Обзор Yandex Cloud Detection and Response
Примечание
Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.
Yandex Cloud Detection and Response — это сервис для мониторинга и реагирования на инциденты в Yandex Cloud. YCDR разработан на базе собственного центра мониторинга безопасности (SOC) платформы Yandex Cloud. Сервис собирает данные с облачной инфраструктуры для выявления аномалий. При обнаружении аномалий YCDR создает алерты, указывающие на потенциальный инцидент.
Доступ к сервису
Примечание
Доступ к сервису YCDR осуществляется в интерфейсе Security Deck в Cloud Center после одобрения заявки на доступ.
Собранные данные анализируются с помощью SIEM-системы Yandex Cloud. В SIEM-систему события попадают через коллектор. Коллектор устанавливается в кластере Managed Service for Kubernetes, что позволяет обеспечить его масштабируемость и отказоустойчивость.
Коллектор должен иметь доступ ко внешней сети для отправки событий в SIEM Yandex Cloud. При этом отправка событий происходит по протоколу TLS, и так как физически SIEM расположен в инфраструктуре Yandex Cloud, данные не покидают пределов дата-центра.
Коллектор работает на уровне облака. В каждом облаке должен быть отдельный коллектор отправки событий.
Архитектура коллектора включает следующие модули:
- Компонент сбора и отправки событий на базе
Vector. Позволяет получать события от агентовosqueryи произвольные события по протоколу HTTP. - Компонент сбора событий
syslogсобирает события и отправляет их на компонент на базе Vector для дальнейшей обработки.
В Yandex Cloud Detection and Response можно выбрать обнаруженный инцидент из списка и получить рекомендации по его устранению, дополнительный контекст и классификацию, а также изучить детали инцидента. Статистика по обнаруженным инцидентам отображается на дашборде на главной странице сервиса.