Перейти к содержанию

Параметры

В разделе выполняется управление следующими параметрами Платформы Радар:

  • Основные параметры. Настройка общих параметров Платформы Радар.
  • Оповещения по задержкам. Настройка автоматических оповещений по задержкам в обработке инцидентов, формируемых Платформой Радар.
  • Черный список ID плагинов. Настройка списка ID плагинов сканеров уязвимости, которые будут игнорироваться в процессе работы.
  • Фоновые задачи. Просмотр информации о фоновых задачах, запущенных в Платформе Радар.
  • Интеграции. Управление интеграциями со сторонними системами.
  • Типы интеграций. Просмотр доступных классов систем, с которым можно настроить интеграцию, а также переключение платформы в режим работы с соответствующим типом интеграции.
  • Папки контента. Управление папками для структурирования пользовательского контента.
  • Шаблоны. Управление шаблонами форм пользовательского контента.

Основные параметры

Для выполнения настройки основных параметров  Платформы Радар перейдите в раздел ПараметрыОсновные параметры (см. рисунок 1).

Рисунок 1 – Раздел "Основные параметры"

Раздел содержит следующие блоки:

  • Общие –настройка значений по умолчанию для различных параметров платформы;
  • Создание инцидентов – настройка автоматического создания инцидентов;
  • Автоматическое создание происшествий и переоткрытие инцидентов – настройка поведения платформы при возникновении повторных происшествий.

После внесения любых изменений, для того чтобы они вступили в силу, необходимо нажать кнопку Сохранить.

Общие

Для настройки значений по умолчанию выполните следующие действия:

  • в поле Название клиента укажите наименование организации, в которой установлена Платформа Радар;
  • в поле Риск принят: количество дней по умолчанию укажите количество дней, по истечении которых будет принят риск инцидента. Значение будет автоматически добавлено в поле инцидента Принять до. Чтобы оставить значение поля Принять до пустым, укажите значение 0;
  • в поле Расположение укажите город, в котором располагается организация;
  • в поле Группа пользователей по умолчанию выберите из списка группу пользователей, которая будет назначаться по умолчанию для инцидентов, связанных с активами без назначенного "ответственного пользователя";
  • в поле Стратегия идентификации активов по умолчанию выберите одну из стратегий (IP, FQDN, MAC), которая будет применена при идентификации активов, в случае если актив не попал ни под одну, настроенную пользователем, стратегию;

  • если выбрана стратегия идентификации по FQDN, то выберите поведение платформы: включать или не включать совпадение по имени хоста (PQDN).

    Внимание! Если имя хоста определено в нескольких доменах, совпадение по PQDN не проверяется.

Создание инцидентов

  • при необходимости включите автоматическое создание инцидентов при импорте результатов сканирования, установив соответствующий флаг;
  • установите минимальный уровень важности для открытия инцидента.

Автоматическое создание происшествий и переоткрытие инцидентов

Выберите поведение платформы при возникновении повторных происшествий в закрытом инциденте:

  • Создавать новый инцидент;
  • Переоткрывать инцидент. В этом случае необходимо указать следующие параметры:
    • выберите минимальный уровень риска для повторного открытия инцидента: высокий, средний, низкий, отсутствует;
    • выберите статус повторно открытых инцидентов: новый, назначен.

Оповещения по задержкам

Для выполнения настройки автоматических оповещений по задержкам в обработке инцидентов операторами, перейдите в раздел ПараметрыОповещения по задержкам (см. рисунок 2).

Рисунок 2 – Раздел "Оповещения по задержкам"

Раздел содержит следующие блоки:

  • Блок настроек временных отсечек для оповещений;
  • Блок настройки режимов отправки оповещений;
  • Блок настройки текстов для оповещений.

Блок настроек временных отсечек для оповещений

Для каждого уровня риска (высокий, средний, низкий, отсутствует) можно настроить 3 контрольных отсечки по времени разбора инцидента:

  • Нормально – время, в пределах которого разбор инцидентов считается штатным (в днях);
  • Небольшая задержка – время, в пределах которого разбор считается выполненным с небольшой задержкой (в днях);
  • Задержка – время, в пределах которого разбор инцидентов считается выполненным с задержкой (в днях).

При превышении последнего порога, указанного в поле "Задержка", время разбора инцидентов считается недопустимым.

Для настройки времени контрольных отсечек выполните следующие действия:

  1. Выберите уровень риска, для которого будет выполнена настройка и в соответствующем блоке нажмите кнопку Настроить. Откроется окно "Редактирование уровня риска" (см. рисунок 3).

    Рисунок 3 – Окно "Редактирование уровня риска"

  2. В полях Нормально, Небольшая задержка, Задержка укажите необходимое количество дней.

  3. Нажмите кнопку Сохранить.

Блок настройки режимов отправки оповещений

В Платформе Радар возможно настроить следующие режимы отправки оповещений:

  • Отправлять оповещения при каждом изменении времени обработки – при активации опции оповещение будет отправляться при прохождении каждой временной отсечки, указанной для разбора инцидента.
  • Отправлять оповещение единожды через <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение будет отправляться после прохождения последней сконфигурированной временной отсечки.
  • Для инцидентов с риском "Высокий" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение для инцидентов с высоким риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
  • Для инцидентов с риском "Средний" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение для инцидентов со средним риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
  • Для инцидентов с риском "Низкий" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение для инцидентов с низким риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
  • Для инцидентов с риском "Отсутствует" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания – при активации опции оповещение для инцидентов с отсутствующим риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
  • Отправлять группу сообщений раз в неделю. День недели <...> – при активации опции все накопившиеся оповещения будут отправляться единожды в указанный день.

Блок настройки текстов для оповещений

Для оповещений по задержкам в обработке инцидентов можно настроить следующий текст:

  • Общий текст, отправляемый в каждом оповещении;
  • Текст сообщения об изменении времени удержания инцидента от "Задержки" до "Недопустимого"*;
  • Текст сообщения об изменении времени удержания инцидента от "Небольшой задержки" до "Задержки";
  • Текст сообщения об изменении времени удержания инцидента от "Нормального" до "Небольшой задержки".

Черный список ID плагинов

Для настройки списка ID плагинов сканеров уязвимости, которые будут игнорироваться в процессе работы, перейдите в раздел ПараметрыЧерный список ID плагинов (см. рисунок 4).

Рисунок 4 – Раздел "Черный список ID плагинов"

В разделе отображается следующая информация:

  • ID плагина – идентификатор плагина;
  • Причина – описание причины добавления плагина в черный список;
  • Создан – дата и время создания записи о добавлении плагина в черный список;
  • Обновлен – дата и время обновления записи о добавлении плагина в черный список;

Для добавления плагина в черный список выполните следующие действия:

  1. Нажмите кнопку Добавить плагин в ЧС. Откроется окно добавления плагина в ЧС (см. рисунок 5).

    Рисунок 5 – Добавление плагина в ЧС"

  2. Укажите в окне следующую информацию:

    • в поле ID укажите идентификатор плагина;
    • в поле Причина укажите причину добавления плагина в черный список.

  3. Нажмите кнопку Сохранить.

Фоновые задачи

В разделе отображается информация о запущенных задачах ретроспективной корреляции, синхронизации и отчетов.

Для просмотра информации о фоновых задачах, запущенных в Платформе Радар перейдите в раздел ПараметрыФоновые задачи (см. рисунок 6).

Рисунок 6 – Раздел "Фоновые задачи"

В разделе отображается следующая информация:

  • Название – наименование задачи;
  • Результат – описание результата выполнения задачи (контекст зависит от задачи);
  • Начало – дата и время запуска задачи;
  • Завершено – дата и время завершения задачи.

Интеграции

Платформа Радар позволяет добавлять интеграции со сторонними системами.

Различные классы систем, с которым можно настроить интеграцию, называются в платформе Типами интеграций. Для каждого типа поддерживаемой системы может быть одновременно настроено несколько интеграций.

Интеграции могут находится в следующих состояниях:

  • Активно – по интеграции выполняется взаимодействие со сторонней системой;
  • Неактивно – по интеграции не выполняется взаимодействие со сторонней системой.

В платформе поддерживаются следующие типы интеграций:

  • RT Protect EDR – система обнаружения целенаправленных атак и сложных угроз;
  • Kaspersky Security Center – универсальная консоль централизованного управления различными решениями, продуктами и сервисами, которые обеспечивают информационную безопасность корпоративной ИТ-инфраструктуры.

Примечание: В разделе рассмотрены общие приемы работы с интеграциями. Процессы работы с различными типами интеграций рассмотрены в соответствующих разделах.

Все действия над интеграциями выполняются в разделе ПараметрыИнтеграции (см. рисунок 7).

Рисунок 7 – Раздел "Интеграции"

В разделе отображается следующая информация:

  • Тип интеграции – наименование типа интеграции, к которой относится интеграция;
  • Название интеграции;
  • Статус – состояние интеграции: Активно, Неактивно;
  • Создано – дата и время создания интеграции;
  • Обновлено – дата и время обновления информации об интеграции.

В разделе доступны следующие элементы управления:

Кнопка Описание Порядок действий
Создать Добавление интеграции 1. Нажмите кнопку Создать.
2. В открывшемся окне выберите тип интеграции. Поля формы будут автоматически изменены для настройки выбранного типа интеграции.
3. Заполните поля для настройки интеграции.
4. Нажмите кнопку Проверить. Будет выполнена проверка настроек интеграции.
5. Нажмите кнопку Сохранить.
Просмотр сведений об интеграции Перечень сведений, доступных при просмотре интеграции, формируется в зависимости типа интеграции и подробно рассмотрен в соответствующих разделах.
Изменение интеграции 1. Нажмите кнопку в строке нужной интеграции.
2. Внесите необходимые изменения.
3. Нажмите кнопку Проверить.
4. Нажмите кнопку Сохранить.
Экспортировать выбранные в csv Экспорт выбранных интеграций в формат csv 1. Установите необходимые флаги.
2. Нажмите кнопку Экспортировать выбранные в csv.
3. Укажите путь для сохранения csv файла.
Экспортировать в csv Экспорт всех интеграций в формат csv 1. Нажмите кнопку Экспортировать в csv.
2. Укажите путь для сохранения csv файла.
Удаление интеграции 1. Нажмите кнопку в строке нужной интеграции.
2. Подтвердите удаление в открывшемся окне.
Удалить Удаление выбранных интеграций 1. Установите необходимые флаги.
2. Нажмите кнопку Удалить.
3. Подтвердите удаление в открывшемся окне.
Удалить все Удаление всех интеграций 1. Нажмите кнопку Удалить все.
2. Подтвердите удаление в открывшемся окне.

Типы интеграций

Для просмотра поддерживаемых в платформе типов интеграций перейдите в раздел ПараметрыТипы интеграций (см. рисунок 8).

Рисунок 8 – Раздел "Типы интеграций"

В разделе отображается наименование сторонних систем, с которыми в платформе можно настроить интеграцию.

Тип интеграции может находится в следующих состояниях:

  • Активно – платформа переведена в режим взаимодействия с данным типом интеграции. В этом режиме могут быть изменены элементы интерфейса платформы и появятся дополнительные функции для поддержки интеграции;
  • Неактивно – в данном состоянии платформа не поддерживает дополнительные функции необходимые для работы интеграций, настроенных для данного типа.

Для включения поддержки типа интеграции в платформе переведите соответствующий переключатель в состояние Активно.

Для просмотра подробной информации о типе интеграции нажмите кнопку .

Примечание: Подробная информация о каждом типе интеграции рассмотрена в соответствующих разделах.

Папки контента

Общие принципы работы с содержимом папок описано в разделе (см. раздел Интерфейс платформы. Папки контента).

Для работы с папками перейдите в раздел ПараметрыПапки контента (см. рисунок 9).

Рисунок 9 – Раздел "Папки контента"

В разделе отображается следующая информация:

  • Название – наименование папки. Смещение наименования папки означает вложенность данной папки относительно папки выше по списку;
  • Правила – количество правил, помещенных в папку;
  • Создано – дата и время создания папки;
  • Обновлено – дата и время обновления информации о папке;
  • Кем создано – наименование пользователя, создавшего папку.

Примечание: В каталоге "Без папки" содержится неструктурированный контент. Данный каталог является системным и не может быть удален.

В разделе доступны следующие элементы управления:

Кнопка Описание Порядок действий
Создать Создание папки 1. Нажмите кнопку Создать.
2. В открывшемся окне укажите название папки и при необходимости выберите родительскую папку.
3. Нажмите кнопку Сохранить.
Просмотр сведений о папке Перечень сведений, доступных при просмотре папки:
- название папки;
- название родительской папки.
Изменение папки 1. Нажмите кнопку в строке нужной папки.
2. Внесите необходимые изменения.
3. Нажмите кнопку Сохранить.
Экспортировать выбранные в csv Экспорт выбранных папок в формат csv 1. Установите необходимые флаги.
2. Нажмите кнопку Экспортировать выбранные в csv.
3. Укажите путь для сохранения csv файла.
Экспортировать в csv Экспорт всех папок в формат csv 1. Нажмите кнопку Экспортировать в csv.
2. Укажите путь для сохранения csv файла.
Переместить в папку Изменение структуры папок. Позволяет массово переместить дочерние папки в родительскую. 1. Установите необходимые флаги.
2. Нажмите кнопку Переместить в папку.
3. В открывшемся окне выберите папку, в которую необходимо перенести выбранные папки.
4. Нажмите кнопку Переместить.
Удаление папки 1. Нажмите кнопку в строке нужной папки.
2. Подтвердите удаление в открывшемся окне.
3. Папка будет удалена из платформы, а контент будет перемещен в каталог "Без папки".
Удалить Удаление выбранных папок 1. Установите необходимые флаги.
2. Нажмите кнопку Удалить.
3. Подтвердите удаление в открывшемся окне.
4. Папки будут удалены из платформы, а контент будет перемещен в каталог "Без папки".
Удалить все Удаление всех папок 1. Нажмите кнопку Удалить все.
2. Подтвердите удаление в открывшемся окне.
3. Папки будут удалены из платформы, а контент будет перемещен в каталог "Без папки".

Шаблоны

Общие принципы работы с шаблонами описаны в разделе Интерфейс платформы. Шаблоны.

Управление шаблонами выполняется в разделе ПараметрыШаблоны.(см. рисунок 10).

Рисунок 10 – Раздел "Шаблоны"

В разделе отображается следующая информация о шаблонах:

  • Название – наименование шаблона;
  • Сущность – тип пользовательского контента, для которого настроен шаблон;
  • Тип шаблона – тип формы, для которой настроен шаблон: создание или редактирование;
  • Создано – дата и время создания шаблона;
  • Обновлено – дата и время обновления информации о шаблоне.

Управление шаблонами выполняется с помощью универсальных таблиц (см. раздел Интерфейс платформы. Универсальные таблицы).