Начиная с версии 7.5.0 в веб-интерфейсе UserGate Management Center (UGMC) администраторы управляемой области могут централизованно управлять подключенными UserGate SIEM, а также настраивать параметры этих устройств. Для этого необходимо выполнить следующее:
1) создать шаблоны UserGate SIEM;
2) настроить параметры шаблонов UserGate SIEM;
3) создать группу шаблонов UserGate SIEM;
4) настроить интеграцию UserGate SIEM с UGMC.
Подробнее об объектах, используемых в управляемой области UGMC, таких как шаблоны, группы шаблонов и управляемые устройства — в разделе «Шаблоны и группы шаблонов».
Рекомендуется создавать отдельные шаблоны для разных категорий параметров, например такие, как шаблон сетевых параметров или шаблон библиотек. Это упростит дальнейшую работу с шаблонами при их объединении в группы.
Чтобы создать шаблон UserGate SIEM:
1. В разделе Управление областью ➜ SIEM ➜ Шаблоны нажмите Добавить.
2. Укажите название и при необходимости описание шаблона.
3. Нажмите Сохранить.
Созданный шаблон отобразится в списке шаблонов раздела. Теперь вы можете перейти к настройке его параметров. Параметры шаблона распространятся на все управляемые устройства UserGate SIEM, к которым будет применен шаблон в составе группы.
Чтобы настроить параметры шаблона UserGate SIEM:
В разделе SIEM-конфигурация для объекта Шаблон в выпадающем списке выберите шаблон, параметры которого необходимо настроить.
Настройка параметров шаблона выполняется в разделах боковой панели аналогично настройке параметров локального UserGate SIEM (см. Руководство администратора UserGate SIEM).
При настройке параметров шаблона UserGate SIEM следует учитывать следующее:
Значения параметров в шаблоне имеют более высокий приоритет, чем указанные администратором UserGate SIEM локально. Если значение параметра не указано ни в шаблоне, ни на стороне UserGate SIEM, будет использоваться значение по умолчанию.
После применения параметров шаблона к управляемым устройствам администраторы могут изменять базовые параметры и параметры сетевых интерфейсов локально на каждом UserGate SIEM. Подробная информация об этих параметрах приведена в разделах «Настройки» и «Настройка интерфейсов» Руководства администратора UserGate SIEM.
При настройке параметров сетевых интерфейсов в шаблоне отсутствует возможность конфигурирования интерфейса port0. Первым физическим интерфейсом, доступным для настройки в шаблоне, будет port1.
Параметры интерфейса port0 настраиваются администратором UserGate SIEM при первоначальной настройке продукта. По умолчанию этот интерфейс используется для подключения UserGate SIEM к UGMC.
При необходимости можно сконфигурировать сетевые интерфейсы локально на UserGate SIEM, для этого в параметрах выбранного интерфейса шаблона должен быть установлен флажок Настраивается на устройстве.
Если вы создаете интерфейс в шаблоне, этот интерфейс автоматически будет добавлен в UserGate SIEM. При удалении интерфейса из шаблона он не удаляется на стороне UserGate SIEM — если необходимо удалить интерфейс на стороне UserGate SIEM, требуется сделать это вручную.
Библиотеки элементов шаблона (например, библиотеки IP-адресов, URL-списков, а также типов контента) по умолчанию не содержат данных, в отличие от библиотек UserGate SIEM. Перед настройкой политик в шаблоне необходимо добавить элементы библиотек. Данные библиотек не синхронизируются: если добавленные элементы не используются в политиках шаблона, то они не будут добавлены в библиотеки UserGate SIEM.
После создания и настройки шаблонов UserGate SIEM их необходимо объединить в группы. Группа шаблонов позволяет создать конфигурацию параметров, которая применяется к одному или нескольким управляемым устройствам. Эта конфигурация формируется в результате слияния параметров всех шаблонов, входящих в группу, с учетом их расположения.
Чтобы создать группу шаблонов UserGate SIEM:
1. В разделе Управление областью ➜ SIEM ➜ Группы шаблонов нажмите Добавить.
2. На вкладке Общие укажите название и при необходимости описание группы шаблонов.
3. На вкладке Шаблоны нажмите Добавить:
выберите шаблон в списке и добавьте его в группу по кнопке Добавить;
повторите действие для всех шаблонов, которые требуется добавить в группу;
нажмите Закрыть.
Добавленные шаблоны отобразятся в списке. Порядок расположения шаблонов в списке соответствует порядку применения параметров шаблонов в конфигурации. При необходимости вы можете изменять порядок с помощью кнопок Наверх, Выше, Ниже, Вниз.
Вы также можете создавать и добавлять новые шаблоны по кнопке Создать и добавить новый объект.
4. Нажмите Сохранить.
Созданная группа шаблонов отобразится в таблице Группы шаблонов. Теперь вы можете перейти к настройке интеграции UserGate SIEM с UGMC.
Настройка интеграции с UGMC осуществляется путем создания в управляемой области логического объекта — устройства, к которому будут привязаны реальные UserGate SIEM при их подключении к UGMC. Каждый такой логический объект во включенном состоянии использует одну лицензию на управляемое устройство.
С помощью одного устройства, созданного в управляемой области, вы можете настроить интеграцию с UGMC одиночного UserGate SIEM или кластера. Для UserGate SIEM, объединенных в кластер, достаточно подключить к UGMC первый узел, остальные узлы будут подключены автоматически при их добавлении в кластер.
Для настройки интеграции UserGate SIEM с UGMC необходимо:
1) создать устройство в управляемой области;
2) подключить UserGate SIEM к UGMC.
Все UserGate SIEM, для которых настроена интеграция с UGMC, называются управляемыми устройствами.
Чтобы создать устройство в управляемой области:
1. В разделе Управление областью ➜ SIEM ➜ Устройства нажмите Добавить.
2. Укажите параметры управляемого устройства:
Название и при необходимости описание.
Группу шаблонов, параметры которой должны применяться к подключенным UserGate SIEM.
Режим синхронизации параметров между группой шаблонов и подключенными UserGate SIEM.
В процессе синхронизации к управляемым устройствам применяется конфигурация параметров группы шаблонов. По умолчанию указан автоматический режим. В этом режиме параметры UserGate SIEM синхронизируются с конфигурацией параметров при каждом ее изменении.
При необходимости синхронизацию можно отключить. Это может понадобиться, например, если нужно одновременно изменить параметры нескольких шаблонов группы. В этом случае вы можете применить сразу все внесенные изменения, выполнив синхронизацию вручную по кнопке Запросить синхронизацию.
3. Нажмите Сохранить.
4. Выберите созданное устройство в списке и получите код для подключения, нажав Действия ➜ Показать уникальный код устройства.
5. Сохраните код для подключения UserGate SIEM.
В интерфейсе UGMC вы можете просматривать список созданных устройств.
Вы можете подключить UserGate SIEM к UGMC при первоначальной настройке продукта по кнопке Настроить через UserGate Management Center, а также при его дальнейшем использовании (см. инструкцию ниже).
Перед выполнением инструкции необходимо в свойствах зоны для подключения UserGate SIEM разрешить использование сервиса UserGate Management Center. Действие выполняется администратором UGMC в разделе Центр управления ➜ Зоны. Также необходимо убедиться, что между серверами UserGate SIEM и UGMC есть сетевая связность.
Чтобы подключить UserGate SIEM к UGMC:
1. В разделе Настройки ➜ Консоль администратора ➜ Настройки в блоке Агент UserGate Management Center нажмите Настроить.
2. Укажите IP-адрес UGMC (например, 192.0.2.4) и код для подключения UserGate SIEM, сгенерированный в веб-интерфейсе UGMC.
3. Нажмите Сохранить.
Статус подключения отобразится в блоке Агент UserGate Management Center в виде цветового индикатора:
Зеленый — соединение с сервером UGMC установлено, интеграция выполняется.
Красный — соединение с сервером UGMC не установлено, UserGate SIEM отключен или на нем остановлен агент UserGate Management Center.
При успешном подключении конфигурация параметров группы шаблонов будет применена к UserGate SIEM. Параметры этой конфигурации (за исключением базовых параметров и параметров сетевых интерфейсов) будут недоступны для изменения в UserGate SIEM.
Кроме того, вы можете просматривать информацию о подключении UserGate SIEM в веб-интерфейсе UGMC в разделе Управление областью ➜ SIEM ➜ Устройства. Для каждого устройства в управляемой области отображаются статус и дата последнего подключения привязанных к нему UserGate SIEM, а также дополнительная информация, включая объем используемой памяти и время непрерывной работы UserGate SIEM.
В интерфейсе UGMC вы можете управлять подключенными UserGate SIEM.
Раздел Управление областью ➜ SIEM ➜ Устройства содержит список устройств в управляемой области. В этом списке вы можете:
Включать и отключать устройства по кнопкам Включить и Отключить соответственно. При отключении устройства для всех привязанных к нему UserGate SIEM будут разорваны соединения с сервером UGMC.
Удалять устройства по кнопке Удалить.
Изменять параметры устройства по кнопке Редактировать.
Просматривать информацию об устройстве в отдельном окне по кнопке Показать детальную информацию.
Кроме того, вы можете настраивать отображение устройств в списке с помощью следующих фильтров:
Все. Все устройства (фильтр по умолчанию).
Включенные и Выключенные. Устройства в выбранном состоянии.
Онлайн. Для привязанных к устройствам UserGate SIEM установлено соединение с сервером UGMC.
Офлайн. Для привязанных к устройствам UserGate SIEM не установлено соединение с сервером UGMC.
Не привязанные. Устройства, к которым не привязаны UserGate SIEM.
Консистентные устройства. Устройства, к которым привязаны UserGate SIEM с параметрами, синхронизированными с конфигурацией параметров группы шаблонов.
Неконсистентные устройства. Устройства, к которым привязаны UserGate SIEM с параметрами, несинхронизированными с конфигурацией параметров группы шаблонов.
Вы также можете управлять синхронизацией параметров между группой шаблонов и UserGate SIEM, для этого доступны ручной и автоматический режимы. Вручную вы можете запускать синхронизацию сразу для всех управляемых устройств (по кнопке Действия ➜ Запустить полную синхронизацию) или только для выбранных (по кнопке Запросить синхронизацию).
В автоматическом режиме параметры управляемого устройства синхронизируются с конфигурацией параметров группы шаблонов при каждом ее изменении. Кроме того, при автоматической синхронизации подключенный UserGate SIEM отправляет UGMC сведения о своем состоянии каждые 20 секунд, в результате чего обновляется время последней синхронизации для устройства.
В разделе Управление областью ➜ SIEM ➜ Устройства вы можете управлять подключенными UserGate SIEM:
Переходить в веб-интерфейс UserGate SIEM по кнопке Открыть консоль.
Перезагружать и выключать питание UserGate SIEM по ссылкам Перезагрузить и Выключить соответственно.
Изменять параметры UserGate SIEM, посредством настройки параметров шаблонов, входящих в примененную конфигурацию.