![]("/app/data/logo.svg"){kind=logo}
Автоправила
Автоправила – это функция Системы, которая отвечает за автоматический запуск различных заданий – правил с учетом:
различных триггеров запуска (по времени или вручную);
операций над наборами ассетов, например, возможность отфильтровать нужные ассеты или выбрать зоны целиком;
различных действий, которые могут производиться над ассетами: запуск модуля, запуск автообновления полей, отправки нотификации или создание задачи.
Помимо стандартного автоматического запуска по расписанию, Автоправило может быть запущено вручную.
Группировка автоправил
Все автоправила располагаются в группах: либо в корневой, либо в созданной пользователем. Пользователь на странице списка автоправил может создать правило или создать пользовательскую группу внутри корневой группы или ранее созданной пользовательской группы. Максимальная вложенность групп – 5.
Создание группы автоправил
Для создания группы выберите: Создать → Группу автоправил.
Справа откроется окно (см. рисунок 18), где необходимо ввести:
Название группы.
Описание.
Выбрать автоправила, относящиеся к группе. Если были выбраны правила для добавления – то они будут перемещены в создаваемую группу. При создании группы можно не выбирать автоправила (т.е. создать группу пустую, без автоправил), их можно перенести в группу после создания или создать автоправила непосредственно внутри новой группы.
Созданные группы автоправил и сами автоправила можно перемещать по дереву автоправил.
При просмотре группы автоправил пользователю доступен список автоправил, включенных в данную группу, и информация о последних запусках данных правил.
Создание автоправила
Нажмите «Создать → Автоправило» для добавления нового автоправила, см. рисунок 19.
Далее на первом шаге выберите имя и описание автоправила, а также условия, по которым оно запускается. На странице «Создание автоправила» необходимо прописать следующие параметры:
Имя.
Описание.
Выбрать группу (или не выбирать если элемент необходимо создать вне группы).
Триггер.
На текущий момент доступен только один вид триггера – Расписание. Возможно выбрать интервал срабатывания, либо срабатывание по определенным дням.
Далее, в зависимости, от целей создания автоправила и выбранного действия процесс создания автоправила меняется. Предусмотрены следующие действия:
Запуск модуля: в результате выполнения автоправила в соответствии с заданными условиями производится запуск модуля, выбранного при создании автоправила.
Запуск политики: в результаты выполнения политики будет произведен анализ на соответствия ассетов выбранным в автоправиле политикам, и при необходимости, создании записей о нарушениях к устранению.
Обновление полей: в процессе выполнения автоправила производится обновление полей ассетов по заданным в автоправиле условиям.
Создание задачи: после выполнения автоправила автоматически создается задача.
Создание уведомления: после выполнения автоправила автоматически создается уведомление.
Удалить ассеты: система произведет удаление попадающих под условия автоправила ассетов
Рассмотрим детальнее выбор каждого из действий.
Запуск модуля
Если было выбрано действие «Запуск модуля» и нажата кнопка «Далее», то создание автоправила переходит на следующий шаг (шаг 2), см. рисунок 20.
На данном шаге выбираются объекты, для которых будет применяться автоправило: зоны, хосты, внешние адреса. Также возможно просто выполнить запуск модуля, без указания конкретных объектов, в этом случае следует выбрать вариант «Без ассетов». Данный вариант может быть использован, например, для поиска модулем внешних адресов.
Выбор «Зоны» в качестве объекта
При выборе в качестве объекта зоны автоправило будет применено к выбранной зоне (зонам). Отметьте в дереве те зоны, к которым необходимо применить автоправило. Также в правой части экрана можно отметить «Все зоны», тогда правило будет применено ко всем имеющимся зонам.
Выбор «Хосты» в качестве объекта
В качестве объектов можно выбрать хост или несколько хостов. Для этого нажмите «Хосты», см. рисунок 21. Для выбора хоста (хостов) используйте фильтр на основе JQL-запросов. Введите запрос и нажмите кнопку поиска.
Полный перечень доступных запросов доступен в интерфейсе программы во всплывающей подсказке (надпись Синтаксис под строкой поиска).
Приведем несколько примеров запросов:
hostname: Имя хоста, пример: hostname = 'server'
os: Операционная система, пример: os ~ 'linux'
ip: IP-адрес, пример, ip = '192.168.1.1'
responsible: Ответственный, пример: responsible.fio = 'Кузнецова Анна Владимировна'
tag: Тег, пример: tag = 'Critical'
NOW - createDate > interval '7 days'
Аналогичная логика и поведение для выбора «Внешние адреса» в качестве объекта.
Выбор варианта «без ассетов»
В этом варианте запуск модуля выполняется без указания конкретных объектов. Данный вариант может быть использован тогда, когда нужно выполнить, например, для поиска модулем внешних адресов.
Переход на шаг 3 автоправила
После выбора объекта (места запуска) и нажатии кнопки «Дальше» перейдем к шагу 3 автоправила. На этом шаге необходимо выбрать тип запускаемого модуля (AD, NMAP, Windows audit, Linux audit, KSC или иные) и установить параметры для запуска, подключения модулей к объектам взаимодействия.
При установке параметров подключения рекомендуется использовать плейсхолдеры. Плейсхолдеры (от англ. placeholder - "заполнитель") – это параметры, которые могут подставляться в настройки поля и динамически изменяться. Полный перечень доступных плейсхолдеров можно увидеть в интерфейсе по подсказке «Примеры плейсхолдеров»
Обновление полей ассета
При выборе данного действия на шаге 1 автоправила и нажатии кнопки «Дальше», мы также переходим к шагу 2 автоправила, где возможно выбрать объект: зоны, хосты или вариант «без ассетов». Порядок действий аналогичен описанному выше. Но в отличии от предыдущего варианта, в результате работы модулей не производится добавление новых ассетов. По результатам работы модулей обновляются поля у существующих ассетов, такие как: ответственный, тэги.
При выборе в поле «Добавить действие» варианта «Обновление полей ассетов» на шаге 3 откроется форма с настройками действия по обновлению полей, см. пример на рисунке 23.
В данной форме необходимо:
Сформировать запрос – для каких ассетов необходимо обновление полей (примеры запросов доступны во всплывающей подсказке (значок ).
Выбрать какое поле необходимо обновить (Ответственный, метадата или тэги).
Выбрать действие с полем: удалить, добавить, заменить.
Выбрать пользователя если обновляется поле Ответственный.
Создать или выбрать тэг если обновляются тэги.
Указать метадаты если обновляются определенные ключи или метадата объекта целиком.
Вес – задается вес данного автоправила. При обновлении правила с большим весом имеют больший приоритет.
Игнорировать вес – программа будет игнорировать вес всех других автоправил и обновит данные.
При необходимости возможно добавить дополнительное поле/действие при помощи кнопки «Добавить еще».
После заполнения всех полей нажмите «Создать». Созданное автоправило отобразится в списке.
Создание задачи
Если на шаге 1 создания автоправила было выбрано действие «Создать задачу», то в результате выполнения автоправила в программе будет создана задача (в разделе «Задачи»). На шаге 1 создания автоправила нет отличий, кроме выбора соответствующего действия. На шаге 2 для выбора объекта доступны только варианты «Хосты», «Внешние адреса» или «Без ассетов».
После выбора ассета и нажатия «Дальше» осуществляется переход к шагу 3 – созданию задачи, см. рисунок 24.
Механизм создания аналогичен описанию в «Создание задачи». Необходимо заполнить поля и нажать «Создать». В описании задачи используется язык разметки Markdown (подробное описание). После запуска автоправила (вручную или по расписанию) будет создана задача в соответствии с внесенными в поля значениями.
Создание уведомления
Если на шаге 1 создания автоправила было выбрано действие «Создать уведомление», то в результате выполнения автоправила в программе будет создано уведомление пользователя. На шаге 1 создания автоправила нет отличий, кроме выбора соответствующего действия. На шаге 2 для выбора объекта доступны только варианты «Хосты», «Внешние адреса» или «Без ассетов».
После выбора ассета и нажатия «Дальше» осуществляется переход к шагу 3 – созданию уведомления, см. рисунок 25.
Необходимо заполнить поля и нажать «Создать»:
Тип уведомления:
На почту: выбранный получатель получит уведомление на электронную почту.
На платформе: выбранный получатель получит сообщение в разделе «Уведомления».
Получатель: выбрать пользователя, которому необходимо отправить уведомление.
Заголовок письма: введенный текст будет отображаться в заголовке уведомления.
Описание: вводится текст уведомления. Аналогично описанию в задачах используется язык разметки Markdown.
После запуска автоправила (вручную или по расписанию) будет создано уведомление в соответствии с внесенными в поля значениями.
Запуск политики
Если на шаге 1 создания автоправила было выбрано действие «Запуск политики», то в результате выполнения автоправила в программе будет произведена проверка выбранных ассетов на соответствие выбранным политикам. На шаге 1 создания автоправила нет отличий, кроме выбора соответствующего действия. На шаге 2 для выбора объекта доступны только варианты «Хосты» или «Внешние адреса».
После выбора ассета и нажатия «Дальше» осуществляется переход к шагу 3 – указанию политик для проверки в рамках данного автоправила, см. рисунок 26.
После запуска данного автоправила, в случае выявления отклонения будут созданы объекты типа «Нарушение»
Удалить ассеты
Если на шаге 1 создания автоправила было выбрано действие «Удалить ассеты», то в результате выполнения автоправила в программе будет произведено удаление ассетов, соответствующих указанному критерию выборки на шаге 2. На шаге 1 создания автоправила нет отличий, кроме выбора соответствующего действия. На шаге 2 для выбора объекта доступны только варианты «Хосты» или «Внешние адреса».
Запуск автоправила
Для ручного запуска автоправила необходимо выбрать автоправило и нажать кнопку «Запустить». После чего происходит запуск сканирования, результаты сканирования возможно просмотреть в разделах программы. В зависимости от вида модуля и действий могут появиться новые ассеты или обновлены значения, результаты могут отличаться. Время запуска и отработки автоправила составляет как правило от 1 до 3 минут.
Редактирование автоправила
В разделе «Автоправила» выберите необходимый элемент и нажмите на кнопку «Редактировать», измените значения на необходимые. Нажмите кнопку «Сохранить». Редактирование автоправила также доступно из контекстного меню элемента.
Клонирование автоправила
В разделе «Автоправила» выберите необходимый элемент и нажмите на кнопку «Клонировать». Система создать копию выбранного автоправила в текущем каталоге дерева автоправил.
Удаление автоправила
Выберите автоправило, которое необходимо удалить. Для удаления нажмите на строку с автоправилом и далее на кнопку «Удалить», подтвердите действие. Удаление автоправила также доступно из контекстного меню элемента.
Просмотр истории запуска автоправила
На вкладке «История запусков» доступен просмотр истории запусков автоправил, см. рисунок 27.
В истории запусков Вы можете видеть статус каждого конкретного запуска автоправила, время запуска и завершения. Также доступны поиск по названию автоправила и фильтрация по статусам.
Для просмотра событий конкретного запуска выберите его в списке и в открывшейся карточке автоправила в разделе История запуск выберите конкретный запуск.
Вы можете скачать лог выполнения данного запуска автоправила при помощи контекстного меню «Логи» в формате CSV. Файл доступен для просмотра при помощи любого редактора/программы для просмотра CSV из состава операционной системы.