Перейти к основному содержимому
Версия: 5.0

Установка конфигураций

Первый этап предназначен для автоматизации развертывания и настройки зависимых объектов модуля Smart EDR. Настройка выполняется утилитой make_smart_edr.py. Утилита предоставляется в пакете smart_edr_ko_maker и расположена в директории bin. Утилита выполняет следующие задачи:

  1. Развертывание объектов знаний (сущностей Smart Monitor)
  2. Создание шаблонов индексов
  3. Создание индексов
  4. Развертывание политик ISM (Index State Management)
  5. Загрузка правил из CSV-файла

Требования

  1. Python 3.x
  2. Установленные зависимости: requests, urllib3
  3. Доступ к кластеру Smart Monitor с учетными данными администратора

Структура утилиты

Скрипт содержит следующую структуру директорий:

./
├── data/                    # Основная директория с конфигурациями
│   ├── sm_*/                # Директории с сущностями `Smart Monitor` (начинаются с sm_)
│   ├── index_templates/     # Шаблоны индексов
│   ├── indexes/             # Конфигурации индексов
│   └── ism_policies/        # Политики управления состоянием индексов
└── lookups/
    └── rules.csv            # CSV-файл с правилами

Форматы файлов

Обратите внимание!

Настройки индексов (indexes) и политик (ism_policies) являются демонстрационными и должны быть приведены к требованиям инсталляции в разрезе ротации данных и конфигурации репликации.

  1. Сущности Smart Monitor (в директориях sm_*): JSON-файлы с метаданными в поле _meta и уникальным идентификатором
  2. Шаблоны индексов (index_templates): 
    {
      "name": "имя_шаблона",
      "index_template": {
    	// конфигурация шаблона
      }
    }
  3. Индексы (indexes): 
    {
      "имя_индекса": {
    	// конфигурация индекса
      }
    }
  4. Политики ISM (ism_policies): 
    {
      "policy": {
    	"policy_id": "имя_политики",
    	// остальная конфигурация
      }
    }
  5. Правила (rules.csv): Актуальный перечень правил выявления угроз BI.ZONE EDR

Последовательность установки

1. Запуск установки конфигураций

Установка производится запуском утилиты make_smart_edr.py:

python make_smart_edr.py --sm_host <хост> --sm_user <пользователь> --sm_password <пароль> [--sm_port <порт>]

Параметры командной строки:

ПараметрОбязательныйТипЗначение по умолчаниюОписание
--sm_hostДаstr-Хост Smart Monitor (один из узлов кластера)
--sm_portНетint9200Порт Smart Monitor
--sm_userДаstr-Имя пользователя
--sm_passwordДаstr-Пароль пользователя

Пример запуска:

python make_smart_edr.py --sm_host open-search-host-1.my_company.ru --sm_user admin --sm_password securepassword --sm_port 9200

2. Проверка применения конфигураций

  1. В разделе интерфейса Политики индекса (Навигационное меню - Параметры системы - Управление индексами - Политики индекса) отображается политика bizone:
  2. В разделе интерфейса Управляемые индексы (Навигационное меню - Параметры системы - Управление индексами - Управляемые индексы) отображаются индексы модуля, управляемые политикой bizone:
  3. В разделе Шаблоны (Навигационное меню - Параметры системы - Управление индексами - Шаблоны) отображаются шаблоны модуля:
  4. В перечне справочников Список справочников (Навигационное меню - Lookup Manager - Список справочников) отображаются справочники модуля:
    • bizone_alert_setting
    • dim_bizone_host
    • dim_bizone_rule
    • dim_bizone_task
    • link_bizone_alert_severity_incident_severity
  5. Справочник dim_bizone_rule содержит список правила выявления угроз