В настоящем разделе представлено описание подраздела меню «Источники», предусматривающего механизм управления следующими функциями:
отображение подключаемых устройств;
управление подключёнными устройствами.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Администрирование», затем – подраздел «Источники» (см. Рисунок – Источники).
Блок фильтрации позволяет фильтровать источники по столбцам списка и по умолчанию состоит из следующих полей (см. Рисунок – Панель инструментов):
«Поиск»;
«Статус»;
«Группа»;
«С»;
«По»;
кнопка «Сбросить фильтры».
Для фильтрации по типу источника на панели инструментов выделены отдельные кнопки соответствующего цвета. Можно фильтровать список как по одному, так и по нескольким типам. Кнопка «Все» показывает все источники.
Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по столбцам «Наименование», «Источник», «IP-адрес», «Описание».
Фильтрация по полю «Статус» позволяет отфильтровать данные по статусу источника. Поле «Статус» содержит выпадающий список и предоставляет выбор из следующих вариантов значений:
«Подключено» – статус отображается, если источник подключён к сети и отвечает на все запросы ARMA MC. Может быть присвоен любому источнику;
«Отключено» – статус отображается в процессе подключения источника к ARMA MC или при отсутствии связи с устройством. Может быть присвоен любому источнику;
«Ошибка» – статус отображается, если произошла ошибка, которая может быть связана с аппаратным или программным обеспечением источника «NGFW»;
«Перезагрузка» – статус отображается в процессе перезагрузки источника «IEL»;
«Не авторизован» – статус отображается, если пользователь не прошёл процесс авторизации или указал неверные учётные данные, поэтому не имеет доступа к системе или ресурсам. Может быть присвоен источникам «NGFW» и «IFW»;
«Не определен» – статус источника «Внешний источник».
Фильтрация по полю «С» позволяет отфильтровать источники по дате изменения и задаёт начальную дату диапазона. После ввода даты в таблице отобразятся лишь те источники, дата добавления которых совпадает или больше введённой в фильтр.
Фильтрация по полю «По» позволяет отфильтровать источники по дате изменения и задаёт конечную дату диапазона. После ввода даты в таблице отобразятся лишь те источники, дата добавления которых совпадает или меньше введённой в фильтр.
Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».
Количество доступных к добавлению устройств определяется параметрами лицензии (см. Лицензии). При превышении количества источников событий, доступного в соответствии с установленной лицензией, кнопка «Добавить» будет неактивна.
В случае задействования сертифицированной по 4 уровню доверия, классам Б, Д и СОВ ARMA Стена (NGFW) 4.5 необходимо обеспечить использование ARMA MC исключительно внутри доверенного контура.
Для подключения «NGFW» к ARMA MC необходимо выполнить следующие шаги:
В «NGFW» создать УЗ с правами администратора и с ключом API (см. раздел «Установка и первоначальная настройка системы» Руководства администратора ARMA Стена).
В ARMA MC на панели инструментов нажать кнопку «Добавить».
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес подключаемого устройства;
«Логин пользователя» – учётная запись пользователя, созданного на стороне «NGFW»;
«API-Ключ» – API-ключ, созданный на стороне «NGFW» (см. раздел «Веб-интерфейс» Руководства администратора ARMA Стена);
Примечание
Если добавить источник «NGFW» с неверными реквизитами для подключения, «NGFW» (ARMA Стена) со своей стороны заблокирует дальнейшие попытки подключения на 10 минут. При этом в ARMA MC этот источник сначала перейдёт в состояние «Неавторизован», а затем в «Отключен». Если это произошло, необходимо исправить данные и сохранить изменения. Подключение произойдёт через 10 минут.
«Порт» – значение порта входящих логов. Указываются порты в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
Примечание
Переключатель «Передача шифрованных событий» активирует режим приёма зашифрованных логов с данного источника (подробнее см. Просмотр шифрованных событий).
Рисунок – Добавление нового источника событий «NGFW»
Если источник нужно добавить в одну или несколько групп, следует выбрать требуемые группы из выпадающего списка в поле «Группа».
Примечание
Для удаления источника из группы, достаточно нажать на крестик рядом с наименованием группы или снять отметку с группы в выпадающем списке.
Если необходимо создать новую группу, это можно сделать в списке групп по ссылке «Перейти в список групп» (подробнее о группах см. Группы источников).
При необходимости заполнить поле «Описание» дополнительной информацией об устройстве. Поле может содержать не более 250 символов.
В ARMA MC есть возможность принимать и просматривать шифрованные события ARMA Стена (NGFW). Для активации режима приёма шифрованных событий используется переключатель «Передача шифрованных событий» в карточке источника «NGFW» (см. Добавление источника «NGFW»), передающего шифрованные данные.
Если переключатель активирован, события принимаются по протоколу «TCP» на порт «6514», иначе события принимаются в незашифрованном виде по протоколу «UDP» на порт, указанный в поле «Порт» карточки источника.
После интеграции нового источника «NGFW» в систему происходит его классификация по критериям принадлежности к определённому кластеру. Все источники «NGFW», относящиеся к одному кластеру, объединяются в группу, которой присваивается наименование, соответствующее обозначению группы vrrp в конфигурационных настройках «NGFW» (см. Рисунок – Кластер источников «NGFW»).
Информация о принадлежности источников «NGFW» к определённому кластеру является статичной. Для актуализации этих данных необходимо обновить страницу браузера.
Информация о роли источника «NGFW» в кластере представлена в столбце «Роль» таблицы «Источники», который может содержать следующие значения:
«MASTER» – основное устройство, которое имеет наивысший приоритет в рамках одного кластера;
«BACKUP» – резервное устройство, имеющее меньший приоритет по сравнению с «MASTER»;
«FAULT» – состояние ошибки, в большинстве случаев возникает из-за сбоя или отключения интерфейса, связанного с кластером;
«Не определена» – значение отображается, когда устройство отключено или возникает ошибка при запросе статуса VRRP. При этом приоритет источника остаётся неизменным.
Сведения о роли источника «NGFW» обновляются с периодичностью в 30 секунд.
Примечание
Источник «NGFW» не может одновременно принадлежать двум и более кластерам.
В случае если источник «NGFW» имеет локальные настройки для более чем одного кластера, в ARMA MC будет отображаться первый по алфавиту кластер.
Например, в «NGFW» настроены два кластера: «vrrp_group1» и «vrrp_group2». В первом кластере «NGFW» назначен основным устройством, а во втором – резервным. При таких настройках в ARMA MC будет отображаться только кластер «vrrp_group1», а роль «NGFW» будет обозначена как «MASTER». Информация о наличии второго кластера на данном источнике «NGFW» отображаться не будет.
Рисунок – Источник «NGFW» с наивысшим приоритетом в кластере
В случае выхода из строя основного «NGFW» (Master) и перехода его функций к резервному «NGFW» (Backup), специальный символ «звезда» сохраняется на устройстве с более высоким приоритетом в кластере, то есть на основном «NGFW», который утратил работоспособность. Это позволяет определить, какое устройство вышло из строя – основное или резервное (см. Рисунок – Варианты отображения кластера источников «NGFW» в случае неисправности).
Рисунок – Варианты отображения кластера источников «NGFW» в случае неисправности
Примечание
В случае, если в ARMA MC используется только один источник «NGFW» из кластера, ему присваивается специальный символ «звезда» независимо от его значения приоритета в кластере. Это связано с отсутствием информации о приоритетах других участников кластера.
В случае, если в настройках работы кластера «NGFW» параметр «Вытеснение» отключён, возможно возникновение ситуации, при которой все участники кластера находятся в рабочем состоянии, но роль основного «NGFW» выполняет устройство с более низким приоритетом по сравнению с резервным. В этом случае кластер будет отображаться в системе ARMA MC следующим образом (см. Рисунок – Режим работы кластера, при котором функция «Вытеснение» отключена).
Рисунок – Режим работы кластера, при котором функция «Вытеснение» отключена
Информация о принадлежности источника к кластеру отображается в веб-интерфейсе «NGFW» в правом верхнем углу заголовка каждого раздела (см. Рисунок – Информация о принадлежности источника к кластеру). Отображаемые данные включают следующие поля:
«Пользователь» — имя учётной записи, используемой для входа в веб-интерфейс, и имя хоста. Формат: имя_УЗ@host.
«Группа кластера» — название группы VRRP или группы синхронизации с указанием роли устройства в этой группе. Для группы VRRP в скобках дополнительно отображается значение приоритета устройства.
Рисунок – Информация о принадлежности источника к кластеру
Если конфигурация устройства содержит несколько групп VRRP и групп синхронизации, то в заголовке отображается группа, идущая первой по алфавитному порядку имени. Полный перечень всех групп VRRP и групп синхронизации, настроенных на устройстве, доступен по нажатию на значок «» (см. Рисунок – Полный перечень всех групп VRRP и групп синхронизации).
Рисунок – Полный перечень всех групп VRRP и групп синхронизации
Загрузку конфигурации необходимо выполнять на источник «NGFW» версии, идентичной с версией того источника «NGFW», с которого была импортирована эта конфигурация.
Для выполнения корректной загрузки конфигурации необходимо предварительно распаковать импортированный с источника «NGFW» архив (см. Скачивание конфигурации источника «NGFW»).
Выбрать необходимый источник «NGFW», установив флажок слева от значения столбца «ID».
На панели инструментов нажать кнопку «Загрузить».
В выпадающем списке выбрать значение «Загрузить конфигурацию NGFW».
Рисунок – Загрузка конфигурации на источник событий
В проводнике установить «Все файлы», выбрать «config.boot» и нажать кнопку «Открыть». При успешной загрузке файла конфигурации появится соответствующее уведомление (см. Рисунок – Успешная загрузка конфигурации).
Объединение источников в группы может быть полезно, например, для объединения источников по структуре подразделений или физическому расположению. За взаимодействие с группами источников отвечает элемент «Группы» (см. Рисунок – Группы).
При нажатии на «Группы» отображаются следующие вложенные элементы:
«Список групп» открывает окно, служащее для просмотра, изменения, создания и удаления групп (подробнее см. Работа со списком групп).
«Добавить в группу». Если при выбранных источниках нажать «Добавить в группу», откроется окно (см. Рисунок – Окно выбора групп), где в выпадающем списке можно отметить одну или несколько групп. По нажатию «Добавить» выбранные источники будут добавлены в выбранные группы.
«Удалить из всех групп» позволяет удалить выбранные источники сразу из всех групп, в которых они состоят. Перед удалением будет запрошено подтверждение (см. Рисунок – Подтверждение удаления источников). Если нужно удалить источник «NGFW» из каких-то определённых групп, это можно сделать в карточке источника (см. Источник «NGFW»).
Для просмотра или изменения группы достаточно нажать на строку группы, что приведёт к открытию карточки группы для просмотра и редактирования (см. Рисунок – Карточка группы). Карточка содержит поля «Наименование» и «Описание». Если были внесены какие-либо изменения, для их применения необходимо нажать «Сохранить».
Для добавления группы необходимо нажать кнопку «Добавить». Откроется карточка группы, описанная ранее (см. Рисунок – Карточка группы). Ввести необходимую информацию и нажать «Сохранить». «ID» для созданной группы присваивается автоматически.
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес или доменное имя подключаемого устройства. Не рекомендуется изменять IP-адрес добавляемого устройства после подключения к ARMA MC с целью исключения потери управления;
«Ключ» – ключ API. Параметр может содержать только латинские буквы, цифры, спецсимволы («+», «/») и должен состоять из 80 символов;
«Секрет» – значение «секрета» ключа API. Параметр может содержать только латинские буквы, цифры, спецсимволы («+», «/») и должен состоять из 80 символов;
«Порт» – значение порта входящих логов. Указываются порты UDP в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
Рисунок – Добавление нового источника событий «IFW»
При необходимости заполнить поле «Описание» дополнительной информацией об устройстве. Поле может содержать не более 250 символов.
В «IFW» настроить экспорт событий по протоколу «Syslog» (см. Руководство пользователя ARMA FWСервис Syslog).
Нажать кнопку «Сохранить» в правом верхнем углу карточки источника.
Примечание
Для успешной обработки событий от «IFW» в ARMA MC необходима точная синхронизация времени между устройствами.
Для удобства работы с источником, после его добавления в карточке источника появится ссылка для перехода в веб-интерфейс «IFW» (см. Рисунок – Ссылка на веб-интерфейс источника «IFW»). Ссылка откроется в новой вкладке браузера.
Рисунок – Ссылка на веб-интерфейс источника «IFW»
Переход в веб-интерфейс «IFW» также осуществляется нажатием на IP-адрес источника в таблице источников.
Загрузка конфигурации «IFW» возможна только на том экземпляре ARMA MC, с которого был экспортирован конфигурационный файл.
При загрузке конфигурационного файла на «IFW» через ARMA MC данные, которые потенциально могут повлиять на потерю управления источником, не изменяются. К таким данным относятся конфигурации пользователей и сетевых интерфейсов, администрирования обнаружения вторжений и экспорта событий, настройки SNMP и Nginx.
Невозможно внести изменения в следующие секции конфигурационного файла для последующей загрузки на «IFW»:
Внесение изменений в перечисленные настройки выполняется вручную на конфигурируемом «IFW» после загрузки файла конфигурации. Ниже представлены разделы веб-интерфейса ARMA FW, в которых производятся настройки:
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес или доменное имя подключаемого устройства. Не рекомендуется изменять IP-адрес добавляемого устройства после подключения к ARMA MC с целью исключения потери управления;
«Порт» – значение порта входящих логов. Указываются порты UDP в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
После добавления источнику «IEW» будет автоматически присвоен порядковый номер в ARMA MC. Порядковый номер отображается в столбце «ID» и необходим для настройки синхронизации. Синхронизация «IEW» с ARMA MC описана в Руководстве пользователя ARMA IE (см. Настройка синхронизации с ARMA MC).
Настройки «IEW» при первой синхронизации не переносятся в ARMA MC. Для переноса настроек необходимо нажать кнопку «Обновить» в строке добавленного «IEW».
Копирование конфигурации позволяет скопировать настройки добавленного источника событий, и на основе данных которого создаётся новый источник, без необходимости проводить однотипную настройку. Для копирования конфигурации «IEW» необходимо выполнить следующие действия (см. Рисунок – Копирование конфигурации источника событий):
Выбрать подлежащий копированию «IEW», установив флажок слева от значения столбца «ID».
На панели инструментов нажать кнопку «Копировать».
В открывшейся карточке «Копирование источника» заполнить обязательные поля:
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес или доменное имя подключаемого устройства. Не рекомендуется изменять IP-адрес добавляемого устройства после подключения к ARMA MC с целью исключения потери управления;
«Порт» – значение порта входящих логов. Указываются порты UDP в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
Примечание
Не рекомендуется без крайней необходимости использовать для взаимодействия с ARMA IEL порт, отличный от «5501».
Если изменить порт всё-таки необходимо, он должен быть разблокирован в nftables «ENDPOINT_LINUX_GRPC_PORT». Переменную нужно менять не глобально, а через изменение файла в месте установки консоли (/usr/local/armaconsole/app/amc-api/envs) - «.devices.production.env».
Рисунок – Добавление нового источника событий «IEL»
При необходимости заполнить поле «Описание» дополнительной информацией об устройстве. Поле может содержать не более 250 символов.
Нажать кнопку «Сохранить» в правом верхнем углу карточки для сохранения информации и добавления устройства.
При корректировке параметров источника «IEL» ключ, необходимый для подключения IEL к ARMA MC, остаётся неизменным и заблокирован для редактирования. Повторно прописывать ключ в файл general-config.yaml не требуется.
Важно! Не следует загружать конфигурацию на неактивированный источник «IEL». Сначала необходимо активировать лицензию на источнике «IEL» и только после этого загружать конфигурацию на него.
Для загрузки конфигурации «IEL» необходимо выполнить следующие действия:
Выбрать необходимый «IEL», установив флажок слева от значения столбца «ID».
На панели инструментов нажать кнопку «Загрузить».
В выпадающем списке выбрать значение «Загрузить конфигурацию IEL».
Существует ограничение на размер загружаемого конфигурационного файла. При попытке загрузить файл, размер которого превышает 10 Мб, выводится сообщение «Файл конфигурации не может превышать 10 Мб».
Для подключения источника «Внешнее устройство» к ARMA MC необходимо выполнить следующие шаги:
На панели инструментов нажать кнопку «Добавить».
В открывшейся карточке «Добавление источника» выбрать тип источника «Внешнее устройство» и указать значения следующих параметров (см. Рисунок – Добавление нового источника событий):
«Наименование» – отображаемое в ARMA MC имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP» – IP-адрес подключаемого устройства. Не рекомендуется изменять IP-адрес добавляемого устройства после подключения к ARMA MC с целью исключения потери управления;
«Порт» – значение порта входящих логов. Указываются порты UDP в диапазоне от 1500 до 65535. Значение должно быть уникальным, не заданным ранее.
Существует возможность локально сохранить таблицу источников. Для этого необходимо перейти в раздел «Источники» меню «Администрирование» и нажать кнопку «Экспорт» на панели инструментов (см. Рисунок – Экспорт информации об источниках). Формат экспортируемого файла – «csv».
Рисунок – Успешный экспорт информации об источниках
Ниже представлен пример того, как может выглядеть экспортированный файл таблицы источников событий в соответствии с параметрами, указанными на рисунке «Экспорт информации об источниках»:
В первой строке файла перечислены названия заголовков таблицы источников, разделённые запятыми (см. Таблица «Соответствие заголовкам таблицы источников»). Информация о статусе источников, а также сведения о кластере и роли источников «NGFW» не экспортируются.
» (см. Рисунок – Источник «NGFW» с наивысшим приоритетом в кластере).
» (см. Рисунок – Полный перечень всех групп VRRP и групп синхронизации).
