CADF-события на Портале администратора

Портал администратора фиксирует действия пользователей, изменяющие состояние системы (HTTP-запросы типа POST, PUT, DELETE, GET), в формате CADF. Журнал событий позволяет отслеживать, кто, когда и какие изменения вносил.

Примечание

Для включения CADF-событий необходимо, чтобы в файле конфигурации globals.d/REGION.yml в репозитории региона была установлена переменная enable_cadf_audit: "yes". Подробнее в разделе Включение сервисов мониторинга.

Просмотр CADF-событий

Для просмотра лога событий аудита в левом меню перейдите в раздел Журналы событий > Аудит действий (CADF) .

Лог событий аудита

Лог событий аудита

Список полей каждого отдельного CADF-события в талице ниже.

Поле

Описание

Event info

  • ID — уникальный идентификатор записи о событии.

  • Hostname — название узла.

  • Request path — путь HTTP-запроса, инициировавшего событие.

  • Global request ID — глобальный идентификатор запроса, который передается из сервиса в сервис.

Priority

Приоритет события.

Initiator

  • ID — идентификатор пользователя.

  • Name — имя пользователя.

  • Host — IP-адрес PAM, реальный источник запроса к Порталу администратора.

Action

Действие: create, update, delete, read.

Target

  • Name — имя ресурса.

  • Region — название региона.

Outcome

Результат: success, pending или failure.

Event type

Тип события.

Timestamp

Временная метка события.

Фильтр CADF-событий

События можно фильтровать по различным параметрам, например, по дате и времени начала Start date, по действию Action, по результату Outcome, и др., а также комбинировать любые требуемые фильтры. Для этого выполните следующие действия:

  1. В левом меню Портала администратора перейдите в раздел Журналы событий > Аудит действий (CADF).

  2. Нажмите Добавить фильтр и выберите из выпадающего списка необходимые фильтры.

  3. Задайте необходимые значения в фильтрах и нажмите Применить.

    Аудит действий (CADF) с применёнными фильтрами

    Аудит действий (CADF) с применёнными фильтрами

Сквозной аудит событий

Портал администратора располагается за PAM (proxy), поэтому в колонке Initiator в поле Host CADF-события фиксируется IP-адрес PAM, а не адрес самого Портала администратора. Заголовок X-Client-IP с адресом источника запроса выставляется Nginx на доверенном периметре сети — подмена этого значения внешним клиентом исключена.

Портал администратора отправляет CADF-события в очередь сообщений RabbitMQ. FluentD получает их из RabbitMQ и перенаправляет в SIEM без модификации, используя:

  • входной конфигурационный файл conf/input/06-cadf-audit-input.conf — для приёма событий;

  • фильтр conf/filter/06-cadf-audit-filter.conf — для разбора вложенного JSON-сообщения.

После поступления событий в SIEM доступны следующие идентификаторы для расследования инцидентов:

  • ID — уникальный идентификатор записи о событии.

  • Hostname — название узла.

  • Request path — путь HTTP-запроса, инициировавшего событие.

  • Global request ID — глобальный идентификатор запроса, который передается из сервиса в сервис.