租户端 安全 安全运营中心(SOC) 租户端日志采集接入SOC方案

租户端日志采集接入SOC方案

最近更新时间: 2024-06-12 15:06:00

方案原理

租户侧overlay采集的日志设备ip<———物理网络服务映射————>SOC的isa1 IP,使得overlay采集的日志设备和SOC网络互通,overlay设备日志可以到达SOC。 以下接入方案以租户侧云堡垒机和数据库审计举例,其余租户侧设备均可参考。 注意事项:当前SOC可支持接入udp、tcp、syslog的端口号范围为514-550

堡垒机日志采集接入SOC

配置步骤

堡垒机信息收集

  1. 登录租户端,申请overlay堡垒机实例(申请过程请自行查看堡垒机租户端用户手册),此台overlay堡垒机实例的ip为192.168.20.14;并在云服务器CVM找到这台堡垒机实例,记录VPC和subnet,此堡垒机实例分别为vpc-2at5y1pm 和waf-testt

  2. 在账户中心找到APPID为1255000072.

SOC信息收集及配置

  1. 登录运营端,打开安全运营中心,查看系统监控找到SOC相关的三台物理服务器IP

  2. 分别ssh登录三台物理服务器IP,找到哪台是isa1,此环境中的isa1的IP为10.34.2.148.

  3. 登录运营端,打开安全运营中心-系统-数据接入-日志接入-安全事件接入,填写上述获取的isa1的IP,接入方式为udp(系统内置),解析模板为腾讯堡垒机策略组,并记录使用端口为516,日志源名称为overlay_bh_1255000072.

网络映射配置

目的为了打通运营端SOC和租户测堡垒机网络连通性,将将SOC的IP映射到堡垒机网段

  1. 登录运营端,产品运营-私有网络(VPC)-物理网络服务映射,填写上述获取的APPID、私有网络、子网(网络选择和堡垒机在同一个网络,是指将SOC的IP映射到堡垒机网段)、物理网络服务的isa1的IP和SOC配置的端口,此处的协议端口选择为UDP,端口号建议和SOC配置的端口保持一致为516

  2. 记录自动分配的IP为192.168.20.17,此IP和堡垒机为同一子网。

堡垒机配置syslog转发

  1. 登录overlay堡垒机,此环境为http://192.168.20.14, 在系统管理-syslog配置端口和获取到的IP(SOC映射之后的IP)

    2.使用overlay堡垒机,构建一些登录日志和运维日志。然后登录运营端,在告警和时间-事件管理查看是否有堡垒机相关日志。

多租户堡垒机syslog配置

多租户配置同样可以参考第二节步骤:

  1. 堡垒机信息收集

  2. SOC信息收集及配置

    说明:

    当前无法根据日志内容识别堡垒机日志来自于哪个租户,所以在此步骤SOC创建日志源过程中,通过命名来区分租户,建议每个租户堡垒机创建一个日志接入源,命名为:overlay-bh-租户appid,如:overlay_bh_1255000072

  3. 网络映射配置

  4. 堡垒机配置syslog转发

数审日志采集接入SOC

配置步骤

数审信息收集

  1. 登录租户端,申请数据库安全审计实例(申请过程请自行查看数据库安全审计租户端用户手册),此台overlay数据库安全审计实例的ip为172.16.0.40;并在云服务器CVM找到这台数审实例,记录VPC和subnet,此数据库安全审计实例分别为vpc-2at5y1pm 和waf-test

  2. 在账户中心找到APPID为1255000068.

SOC信息收集及配置

  1. 登录运营端,打开安全运营中心,查看系统监控找到SOC相关的三台物理服务器IP

  2. 分别ssh登录三台物理服务器IP,找到哪台是isa1,此环境中的isa1的IP为10.34.2.148.

  3. 登录运营端,打开安全运营中心-系统-数据接入-日志接入-安全事件接入,填写上述获取的isa1的IP,接入方式为tcp(系统内置),解析模板为数盾策略,并记录使用端口为518,日志源名称为overlay_数审_1255000068.

网络映射配置

目的为了打通运营端SOC和租户测数据库安全审计网络连通性,将将SOC的IP映射到数据库安全审计网段

  1. 登录运营端,产品运营-私有网络(VPC)-物理网络服务映射,填写上述获取的APPID、私有网络、子网(网络选择和数据安全审计实例在同一个网络,是指将SOC的IP映射到数据库安全审计网段)、物理网络服务的isa1的IP和SOC配置的端口,此处的协议端口选择为TCP(数审只支持tcp外发syslog),端口号建议和SOC配置的端口保持一致为518

  2. 记录自动分配的IP为172.16.0.22,此IP和数据安全审计实例为同一子网。

数审配置syslog转发

  1. 登录overlay数据安全审计实例,此环境为http://172.16.0.40 在系统管理-syslog配置端口和获取到的IP(SOC映射之后的IP)

  2. 告警开关打开syslog告警及相关告警内容

  3. 使用overlay数据库安全审计,构建一些登录日志和运维日志。然后登录运营端,在告警和时间-事件管理查看是否有数据安全审计相关日志。

多租户数审syslog配置

多租户配置同样可以参考第二节步骤:

  1. 数审信息收集

  2. SOC信息收集及配置

    说明:

    当前无法根据日志内容识别数据库安全审计日志来自于哪个租户,所以在此步骤SOC创建日志源过程中,通过命名来区分租户,建议每个租户数据库安全审计创建一个日志接入源,命名为:overlay-数审-租户appid,如:overlay_数审_1255000068

  3. 网络映射配置

  4. 数审配置syslog转发