Перейти к основному содержимому
Версия: 7.x

Правила и шаблоны аудита

Инструмент Правила и шаблоны аудита предоставляет возможность оператору эффективно управлять правилами и шаблонами аудита для различных сетевых устройств.

Он предоставляет функционал импорта и экспорта шаблонов аудита, а также возможность создания, редактирования и тестирования отдельных правил аудита конфигураций.

База шаблонов и правил позволяет оператору эффективно проверить целевую систему в задаче Аудит конфигурации на соответствие различным правилам и параметрам безопасности, а также стандартам безопасности. Путем создания шаблонов из предварительно установленных правил аудита конфигураций можно обеспечить оптимальный уровень безопасности в сетевых устройствах.

Для перехода к странице Правила и шаблоны аудита необходимо навести курсор мыши на выпадающий список Инструменты и выбрать одноименную строку, после чего в Сканер-ВС откроется страница Правила и шаблоны аудита.

Страница правила аудита

На странице в правом верхнем углу присутствуют кнопки Правила и Шаблоны, которые позволяют переключать страницу на просмотр, добавление и изменение правил и шаблонов изделия.

Страница шаблоны аудита

подсказка

В таблице «Правила и шаблоны аудита» в столбце «Действия» пользователь может дублировать, импортировать и удалять выбранные в таблице элементы.

Добавление нового шаблона

Шаблон можно импортировать в изделие, нажав соответствующую иконку или создать новый шаблон аудита вручную.

Импорт шаблона аудита

Для добавления нового шаблона вручную необходимо нажать справа страницы кнопку Шаблоны и далее нажать на кнопку Добавить шаблон + после чего откроется страница Добавить шаблон.

Страница добавить шаблон

Страница Добавить шаблон содержит следующие доступные для настройки блоки:

  • Информация о шаблоне;
  • Правила.

В блоке Информация о шаблоне рекомендуется заполнять все доступные поля для более подробной информации о шаблоне и удобства пользования в дальнейшем. В блоке Правила отражаются доступные для выбора и добавления в шаблон правила аудита.

осторожно

При создании шаблона вручную необходимо обязательно выбрать хотя бы одно правило.

По завершению настроек нового шаблона для его сохранения необходимо нажать кнопку Создать. Для отмены введенных данных и создания нового шаблона необходимо нажать кнопку Отменить.

На странице Правила и шаблоны аудита после создания шаблона можно будет его выбрать и посмотреть страницу с описанием этого шаблона и входящих в него правил.

Пример просмотра карточки шаблона аудита

Добавление нового правила

При необходимости пользователь может создать новое правило вручную, нажав справа страницы кнопку «Правила» и далее нажав кнопку Добавить правило + после чего откроется страница Новое правило.

Пример заполненной страницы новое правило

Каждое правило описывается следующими полями:

  • commands – список команд. Каждая команда представляет собой строку определенного вида;
  • condition – условие. Описывает, как должны агрегироваться результаты команд;
  • description – текстовое поле, содержащее общее описание назначения правила. Уточняет, какие настройки проверяются, что должна выполнять команда и за что отвечают соответствующие параметры в конфигурации. Может также в себя включать текстовые рекомендации по безопасным параметрам конфигурации;
  • group – заполняется пользователем и используется для логической группировки правил. Например, аутентификация и авторизация, управление пользователями, аудит и логирование, удалённый доступ, сетевые протоколы, файловая система и права доступа;
  • before_commands – список команд, которые выполняются перед основными командами правила. Используется для настройки окружения перед выполнением проверки. Наиболее актуально для роутеров, где может потребоваться переход в нужный режим CLI, но также может применяться в других окружениях, например, для установки переменных окружения или подготовки сессии.

Условие может иметь следующие значения:

  • any – выполнять команды до первой с результатом PASSED;
  • all – выполнять команды до первой с результатом NOT_PASSED или INVALID.

Команды могут проверять наличие файлов, директорий, элементов в xml-документах, разделов и значений реестра, запущенных процессов, рекурсивно проверять наличие файлов внутри директорий. Когда дело доходит до проверки содержимого, команды могут проверять содержимое файлов, вывод команд и значения разделов реестра, рекурсивно проверять содержимое файлов внутри директорий.

Абстрактно, команда начинается с цели и ее типа. За целью следует описание проверки. Проверки делятся н а д ве к атегории: п роверка н аличия и п роверка содержимого. Тип цели указан в таблице ниже, и этой целью может быть файл, директория, xml-документ, название процесса, команда или раздел реестра.

Команда завершается с одним из трех результатов:

  • PASSED – команда выполнилась успешно. Например, проверялось наличие файла и файл был обнаружен;
  • NOT_PASSED – команда выполнилась неуспешно. Например, проверялось наличие определенной строки в файле и строка не нашлась;
  • INVALID – команда выполнилась некорректно. Например, на активе не оказалось необходимой для выполнения команды утилиты или было разорвано соединение с активом.

Примеры описания команд

Проверяет, что файл существует:

file:/proc/sys/net/ipv4/ip_forward

Проверяет, что содержимое файла соответствует всей строке:

file:/proc/sys/net/ipv4/ip_forward -> 1

Проверяет, что root единственный аккаунт с UID равным 0:

file:/etc/passwd -> !r:^# && !r:^root: && r:^\w+:\w+:0:

Проверяет, что директория существует:

dir:/etc/mysql

Проверяет, что директория содержит файлы:

dir:/home -> ^.mysql_history$

Проверяет, что атрибут элемента xml-документа равен 1:

xml:C:\ProgramData\Security Code\Secret Net Studio\Client\Control
Center\DefaultTemplatesSettings.xml ->
//Template[Nodes/Node[@path='TemplateInfo' and
a[@name='name']]]/Nodes/Node[@path='Basic']/Node[@path=
'GinaMode']/a[@name='value']/@value -> 1

Проверяет, что процесс существует:

proc:avahi-daemon

Проверяет конфигурацию sshd на предмет максимального количества попыток аутентификации:

cmd:sshd -T -> !r:^\s*maxauthtries\s+4\s*$

Проверяет значение ключа в разделе реестра:

reg:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Netlogon\Parameters -> MaximumPasswordAge -> 0
подсказка

Более подробное описание синтаксиса написания правил указано в подсказке на странице «Новое правила», которую можно раскрыть, нажав на кнопку i в верхней правой части страницы.

Тестирование правила перед добавлением

Если созданное оператором правило будет с ошибкой, тогда в задаче Аудит конфигурации оно не пройдет. На данном правиле появится серый статус Невоспроизводимо. Для предотвращения данных ситуаций рекомендуется тестировать правила перед сохранением и добавлением их в изделие.

Для тестирования правила после написания необходимо выполнить следующее:

  1. на странице Новое правило, с записанным для добавления правилом, необходимо выбрать актив для проверки этого правила, нажав кнопку Выбрать из списка активов;
  2. нажать кнопку Проверить под окном для записи правила;
  3. дождаться результата проверки.

Возможные результаты проверки

Статусы в задаче Аудит конфигурации (результаты проверки правила) могут быть следующими:

  • успешный (текст в результате проверки будет окрашен в зеленый цвет);

Успешный результат проверки

  • не успешный (правило не смогло запуститься на активе или не прошло проверку. Текст в результате проверки будет окрашен в красный цвет);

Не успешный результат – правило не смогло запуститься на активе

Не успешный результат – правило не прошло проверку

  • невоспроизводимое (правило не смогло воспроизвестись т. к. не подходит под тип окружения выбранного актива. Текст в результате проверки будет окрашен в серый цвет);

Не успешный результат – невоспроизводимое правило

Последнее обновление