В ARMA MC предусмотрен механизм настройки протокола TLS для криптографического шифрования канала связи.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем подраздел «Системные настройки».
Включение TLS позволяет передавать данные по протоколу защиты транспортного уровня TLS, обеспечивающему зашифрованную передачу данных при подключении к веб-интерфейсу ARMA MC.
Сертификат и ключ генерируются со сроком действия 1 год. После окончания срока действия текущего сертификата и ключа необходимо сгенерировать их повторно.
Созданный сертификат и ключ безопасности будут отображаться в полях «Сертификат» и «Ключ» соответственно. Кнопки для скачивания сертификата и ключа появятся правее имён файлов.
При отсутствии сертификата ARMA MC использует «http». После добавления сертификата ARMA MC перейдёт на «https» (страница перезагрузится автоматически).
Для добавления пользовательских сертификата и ключа в блоке «TLS сертификат» необходимо выполнить следующие действия:
Нажать кнопку «Обзор» в поле «Изменить» для добавления сертификата безопасности, в открывшемся проводнике выбрать файл необходимого сертификата. Файл должен иметь расширение «.crt» (см. Рисунок – Кнопка «Обзор»).
Нажать кнопку «Обзор» в поле «Изменить» для добавления ключа безопасности, в открывшемся проводнике выбрать файл необходимого ключа. Файл должен иметь расширение «.key» (см. Рисунок – Кнопка «Обзор»).
Для экспорта сертификата и ключа в блоке «TLS сертификат» необходимо нажать иконку экспорта справа от сгенерированного сертификата или ключа безопасности (см. Рисунок – Экспорт сертификата и ключа).
Подраздел меню «Аутентификация» позволяет настраивать параметры аутентификации.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем подраздел «Системные настройки».
В подразделе «Аутентификация» существует возможность задавать количество допустимых попыток входа в веб-интерфейс и время ожидания, в течение которого пользователю будет отказано в аутентификации после превышения попыток входа (см. Рисунок – Аутентификация).
Для установки параметров аутентификации необходимо выполнить следующие действия:
Выставить значение в диапазоне от 1 до 100 в поле «Максимальное количество неудачных попыток входа в систему». Значение «0» отключает ограничение на попытки входа в систему.
Выставить значение времени, на которое будет заблокирован пользователь при достижении ограничения на неудачные попытки входа, в поле «Время блокировки пользователя при входе в систему».
Нажать кнопку «Сохранить».
Примечание
По прошествии времени, указанного в поле параметра «Время блокировки пользователя при входе в систему», пользователю снова будет доступна аутентификация в веб-интерфейсе.
Администратор может досрочно разблокировать пользователя, изменив его статус в карточке пользователя, как это описано в параграфе Управление УЗ настоящего руководства.
Подраздел меню «Настройки ротации» позволяет настраивать ротацию журналов инцидентов, событий и действий пользователя.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем подраздел «Системные настройки» (см. Рисунок – Настройки ротации).
В области Настройки ротации инцидентов можно задать следующие параметры:
«Количество дней хранения инцидентов в журнале» – как долго запись должна храниться в журнале;
«Количество дней хранения архива инцидентов в хранилище» – как долго архив записей должен находиться в хранилище. Если поле не заполнено, хранилище не используется (инциденты безвозвратно удаляются при ротации).
Область Настройки ротации событий позволяет задать:
«Количество дней хранения событий в журнале» – как долго запись должна храниться в журнале;
«Количество дней хранения архива событий в хранилище» – как долго архив записей должен находиться в хранилище. Если поле не заполнено, хранилище не используется (события безвозвратно удаляются при ротации).
Область Настройки ротации списка действий пользователя позволяет задать:
«Количество дней хранения действий пользователя в журнале» – как долго запись должна храниться в журнале;
«Количество дней хранения архива действий пользователя в хранилище» – как долго архив записей должен находиться в хранилище. Если поле не заполнено, хранилище не используется (записи о действиях пользователя безвозвратно удаляются при ротации).
Примечание
При указании значений, которые могут привести к ротации уже имеющихся данных, под полем выводится сообщение «Уменьшение значения может привести к частичной потере данных в журнале».
Область Экспорт файлов ротации позволяет настроить выгрузку файлов ротации на внешний ресурс (подробнее см. Экспорт файлов ротации настоящего руководства).
Подробнее с логикой хранения можно ознакомиться далее.
Для определения продолжительности хранения записи используется только дата её создания. Часы, минуты и секунды отбрасываются. Данные за день архивируются и уже в виде архива помещаются в хранилище. В случае если «Количество дней хранения архива событий в хранилище» не задано, архивация не производится и записи безвозвратно удаляются в момент ротации.
Например, в течение дня 5 мая в журнал было добавлено 99 событий, а значение «Количество дней хранения событий в журнале» равно «5», следовательно 10 мая в 00:00 все 99 событий будут заархивированы и перемещены в хранилище.
Ротация записей инцидентов и действий пользователя выполняется аналогично.
Примечание
Ротация производится в 00:00.
Если настройки хранения были изменены в сторону уменьшения так, что ротация каких-либо записей уже должна была произойти, записи будут обработаны при ротации в 00:00 следующего дня.
Продолжая пример из предыдущего параграфа, если «Количество дней хранения архива событий в хранилище» = «10», то архив событий будет безвозвратно удалён 20 мая в 00:00. Общее время хранения информации о событии составит 15 дней (5 в журнале и 10 в архиве).
Если «Количество дней хранения архива событий в хранилище» не задано, записи удаляются в момент ротации (согласно примеру выше – 10 мая в 00:00).
Примечание
Если поле «Количество дней хранения архива событий в хранилище» было очищено и оставлено пустым, или время хранения было уменьшено так, что имеющиеся архивы должны быть удалены, они удалятся в 00:00 следующего дня.
Ротация архивов инцидентов и действий пользователя выполняется аналогично.
Файлы архивов, предназначенные для удаления из хранилища в процессе ротации, можно вместо удаления сохранять на внешний ресурс, например, на внешний накопитель данных. Для этого достаточно выполнить следующие действия:
Смонтировать ресурс средствами операционной системы с учётом рекомендаций из раздела Монтирование внешнего ресурса Руководства администратора ARMA MC.
В настоящем разделе представлено описание подраздела меню «Параметры экспорта», предусматривающего механизм управления параметрами экспорта инцидентов в сторонние системы.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем подраздел «Параметры экспорта».
Подраздел «Параметры экспорта» позволяет просматривать информацию о получателях автоматической отправки сообщений об инцидентах в формате таблицы, состоящей из следующих столбцов (см. Рисунок – Экспорт инцидентов):
«Наименование» – наименование хоста;
«Статус» – статус пользователя («Активно»/«Неактивно»);
Подраздел меню позволяет настроить отображение столбцов таблицы. Для настройки отображения столбцов необходимо нажать кнопку «Настройка столбцов» и выбрать в выпадающем списке необходимые столбцы. По умолчанию в таблице отображаются все столбцы.
Порядок работы с информацией, представленной в формате таблицы описан в разделе Форма раздела меню. Таблица настоящего руководства.
Блок фильтрации на панели инструментов позволяет фильтровать записи по всем столбцам списка и состоит из следующих элементов (см. Рисунок – Блок фильтрации).
Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по всем доступным столбцам таблицы.
Фильтрация по полю «Статус» позволяет отфильтровать получателей списка инцидентов по статусу получателя. Поле «Статус» содержит выпадающий список и предоставляет выбор из двух вариантов значений – «Активно» и «Неактивно».
Фильтрация по полю «Протокол» позволяет отфильтровать получателей списка инцидентов по протоколу получателя. Поле «Протокол» содержит выпадающий список и предоставляет выбор из двух вариантов значений – «TCP» и «UDP».
Для удаления получателя необходимо установить флажок в чек-бокс рядом с наименованием получателя, нажать кнопку «Удалить» на панели инструментов и подтвердить удаление в появившемся окне (см. Рисунок – Удаление получателя списка инцидентов).
Существует возможность одновременного включения/выключения экспорта для одного или нескольких получателей без необходимости открытия карточки каждого. Для этого необходимо установить флажок в чек-боксы рядом с наименованиями необходимых получателей и нажать кнопку «Включить экспорт»/кнопку «Выключить экспорт» на панели инструментов (см. Рисунок – Выключение экспорта для нескольких получателей).
Рисунок – Выключение экспорта для нескольких получателей
Данный параграф относится к случаю, когда ARMA MC обновляется с версии «1.8» (в т.ч. «1.8.2») на версию «2.1».
До начала обновления необходимо выполнить следующее:
Сохранить архивы ротации через интерфейс хранилища (см. Хранилище настоящего руководства).
Примечание
В связи с обновлением системы ротации старые форматы архивов перестанут быть доступны в версии «2.1». Хотя эти данные не будут доступны через веб-интерфейс, они могут занимать место на диске. Порядок удаления описан в разделе Удаление устаревших данных после обновления Руководства администратора ARMA MC.
Проверить версию ОС.
Примечание
Минимальная поддерживаемая версия ОС – «Debian 11.9», тестирование обновления проводилось на версии «Debian 11.11». Проверить версию можно с помощью команды cat /etc/debian_version. Если версия ниже «Debian 11.9», необходимо обновить систему как минимум до «Debian 11.9».
Установить пакет «UFW» для ОС (если он ещё не установлен).
Примечание
Наличие «UFW» критично для проведения обновления. Установка пакета должна производиться администратором системы, например, с помощью команды sudo apt install ufw. Проверить наличие и активный статус службы «UFW» можно командой: systemctl status ufw (в выдаче должно присутствовать Active: active).
Проверить наличие и версию «elasticsearch».
Примечание
Пакет «elasticsearch» уже должен быть в системе, но если версия была обновлена в процессе обслуживания системы, при обновлении ARMA MC могут возникнуть ошибки. Для проверки версии можно использовать команду usr/share/elasticsearch/bin/elasticsearch –version. Версия должна быть строго «7.12.0». Если версия отличается, нужно установить «7.12.0» (см. п.3 параграфа Установка Руководства администратора ARMA MC).
Пункты 2, 3 и 4 должны выполняться администратором ОС.
К обновлению можно приступать только после выполнения всех перечисленных пунктов.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем – подраздел «Обновления» (см. Рисунок – Обновление).
После запуска процесса обновления появится индикатор выполнения обновления и уведомление «Внимание! При обновлении страницы в процессе загрузки пакета скачивание будет прервано. Запустите его заново» (см. Рисунок – Индикатор выполнения обновления).
Во время обновления ARMA MC появится информационный баннер «Внимание! Выполняется процесс обновления. Все сервисы остановлены, система будет недоступна для использования. Пожалуйста, подождите» (см. Рисунок – Процесс обновления):
