Управление доступом
KOMRAD Enterprise SIEM реализует атрибутную модель управления доступом (ABAC -- Attribute-Based Access Control). Модель позволяет гибко настраивать права на основе атрибутов субъекта, объекта, действия и окружения.
Принципы разграничения прав
- Принцип наименьших привилегий -- каждая роль получает доступ только к тем объектам и действиям, которые необходимы для выполнения её функций.
- Разделение обязанностей -- критичные операции (удаление активов, изменение глобальных политик) доступны только ограниченному кругу лиц.
- Аудит действий -- все изменения фиксируются в журналах, что позволяет отслеживать действия каждой роли.
- Контекстный доступ -- аналитики видят активы и инциденты только в рамках своей зоны ответственности.
- Регламентное удаление -- удаление данных допускается только в соответствии с утверждённой политикой хранения.
Типы атрибутов
Модель ABAC оперирует четырьмя типами атрибутов:
- Объект -- ресурс, к которому осуществляется доступ.
- Субъект -- пользователь или сервис, запрашивающий доступ.
- Действие -- операция, выполняемая над объектом.
- Окружение -- контекстные условия запроса (время, IP-адрес и другие).
Атрибуты объекта
Атрибут объекта определяет, к какому ресурсу применяется правило доступа. Доступны следующие параметры:
- Тип -- категория объекта: Активы, Виджеты, Директивы, Динамические списки, Инциденты, Коллекторы, Комментарии, Матрицы атак, Пакеты экспертиз, Плагины коллекторов, Пользователи, Поля событий, Политики доступа, Правила доступа, Правила уведомлений, Роли, Секреты, Сертификаты, События, Тенант, Токены доступа, Транспорт уведомлений, Фильтры и другие.
- Идентификатор -- уникальный идентификатор объекта.
- Статус инцидента -- применимо к инцидентам: новый, расследуется, закрыт, ложное срабатывание.
- Критичность -- уровень важности объекта: несущественная, низкая, средняя, высокая.
- Создатель -- пользователь или правило, создавшее объект.
- Метка безопасности -- классификация объекта по уровню конфиденциальности.
Атрибуты субъекта
- Логин -- имя учётной записи пользователя.
- Роли -- одна или несколько ролей, назначенных пользователю.
При вводе значений в конструкторе правил отображаются подсказки со списком существующих ролей и пользователей. Список сокращается при частичном вводе.
Атрибуты действия
Действие определяет операцию, которую субъект выполняет над объектом. Система поддерживает более 200 действий, организованных по категориям:
| Категория | Примеры действий |
|---|---|
| Пакеты экспертиз | Активировать, импортировать, экспортировать, создать, редактировать, удалить, проверить на конфликты |
| Инциденты | Создать, редактировать, удалить, экспортировать, добавить события, отправить в ГосСОПКА |
| Активы | Создать, редактировать, удалить, импортировать из CSV, добавить теги |
| Коллекторы | Включить/выключить, перезапустить, проверить, установить на удалённом хосте |
| Директивы | Создать, редактировать, удалить, включить/выключить |
| Политики и правила доступа | Создать, редактировать, удалить, проверить |
| Пользователи и роли | Создать, редактировать, удалить, изменить пароль |
| Токены доступа | Создать, редактировать, удалить, отозвать, провести ротацию |
| Динамические списки | Создать, редактировать, удалить, добавить/удалить записи |
| Сертификаты | Создать, удалить, сгенерировать на основе корневого |
| Виджеты и панели | Создать, редактировать, удалить |
| Фильтры | Создать, редактировать, удалить, проверить существование |
| Поиск и события | Получить событие, список событий, количество событий, поля событий |
| Задачи сканирования | Создать, запустить, приостановить, отменить, удалить |
| ГосСОПКА | Отправить инцидент, получить/редактировать конфигурацию |
| Уведомления | Создать/редактировать/удалить правило уведомления |
Атрибуты окружения
Атрибуты окружения позволяют ограничивать доступ по контексту подключения:
| Атрибут | Формат | Доступные операции |
|---|---|---|
| Текущее время сервера | ISO 8601 | До, После |
| День недели | 1--7 (Пн--Вс) | Равно, Не равно, Один из, Не один из, Пусто, Не пусто |
| Час суток | 0--23 | Равно, Не равно, Один из, Не один из, Больше, Больше или равно, Меньше, Меньше или равно, Пусто, Не пусто |
| IP-адрес клиента | IPv4/IPv6 | Равно, Не равно, Входит в подсеть, Не входит в подсеть, Пусто, Не пусто |
Роли
Основные роли SOC
KOMRAD включает набор предустановленных ролей, соответствующих типовой структуре SOC (Security Operations Center):
- Администратор (Administrator) -- полный доступ к работе с системой и всем данным.
- Разработчик контента (Content Developer) -- создание и оптимизация правил корреляции, сценариев угроз, панелей виджетов, нормализация данных.
- Аналитик первого уровня (Tier 1 / L1 Analyst) -- первичный анализ событий, фильтрация ложных срабатываний, классификация инцидентов.
- Аналитик второго уровня (Tier 2 / L2 Analyst) -- углублённый анализ событий, расследование инцидентов, формирование рекомендаций.
- Аналитик третьего уровня (Tier 3 / L3 Analyst) -- расследование сложных инцидентов, выявление скрытых угроз, оценка рисков.
- Инженер по интеграции (Integration Engineer) -- подключение и настройка источников данных, управление коллекторами и конвейерами данных.
- Наблюдатель (Viewer) -- мониторинг событий и инцидентов через панели виджетов, доступ только на чтение.
- Специалист технической поддержки (Technical Support Specialist) -- наблюдение за состоянием системы, диагностика и устранение неполадок, управление резервными копиями.
- Аудитор (Auditor) -- проверка соответствия стандартам, анализ журналов аудита и политик доступа.
к сведению
Если пользователю назначено несколько ролей, привилегии складываются (суммируются).
Распределение прав по ролям
| Роль | Действие/Модуль | Чтение | Редактирование | Создание | Удаление |
|---|---|---|---|---|---|
| Администратор | Все модули системы | + | + | + | + |
| Разработчик контента | Правила корреляции, сценарии обнаружения, нормализационные правила | + | + | + | + |
| Панели виджетов и отчёты (шаблоны) | + | + | + | - | |
| Активы (для привязки правил корреляции) | + | - | - | - | |
| Аналитик L1 | Журнал инцидентов (статус, приоритет) | + | + | - | - |
| Сигналы тревоги, регламенты | + | - | - | - | |
| Аналитик L2 | Детализированные инциденты, цепочки событий | + | + | - | - |
| Отчёты по расследованным инцидентам | + | + | + | - | |
| Аналитик L3 | Сложные инциденты, zero-day, инсайдерские угрозы | + | + | - | - |
| Планы восстановления, риски и контрмеры | + | + | + | - | |
| Инженер по интеграции | Источники данных, коллекторы, конвейеры | + | + | + | + |
| Правила нормализации и парсинга | + | + | + | + | |
| Наблюдатель | Панели виджетов, метрики, потоки событий | + | - | - | - |
| Специалист тех. поддержки | Системные настройки, журналы, резервные копии | + | + | - | - |
| Аудитор | Журналы аудита, политики безопасности, отчёты | + | - | - | - |
Управление доступом к объектам
| Роль | Объект | CRUD | Комментарий |
|---|---|---|---|
| Администратор | Все объекты | R, C, U, D | Полный доступ ко всем объектам и атрибутам |
| Разработчик контента | Пакеты экспертиз, динамические списки, фильтры, директивы, матрицы атак, виджеты | R, C, U, D | Полный доступ |
| Поля событий, активы | R | Только просмотр | |
| Инциденты | R, U | Просмотр и обновление для отладки правил | |
| Аналитик L1 | Инциденты | R, U | Изменение статуса, критичности, ответственного. Не может закрывать |
| Комментарии | R, C | Создание и просмотр | |
| Аналитик L2 | Инциденты | R, U | Полное изменение атрибутов, включая закрытие |
| Комментарии | R, C, U, D | Полный контроль над своими комментариями | |
| Пакеты экспертиз | R, C, U | Создание и редактирование для расследований | |
| Аналитик L3 | Инциденты | R, C, U, D | Полный контроль, включая ручное создание и удаление |
| ГосСОПКА | R, U | Просмотр и редактирование конфигурации | |
| Активы | R, C, U, D | Полный доступ | |
| Инженер по интеграции | Коллекторы, агенты, источники данных | R, C, U, D | Полный контроль |
| Плагины коллекторов, сертификаты | R, C, U, D | Установка и настройка | |
| Специалист тех. поддержки | Аудит (логи) | R | Просмотр для диагностики |
| Коллекторы | R, U | Просмотр и перезапуск | |
| Секреты | R, C, U, D | Управление системными учётными данными | |
| Наблюдатель | Виджеты, панели, инциденты, активы | R | Только просмотр |
| Аудитор | Журналы аудита, политики, правила доступа | R | Проверка соответствия |
Дублирование токенов и правил доступа
Для ускорения работы KOMRAD позволяет создавать копии существующих токенов и правил доступа.
Дублирование токена доступа
- Откройте карточку токена доступа или выберите токен в таблице токенов (раздел "Общие" или "Личные").
- Нажмите кнопку Дублировать.
- Отобразится сообщение об успешном дублировании и сгенерированный токен доступа.
Дублирование правила доступа
- Откройте карточку правила доступа или выберите правило в таблице правил доступа.
- Нажмите кнопку Дублировать.
- В таблице отобразится дублированное правило.
Вход через root-токен
Root-токен предоставляет полный доступ к системе в обход политик доступа. Используйте его только для первоначальной настройки или восстановления доступа.
warning
При входе по root-токену политики доступа не применяются. Пользователь получает неограниченные привилегии.
Для настройки входа по root-токену:
-
Создайте root-токен:
komrad-cli token root --path /var/lib/echelon/komrad/root.json create -
Сохраните секрет токена, отображённый в консоли.
-
В конфигурации
komrad-server(/etc/echelon/komrad/komrad-server.yaml) включите аутентификацию по root-токену:auth:
root-token:
enabled: true
path: /var/lib/echelon/komrad/root.json -
Перезапустите сервер:
systemctl restart komrad-server -
Откройте веб-интерфейс, нажмите Войти по токену и введите сохранённый секрет.