Обзор возможностей

Коллеги, приветствую вас в третьей статье цикла MaxPatrol VM Getting Started. В прошлой статье был описан процесс установки и базовой настройки компонентов системы. В этой части мы поговорим о web-интерфейсе и разберем возможности продукта.

MC обеспечивает единую среду для аутентификации пользователей, управления их
учетными записями и интеграции различных продуктов Positive Technologies.
Тут вы можете управлять учетными записями, настраивать подключение к LDAP и синхронизировать права доступа с группами Active Directory.

На данной вкладке производится управление учетными записями в VM. В первую очередь рекомендуется настроить LDAP-подключение. Для этого переходим на вкладку “Настройка LDAP-подключения” и вводим необходимые данные для подключения и синхронизации.

В нижней части вы можете настроить соответствие групп AD и ролей в MP VM для каждого конкретного компонента.

В системе присутствуют несколько базовых ролей. Вы можете создать копию одной из имеющихся ролей, настроить ее под свои нужды и присвоить определенным учетным записям.

Забегая вперед отмечу, что для каждой роли можно настроить ограничения доступа к объектам инфраструктуры. Данная настройка производится уже в компоненте MaxPatrol 10.

В качестве примера: вам необходимо запустить в VM IT-специалистов, отвечающих только за активы под управлением Windows и настроить привилегии таким образом, чтобы другие активы были им недоступны. В таком случае вам необходимо создать отдельнуют роль, перейти в MaxPatrol 10 - Система - Права доступа, выбрать созданную роль и присвоить доступ к определенным группам активов.

В журнале действий можно отслеживать какие конкретные действия выполнял тот или иной пользователь.

MP10 Core — основной компонент, с которым вы будете взаимодействовать 95% времени. Он является основным компонентом системы, ее управляющим сервером.

MP 10 Core устанавливается в центральном офисе компании или в крупных территориальных и функциональных подразделениях и выполняет следующие функции:

• централизованное хранение конфигурации активов;
• централизованное управление всеми компонентами системы;
• оперативное реагирование на инциденты информационной безопасности;
• обеспечение взаимодействия подразделений организации при расследовании инцидентов;
• автоматизация процесса управления уязвимостями;
• поддержка веб-интерфейса системы.

Рассмотрим подробнее из чего состоит и какие возможности предоставляет Core.

При входе в MaxPatrol VM открывается страница с дашбордами. На главной вам доступна информация, расположенная на виджетах и дашбордах.

Виджет — это отдельный графический элемент представления данных, например, гистограмма или таблица. Дашборд — это страница, содержащая набор виджетов.

При работе с дашбордами вы можете:
1. Создавать пользовательские дашборды на основе стандартных шаблонов, содержащих разметку для размещения виджетов.

2. Настраивать состав виджетов на пользовательских дашбордах, выбирая их из библиотеки виджетов, и менять расположение виджетов на дашборде.

При работе с виджетами вы можете:
1. Просматривать данные на виджетах, сохранять информацию, представленную на диаграммах, в PNG-файл.

2. Настраивать виджеты в соответствии с видом представления информации (количественные показатели, диаграммы без распределения данных во времени, диаграммы с распределением данных во времени).

3. Переходить к просмотру детальной информации, нажимая на элементы виджетов.

В системе присутствуют стандартные виджеты, но вы можете создавать свои и также размещать их на дашбордах. Процесс создания собственных виджетов будет описан в части статьи, посвященной активам.

На странице Активы отображается информация об активах, которые добавлены в систему, а также о группах активов и запросах для фильтрации активов. По умолчанию
отображаются все активы, данные о которых есть в системе, из групп, к которым у вас есть доступ (включая вложенные группы). Данные об активах добавляются в систему с
помощью задач по сбору данных.

Про более детальную работу с активами мы поговорим в следующих статьях данного курса.

Панель групп активов представляет собой иерархический список статических и динамических групп, которые создает пользователь.

Типа групп всего два: статическая и динамическая. Статическая группа наполняется вручную или включает в себя все активы, которые попали в вложенные динамические группы. В свою очередь динамическая группа наполняется автоматически исходя из данных, которые вы вписали в фильтр.

Структуру и список динамических групп вы составляете и наполняете сами исходя из ваших потребностей.

Вся работа с активами/уязвимостями происходит в центральной части вкладки “Активы”. Перед вами всегда будет какая-то таблица с выводом записей, которые вы вписали в запрос в верхней части экрана.

В PDQL-запрос вы забиваете необходимые вам параметры, по которым будет производиться выборка из базы активов, присутствующих в системе.

Над выведенной выборкой данных вы можете совершать дополнительные действия (группировать, сортировать, агрегировать, объединять и тд).

Пример простого запроса, который выводит все подобранные во время сканирования учетные записи на активах:

Пример запроса с группировкой и агрегацией, позволяющий вывести все учетные записи, имеющий привилегии локальных администраторов на Windows-активах:

Под группами активов есть колонка “Запросы”, в которой присутствует большое количество стандартных запросов, разработанных вендором. Туда же вы можете сохранять свои собственные запросы и пополнять свою базу.

Важный момент — запросы применяются к выборке активов. Вы можете выбрать необходимую статическую или динамическую группу, в которой присутствуют активы, и применить к ней запрос. В таком случае запрос будет выводить вам информацию только по тем активам, которые находятся в группе.

Любой запрос можно преобразовать в собственный виджет и использовать его как на странице с дашборами, так и при выводе в отчеты.

При работе на вкладке активы в правой части экрана у вас будут карточки активов и паспорта уязвимостей. Карточки и паспорта будут соответствовать выбранной в табличном представлении записи:

В карточке актива содержится следующая информация:

• полная конфигурация;
• уязвимости;
• история изменений;
• принадлежность статическим и динамическим группам;
• требования к метрикам cvss.

Самые основные функции карточек актива это:

1. Возможность построения фильтров PDQL и динамических групп исходя их параметров актива.

2. Сравнение конфигурации актива в разные промежутки времени.

Паспорта уязвимостей позволяют определить на каких активах и в каких группах присутствует данная уязвимость. Также присутствует полная информация о самой уязвимости с детальным описанием и рекомендациям по устранению.

На данной вкладке происходит основная работа по сканированию инфраструктуры.
Про выстраивание правильного процесса сканирования мы поговорим в следующей статье, а сейчас просто рассмотрим, что где находится и за что отвечает.

Тут хранятся справочники, которые можно использовать при подборе учетных записей. В коробке присутствует некоторое количество справочников, вы также можете создать и наполнить свои собственные.

Сюда необходимо заводить учетные записи для сканирования в режиме Audit (белый ящик). Про варианты сканирования мы поговорим в следующей статье.

Вы можете заводить как обычные учетные записи, так и дополнительные сертификаты.

Тут содержатся базовые профили сканирования различных систем.

Профиль — шаблон настройки модуля, описывающий особенности сбора событий с источников или аудита активов. Профили используются для сохранения параметров модулей. Профили бывают стандартные и пользовательские. Стандартные профили предустановлены, вы не можете их изменять и удалять. На базе стандартных вы можете создавать пользовательские профили и настраивать параметры сбора данных.

Для получения данных с IT-инфраструктуры организации в MaxPatrol VM необходимо создать задачу. В задаче необходимо указать цели, с которых нужно получить данные, например, IP-адреса или добавленные в систему активы (группы активов). Вы можете запускать задачу вручную или настроить запуск по расписанию. В рамках задачи система создает подзадачи, которые выполняются автоматически. В зависимости от выбранного в задаче профиля с помощью компонента MP 10 Agent запускается соответствующий модуль для сбора данных.

Используя пункты раздела Система главного меню, вы можете открывать страницы для работы со всеми отчетами, списками проверок, позволяющих правильно настроить VM; получать информацию о состоянии MaxPatrol VM. Вкладку “Права доступа” мы рассматривали выше, когда говорили о Management and Configuration.

Тут находятся все отчеты, созданные в системе. Отчеты создаются через отдельные задания по созданию отчетов. В системе присутствует некоторое количество шаблонных отчетов, но мы рекомендуем собирать свои.

Страница позволяет работать с задачами для отправки уведомлений. Уведомления настраиваются очень гибко, можно настроить уведомления практически о любых событиях в системе.

Тут скрывается основное преимущество VM перед аналогами. Вы можете перенести существующие договоренности с IT по планомерному закрытию уязвимостей в инфраструктуре прямо в сканер безопасности и следить за их выполнением. Более подробно о политиках мы поговорим в следующих статьях данного цикла.

Кратко о возможностях:
1. Политики значимости активов предназначены для разделения всей инфраструры по степени критичности. Каждому активу присваивается определенная степень критичности и в дальнейшем процесс закрытия уязвимостей выстраивается по принципу “В первую очередь закрываем на самых важных активах, потом остальное”.

2. Сроки актуальности данных Pentest и Audit позволяют вам контролировать степень актуальности данных о сканированиях и предотвращают возможность выпадения каких-то активов из цикла сканирования.

3. Статусы уязвимостей позволяют категоризировать уязвимости и контролировать договоренности с IT.

4. Отметка “важное” помогает выделять наиболее критичные уязвимости, с которых необходимо начинать.

На странице "Управление системой" отображается информация о состоянии компонентов MaxPatrol VM. Тут вы можете ознакомиться с действующей лицензией, проверить состояние агентов и базы знаний, а также следить за очередями по обработке активов.

Тут находятся проверки с базовыми настройками VM, которые помогут вам сделать первые шаги при внедрении продукта.

На этом статья подошла к концу. Мы обошли практически весь Web-интерфейс и ознакомились с большей частью возможностей MaxPatrol VM в теории. В следующей статье мы займемся практикой и наконец начнем работу с продуктом.

Автор: Роман Журавлёв, инженер TS Solution