Интеграция задач EDR

Интеграция задач BI.ZONE EDR с Менеджером Инцидентов производится утилитой add_task_actions.py. Утилита предоставляется в пакете smart_edr_ko_maker, расположена в директории bin и автоматизирует процессы:

1. Создания активных действий в Smart Monitor для задач BI.ZONE EDR
2. Генерации готового пакета развертывания
3. Подготовки среды для выполнения задач EDR, как активных действий

Последовательность установки

1. Формирование справочника доступных задач

1. Войдите в интерфейс Smart Monitor Web
2. Перейдите к списку задач Навигационное меню - Планировщик задач - Список задач
3. Выберите задачу Справочник: Задачи:
4. Скопируйте запрос и выполните его для формирования актуального списка задач:

2. Создание API-токена BI.ZONE EDR

1. Перейдите в раздел Мой профиль - API-токены
2. Создайте API-токен и скопируйте его для дальнейшего использования в утилите add_task_actions.py

3. Запуск утилиты add_task_actions.py

1. В сборщике smart_edr_ko_maker перейдите в директорию bin
2. Запустите утилиту add_task_actions.py

Параметры запуска

Обязательные параметры:

Параметр	Описание
--sm_host	Хост Smart Monitor (один из узлов кластера)
--sm_user	Пользователь Smart Monitor
--sm_password	Пароль Smart Monitor
--bizone_edr_host	Хост BI.ZONE EDR
--bizone_edr_token	API-токен BI.ZONE EDR

Опциональные параметры:

Параметр	По умолчанию	Описание
--sm_port	9200	Порт Smart Monitor
--bizone_edr_port	9993	Порт BI.ZONE EDR

Полный пример запуска

python add_task_actions.py \
  --sm_host open-search-host-1.my_company.ru \
  --sm_user admin \
  --sm_password securepass \
  --bizone_edr_host bi-zone-edr.my_company.ru \
  --bizone_edr_token api_token_123 \
  --sm_port 9200 \
  --bizone_edr_port 9993

4. Установка активных действий

После выполнения add_task_actions.py создается директория build:

1. smart_edr_actions.tar.gz - архив содержащий:
   • исполняемые скрипты (run_job_handler.py, run_task.py)
   • конфигурационные файлы
   • зависимости Python
2. add_actions.sh - скрипт установки
3. Перенесите содержимое build на сервер Smart Monitor Web
4. Выполните перенос активных действий:

Обратите внимание!

Выполнение команд приведен к перезапуску Smart Monitor Web.

chmod +x add_actions.sh
./add_actions.sh
systemctl restart opensearch-dashboards

5. Подготовка окружения

Задачи EDR выполняются на сервере Smart Monitor Web. Для запуска активных действий из интерфейса Smart Monitor требуется:

1. Установить Python 3.7+ на все узлы data и master
2. Сделать установленный интерпретатор python системным

Обратите внимание!

Начиная с версии 5.1, Smart Monitor включает Python 3.12, соответствующий требованиям для выполнения активных действий.

3. Установить библиотеки, требуемые для работы активных действий:

   cd /app/opensearch-dashboards/config/actions
   pip install -r requirements.txt

6. Проверка применение конфигураций

В разделе Активные действия (Навигационное меню - Параметры системы - Настройки модулей - Менеджер инцидентов - Активные действия) отображаются задачи EDR c набором требуемых параметров: