Сценарии использования Audit Logs

Полезно для Compliance Manager — специалиста, занимающегося аудитом соответствия информационных систем требованиям регуляторов в сфере информационной безопасности.

Audit Logs для Compliance Manager — один из инструментов, который помогает упростить прохождение процедуры оценки соответствия требованиям регуляторов. Основными требованиями для облака являются: требования по защите персональных данных, требования к безопасности банковских операций и PCI DSS.

Сценарий работы:

• Определение состава аудитных логов, подлежащих хранению;
• Соблюдение сроков хранения аудитных логов — за счет хранения в сервисе Audit Logs или экспорта во внешние системы;
• Создание резервных копий аудитных логов за счет экспорта во внешние системы.

Полезно для сотрудника центра мониторинга событий безопасности (Security Operations Center, SOC). К этому типу пользователей относятся клиенты облака или их организации-подрядчики, в обязанности которых входит мониторинг инфраструктуры в целях недопущения инцидентов. Для этого вне контура облака разворачивается информационная система (SIEM), которая сопоставляет, принимает и анализирует события из различных источников, а также реагирует на них. В этом случае сервис Audit Logs рассматривается как один из источников аудитных логов для внешнего SOC.

Сценарий работы:

• Определение, какие аудитные логи необходимо экспортировать во внешнюю SIEM;
• Настройка экспорта аудитных логов из Audit Logs в SIEM;
• Периодический пересмотр типов аудитных логов и внесение изменений в состав выгружаемых аудитных логов.

В случае подозрения на инцидент безопасности или его возникновения, пользователь может оперативно проанализировать дополнительные аудитные логи и их детали непосредственно через интерфейс Audit Logs.

Полезно для специалиста службы информационной безопасности клиентов, у которых отсутствует внешний SOC, но есть потребность в мониторинге информационной безопасности (ИБ) инфраструктуры в облаке.

Для специалистов ИБ важна надежность сбора аудитных данных, возможность их анализа и настройки уведомлений о наступлении аудитных логов.

Сценарий работы:

• Определение, какие типы аудитных логов могут сигнализировать об инциденте;
• Настройка правил уведомлений о наступлении события аудита или цепочки событий;
• В случае возникновения инцидента безопасности или подозрения на него: обращение в Audit Logs для получения дополнительной информации о событиях аудита и анализе инцидента.

Полезно для специалиста, занимающегося расследованием инцидентов (форензика). К этому типу пользователей относятся клиенты облака или их организации-подрядчики, которые занимаются анализом уже свершившихся инцидентов безопасности (взлом и кража данных, шифрование инфраструктуры и т.п.). Цель работы: выяснение причин, векторов атаки и поиска следов, оставленных злоумышленниками.

Для специалиста по расследованию инцидентов важна полнота и надежность хранения аудитных логов.

Сценарий работы:

• Получение доступа к аудитным логам в интерфейса сервиса или посредством экспорта во внешнюю систему;
• Фильтрация аудитных логов по нужным параметрам, обнаружение закономерностей и зависимостей;
• Экспорт полученных данных в файл на локальный носитель или облако.

Помимо аудитных логов, при разборе инцидентов также бывает полезно анализировать журналы производительности сервисов.

Полезно для инженера облачной инфраструктуры (DevOps, SRE), задача которого – корректно создать, настроить и запустить инфраструктуру в облаке. Периодически в процессе работы с сервисами облака могут возникать ситуации, когда инженеру нужно проанализировать причину возникновения ошибок (например, достаточность прав, корректность выполнения операции и т.п.). Для этого он аудитные логи и логи производительности сервисов.

Основным интерфейсом взаимодействия является интерфейс облака, т.к. анализ логов в этом сценарии носит несистемный характер.