Перейти к основному содержимому

Управление событиями безопасности

Последнее изменение:

Панель управления

Журнал авторизаций

С помощью журнала авторизаций можно узнать, кто и когда пользовался аккаунтом. Информацию об авторизациях с нового IP-адреса можно получать на e-mail.

Владелец аккаунта видит авторизации всех пользователей аккаунта. Приглашенные пользователи видят только свои авторизации. Подробнее в инструкции Типы и роли пользователей.

Если вы заметите подозрительную активность, сбросьте все сессии и смените пароль.

Аудит-логи

к сведению

Доступ к аудит-логам есть только у Владельца аккаунта.

С помощью аудит-логов можно узнать о событиях, которые происходят в аккаунте. События отражают операции с ресурсами или пользователями:

  • аутентификация и начало или завершение сессии в панели управления;
  • чтение специфических данных (обращение к сервису секретов, чтение ключей шифрования и т. п.);
  • управление правами доступа и сервисами безопасности (пользователями, ролями, паролями, токенами, ключами доступа, секретами, сертификатами и т. п.);
  • мутирующие операции с ресурсами (создание, изменение, удаление серверов, сетей, дисков и т. п.).

В аудит-логи попадают успешные и неуспешные события, а также события, неразрешенные политиками безопасности. Когда событие произошло, оно попадает в аудит-логи и становится доступно через несколько минут.

Аудит-логи собираются автоматически и хранятся 90 дней. В любой момент вы можете выгрузить их в панели управления или через Audit Logs API.

Облачные и выделенные серверы

В облачных и выделенных серверах события операционной системы и события информационной безопасности можно собирать и экспортировать во внешние системы управления событиями безопасности с помощью бесплатных инструментов:

Дополнительные опции генерации событий безопасности можно реализовать с помощью утилит:

  • Auditd — для ОС Linux;
  • Sysmon — для ОС Windows.

Managed Kubernetes

В кластерах Managed Kubernetes можно получать логи — логи кластера, логи контейнеров и аудитные логи.

В логах кластера отображаются события, которые происходят с кластером. Например, создание кластера, изменение групп нод, обновление сертификатов и версии. Если запрос был выполнен автоматически, например, произошло обновление сертификатов по расписанию, то это действие тоже попадет в логи. Вы можете посмотреть логи кластера в панели управления.

В логи контейнеров попадают события, которые происходят с контейнерами. Например, создание и удаление контейнера. Файлы логов контейнеров хранятся в каталоге /var/log/pods/ или /var/log/containers. Логи отдельного контейнера можно посмотреть с помощью kubectl logs <container_name>, где <container_name> — имя контейнера. Если в кластере Managed Kubernetes много контейнеров, вы можете настроить получение логов контейнеров через Filebeat.

В аудитных логах отображаются события, которые происходят в кластере. Например, в подах или сервисах. Эти события могут быть инициированы пользователями, приложениями или Control Plane. Список событий, которые попадают в логи, и параметры этих событий зависят от политики (audit policy). Политику, которая применяется для аудитных логов Managed Kubernetes, можно посмотреть в документации Selectel на сайте GitHub.

Аудитные логи можно передавать в систему управления событиями безопасности. Например, в SIEM-систему Wazuh. Чтобы получать аудитные логи из кластера Managed Kubernetes, настройте интеграцию.