Перейти к основному содержимому
Версия: 5.3

Установка конфигураций

Первый этап предназначен для автоматизации развертывания и настройки зависимых объектов модуля Smart EDR. Настройка выполняется утилитой make_smart_edr.py. Утилита предоставляется в пакете smart_edr_ko_maker и расположена в директории bin. Утилита выполняет следующие задачи:

  1. Развертывание объектов знаний (сущностей Smart Monitor)
  2. Создание шаблонов индексов
  3. Создание паттернов индексов
  4. Загрузка правил из CSV-файла

Требования

  1. Python 3.10+
  2. Установленные зависимости: requests, urllib3, jinja2
  3. Доступ к кластеру Smart Monitor с учетными данными администратора

Структура утилиты

Скрипт содержит следующую структуру директорий:

./
├── data/                    # Основная директория с конфигурациями
│   ├── sm_*/                # Директории с сущностями `Smart Monitor` (начинаются с sm_)
│   ├── index_templates/     # Шаблоны индексов
│   ├── index_patterns/      # Паттерны индексов
└── lookups/
    └── rules.csv            # CSV-файл с правилами

Форматы файлов

  1. Сущности Smart Monitor (в директориях sm_*): JSON-файлы с метаданными в поле _meta и уникальным идентификатором

  2. Шаблоны индексов (index_templates):

    {
      "name": "имя_шаблона",
      "index_template": {
    	// конфигурация шаблона
      }
    }

  3. Паттерны индексов (index_patterns):

    {
      "attributes": {
    	"title": "название паттерна"
      },
      "references": []
    }

  4. Правила (rules.csv): Актуальный перечень правил выявления угроз BI.ZONE EDR

Последовательность установки

1. Запуск установки конфигураций

Установка производится запуском утилиты make_smart_edr.py:

python make_smart_edr.py --sm_host <хост> --sm_user <пользователь> --sm_password <пароль> [--sm_port <порт>]

Параметры командной строки:

ПараметрОбязательныйТипЗначение по умолчаниюОписание
--sm_hostДаstr-Хост Smart Monitor (один из узлов кластера)
--sm_portНетint9200Порт Smart Monitor
--sm_userДаstr-Имя пользователя
--sm_passwordДаstr-Пароль пользователя

Пример запуска:

python make_smart_edr.py --sm_host open-search-host-1.my_company.ru --sm_user admin --sm_password securepassword --sm_port 9200

2. Проверка применения конфигураций

  1. В разделе Шаблоны: (Навигационное меню - Параметры системы - Управление индексами - Шаблоны) отображаются шаблоны модуля: Шаблоны

  2. В разделе Паттерны индексов: (Навигационное меню - Параметры системы - Настройки модулей - OPENSEARCH - Паттерны индексов) отображаются паттерны индексов модуля: Паттерны индексов

  3. В перечне справочников Список справочников: (Навигационное меню - Lookup Manager - Список справочников) отображаются справочники модуля:

    • bizone_alert_setting
    • dim_bizone_host
    • dim_bizone_rule
    • dim_bizone_task
    • link_bizone_alert_severity_incident_severity

  4. Справочник dim_bizone_rule содержит список правил выявления угроз