Перейти к основному содержимому
Управление событиями безопасности

Управление событиями безопасности

Панель управления

С помощью журнала авторизаций можно узнать, кто и когда пользовался аккаунтом. Информацию об авторизациях с нового IP-адреса можно получать на e-mail.

Владелец аккаунта видит авторизации всех пользователей аккаунта. Приглашенные пользователи видят только свои авторизации. Подробнее в инструкции Типы и роли пользователей.

Если вы заметите подозрительную активность, сбросьте все сессии и смените пароль.

Облачные и выделенные серверы

В облачных и выделенных серверах события операционной системы и события информационной безопасности можно собирать и экспортировать во внешние системы управления событиями безопасности с помощью бесплатных инструментов:

Дополнительные опции генерации событий безопасности можно реализовать с помощью утилит:

  • Auditd — для ОС Linux;
  • Sysmon — для ОС Windows.

Managed Kubernetes

В кластерах Managed Kubernetes можно получать логи — логи кластера, логи контейнеров и аудитные логи.

В логах кластера отображаются события, которые происходят с кластером. Например, создание кластера, изменение групп нод, обновление сертификатов и версии. Если запрос был выполнен автоматически, например, произошло обновление сертификатов по расписанию, то это действие тоже попадет в логи. Вы можете посмотреть логи кластера в панели управления.

В логи контейнеров попадают события, которые происходят с контейнерами. Например, создание и удаление контейнера. Файлы логов контейнеров хранятся в каталоге /var/log/pods/ или /var/log/containers. Логи отдельного контейнера можно посмотреть с помощью kubectl logs <container_name>, где <container_name> — имя контейнера. Если в кластере Managed Kubernetes много контейнеров, вы можете настроить получение логов контейнеров через Filebeat.

В аудитных логах отображаются события, которые происходят в кластере. Например, в подах или сервисах. Эти события могут быть инициированы пользователями, приложениями или Control Plane. Список событий, которые попадают в логи, и параметры этих событий зависят от политики (audit policy).

Аудитные логи можно передавать в систему управления событиями безопасности. Например, в SIEM-систему Wazuh. Чтобы получать аудитные логи из кластера Managed Kubernetes, настройте интеграцию.