Попробовать бесплатно
Руководство пользователя

Добавление скриптов

Система SecureTower предоставляет возможность запуска скриптов при срабатывании или ошибке обработки правил безопасности. Скрипты могут применяться как к группе правил, так и к отдельному правилу безопасности. В модуле Политики безопасности поддерживается выполнение следующих типов скриптов:

  • CMD (bat, cmd);
  • EXE;
  • Powershell (ps1);
  • Python (py).
Внимание!

Для запуска скриптов Python необходимо, чтобы на компьютере, на котором запущен сервис Сервера политик безопасности, был установлен Python, кроме того, его путь должен быть добавлен в переменные среды.

Скрипт может быть вызван напрямую через запуск интерпретатора (например, powershell.exe или python.exe) с передачей пути к скрипту. Для запуска приложения (powershell, python и др.) можно использовать bat-файл, содержащий команду запуска интерпретатора.

Внимание!

Файлы скриптов должны храниться локально на компьютере, на котором запущен сервис Сервера политик безопасности.

Скрипт запускается при каждом срабатывании правила, при этом система поддерживает запуск не более 10 скриптов одновременно.

Запуск скриптов может производиться от Сервера политик безопасности (по умолчанию) или от имени учетной записи пользователя, в последнем случае для корректного выполнения скрипта учетная запись должна обладать привилегиями, соответствующими задачам скрипта.

По умолчанию время выполнения скрипта составляет 30 секунд, после чего работа скрипта останавливается автоматически. В настройках скрипта можно изменить время выполнения скрипта либо отменить автоматическое прерывание выполнения скрипта.

Для работы со скриптами используйте переменные среды окружения из списка ниже.

Примечание.

Имена параметров переменных среды необходимо заключать в знаки процентов.

Срабатывание правил безопасности

Для всех типов правил:

Для правил ОбычноеКонтроль по словарю и Цифровые отпечатки:

Для Статистического правила:

Ошибка обработки правила

Добавление обычного скрипта

Для добавления скрипта к правилу или группе правил:

  1. В окне Добавление правила безопасности или Редактирование правила безопасности перейдите на вкладку Настройки скриптов.
  2. Нажмите Добавить, в выпадающем меню выберите Добавить скрипт.
  3. На вкладке Общие параметры окна Настройка скрипта:
  • Из списка Тип скрипта выберите условие, при котором будет запущено выполнение скрипта.
  • В поле Путь к файлу введите путь к файлу скрипта на диске локального компьютера или выберите файл из списка, используя кнопку обзора.
  • При необходимости заполните поле Описание.
  • Для завершения скрипта по истечении указанного времени отметьте опцию Завершать по истечении времени ожидания; для изменения времени, установленного по умолчанию (30 секунд), в поле Таймаут задайте значение в секундах в диапазоне 1-2147482.
  • Отмените выбор опции Завершать по истечении времени ожидания для выполнения скрипта без прерывания.
  • Для запуска скрипта под учетной записью, отличной от имени службы модуля Политики безопасности отметьте опцию Запускать под указанной учетной записью и введите имя учетной записи и пароль в соответствующих полях.
Примечание:

Если требуется запускать скрипты от имени учетной записи пользователя, отличной от учетной записи сервиса Сервера политик безопасности, учетная запись сервиса должна обладать привилегиями IncreaseQuote и AssignPrimaryToken. По умолчанию сервис запущен от имени LocalSystem и обладает требуемыми привилегиями, в противном случае предоставьте учетной записи сервиса Сервера обеспечения безопасности и отчетности привилегии IncreaseQuote и AssignPrimaryToken с помощью редактора системных политик (gpedit.msc).

  1. Для выполнения тестового запуска скрипта нажмите на иконку Проверить скрипт в правом верхнем углу окна. По завершении проверки появляется информационное окно с данными о выполнении или ошибке выполнения скрипта, иконка проверки скрипта сменится иконкой статуса выполнения скрипта.
  2. Нажмите OK для сохранения настроек.

Добавление именованных аргументов

Для решения аналогичных задач предусмотрена возможность использования одних и тех же скриптов с добавлением пользовательских аргументов. Пользователь имеет возможность настраивать отдельные аргументы и их значения, которые передаются в выполняемые скрипты. Кроме того, пользователь может задавать собственные атрибуты для пользовательских скриптов.

Скрипты могут содержать:

  • Обязательные аргументы, которые должны быть введены во избежание ошибки при сохранении скрипта.
  • Опциональные аргументы, отсутствие которых ошибки не вызывает. Они могут быть определены стандартными значениями (например, адрес сервера) или могут быть изменены по желанию пользователя (например, не критичная для работы дополнительная информация).
  • Пользовательские аргументы, наименование которым задает непосредственно пользователь.

Для настройки именованных аргументов скрипта:

  1. Перейдите на вкладку Аргументы.
  2. Отредактируйте обязательные или опциональные аргументы при их наличии.
  3. При необходимости пометить собственный атрибут нажмите кнопку Добавить пользовательский аргумент и введите имя аргумента в новой строке.
  4. Для применения настроек нажмите кнопку OK.

Примите во внимание, что при добавлении пользовательского аргумента необходимо указать имя и значение. В противном случае появляется окно ошибки с предупреждением:

Примечание.

Из вкладки Аргументы окна Настройка скрипта вы можете добавлять только аргументы группы Пользовательские. Аргументы групп Обязательные и опциональные добавляются посредством файла .prop.

К списку аргументов может быть применена текстовая фильтрация (буквы и цифры).

Для удобства восприятия отображение отдельных групп аргументов может быть отключено нажатием кнопок   .

Для удаления аргумента из списка имеющихся нажмите Отменить в строке удаляемого аргумента.

Запись уведомлений о срабатывании правил безопасности в формате Syslog

Для расширения возможностей реагирования на инциденты наряду с использованием собственных возможностей (скрипты) система SecureTower предусматривает возможность интеграции со сторонними продуктами, например, специализированными решениями для управления информацией и событиями безопасности (SIEM-системами). С этой целью предусмотрена возможность настройки уведомлений в формате Syslog.

Для сохранения уведомлений в формате Syslog:

  1. В окне Добавление правила безопасности или Редактирование правила безопасности перейдите на вкладку Настройки скриптов.
  1. Нажмите Добавить, в выпадающем меню выберите Интеграция с Syslog.
  1. В блоке общих настроек окна Настройка уведомления в выпадающем меню выберите тип уведомления, введите название и опционально описание набора настроек в соответствующих полях.
  1. В блоке параметров подключения введите адрес/имя сервера/порт для последующей отправки уведомлений, из раскрывающегося списка выберите протокол передачи уведомлений в выпадающем списке (UDP/TCP).
  2. Для выполнения тестового подключения и отправки тестового сообщения нажмите кнопку Проверить подключение.
  3. Выберите в выпадающем меню тип сообщения, соответствующий уведомлению. По умолчанию устанавливается Informational.
  4. При необходимости измените текст уведомления, добавив переменные в текстовом поле Именованные параметры (см. примечание ниже).
  5. Нажмите OK для сохранения настроек.
Примечание

. Для настройки уведомлений в формате Syslog возможно использование переменных, описанных в параграфе Добавление скриптов (см. выше). Параметры в поле сообщения указываются в фигурных скобках.

Изменение сохраненных скриптов

Для того, чтобы изменить параметры ранее сохраненных скриптов в системе:

  1. Выберите команду Редактировать в контекстном меню скрипта или щелкните дважды указателем мыши по строке скрипта.
  2. В открывшемся диалоговом окне внесите необходимые изменения и нажмите кнопку Сохранить.

Удаление скриптов

Для того, чтобы удалить имеющийся в системе набор настроек скрипта:

  1. Выберите название скрипта в списке и нажмите кнопку Удалить на панели управления или выберите команду Удалить в контекстном меню скрипта.
  2. В диалоговом окне подтверждения действия нажмите кнопку Да.
  1. Нажмите OK для сохранения настроек.