Kubernetes: настройка источника
Данная инструкция описывает применение политики аудита Kubernetes и отправки событий аудита в систему R-Vision SIEM.
Предварительные требования
Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что обеспечена сетевая доступность узлов кластера R-Vision SIEM для сервиса kube-apiserver кластера Kubernetes по целевому TCP-порту.
Настройка Kubernetes
| Ниже рассмотрено применение политики аудита и конфигурация отправки событий через вебхук для кластера, развернутого с помощью kubeadm. Для k0s, k3s, rke2, OpenShift и других вариантов развертывания кластеров подход аналогичен. |
Для настройки и контроля событий аудита kube-apiserver Kubernetes выполните следующие шаги:
-
Загрузите политику аудита по ссылке.
-
Разместите ее в директории
/etc/kubernetes/audit/policy.yaml. -
Создайте конфигурационный файл вебхука
/etc/kubernetes/audit/audit-webhook-config.yamlдля передачи событий на HTTP Server:apiVersion: v1 kind: Config clusters: - name: audit cluster: server: http://<collector_address>:<port> contexts: - name: audit context: cluster: audit current-context: auditЗдесь:
-
<collector_address>— IP-адрес коллектора R-Vision SIEM, на котором запущена точка входа типа *HTTP Server. -
<port>— порт, который прослушивает точка входа типа HTTP Server.
-
-
Откройте файл
/etc/kubernetes/manifests/kube-apiserver.yamlдля редактирования и добавьте в секциюspec.containers.commandследующие строки:- --audit-policy-file=/etc/kubernetes/audit/policy.yaml - --audit-webhook-config-file=/etc/kubernetes/audit/audit-webhook-config.yaml -
Так как API Server работает в контейнере, примонтируйте файлы внутрь контейнера. Для этого:
-
Добавьте дополнительное пространство в секцию
spec.containers.volumeMounts:volumeMounts: - mountPath: /etc/kubernetes/audit name: audit-config readOnly: true -
Добавьте дополнительное пространство в секцию
spec.containers.volumes:volumes: - hostPath: path: /etc/kubernetes/audit type: DirectoryOrCreate name: audit-config
-
-
После сохранения изменений служба kubelet автоматически пересоздаст Pod API Server.
Настройка в R-Vision SIEM
Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант HTTP Server.
-
Порт точки входа: введите значение, указанное в конфигурации вебхука.
-
-
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
.device_hostname = "<cluster_name>" . = unnest!(.raw.items)Здесь
<cluster_name>— пользовательское название кластера Kubernetes, которое служит для определения логов кластера в R-Vision SIEM. -
Соедините точку входа с VRL-трансформацией.
-
Добавьте на конвейер элемент Нормализатор с правилом Kubernetes Audit (идентификатор правила: RV-N-204).
-
Соедините нормализатор с VRL-трансформацией.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события аудита Kubernetes.
|
Найти события Kubernetes в хранилище можно по следующему фильтру:
|
Была ли полезна эта страница?
