Интеграции
Куда я попал?
SECURITM может интегрироваться с различными корпоративными системами, собирая с них данные, полезные для различных процессов управления безопасностью.
В этом разделе описаны прямые интеграции. Если с системой нет прямой интеграции то интеграция реализуется по API, через модуль RPA или файлы и сетевые файловые ресурсы.
// раздел в процессе наполнения
В этом разделе описаны прямые интеграции. Если с системой нет прямой интеграции то интеграция реализуется по API, через модуль RPA или файлы и сетевые файловые ресурсы.
// раздел в процессе наполнения
Active Directory
Интеграция с Active Directory (далее - AD) состоит из 2 блоков:
- Подключения к AD и доменная авторизация - настраивается в Глобальных настройках
- Импорт данных из AD - настраивается в Профиле команды
Настройка импорта активов из Active Directory
Перед настройкой импорта активов из AD убедитесь что настроена интеграция с AD (Глобальные настройки -> Active Directory)
Импорт активов из AD настраивается на уровне команд, что позволяет в случае мульти-командной (мульти-тенантной) работы загружать в команды различные наборы данных.
Для настройки импорта активов нужно:
- Перейти в раздел Профиль команды -> Active Directory
- Указать юниты, из которых будут собираться активы
При первичной настройке интеграции рекомендуется указать юниты с небольшим количеством активов, чтобы тестирование синхронизации не занимало много времени.
Внимание: если юниты удалить и запустить синхронизацию то импортированные ранее активы будут удалены (архивированы).
Если AD небольшой (меньше тысячи объектов) можно указать в качестве юнита корень домена
dc=mydomain,dc=local
Если AD большой то рекомендуется указывать конкретные юниты
Если настроена синхронизация с несколькими доменами - их юниты указываются в общем списке.
ou=Отдел ИТ,ou=Отделы,dc=first,dc=local
ou=Продакшн,ou=Серверы,dc=second,dc=local - Для запуска автоматической синхронизации (раз в час) установите соответствующий чекбокс. Рекомендуется включать автоматическую синхронизацию после того как все тесты проведены.
- При Импорте второстепенных объектов (отделы, организации) данные берутся из соответствующих полей учетной записи. Включать этот чекбокс следует если в вашем AD хорошо построен процесс ведения учетных записей, иначе есть риск появления нескольких синонимичных активов, например "Отдел информационной безопасности" и "Отдел ИБ".
- Не рекомендуется добавлять отключенные учетные записи и хосты, для которых не удалось определить IP адрес.
IP адрес определяется через обращение к корпоративному DNS серверу. - Формат имени для людей стоит выбирать в соответствии с тем, какой формат принят в других корпоративных системах. Если вы планирует интеграцию с другой CMDB (например, импорт активов из Jira или 1С) и у вас нет иных уникальных полей для сопоставления кроме ФИО (имени актива) то следует выбрать принятый в других системах формат. Значение всегда можно изменить, SECURITM переименует активы.
- Для проверки подключения и возможности синхронизации нажмите на кнопку Проверка внизу страницы. Перед этим сохраните конфигурацию. Для запуска синхронизации нажмите кнопку Синхронизация.
Настройка импорта в больших инфраструктурах
Для распределения нагрузки при импорте из AD в больших инфраструктурах (более 10 000 рабочих мест) рекомендуется разбивать задачу синхронизации по юнитам, для этого в настройках интеграции следует указать опцию ☑️ Запускать синхронизацию каждого юнита в отдельной задаче
Для создания списка юнитов можно воспользоваться скриптом PoweShell
Для распределения нагрузки при импорте из AD в больших инфраструктурах (более 10 000 рабочих мест) рекомендуется разбивать задачу синхронизации по юнитам, для этого в настройках интеграции следует указать опцию ☑️ Запускать синхронизацию каждого юнита в отдельной задаче
Для создания списка юнитов можно воспользоваться скриптом PoweShell
#Requires -Version 4.0
[CmdletBinding()]
param(
[Parameter(Position = 0)]
[Int]$morethan = 10000
,
[Parameter(Position = 1)]
[String[]]$ObjectClass = @('user','computer','group')
)
$ObjectClassFilter = 'ObjectClass -eq "' + ($ObjectClass -join '" -or ObjectClass -eq "') + '"'
$tree = @{}
try {
$rootDN = (Get-ADRootDSE).rootDomainNamingContext
$rootCN = $rootDN.Replace('DC=','').Replace(',','.')
}
catch {throw}
Function Get-OU-Table {
param(
[Parameter(Position = 0, Mandatory = $true, ValueFromPipeline = $true, ValueFromPipelineByPropertyName = $true)]
[Hashtable]$tree
,
[Parameter(Position = 1)]
[String]$tab = ''
,
[Parameter(Position = 2)]
[Int]$morethan = 0
)
process {
$tree.Keys | Where-Object {$tree.$_.GetType().Name -eq 'Hashtable'} | ForEach-Object {
$out = '' | Select-Object -Property Name,DN,cnt
$out.Name = "${tab}${_}"
$out.cnt = $tree.$_.cnt
$out.DN = $tree.$_.dn
$out
If ($tree.$_.cnt -gt $morethan) {Get-OU-Table -tree $tree.$_ -tab "${tab} " -morethan $morethan}
}
}
}
Get-ADObject -Filter $ObjectClassFilter -Properties CanonicalName,DistinguishedName,Name,ObjectClass | ForEach-Object {
$OUDN = $_.DistinguishedName.Replace(",${rootDN}",$null) -replace '^((?!OU=).)+',$null
If ($OUDN) {
$OUDNArr = $OUDN -split '(?<!\\),'
[array]::Reverse($OUDNArr)
[ref]$reftree = $tree
[string]$dn = $null
,$rootDN + $OUDNArr | ForEach-Object {
$cn = If ($_ -eq $rootDN) {$rootCN} Else {$_ -replace '^[A-Z]+=',''}
$dn = If ($dn) {"${_},${dn}"} Else {$_}
If (-not $reftree.Value.$cn) {$reftree.Value.$cn = @{
cnt = 0
dn = $dn
}}
[ref]$reftree = $reftree.Value.$cn
$reftree.Value.cnt++
}
}
}
$restable = Get-OU-Table -tree $tree -morethan $morethan
If ($restable.Count -gt 1) {
$restable | Select-Object -Property Name,@{Label='Count'; Expression={$_.cnt}},DN | Format-Table -AutoSize
# Open GridView for copy/paste
$n = 0
$l = ([string]$restable.Count).Length
$restable | ForEach-Object {
$n++
$_ | Select-Object -Property DN, `
@{Label='# Sequence'; Expression={"# $("{0:d${l}}" -f $n)"}}, `
@{Label='Count'; Expression={$_.cnt}}, `
Name
} | Out-GridView -Title 'Select items and press CTRL+C for copy to clipboart'
}
Else {
Write-Warning -Message 'No data'
}
Zabbix
Интеграция с системой мониторинга Zabbix позволяет решать следующие задачи информационной безопасности:
- Инвентаризация ИТ инфраструктуры (заполнение реестра активов)
- Контроль покрытия ИТ инфраструктуры системой мониторинга
- Контроль появления проблем с компонентами ИТ инфраструктуры
Интеграция настраивается в разделе Профиль команды -> Zabbix
Доступные параметры:
Доступные параметры:
- Включить интеграцию
Без этой отметки SECURITM не будет проводить регулярный импорт из Zabbix - Включить импорт активов
Импорт и создание активов в реестре активов SECURITM на базе полученной из Zabbix информации - Включить импорт мониторинга
Контроль состояния объектов в Zabbix и трансляция статуса и ошибок в карточки активов SECURITM - Адрес сервера
Укажите URL сервера - Логин
Укажите пользователя zabbix. У пользователя должны быть права на подключение по API и чтение всех объектов - Пароль
Пароль от учетной записи - Автоматическая синхронизация
Включите опцию и настройте расписание синхронизации
Для проверки подключения воспользуйтесь блоком Проверка и синхронизация
После включения синхронизации у активов SECURITM начинают заполняться следующие поля:
После включения синхронизации у активов SECURITM начинают заполняться следующие поля:
- Zabbix ID
Служебное поле для сопоставления актива SECURITM с объектом мониторинга Zabbix - Система мониторинга
Указывается строкове значение "zabbix". Поле сделано на случай одновременной интеграции с разными системами мониторинга и использования в RPA/Метриках. - Статус мониторинга
Заполняется значениями OK, PROBLEM или иными поступившими из системы мониторинга с цветовой подсветкой статуса. - Ошибки мониторинга
Строковое поле в которое помещаются текстовые описания выявленных при мониторинге ошибок.
Вы можете увидеть эти поля в карточках активов нажав на Показать все поля. Для постоянного отображения полей в карточках активов и их появления в реестре активов (таблице) их нужно вручную добавить в Дополнительные поля в настройках соответствующего типа актива.
Инструкция по настройке Zabbix
Для интеграции нужно создать пользователя в Zabbix с ограниченными правами.
Сперва нужно создать группу пользователей с правами на чтение.
Меню Пользователи -> Группы пользователей -> Создать группу пользователей.
Имя группы, например "Read only access".
Сперва нужно создать группу пользователей с правами на чтение.
Меню Пользователи -> Группы пользователей -> Создать группу пользователей.
Имя группы, например "Read only access".
- Закладка Права доступа к шаблонам -> Выбрать -> Выбрать все -> Включая подгруппы -> Чтение -> Добавить.
- Закладка Права доступа к узлам сети -> Выбрать -> Выбрать все -> Включая подгруппы -> Чтение -> Добавить.
- Добавить
Учетная запись создается через меню Пользователи / Пользователи -> Создать пользователя.
- На закладке Пользователь выбираем группу, которую создали ранее (Read only access).
- На закладке Права доступа выбирается роль User role (или другая пользовательская роль, определенная вручную).
Рекомендации
Примеры метрик, которые вы можете создать использую собранную информацию:
- Покрытие мониторингом Windows серверов
Метрика позволяет оценить процент серверов по которым не ведется мониторинг и перейти к их списку.
Метрика актуальна при условии что отсутствие мониторинга на сервере считается проблемой безопасности.
Можно настроить аналогичную метрику для Linux серверов, сетевого оборудования и т.д.
Формула метрики: ([Win Srv без мониторинга Zabbix] / [Все Win Srv]) *100- Настройка телеметрии Win Srv без мониторинга zabbix:
Тип актива Windows Server, включая дочерние типы, поле Zabbix ID равно пустому значению - Телеметрия Все Win Srv:
Тип актива Windows Server, включая дочерние типы
- Настройка телеметрии Win Srv без мониторинга zabbix:
- Проблемы с ИТ инфраструктурой
Метрика позволяет увидеть появление проблем и перейти к реестру проблемных активов
Формула метрики: [6:Ошибки мониторинга]- Настройка телеметрии [6:Ошибки мониторинга]:
Тип актива Операционная система, включая дочерние типы, поле Статус мониторинга не равно "ОК"
- Настройка телеметрии [6:Ошибки мониторинга]:
Примеры RPA автоматизаций которые вы можете создать:
- Уведомление или задача при появлении проблем с ИТ активами на владельца/администратора этого актива.
- Вывод из строя (или восстановление работоспособности) защитных мер в случае выхода из строя серверов систем безопасности.
- Изменение параметров высокоуровневых активов (ИТ сервисы, процессы) при выходе из строя серверов на которых расположены эти активы.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.