Настроить интеграцию с SIEM-системой RuSIEM

Если у вас не установлена система RuSIEM, установите ее.
Опционально: настройте порты для приема аудит-логов в RuSIEM.
Создайте сервисного пользователя.
Получите IAM-токен для аккаунта.
Получите скрипт для экспорта аудит-логов.
Настройте и запустите скрипт.
Настройте прием аудит-логов в RuSIEM.

1. Установить RuSIEM

Откройте CLI.

Установите RuSIEM:

wget https://files.rusiem.tech/nextcloud/s/j6wcHzzaqT8w5wc/download -O install.sh; bash ./install.sh

В интерактивном меню укажите параметры системы. Подробнее в документации RuSIEM.

2. Опционально: измените порт для приема аудит-логов в RuSIEM

Авторизуйтесь в веб-интерфейсе RuSIEM.
Перейдите в раздел Настройки → Настройка микросервисов.
Отметьте чекбокс Экспертный режим.
Нажмите .
Измените номер порта в конфигурации syslog.
Нажмите Сохранить.

3. Создать сервисного пользователя

Добавьте сервисного пользователя с разрешением в области доступа Аккаунт и ролью member.

Добавлять пользователей может Владелец аккаунта или пользователи с ролью iam.admin.

4. Получить IAM-токен для аккаунта

Получите IAM-токен для аккаунта для сервисного пользователя, которого вы создали на этапе 3.

5. Получить скрипт для экспорта аудит-логов

Мы подготовили скрипт для экспорта аудит-логов — он позволяет выгружать логи в файл, а также отправлять их на заданный IP-адрес или эндпойнт по протоколу syslog или HTTP/HTTPS.

Откройте CLI.
Клонируйте репозиторий скрипта:
```
git clone https://github.com/t-rex-general/auditlog-integration.git
```
Файлы скрипта будут сохранены в рабочую директорию в папку auditlog-integration.

6. Настроить и запустить скрипт

Откройте CLI.
Создайте виртуальное окружение:
```
python3 -m venv .venv
```
Активируйте виртуальное окружение:
```
source .venv/bin/activate
```
Перейдите в папку скрипта:
```
cd auditlog-integration
```
Установите необходимые зависимости:
```
pip3 install -r requirements.txt
```
Создайте конфигурационный файл .env:
```
touch .env
```
Откройте конфигурационный файл .env:
```
nano .env
```
Заполните конфигурационный файл .env:

8.1. Добавьте блок с параметрами для аутентификации в API сервиса Аудит-логи:
```
AUDIT_LOGS_URL=<base_url>/v1/logs
USERNAME=<username>
PASSWORD=<password>
ACCOUNT_ID=<account_id>
```
Укажите:
- <base_url> — URL для обращения к API аудит-логов в нужном пуле. Список URL можно посмотреть в инструкции Список URL;
- <username> — имя сервисного пользователя, которого вы создали на этапе 3;
- <password> — пароль сервисного пользователя. Если в пароле есть символы [ ] \ ^ $ . | ? * + ( ), экранируйте их — поставьте перед символом обратный слеш \;
- <account_id> — номер аккаунта, можно посмотреть в панели управления в правом верхнем углу.
8.2. Добавьте блок с параметрами отправки событий:
```
TRANSPORT_TYPE=syslog
SYSLOG_ENABLED=true
SYSLOG_HOST=<syslog_host>
SYSLOG_PORT=<syslog_port>
```
Укажите:
- <syslog_host> — IP-адрес SIEM-системы;
- <syslog_port> — порт SIEM-системы.
8.3. Добавьте строку с интервалом обращения к API:
```
POLL_INTERVAL=<poll_interval>
```
Укажите <poll_interval> — интервал обращения к API в секундах (по умолчанию — 30).

8.4. Выйдите из файла с сохранением, для этого последовательно нажмите Ctrl+X → Y → Enter.
Запустите скрипт:
```
python3 main.py
```

7. Настроить прием аудит-логов в RuSIEM

В веб-интерфейсе RuSIEM перейдите в раздел События → Все события.
На верхней панели нажмите Параметры.
Отметьте чекбокс Поиск по нераспарсенным событиям.
Нажмите Сохранить.
В поле Настройки фильтра введите номер вашего аккаунта Selectel и нажмите . Номер аккаунта можно посмотреть в панели управления в правом верхнем углу. В веб-интерфейсе RuSIEM отобразятся события из сервиса Аудит-логи.