Параметры
Раздел «Параметры»
Состав раздела "Параметры"
Раздел "Параметры" состоит из следующих подразделов:
- Параметры - подраздел предназначен для настройки общих параметров Платформы Радар.
- Сопоставление данных - подраздел предназначен для настройки интеграции полей данных Платформы Радар с системой ГосСОПКА (подробно работа с подразделом описана в Инструкции по работе с НКЦКИ).
- API конструктор - подраздел предназначен для общей настройки интеграции Платформы Радар с системой ГосСОПКА (подробно работа с подразделом описана в Инструкции по работе с НКЦКИ).
- Черный список ID плагинов - подраздел предназначен для создания списка ID плагинов сканера Nessus, игнорируемых в процессе работы.
- Оповещения по задержкам в обработке - подраздел предназначен для настройки автоматических оповещений по задержкам в обработке инцидентов, формируемых Платформой Радар.
Подраздел «Параметры»
Состав и назначение вкладок
Подраздел "Параметры" предназначен для обновления общих параметров панели управления, обновления параметров сканера уязвимости и обновления идентификатора.
Подраздел включает следующие вкладки:
- Общие - вкладка предназначена для обновления общих параметров Платформы Радар, включая значения по умолчанию (см. рисунок 1);
- Обработка уязвимостей - вкладка предназначена для настройки параметров автоматической обработки уязвимостей;
- Синхронизация с Базой Знаний - вкладка предназначена для проведения синхронизации с Базой знаний.
Вкладка "Общие". Обновление общих параметров
Рабочее поле вкладки "Общие" содержит поля для редактирования следующих общих параметров (см. рисунок 1):
- Название клиента - текстовое поле ввода, в котором указывается наименование организации в которой установлена Платформа Радар;
- Риск принят - текстовое поле ввода, в котором необходимо указать количество дней. При принятии риска инцидента указанное количество дней будет устанавливаться Платформой Радар в качестве срока по умолчанию в параметре "Принять до". Чтобы оставить значение параметра "Принять до" пустым, укажите в поле "0".
- Расположение - текстовое поле ввода, предназначенное для редактирования списка территориального расположения активов для соответствующих фильтров.
- Группа пользователей по-умолчанию - выбор из списка группы пользователей, которая будет назначаться по-умолчанию для инцидентов, связанных с активами без определенного "ответственного пользователя".
- Стратегия идентификации активов по-умолчанию - выбор из списка глобальной стратегии идентификации, которая будет назначаться по-умолчанию, если актив не попал ни под одну политику идентификации. Доступны следующие стратегии идентификации:
- IP;
- FQDN;
- MAC.
Для сохранения внесенных обновлений нажмите на кнопку "Сохранить".
Рисунок 1 -- Подраздел Параметры - Общие
Вкладка "Обработка уязвимостей"
Рабочее поле вкладки "Обработка уязвимостей" содержит поля для редактирования параметров автоматического создания и автоматического переоткрытия инцидентов (см. рисунок 2):
- Автоматически создавать инциденты при импорте результатов сканирования - включение/ отключение режима автоматического создания инцидентов;
- Минимальный уровень важности для открытия инцидента - выбор важности (от 0 до 4) для автоматически созданных инцидентов;
- Создавать новый инцидент для повторных происшествий, если инцидент закрыт - выбор правила поведения Платформы Радар при повторных происшествиях:
- Создавать новый инцидент - создается новый инцидент;
- Переоткрывать инцидент - существующий инцидент открывается заново;
- Минимальный уровень риска для повторного открытия инцидентов - риски ниже указанного уровня не переоткрываются автоматически; параметр задается, только если выбрано переоткрытие инцидента;
- Статус повторно открытых инцидентов - переоткрываемые автоматически инциденты будут переводиться в указанный статус; параметр задается, только если выбрано переоткрытие инцидента.
Для сохранения внесенных обновлений нажмите на кнопку "Сохранить".
Рисунок 2 -- Подраздел Параметры - Обработка уязвимостей
Вкладка "Синхронизация с Базой Знаний"
Рабочее поле вкладки "Синхронизация с Базой Знаний" содержит два функциональных элемента (см. рисунок 3):
- Кнопка "Синхронизация типов инцидентов" - предназначена для разового проведения синхронизации типов инцидентов с Базой знаний.
- Кнопка "Синхронизация коррелятора" - предназначена для разового проведения синхронизации коррелятора с Базой знаний.
Процесс синхронизации начинается по нажатию на соответствующую кнопку, при этом справа от кнопки появится флажок - (см. рисунок 3).
Рисунок 3 -- Подраздел Параметры - Синхронизация с Базой Знаний
Подраздел «Черный список ID плагинов»
Основные элементы подраздела
Подраздел "Черный список ID плагинов" предназначен для создания черного списка ID плагинов сканера Nessus, игнорируемых в процессе работы.
В рабочей области отображаются следующие элементы (см. рисунок 4):
- Табличный список плагинов Nessus, которые необходимо игнорировать в процессе работы ("черный список").
- Набор фильтров для поиска плагина (-ов) в списке - кнопка .
- Функция добавления нового плагина в список игнорируемых - кнопка "Создание".
- Функция редактирования параметров плагина, в том числе удаление плагина из списка - кнопка .
Рисунок 4 -- Рабочая область подраздела "Черный список ID плагинов"
Список плагинов. Параметры списка
Текущий список игнорируемых плагинов Nessus представлен в виде табличного списка со следующими основными параметрами:
- Поле "Плагин Nessus" - ID плагина Nessus;
- Поле "Причина" - причина, по которой данный плагин был занесен в черный список;
- Поле "Создан" - дата и время занесения плагина в черный список;
- Поле "Обновлено" - дата и время обновления нахождения плагина в черном списке;
- Кнопка ( ) - функция редактирования параметров плагина, а также удаления плагина из списка.
Настраиваемые фильтры списка плагинов
При нажатии на кнопку открывается область фильтров для списка плагинов, которая включает в себя фильтр с полем для свободного текстового ввода.
Поиск по введенной текстовой строке осуществляется по полям "Плагин Nessus" и "Причина".
Включение нового плагина в список, удаление плагина из списка
Для включения в черный список нового плагина необходимо (см. рисунок 5):
- Нажать кнопку "Создать".
- В открывшейся форме ввести:
- ID плагина сканера Nessus, который необходимо игнорировать в процессе работы в дальнейшем;
- причину, по которой плагин занесен в черный список.
- Для сохранения введённых данных нажать на кнопку "Сохранить".
Откроется обновленный черный список плагинов.
Рисунок 5 -- Включение нового плагина в "Черный список ID плагинов"
Редактирование, удаление плагина из списка
Для редактирования параметров плагина или исключения плагина из черного списка необходимо:
- Нажать кнопку редактирования в строке интересующего плагина - .
- В открывшейся форме с параметрам выбранного плагина провести необходимые изменения параметров (см. рисунок 6).
- Для сохранения изменений нажать на кнопку "Сохранить". Для удаления плагина из черного списка нажать на кнопку "Удалить".
Откроется обновленный черный список плагинов.
Рисунок 6 -- Форма редактирования параметров плагина из черного списка
Подраздел "Оповещения по задержкам в обработке"
Основные элементы подраздела
В системе предусмотрена возможность отсылки оповещений при наступлении различных условий, связанных с разбором инцидентов.
Подраздел "Оповещения по задержкам в обработке" предназначен для настройки автоматических оповещений по задержкам в обработке инцидентов, формируемых Платформой Радар.
Рабочее поле подраздела "Оповещения по задержкам в обработке" состоит из трех блоков:
- Блок настроек временных отсечек для оповещений;
- Блок настройки режимов отправки оповещений;
- Блок настройки текстов для оповещений.
Настройка временных отсечек для оповещений
В Платформе Радар возможно настроить 3 контрольных отсечки по времени разбора инцидента (см. рисунок 7):
- Нормально – время, в пределах которого разбор инцидентов считается штатным (в днях);
- Небольшая задержка – время, в пределах которого разбор считается выполненным с небольшой задержкой (в днях);
- Задержка – время, в пределах которого разбор инцидентов считается выполненным с задержкой (в днях);
При превышении последнего порога указанного в поле "Задержка", время разбора инцидентов считается недопустимым.
Времена отсечки конфигурируются отдельно для каждого уровня риска инцидентов:
- высокий риск;
- низкий риск;
- средний риск;
- риск отсутствует.
Рисунок 7 -- Подраздел "Оповещения по задержкам в обработке", блоки настроек временных отсечек для оповещений и блок настройки параметров отправки оповещений
Для обновления времени контрольных отсечек необходимо:
- Нажать на кнопку в строке интересующего уровня риска;
- В открывшейся форме изменить значения временных отсечек (см. рисунок 8);
- Нажать на кнопку "Сохранить".
Рисунок 8 -- Редактирование времени контрольных отсечек для среднего уровня риска
Настройка режима отправки оповещений
В Платформе Радар возможно настроить следующие режимы отправки оповещений (см. рисунок 9):
- Отправлять оповещения при каждом изменении времени обработки - при активации опции оповещение будет отправляться при прохождении каждой временной отсечки, указанной для разбора инцидента.
- Отправлять оповещение единожды через <...> дн., после достижения последнего показателя времени удержания - при активации опции оповещение будет отправляться после прохождения последней сконфигурированной временной отсечки.
- Для инцидентов с риском "Высокий" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания - при активации опции оповещение для инцидентов с высоким риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
- Для инцидентов с риском "Средний" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания - при активации опции оповещение для инцидентов со средним риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
- Для инцидентов с риском "Низкий" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания - при активации опции оповещение для инцидентов с низким риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
- Для инцидентов с риском "Отсутствует" отправлять оповещение регулярно каждые <...> дн., после достижения последнего показателя времени удержания - при активации опции оповещение для инцидентов с отсутствующим риском будет отправляться после прохождения последней сконфигурированной временной отсечки.
- Отправлять группу сообщений раз в неделю. День недели <...> - при активации опции все накопившиеся оповещения будут отправляться единожды в указанный день.
Для сохранения настроек режима отправки оповещений нажмите на кнопку "Сохранить", расположенную внизу страницы под всеми блоками настроек.
Рисунок 9 -- Настройка режимов отправки оповещений
Настройка текстов для оповещений
Для оповещений по задержкам в обработке можно настроить следующий текст (см. рисунок 10):
- Общий текст, отправляемый в каждом оповещении;
- Текст сообщения об изменении времени удержания инцидента от "Задержки" до "Недопустимого" ;
- Текст сообщения об изменении времени удержания инцидента от "Небольшой задержки" до "Задержки" ;
- Текст сообщения об изменении времени удержания инцидента от "Нормального" до "Небольшой задержки".
Для сохранения настроек текста оповещений нажмите на кнопку "Сохранить", расположенную внизу страницы под всеми блоками настроек (см. рисунок 10).
Рисунок 10 -- Настройка текстов оповещений