В настоящем разделе представлено описание подраздела меню «Источники», предусматривающего механизм управления следующими функциями:
отображение подключаемых устройств;
управление подключёнными устройствами.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Администрирование», затем – подраздел «Источники» (см. Рисунок – Источники).
Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по столбцам «ID», «Наименование», «Источник», «IP-адрес», «Порт», «Описание».
Фильтрация по полю «Статус» позволяет отфильтровать данные по статусу источника. Поле «Статус» содержит выпадающий список и предоставляет выбор из следующих вариантов значений:
«Подключено» – статус отображается, если источник подключён к сети и отвечает на все запросы ARMA MC. Может быть присвоен любому источнику;
«Отключено» – статус отображается в процессе подключения источника к ARMA MC или при отсутствии связи с устройством. Может быть присвоен любому источнику;
«Ошибка» – статус отображается, если произошла ошибка, которая может быть связана с аппаратным или программным обеспечением источника «NGFW»;
«Перезагрузка» – статус отображается в процессе перезагрузки источника «IEL»;
«Не авторизован» – статус отображается, если пользователь не прошёл процесс авторизации или указал неверные учётные данные, поэтому не имеет доступа к системе или ресурсам. Может быть присвоен источникам «NGFW» и «IFW»;
«Не определен» – статус источника «Внешний источник».
Фильтрация по полю «С» позволяет отфильтровать источники по дате добавления и задаёт начальную дату диапазона. После ввода даты в таблице отобразятся лишь те источники, дата добавления которых совпадает или больше введённой в фильтр.
Фильтрация по полю «По» позволяет отфильтровать источники по дате добавления и задаёт конечную дату диапазона. После ввода даты в таблице отобразятся лишь те источники, дата добавления которых совпадает или меньше введённой в фильтр.
Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».
Количество доступных к добавлению устройств определяется параметрами лицензии (см. Лицензии). При превышении количества источников событий, доступного в соответствии с установленной лицензией, кнопка «Добавить» будет неактивна.
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес подключаемого устройства;
«Логин пользователя» – учётная запись пользователя, созданного на стороне NGFW;
«API-Ключ» – API-ключ, созданный на стороне NGFW;
«Порт» – значение порта входящих логов. Указываются порты в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
Рисунок – Добавление нового источника событий «NGFW»
При необходимости заполнить поле «Описание» дополнительной информацией об устройстве. Поле может содержать не более 250 символов.
После интеграции нового источника «NGFW» в систему происходит его классификация по критериям принадлежности к определённому кластеру. Все источники «NGFW», относящиеся к одному кластеру, объединяются в группу, которой присваивается наименование, соответствующее обозначению группы vrrp в конфигурационных настройках NGFW (см. Рисунок – Кластер источников «NGFW»).
Информация о принадлежности источников «NGFW» к определённому кластеру является статичной. Для актуализации этих данных необходимо обновить страницу браузера.
Информация о роли источника «NGFW» в кластере представлена в столбце «Роль» таблицы «Источники», который может содержать следующие значения:
«MASTER» - основное устройство, которое имеет наивысший приоритет в рамках одного кластера.
«BACKUP» - резервное устройство, имеющее меньший приоритет по сравнению с «MASTER».
«FAULT» - состояние ошибки, в большинстве случаев возникает из-за сбоя или отключения интерфейса, связанного с кластером.
«Не определена» - значение отображается, когда устройство отключено или возникает ошибка при запросе статуса VRRP. При этом приоритет источника остается неизменным.
Сведения о роли источника «NGFW» обновляются с периодичностью в 30 секунд.
Примечание
Источник «NGFW» не может одновременно принадлежать двум и более кластерам.
В случае если источник «NGFW» имеет локальные настройки для более чем одного кластера, в ARMA MC будет отображаться первый по алфавиту кластер.
Например, в NGFW настроены два кластера: «vrrp_group1» и «vrrp_group2». В первом кластере NGFW назначен основным устройством, а во втором — резервным. При таких настройках в ARMA MC будет отображаться только кластер «vrrp_group1», а роль NGFW будет обозначена как «MASTER». Информация о наличии второго кластера на данном источнике «NGFW» отображаться не будет.
Рисунок – Источник «NGFW» с наивысшим приоритетом в кластере
В случае выхода из строя основного NGFW (Master) и перехода его функций к резервному NGFW (Backup), специальный символ «звезда» сохраняется на устройстве с более высоким приоритетом в кластере, то есть на основном NGFW, который утратил работоспособность. Это позволяет определить, какое устройство вышло из строя - основное или резервное (см. Рисунок – Варианты отображения кластера источников «NGFW» в случае неисправности).
Рисунок – Варианты отображения кластера источников «NGFW» в случае неисправности
Примечание
В случае, если в ARMA MC используется только один источник «NGFW» из кластера, ему присваивается специальный символ «звезда» независимо от его значения приоритета в кластере. Это связано с отсутствием информации о приоритетах других участников кластера.
В случае, если в настройках работы кластера NGFW параметр «Вытеснение» отключен, возможно возникновение ситуации, при которой все участники кластера находятся в рабочем состоянии, но роль основного NGFW выполняет устройство с более низким приоритетом по сравнению с резервным. В этом случае кластер будет отображаться в системе ARMA MC следующим образом (см. Рисунок – Режим работы кластера, при котором функция «Вытеснение» отключена):
Рисунок – Режим работы кластера, при котором функция «Вытеснение» отключена
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес или доменное имя подключаемого устройства. Не рекомендуется изменять IP-адрес добавляемого устройства после подключения к ARMA MC с целью исключения потери управления;
«Ключ» – ключ API. Параметр может содержать только латинские буквы, цифры, спецсимволы («+», «/») и должен состоять из 80 символов;
«Секрет» – значение «секрета» ключа API. Параметр может содержать только латинские буквы, цифры, спецсимволы («+», «/») и должен состоять из 80 символов;
«Порт» – значение порта входящих логов. Указываются порты UDP в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
Рисунок – Добавление нового источника событий «IFW»
При необходимости заполнить поле «Описание» дополнительной информацией об устройстве. Поле может содержать не более 250 символов.
В «IFW» настроить экспорт событий по протоколу «Syslog» (см. Руководство пользователя ARMA FWСервис Syslog).
Нажать кнопку «Сохранить» в правом верхнем углу карточки источника.
Примечание
Для успешной обработки событий от «IFW» в ARMA MC необходима точная синхронизация времени между устройствами.
Для удобства работы с источником, после его добавления в карточке источника появится ссылка для перехода в веб-интерфейс «IFW» (см. Рисунок – Ссылка на веб-интерфейс источника «IFW»). Ссылка откроется в новой вкладке браузера.
Рисунок – Ссылка на веб-интерфейс источника «IFW»
Переход в веб-интерфейс «IFW» также осуществляется нажатием на IP-адрес источника в таблице источников.
Загрузка конфигурации «IFW» возможна только на том экземпляре ARMA MC, с которого был экспортирован конфигурационный файл.
При загрузке конфигурационного файла на «IFW» через ARMA MC данные, которые потенциально могут повлиять на потерю управления источником, не изменяются. К таким данным относятся конфигурации пользователей и сетевых интерфейсов, администрирования обнаружения вторжений и экспорта событий, настройки SNMP и Nginx.
Невозможно внести изменения в следующие секции конфигурационного файла для последующей загрузки на «IFW»:
Внесение изменений в перечисленные настройки выполняется вручную на конфигурируемом «IFW» после загрузки файла конфигурации. Ниже представлены разделы веб-интерфейса ARMA FW, в которых производятся настройки, а также ссылки на разделы Руководств ARMA FW:
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес или доменное имя подключаемого устройства. Не рекомендуется изменять IP-адрес добавляемого устройства после подключения к ARMA MC с целью исключения потери управления;
«Порт» – значение порта входящих логов. Указываются порты UDP в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
После добавления источнику «IEW» будет автоматически присвоен порядковый номер в ARMA MC. Порядковый номер отображается в столбце «ID» и необходим для настройки синхронизации. Синхронизация «IEW» с ARMA MC описана в Руководстве пользователя ARMA IE (см. Настройка синхронизации с ARMA MC).
Настройки «IEW» при первой синхронизации не переносятся в ARMA MC. Для переноса настроек необходимо нажать кнопку «Обновить» в строке добавленного «IEW».
Копирование конфигурации позволяет скопировать настройки добавленного источника событий, и на основе данных которого создаётся новый источник, без необходимости проводить однотипную настройку. Для копирования конфигурации «IEW» необходимо выполнить следующие действия (см. Рисунок – Копирование конфигурации источника событий):
Выбрать подлежащий копированию «IEW», установив флажок слева от значения столбца «ID».
На панели инструментов нажать кнопку «Копировать».
В открывшейся карточке «Копирование источника» заполнить обязательные поля:
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес или доменное имя подключаемого устройства. Не рекомендуется изменять IP-адрес добавляемого устройства после подключения к ARMA MC с целью исключения потери управления;
«Порт» – значение порта входящих логов. Указываются порты UDP в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
Примечание
Не рекомендуется без крайней необходимости использовать для взаимодействия с ARMA IEL порт, отличный от «5501».
Если изменить порт все-таки необходимо, он должен быть разблокирован в nftables «ENDPOINT_LINUX_GRPC_PORT». Переменную нужно менять не глобально, а через изменение файла в месте установки консоли (/usr/local/armaconsole/app/amc-api/envs) - «.devices.production.env».
Рисунок – Добавление нового источника событий «IEL»
При необходимости заполнить поле «Описание» дополнительной информацией об устройстве. Поле может содержать не более 250 символов.
Нажать кнопку «Сохранить» в правом верхнем углу карточки для сохранения информации и добавления устройства.
При корректировке параметров источника «IEL» ключ, необходимый для подключения IEL к ARMA MC, остаётся неизменным и заблокирован для редактирования. Повторно прописывать ключ в файл general-config.yaml не требуется.
Существует ограничение на размер загружаемого конфигурационного файла. При попытке загрузить файл, размер которого превышает 1 Мб, выводится сообщение «Файл конфигурации не может превышать 1 Мб».
Для подключения источника «Внешнее устройство» к ARMA MC необходимо выполнить следующие шаги:
На панели инструментов нажать кнопку «Добавить».
В открывшейся карточке «Добавление источника» выбрать тип источника «Внешнее устройство» и указать значения следующих параметров (см. Рисунок – Добавление нового источника событий):
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP» – IP-адрес подключаемого устройства. Не рекомендуется изменять IP-адрес добавляемого устройства после подключения к ARMA MC с целью исключения потери управления;
«Порт» – значение порта входящих логов. Указываются порты UDP в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
Существует возможность локально сохранить таблицу источников. Для этого необходимо перейти в раздел «Источники» меню «Администрирование» и нажать кнопку «Экспорт» на панели инструментов (см. Рисунок – Экспорт информации об источниках). Формат экспортируемого файла - «csv».
Рисунок – Успешный экспорт информации об источниках
Информация об экспорте файла и его копия сохраняются в системном журнале. Для просмотра этих данных необходимо перейти в раздел Хранилище в меню «Журналы».
Ниже представлен пример того, как может выглядеть экспортированный файл таблицы источников событий в соответствии с параметрами, указанными на рисунке «Экспорт информации об источниках»:
В первой строке файла перечислены названия заголовков таблицы источников, разделённые запятыми (см. Таблица «Соответствие заголовкам таблицы источников»). Информация о статусе источников, а также сведения о кластере и роли источников «NGFW» не экспортируются.
» (см. Рисунок – Источник «NGFW» с наивысшим приоритетом в кластере).
