Skip to content

События ИБ

События ИБ

В Hive предусмотрена опциональная возможность сохранять все события информационной безопасности дополнительно.

Список событий ИБ, которые мы фиксируем:

  • Вход пользователя в систему

  • Выход пользователя из системы

  • Неуспешный вход в систему

  • Создание учетной записи

  • Удаление учетной записи

  • Блокировка (отключение) учетной записи

  • Разблокировка (включение) учетной записи

  • Назначение\исключение прав пользователя на объект

  • Смена пароля учетной записи

  • Изменение прав группы (роли) пользователей

  • Исключение пользователя из состава группы (роли)

  • Включение пользователя в состав группы (роли)

Настройка сохранения события ИБ

Пример конфигурирования машин Hive для дополнительного сохранения security логов. Нужно изменить конфигурацию: 

[main]
#Обязательно что бы включить логи безопасности в отдельном файле.
host.install.events.enabled = enabled

#Путь к файлу лога. 
#В примере указано значение по умолчанию, но вы можете изменить на своё
host.install.events.filepath = /opt/hw-bw/logs/events/events.log

#Максимальный размер файла лога для ротации. 
#В примере указано значение по умолчанию.
host.install.events.filesize = 1000000 

#Максимальное количество файлов лога для ротации. 
#В примере указано значение по умолчанию.
host.install.events.backups = 10

Выполните reconfig что бы изменения вступили в силу.

Обратите внимание, что, после этого у вас появится ещё один запущенный контейнер с именем hw-bw-a_eproc-1 из образа registry.hexway.io/hexway/events-processor:<version>. Вы можете увидеть это выполнив команду docker ps.

Пример настройки отправки событий ИБ через syslog

В случае, если нужно настроить передачу по сети на ваш сервер сбора логов или SIEM только security событий, то на машине с установленным Hive нужно добавить конфигурацию rsyslog, как указано в примере ниже, например в файл /etc/rsyslog.d/80-forward-eproc.conf для передачи событий по TCP:

module(load="imfile" PollingInterval="10")

#Hive security events file
input(type="imfile"
      File="/opt/hw-bw/logs/events/events.log"
      Tag="hive-sec"
      Severity="info"
      Facility="local7")

:syslogtag, isequal, "hive-sec:" @@rsyslog-server.corp.example.com:514
& stop

В этом примере: - rsyslog-server.corp.example.com - адрес вашего SIEM или rsyslog сервера. - 514 порт на котором ваш SIEM или rsyslog сервер принимает сообщения. - замените два символа @@ на один @ если нужно передавать по UDP вместо TCP.

Пример базовых событий ИБ

В примерах ниже префикс сообщения опущен и может выглядеть, например, так: 

[<timestamp>] [INFO] SecurityLogger.Brig: <message>

Здесь: - Вместо <timestamp> будет метка времени, например, в таком формате: 2025-04-17T13:58:14.551432+0000. - Вместо <message> будет приведённое ниже сообщение.

Корректный вход в систему:

User root@ro.ot successfully logged in

Выход из системы:

User root@ro.ot successfully logged out

Некорректный вход в систему:

Authentication failed for user bandita: invalid login or password

Изменение прав на проект:

User root@ro.ot got OWNER access to project "My Project 1"

Создание локального пользователя:

User user1 is created

Получение пользователем глобальных прав в системе:

User user1 got EDITOR privilege

Добавление пользователя в группу 

User user1 was added to the User Group group1

Выдача пользователю прав на проект: 

User user1 got EDITOR access to project "My Project 1"