актуальные новости и полезные материалы в telegram канале
 
Мои курсы
11 марта 2024

Статья 6. Администрирование/кастомизация/продвинутое применение

Цикл статей PT NAD Getting Started
Приветствуем вас на портале TS University!

В данной статье цикла мы поговорим про продвинутое администрирование PT NAD. Большое внимание уделим фильтрам поиска, правилам срабатывания активностей, репутационным спискам, а также некоторым другим, не менее важным функциям.

Фильтры

Начать статью про продвинутое администрирование необходимо с объяснения функционала фильтрации. Про первую часть данной функции было рассказано в статье про базовое администрирование, а именно в разделе «Фильтрации данных по периоду».

Здесь же мы расскажем о фильтрации сессий при помощи QL-подобного языка. Это существенно упрощает администрирование PT NAD ввиду огромного количества сессий, давая возможность навигации между ними и поиска конкретных сессий. Что по большей части и делает процесс расследования инцидентов более простым и удобным. Данная функция позволяет отсортировывать информацию во вкладках Дашборды, Сессии, Атаки и Сетевые связи.

Пользователю доступны разные способы сформировать фильтр: самостоятельно сформировать запрос, сформировать запрос по нажатию на параметр во вкладках или создать шаблоны фильтров и по ним выполнять фильтрацию.

При формировании запроса используется QL-подобный язык, в котором существуют:
  • параметр: атрибут сессии или вложенного объекта;
  • операция: сопоставление параметра и значения;
  • значение: значение, с которым сопоставляется параметр.
Условие может состоять только из самого параметра (в этом случае происходит проверка на наличие этого параметра). Не все типы данных поддерживают такую возможность.
Параметрами могут быть практические любые атрибуты сессии, например:
  • alert. Сессии с атаками;
  • alert.cls. Название класса атаки;
  • app_proto. Прикладной протокол;
  • dns. Сессии с протоколом DNS;
  • credentials.password. Пароль, выявленный в сессии.
Параметры, поддерживающие полнотекстовый поиск и где он выполняется:
  • alert.any. В информации об атаках;
  • any. В информации о сессиях;
  • files.any. В информации о файлах;
  • telnet.rqs. В запросах протокола TELNET;
  • mail.subject. В темах сообщений электронной почты.
То есть, грубо говоря, практически все атрибуты, помеченные голубым цветом в интерфейсе, могут стать параметром запроса. Такое описание допустимо из-за чрезвычайно большого количества доступных параметров, и полный их разбор превратилось бы в дополнительную статью.

Операциями при написании запроса являются стандартные операторы сравнения, логические операторы и операторы перечисления.

1. Операторы сравнения

2. Логические операторы

3. Прочие операторы

Можно создавать сложный фильтр на основе нескольких условий, разделяя их логическими операциями &&(and) и ||(or).

При указании порядка выполнения операций используются скобки, например:
Фильтр для поиска сессий с атаками, в которых участвует либо узел 192.168.0.1, либо узел 192.168.0.2:

alert && (host.ip == 192.168.0.1 || host. ip == 192.168.0.2)

Первый параметр alert используется здесь без аргументов и покажет атаки с любым приоритетом. В скобках применяется условие с логическим оператором ИЛИ.

В качестве дополнительной помощи оператору PT NAD имеет функцию дополнения фильтра при его вводе. Во время ручного написания фильтра под строкой фильтрации высвечивает контекстное меню с возможными дополнениями написанного.
Введенные фильтры можно сохранять для последующего более удобного пользования. Различают личные и общие фильтры. Личный фильтр также нужен для настройки уведомлений и создания правил генерации отчетов по расписанию.

Существует возможность копирования условия общего фильтра для создания личного.
Далее необходимо перейти к разбору инструментария продвинутого администрирования PT NAD. Данный инструментарий находится в левой верхней части стороне. Как уже было упомянуто: нами будут разобраны такие вкладки, как: «Администрирование» и «Настройки»

Начнем с вкладки «Администрирование».

В данной вкладке находятся такие инструменты:
  • Правила для активностей
  • Правила для атак
  • Группы узлов и портов
  • Репутационные списки
  • DGA-домены
  • Сенсоры
  • Хранилища
  • Пользователи
  • Роли и привилегии
  • Журнал аудита
  • Центр управления
Рассмотрим их подробнее.
Правила для активностей

В первой вкладке данного раздела располагается таблица с правилами, которые выполняют поиск подозрительных активностей в информационной инфраструктуре организации. Активность обнаруживается в цепочке сессий в отличие от атак, которые привязаны к конкретным сессиям. Данные правила поставляются вместе с правилами для атак и репутационными списками в составе лицензии PT NAD от экспертного центра PT ESC.

В первой вкладке данного раздела располагается таблица с правилами активностей. Каждое правило для активности можно отключить и изменить уровень опасности обнаруживаемой активности прямо в их табличном представлении (или же перейдя к конкретному правилу, кликнув на его название). Никакие другие изменения правил для пользователя недоступны. Самостоятельно создавать новые правила для активностей нельзя.
Поиск правил можно производить по их названию или идентификатору. Также доступна фильтрация правил по уровню опасности активности, состоянию (вкл/выкл) и наличию пользовательских изменений.

Во вкладке «Справочники» расположены исключения из правил активностей. Мы можем указывать имена узлов, ip-адреса, доменные имена и группы узлов отправителя и получателя, активности которых не должны проверяться правилом с указанным названием.
Исключения можно фильтровать по возрастанию/убыванию каждого из столбцов, а также осуществлять поиск по полям записей.

Правила для атак

Правила для атак — инструмент, который активируется после добавления лицензии и активации продукта путем загрузки экспертного списка правил PT ESC.
При помощи данных правил PT NAD анализирует сетевой трафик на наличие определенных признаков в сетевых пакетах, которые характеризуют определенную атаку.
Правила могут детектировать эксплуатацию уязвимостей, инструментарий хакеров, активность ВПО. А при помощи анализа MITRE ATT&CK — ещё и тактики и техники атакующих. Правило также определяет свойства атаки (название, класс и уровень опасности) и может содержать справочную информацию о ней (например, описание эксплуатируемой уязвимости и рекомендации для оператора).
После загрузки правил в PT NAD с правилами можно выполнять следующие операции:
  • включать и выключать;
  • добавлять исключения;
  • копировать;
  • изменять параметры:
  • действие;
  • уровень опасности;
  • протокол, к сообщениям которого применяется правило;
  • сети и порты отправителя и получателя.
Страница инструмента «правила для атак» состоит из множества дополнительных инструментов:
  • Поле фильтрации, которое находится в верхней части инструмента.
  • Основного поля, в котором в табличном виде отображаются загруженные правила.
  • Дополнительного окна расширенной информации о правиле для атаки.
  • Дополнительного поля «Исключения», которые пользователь может настроить вручную под конкретные параметры организации, чтобы скорректировать работу некоторых правил.
  • Функции создания пользовательских правил.
  • Функции импорта дополнительных правил для атак. Например, правила Proofpoint ET Open и Proofpoint ET Pro, если необходима дополнительная экспертиза.
Все эти функции будут подробнее рассмотрены подробнее ниже.

Фильтрация
Необходимо начать с функции фильтрации основного поля правил для атак. Оно расположено в верхней части основной страницы и позволяет фильтровать доступные правила.
Фильтрацию можно выполнять по следующим полям:
  • Название правила или SID. Название правила, данное вендором или пользователем при создании SID – уникальный номер правила;
  • Опасность. Соответственно вкладке «Атаки» правила для атак делятся на 4 категории: высокая, средняя, низкая и другие события(события не являющиеся атаками, но на которые следует обратить внимание);
  • Класс. Классы атак, записи о которых генерируются при срабатывании правил в раскрывающемся списке «Класс»;
  • Вендор. Выбор вендора правил;
  • Клиент. IP-адреса клиентов;
  • Сервер. IP-адреса серверов
В эти поля также можно вводить диапазоны адресов, подсети и названия групп узлов в формате $<Название группы>. PT NAD выполнит точный поиск по полям Сети блоков «Откуда» (для клиентов) и «Куда» (для серверов) из карточек правил. Поиск по клиентам и серверам не учитывает отдельные IP-адреса, входящие в диапазоны, подсети или группы узлов, указанные в правилах.
  • Вкладка «Еще» позволит отфильтровать по состоянию, наличию пользовательских изменений и исключений.
Также данный инструмент фильтрации работает для списка исключений.

Основное поле
Ниже представлен список загруженных правил для атак с возможностью их отключения, краткой справкой об атаке и функцией перехода к карточке атаки для получения полной информации о правиле.
Для каждого правила указаны следующие данные:
  • Включено. Управление состоянием правила;
  • Пользовательские изменения. Наличие в строке правила значка говорит о том, что правило было изменено вами или другим пользователем PT NAD (если правило пользовательское, то значок указывает на отличие правила от его первоначальной версии);
  • Ошибки. Наличие значка в строке правила означает, что PT NAD обнаружил ошибки в правиле при его валидации (текст ошибки отображается по наведению курсора на этот значок);
  • Название. Название правила и записей об атаках, которые генерируются при срабатывании правила;
  • ! — уровень опасности атак, записи о которых генерируются при срабатывании правила;
  • Класс. Класс атак или других событий, записи о которых генерируются при срабатывании правила;
  • Вендор. Поставщик правила. У пользовательских правил вместо наименования вендора написано <local>;
  • SID. Идентификационный номер правила в продукте;
  • Ревизия. Версия правила (обновляется при изменении названия, класса или текста правила);
  • Действие. Реакция на срабатывание правила (Pass — сетевое взаимодействие безопасно, никаких действий не выполняется; Alert — предупреждение об атаке);
  • Направление. Адреса и сетевые порты отправителей и получателей сетевых запросов, для которых срабатывает правило, в формате <Сети отправителей> <Порты отправителей> → <Сети получателей> <Порты получателей>;
  • Протокол. Название протокола транспортного или прикладного уровня, для которого срабатывает правило;
  • Исключения. Количество исключений из правила;
  • Обновлено. Дата и время появления текущей ревизии правила (для первой ревизии — дата и время создания правила).
Отдельно необходимо отметить правила, которые используются для поиска активностей, связанных с флудом, сканированиями и ICMP-туннелями. Данные правила отличны и, к примеру, не могут выключены, изменены или скопированы.
Карточка правила для атаки
При нажатии на правило откроется карточка правила.
В данной карточке показан индикатор состояния правила, продублирована информация из табличного представления правил, показаны внесенные исключения в правило. Само правило отображено в синтаксисе написания правил Suricata 5.

И если есть, то отмечены описание, рекомендации, вовлеченные в атаку ОС и ПО и ссылки на описание атаки в базах знаний CVE, Securelist, MITRE ATT&CK и других.
Правила Positive Technologies, которые используются для поиска активностей, связанных с флудом, сканированиями и ICMP-туннелями, не используют сигнатурный движок — такие правила не представлены в текстовом виде.
Исключения
Под панелью фильтрации на главной странице инструмента «Правила для атак» доступна вкладка «Исключения». Данная вкладка позволяет создавать, просматривать и изменять параметры, при которых правило или правила не должны срабатывать.

Например, чтобы не тратить время на обнаружение ложных срабатываний правила: вы можете добавить IP-адреса, доменные имена, идентификаторы или группы узлов доверенных клиентов и серверов в таблицу исключений из этого правила.
Внесенные исключения продолжают работать при обновлении правил, и в отличие от правил, внесенные изменения в исключениях не требуют синхронизации для работы.

Создать исключение можно как из вкладки «Исключения» так и из карточки конкретного правила. А также из карточки атаки, которая была сгенерирована при помощи правила, и из карточки сессии, которая также была сгенерирована при срабатывании правила. Исключения доступны для просмотра, изменения и удаления всем пользователям PT NAD.

Для каждого исключения указаны следующие данные:
  • Клиенты. Адреса отправителей сетевых запросов, для которых действует исключение;
  • Серверы. Адреса получателей сетевых запросов, для которых действует исключение;
  • Правило. Название правила для которого настроено исключение (по нажатию на название открывается карточка правила);
  • SID. Идентификатор правила, для которого настроено исключение;
  • Изменено. Время последнего изменения исключения;
  • Пользователь. Фамилия и имя пользователя, добавившего исключение;
  • Комментарий. Комментарий к исключению, оставленный пользователем.
Создание пользовательских правил. Изменение и копирование правил.
PT NAD предполагает создание пользовательских правил для адаптации под конкретную ситуацию и среду заказчика.
Также создание правил позволяет аналитику лучше структурировать свою работу при помощи написания правила, которое поможет отследить особую активность, не отслеживаемую фильтрами (например, при неизвестном протоколе).
Перед описанием, где конкретно находится инструмент для создания, изменения и копирования правил, необходимо описать структуру правила. Правило состоит из обязательных частей: заголовка правила и тела правила.

Заголовок правила состоит из:
  • Действие: alert/pass. Действие pass приоритетнее, чем alert. При генерации сессии этим правилом она перестает инспектироваться другими правилами;
  • Протокол взаимодействия: tcp/dns/http/…. Протокол может быть выбран только один.
  • Адреса источника и получателя (src & dst): $HOME_NET/EXTERNAL_NET/99.99.99.99/any/…;
  • Порты источника и получателя (src & dst): any/5000/[80,81]/…
Примечание: Можно исключать некоторые порты и адреса, подставив перед выражением «!».
  • Направление трафика: ->/<>;
Тело правила состоит из обязательных и необязательных частей.
Обязательными частями будут:
  • sid — уникальный идентификатор;
Примечание:PT NAD не сможет обработать два правила с одинаковым идентификатором. При создании правила через web-интерфейс PT NAD самостоятельно выдаст уникальный идентификатор.
  • rev. Версия правила;
  • msg. Сообщение правила, в случае с PT NAD это также будет названием правила;
  • classtype. Класс атаки в web-интерфейсе можно выбрать из выпадающего списка.
Необязательные части правила являются необязательными только потому, что правило без них можно создать, и оно будет функционировать. Однако именно в необязательной части находятся основные параметры для детектирования атак, и желательно разобраться в их синтаксисе.

Некоторыми необязательными частями будут:
  • content. Искомые байты: «SIP/»,"UDP/","POST", «target=».
Примечание:После content часто добавляют модификаторы поиска. Их великое множество, и про каждый рассказать невозможно.
Вот часть из них:
  • nocase. Указывает на то, что нужно искать регистронезависимо;
  • depth. Задает глубину поиска;
  • distance. Сколько байт нужно пропустить от предыдущего контента.

Также одной из необязательных частей тела правила, но довольно важной, является модификатор flow. Он указывает на направление трафика, на которое необходимо срабатывать правилу.

Вот некоторые из часто используемых параметров:
  • to_client;
  • to_server;
  • from_client;
  • from_server;
  • established (только установленные соединения)

Это некоторые из необязательных частей тела правила. При написании правил и поиска дополнительной информации мы настоятельно рекомендуем перейти на официальный сайт разработчика Suricata и ознакомиться с материалами. Так как у PT NAD нет собственной документации по написанию правил, а в данную статью эта информация не была добавлена из-за её объёмности.
Ссылка на документацию: https://docs.suricata.io/en/suricata-5.0.9/rules/index.html
После базового ознакомления с принципом создания правил для атак можно перейти к самим функциям создания, копирования и изменения правил.
Создать правило можно, нажав на иконку «+ создать» в основном окне правил для атак. При нажатии откроется окно, где в верхней части будут отображены параметры, которые пользователь может выбрать самостоятельно. Под параметрами будет отображено окно с текстом правила, которое уже включит в себя обязательные элементы правила. Окно с текстом интерактивное, и после выбора параметров для обязательных элемента правила туда можно начать вписывать необходимый контент.

После написания правила необходимо нажать на кнопку «сохранить»: правило создано. Продукт начнет использовать правило для анализа трафика только после синхронизации.
Пока правило не синхронизировано — PT NAD будет отображать желтый индикатор мониторинга состояния.
Далее речь пойдет о функции изменения правила. Это доступно из карточки правила в правой части при нажатии на иконку «изменить».

При изменении пользовательских и правил «из коробки» существует важное замечание: в отличие от пользовательских правил правила от PT ESC нельзя менять полностью. Возможно только изменить действие, уровень опасности, протокол, адреса и порты источника и получателя.
При изменении правила запускается автоматическая проверка синтаксиса. Продукт не сохранит правило, пока ошибки не будут исправлены. Также после изменения правила будет выделен исходный текст и измененный текст.
Если правило было изменено, после синхронизации отображается также текст его исходной версии, а различия между актуальной и исходной версиями выделены полужирным шрифтом в тексте актуального правила. Если в правиле изменились название, класс или текст, то в поле «Ревизия» отображается новый номер версии правила, а в поле «Обновлено» дата и время появления новой ревизии.

Функция копирования доступна под функцией «Изменить» и помогает в ситуации, когда необходимо, например, изменить правило PT ESC или просто создать новое правило на основе какого-то. PT NAD создает идентичное правило, которое можно редактировать как угодно пользователю.

Импорт правил
По желанию пользователь может добавить дополнительные правила от сторонних вендоров или из общедоступных источников, таких как Proofpoint ET Open. Функция «импортировать» находится справа от функции «создать».

При нажатии на функцию открывает окно, в которое необходимо переместить (или выбрать в поисковой системе) заранее скачанный или написанный самостоятельно набор правил. Нажать на кнопку импортировать и дождаться интеграции правил.
Добавленные правила также требуют синхронизации и не будут задействованы в работе до этого.

Группы узлов и портов

PT NAD позволяет объединять узлы и порты в отдельные группы. Например, группы внутренних и внешних узлов, группа узлов в сегменте DMZ или группа HTTP-портов. Группы портов и узлов отображаются в одноименном разделе меню Администрирование.

Эти группы предназначены для использования в правилах атак. В наборе правил, поставляемых вместе с продуктом и лицензией, используются только три группы узлов: HOME_NET, EXTERNAL_NET и DC_SERVER.

Они содержат в себе узлы в локальной сети, внешней сети и контроллеры домена соответственно, и не использует ни одну группу портов. Однако вы можете использовать другие группы в своих пользовательских правилах и при внесении изменений в правила от вендоров. Кроме того, в карточках сессий будет указано, если узел относится к той или иной группе, что дает дополнительную информацию при проведении расследований инцидентов.

Отметим, что все три упомянутые группы присутствуют в продукте по умолчанию. Однако группа DC_SERVERS имеет изначально пустой набор узлов. По данной причине в некоторых правилах атак обнаруживаются ошибки. Для их исправления необходимо указать перечень узлов данной группы.
Группы могут попадать в продукт тремя способами: присутствовать там по умолчанию, создаваться пользователем или создаваться автоматически при загрузке правила, содержащего новую группу.

Количество элементов группы не ограничено.

При добавлении элементов в группу вы можете использовать спецсимволы:
  • ! — исключение;
  • : — диапазон;
  • [ ] — объединение;
  • , — разделение, перечисление;
  • $<Название группы> — ссылка на другую группу.

Репутационные списки

Репутационные списки — это вкладка с дополнительным способом проверки трафика у PT NAD. по умолчанию он состоит из индикаторов компрометации от PT ESC, или от PT Cybsi Provider (если интеграция с этим компонентом MaxPatrol SIEM была настроена администратором PT NAD).
В PT NAD существуют четыре типа репутационных списков:
  • IP-адреса;
  • доменные имена;
  • URL;
  • хеш-суммы файлов, вычисленные по алгоритму MD5.
В PT NAD отсутствует возможность просматривать, изменять и удалять репутационные списки Positive Technologies
Для обнаружения новейших угроз в информационной инфраструктуре организации PT NAD периодически анализирует ранее завершенные сессии в потоковом хранилище с использованием новых и измененных репутационных списков. Такой анализ называется ретроспективным. PT NAD по умолчанию проверяет наличие обновлений репутационных списков и правил каждый час. Ретроспективный анализ выполняется тоже каждый час.
Пользователь способен самостоятельно создавать репутационные списки. Для этого необходимо справа от названия инструмента кликнуть на кнопку создать. После данного действия справа отобразится окно добавления нового репутационного списка. Там пользователь может задать тип репутационного списка, название, цвет для различия, описание и список необходимых для внесения элементов.
Если репутационный список был создан вами или другим пользователем PT NAD, вы можете просмотреть элементы этого списка в его карточке.
Вы можете изменять и удалять только те репутационные списки, которые были созданы пользователями через веб-интерфейс или сторонними приложениями через API без указания параметра external_key.

DGA-домены

DGA (Domain generation algorithms) способны автоматизированно генерировать доменные имена, которые могут быть использованы злоумышленниками для взаимодействия с зараженными устройствами. Вредоносное П О с имплементированным в него DGA способно обращаться на подконтрольные злоумышленникам системы для получения команд или отправки собранных данных.

Использование доменов, сгенерированных алгоритмом (DGA-доменов), делает подход блокировки отдельных доменных имен практически бесполезным. Поэтому в PT NAD используется машинное обучение для обнаружения DGA-доменов.

При обнаружении DGA-домена в сессии соответствующий баннер будет отображен в карточке сессии, а также в столбце IOC в таблице с сессиями. Если в данной сессии была обнаружена атака, то она будет соответствующим образом промаркирована в таблице атак и в карточке атаки.
Если в результате работы механизма обнаружения DGA-доменов присутствуют ложноположительные срабатывания, то в разделе «Администрирование» →DGA-домены вы можете добавить доверенные домены второго уровня. Эти домены и все их поддомены не будут проверяться механизмом.

Управление сенсорами и BGP фильтр

На странице «Сенсоры» отображаются подключенные сенсоры, которые захватывают трафик. Информация представлена в табличном виде. Присутствуют три столбца: переключатель работы сенсоров (включить/выключить), названия сенсоров и примененные фильтры захвата трафика.

Название сенсора задаются пользователем при настройке компонента ptdpi на этапе установки PTNAD в файле ptdpi.settings.yaml в графе sensor_name. По умолчанию название задается локальным именем хоста, на котором установлен сенсор.
Данная вкладка имеет две функции:
  • Включение и отключение отдельных сенсоров.
Примечание: Если сенсора отключить, индикатор мониторинга PT NAD отобразится красным цветом и будет сигнализировать об отключенном сенсоре.
  • Добавление фильтров захвата трафика.
PT NAD имеет инструмент исключения нежелательного трафика из захвата.
Можно настраивать фильтр захвата трафика на сенсорах по:
  • IP-адресу или по подсети;
  • сетевому порту или группе портов;
  • протоколу транспортного уровня.
Фильтры захвата трафика пишутся на языке фильтрации Berkeley Packet Filter (BPF).
Ниже приведены примеры фильтров:

Хранилища

В PT NAD существуют два инструмента для работы с хранилищами: «Список хранилищ» и «Хранилища». О первом было рассказано в предыдущей статье. Второй же инструмент является его дополнением и необходим для отображения подробной информации о хранилищах.

Также в данном инструменте доступен импорт трафика, возможность удаления хранилищ и поиск по атрибутам, в отличие от инструмента «Список хранилищ» здесь нельзя выбрать хранилище для работы.
В инструменте «Хранилища» информация представлена в табличном виде.
Используются следующие столбцы:
  • Название хранилища
  • Пользователь, создавший хранилище
  • Объем трафика в хранилище (относится только к выделенным хранилищам)
  • Временной период захваченного трафика
  • Дата и время создания хранилища
  • Дата и время последнего импорта трафика в хранилище
  • Путь в файловой системе сервера до директории, в которой хранятся дампы трафика из указанного хранилища
  • Описание хранилища. По умолчанию пустой столбец, который оператор заполняет самостоятельно. Описание видно всем пользователям, имеющим доступ данному инструменту. Можно изменить свой или чужой комментарий, нажав на ссылку с текстом этого комментария.
Отфильтровать хранилища можно либо по строке поиска, либо нажав на конкретный столбец таблицы. В списке потоковые хранилища отображаются первыми, независимо от сортировки данных в таблице. Кроме того, у потоковых хранилищ, в отличие от выделенных, в таблице отсутствуют информация о трафике и его импорте, имя создателя и путь хранения на сервере.

Пользователи

Данный инструмент позволяет создавать, изменять, удалять и блокировать учетные записи пользователей.
Инструмент предоставляет информацию о пользователях в табличном виде.
Присутствуют следующие столбцы:
  • Переключатель блокировки пользователя
  • Логин
  • Имя и фамилия пользователя
  • Роль
  • Электронная почта
  • Телефон
  • Дата и время добавления пользователя в систему.
В окне инструмента сверху присутствуют функции создания, изменения и удаления пользователей. В процессе создания пользователя обязательно выбрать роль пользователя, логин, пароль, внести данные об электронной почте, имени и фамилии пользователя.

Такие поля, как номер телефона и отчество, являются необязательными. Правила задания пароля высвечиваются в окне создания пользователя и имеют индикацию. Пока пароль не будет им соответствовать, они будут отмечены серыми крестиками, иначе будут отображены зеленые галочки.

Присутствуют функция автоматической генерации пароля. По нажатию PT NAD сгенерирует стойкий пароль, состоящий из 19 символов. Кроме того, есть функция смены пароля при входе в учетную запись. Это может пригодиться, чтобы пользователь сам выбрал себе пароль, а не администратор. При внесении телефонного номера возможно использовать только цифры.

Внесение телефонного номера, начинающегося с «+» невозможно.
Изначально доступна только учетная запись администратора с именем John Doe. Данная учетная запись настраивается, как и все прочие, за исключением того, что невозможно изменить логин и роль, а также невозможно заблокировать и удалить данную учетную запись.

Учетная запись администратора может быть не одна. Права администратора дает роль «Администратор» и может выдана всем вновь созданным пользователям (что однако, не рекомендуется).

Роли и привилегии

В PT NAD различия между пользователями главным образом состоит в различии ролей, которые определены этим пользователям. Как уже было сказано в части про пользователей, существует роль Администратора, которая дает соответствующие права. Это не единственная роль, которая доступна для настройки пользователей. По умолчанию предоставлена еще роль Оператора, которая разрешает просмотр собранного трафика, учетных записей, правил, групп узлов и портов, репутационных списков и работающих сенсоров.

Также доступен экспорт и импорт PCAP файлов, перенос захваченного трафика в хранилище, скачивание файлов, извлеченных из трафика. Роли Администратора и Оператора изменять каким-либо образом нельзя.
Если настроена аутентификация с помощью сервиса единого входа PT MC, то функция управления ролями и привилегиями недоступна.
Набор прав для ролей представлен в удобном табличном виде, как и практически вся информация в PT NAD. Сверху представлены роли, слева — доступные привилегии. Если определенная привилегия дана роли, то она отмечается серой галочкой под ролью напротив названия привилегии.

Верно предположение, что в PT NAD представлена функция создания пользовательских ролей, где пользователь с правом управления ролями и привилегиями способен создавать, изменять и удалять дополнительные роли для пользователей. В верхней левой части WEB-страницы есть функции «Изменить» и «Добавить роль».

Изменять, как уже было сказано, можно только созданные пользовательские роли. При нажатии на кнопку «Добавить роль» в таблице ролей и привилегий будет добавлена новая роль с пустым набором привилегий, которые указывает пользователь. Здесь же можно переименовать созданную роль.

Журнал аудита

Данный инструмент позволяет прямо в PT NAD просматривать логи. События представлены в табличном виде.
В инструменте можно:
  • Сортировать логи по категориям
  • Выполнять поиск конкретных событий по названию атрибутов
  • Удалять события (, но при этом выполняется уведомление в этом самом журнале об удалении)
  • Включать и выключать запись событий
Журнал аудита содержит в себе следующие категории:
  • Время события
  • Пользователь
Примечание: системные действия и уведомления в журнале аудита будут показаны от пользователя system.
  • Действие (modify, install, login, import, create)
  • Тип объекта (data, storage, detection_rule, system, replist)
  • Объект (название объекта в PT NAD)
Пример: системное уведомление о состоянии кластера Elasticsearch будет иметь имя объекта «elastic_status», запись о входе в учетную запись администратора будет имя объекта «administrator».
  • Результат
  • Детали (комментарии к событию)
Отдельно необходимо рассказать про функцию удаления событий. При удалении будет высвечено, что было совершено удаление события и каким пользователем. В типе объекта будет высвечено «audit». А в деталях — количество удаленных событий и временной период, в котором это событие было записано в журнал. При этом какое конкретно событие удалено, отмечено не будет.

Центр управления

Центр управления — это вспомогательный инструмент, в котором находится информация по примененной лицензии. Там находится информация по номеру лицензии, ее серийному номеру, срок действия и ограничения.
Также в функцию центра управления входит индикация состояния автообновления правил и репутационных списков. Еще: наименование вендора, который будет представлять правила и репутационные списки, их версию, а также дату когда, база знаний выпущена и установлена в PT NAD.
Заключительной функцией данного инструмента является отображения версий как самого PT NAD, так и его компонентов.

Настройки

Название данной вкладки условное, потому как в самом PT NAD данная вкладка носит название по имени пользователя.
Первые две вкладки в данном инструменте: это вкладки «Личные данные» и «Смена пароля».

Соответственно, в личных данных пользователь может менять свой логин, ФИО, а также электронную почту и номер телефона. А во вкладке «Смена пароля»: изменить пароль используемой учетной записи.
Далее идет вкладка «Настройка интерфейса». В данной вкладке можно выбрать язык интерфейса (доступны только Английский и Русский языки), а также выбрать часовой пояс. Также тут доступно переключение отображения дополнительных сведений в карточках сессий и атак.

Под дополнительной информацией подразумеваются метаданные сессии в формате JSON, сформированные в ходе обогащения сессии. Затем идет вкладка «Настройка уведомлений». В данной вкладке доступен выбор отображения уведомлений. Можно выбрать, присылать ли их на электронную почту и показывать ли в ленте активностей.
Последней вкладкой идет «Настройка отчетов» в данной вкладке можно создать регулярные отчеты о трафике из потоковых хранилищ по выбранному фильтру.

Можно выбрать формат между PDF и DOCX, а также периодичность отчетности: каждый день или каждую неделю и выбрать время создания отчета.

Заключение

На этом наш обзор продвинутого интерфейса PT NAD закончен. В данной статье был рассмотрен функционал группы инструментов «Администрирование», «Центр управления» и «Настройки», также была затронута фильтрация по атрибутам.

В следующем материале будут рассмотрены интеграции PT NAD c различными продуктами Positive Technologies.
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
Сертифицироваться