Быстрый старт

Перед началом работы

1. Войдите в личный кабинет Cloud.ru.

2. В меню разделов выберите Мониторинг → Аудит-логирование.

Экспорт событий в SIEM-систему

1. В меню разделов выберите Аудит-логирование → Экспорт в SIEM.

2. Укажите параметры системы-приемника событий:

   • активируйте или деактивируйте данное правило;

   • укажите IP-адрес хоста;

   • укажите порт;

   • выберите протокол передачи сообщений:

     • UDP

     • TCP

     • TLS (TCP+TLS)

   • выберите частоту отправки информации в клиентскую систему;

   • укажите префикс для журналов;

   • если передача журналов логов происходит по TLS, то в полях Загрузить сертификат сервера и Загрузить ключ прикрепите сертификат и ключ сервера в формате .pem.

3. Нажмите Сохранить.

Создание правила алертов

1. В списке нажмите Создать алерт или Добавить, если ни одно правило еще не создано.

2. Укажите название нового правила.

3. Задайте параметры правила:

   • Выберите один или несколько проектов, по которым будут проверяться логи на соответствие созданному правилу.

   • Задайте условия срабатывания правила:

     • Выберите из списка параметры лога, условие срабатывания и значение.

       Можно задать несколько условий срабатывания правила.

       Для этого нажмите Добавить запрос и укажите дополнительные параметры. В этом случае проверка лога будет выполняться по всем созданным запросам.

     • Задайте количество логов, которые будут проверяться на соответствие созданным запросам.

     • Выберите временной промежуток, за который будут проверяться логи.

     • Выберите частоту выполнения проверки на соответствие указанным правилам.

4. Задайте параметры уведомления:

   • выберите тип рассылки:

     из списка:
     новая рассылка:

   • выберите шаблон оповещения:

     из списка:
     новый шаблон:

   • в поле Ключ задайте значение;

   • после создания правила убедитесь, что оно включено и активно.

5. Нажмите Создать.

Просмотр истории алертов