Uitstekend, het opzetten van een uitgebreide strategie voor het monitoren en reageren op toegang tot Vault secrets is cruciaal voor de beveiliging van je omgeving. Hieronder geef ik een gedetailleerd plan met stappen, best practices en voorbeelden om je te helpen bij het implementeren van effectieve monitoring, alerting en incidentrespons workflows. 1. Inventarisatie en voorbereiding a. Identificeer gevoelige secrets en access points b. Zorg dat je alle Vault logs en audit logs hebt ingeschakeld en correct geconfigureerd c. Stel een duidelijk overzicht op van gebruikers, policies en toegangsrechten 2. Logbeheer en auditing a. Vault Audit Devices instellen - Gebruik de Vault audit backend (bijvoorbeeld een syslog, file, of een externe logging service) - Voorbeeld configuratie voor syslog: ``` vault audit enable syslog tag="vault" facility=LOG_LOCAL0 ``` b. Zorg dat audit logs gedetailleerde informatie bevatten: wie, wanneer, welke secrets, welke acties 3. Real-time monitoring en alerting a. Integratie met SIEM- en monitoringtools - Feed audit logs door naar een SIEM zoals Splunk, QRadar, ELK stack of Azure Sentinel - Gebruik log shipping tools zoals Filebeat (voor ELK) of Fluentd b. Alerting op verdachte activiteiten - Definieer en configureer regels voor afwijkingen, zoals: - Ongebruikelijke toegangstijden - Toegang tot gevoelige secrets door niet-geautoriseerde accounts - Excessieve of herhaalde failed login attempts - Opschaling van privileges - Voorbeeld: alert op vault audit logs in ELK: ```json { "query": { "bool": { "must": [ { "match": { "path": "/v1/auth/token/revoke" } }, { "range": { "@timestamp": { "gte": "now-5m" } } } ], "filter": { "term": { "user": "admin" } } } } } ``` c. Gebruik tools zoals PagerDuty, Opsgenie of Slack voor directe notificatie 4. Automatisering en incidentrespons a. Automatische responses - Bijvoorbeeld: bij verdachte toegang automatisch token revoke of user blokkeren - Scripts of tools zoals Vault CLI/HTTP API integreren in je workflows b. Incident response workflow - Detecteer -> Analyseer -> Escaleer -> Herstel - Documenteer alle stappen en inzichten - Maak gebruik van runbooks c. Voorbeeld: automatisch revoke token bij verdachte activiteit ```bash curl --header "X-Vault-Token: <admin_token>" \ --request POST \ --data '{"token": "<suspect_token>"}' \ https://vault.example.com/v1/auth/token/revoke ``` 5. Best practices en risico minimalisatie a. Least privilege principle - Beperk toegang tot secrets en audit logs - Gebruik fine-grained policies b. Multi-factor authenticatie (MFA) - Implementeer MFA voor toegang tot Vault en management interfaces c. Periodieke reviews - Regelmatig review van policies, access logs en userrechten d. Segregatie van taken - Scheid accounts met hoge privileges van reguliere gebruikers e. Encryptie en beveiligde communicatie - Zorg dat alle communicatie met Vault via TLS verloopt 6. Integratie met bestaande tools a. SIEM-integratie - Configureer je SIEM om specifieke Vault logs en gebeurtenissen te parsen b. Dashboard en rapportage - Maak dashboards voor zichtbaarheid op toegangsactiviteiten - Stel rapportages in voor compliance en audits 7. Voorbeeld configuratie voor monitoring en alerts - Gebruik bijvoorbeeld Vault's audit log in combinatie met ELK: - Logstash pipeline om logs te parseren - Kibana dashboards voor visualisatie - Elastalert of vergelijkbare tools voor real-time alerts 8. Continual Improvement - Voer regelmatig pentests en audits uit - Pas je monitoring en alerting aan op nieuwe bedreigingen - Train je team in incident response procedures Door deze stappen te volgen, bouw je een robuuste beveiligings- en monitoringstrategie die je in staat stelt verdachte activiteiten snel te detecteren, te reageren en de impact te minimaliseren. Daarnaast blijft je omgeving beter voorbereid op toekomstige beveiligingsuitdagingen.

Zeker, hier is een uitgebreide strategie voor het monitoren van Vault secrets en incidentrespons specifiek voor uw Vault 1.8 omgeving: ## 1. Real-time Monitoring & Audit Logging ### Audit Device Configuratie ```bash # File audit device vault audit enable file file_path=/var/log/vault_audit.log # Of syslog voor integratie met SIEM vault audit enable syslog tag="vault" facility="LOCAL7" # Voor gedetailleerde logging vault audit enable file file_path=/vault/logs/audit.log log_raw=true ``` ### Belangrijke te monitoren gebeurtenissen: - **Authenticatie**: login success/failure, auth method wijzigingen - **Secret toegang**: read/write/delete operaties op KV secrets - **Policy wijzigingen**: policy create/update/delete - **Token creatie**: root token gebruik, token creatie met hoge TTL ## 2. Alerting & SIEM Integratie ### Elastic Stack Integratie ```yaml # Filebeat configuratie voor Vault logs filebeat.inputs: - type: log paths: - /var/log/vault_audit.log json.keys_under_root: true json.add_error_key: true output.elasticsearch: hosts: ["elasticsearch:9200"] index: "vault-audit-%{+yyyy.MM.dd}" ``` ### Alert Regels voor Elasticsearch/ElastAlert ```yaml name: Vault_Suspicious_Access type: any index: vault-audit-* alert_text: "Verdachte Vault toegang gedetecteerd" filter: - query: query_string: query: "request.path:/secret/* AND response.data.*:password" ``` ### AWS CloudWatch Alarms ```bash # Vault metrics naar CloudWatch vault write sys/metrics config=@cloudwatch.json ``` ## 3. Incident Response Workflow ### Detectie & Classificatie **Tier 1 (Kritiek):** - Root token gebruik buiten noodgevallen - Ongeautoriseerde toegang tot gevoelige secrets - Meerdere gefaalde login pogingen **Tier 2 (Hoog):** - Ongebruikelijke toegangstijden - Wijzigingen in policies/authentication methods - Token creatie met ongebruikelijke TTL ### Response Procedures ```bash # Directe acties bij verdachte activiteit: # 1. Revoke verdachte tokens vault token revoke <token_id> # 2. Secret rotation vault kv roll -mount=secret secret/path # 3. Temporary seal bij ernstige incidenten vault operator seal # 4. Audit van recente activiteiten vault audit list -detailed ``` ## 4. Advanced Monitoring Configuraties ### Vault Agent Monitoring ```hcl # Vault agent config met monitoring vault { address = "https://vault.example.com:8200" } auto_auth { method "aws" { config = { role = "monitoring-role" } } } template { source = "/etc/vault/templates/secret.ctmpl" destination = "/etc/secrets/database.json" } ``` ### Prometheus Metrics Export ```bash # Enable metrics endpoint vault server -config=config.hcl # Config.hcl voor metrics telemetry { prometheus_retention_time = "30s" disable_hostname = true } ``` ## 5. Risk Minimization Best Practices ### Least Privilege Policies ```hcl # Voorbeeld beperkte policy path "secret/data/apps/prod/*" { capabilities = ["read"] allowed_parameters = { "version" = ["1", "2"] } } path "secret/metadata/apps/prod/*" { capabilities = ["list"] } ``` ### Network Security Controls ```bash # IP whitelisting voor gevoelige secrets vault write auth/token/roles/monitoring \ allowed_policies="monitoring" \ bound_cidrs="10.0.1.0/24" ``` ### Regular Secret Rotation ```bash # Automatische secret rotation script #!/bin/bash for secret in $(vault kv list -format=json secret/apps | jq -r '.[]'); do vault kv roll -mount=secret secret/apps/$secret done ``` ## 6. SIEM Integratie Voorbeelden ### Splunk Configuratie ```properties # inputs.conf voor Splunk [monitor:///var/log/vault_audit.log] sourcetype = vault:audit index = vault_audit ``` ### Grafana Dashboard Queries ```sql -- Query voor verdachte toegangspatronen SELECT time, request.path, request.client_token, count(*) as access_count FROM vault_audit WHERE time > now() - 1h GROUP BY time, request.path, request.client_token HAVING count(*) > 10 ``` ## 7. Automatische Response Scripts ### Python Response Script ```python #!/usr/bin/env python3 import hvac import requests import json def handle_suspicious_access(token_id, reason): client = hvac.Client() # Revoke token client.auth.token.revoke_token(token_id) # Log incident log_incident({ 'token': token_id, 'action': 'revoked', 'reason': reason }) # Alert security team send_alert(f"Vault token {token_id} revoked: {reason}") def log_incident(incident_data): with open('/var/log/vault_incidents.log', 'a') as f: f.write(json.dumps(incident_data) + '\n') ``` ## 8. Compliance & Reporting ### Regular Audit Reports ```bash # Maandelijkse access review vault token lookup -accessor <accessor> vault kv get -version=1 secret/path ``` ### Backup & Recovery Procedures ```bash # Regular backup van audit logs aws s3 sync /var/log/vault_audit.log s3://vault-backup/audit/ ``` ## Implementatie Stappenplan 1. **Week 1-2**: Audit devices configureren en testen 2. **Week 3-4**: SIEM integratie opzetten en alert regels definiëren 3. **Week 5-6**: Incident response procedures documenteren en trainen 4. **Week 7-8**: Geavanceerde monitoring en automatisering implementeren Deze strategie biedt een complete aanpak voor het monitoren van uw Vault omgeving en snel reageren op beveiligingsincidenten, met specifieke aandacht voor uw huidige zorgen over real-time monitoring en alerting.