Начиная с версии 7.5.0 в веб-интерфейсе UserGate Management Center (UGMC) администраторы управляемой области могут централизованно управлять подключенными UserGate SIEM, а также настраивать параметры этих устройств. Для этого необходимо выполнить следующее:

1) создать шаблоны UserGate SIEM;

2) настроить параметры шаблонов UserGate SIEM;

3) создать группу шаблонов UserGate SIEM;

4) настроить интеграцию UserGate SIEM с UGMC.

Подробнее об объектах, используемых в управляемой области UGMC, таких как шаблоны, группы шаблонов и управляемые устройства — в разделе «Шаблоны и группы шаблонов».

Создание шаблонов UserGate SIEM

Рекомендуется создавать отдельные шаблоны для разных категорий параметров, например такие, как шаблон сетевых параметров или шаблон библиотек. Это упростит дальнейшую работу с шаблонами при их объединении в группы.

Чтобы создать шаблон UserGate SIEM:

1. В разделе Управление областью ➜ SIEM ➜ Шаблоны нажмите Добавить.

2. Укажите название и при необходимости описание шаблона.

3. Нажмите Сохранить.

Созданный шаблон отобразится в списке шаблонов раздела. Теперь вы можете перейти к настройке его параметров. Параметры шаблона распространятся на все управляемые устройства UserGate SIEM, к которым будет применен шаблон в составе группы.

Настройка параметров шаблонов UserGate SIEM

Чтобы настроить параметры шаблона UserGate SIEM:

В разделе SIEM-конфигурация для объекта Шаблон в выпадающем списке выберите шаблон, параметры которого необходимо настроить.

Настройка параметров шаблона выполняется в разделах боковой панели аналогично настройке параметров локального UserGate SIEM (см. Руководство администратора UserGate SIEM).

При настройке параметров шаблона UserGate SIEM следует учитывать следующее:

Значения параметров в шаблоне имеют более высокий приоритет, чем указанные администратором UserGate SIEM локально. Если значение параметра не указано ни в шаблоне, ни на стороне UserGate SIEM, будет использоваться значение по умолчанию.
После применения параметров шаблона к управляемым устройствам администраторы могут изменять базовые параметры и параметры сетевых интерфейсов локально на каждом UserGate SIEM. Подробная информация об этих параметрах приведена в разделах «Настройки» и «Настройка интерфейсов» Руководства администратора UserGate SIEM.
При настройке параметров сетевых интерфейсов в шаблоне отсутствует возможность конфигурирования интерфейса port0. Первым физическим интерфейсом, доступным для настройки в шаблоне, будет port1.

Параметры интерфейса port0 настраиваются администратором UserGate SIEM при первоначальной настройке продукта. По умолчанию этот интерфейс используется для подключения UserGate SIEM к UGMC.

При необходимости можно сконфигурировать сетевые интерфейсы локально на UserGate SIEM, для этого в параметрах выбранного интерфейса шаблона должен быть установлен флажок Настраивается на устройстве.

Если вы создаете интерфейс в шаблоне, этот интерфейс автоматически будет добавлен в UserGate SIEM. При удалении интерфейса из шаблона он не удаляется на стороне UserGate SIEM — если необходимо удалить интерфейс на стороне UserGate SIEM, требуется сделать это вручную.

Библиотеки элементов шаблона (например, библиотеки IP-адресов, URL-списков, а также типов контента) по умолчанию не содержат данных, в отличие от библиотек UserGate SIEM. Перед настройкой политик в шаблоне необходимо добавить элементы библиотек. Данные библиотек не синхронизируются: если добавленные элементы не используются в политиках шаблона, то они не будут добавлены в библиотеки UserGate SIEM.

Создание групп шаблонов UserGate SIEM

После создания и настройки шаблонов UserGate SIEM их необходимо объединить в группы. Группа шаблонов позволяет создать конфигурацию параметров, которая применяется к одному или нескольким управляемым устройствам. Эта конфигурация формируется в результате слияния параметров всех шаблонов, входящих в группу, с учетом их расположения.

Чтобы создать группу шаблонов UserGate SIEM:

1. В разделе Управление областью ➜ SIEM ➜ Группы шаблонов нажмите Добавить.

2. На вкладке Общие укажите название и при необходимости описание группы шаблонов.

3. На вкладке Шаблоны нажмите Добавить:

выберите шаблон в списке и добавьте его в группу по кнопке Добавить;
повторите действие для всех шаблонов, которые требуется добавить в группу;
нажмите Закрыть.

Добавленные шаблоны отобразятся в списке. Порядок расположения шаблонов в списке соответствует порядку применения параметров шаблонов в конфигурации. При необходимости вы можете изменять порядок с помощью кнопок Наверх, Выше, Ниже, Вниз.

Вы также можете создавать и добавлять новые шаблоны по кнопке Создать и добавить новый объект.

4. Нажмите Сохранить.

Созданная группа шаблонов отобразится в таблице Группы шаблонов. Теперь вы можете перейти к настройке интеграции UserGate SIEM с UGMC.

Настройка интеграции UserGate SIEM с UGMC

Настройка интеграции с UGMC осуществляется путем создания в управляемой области логического объекта — устройства, к которому будут привязаны реальные UserGate SIEM при их подключении к UGMC. Каждый такой логический объект во включенном состоянии использует одну лицензию на управляемое устройство.

С помощью одного устройства, созданного в управляемой области, вы можете настроить интеграцию с UGMC одиночного UserGate SIEM или кластера. Для UserGate SIEM, объединенных в кластер, достаточно подключить к UGMC первый узел, остальные узлы будут подключены автоматически при их добавлении в кластер.

Для настройки интеграции UserGate SIEM с UGMC необходимо:

1) создать устройство в управляемой области;

2) подключить UserGate SIEM к UGMC.

Все UserGate SIEM, для которых настроена интеграция с UGMC, называются управляемыми устройствами.

Создание устройства в управляемой области

ПримечаниеИнструкция ниже выполняется администратором управляемой области в веб-интерфейсе UGMC.

Чтобы создать устройство в управляемой области:

1. В разделе Управление областью ➜ SIEM ➜ Устройства нажмите Добавить.

2. Укажите параметры управляемого устройства:

Название и при необходимости описание.
Группу шаблонов, параметры которой должны применяться к подключенным UserGate SIEM.
Режим синхронизации параметров между группой шаблонов и подключенными UserGate SIEM.

В процессе синхронизации к управляемым устройствам применяется конфигурация параметров группы шаблонов. По умолчанию указан автоматический режим. В этом режиме параметры UserGate SIEM синхронизируются с конфигурацией параметров при каждом ее изменении.

При необходимости синхронизацию можно отключить. Это может понадобиться, например, если нужно одновременно изменить параметры нескольких шаблонов группы. В этом случае вы можете применить сразу все внесенные изменения, выполнив синхронизацию вручную по кнопке Запросить синхронизацию.

3. Нажмите Сохранить.

4. Выберите созданное устройство в списке и получите код для подключения, нажав Действия ➜ Показать уникальный код устройства.

5. Сохраните код для подключения UserGate SIEM.

В интерфейсе UGMC вы можете просматривать список созданных устройств.

Подключение UserGate SIEM к UGMC

Вы можете подключить UserGate SIEM к UGMC при первоначальной настройке продукта по кнопке Настроить через UserGate Management Center, а также при его дальнейшем использовании (см. инструкцию ниже).

Перед выполнением инструкции необходимо в свойствах зоны для подключения UserGate SIEM разрешить использование сервиса UserGate Management Center. Действие выполняется администратором UGMC в разделе Центр управления ➜ Зоны. Также необходимо убедиться, что между серверами UserGate SIEM и UGMC есть сетевая связность.

ПримечаниеИнструкция ниже выполняется в веб-интерфейсе UserGate SIEM.

Чтобы подключить UserGate SIEM к UGMC:

1. В разделе Настройки ➜ Консоль администратора ➜ Настройки в блоке Агент UserGate Management Center нажмите Настроить.

2. Укажите IP-адрес UGMC (например, 192.0.2.4) и код для подключения UserGate SIEM, сгенерированный в веб-интерфейсе UGMC.

3. Нажмите Сохранить.

Статус подключения отобразится в блоке Агент UserGate Management Center в виде цветового индикатора:

Зеленый — соединение с сервером UGMC установлено, интеграция выполняется.
Красный — соединение с сервером UGMC не установлено, UserGate SIEM отключен или на нем остановлен агент UserGate Management Center.

При успешном подключении конфигурация параметров группы шаблонов будет применена к UserGate SIEM. Параметры этой конфигурации (за исключением базовых параметров и параметров сетевых интерфейсов) будут недоступны для изменения в UserGate SIEM.

Кроме того, вы можете просматривать информацию о подключении UserGate SIEM в веб-интерфейсе UGMC в разделе Управление областью ➜ SIEM ➜ Устройства. Для каждого устройства в управляемой области отображаются статус и дата последнего подключения привязанных к нему UserGate SIEM, а также дополнительная информация, включая объем используемой памяти и время непрерывной работы UserGate SIEM.

В интерфейсе UGMC вы можете управлять подключенными UserGate SIEM.

Просмотр списка устройств в управляемой области

Раздел Управление областью ➜ SIEM ➜ Устройства содержит список устройств в управляемой области. В этом списке вы можете:

Включать и отключать устройства по кнопкам Включить и Отключить соответственно. При отключении устройства для всех привязанных к нему UserGate SIEM будут разорваны соединения с сервером UGMC.
Удалять устройства по кнопке Удалить.
Изменять параметры устройства по кнопке Редактировать.
Просматривать информацию об устройстве в отдельном окне по кнопке Показать детальную информацию.

Кроме того, вы можете настраивать отображение устройств в списке с помощью следующих фильтров:

Все. Все устройства (фильтр по умолчанию).
Включенные и Выключенные. Устройства в выбранном состоянии.
Онлайн. Для привязанных к устройствам UserGate SIEM установлено соединение с сервером UGMC.
Офлайн. Для привязанных к устройствам UserGate SIEM не установлено соединение с сервером UGMC.
Не привязанные. Устройства, к которым не привязаны UserGate SIEM.
Консистентные устройства. Устройства, к которым привязаны UserGate SIEM с параметрами, синхронизированными с конфигурацией параметров группы шаблонов.
Неконсистентные устройства. Устройства, к которым привязаны UserGate SIEM с параметрами, несинхронизированными с конфигурацией параметров группы шаблонов.

Вы также можете управлять синхронизацией параметров между группой шаблонов и UserGate SIEM, для этого доступны ручной и автоматический режимы. Вручную вы можете запускать синхронизацию сразу для всех управляемых устройств (по кнопке Действия ➜ Запустить полную синхронизацию) или только для выбранных (по кнопке Запросить синхронизацию).

В автоматическом режиме параметры управляемого устройства синхронизируются с конфигурацией параметров группы шаблонов при каждом ее изменении. Кроме того, при автоматической синхронизации подключенный UserGate SIEM отправляет UGMC сведения о своем состоянии каждые 20 секунд, в результате чего обновляется время последней синхронизации для устройства.

Управление подключенными UserGate SIEM

В разделе Управление областью ➜ SIEM ➜ Устройства вы можете управлять подключенными UserGate SIEM:

Переходить в веб-интерфейс UserGate SIEM по кнопке Открыть консоль.
Перезагружать и выключать питание UserGate SIEM по ссылкам Перезагрузить и Выключить соответственно.
Изменять параметры UserGate SIEM, посредством настройки параметров шаблонов, входящих в примененную конфигурацию.