Техническая сторона Overview Center

Коллеги, добрый день! Эта статья является заключительной в цикле по продукту PT ISIM. В ней мы разберем основной функционал продукта и технические элементы командного центра (Обновление узлов, работа в офлайн-режиме, передача инцидентов syslog и т.д.).

PT ISIM Overview Center позволяет централизованно обновлять все нижестоящие узлы View Sensor (в том числе подключенные не напрямую, а через другие узлы Overview Center).

Для того, чтобы пакеты с обновлениями автоматически появлялись на Overview Center, требуется подключить PT ISIM Overview Center к серверу обновлений с помощью специального ключа, который поставляется вместе с продуктом.

Чтобы подключить PT ISIM Overview Center к серверу обновлений:

1. В панели инструментов выберите пункт Узлы ISIM → Подключение к серверу обновлений.

2. Нажмите кнопку Загрузить ключ и в открывшемся окне выберите ключ для подключения к серверу обновлений.

В случае успешной загрузки ключа отобразится его идентификатор и срок действия.

3. В раскрывающемся списке Проверка обновлений выберите частоту, с которой PT ISIM Overview Center будет проверять наличие обновлений на сервере обновлений и скачивать их по мере доступности.

PT ISIM Overview Center позволяет централизованно обновлять узлы View Sensor. Для обновления требуется подключить узел Overview Center, расположенный на верхнем уровне архитектуры PT ISIM, к серверу обновлений или, при отсутствии сетевого соединения с сервером обновлений, установить обновление в офлайн-режиме.

Чтобы обновить узлы View Sensor:

1. В панели инструментов выберите пункт Узлы ISIM → Обновление View Sensor. В нижней части окна Обновление View Sensor отображается последняя версия обновления, полученная PT ISIM Overview Center.

2. Если необходимо установить версию обновления, отличную от последней, нажмите кнопку К списку версий. В открывшемся окне выберите версию обновления.

3. Выберите узлы View Sensor, на которые вы хотите установить указанную версию, и нажмите кнопку Установить.

Также присутствует возможность фильтрации версий и просмотра статуса обновлений.

Для отображения подключенных узлов PT ISIM на географической карте и получения обновлений PT ISIM Overview Center требуется доступ в интернет. Если у PT ISIM Overview Center отсутствует доступ в интернет, но имеется сетевое соединение с подключенными узлами, вы можете реализовать эти функции, установив пакеты обновлений и географическую карту вручную на сервере с PT ISIM Overview Center.

Если Overview Center не подключен к серверу обновлений (например, отсутствует доступ в интернет или сетевое соединение с этим сервером), вы можете запросить специальный пакет с обновлением и вручную установить его на сервере Overview Center. После установки начнется автоматическая передача обновления подключенным узлам View Sensor. Если в вашей инсталяции PT ISIM есть несколько узлов Overview Center, то обновление требуется установить только на стороне Overview Center, расположенного на самом верхнем уровне: все нижестоящие узлы, в том числе подключенные не напрямую, а через другие узлы Overview Center, автоматически получат данный пакет.

Для установки обновлений на сервер с Overview Center в офлайн-режиме:

1. Перенесите полученный пакет с обновлением на сервер с PT ISIM Overview Center.

2. Запустите установочный скрипт:

sudo su
register_sensor_package.sh --path <Расположение пакета с обновлением>

Например:

register_sensor_package.sh --path /home/isim/1.6/overview-isim-oil.1.6.1.2231.tar.gz

В меню Overview Center есть возможность изменения следующих параметров учетной записи:

1. логин для входа в веб-интерфейс;
2. пароль для входа в учётную запись:
3. почтовый адрес для получения уведомлений об инцидентах, а также системных уведомлений.

PT ISIM Overview Center может выступать в качестве источника сообщений о новых инцидентах для syslog-сервера. Для этого вам нужно указать адрес и порт syslog-сервера, на который PT ISIM Overview Center будет отправлять сообщения, и выбрать транспортный протокол для передачи сообщений.

В результате PT ISIM Overview Center будет отправлять по syslog сообщения уровня critical при каждом обнаружении нового инцидента на подключенных узлах PT ISIM. Сообщения имеют следующий формат:

"New incident <Идентификатор инцидента> – <Название инцидента> src: <IP-адрес источника инцидента>, dst: <IP-адрес цели инцидента> at step <Текущий этап инцидента>/<Общее число этапов инцидента> <Ссылка на инцидент в веб-интерфейсе>"

Чтобы настроить отправку сообщений по syslog:

1. В панели инструментов нажмите кнопку Система и в раскрывшемся меню выберите пункт Настройка syslog-сервера.

2. В блоке параметров Отправлять сообщения об инцидентах включите отправку сообщений.

3. В поле Syslog-сервер введите IP-адрес или доменное имя и порт syslog-сервера.

4. Выберите транспортный протокол для передачи сообщений (TCP или UDP).

5. Нажмите кнопку Сохранить.

На стороне syslog-сервера требуется также настроить прием сообщений от PT ISIM.

Чтобы настроить прием сообщений в ОС, основанных на Debian:

1. Откройте файл /etc/rsyslog.conf.

2. Если требуется получать сообщения по UDP, в секции Modules раскомментируйте строки:

#module(load="imudp")
#input(type="imudp" port="514")

3. Если требуется получать сообщения по TCP, в секции Modules раскомментируйте строки:

#module(load="imtcp")
#input(type="imtcp" port="514")

Указываемый порт (514 по умолчанию) должен совпадать с портом, указанным в параметрах syslog в веб-интерфейсе Overview Center.

4. Перезапустите службу rsyslog:

sudo systemctl restart rsyslog

Но если мы используем MaxPatrol SIEM от Positive Technologies, то единственное, что нам требуется, это создать задачу на получение событий по syslog. Приведу пример с тестового syslog сервера.

На данном скриншоте можем наблюдать инциденты в MaxPatrol SIEM с полученные Overview.

Указание информации о системе (названия узла PT ISIM и координат объекта, на котором он установлен) и контактном лице (имени, адреса электронной почты и телефона) является одним из этапов предварительной настройки продукта. Если изменились координаты узла, контактное лицо, его адрес или телефон, вы можете изменить эти данные в веб-интерфейсе PT ISIM Overview Center.

Чтобы изменить информацию о контактном лице:

1. В панели инструментов нажмите кнопку Система и в раскрывшемся меню выберите пункт Контактное лицо.

2. Внесите изменения.

3. Нажмите кнопку Сохранить.

Чтобы изменить информацию о системе:

1. В панели инструментов нажмите кнопку Система и в раскрывшемся меню выберите пункт О системе.

2. Внесите изменения.

3. Нажмите кнопку Сохранить.

Логин и пароль для входа в веб-интерфейс PT ISIM Overview Center, а также адрес вашей электронной почты задаются при первом входе в продукт. Вы можете изменить эти данные своей учетной записи.

Чтобы изменить данные своей учетной записи:

1. В панели инструментов нажмите кнопку Логин пользователя.

2. В раскрывшемся меню выберите необходимый пункт: изменить логин, изменить почту или изменить пароль.

3. Внесите изменения и подтвердите их паролем.

4. Нажмите кнопку Сохранить.

В нашем цикле статей мы разобрали продукты от вендора Positive Technologies, такие как PT ISIM netView Sensor для сбора технологического трафика и его анализа, и PT ISIM Overview Center — командный центр для управления и мониторинга за всеми подключенными узлами. В данной статье мы ознакомились с функционалом Overview center (узнали, как отправлять инциденты на syslog сервер, и разобрали основные возможности: изменение учётной записи, информации о контактах). Также узнали, как работает Overview center в офлайне, и как с помощью командного центра можно обновлять подключенные узлы.

Автор статьи: Арам Мирзоян, инженер TS Solution