json

Настройте коллектор KUMA

На этом шаге вам понадобятся файлы дистрибутива и лицензии, входящие в комплект поставки KUMA. Используйте их, чтобы установить и настроить коллектор в сетевой инфраструктуре KUMA. Подробнее см. в инструкции.

После успешного завершения настройки аудитные события начнут поставляться в KUMA. Веб-интерфейс KUMA позволяет выполнять поиск связанных событий.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

Предыдущая
Terraform
Следующая
Все руководства