Evolution
Тема интерфейса

Экспорт аудит-логов в SIEM с использованием защищенного протокола TLS

С помощью этого руководства вы настроите отправку отфильтрованных событий аудит-логирования в вашу SIEM-систему каждые 15 минут с использованием защищенного соединения TLS. Для примера мы отфильтруем аудит-логи и настроим экспорт только тех, которые приходят от определенного сервиса-источника. Вы можете использовать любой сервис-источник, аудит-логи которого уже записаны в сервис «Аудит-логирование».

Вы будете использовать следующие сервисы:

  • Аудит-логирование — сервис, позволяющий собирать логи и просматривать историю событий, а также экспортировать журналы логов во внешнюю клиентскую систему SIEM.

  • SIEM — Security Information and Event Management, система управления информацией о безопасности и событиями безопасности.

Шаги:

Перед началом работы

  1. Если вы уже зарегистрированы, войдите под своей учетной записью.

  2. Проверьте права доступа. Настраивать экспорт в SIEM-систему может только администратор организации.

  3. Убедитесь, что ваша SIEM развернута и готова принимать входящий поток логов.

1. Подготовьте клиентские ключ и сертификат

При экспорте по протоколу TLS требуются клиентские ключ и сертификат. Они должны быть выпущены международным центром сертификации, например GlobalSign.

Чтобы получить ключ и сертификат:

  1. Обратитесь в техническую поддержку Cloud.ru и получите адрес, с которого будут экспортироваться аудит-логи. Добавьте его в настройки разрешенных источников вашей SIEM-системы.

  2. Передайте адрес в техническую поддержку провайдера SIEM-системы. Вы получите клиентские сертификат и ключ.

2. Создайте правило экспорта в SIEM по протоколу TLS

  1. В личном кабинете перейдите в раздел Аудит-логирование → Экспорт в SIEM.

  2. Нажмите Создать экспорт в SIEM.

  3. Укажите название экспорта, например «Логи сервиса <название сервиса>».

  4. (Опционально) Добавьте описание для экспорта.

  5. Укажите параметры системы-приемника:

    1. Укажите адрес и порт вашей SIEM-системы.

    2. Выберите протокол передачи сообщений: TLS.

    3. Выберите частоту отправки аудит-логов в SIEM: 15 минут.

    4. Выберите формат экспорта: CEF или RFC5424.

    5. Укажите префикс для журналов.

    6. Загрузите клиентские сертификат и ключ в формате PEM.

  6. Задайте условия для экспорта:

    1. Выберите проект.

    2. Добавьте запрос для фильтрации аудит-логов, которые необходимо экспортировать. Пример запроса для фильтрации логов, которые приходят от сервиса «Нотификации»:

      event_source = Notification
  7. Активируйте правило.

  8. Нажмите Сохранить.

3. Проверьте экспорт в SIEM

  1. Проверьте, что в разделе Аудит-логирование → Экспорт в SIEM появилось созданное правило экспорта со статусом «Активно».

  2. Перейдите в вашу SIEM-систему и проверьте, что в ней появились экспортированные аудит-логи от выбранного сервиса-источника. Учитывайте, что аудит-логи отправляются в SIEM не сразу, а с периодичностью, которая задана в правиле экспорта — 15 минут. Также на скорость появления аудит-логов в SIEM влияет фильтрация: ведь экспортируются не все логи, а только те, которые подходят под условия срабатывания.

Результат

Вы настроили экспорт событий выбранного сервиса в SIEM-систему. События экспортируются по защищенному соединению с заданной периодичностью.

Доступно
на платформах
Evolution
Advanced
Облако VMware