В ARMA MC предусмотрен механизм настройки протокола TLS для криптографического шифрования канала связи.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем подраздел «Системные настройки».
Использование TLS позволяет передавать данные по протоколу защиты транспортного уровня TLS, обеспечивающему зашифрованную передачу данных при подключении к веб-интерфейсу ARMA MC.
Для изменения сертификата и ключа в блоке «TLS сертификат» необходимо выполнить следующие действия:
Нажать кнопку «Обзор» в поле «Изменить» для добавления сертификата безопасности, в открывшемся проводнике выбрать файл необходимого сертификата. Файл должен иметь расширение «.crt» (см. Рисунок – Кнопка «Обзор»).
Нажать кнопку «Обзор» в поле «Изменить» для добавления ключа безопасности, в открывшемся проводнике выбрать файл необходимого ключа. Файл должен иметь расширение «.key» (см. Рисунок – Кнопка «Обзор»).
Для экспорта сертификата и ключа в блоке «TLS сертификат» необходимо нажать иконку экспорта справа от сертификата или ключа безопасности (см. Рисунок – Экспорт сертификата и ключа).
Подраздел меню «Аутентификация» позволяет настраивать параметры аутентификации.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем подраздел «Системные настройки».
В подразделе «Аутентификация» существует возможность задавать количество допустимых попыток входа в веб-интерфейс и время ожидания, в течение которого пользователю будет отказано в аутентификации после превышения попыток входа (см. Рисунок – Аутентификация).
Для установки параметров аутентификации необходимо выполнить следующие действия:
Выставить значение в диапазоне от 1 до 100 в поле «Максимальное количество неудачных попыток входа в систему». Значение «0» отключает ограничение на попытки входа в систему.
Выставить значение времени, на которое будет заблокирован пользователь при достижении ограничения на неудачные попытки входа, в поле «Время блокировки пользователя при входе в систему».
Нажать кнопку «Сохранить».
Примечание
По прошествии времени, указанного в поле параметра «Время блокировки пользователя при входе в систему», пользователю снова будет доступна аутентификация в веб-интерфейсе.
Администратор может досрочно разблокировать пользователя, изменив его статус в карточке пользователя, как это описано в параграфе Управление УЗ настоящего руководства.
Подраздел меню «Настройки ротации» позволяет настраивать ротацию журналов инцидентов, событий и действий пользователя.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем подраздел «Системные настройки» (см. Рисунок – Настройки ротации).
В области Настройки ротации инцидентов можно задать следующие параметры:
«Количество дней хранения инцидентов в журнале» – как долго запись должна храниться в журнале;
«Количество дней хранения архива инцидентов в хранилище» – как долго архив записей должен находиться в хранилище. Если поле не заполнено, хранилище не используется (инциденты безвозвратно удаляются при ротации).
Область Настройки ротации событий позволяет задать:
«Количество дней хранения событий в журнале» – как долго запись должна храниться в журнале;
«Количество дней хранения архива событий в хранилище» – как долго архив записей должен находиться в хранилище. Если поле не заполнено, хранилище не используется (события безвозвратно удаляются при ротации).
Область Настройки ротации списка действий пользователя позволяет задать:
«Количество дней хранения действий пользователя в журнале» – как долго запись должна храниться в журнале;
«Количество дней хранения архива действий пользователя в хранилище» – как долго архив записей должен находиться в хранилище. Если поле не заполнено, хранилище не используется (записи о действиях пользователя безвозвратно удаляются при ротации).
Примечание
При большом потоке событий не рекомендуется ставить слишком большое количество дней хранения в журнале, т.к. место на диске будет быстро заполняться. Если место на диске занято журналом, то ротация не сможет произойти, т.к. для архива нет места на диске.
При указании значений, которые могут привести к ротации уже имеющихся данных, под полем выводится сообщение «Уменьшение значения может привести к частичной потере данных в журнале».
Область Экспорт файлов ротации позволяет настроить выгрузку файлов ротации (архивов) на внешний ресурс (подробнее см. Экспорт файлов ротации настоящего руководства).
Подробнее с логикой хранения можно ознакомиться далее.
Для определения продолжительности хранения записи используется только дата её создания. Часы, минуты и секунды отбрасываются. Данные за день архивируются и уже в виде архива помещаются в хранилище. В случае если «Количество дней хранения архива событий в хранилище» не задано, архивация не производится и записи безвозвратно удаляются в момент ротации.
Например, в течение дня 5 мая в журнал было добавлено 99 событий, а значение «Количество дней хранения событий в журнале» равно «5», следовательно 10 мая в 00:00 все 99 событий будут заархивированы и перемещены в хранилище.
Ротация записей инцидентов и действий пользователя выполняется аналогично.
Примечание
Ротация производится в 00:00.
Если настройки хранения были изменены в сторону уменьшения так, что ротация каких-либо записей уже должна была произойти, записи будут обработаны при ротации в 00:00 следующего дня.
Продолжая пример из предыдущего параграфа, если «Количество дней хранения архива событий в хранилище» = «10», то архив событий будет безвозвратно удалён 20 мая в 00:00. Общее время хранения информации о событии составит 15 дней (5 в журнале и 10 в архиве).
Если «Количество дней хранения архива событий в хранилище» не задано, записи удаляются в момент ротации (согласно примеру выше – 10 мая в 00:00).
Примечание
Если поле «Количество дней хранения архива событий в хранилище» было очищено и оставлено пустым, или время хранения было уменьшено так, что имеющиеся архивы должны быть удалены, они удалятся в 00:00 следующего дня.
Ротация архивов инцидентов и действий пользователя выполняется аналогично.
Формулы расчёта дискового пространства и периодов хранения данных
Примечание
Рекомендуется зафиксировать среднее количество событий с одного устройства во время пилота. Это значение понадобится при использовании формул расчёта дискового пространства или периодов хранения данных.
Поток событий очень зависит от настроек на МЭ. Если место быстро заканчивается, рекомендуется убедиться, что все настройки на МЭ являются обязательными.
Чтобы увеличить общий срок хранения данных без больших затрат дискового пространства, рекомендуется снизить количество дней хранения в журнале и увеличить количество дней хранения в хранилище.
На объем необходимого дискового пространства влияют следующие факторы:
количество дней хранения в журнале, заданное в настройках;
количество дней хранения в хранилище, заданное в настройках;
количество событий за день;
количество всех действий, совершаемых всеми пользователями системы за день;
количество инцидентов.
Приведённые ниже формулы учитывают эти факторы, за исключением количества инцидентов, так как их объем сложно предсказать и он зависит от множества динамических факторов.
Указанные в формулах константы являются усреднёнными и зависят от инфраструктуры конкретного предприятия, поэтому расчёты по формулам могут отличаться от фактического потребления дискового пространства в меньшую или большую сторону.
Формула расчёта дискового пространства для одного источника или кластера
Занимаемое дисковое пространство = данные в журнале + данные в хранилище + архив ротации + системные журналы.
Данные в журнале (байт) = (событий за день * 508 + действий пользователя за день * 198) * период хранения в журнале, заданный в настройках.
Данные в хранилище (байт) = (событий за день * 59,77 + действий пользователя за день * 22,8) * период хранения в хранилище, заданный в настройках.
Архив ротации (байт) = событий за день * 924,69 + действий пользователя за день * 412,12.
Системные журналы = 10 737 418 240 байт (10 ГБ).
Примечание
Системные журналы могут превышать 10 ГБ, их размер зависит от настроек ОС.
Формула расчёта дискового пространства для нескольких источников
Занимаемое дисковое пространство = данные в журнале + данные в хранилище + архив ротации + системные журналы.
Данные в журнале (байт) = (событий за день * 576,27 + действий пользователя за день * 198) * период хранения в журнале, заданный в настройках.
Данные в хранилище (байт) = (событий за день * 61,02 + действий пользователя за день * 22,8) * период хранения в хранилище, заданный в настройках.
Архив ротации (байт) = событий за день * 925,69 + действий пользователя за день * 412,12.
Системные журналы = 10 737 418 240 байт (10 ГБ).
Примечание
Системные журналы могут превышать 10 ГБ, их размер зависит от настроек ОС.
Формулы расчёта периодов хранения для одного источника или кластера
Формула расчёта периода хранения в журнале, если известен период хранения в хранилище:
Количество дней хранения в журнале = (доступное дисковое пространство – данные в хранилище – системные журналы – архив ротации) / (событий за день * 508 + действий пользователя * 198).
Формула расчёта периода хранения в хранилище, если известен период хранения в журнале:
Количество дней хранения в хранилище = (доступное дисковое пространство – данные в журнале – системные журналы – архив ротации) / (событий за день * 59,77 + действий пользователя за день * 22,8).
Формулы расчёта периодов хранения для нескольких источников
Формула расчёта периода хранения в журнале, если известен период хранения в хранилище:
Количество дней хранения в журнале = (доступное дисковое пространство – данные в хранилище – системные журналы – архив ротации) / (событий за день * 576,27 + действий пользователя за день * 198).
Формула расчёта периода хранения в хранилище, если известен период хранения в журнале:
Количество дней хранения в хранилище = (доступное дисковое пространство – данные в журнале – системные журналы – архив ротации) / (событий за день * 61,02 + действий пользователя за день * 22,8).
Файлы архивов, предназначенные для удаления из хранилища в процессе ротации, можно вместо удаления сохранять на внешний ресурс, например, на внешний накопитель данных. Для этого достаточно выполнить следующие действия:
Смонтировать ресурс средствами операционной системы с учётом рекомендаций из раздела Монтирование внешнего ресурса Руководства администратора ARMA MC.
В настоящем разделе представлено описание подраздела меню «Параметры экспорта», предусматривающего механизм управления параметрами экспорта инцидентов в сторонние системы.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем подраздел «Параметры экспорта».
Подраздел «Параметры экспорта» позволяет просматривать информацию о получателях автоматической отправки сообщений об инцидентах в формате таблицы, состоящей из следующих столбцов (см. Рисунок – Экспорт инцидентов):
«Наименование» – наименование хоста;
«Статус» – статус пользователя («Активно»/«Неактивно»);
Подраздел меню позволяет настроить отображение столбцов таблицы. Для настройки отображения столбцов необходимо нажать кнопку «Настройка столбцов» и выбрать в выпадающем списке необходимые столбцы. По умолчанию в таблице отображаются все столбцы.
Порядок работы с информацией, представленной в формате таблицы описан в разделе Форма раздела меню. Таблица настоящего руководства.
Блок фильтрации на панели инструментов позволяет фильтровать записи по всем столбцам списка и состоит из следующих элементов (см. Рисунок – Блок фильтрации).
Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по всем доступным столбцам таблицы.
Фильтрация по полю «Статус» позволяет отфильтровать получателей списка инцидентов по статусу получателя. Поле «Статус» содержит выпадающий список и предоставляет выбор из двух вариантов значений – «Активно» и «Неактивно».
Фильтрация по полю «Протокол» позволяет отфильтровать получателей списка инцидентов по протоколу получателя. Поле «Протокол» содержит выпадающий список и предоставляет выбор из двух вариантов значений – «TCP» и «UDP».
Для удаления получателя необходимо установить флажок в чек-бокс рядом с наименованием получателя, нажать кнопку «Удалить» на панели инструментов и подтвердить удаление в появившемся окне (см. Рисунок – Удаление получателя списка инцидентов).
Существует возможность одновременного включения/выключения экспорта для одного или нескольких получателей без необходимости открытия карточки каждого. Для этого необходимо установить флажок в чек-боксы рядом с наименованиями необходимых получателей и нажать кнопку «Включить экспорт»/кнопку «Выключить экспорт» на панели инструментов (см. Рисунок – Выключение экспорта для нескольких получателей).
Рисунок – Выключение экспорта для нескольких получателей
Обновление необходимо для замены ARMA MC на новую версию.
Объём свободного места для успешного проведения обновления зависит от размера БД ARMA MC. Перед проведением обновления следует оценить дисковое пространство, как это описано в разделе Оценка объема дискового пространства перед обновлением Руководства администратора ARMA MC. Если свободное место на разделе с ARMA MC меньше требуемого, необходимо освободить место перед проведением обновления.
В случае прерывания обновления произойдёт откат к предыдущей версии ARMA MC с сохранением всех данных и установленных настроек.
Обновление на версию «2.2» возможно только с версии «2.1». Если используется более ранняя версия ARMA MC, её необходимо обновить до версии «2.1».
Данный параграф относится к случаю, когда ARMA MC обновляется с версии «1.8» (в т.ч. «1.8.2») на версию «2.1».
До начала обновления необходимо выполнить следующее:
Сохранить архивы ротации через интерфейс хранилища (см. Хранилище настоящего руководства).
Примечание
В связи с обновлением системы ротации старые форматы архивов перестанут быть доступны в версии «2.1». Хотя эти данные не будут доступны через веб-интерфейс, они могут занимать место на диске. Порядок удаления описан в разделе Удаление устаревших данных после обновления Руководства администратора ARMA MC.
Проверить версию ОС.
Примечание
Минимальная поддерживаемая версия ОС – «Debian 11.9», тестирование обновления проводилось на версии «Debian 11.11». Проверить версию можно с помощью команды cat /etc/debian_version. Если версия ниже «Debian 11.9», необходимо обновить систему как минимум до «Debian 11.9».
Установить пакет «UFW» для ОС (если он ещё не установлен).
Примечание
Наличие «UFW» критично для проведения обновления. Установка пакета должна производиться администратором системы, например, с помощью команды sudo apt install ufw. Проверить наличие и активный статус службы «UFW» можно командой: systemctl status ufw (в выдаче должно присутствовать Active: active).
Проверить наличие и версию «elasticsearch».
Примечание
Пакет «elasticsearch» уже должен быть в системе, но если версия была обновлена в процессе обслуживания системы, при обновлении ARMA MC могут возникнуть ошибки. Для проверки версии можно использовать команду usr/share/elasticsearch/bin/elasticsearch –version. Версия должна быть строго «7.12.0». Если версия отличается, нужно установить «7.12.0» (см. п.3 параграфа Установка Руководства администратора ARMA MC).
Пункты 2, 3 и 4 должны выполняться администратором ОС.
К обновлению можно приступать только после выполнения всех перечисленных пунктов.
Для работы ARMA MC версии «2.2» требуется новая лицензия, для получения которой необходимо обратиться в техническую поддержку. Это следует сделать заранее, так как после успешного обновления на версию «2.2» откроется страница активации лицензии, ARMA MC не будет работать без успешной активации новой лицензии (подробнее см. в разделе Изменение лицензии Руководства администратора ARMA MC).
Перед запуском обновления следует убедиться, что в ARMA MC есть TLS сертификат и его ключ. При их отсутствии следует сгенерировать сертификат с ключом и приложить в разделе Настройки, см. Изменение TLS сертификата Руководства пользователя ARMA MC. Если этого не сделать, то после обновления доступ в консоль будет невозможен.
Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Настройки», затем – подраздел «Обновления» (см. Рисунок – Обновление).
После запуска обновления появится индикатор прогресса и уведомление «Внимание! Выполняется подготовка к обновлению. Пожалуйста, не обновляйте страницу, иначе скачивание пакета обновления будет прервано» (см. Рисунок – Индикатор прогресса обновления).
Во время обновления ARMA MC появится информационный баннер «Внимание! Выполняется процесс обновления. Все сервисы остановлены, система будет недоступна для использования. Пожалуйста, подождите» (см. Рисунок – Процесс обновления):
