Настройка конфигурации группы агентов

Конфигурация группы агентов позволяет задать политики отслеживания действий на агентах в рамках группы.

Доступные операции над конфигурацией группы агентов:

Просмотр конфигурации группы

Чтобы просмотреть текущую конфигурацию группы агентов:

  1. Перейдите в раздел Агенты → Группы агентов. Система отобразит сведения об имеющихся группах агентов.

  2. Нажмите на строку группы в списке. Система отобразит в правой части экрана карточку этой группы агентов с подробной информацией о ней.

  3. Нажмите на кнопку Конфигурация в нижней части карточки. Откроется страница настройки конфигурации выбранной группы.

Вы также можете открыть страницу конфигурации при создании группы на базе агента, создании пустой группы, а также дублировании группы путем установки флажка Перейти к конфигурации.

Панель инструментов страницы включает в себя следующие компоненты:

  • Кнопка Удалить (trash) позволяет удалить выбранную группу агентов.

  • Кнопка Дублировать (copy) позволяет создать копию выбранной группы агентов.

На рабочей области страницы отображаются параметры настройки конфигурации, которые сгруппированы по разделам, расположенным слева. Рядом с параметрами конфигурации присутствуют переключатели, позволяющие их активировать.

При активации параметров отображаются их настройки, а также кнопки для сохранения заданных настроек или отмены несохраненных изменений.

Настройка конфигурации группы

Чтобы настроить конфигурацию группы агентов:

  1. Перейдите в раздел Агенты → Группы агентов. Система отобразит сведения об имеющихся группах агентов.

  2. Нажмите на строку группы в списке. Система отобразит в правой части экрана карточку этой группы агентов с подробной информацией о ней.

  3. Нажмите на кнопку Конфигурация в нижней части карточки. Откроется страница настройки конфигурации выбранной группы.

    Вы также можете открыть страницу конфигурации при создании группы на базе агента, создании пустой группы, а также дублировании группы путем установки флажка Перейти к конфигурации.

  4. Задайте настройки конфигурации группы агентов.

Конфигурацию группы агентов следует настраивать аккуратно. Неправильная настройка конфигурации может привести к избыточной нагрузке на агентах и существенно увеличить количество передаваемых событий.

В системе доступна настройка следующих параметров:

После настройки любого параметра необходимо нажать кнопку Сохранить.

  • Если в описании параметра указаны названия ОС, включенный параметр будет применен именно к ним.

  • Если в описании параметра не указаны названия ОС, включенный параметр будет применен ко всем ОС.

Автоназначение

Позволяет указать выражение на языке преобразования данных VRL, определяющее условия автоматического назначения группы агенту.

Чтобы использовать автоназначение:

  1. Установите переключатель Автоназначение в активное положение. Отобразится поле для ввода VRL-выражения.

  2. Укажите выражение на языке VRL, по которому группа будет автоматически назначаться агентам.

  3. Нажмите на кнопку Сохранить.

Система будет сопоставлять заданное выражение с данными сканирования агента. При совпадении данных агент будет включен в текущую группу.

Автоматическое назначение группы происходит только при регистрации новых агентов. Для уже существующих в системе агентов автоназначение не выполняется.

Если данные сканирования агента будут удовлетворять выражению сразу в нескольких группах агентов, система включит агент во все эти группы.

Пример автоназначения группы

Пример выражения для автоматического назначения группы агентам с адресом, входящим в подсеть 10.99.66.0/24:

# Проверяем каждый адрес каждого интерфейса на вхождение в подсеть.

subnetwork = "10.99.66.0/24"

networks = values(object!(.networkInterfaces.values))
ipv4s = flatten(map_values(networks) -> |value| { value.ipv4 })
addresses = compact(map_values(ipv4s) -> |value| { value.address })

is_in_subnetwork = length(filter(addresses) -> |_index, value| {
  ip_cidr_contains!(subnetwork, value)
}) > 0

is_in_subnetwork

Пользователи и процессы

Параметры раздела Пользователи и процессы:

Вход/выход пользователей (Linux/macOS)

Этот параметр отслеживает начало и окончание сеансов пользователей в системе.

Параметр работает в ОС Linux и macOS.

Чтобы включить параметр, установите переключатель Вход/выход пользователей (Linux/macOS) в активное положение и нажмите на кнопку Сохранить.

Создание процессов (Linux/macOS)

Этот параметр отслеживает процессы, запущенные пользователями или системой.

Параметр работает в ОС Linux и macOS.

Чтобы включить параметр, установите переключатель Создание процессов (Linux/macOS) в активное положение и нажмите на кнопку Сохранить.

Добавление или изменение сервисов (Linux)

Этот параметр отслеживает добавление и изменение сервисных файлов .systemd, .timer и rc.

Параметр работает в ОС Linux.

Чтобы включить параметр, установите переключатель Добавление или изменение сервисов (Linux) в активное положение и нажмите на кнопку Сохранить.

Управление пользователями (Linux)

Этот параметр отслеживает изменения пользователей, групп пользователей, прав sudo и настроек окружения (bashrc).

Параметр работает в ОС Linux.

Чтобы включить параметр, установите переключатель Управление пользователями (Linux) в активное положение и нажмите на кнопку Сохранить.

Не использовать auditd (Linux)

Этот параметр позволяет отказаться от использования AuditD и собирать ИБ-события только через eBPF. Это может быть полезно при работе в Linux-системах с актуальными версиями ядра, а также в ситуациях, когда использование AuditD нежелательно.

Параметр работает в ОС Linux.

Чтобы включить параметр, установите флажок Не использовать auditd (Linux) и нажмите на кнопку Сохранить.

Чтение файлов

Этот параметр используется для настройки сбора данных журнала из файлов и событий ОС.

Значимые события (например, ошибки при работе приложений) записываются системой, под которой работает агент, в специальные журналы событий. Также данные можно собирать из файлов в системе агента.

При настройке параметра требуется указать, каким способом и по какому пути агенты текущей группы должны собирать данные.

Чтобы настроить параметр:

  1. Установите переключатель Чтение файлов в активное положение. Система отобразит настройки сбора данных журнала.

  2. Задайте настройки сбора данных.

  3. Нажмите на кнопку Сохранить. Система сохранит заданные настройки сбора данных с агентов.

Добавление настройки сбора данных

Чтобы добавить настройку сбора данных в параметре Чтение файлов:

  1. Нажмите на кнопку Добавить настройку (plus). Отобразится строка с набором полей для настройки нового типа журнала.

  2. Выберите тип журнала из выпадающего списка и задайте его настройки.

    Доступные типы журналов:

    • audit — используется для событий из инструмента Linux Audit Daemon (auditd). Объединяет последовательные журналы с одинаковым идентификатором в одно событие.

    • djb-multilog — используется для чтения файлов в формате, созданном сервисным регистратором с несколькими журналами в daemontools.

    • eventchannel — используется для журналов событий Windows, получает события в формате JSON, контролирует все каналы, указанные в файле конфигурации, и показывает все включенные в них поля. Может использоваться для мониторинга стандартных журналов событий Windows, а также журналов приложений и служб.

      При выборе этого типа становятся доступны следующие настройки:

      • Имя журнала — имя журнала событий Windows.

      • Фильтр — запрос на языке XPath, позволяющий указать критерии, по которым будут отфильтрованы собираемые данные.

        Например, запрос вида Event/System[EventID != 5145 and EventID != 5156] позволит собрать из папки event/system в системе, где установлен агент, все события, за исключением событий с идентификаторами 5145 и 5156.

    • eventfile — используется для сбора событий Windows из файлов формата EVTX.

      При выборе этого типа становятся доступна настройка Фильтр — запрос на языке XPath, позволяющий указать критерии, по которым будут отфильтрованы собираемые данные.

      Например, запрос вида Event/System[EventID != 5145 and EventID != 5156] позволит собрать из папки event/system в системе, где установлен агент, все события, за исключением событий с идентификаторами 5145 и 5156.

    • eventlog — используется для классического формата журнала событий Windows.

    • iis — используется для IIS (веб-сервера Windows).

    • json — используется для однострочных JSON-файлов и позволяет добавлять настраиваемые метки к JSON-событиям.

    • macos — используется для журналов системы логирования macOS ULS и получает журналы в формате системного журнала.

    • mysql_log — используется для журналов MySQL. Не поддерживает многострочные журналы.

    • nmapg — используется для мониторинга файлов, соответствующих выводу данных в grepable формате при использовании утилиты nmap.

    • postgresql_log — используется для журналов PostgreSQL. Не поддерживает многострочные журналы.

    • snort-full — используется для формата полного вывода системы обнаружения вторжений Snort.

    • squid — используется для журналов программного пакета squid.

    • syslog — используется для простых текстовых файлов в формате, подобном системному журналу.

    Для каждого типа журнала, кроме eventchannel, нужно указать путь, используемый системой при сборе данных на агенте, в поле Путь.

Удаление настройки сбора данных

Чтобы удалить настройки журнала, нажмите на кнопку trash справа от его строки настроек.

Выполнение команд

Этот параметр используется для вывода команд, позволяющих записывать значимые события (например, ошибки при работе приложений) системой, под которой работает агент, в специальные журналы событий.

При настройке параметра требуется указать частоту использования команды и ее текст.

Чтобы настроить параметр:

  1. Установите переключатель Выполнение команд в активное положение. Система отобразит настройки выполнения команд.

  2. Задайте настройки выполнения команд. Для этого:

  3. Нажмите на кнопку Сохранить. Система сохранит заданные настройки выполнения команд.

Добавление настройки выполнения команд

Чтобы добавить настройку выполнения команд:

  1. Нажмите на кнопку Добавить настройку (plus). Отобразится строка с набором полей для настройки нового типа журнала.

  2. Выберите тип журнала из выпадающего списка и задайте его настройки.

    Доступные типы журналов:

    • command — используется для чтения вывода команды, запущенной пользователем root и указанной в теге команды. Каждая строка вывода обрабатывается как отдельный журнал.

      При выборе этого типа становятся доступны настройки:

      • Частота — частота использования команды (сек.).

      • Команда — текст команды. Например, команда last -n 5 отобразит список последних 5 терминальных сессий.

    • full_command — используется для чтения вывода команды, запущенной пользователем root и указанной в теге команды. Весь вывод будет рассматриваться как один элемент журнала.

      При выборе этого типа становятся доступны настройки:

      • Частота — частота использования команды (сек.).

      • Команда — текст команды.

Удаление настройки выполнения команд

Чтобы удалить настройки журнала, нажмите на кнопку trash справа от его строки настроек.

WatchDog

Этот параметр запускает сервис WatchDog, предназначенный для отслеживания процессов на агенте. При работающем сервисе остановка контролируемых процессов недоступна.

Чтобы включить и настроить параметр:

  1. Установите переключатель WatchDog в активное положение.

  2. По умолчанию отключение сервиса WatchDog выполняется без пароля. Чтобы при попытке отключить сервис запрашивался пароль, установите флажок Пароль и задайте нужный пароль в появившемся поле.

  3. Нажмите на кнопку Сохранить. Система сохранит заданные настройки сервиса WatchDog.

Доступ к объектам (Linux)

Этот параметр отслеживает действия с объектами в указанных путях. Отслеживаются чтение, запись и запуск объектов, а также изменение прав доступа к ним.

Политика работает в ОС Linux.

Чтобы включить и настроить параметр:

  1. Установите переключатель Доступ к объектам (Linux) в активное положение.

  2. Задайте перечень путей к объектам. Для этого:

    1. Укажите путь и задайте права доступа к объектам, хранящимся по этому пути, посредством установки соответствующих флажков:

      • w (Writing) — запись;

      • r (Reading) — чтение;

      • x (Execution) — выполнение;

      • a (Attributes) — атрибуты.

    2. Чтобы добавить следующий путь, нажмите на кнопку Добавить путь (plus). Появится строка настройки нового пути.

    3. Чтобы удалить ненужные пути, нажмите на кнопку trash справа от их строк.

  3. Задайте при необходимости шаблоны исключений в секции Исключения:

    • По пути — исключают из рассмотрения указанные пути.

    • По имени файлов — исключают из рассмотрения файлы с указанными именами.

    • По пути родительского процесса — исключают из рассмотрения указанные пути родительского процесса.

    При задании шаблонов исключений поддерживается использование символа-подстановки (*). Например, исключение по имени файлов вида *.log позволит исключить из рассмотрения все файлы с расширением .log.

  4. Нажмите на кнопку Сохранить. Система сохранит заданные настройки доступа к объектам.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение