Отслеживание действий суперадминистраторов

Сервис аудита в R-Vision SIEM позволяет собирать, анализировать и хранить данные о действиях пользователей и событиях в системе. Эти события можно доставлять на конвейер с помощью точки входа Audit и настраивать их обработку в соответствии с конфигурацией конвейера.

Например, можно настроить конфигурацию конвейера так, чтобы события пользователей с ролью Суперадминистратор направлялись в отдельное хранилище или внешнюю систему. Это позволит отслеживать действия пользователей с привилегированными правами для выявления потенциальных злоупотреблений или ошибок, которые могут привести к утечке данных.

Данное руководство описывает процесс настройки конвейера для отслеживания действий суперадминистраторов.

Об отслеживании действий суперадминистраторов

Для настройки конвейера с отслеживанием действий суперадминистраторов понадобятся следующие элементы:

  1. Точка входа Аудит: обеспечивает непрерывный сбор событий сервиса аудита с выбранными уровнями угрозы.

  2. Фильтр: отсеивает события, не удовлетворяющие условию фильтрации.

  3. Конечная точка: отправляет обработанные и коррелированные события в хранилища данных и внешние системы.

Таким образом, настройка конвейера для создания оповещений о событиях сервиса аудита включает следующие шаги:

  1. Добавление конвейера

  2. Настройка конфигурации конвейера

    1. Шаг 1. Точка входа Audit

    2. Шаг 2. Фильтрация данных

    3. Шаг 3. Конечная точка

    4. Шаг 4. Включение коллектора и установка конфигурации конвейера

Добавление конвейера

Конвейер — это упорядоченная последовательность взаимосвязанных элементов, выполняющих отдельные этапы обработки событий в системе.

Чтобы добавить конвейер:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора, в котором будет выполняться настройка конвейера. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. В нижней части карточки нажмите на кнопку Добавить. На экране отобразится окно добавления конвейера.

  5. Введите название конвейера.

  6. При необходимости введите описание конвейера.

    Установите флажок Открыть конфигурацию конвейера, чтобы сразу перейти в окно настроек конфигурации конвейера после его создания.

  7. Нажмите на кнопку Добавить. Система отобразит уведомление о добавлении конвейера. Новый конвейер появится в списке конвейеров на вкладке Конвейеры в карточке коллектора.

Настройка конфигурации конвейера

При настройке конвейера необходимо создать его компоненты, сконфигурировать их, упорядочить и объединить в последовательность, соответствующую логике обработки данных.

Чтобы перейти к настройке конфигурации конвейера:

  1. Откройте карточку конвейера по стрелке (chevron down) в его строке и нажмите на кнопку Конфигурация конвейера в нижней части карточки.

  2. В открытом окне конфигурации конвейера убедитесь, что в выпадающем списке Версия в правом верхнем углу окна выбран пункт Черновик.

Шаг 1. Точка входа Audit

Точка входа Audit — это элемент конвейера, который собирает события сервиса аудита и доставляет их на конвейер для дальнейшей обработки и анализа. Точка входа имеет один выход и не имеет входов.

С помощью точки входа Audit можно отслеживать действия пользователей в системе для предотвращения, обнаружения и реагирования на возможные угрозы или нарушения безопасности.

Добавьте на конвейер точку входа типа Audit. При создании выберите необходимые уровни угрозы для фильтрации входящего потока событий аудита.

Шаг 2. Фильтрация данных

Чтобы фильтровать входящие события по наличию роли Суперадминистратор у пользователя, выполнившего какое-либо действие в системе, необходимо добавить на конвейер фильтр.

Фильтр — это элемент конвейера, который позволяет сократить объем обрабатываемых событий путем их отсеивания на основе условий, заданных на языке VRL. Имеет один вход и один выход.

  1. Добавьте на конвейер фильтр. При добавлении элемента задайте следующее условие фильтрации:

    .suser.is_super_admin == true

    Данное условие проверяет, является ли пользователь, совершивший действие, суперадминистратором.

  2. Выход из элемента Точка входа соедините со входом элемента Фильтр.

Шаг 3. Конечная точка

Конечная точка, в зависимости от настроек, пересылает событие в хранилище событий или внешнюю систему. Имеет один вход и не имеет выходов.

  1. Добавьте на конвейер конечную точку, в которой будут сохраняться события.

  2. Выход из элемента Фильтр соедините со входом элемента Конечная точка.

Шаг 4. Включение коллектора и установка конфигурации конвейера

Перед включением конвейера убедитесь, что связанный с ним коллектор уже включен.

Чтобы события аудита начали поступать на конвейер и обрабатываться:

  1. Перейдите в карточку коллектора и включите его.

  2. Откройте конфигурацию конвейера и установите текущую конфигурацию.

    События, порожденные действиями суперадминистраторов, будут направляться в заданное хранилище событий или внешнюю систему.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение