Ycsecurity/auditlogs/export-auditlogs-to-ArcSight/README_RU.md

Сбор, мониторинг и анализ аудит логов во внешний SIEM ArcSight

Содержание

• Сбор, мониторинг и анализ аудит логов во внешний SIEM ArcSight
  • Описание решения
  • Два сценария отгрузки логов
  • Схема решения
  • Security Content
  • Долгосрочное хранение логов в S3
  • Инструкция для сценариев
    • Пререквизиты для сценариев:
    • Сценарий №1 - Загрузка лог файлов в ArcSight с сервера, который находится внутри инфраструктуры удаленной площадки Заказчика
    • Сценарий №2 - Загрузка лог файлов в ArcSight с помощью ВМ, которая находится в Yandex Cloud "
  • Поддержка/Консалтинговые услуги

Описание решения

Актуальная версия Security Content находится здесь сервис партнёр по поддержке ООО «АТБ» Решение позволяет собирать, мониторить и анализировать аудит логи в Yandex.Cloud со следующих источников:

• Yandex Audit Trails

Два сценария отгрузки логов

• [x] Загрузка лог файлов в ArcSight с сервера, который находится внутри инфраструктуры удаленной площадки Заказчика

• [x] Загрузка лог файлов в ArcSight с помощью ВМ, которая находится в Yandex.Cloud

Схема решения

Сценарий №1 - Загрузка лог файлов в ArcSight с сервера, который находится внутри инфраструктуры удаленной площадки Заказчика

Описание:

• JSON файлы с логами хранятся в S3
• На сервер в инфраструктуре заказчика устанавливается утилита s3fs, которая позволяет монтировать S3 bucket, как локальную папку в ОС
• На сервер в инфраструктуре заказчика устанавливается стандартный ArcSight Connector
• Загруается security content из текущего репозитория
• ArcSight Connector с помощью security content вычитывает файлы, парсит и отправляет на сервер ArcSight

Сценарий №2 - Загрузка лог файлов в ArcSight с помощью ВМ, которая находится в Yandex Cloud

Security Content

Security Content - объекты ArcSight, которые загружаются по инструкции. Весь контент разработан совместно с командой партнером ООО «АТБ» с учетом многолетнего опыта Security команды Yandex.Cloud и на основе опыта Клиентов облака.

Актуальная версия Security Content находится здесь

Содержит следующий Security Content:

• Parsing file (+map file)
• Dashboard, на котором отражена полезная статистика
• Набор Filters, Active channels, Active lists
• Набор Правил корреляции (Rules). Подробное описание списка правил корреляции (Клиенту самостоятельно необходимо указать назначение уведомлений)
• Все интересные поля событий преобразованы в формат Common Event Format

Подробное описание мапинга полей в файле Поля ArcSight_JSON.docx

Долгосрочное хранение логов в S3

По умолчанию данная инструция предлагает удалять файлы после вычитывания, но вы можете одновременно хранить аудит логи Audit Trails в S3 на долгосрочной основе и отсылать в ArcSight. Для этого необходимо создать два Audit Trails в разных S3 бакетах:

• Первый бакет будет использоваться только для хранения
• Второй бакет будет использоваться для интеграции с ArcSight

Инструкция для сценариев

Пререквизиты для сценариев

• :white_check_mark: Object Storage Bucket для Audit Trails (инструкция)
• :white_check_mark: Включенный сервис Audit Trails в UI (инструкция)

Сценарий № 1 - Загрузка лог файлов в ArcSight с сервера, который находится внутри инфраструктуры удаленной площадки Заказчика

1) Установите на сервер внутри инфраструктуры удаленной площадки и подготовьте к работе утилиту s3fs согласно инструкции. Результат: смонтированный в качестве папки Object Storage бакет, в котором находятся json файлы Audit Trails. Например: /var/trails/

2) Установите на ваш сервер ПО ArcSight SmartConnector (FlexAgent - JSON Folder follower) согласно официальной инструкции

3) При установке выбирете ArcSight FlexConnector JSON Folder Follower и укажите примонтированную папку ранее /var/trails/

4) Укажите JSON configuration filename prefix - yc

5) Завершите установку connector

6) Скачайте все файлы Security Content здесь

7) Скопируйте файл yc.jsonparser.properties в <папку установки агента>/current/user/agent/flexagent

8) Скопируйте файл map.0.properties в <папку установки агента>/current/user/agent/map

9) отредактируйте файл <папку установки агента>/current/user/agent/agent.properties следующим образом:

• agents[0].mode=DeleteFile
• agents[0].proccessfoldersrecursively=true

10) Запустите коннектор и убедитесь, что события поступают

Сценарий №2 - Загрузка лог файлов в ArcSight с помощью ВМ, которая находится в Yandex.Cloud

• ручное
• пререквизиты, что должен быть впн или интерконнект
• через терраформ пример с установкой VPN соединения

Поддержка/Консалтинговые услуги

Компания сервис партнёр по поддержке – ООО «АТБ» готова оказывать следующие услуги на платной основе:

• Установка и настройка коннектора
• Подключение новых источников данных о событиях безопасности
• Разработка новых правил корреляции и средств визуализации
• Разработка механизмов реагирования на возникающие инциденты

Контактные данные партнёра:

• +7 (499) 648-75-48
• info@ast-security.ru