Создание групп шаблонов UserGate SIEM

После создания и настройки шаблонов UserGate SIEM их необходимо объединить в группы. Группа шаблонов позволяет создать конфигурацию параметров, которая применяется к одному или нескольким управляемым устройствам. Эта конфигурация формируется в результате слияния параметров всех шаблонов, входящих в группу, с учетом их расположения.

Чтобы создать группу шаблонов UserGate SIEM:

1. В разделе Управление областью ➜ SIEM ➜ Группы шаблонов нажмите Добавить.

2. На вкладке Общие укажите название и при необходимости описание группы шаблонов.

3. На вкладке Шаблоны нажмите Добавить:

• выберите шаблон в списке и добавьте его в группу по кнопке Добавить;

• повторите действие для всех шаблонов, которые требуется добавить в группу;

• нажмите Закрыть.

Добавленные шаблоны отобразятся в списке. Порядок расположения шаблонов в списке соответствует порядку применения параметров шаблонов в конфигурации. При необходимости вы можете изменять порядок с помощью кнопок Наверх, Выше, Ниже, Вниз.

Вы также можете создавать и добавлять новые шаблоны по кнопке Создать и добавить новый объект.

4. Нажмите Сохранить.

Созданная группа шаблонов отобразится в таблице Группы шаблонов. Теперь вы можете перейти к настройке интеграции UserGate SIEM с UGMC.

Настройка интеграции UserGate SIEM с UGMC

Настройка интеграции с UGMC осуществляется путем создания в управляемой области логического объекта — устройства, к которому будут привязаны реальные UserGate SIEM при их подключении к UGMC. Каждый такой логический объект во включенном состоянии использует одну лицензию на управляемое устройство.

С помощью одного устройства, созданного в управляемой области, вы можете настроить интеграцию с UGMC одиночного UserGate SIEM или кластера. Для UserGate SIEM, объединенных в кластер, достаточно подключить к UGMC первый узел, остальные узлы будут подключены автоматически при их добавлении в кластер.

Для настройки интеграции UserGate SIEM с UGMC необходимо:

1) создать устройство в управляемой области;

2) подключить UserGate SIEM к UGMC.

Все UserGate SIEM, для которых настроена интеграция с UGMC, называются управляемыми устройствами.

Создание устройства в управляемой области

Чтобы создать устройство в управляемой области:

1. В разделе Управление областью ➜ SIEM ➜ Устройства нажмите Добавить.

2. Укажите параметры управляемого устройства:

• Название и при необходимости описание.

• Группу шаблонов, параметры которой должны применяться к подключенным UserGate SIEM.

• Режим синхронизации параметров между группой шаблонов и подключенными UserGate SIEM.

В процессе синхронизации к управляемым устройствам применяется конфигурация параметров группы шаблонов. По умолчанию указан автоматический режим. В этом режиме параметры UserGate SIEM синхронизируются с конфигурацией параметров при каждом ее изменении.

При необходимости синхронизацию можно отключить. Это может понадобиться, например, если нужно одновременно изменить параметры нескольких шаблонов группы. В этом случае вы можете применить сразу все внесенные изменения, выполнив синхронизацию вручную по кнопке Запросить синхронизацию.

3. Нажмите Сохранить.

4. Выберите созданное устройство в списке и получите код для подключения, нажав Действия ➜ Показать уникальный код устройства.

5. Сохраните код для подключения UserGate SIEM.

В интерфейсе UGMC вы можете просматривать список созданных устройств.

Подключение UserGate SIEM к UGMC

Вы можете подключить UserGate SIEM к UGMC при первоначальной настройке продукта по кнопке Настроить через UserGate Management Center, а также при его дальнейшем использовании (см. инструкцию ниже).

Перед выполнением инструкции необходимо в свойствах зоны для подключения UserGate SIEM разрешить использование сервиса UserGate Management Center. Действие выполняется администратором UGMC в разделе Центр управления ➜ Зоны. Также необходимо убедиться, что между серверами UserGate SIEM и UGMC есть сетевая связность.

Чтобы подключить UserGate SIEM к UGMC:

1. В разделе Настройки ➜ Консоль администратора ➜ Настройки в блоке Агент UserGate Management Center нажмите Настроить.

2. Укажите IP-адрес UGMC (например, 192.0.2.4) и код для подключения UserGate SIEM, сгенерированный в веб-интерфейсе UGMC.

3. Нажмите Сохранить.

Статус подключения отобразится в блоке Агент UserGate Management Center в виде цветового индикатора:

• Зеленый — соединение с сервером UGMC установлено, интеграция выполняется.

• Красный — соединение с сервером UGMC не установлено, UserGate SIEM отключен или на нем остановлен агент UserGate Management Center.

При успешном подключении конфигурация параметров группы шаблонов будет применена к UserGate SIEM. Параметры этой конфигурации (за исключением базовых параметров и параметров сетевых интерфейсов) будут недоступны для изменения в UserGate SIEM.

Кроме того, вы можете просматривать информацию о подключении UserGate SIEM в веб-интерфейсе UGMC в разделе Управление областью ➜ SIEM ➜ Устройства. Для каждого устройства в управляемой области отображаются статус и дата последнего подключения привязанных к нему UserGate SIEM, а также дополнительная информация, включая объем используемой памяти и время непрерывной работы UserGate SIEM.

В интерфейсе UGMC вы можете управлять подключенными UserGate SIEM.

Просмотр списка устройств в управляемой области

Раздел Управление областью ➜ SIEM ➜ Устройства содержит список устройств в управляемой области. В этом списке вы можете:

• Включать и отключать устройства по кнопкам Включить и Отключить соответственно. При отключении устройства для всех привязанных к нему UserGate SIEM будут разорваны соединения с сервером UGMC.

• Удалять устройства по кнопке Удалить.

• Изменять параметры устройства по кнопке Редактировать.

• Просматривать информацию об устройстве в отдельном окне по кнопке Показать детальную информацию.

Кроме того, вы можете настраивать отображение устройств в списке с помощью следующих фильтров:

• Все. Все устройства (фильтр по умолчанию).

• Включенные и Выключенные. Устройства в выбранном состоянии.

• Онлайн. Для привязанных к устройствам UserGate SIEM установлено соединение с сервером UGMC.

• Офлайн. Для привязанных к устройствам UserGate SIEM не установлено соединение с сервером UGMC.

• Не привязанные. Устройства, к которым не привязаны UserGate SIEM.

• Консистентные устройства. Устройства, к которым привязаны UserGate SIEM с параметрами, синхронизированными с конфигурацией параметров группы шаблонов.

• Неконсистентные устройства. Устройства, к которым привязаны UserGate SIEM с параметрами, несинхронизированными с конфигурацией параметров группы шаблонов.

Вы также можете управлять синхронизацией параметров между группой шаблонов и UserGate SIEM, для этого доступны ручной и автоматический режимы. Вручную вы можете запускать синхронизацию сразу для всех управляемых устройств (по кнопке Действия ➜ Запустить полную синхронизацию) или только для выбранных (по кнопке Запросить синхронизацию).

В автоматическом режиме параметры управляемого устройства синхронизируются с конфигурацией параметров группы шаблонов при каждом ее изменении. Кроме того, при автоматической синхронизации подключенный UserGate SIEM отправляет UGMC сведения о своем состоянии каждые 20 секунд, в результате чего обновляется время последней синхронизации для устройства.

Управление подключенными UserGate SIEM

В разделе Управление областью ➜ SIEM ➜ Устройства вы можете управлять подключенными UserGate SIEM:

• Переходить в веб-интерфейс UserGate SIEM по кнопке Открыть консоль.

• Перезагружать и выключать питание UserGate SIEM по ссылкам Перезагрузить и Выключить соответственно.

• Изменять параметры UserGate SIEM, посредством настройки параметров шаблонов, входящих в примененную конфигурацию.