Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Интеграции

Документация Интеграции
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал
SECURITM может интегрироваться с различными корпоративными системами, собирая с них данные, полезные для различных процессов управления безопасностью.
В этом разделе описаны прямые интеграции. Если с системой нет прямой интеграции то интеграция реализуется по API, через модуль RPA или файлы и сетевые файловые ресурсы.

// раздел в процессе наполнения

Scan Factory

Scan Factory это сканер уязвимостей для внешнего периметра.
🌐 Сайт производителя: https://scan-factory.ru
🎯 Интеграция с Scan Factory позволяет
  1. Обогатить реестр активов информацией о публичных IP адресах и доменах.
  2. Обогатить модуль VM информацией о технических уязвимостях на внешнем периметре.

Настройка интеграции

  1. Получите у производителя учетную запись настроенную для интеграции с SECURITM
  2. Зайдите в Профиль команды ➡️ Интеграции ➡️ Scan Factory
  3. На странице интеграции заполните данные для подключения:
    1. URL
      Например, https://MYCORP.sf-cloud.ru
    2. Логин
      Учетная запись в Scan Factory с ролью аудитора 
    3. Пароль
      Пароль от учетной записи
    4. URL сервера Keycloak
      Например, https://keycloak.sf-cloud.ru
    5. Keycloak Client ID
      Например, MYCORP. Часто совпадает с поддоментом в URL.
    6. Включить создание активов
      Если включить то будут создаваться активы типа Публичный IP-адрес, Домен
    7. Включить автоматическую синхронизацию
      Если включить, то синхронизация данных будет проводиться регулярно в соответствии с расписанием
    8. Настройка расписания для импорта
      Выберете вариант для периодичности синхронизации или укажите свой через CRON выражение
  4. Для сохранения настроек подключения нажмите Сохранить
  5. Для проверки подключения нажмите Проверить подключение 
  6. Для запуска синхронизации вручную (не по расписанию) нажмите Импорт

Результаты

После включения синхронизации:
  • в Модуле активов появятся активы следующих типов:
    • Домены
    • Сети (IP-адреса) Публичный IP-адрес
  • в Модуле метрик появится метрика Активы из Scan Factory
  • в Модуле VM появятся технические уязвимости из Scan Factory

Рекомендации

  • Создайте метрику Процент доменов без владельцев
  • Свяжите Домены и Публичные IP адреса с внутренними серверами, на которые они ведут
  • Создайте RPA сигнализирующий о появлении новых публичных IP адресов и доменов

Active Directory

Zabbix

Zabbix это система мониторинга ИТ инфраструктуры
🌐 Сайт производителя: https://www.zabbix.com
🎯Интеграция с Zabbix позволяет решать следующие задачи информационной безопасности:
  1. Инвентаризация ИТ инфраструктуры (заполнение реестра активов)
  2. Контроль покрытия ИТ инфраструктуры системой мониторинга
  3. Контроль появления проблем с компонентами ИТ инфраструктуры
Поддерживаемая версия: 6.4

Настройка интеграции

Интеграция настраивается в разделе Профиль команды ➡️ Интеграции ➡️ Zabbix
Доступные параметры:
  • Включить интеграцию
    Без этой отметки SECURITM не будет проводить регулярный импорт из Zabbix
  • Включить импорт активов
    Импорт и создание активов в реестре активов SECURITM на базе полученной из Zabbix информации
  • Включить импорт мониторинга
    Контроль состояния объектов в Zabbix и трансляция статуса и ошибок в карточки активов SECURITM
  • Адрес сервера
    Укажите URL сервера
  • Логин
    Укажите пользователя zabbix. У пользователя должны быть права на подключение по API и чтение всех объектов
  • Пароль
    Пароль от учетной записи
  • Автоматическая синхронизация
    Включите опцию и настройте расписание синхронизации
Для проверки подключения воспользуйтесь блоком Проверка и синхронизация

После включения синхронизации у активов SECURITM начинают заполняться следующие поля:
  • Zabbix ID
    Служебное поле для сопоставления актива SECURITM с объектом мониторинга Zabbix
  • Система мониторинга
    Указывается строкове значение "zabbix". Поле сделано на случай одновременной интеграции с разными системами мониторинга и использования в RPA/Метриках. 
  • Статус мониторинга
    Заполняется значениями OK, PROBLEM или иными поступившими из системы мониторинга с цветовой подсветкой статуса.
  • Ошибки мониторинга
    Строковое поле в которое помещаются текстовые описания выявленных при мониторинге ошибок.
Вы можете увидеть эти поля в карточках активов нажав на Показать все поля. Для постоянного отображения полей в карточках активов и их появления в реестре активов (таблице) их нужно вручную добавить в Дополнительные поля в настройках соответствующего типа актива. 

Инструкция по настройке Zabbix

Для интеграции нужно создать пользователя в Zabbix с ограниченными правами.
Сперва нужно создать группу пользователей с правами на чтение.
Меню Пользователи -> Группы пользователей -> Создать группу пользователей.
Имя группы, например "Read only access".
  • Закладка Права доступа к шаблонам -> Выбрать -> Выбрать все -> Включая подгруппы -> Чтение -> Добавить.
  • Закладка  Права доступа к узлам сети -> Выбрать -> Выбрать все -> Включая подгруппы -> Чтение -> Добавить.
  • Добавить
Учетная запись создается через меню Пользователи / Пользователи -> Создать пользователя.
  • На закладке Пользователь выбираем группу, которую создали ранее (Read only access).
  • На закладке Права доступа выбирается роль User role (или другая пользовательская роль, определенная вручную).

Рекомендации

Примеры метрик, которые вы можете создать использую собранную информацию: 
  1. Покрытие мониторингом Windows серверов
    Метрика позволяет оценить процент серверов по которым не ведется мониторинг и перейти к их списку.
    Метрика актуальна при условии что отсутствие мониторинга на сервере считается проблемой безопасности.
    Можно настроить аналогичную метрику для Linux серверов, сетевого оборудования и т.д.
    Формула метрики: ([Win Srv без мониторинга Zabbix] / [Все Win Srv]) *100
    1. Настройка телеметрии Win Srv без мониторинга zabbix:
      Тип актива Windows Server, включая дочерние типы, поле Zabbix ID равно пустому значению
    2. Телеметрия Все Win Srv:
      Тип актива Windows Server, включая дочерние типы
  2. Проблемы с ИТ инфраструктурой
    Метрика позволяет увидеть появление проблем и перейти к реестру проблемных активов
    Формула метрики: [6:Ошибки мониторинга]
    1. Настройка телеметрии [6:Ошибки мониторинга]:
      Тип актива Операционная система, включая дочерние типы, поле Статус мониторинга не равно "ОК"
Примеры RPA автоматизаций которые вы можете создать: 
  • Уведомление или задача при появлении проблем с ИТ активами на владельца/администратора этого актива.
  • Вывод из строя (или восстановление работоспособности) защитных мер в случае выхода из строя серверов систем безопасности.
  • Изменение параметров высокоуровневых активов (ИТ сервисы, процессы) при выходе из строя серверов на которых расположены эти активы.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.