Настройка политик агентов

Политики агентов настраиваются в разделе Политика.

Чтобы настроить политики группы агентов:

  1. Выберите из выпадающего списка в верхней части раздела группу агентов, для которой требуется настроить политики.

  2. Задайте настройки политик.

    Вы можете импортировать уже готовые настройки политик из существующего файла формата JSON или YAML. Для этого нажмите на кнопку Импорт (download) в правой верхней части рабочей области и выберите требуемый файл.

    Вы можете экспортировать заданные настройки политик в файл формата JSON или YAML. Для этого нажмите на кнопку Экспорт (upload) в правой верхней части рабочей области и выберите формат файла экспорта.

  3. Чтобы сохранить заданные настройки, нажмите на кнопку Сохранить и применить.

Настройку политик следует выполнять аккуратно. Неправильная настройка политики может привести к чрезмерной нагрузке на агентах.

В системе доступна настройка следующих политик:

Вход/выход пользователей

Эта политика отслеживает вход пользователей в систему и их выход из системы. Политика работает в ОС Linux.

Чтобы включить политику, установите переключатель Вход/выход пользователей (Linux) в активное положение.

Создание процессов

Эта политика отслеживает процессы, запущенные пользователями или системой. Политика работает в ОС Linux.

Чтобы включить политику, установите переключатель Создание процессов (Linux) в активное положение.

Добавление или изменение сервисов

Эта политика отслеживает добавление и изменение сервисных файлов .systemd, .timer и rc. Политика работает в ОС Linux.

Чтобы включить политику, установите переключатель Добавление или изменение сервисов (Linux) в активное положение.

Управление пользователями

Эта политика отслеживает изменения пользователей, групп пользователей, прав sudo и настроек окружения (bashrc). Политика работает в ОС Linux.

Чтобы включить политику, установите переключатель Управление пользователями (Linux) в активное положение.

Sysmon

Эта политика запускает модуль Sysmon. Модуль Sysmon представляет собой инструмент для мониторинга и анализа системы Windows. Он предоставляет детальную информацию о процессах, сетевых подключениях, файловых операциях, изменениях реестра и других событиях на компьютере.

Чтобы включить и настроить политику:

  1. Установите переключатель Sysmon (Windows) в активное положение.

  2. Нажмите на появившуюся кнопку Политика Sysmon. Система отобразит окно редактирования конфигурации политики.

  3. Настройте конфигурацию политики.

    В окне доступны кнопки:

    • Импорт (download) — позволяет импортировать конфигурацию политики из существующего файла формата XML.

    • Экспорт (upload) — позволяет экспортировать текущую конфигурацию политики в файл формата XML.

    • Конфиг. по умолчанию (download) — позволяет установить конфигурацию политики по умолчанию.

  4. Чтобы сохранить заданные настройки конфигурации политики, нажмите на кнопку Сохранить.

Обнаружение IoC

Эта политика проводит мониторинг файлов по указанным путям с последующей проверкой хешей в R-Vision TIP. Иными словами, политика разрешает для выбранной группы агентов проведение мониторинга всех файлов, создаваемых на хостах, где установлены агенты, с помощью интегрированной с R-Vision Endpoint платформы R-Vision TIP. При наличии индикатора компрометации (IoC) в интегрированной с R-Vision Endpoint системе R-Vision SOAR будет создан соответствующий инцидент.

Чтобы включить политику:

  1. Установите переключатель Обнаружение IoC (Linux/Windows/macOS) в активное положение.

  2. Задайте пути к требуемым файлам в поле Перечень путей.

Сервис WatchDog

Эта политика запускает сервис WatchDog, предназначенный для отслеживания процессов на агенте. При работающем сервисе остановка контролируемых процессов недоступна.

Чтобы включить и настроить политику:

  1. Установите переключатель Сервис WatchDog (Linux / Windows / macOS) в активное положение.

  2. По умолчанию отключение сервиса WatchDog выполняется без пароля. Чтобы при попытке отключить сервис запрашивался пароль, установите флажок Пароль и задайте нужный пароль в появившемся поле.

Чтение файлов/выполнение команд

Эта политика используется для настройки сбора данных журнала из файлов, событий Windows и вывода команд.

Значимые события (например, ошибки при работе приложений) записываются системой, под которой работает агент, в специальные журналы событий. Также данные можно собирать из файлов в системе агента и с помощью специальных команд.

При настройке политики группы агентов требуется указать, каким способом и по какому пути агенты текущей группы должны собирать данные.

Чтобы настроить политику:

  1. В секции Чтение файлов/выполнение команд нажмите на кнопку Настроить. Система отобразит окно редактирования конфигурации.

  2. Чтобы добавить тип журнала, нажмите на кнопку Добавить (plus). Появится строка с набором полей для настройки нового типа журнала.

  3. Выберите требуемый тип журнала из выпадающего списка Тип журнала. Доступные типы:

    • audit — используется для событий из инструмента Linux Audit Daemon (auditd). Объединяет последовательные журналы с одинаковым идентификатором в одно событие.

    • command — используется для чтения вывода команды, запущенной пользователем root и указанной в теге команды. Каждая строка вывода обрабатывается как отдельный журнал.

      При выборе этого типа становятся доступны настройки:

      • Частота — частота использования команды.

      • Команда — текст команды. Например, команда last -n 5 отобразит список последних 5 терминальных сессий.

    • djb-multilog — используется для чтения файлов в формате, созданном сервисным регистратором с несколькими журналами в daemontools.

    • eventchannel — используется для журналов событий Windows, получает события в формате JSON, контролирует все каналы, указанные в файле конфигурации, и показывает все включенные в них поля. Может использоваться для мониторинга стандартных журналов событий Windows, а также журналов приложений и служб.

      При выборе этого типа становится доступна настройка Фильтр — запрос на языке XPath, позволяющий указать критерии, по которым будут отфильтрованы собираемые данные.

      Например, запрос вида Event/System[EventID != 5145 and EventID != 5156] позволит собрать из папки event/system в системе, где установлен агент, все события, за исключением событий с идентификаторами 5145 и 5156.

    • eventfile — используется для сбора событий Windows из файлов формата EVTX.

    • eventlog — используется для классического формата журнала событий Windows.

    • full_command — используется для чтения вывода команды, запущенной пользователем root и указанной в теге команды. Весь вывод будет рассматриваться как один элемент журнала.

      При выборе этого типа становятся доступны настройки:

      • Частота — частота использования команды.

      • Команда — текст команды.

    • iis — используется для IIS (веб-сервера Windows).

    • json — используется для однострочных JSON-файлов и позволяет добавлять настраиваемые метки к JSON-событиям.

    • macos — используется для журналов системы логирования macOS ULS и получает журналы в формате системного журнала.

    • mysql_log — используется для журналов MySQL. Не поддерживает многострочные журналы.

    • nmapg — используется для мониторинга файлов, соответствующих выводу данных в grepable формате при использовании утилиты nmap.

    • postgresql_log — используется для журналов PostgreSQL. Не поддерживает многострочные журналы.

    • snort-full — используется для формата полного вывода системы обнаружения вторжений Snort.

    • squid — используется для журналов программного пакета squid.

    • syslog — используется для простых текстовых файлов в формате, подобном системному журналу.

    Для каждого типа журнала, кроме command и full_command, нужно указать путь, используемый системой при сборе данных на агенте, в поле Путь.

  4. Чтобы удалить ненужные типы журналов, нажмите на кнопку trash справа от их строк настроек.

  5. Чтобы сохранить заданные настройки сбора данных с агентов в рамках политики, нажмите на кнопку Сохранить.

Доступ к объектам

Эта политика отслеживает действия с объектами в указанных путях. Отслеживаются чтение, запись и запуск объектов, а также изменение прав доступа к ним. Политика работает в ОС Linux.

Чтобы включить и настроить политику:

  1. Установите переключатель Доступ к объектам (Linux) в активное положение.

  2. Задайте перечень путей к объектам. Для этого:

    1. Нажмите на кнопку edit. Система отобразит окно редактирования конфигурации.

    2. Чтобы добавить путь, нажмите на кнопку Добавить (plus). Появится строка настройки нового пути.

    3. Укажите путь и задайте права доступа к объектам, хранящимся по этому пути, посредством установки соответствующих флажков:

      • w (Writing) — запись;

      • r (Reading) — чтение;

      • x (Execution) — выполнение;

      • a (Attributes) — атрибуты.

    4. Чтобы удалить ненужные пути, нажмите на кнопку trash справа от их строк настроек.

    5. Чтобы сохранить заданные настройки доступа к объектам, нажмите на кнопку Сохранить.

  3. Задайте при необходимости шаблоны исключений:

    • Исключения по путям — исключают из рассмотрения указанные пути.

    • Исключения по имени файлов — исключают из рассмотрения файлы с указанными именами.

    • Исключения по пути родительского процесса — исключают из рассмотрения указанные пути родительского процесса.

    При задании шаблонов исключений поддерживается использование символа-подстановки (*). Например, исключение по имени файлов вида *.log позволит исключить из рассмотрения все файлы с расширением .log.

Технический аудит

Эта политика проводит проверку конфигурации ОС или ПО в соответствии с указанными политиками технического аудита. Проверяться могут файлы, папки, результат выполнения команд и значение ключей реестра

Чтобы настроить политику, выберите требуемые политики аудита из выпадающего списка.

Межсетевой экран

Эта политика фильтрует весь сетевой трафик, проходящий через агент, в соответствии с заданным набором правил. Например, с помощью сетевого экрана можно настроить поступление на агент только одобренного информационного потока путем разрешения или запрета прохождения тех или иных частей трафика. Политика работает в ОС macOS.

Чтобы включить и настроить политику:

  1. В разделе Межсетевой экран (macOS) установите переключатель Статус в активное положение.

  2. Задайте список правил фильтрации трафика межсетевым экраном.

    Правила фильтрации в межсетевом экране проверяются по очереди: от верхнего к нижнему. Для повышения производительности, правила, которые будут обрабатывать наибольшее количество сетевого трафика, рекомендуется располагать как можно выше в списке.

Добавление правил межсетевого экрана

Чтобы добавить правило фильтрации в межсетевой экран:

  1. Нажмите на кнопку Добавить правило (plus). Отобразится окно добавления нового правила.

  2. Введите название правила.

  3. Из выпадающего списка Действие выберите действие, которое должно выполнять правило:

    • Разрешить — разрешение прохождения трафика;

    • Запретить — запрет прохождения трафика.

  4. Из выпадающего списка Направление выберите направление движения трафика, который требуется фильтровать:

    • Исходящий — фильтроваться будет трафик, отправляемый агентом.

    • Входящий — фильтроваться будет трафик, поступающий на агент.

  5. При необходимости из выпадающего списка Протокол выберите протокол, трафик которого требуется фильтровать:

    • TCP;

    • UDP;

    • ICMP;

    • Любой.

    Если не указывать протокол, то автоматически будет выбран вариант Любой и правило будет распространяться на все протоколы.

  6. При необходимости укажите IP-адрес или домен сервера-источника в поле Источник. Вы также можете указать порт источника данных в поле Порт.

    Если не указывать сервер-источник, то поле Источник автоматически заполнится значением "any" и правило будет распространяться на все источники.

    Если не указывать порт, то поле Порт автоматически заполнится значением "any" и правило будет распространяться на все порты сервера-источника.

  7. При необходимости укажите IP-адрес или домен сервера назначения в поле Назначение. Вы также можете указать длину префикса подсети в поле Префикс и порт сервера назначения в поле Порт.

    Если не указывать сервер назначения, то поле Назначение автоматически заполнится значением "any" и правило будет распространяться на все сервера.

    Если не указывать длину префикса, то длина автоматически установится равной 0.

    Если не указывать порт, то поле Порт автоматически заполнится значением "any" и правило будет распространяться на все порты сервера назначения.

  8. При необходимости задайте дополнительное условие для работы правила:

    1. Из выпадающего списка Доп. условие выберите критерий условия.

    2. Укажите требуемое значение критерия в соседнем поле.

  9. Нажмите на кнопку Сохранить. Настроенное правило фильтрации будет добавлено в межсетевой экран.

Изменение правил межсетевого экрана

Чтобы изменить настройки правила фильтрации в межсетевом экране:

  1. Наведите курсор на строку нужного правила в списке правил. В правой части строки отобразятся иконки действий над правилом.

  2. Нажмите на кнопку edit. Отобразится окно настроек правила.

  3. Внесите требуемые изменения в настройки правила.

  4. Нажмите на кнопку Сохранить. Внесенные в правило фильтрации изменения будут сохранены.

Удаление правил межсетевого экрана

Чтобы удалить правило фильтрации из межсетевого экрана:

  1. Наведите курсор на строку нужного правила в списке правил. В правой части строки отобразятся иконки действий над правилом.

  2. Нажмите на кнопку trash. Правило фильтрации будет удалено из межсетевого экрана без подтверждения действия.

Изменение порядка правил межсетевого экрана

Правила фильтрации в межсетевом экране проверяются по очереди: от верхнего к нижнему.

Для повышения производительности, правила, которые будут обрабатывать наибольшее количество сетевого трафика, рекомендуется располагать как можно выше в списке.

Чтобы настроить порядок следования правил межсетевого экрана, вы можете перетаскивать правила в списке с помощью иконки move слева от их строк.

Управление USB

Эта политика разграничивает доступ к USB-устройствам на агенте в соответствии с заданным набором правил. Например, с помощью управления USB можно запретить чтение данных с определенных USB-устройств агента. Политика работает в ОС macOS.

Чтобы включить и настроить политику:

  1. В разделе Управление USB (macOS) установите переключатель Статус в активное положение.

  2. Задайте список правил доступа к USB-устройствам агента.

    Правила доступа к USB-устройствам проверяются по очереди: от верхнего к нижнему. Для повышения производительности, правила, которые разграничивают доступ к наиболее часто использующимся USB-устройствам, рекомендуется располагать как можно выше в списке.

Добавление правил доступа

Чтобы добавить правило доступа к USB-устройствам:

  1. Нажмите на кнопку Добавить правило (plus). Отобразится окно добавления нового правила.

  2. Введите название правила.

  3. Из выпадающего списка Действие выберите действие, которое должно выполнять правило:

    • Чтение — разрешено только чтение данных USB-устройства;

    • Чтение и запись — разрешены чтение и запись данных USB-устройства.

    • Заблокировано — любые действия на USB-устройствах запрещены.

  4. Из выпадающего списка Класс выберите класс USB-устройства:

    • Mass Storage — запоминающее устройство.

    • Printer — принтер.

  5. При необходимости введите идентификатор вендора USB-устройства в поле ID вендора.

    Если не указывать идентификатор вендора устройства, то поле ID вендора автоматически заполнится значением "any" и правило будет распространяться на оборудование от любых вендоров.

  6. При необходимости введите идентификатор USB-устройства в поле ID продукта.

    Если не указывать идентификатор устройства, то поле ID продукта автоматически заполнится значением "any" и правило будет распространяться на любое оборудование от вендора.

  7. При необходимости введите серийный номер USB-устройства в поле Серийный номер.

    Если не указывать серийный номер устройства, то поле Серийный номер автоматически заполнится значением "any" и правило будет распространяться на устройства любых серийных номеров от вендора.

  8. Нажмите на кнопку Сохранить. Настроенное правило доступа к USB-устройствам будет добавлено в политику.

Изменение правил доступа

Чтобы изменить настройки правила доступа к USB-устройствам:

  1. Наведите курсор на строку нужного правила в списке правил. В правой части строки отобразятся иконки действий над правилом.

  2. Нажмите на кнопку edit. Отобразится окно настроек правила.

  3. Внесите требуемые изменения в настройки правила.

  4. Нажмите на кнопку Сохранить. Внесенные в правило доступа изменения будут сохранены.

Удаление правил доступа

Чтобы удалить правило доступа к USB-устройствам:

  1. Наведите курсор на строку нужного правила в списке правил. В правой части строки отобразятся иконки действий над правилом.

  2. Нажмите на кнопку trash. Правило доступа к USB-устройствам будет удалено без подтверждения действия.

Изменение порядка правил доступа

Правила доступа к USB-устройствам проверяются по очереди: от верхнего к нижнему.

Для повышения производительности, правила, которые разграничивают доступ к наиболее часто использующимся USB-устройствам, рекомендуется располагать как можно выше в списке.

Чтобы настроить порядок следования правил доступа к USB-устройствам, вы можете перетаскивать правила в списке с помощью иконки move слева от их строк.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение