- Сбор, мониторинг и анализ аудит логов во внешний SIEM ArcSight
Актуальная версия Security Content находится здесь сервис партнёр по поддержке ООО «АТБ» Решение позволяет собирать, мониторить и анализировать аудит логи в Yandex.Cloud со следующих источников:
-
Загрузка лог файлов в ArcSight с сервера, который находится внутри инфраструктуры удаленной площадки Заказчика
-
Загрузка лог файлов в ArcSight с помощью ВМ, которая находится в Yandex.Cloud
Сценарий №1 - Загрузка лог файлов в ArcSight с сервера, который находится внутри инфраструктуры удаленной площадки Заказчика
Описание:
- JSON файлы с логами хранятся в S3
- На сервер в инфраструктуре заказчика устанавливается утилита s3fs, которая позволяет монтировать S3 bucket, как локальную папку в ОС
- На сервер в инфраструктуре заказчика устанавливается стандартный ArcSight Connector
- Загруается security content из текущего репозитория
- ArcSight Connector с помощью security content вычитывает файлы, парсит и отправляет на сервер ArcSight
Security Content - объекты ArcSight, которые загружаются по инструкции. Весь контент разработан совместно с командой партнером ООО «АТБ» с учетом многолетнего опыта Security команды Yandex.Cloud и на основе опыта Клиентов облака.
Актуальная версия Security Content находится здесь
Содержит следующий Security Content:
- Parsing file (+map file)
- Dashboard, на котором отражена полезная статистика
- Набор Filters, Active channels, Active lists
- Набор Правил корреляции (Rules). Подробное описание списка правил корреляции (Клиенту самостоятельно необходимо указать назначение уведомлений)
- Все интересные поля событий преобразованы в формат Common Event Format
Подробное описание мапинга полей в файле Поля ArcSight_JSON.docx
По умолчанию данная инструция предлагает удалять файлы после вычитывания, но вы можете одновременно хранить аудит логи Audit Trails в S3 на долгосрочной основе и отсылать в ArcSight. Для этого необходимо создать два Audit Trails в разных S3 бакетах:
- Первый бакет будет использоваться только для хранения
- Второй бакет будет использоваться для интеграции с ArcSight
- ✅ Object Storage Bucket для Audit Trails (инструкция)
- ✅ Включенный сервис Audit Trails в UI (инструкция)
Сценарий № 1 - Загрузка лог файлов в ArcSight с сервера, который находится внутри инфраструктуры удаленной площадки Заказчика
-
Установите на сервер внутри инфраструктуры удаленной площадки и подготовьте к работе утилиту s3fs согласно инструкции. Результат: смонтированный в качестве папки Object Storage бакет, в котором находятся json файлы Audit Trails. Например:
/var/trails/ -
Установите на ваш сервер ПО ArcSight SmartConnector (FlexAgent - JSON Folder follower) согласно официальной инструкции
-
При установке выбирете ArcSight FlexConnector JSON Folder Follower и укажите примонтированную папку ранее
/var/trails/ -
Укажите JSON configuration filename prefix -
yc -
Завершите установку connector
-
Скачайте все файлы Security Content здесь
-
Скопируйте файл
yc.jsonparser.propertiesв<папку установки агента>/current/user/agent/flexagent -
Скопируйте файл
map.0.propertiesв<папку установки агента>/current/user/agent/map -
отредактируйте файл
<папку установки агента>/current/user/agent/agent.propertiesследующим образом:
agents[0].mode=DeleteFileagents[0].proccessfoldersrecursively=true
- Запустите коннектор и убедитесь, что события поступают
- ручное
- пререквизиты, что должен быть впн или интерконнект
- через терраформ пример с установкой VPN соединения
Компания сервис партнёр по поддержке – ООО «АТБ» готова оказывать следующие услуги на платной основе:
- Установка и настройка коннектора
- Подключение новых источников данных о событиях безопасности
- Разработка новых правил корреляции и средств визуализации
- Разработка механизмов реагирования на возникающие инциденты
Контактные данные партнёра:
- +7 (499) 648-75-48
- info@ast-security.ru
