Управление событиями безопасности
Панель управления
Журнал авторизаций
С помощью журнала авторизаций можно узнать, кто и когда пользовался аккаунтом. Информацию об авторизациях с нового IP-адреса можно получать на e-mail.
Владелец аккаунта видит авторизации всех пользователей аккаунта. Приглашенные пользователи видят только свои авторизации. Подробнее в инструкции Типы и роли пользователей.
Если вы заметите подозрительную активность, сбросьте все сессии и смените пароль.
Аудит-логи
Доступ к аудит-логам есть только у Владельца аккаунта.
С помощью аудит-логов можно узнать о событиях, которые происходят в аккаунте. События отражают операции с ресурсами или пользователями:
- аутентификация и начало или завершение сессии в панели управления;
- чтение специфических данных (обращение к сервису секретов, чтение ключей шифрования и т. п.);
- управление правами доступа и сервисами безопасности (пользователями, ролями, паролями, токенами, ключами доступа, секретами, сертификатами и т. п.);
- мутирующие операции с ресурсами (создание, изменение, удаление серверов, сетей, дисков и т. п.).
В аудит-логи попадают успешные и неуспешные события, а также события, неразрешенные политиками безопасности. Когда событие произошло, оно попадает в аудит-логи и становится доступно через несколько минут.
Аудит-логи собираются автоматически и хранятся 90 дней. В любой момент вы можете выгрузить их в панели управления или через Audit Logs API.
Облачные и выделенные серверы
В облачных и выделенных серверах события операционной системы и события информационной безопасности можно собирать и экспортировать во внешние системы управления событиями безопасности с помощью бесплатных инструментов:
Дополнительные опции генерации событий безопасности можно реализовать с помощью утилит:
Auditd
— для ОС Linux;Sysmon
— для ОС Windows.
Managed Kubernetes
В кластерах Managed Kubernetes можно получать логи — логи кластера, логи контейнеров и аудитные логи.
В логах кластера отображаются события, которые происходят с кластером. Например, создание кластера, изменение групп нод, обновление сертификатов и версии. Если запрос был выполнен автоматически, например, произошло обновление сертификатов по расписанию, то это действие тоже попадет в логи. Вы можете посмотреть логи кластера в панели управления.
В логи контейнеров попадают события, которые происходят с контейнерами.
Например, создание и удаление контейнера.
Файлы логов контейнеров хранятся в каталоге /var/log/pods/
или /var/log/containers
.
Логи отдельного контейнера можно посмотреть с помощью kubectl logs <container_name>
, где <container_name>
— имя контейнера.
Если в кластере Managed Kubernetes много контейнеров, вы можете настроить получение логов контейнеров через Filebeat.
В аудитных логах отображаются события, которые происходят в кластере. Например, в подах или сервисах. Эти события могут быть инициированы пользователями, приложениями или Control Plane. Список событий, которые попадают в логи, и параметры этих событий зависят от политики (audit policy). Политику, которая применяется для аудитных логов Managed Kubernetes, можно посмотреть в документации Selectel на сайте GitHub.
Аудитные логи можно передавать в систему управления событиями безопасности. Например, в SIEM-систему Wazuh. Чтобы получать аудитные логи из кластера Managed Kubernetes, настройте интеграцию.