Accueil Explorer Aide
Connexion
bat9go
/
Ycsecurity
miroir de https://github.com/yandex-cloud/yc-solution-library-for-security
Suivre 1
Voter 0
Fork 0
Fichiers Tickets 0 Wiki
Branche: master
Branches Tags
Ycsecurity
/
auditlogs
/
export-auditlogs-to-Splunk
/
README_RU.md

README_RU.md 4.3 KB
Lien permanent Historique Raw

Сбор, мониторинг и анализ аудит логов во внешний SIEM Splunk

Дашборд

Дашборд

Описание решения

Решение позволяет собирать, мониторить и анализировать аудит логи в Yandex.Cloud со следующих источников:

Use cases and searches

Команда безопасности Yandex.Cloud собрала наиболее интересные сценарии use cases в папке репозитория auditlogs. Вы можете описанные сценарии для реагирования на события в части информационной безопасности.

Что делает решение (через Terraform)

  • Разворачивает COI Instance с контейнером на базе образа s3-splunk-importer (cr.yandex/sol/s3-splunk-importer:1.0)
  • Обеспечивает непрерывную доставку json файлов с аудит логами из Yandex Object Storage в Splunk

Схема решения

Схема

Развертывание с помощью Terraform

Описание

Пререквизиты Yandex Cloud

  • :white_check_mark: Object Storage Bucket для Audit Trails
  • :white_check_mark: Включенный сервис Audit Trails в UI
  • :white_check_mark: Сеть VPC
  • :white_check_mark: Наличие доступа в интернет с COI Instance для скачивания образа контейнера (например source NAT на подсеть)
  • :white_check_mark: ServiceAccount с ролью storage.editor для действий в Object Storage
См. Пример конфигурации пререквизитов в /example/main.tf

Пререквизиты Splunk

  • :white_check_mark: Настроенный HTTP Event Collector
  • :white_check_mark: Токен для отправки событий в HEC

Модуль Terraform /modules/yc-splunk-trail:

  • создает static keys для sa (для работы с объектами JSON в бакете и шифрования/расшифрования секретов)
  • создает ВМ COI со спецификацией Docker Container со скриптом
  • создает ssh пару ключей и сохраняет приватную часть на диск, публичную в ВМ
  • создает KMS ключ
  • назначает права kms.keys.encrypterDecrypter на ключ для sa для шифрование секретов
  • шифрует секреты и передает их в Docker Container

Пример вызова модуля:

module "yc-splunk-trail" {
    source = "../modules/yc-splunk-trail/" #path to module yc-elastic-trail
    
    folder_id = var.folder_id
    splunk_token = var.splunk_token // выполнить команду: export TF_VAR_splunk_token=<SPLUNK TOKEB> (заменить SPLUNK TOKEN на ваше значение)
    splunk_server = "https://1.2.3.4" // формат "https://<your hostname or address>"
    bucket_name = yandex_storage_bucket.trail-bucket.bucket // указать имя bucket с audit trails, если вызов не из example
    bucket_folder = "folder" // указанный при создании Trails
    sa_id = yandex_iam_service_account.sa-bucket-editor.id // указать sa с правами bucket_editor, если вызов не из example
    coi_subnet_id = yandex_vpc_subnet.splunk-subnet[0].id // указать subnet_id, если вызов не из example
}