Основные возможности Wazuh в VK cloud
Основные возможности Wazuh в VK cloud
Wazuh модули для VK Cloud
Сбор и анализ событий, происходящих в облаке VK, выполняются с использованием двух модулей для Wazuh
Модуль vk-cloud-logging для Wazuh предназначен для сбора и анализа данных из Cloud Logging . На текущий момент доступна версия v1.0.1, которая поддерживает сбор данных для следующих сервисов.
- default - значение по умолчанию
- databases — логирование ресурсов сервиса Cloud Databases.
- containers — логирование ресурсов сервиса Cloud Containers.
- bigdata — логирование ресурсов сервиса Cloud Big Data.
- vdi — логирование ресурсов сервиса Cloud Desktop.
Модуль vk-audit для Wazuh предназначен для сбора и анализа данных из Журнала действий . На текущий момент доступна версия v1.0.1, которая поддерживает сбор данных для следующих сервисов.
- cinder - События связанные с дисками ВМ.
- nova - События связанные с контроллером вычислительных ресурсов
- neutron - События связанные с облачными виртуальными сетями
- glance - События связанные с хранением и работой с образами.
- octavia - События связанные с управлением балансировщиками нагрузки.
- dbaas, trove - События связанные с созданием и управлением экземплярами БД.
- magnum - События связанные с K8s-контейнерами.
- quota - События связанные с проектными квотами
- iam - События связанные с пользователями в проекте.
Примеры событий
Веб интерфейс
В формате json
{
"_index": "wazuh-alerts-4.x-2024.01.19",
"_id": "joC7IY0BGn6xL-5qjq4y",
"_version": 1,
"_score": null,
"_source": {
"input": {
"type": "log"
},
"agent": {
"name": "wazuh.manager",
"id": "000"
},
"manager": {
"name": "wazuh.manager"
},
"data": {
"user_email": "support@***.ru",
"method": "POST",
"source": "nova",
"uri": "/v2.1/servers/a590c875-0f6d-4544-be4a-89073eaae912/action",
"event_id": "bfae1127-b704-47ff-92e8-45d10c780a97",
"request_body": "{\"os-stop\":null}",
"user_id": "******",
"success": "yes",
"action": "vm-action",
"aws": {
"accountId": "",
"region": ""
},
"request_id": "req-db43ab0f-7cdd-439a-a43a-a71c17783d02",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36",
"timestamp": "2024-01-19T06:07:26Z"
},
"rule": {
"firedtimes": 2,
"mail": false,
"level": 7,
"description": "Nova: VM action by support@****.ru user id *****",
"groups": [
"local",
"vk"
],
"id": "123005"
},
"location": "vk-cloud",
"decoder": {
"name": "json"
},
"id": "1705667944.811994",
"full_log": "{\"action\": \"vm-action\", \"event_id\": \"bfae1127-b704-47ff-92e8-45d10c780a97\", \"method\": \"POST\", \"request_body\": \"{\\\"os-stop\\\":null}\", \"request_id\": \"req-db43ab0f-7cdd-439a-a43a-a71c17783d02\", \"response_body\": \"\", \"source\": \"nova\", \"success\": \"yes\", \"timestamp\": \"2024-01-19T06:07:26Z\", \"uri\": \"/v2.1/servers/a590c875-0f6d-4544-be4a-89073eaae912/action\", \"user_agent\": \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36\", \"user_email\": \"support@*****.ru\", \"user_id\": \"*****\"}",
"timestamp": "2024-01-19T12:39:04.987+0000"
},
"fields": {
"data.timestamp": [
"2024-01-19T06:07:26.000Z"
],
"timestamp": [
"2024-01-19T12:39:04.987Z"
]
},
"highlight": {
"manager.name": [
"@opensearch-dashboards-highlighted-field@wazuh.manager@/opensearch-dashboards-highlighted-field@"
],
"location": [
"@opensearch-dashboards-highlighted-field@vk-cloud@/opensearch-dashboards-highlighted-field@"
]
},
"sort": [
1705667944987
]
}