Параметры

В разделе выполняется управление следующими параметрами Платформы Радар:

Основные параметры. Настройка общих параметров Платформы Радар.
Оповещения по задержкам. Настройка автоматических оповещений по задержкам в обработке инцидентов, формируемых Платформой Радар.
Черный список ID плагинов. Настройка списка ID плагинов сканеров уязвимости, которые будут игнорироваться в процессе работы.
Фоновые задачи. Просмотр информации о фоновых задачах, запущенных в Платформе Радар.

Основные параметры

Для выполнения настройки основных параметров Платформы Радар перейдите в раздел Параметры → Основные параметры (см. рисунок 1).

Рисунок 1 – Раздел "Основные параметры"

Раздел содержит следующие блоки:

Общие –настройка значений по умолчанию для различных параметров платформы;
Создание инцидентов – настройка автоматического создания инцидентов;
Автоматическое создание происшествий и переоткрытие инцидентов – настройка поведения платформы при возникновении повторных происшествий.

После внесения любых изменений, для того чтобы они вступили в силу, необходимо нажать кнопку Сохранить.

Общие

Для настройки значений по умолчанию выполните следующие действия:

в поле Название клиента укажите наименование организации в которой установлена Платформа Радар;
в поле Риск принят: количество дней по умолчанию укажите количество дней по истечении которых будет принят риск инцидента. Значение будет автоматически добавлено в поле инцидента Принять до. Чтобы оставить значение поля Принять до пустым, укажите значение 0;
в поле Расположение укажите город в котором располагается организация;
в поле Группа пользователей по умолчанию выберите из списка группу пользователей, которая будет назначаться по умолчанию для инцидентов, связанных с активами без назначенного "ответственного пользователя";
в поле Стратегия идентификации активов по умолчанию выберите одну из стратегий (IP, FQDN, MAC), которая будет применена при идентификации активов, в случае если актив не попал ни под одну, настроенную пользователем, стратегию;
если выбрана стратегия идентификации по FQDN, то выберите поведение платформы: включать или не включать совпадение по имени хоста (PQDN).

Внимание! Если имя хоста определено в нескольких доменах, совпадение по PQDN не проверяется.

Создание инцидентов

при необходимости включите автоматическое создание инцидентов при импорте результатов сканирования, установив соответствующий флаг;
установите минимальный уровень важности для открытия инцидента.

Автоматическое создание происшествий и переоткрытие инцидентов

Выберите поведение платформы при возникновении повторных происшествий в закрытом инциденте:

Создавать новый инцидент;
Переоткрывать инцидент. В этом случае необходимо указать следующие параметры:
- выберите минимальный уровень риска для повторного открытия инцидента: высокий, средний, низкий, отсутствует;
- выберите статус повторно открытых инцидентов: новый, назначен.

Оповещения по задержкам

Для выполнения настройки автоматических оповещений по задержкам в обработке инцидентов операторами, перейдите в раздел Параметры → Оповещения по задержкам (см. рисунок 2).

Рисунок 2 – Раздел "Оповещения по задержкам"

Раздел содержит следующие блоки:

Блок настроек временных отсечек для оповещений;
Блок настройки режимов отправки оповещений;
Блок настройки текстов для оповещений.

Блок настроек временных отсечек для оповещений

Для каждого уровня риска (высокий, средний, низкий, отсутствует) можно настроить 3 контрольных отсечки по времени разбора инцидента:

Нормально – время, в пределах которого разбор инцидентов считается штатным (в днях);
Небольшая задержка – время, в пределах которого разбор считается выполненным с небольшой задержкой (в днях);
Задержка – время, в пределах которого разбор инцидентов считается выполненным с задержкой (в днях).

При превышении последнего порога указанного в поле "Задержка", время разбора инцидентов считается недопустимым.

Для настройки времени контрольных отсечек выполните следующие действия:

Выберите уровень риска, для которого будет выполнена настройка и в соответствующем блоке нажмите кнопку Настроить. Откроется окно "Редактирование уровня риска" (см. рисунок 3).

Рисунок 3 – Окно "Редактирование уровня риска"
В полях Нормально, Небольшая задержка, Задержка укажите необходимое количество дней.
Нажмите кнопку Сохранить.

Блок настройки режимов отправки оповещений

В Платформе Радар возможно настроить следующие режимы отправки оповещений:

Отправлять оповещения при каждом изменении времени обработки – при активации опции оповещение будет отправляться при прохождении каждой временной отсечки, указанной для разбора инцидента.
Отправлять оповещение единожды через <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение будет отправляться после прохождения последней сконфигурированной временной отсечки.
Для инцидентов с риском "Высокий" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение для инцидентов с высоким риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
Для инцидентов с риском "Средний" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение для инцидентов со средним риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
Для инцидентов с риском "Низкий" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение для инцидентов с низким риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
Для инцидентов с риском "Отсутствует" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение для инцидентов с отсутствующим риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
Отправлять группу сообщений раз в неделю. День недели <...> – при активации опции все накопившиеся оповещения будут отправляться единожды в указанный день.

Блок настройки текстов для оповещений

Для оповещений по задержкам в обработке инцидентов можно настроить следующий текст:

Общий текст, отправляемый в каждом оповещении;
Текст сообщения об изменении времени удержания инцидента от "Задержки" до "Недопустимого"*;
Текст сообщения об изменении времени удержания инцидента от "Небольшой задержки" до "Задержки" ;
Текст сообщения об изменении времени удержания инцидента от "Нормального" до "Небольшой задержки".

Черный список ID плагинов

Для настройки списка ID плагинов сканеров уязвимости, которые будут игнорироваться в процессе работы, перейдите в раздел Параметры → Черный список ID плагинов (см. рисунок 4).

Рисунок 4 – Раздел "Черный список ID плагинов"

В разделе отображается следующая информация:

ID плагина – идентификатор плагина;
Причина – описание причины добавления плагина в черный список;
Создан – дата и время создания записи о добавлении плагина в черный список;
Обновлен – дата и время обновления записи о добавлении плагина в черный список;

Для добавления плагина в черный список выполните следующие действия:

Нажмите кнопку Добавить плагин в ЧС. Откроется окно добавления плагина в ЧС (см. рисунок 5).

Рисунок 5 – Добавление плагина в ЧС"
Укажите в окне следующую информацию:
- в поле ID укажите идентификатор плагина;
- в поле Причина укажите причину добавления плагина в черный список.
Нажмите кнопку Сохранить.

Фоновые задачи

В разделе отображается информация о запущенных задачах ретроспективной корреляции, синхронизации и отчетов.

Для просмотра информации о фоновых задачах, запущенных в Платформе Радар перейдите в раздел Параметры → Фоновые задачи (см. рисунок 6).

Рисунок 6 – Раздел "Фоновые задачи"

В разделе отображается следующая информация:

Название – наименование задачи;
Результат – описание результата выполнения задачи (контекст зависит от задачи);
Начало – дата и время запуска задачи;
Завершено – дата и время завершения задачи.