Настройка устройства
Раздел Настройки определяет базовые установки SIEM:
Компания UserGate постоянно работает над улучшением качества своего программного обеспечения и предлагает обновления продукта SIEM в рамках подписки на модуль лицензии Security Update (подробно о лицензировании смотрите в разделе Лицензирование SIEM). При наличии обновлений в разделе Управление устройством отобразится соответствующее оповещение. Обновление продукта может занять довольно длительное время, рекомендуется планировать установку обновлений с учетом возможного времени простоя SIEM. Для установки обновлений необходимо выполнить следующие действия:
Раздел Управление устройством определяет следующие установки SIEM:
ДиагностикаВ данном разделе задаются параметры диагностики сервера, необходимые службе технической поддержки SIEM при решении возможных проблем.
Операции с серверомДанный раздел позволяет произвести следующие операции с сервером:
Управление резервным копированиемДанный раздел позволяет управлять резервным копированием UserGate: настройка правил экспорта конфигурации, создание резервной копии, восстановление устройства UserGate. Для создания резервной копии необходимо выполнить следующие действия:
Для восстановления состояния устройства необходимо выполнить следующие действия:
Дополнительно администратор может настроить сохранение файлов на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:
Экспорт и импорт настроекАдминистратор имеет возможность сохранить текущие настройки SIEM в файл и впоследствии восстановить эти настройки на этом же или другом сервере SIEM. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки. ПримечаниеЭкспорт/импорт настроек не восстанавливает состояние интерфейсов и информацию о лицензии. После окончания процедуры импорта необходимо повторно зарегистрировать SIEM с помощью имеющегося ПИН-кода и настроить интерфейсы.
Для экспорта настроек необходимо выполнить следующие действия:
Для применения созданных ранее настроек необходимо выполнить следующие действия:
Дополнительно администратор может настроить сохранение настроек на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:
Доступ к веб-консоли SIEM регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. ПримечаниеПри первоначальной настройке SIEM создается локальный суперпользователь Admin.
Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:
При создании профиля доступа администратора необходимо указать следующие параметры:
Ролевые разрешения для ролей, созданных в системе по умолчанию:
Более подробно о ролевых разрешениях смотрите в разделе Роли и ролевые разрешения пользователей. Примечание Не следует путать роли и ролевые разрешения с правами доступа на определенные объекты в консоли управления. Права доступа дают возможность просматривать или изменять определенные объекты, например, инциденты, а роли и ролевые разрешения позволяют пользователю производить определенные действия с элементами объектов, например, создать инцидент, назначить ему исполнителя и т.п. Для полноценной работы пользователя в системе, как правило, требуется делегирование ему прав доступа и определенных ролевых разрешений.
Администратор может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации. Для настройки этих параметров необходимо:
ПримечаниеДополнительные параметры защиты учетной записи администратора применимы только к локальным учетным записям. Если в качестве администратора устройства выбирается учетная запись из внешнего каталога (например, LDAP), то параметры защиты для такой учетной записи определяются этим внешним каталогом.
В разделе Администраторы ➜ Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования SIEM. При необходимости любую из сессий администраторов можно закрыть (сбросить). Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8010). ПримечаниеНе рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети Интернет.
Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон. SIEM использует защищенный протокол HTTPS для управления устройством. Для выполнения данной функции LogAn использует сертификат типа SSL веб-консоли. Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:
SIEM позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации. Для экспорта сертификата необходимо:
ПримечаниеРекомендуется сохранять сертификат для возможности его последующего восстановления.
ПримечаниеВ целях безопасности SIEM не разрешает экспорт приватных ключей сертификатов.
Для импорта сертификата необходимо иметь файлы сертификата и — опционально — приватного ключа сертификата и выполнить следующие действия:
Серверы аутентификации — это внешние источники учетных записей пользователей для авторизации в веб-консоли управления UserGate SIEM. SIEM поддерживает следующие серверы аутентификации: LDAP-коннектор, RADIUS и TACACS+. LDAP-коннекторLDAP-коннектор позволяет:
Для создания LDAP-коннектора необходимо нажать на кнопку Добавить, выбрать Добавить LDAP-коннектор и указать следующие параметры:
После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения. Настройка LDAP-коннектора завершена. Для входа в консоль пользователям LDAP необходимо указывать имя в формате: domain\user/system или user@domain/system Сервер аутентификации RADIUSСервер аутентификации RADIUS позволяет производить авторизацию пользователей в веб-консоли UserGate, который выступает в роли RADIUS-клиента. При авторизации через RADIUS-сервер UserGate посылает на серверы RADIUS информацию с именем и паролем пользователя, а RADIUS-сервер отвечает, успешно прошла аутентификация или нет. Для добавления сервера аутентификации RADIUS необходимо нажать Добавить, выбрать Добавить RADIUS-сервер и указать следующие параметры:
Для авторизации пользователей в веб-интерфейсе UserGate с помощью сервера RADIUS необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей читайте в разделе Профили аутентификации. Сервер аутентификации TACACS+Сервер TACACS+ позволяет производить авторизацию пользователей в консоли администрирования UserGate. При использовании сервера UserGate передаёт на серверы аутентификации информацию с именем и паролем пользователя, после чего серверы TACACS+ отвечают, успешно прошла аутентификация или нет. Для добавления сервера аутентификации TACACS+ необходимо нажать Добавить, выбрать Добавить TACACS+ сервер и указать следующие параметры:
Для авторизации пользователей в веб-интерфейсе UserGate с помощью сервера TACACS+ необходимо настроить профиль аутентификации. Подробнее о создании и настройке профилей читайте в разделе Профили аутентификации. Профиль позволяет определить набор способов авторизации пользователей в консоли администрирования UserGate. При создании или настройке профиля достаточно указать:
Роль пользователя — это набор ролевых разрешений. Ролевое разрешение — это возможность администратору совершать определенные действия, например, добавлять или удалять вложение из созданного инцидента, создавать правило срабатывания, создать или закрыть инцидент и т.д. Роли назначаются профилям администраторов, которые присваиваются администраторам. Подробно о создании администраторов и их профилей смотрите в разделе Администраторы. Чтобы создать роль и назначить ей определенные разрешения необходимо выполнить следующие действия:
Для пользователей могут быть указаны следующие ролевые разрешения.
После создания роли, она может быть использована для назначения в профили администраторов. В разделе Каталоги пользователей можно добавить LDAP-коннектор для организации доступа серверов SIEM к серверу AD. Доступ к AD позволяет при необходимости обновить информацию об имени пользователя в журналах, импортированных из различных сенсоров. Для создания LDAP-коннектора необходимо нажать на кнопку Добавить и указать следующие параметры:
После заполнения параметров LDAP-коннектора можно проверить корректность конфигурации, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения. Для расширения системного раздела с сохранением конфигурации и данных узла UserGate необходимо выполнить следующие шаги:
Примечание Расширение системного раздела путем увеличения размера имеющегося диска виртуальной машины возможно только при сбросе узла до заводских настроек, т.е. при выполнении операции factory reset.
|