Обзор Yandex Cloud Detection and Response

Yandex Cloud Detection and Response — это сервис для мониторинга и реагирования на инциденты в Yandex Cloud. YCDR разработан на базе собственного центра мониторинга безопасности (SOC) платформы Yandex Cloud. Сервис собирает данные с облачной инфраструктуры для выявления аномалий. При обнаружении аномалий YCDR создает алерты, указывающие на потенциальный инцидент.

Собранные данные анализируются с помощью SIEM-системы Yandex Cloud. В SIEM-систему события попадают через коллектор. Коллектор устанавливается в кластере Managed Service for Kubernetes, что позволяет обеспечить его масштабируемость и отказоустойчивость.

Коллектор должен иметь доступ ко внешней сети для отправки событий в SIEM Yandex Cloud. При этом отправка событий происходит по протоколу TLS, и так как физически SIEM расположен в инфраструктуре Yandex Cloud, данные не покидают пределов дата-центра.

Коллектор работает на уровне облака. В каждом облаке должен быть отдельный коллектор отправки событий.

Архитектура коллектора включает два модуля:

1. Компонент сбора и отправки событий на базе Vector. Позволяет получать события от агентов osquery и произвольные события по протоколу HTTP.
2. Компонент сбора событий syslog собирает события и отправляет их на компонент на базе Vector для дальнейшей обработки.

В Yandex Cloud Detection and Response можно выбрать обнаруженный инцидент из списка и получить рекомендации по его устранению, дополнительный контекст и классификацию, а также изучить детали инцидента. Статистика по обнаруженным инцидентам отображается на дашборде на главной странице сервиса.