Логирование
В рамках системы доступна настройка передачи событий в формате syslog для SIEM ArcSight по дополнительной договоренности с Vaultee. То есть этот функционал не входит в состав базовой поставки.
События, которые чаще всего запрашиваются для логирования
| Событие | Логируется | Комментарии |
|---|---|---|
| Успешный вход | Да | |
| Выход пользователя | Да | |
| Не успешная попытка входа | Нет | Логируется на стороне провайдера аутентификации (AD, Keycloak и прочие в зависимости от варианта подключения) |
| Сброс/смена пароля | Нет | Логируется на стороне провайдера аутентификации (AD, Keycloak и прочие в зависимости от варианта подключения) |
| Создание/удаление пользователей | Нет | Логируется на стороне провайдера аутентификации (AD, Keycloak и прочие в зависимости от варианта подключения) |
| Изменение привилегий, предоставленных пользователю, ролей, доступов и т.д. | Да | |
| Действия администраторов системы / Изменение конфигурации системы | Нет | Действия учетной записи администратора логируются наравне в обычными действиями в системе. Доступны в общем логе audit в Kibana. |
| Очистка журналов событий | Нет | События хранятся в ElasticSearch. Не предусмотрено удаление журнала со стороны пользователя системы. |
| Запуск отчётов и выгрузка данных из системы | Нет | Логируется на стороне провайдера аутентификации (AD, Keycloak и прочие в зависимости от варианта подключения) |
| Блокировка/разблокировка пользователя | Нет | Логируется на стороне провайдера аутентификации (AD, Keycloak и прочие в зависимости от варианта подключения) |
| Загрузка файла в систему, доступ к файлу и удаление файла | Да | Загрузка файлов в систему |
Формат фиксируемых событий
Формат CEF:
Jan 18 11:07:53 host CEF:Version|Device Vendor|Device Product|Device Version|Device Event Class ID|Name|Severity|[Extension]
Пример сформированного события:
Sep 19 08:26:10 host CEF:0|Security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232
Описание обязательных полей:
| Название поля | Значение | Описание |
|---|---|---|
| CEF:Version | 0 | константа |
| Device Vendor | Название вендора системы | константа |
| Device Product | Название системы | константа |
| Device Version | Версия системы | константа |
| Device Event Class ID | Идентификатор события | константа, уникальная для каждого типа события |
| Name | Название события | константа, уникальная для каждого типа события |
| Severity | Критичность | константа, уникальная для каждого типа события Примечание: значения в интервале от 1 до 10 |
Формат Extension для логируемых видов событий
| Событие | Описание | Мапинг |
|---|---|---|
| Успешный вход | IP адрес с которого осуществлена операция | Src |
| IP адрес системы / устройства на котором осуществлена операция | Dst | |
| Имя пользователя | Duser | |
| Выход пользователя | IP адрес с которого осуществлена операция | Src |
| IP адрес системы / устройства на котором осуществлена операция | Dst | |
| Имя пользователя | Duser | |
| Вход пользователя на VM | IP адрес с которого осуществлена операция | Src |
| IP адрес системы / устройства на котором осуществлена операция | dst | |
| Имя пользователя | duser | |
| Парметры VM на которую осуществлен вход | dhost | |
| Загрузка файла в систему, доступ к файлу и удаление файла | IP адрес с которого осуществлена операция | src |
| IP адрес системы / устройства на котором осуществлена операция | dst | |
| Название загруженного файла | fname | |
| Результат выполнения операции (успешно/не успешно) | cs1 | |
| При наличии: Имя хоста, с которого осуществлена операция | shost | |
| При наличии: Имя хоста, на котором осуществлена операция | dhost |
Примеры логируемых событий:
Успешный вход
CEF:0|Bitnami|keycloak|16.1.1|LOGIN|An account was successfully logged on.|6|src=46.161.113.104 dst=192.168.214.132 duser=dev2@aggregion.com
Выход
Логируется только в случае явного выхода пользователя из системы. Истечение токена не логируется, такое событие можно получить исходя из даты логина и времени действия токена.
CEF:0|Bitnami|keycloak|16.1.1|LOGOUT|An account was successfully logged out.|6|src=91.193.177.129 dst=192.168.129.215 duser=71934111-49c3-4df5-8f99-ac9262b8a94d
Неуспешная попытка входа
Важно, что неуспешная попытка входа не всегда может быть залогирована. Лог присутствует при получении ответа от стороннего провайдера.
CEF:0|Bitnami|keycloak|16.1.1|LOGIN_ERROR|An account login was failed.|6|src=91.193.177.129 dst=192.168.129.215 reason=invalid_code
Переход на VM
CEF:0|aggregion|dmp-backend-api||registry.aggregion.com/dmp-backend:release-12-0-1-aeef6a43-1315|dmp, Open VM|6|src=91.193.177.129 dst=192.168.129.215 suser=userloginname@aggregion.com - 4rtsuznhyeyr dhost= 21, 64b5281fe3979900122d5d11
suser - пользователь, который перешел на VM из интерфейса системы. В dhost передается № VM и уникальный идентификатор VM.
Изменение роли
Смена привелегий пользователя логируется в виде сообщения, какие роли будут на момент смены прав. То есть дельта не фиксируется.
CEF:0|aggregion|dmp-backend-api|registry.aggregion.com/dmp-backend:release-12-0-1|dmp,Account modification: set roles.|6|dst=176.110.211.190 duser=2nhrtbknyuzg cs1={"user":"5zuasrvug53s","account":"2nhrtbknyuzg","roles": 6["GLOSSARY_RESEARCHER"]}
suser - пользователь инициировавший изменение роли duser - пользователь, которому изменили роль cs1.user = duser cs1.roles - массив назначенных пользователю ролей
Обращение к данным
CEF:0|aggregion|backend-api|registry.aggregion.com/dmp-backend:release-12-0-1|Data_usage|matching|6|src=46.161.113.104 shost=Dataset logs were sent to acdbp34nisu, unyt87nusu dataset id: evkbkye5jnb5 cs1=Запросившая сторона cs2=Владелец датасета
dataset - id датасета suser - id организации, инициировавшего операцию с данными. При наличии id организации в справочнике, так же выводится название организации.
cs1 - от кого, запросили датасет cs2 - название организации, чей датасет запросили.
Логируемые операции с данными: matching, upload, cleanroom.
Загрузка файла
Выделяется 2 вида загрузки файла: Загрузка файла на VM и загрузка файла Excel для обновления глоссария.
Пример события загрузки файла глоссария
CEF:0|aggregion|backend-api|registry.aggregion.com/dmp-backend:release-12-0-1|dmp, Excel file upload|6|suser=userloginname@aggregion.com - 4rtsuznhyeyr
suser - пользователь инициировавший загрузку файла глоссария.
Пример события загрузки файла на VM
CEF:0|aggregion|backend-api|registry.aggregion.com/dmp-backend:release-12-0-1|dmp, File upload to VM|6|src=46.161.113.104 dst=192.168.214.132 suser=userloginname@aggregion.com - 4rtsuznhyeyr dhost=64b5281fe3979900122d5d11 fname=somefile.py cs1=true
suser - пользователь инициировавший загрузку файла на VM. dhost - id виртуальной машины, куда произошла загрузка файла.