Вернуться наверх

Сценарии использования Audit Logs

Соблюдение требований регуляторов в части хранения аудитных логов

Полезно для Compliance Manager — специалиста, занимающегося аудитом соответствия информационных систем требованиям регуляторов в сфере информационной безопасности.

Audit Logs для Compliance Manager — один из инструментов, который помогает упростить прохождение процедуры оценки соответствия требованиям регуляторов. Основными требованиями для облака являются: требования по защите персональных данных, требования к безопасности банковских операций и PCI DSS.

Сценарий работы:

  • Определение состава аудитных логов, подлежащих хранению;
  • Соблюдение сроков хранения аудитных логов — за счет хранения в сервисе Audit Logs или экспорта во внешние системы;
  • Создание резервных копий аудитных логов за счет экспорта во внешние системы.

Организация процессов реагирования на инциденты с использованием внешнего SOC

Полезно для сотрудника центра мониторинга событий безопасности (Security Operations Center, SOC). К этому типу пользователей относятся клиенты облака или их организации-подрядчики, в обязанности которых входит мониторинг инфраструктуры в целях недопущения инцидентов. Для этого вне контура облака разворачивается информационная система (SIEM), которая сопоставляет, принимает и анализирует события из различных источников, а также реагирует на них. В этом случае сервис Audit Logs рассматривается как один из источников аудитных логов для внешнего SOC.

Сценарий работы:

  • Определение, какие аудитные логи необходимо экспортировать во внешнюю SIEM;
  • Настройка экспорта аудитных логов из Audit Logs в SIEM;
  • Периодический пересмотр типов аудитных логов и внесение изменений в состав выгружаемых аудитных логов.

В случае подозрения на инцидент безопасности или его возникновения, пользователь может оперативно проанализировать дополнительные аудитные логи и их детали непосредственно через интерфейс Audit Logs.

Организация процессов реагирования на инциденты без использования SOC или SIEM

Полезно для специалиста службы информационной безопасности клиентов, у которых отсутствует внешний SOC, но есть потребность в мониторинге информационной безопасности (ИБ) инфраструктуры в облаке.

Для специалистов ИБ важна надежность сбора аудитных данных, возможность их анализа и настройки уведомлений о наступлении аудитных логов.

Сценарий работы:

  • Определение, какие типы аудитных логов могут сигнализировать об инциденте;
  • Настройка правил уведомлений о наступлении события аудита или цепочки событий;
  • В случае возникновения инцидента безопасности или подозрения на него: обращение в Audit Logs для получения дополнительной информации о событиях аудита и анализе инцидента.

Расследование инцидентов в облаке

Полезно для специалиста, занимающегося расследованием инцидентов (форензика). К этому типу пользователей относятся клиенты облака или их организации-подрядчики, которые занимаются анализом уже свершившихся инцидентов безопасности (взлом и кража данных, шифрование инфраструктуры и т.п.). Цель работы: выяснение причин, векторов атаки и поиска следов, оставленных злоумышленниками.

Для специалиста по расследованию инцидентов важна полнота и надежность хранения аудитных логов.

Сценарий работы:

  • Получение доступа к аудитным логам в интерфейса сервиса или посредством экспорта во внешнюю систему;
  • Фильтрация аудитных логов по нужным параметрам, обнаружение закономерностей и зависимостей;
  • Экспорт полученных данных в файл на локальный носитель или облако.

Помимо аудитных логов, при разборе инцидентов также бывает полезно анализировать журналы производительности сервисов.

Отладка системы

Полезно для инженера облачной инфраструктуры (DevOps, SRE), задача которого – корректно создать, настроить и запустить инфраструктуру в облаке. Периодически в процессе работы с сервисами облака могут возникать ситуации, когда инженеру нужно проанализировать причину возникновения ошибок (например, достаточность прав, корректность выполнения операции и т.п.). Для этого он аудитные логи и логи производительности сервисов.

Основным интерфейсом взаимодействия является интерфейс облака, т.к. анализ логов в этом сценарии носит несистемный характер.