Skip to content
/ yc-audit-trails-monitoring Public

Monitoring Audit Trails and security events with Yandex Cloud Monitoring.

License

Apache-2.0 license
0 stars 0 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

yandex-cloud-examples/yc-audit-trails-monitoring

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

2 Commits
LICENSE
LICENSE
 
 
README-en.md
README-en.md
 
 
README.md
README.md
 
 

Repository files navigation

Мониторинг Audit Trails и событий в Yandex Cloud Monitoring

image

image

Описание

Решение содержит рекомендации о том, как мониторить работоспособность самого сервиса Audit Trails и событий безопасности с помощью сервиса Yandex Monitoring

  • Мониторинг самого сервиса Audit Trails:
    • статус объета Trail (Active или не Active)
    • кол-во обработанных событий (наличие всплесков)
  • Мониторинг событий безопасности:
    • список представлен ниже

Мониторинг самого сервиса Audit Trails

  • Перейдите в Audit Trails -> Monitoring -> Открыть в мониторинге
  • Выберите необходимый dashboard: "Trails by status" или "Delivered events"
  • Нажмите на "..."(троеточие) , выберите "создать алерт"
  • Настройте алерт согласно документации на интересующий вас порог,например на dashboard "Trails by status" условие "status не равен 1 в течении 5 минут" (раз в секунду trail шлет метрику 1, если жив)

image

Мониторинг событий из Audit Trails

  • Перейдите в Audit Trails -> Monitoring -> Открыть в мониторинге -> Обзор метрик
  • Сформируйте необходимый запрос к желаемой метрике из списка ниже, например: "trail.processed_events_count"{folderId="b1gh4nansv4ebqqmeu7b", service="audit-trails", event_type="yandex.cloud.audit.compute.CreateInstance"}"
  • Нажмите на "..." троеточие -> "Создать алерт"
  • Настройте алерт согласно документации на интересующий вас порог, например "Больше 0"

image

Список интересных метрик с точки зрения ИБ

  • UpdateSecurityGroup (Изменение группы безопасности)
  • UpdateSecretAccessBindings (Назначение прав на lockbox секрет)
  • AddInstanceOneToOneNat (Добавление публичного IP-адреса виртуальной машине)
  • RemoveInstanceOneToOneNat (Удаление публичного IP-адреса ВМ.)
  • DeleteInstance (удаление ВМ)
  • instancegroup.DeleteInstanceGroup (удаление группы ВМ)
  • CreateAccessKey (Создание ключа доступа)
  • CreateApiKey (Создание API ключа)
  • DeleteFederation (удаление федерации)
  • UpdateServiceAccountAccessBindings (Обновление списка привязок прав доступа)
  • DeleteSymmetricKeyy (Удаление симметричного ключа.)
  • ScheduleSymmetricKeyVersionDestruction (Запланирование уничтожения версии симметричного ключа.)
  • DeleteCloud (Удаление облака)
  • DeleteFolder (Удаление папки)
  • BucketAclUpdate (Изменение ACL бакета.)
  • BucketDelete (Удаление бакета.)
  • BucketPolicyUpdate (Изменение политик доступа бакета.)
  • CreateNetwork (Создание облачной сети.)
  • DeleteNetwork (Удаление облачной сети.)
  • др.

About

Monitoring Audit Trails and security events with Yandex Cloud Monitoring.

Topics

monitoring siem yandex-cloud audit-trails yandexcloud

Resources

Readme

License

Apache-2.0 license
Activity
Custom properties

Stars

0 stars

Watchers

4 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Contributors 2

  •  
  •