SIEM-коннектор для Yandex Cloud

SIEM-коннектор для Yandex Cloud позволяет получать аудитные логи ресурсов Yandex Cloud и отправлять их в SIEM-систему, расположенную в инфраструктуре организации. Информация о событиях передается в формате CEF по протоколу syslog. Ее можно использовать для мониторинга работы сервисов Yandex Cloud и анализа и выявления инцидентов информационной безопасности.

1. Настройте загрузку аудитных логов в Object Storage.

2. Создайте туннель IPSec VPN между облачной и корпоративной сетями. Подробную инструкцию см. в инструкции по развертыванию SIEM-коннектора для Yandex Cloud.

3. Получите пару SSH-ключей для подключения к виртуальной машине (ВМ).

4. Создайте ВМ из публичного образа. В блоке Выбор образа/загрузочного диска перейдите на вкладку Cloud Marketplace и выберите SIEM-коннектор для Yandex Cloud. В блоке Доступ:

   • в поле Логин введите имя пользователя;
   • в поле SSH-ключ вставьте содержимое файла с открытым SSH-ключом.

   Сохраните публичный IP-адрес ВМ.

5. Подключитесь к ВМ по SSH. Для этого используйте логин, который вы задали при создании ВМ, и закрытый ключ.

6. Смонтируйте бакет с аудитными логами в файловую систему ВМ с помощью утилиты s3fs.

7. Чтобы сконфигурировать SIEM-коннектор, выполните команду:

   sudo /home/agent/yc_agent/agent agentsetup
   

8. Чтобы создать новую конфигурацию, введите значение 1 (create new config).

9. Выберите компонент для настройки — 3 (jsonfolderfollower).

10. Установите источники аудитных логов:

    1. Введите значение 1 (Add, modify, or remove sources).
    2. Выберите опцию A (Add) и задайте параметры источников:
       • в поле config file укажите yc;
       • в поле folder укажите путь к смонтированному бакету с аудитными логами, например /home/agent/logs/;
       • в поле wildcard укажите маску логов *.json;
       • в поле mode укажите, что делать с логами после обработки на ВМ: D (DeleteFile) — удалять или R (RenameFile) — переименовывать;
       • в поле process folders recursively введите Y(Yes).
    3. Проверьте указанные параметры и введите F (Finish).

11. Установите получателя аудитных логов:

    1. Введите значение 2 (Add, modify, or remove destinations).
    2. Выберите опцию A (Add) и задайте параметры получателя:
       • в поле Destination type введите 0 (cefsyslog);
       • в поле Host введите IP-адрес сервера, на котором установлен syslog-коннектор SIEM-системы в вашей корпоративной сети;
       • в поле Port укажите 514;
       • в поле Protocol укажите UDP.
    3. Проверьте указанные параметры и введите F (Finish).

12. Запустите SIEM-коннектор:

    1. Введите значение 3 (Install as a service).
    2. Чтобы изменить имя и описание сервиса, на запрос Change service name/description введите Y (Yes) и задайте новые параметры:
       • в поле Service name [inforter_agent_jsonfolderfollower] укажите новое имя сервиса;
       • в поле Description [inforter_agent_jsonfolderfollower] укажите новое описание сервиса.
    3. В строке Starting the service at startup введите Y (Yes).

13. Чтобы выйти из меню конфигурирования, введите значение 0 (Exit).

• Мониторинг работы облачных ресурсов.
• Выявление инцидентов информационной безопасности.
• Анализ событий:
  • создание новых ВМ;
  • добавление внешних сетевых интерфейсов к существующим ВМ;
  • добавление публичного IP-адреса к существующим ВМ;
• Мониторинг управления ключами доступа.

АТБ
АТБ осуществляет платную техническую поддержку пользователей SIEM-коннектора в Yandex Cloud. Вы можете связаться с технической поддержкой следующими способами:

• по телефону +7 (499) 648-75-48;
• по электронной почте info@ast-security.ru.

Yandex Cloud
Yandex Cloud не предоставляет техническую поддержку продукта. При возникновении проблем обращайтесь к информационным ресурсам разработчика.