С помощью этого руководства вы настроите отправку отфильтрованных событий аудит-логирования в вашу SIEM-систему каждые 15 минут с использованием защищенного соединения TLS. Для примера мы отфильтруем аудит-логи и настроим экспорт только тех, которые приходят от определенного сервиса-источника. Вы можете использовать любой сервис-источник, аудит-логи которого уже записаны в сервис «Аудит-логирование».
Вы будете использовать следующие сервисы:
Аудит-логирование — сервис, позволяющий собирать логи и просматривать историю событий, а также экспортировать журналы логов во внешнюю клиентскую систему SIEM.
SIEM — Security Information and Event Management, система управления информацией о безопасности и событиями безопасности.
Шаги:
Перед началом работы
-
Если вы уже зарегистрированы, войдите под своей учетной записью.
Проверьте права доступа. Настраивать экспорт в SIEM-систему может только администратор организации.
Убедитесь, что ваша SIEM развернута и готова принимать входящий поток логов.
1. Подготовьте клиентские ключ и сертификат
При экспорте по протоколу TLS требуются клиентские ключ и сертификат. Они должны быть выпущены международным центром сертификации, например GlobalSign.
Чтобы получить ключ и сертификат:
Обратитесь в техническую поддержку Cloud.ru и получите адрес, с которого будут экспортироваться аудит-логи. Добавьте его в настройки разрешенных источников вашей SIEM-системы.
Передайте адрес в техническую поддержку провайдера SIEM-системы. Вы получите клиентские сертификат и ключ.
2. Создайте правило экспорта в SIEM по протоколу TLS
В личном кабинете перейдите в раздел Аудит-логирование → Экспорт в SIEM.
Нажмите Создать экспорт в SIEM.
Укажите название экспорта, например «Логи сервиса <название сервиса>».
(Опционально) Добавьте описание для экспорта.
Укажите параметры системы-приемника:
Укажите адрес и порт вашей SIEM-системы.
Выберите протокол передачи сообщений: TLS.
Выберите частоту отправки аудит-логов в SIEM: 15 минут.
Выберите формат экспорта: CEF или RFC5424.
Укажите префикс для журналов.
Загрузите клиентские сертификат и ключ в формате PEM.
Задайте условия для экспорта:
Выберите проект.
Добавьте запрос для фильтрации аудит-логов, которые необходимо экспортировать. Пример запроса для фильтрации логов, которые приходят от сервиса «Нотификации»:
event_source = Notification
Активируйте правило.
Нажмите Сохранить.
3. Проверьте экспорт в SIEM
Проверьте, что в разделе Аудит-логирование → Экспорт в SIEM появилось созданное правило экспорта со статусом «Активно».
Перейдите в вашу SIEM-систему и проверьте, что в ней появились экспортированные аудит-логи от выбранного сервиса-источника. Учитывайте, что аудит-логи отправляются в SIEM не сразу, а с периодичностью, которая задана в правиле экспорта — 15 минут. Также на скорость появления аудит-логов в SIEM влияет фильтрация: ведь экспортируются не все логи, а только те, которые подходят под условия срабатывания.
Результат
Вы настроили экспорт событий выбранного сервиса в SIEM-систему. События экспортируются по защищенному соединению с заданной периодичностью.
- Перед началом работы
- 1. Подготовьте клиентские ключ и сертификат
- 2. Создайте правило экспорта в SIEM по протоколу TLS
- 3. Проверьте экспорт в SIEM
- Результат