База знаний

База Знаний

Документация

...

UserGate 5.x

UserGate 6.x

UserGate 7.x

Быстрый старт

NGFW 7.0.1 Руководство администратора

Management Center 7.0.1 Руководство администратора

Log Analyzer 7.0.1 Руководство администратора

NGFW 7.1.x Руководство администратора

Management Center 7.1.x Руководство администратора

Log Analyzer 7.1.x Руководство администратора

UserGate SIEM 7.1.x Руководство администратора

Введение

Лицензирование SIEM

Первоначальная настройка

Офлайн операции с сервером

Настройка SIEM

Раздел настройки

Управление устройством

Администраторы

Управление сертификатами

Серверы аутентификации

Профили аутентификации

Роли и ролевые разрешения пользователей

Каталоги пользователей

Расширение системного раздела

Настройка сети

Пользователи и устройства

Сенсоры

Сборщик логов

Библиотеки

Диагностика и мониторинг

Журналы и отчеты

Аналитика

Инциденты

Интерфейс командной строки (CLI)

Дашборд

Техническая поддержка

ADMIN

Избранные

Приложения

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Обучающие материалы

Администраторы

ID статьи: 1205

Последнее обновление: 01 июл, 2024

Documentation:

Product: LogAn, SIEM

Version: 7.0.1, 7.1.0

Доступ к веб-консоли LogAn регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети.

ПримечаниеПри первоначальной настройке LogAn создается локальный суперпользователь Admin.

Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать профиль доступа администратора

В разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки.

Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора

В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:

Добавить локального администратора — создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.
Добавить пользователя LDAP — добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.
Добавить группу LDAP — добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы аутентификации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.
Добавить администратора с профилем аутентификации — создать пользователя, назначить созданный ранее профиль администратора и профиль аутентификации (необходимы корректно настроенные серверы аутентификации).

При создании профиля доступа администратора необходимо указать следующие параметры:

Наименование	Описание
Название	Название профиля.
Описание	Описание профиля.
Права доступа	Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать: Нет доступа; Чтение; Чтение и запись.
Роли пользователей	Определяет роли пользователя для действия над инцидентами и правилами аналитики, назначаемые администраторам данного профиля. По умолчанию в системе определены следующие роли: Administrator; Supervisor; Investigator; Analyst. Описание разрешений ролей, определенных в системе по умолчанию указано в таблице ниже.

Ролевые разрешения для ролей, созданных в системе по умолчанию:

Ролевое разрешение	Описание	Administrator	Supervisor	Investigator	Analyst
Назначаемый пользователь	Пользователь с этим разрешением может быть назначен на инцидент при создании или редактировании инцидента.		+	+	+
Назначение инцидентов	Возможность назначать пользователей на инциденты при создании или редактировании инцидента.		+	+	+
Закрытие инцидента	Возможность закрыть инцидент.		+	+	+
Создание инцидентов	Возможность создавать инциденты.		+	+	+
Изменение инцидента	Возможность изменять инциденты.		+	+	+
Переоткрытие инцидента	Возможность переоткрывать инциденты.		+	+	+
Редактирование наблюдателей	Возможность добавлять и удалять наблюдателей.		+	+	+
Оставление комментариев	Возможность комментировать инциденты.		+	+	+
Удаление любых комментариев	Возможность удалять любые комментарии к инцидентам.		+
Удаление собственных комментариев	Возможность удалять собственные комментарии к инцидентам.		+	+	+
Редактирование любых комментариев	Возможность редактировать любые комментарии к инцидентам.		+
Редактирование своих комментариев	Возможность редактировать свои комментарии к инцидентам.		+	+	+
Создание вложений	Возможность добавлять вложения к инцидентам.		+	+	+
Удаление любых вложений	Возможность удалять любые вложения.		+	+
Удаление своих вложений	Возможность удалять свои вложения.		+	+	+
Редактирование улик	Возможность создания и редактирования улик.		+	+	+
Обновление обогащений	Возможность обновлять/запрашивать обогащения улик.		+	+
Создание отчёта	Возможность создавать, загружать и посылать отчёты инцидентов.		+	+	+
Добавление журналов к инциденту	Возможность добавлять журналы к инциденту.		+	+	+
Удалить все срабатывания/журналы из инцидента	Возможность удаления всех срабатываний/журналов из инцидента.		+	+
Удаление собственных срабатываний, журналов к инцидентам	Возможность удалять собственные срабатывания/журналы к инцидентам.		+	+	+
Создание схемы инцидента	Возможность создавать схемы инцидентов.		+
Редактирование схемы инцидента	Возможность редактировать схемы инцидентов.		+
Удаление схемы инцидента	Возможность удалять схемы инцидентов.		+
Установка схемы инцидентов по умолчанию	Возможность установки схем инцидентов по умолчанию.		+
Создание состояния инцидента	Возможность создавать состояния инцидентов.	+	+
Редактирование состояния инцидента	Возможность редактировать состояния инцидентов.	+	+
Удаление состояния инцидента	Возможность удалять состояния инцидентов.	+	+
Создание типа инцидента	Возможность создавать типы инцидентов.	+	+
Редактирование типа инцидента	Возможность редактировать типы инцидентов.	+	+
Удаление типа инцидента	Возможность удалять типы инцидентов.	+	+
Создание решения инцидента	Возможность создавать решения инцидентов.	+	+
Редактирование решения инцидента	Возможность редактировать решения инцидентов.	+	+
Удаление решения инцидентов	Возможность удалять решения инцидентов.	+	+
Создание правила аналитики	Возможность создавать правила аналитики.		+	+
Удаление правила аналитики	Возможность удалять правила аналитики.		+
Редактирование правила аналитики	Возможность редактировать правила аналитики.		+	+
Включение/выключение правила аналитики	Возможность включать/выключать правила аналитики.		+	+
Запуск правила аналитики	Возможность запустить правило аналитики не в режиме реального времени.		+
Создание действия реагирования	Возможность создавать действия реагирования.		+	+
Редактирование действия реагирования	Возможность редактировать действия реагирования.		+	+
Удаление действия реагирования	Возможность удалять действия реагирования.		+	+
Включение/выключение действия реагирования	Возможность включать/выключать действия реагирования.		+	+
Создание сенсора UserGate	Возможность создавать сенсоры UserGate.	+	+
Редактирование сенсора UserGate	Возможность редактировать сенсоры UserGate.	+	+
Включение/выключение сенсора UserGate	Возможность включать/выключать сенсоры UserGate.	+	+
Удаление сенсора UserGate	Возможность удалять сенсоры UserGate.	+	+
Создание сенсора SNMP	Возможность создавать сенсоры SNMP.	+	+
Редактирование сенсора SNMP	Возможность редактировать сенсоры SNMP.	+	+
Включение/выключение сенсора SNMP	Возможность включать/выключать сенсоры SNMP.	+	+
Удаление сенсора SNMP	Возможность удалять сенсоры SNMP.	+	+
Создание сенсора WMI	Возможность создавать сенсоры WMI.	+	+
Редактирование сенсора WMI	Возможность редактировать сенсоры WMI.	+	+
Включение/выключение сенсора WMI	Возможность включать/выключать сенсоры WMI.	+	+
Удаление сенсора WMI	Возможность удалять сенсоры WMI.	+	+
Добавление SNMP MIB файла	Возможность добавлять SNMP MIB файлы.	+	+
Удаление SNMP MIB файла	Возможность удалять SNMP MIB файлы.	+	+
Создание коннекторов	Возможность создавать коннекторы.	+	+
Редактирование коннекторов	Возможность редактирования коннекторов.	+	+
Удаление коннекторов	Возможность удалять коннекторы.	+	+
Создание правила Syslog	Возможность создавать правила Syslog.	+	+
Удаление правила Syslog	Возможность удалять правила Syslog.	+	+
Редактирование правил и коннектора Syslog	Возможность редактировать правила Syslog и настраивать Syslog.	+	+
Включение/выключение правила Syslog	Возможность включать/выключать правила Syslog.	+	+
Создание группы email	Возможность создавать почтовые адреса/почтовые группы.	+	+
Редактирование группы email	Возможность редактировать почтовые адреса/почтовые группы.	+	+
Удаление группы email	Возможность удалять почтовые адреса/почтовые группы.	+	+
Создание группы номеров телефонов	Возможность создавать номера телефонов/группы телефонных номеров.	+	+
Редактирование группы номеров телефонов	Возможность редактировать номера телефонов/группы телефонных номеров.	+	+
Удаление группы номеров телефонов	Возможность удалять номера телефонов/группы телефонных номеров.	+	+
Создание команд.	Возможность создавать команды к коннекторам.	+	+
Редактирование команд.	Возможность редактировать команды к коннекторам.	+	+
Удаление команд.	Возможность удалять команды к коннекторам.	+	+
Создание профиля оповещения	Возможность создавать профиль оповещения.	+	+
Редактирование профиля оповещения	Возможность редактировать профиль оповещения.	+	+
Удаление профиля оповещения	Возможность редактировать профиль оповещения.	+	+
Создание категории срабатывания	Возможность создавать категории срабатывания.	+	+
Редактирование категории срабатывания	Возможность редактировать категории срабатывания.	+	+
Удаление категории срабатывания	Возможность удалять категории срабатывания.	+	+
Редактирование настройки обогащения	Возможность редактировать настройки обогащений.	+	+
Включение/выключение сервиса обогащения	Возможность включать/выключать сервисы обогащений.	+	+
Создание правила нормализации	Возможность создавать правила нормализации журналов.	+	+
Редактирование правила нормализации	Возможность редактировать правила нормализации журналов.	+	+
Удаление правила нормализации	Возможность удалять правила нормализации журналов.	+	+
Включение/выключение правила нормализации	Возможность включать/выключать правила нормализации журналов.	+	+

Более подробно о ролевых разрешениях смотрите в разделе Роли и ролевые разрешения пользователей.

Примечание Не следует путать роли и ролевые разрешения с правами доступа на определенные объекты в консоли управления. Права доступа дают возможность просматривать или изменять определенные объекты, например, инциденты, а роли и ролевые разрешения позволяют пользователю производить определенные действия с элементами объектов, например, создать инцидент, назначить ему исполнителя и т.п. Для полноценной работы пользователя в системе, как правило, требуется делегирование ему прав доступа и определенных ролевых разрешений.

Администратор может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.

Для настройки этих параметров необходимо:

Наименование

Описание

Шаг 1. Настроить политику паролей

В разделе Администраторы ➜ Администраторы нажать кнопку Настроить.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

Сложный пароль — включает дополнительные параметры сложности пароля, задаваемые ниже, такие как — минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.
Число неверных попыток аутентификации — количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.
Время блокировки — время, на которое блокируется учетная запись.

ПримечаниеДополнительные параметры защиты учетной записи администратора применимы только к локальным учетным записям. Если в качестве администратора устройства выбирается учетная запись из внешнего каталога (например, LDAP), то параметры защиты для такой учетной записи определяются этим внешним каталогом.

В разделе Администраторы ➜ Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования LogAn. При необходимости любую из сессий администраторов можно закрыть (сбросить).

Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8010).

ПримечаниеНе рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети Интернет.

Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.