Система SecureTower предоставляет возможность запуска скриптов при срабатывании или ошибке обработки правил безопасности. Скрипты могут применяться как к группе правил, так и к отдельному правилу безопасности. В модуле Политики безопасности поддерживается выполнение следующих типов скриптов:

• CMD (bat, cmd);
• EXE;
• Powershell (ps1);
• Python (py).

Скрипт может быть вызван напрямую через запуск интерпретатора (например, powershell.exe или python.exe) с передачей пути к скрипту. Для запуска приложения (powershell, python и др.) можно использовать bat-файл, содержащий команду запуска интерпретатора.

Скрипт запускается при каждом срабатывании правила, при этом система поддерживает запуск не более 10 скриптов одновременно.

Запуск скриптов может производиться от Сервера политик безопасности (по умолчанию) или от имени учетной записи пользователя, в последнем случае для корректного выполнения скрипта учетная запись должна обладать привилегиями, соответствующими задачам скрипта.

По умолчанию время выполнения скрипта составляет 30 секунд, после чего работа скрипта останавливается автоматически. В настройках скрипта можно изменить время выполнения скрипта либо отменить автоматическое прерывание выполнения скрипта.

Для работы со скриптами используйте переменные среды окружения из списка ниже.

Срабатывание правил безопасности

Для всех типов правил:

Для правил Обычное, Контроль по словарю и Цифровые отпечатки:

Для Статистического правила:

Ошибка обработки правила

Добавление обычного скрипта

Для добавления скрипта к правилу или группе правил:

1. В окне Добавление правила безопасности или Редактирование правила безопасности перейдите на вкладку Настройки скриптов.
2. Нажмите Добавить, в выпадающем меню выберите Добавить скрипт.
3. На вкладке Общие параметры окна Настройка скрипта:

• Из списка Тип скрипта выберите условие, при котором будет запущено выполнение скрипта.

• В поле Путь к файлу введите путь к файлу скрипта на диске локального компьютера или выберите файл из списка, используя кнопку обзора.
• При необходимости заполните поле Описание.

• Для завершения скрипта по истечении указанного времени отметьте опцию Завершать по истечении времени ожидания; для изменения времени, установленного по умолчанию (30 секунд), в поле Таймаут задайте значение в секундах в диапазоне 1-2147482.
• Отмените выбор опции Завершать по истечении времени ожидания для выполнения скрипта без прерывания.
• Для запуска скрипта под учетной записью, отличной от имени службы модуля Политики безопасности отметьте опцию Запускать под указанной учетной записью и введите имя учетной записи и пароль в соответствующих полях.

4. Для выполнения тестового запуска скрипта нажмите на иконку Проверить скрипт в правом верхнем углу окна. По завершении проверки появляется информационное окно с данными о выполнении или ошибке выполнения скрипта, иконка проверки скрипта сменится иконкой статуса выполнения скрипта.
5. Нажмите OK для сохранения настроек.

Добавление именованных аргументов

Для решения аналогичных задач предусмотрена возможность использования одних и тех же скриптов с добавлением пользовательских аргументов. Пользователь имеет возможность настраивать отдельные аргументы и их значения, которые передаются в выполняемые скрипты. Кроме того, пользователь может задавать собственные атрибуты для пользовательских скриптов.

Скрипты могут содержать:

• Обязательные аргументы, которые должны быть введены во избежание ошибки при сохранении скрипта.
• Опциональные аргументы, отсутствие которых ошибки не вызывает. Они могут быть определены стандартными значениями (например, адрес сервера) или могут быть изменены по желанию пользователя (например, не критичная для работы дополнительная информация).
• Пользовательские аргументы, наименование которым задает непосредственно пользователь.

Для настройки именованных аргументов скрипта:

1. Перейдите на вкладку Аргументы.
2. Отредактируйте обязательные или опциональные аргументы при их наличии.
3. При необходимости пометить собственный атрибут нажмите кнопку Добавить пользовательский аргумент и введите имя аргумента в новой строке.
4. Для применения настроек нажмите кнопку OK.

Примите во внимание, что при добавлении пользовательского аргумента необходимо указать имя и значение. В противном случае появляется окно ошибки с предупреждением:

К списку аргументов может быть применена текстовая фильтрация (буквы и цифры).

Для удобства восприятия отображение отдельных групп аргументов может быть отключено нажатием кнопок   .

Для удаления аргумента из списка имеющихся нажмите Отменить в строке удаляемого аргумента.

Запись уведомлений о срабатывании правил безопасности в формате Syslog

Для расширения возможностей реагирования на инциденты наряду с использованием собственных возможностей (скрипты) система SecureTower предусматривает возможность интеграции со сторонними продуктами, например, специализированными решениями для управления информацией и событиями безопасности (SIEM-системами). С этой целью предусмотрена возможность настройки уведомлений в формате Syslog.

Для сохранения уведомлений в формате Syslog:

1. В окне Добавление правила безопасности или Редактирование правила безопасности перейдите на вкладку Настройки скриптов.

2. Нажмите Добавить, в выпадающем меню выберите Интеграция с Syslog.

3. В блоке общих настроек окна Настройка уведомления в выпадающем меню выберите тип уведомления, введите название и опционально описание набора настроек в соответствующих полях.

5. В блоке параметров подключения введите адрес/имя сервера/порт для последующей отправки уведомлений, из раскрывающегося списка выберите протокол передачи уведомлений в выпадающем списке (UDP/TCP).
6. Для выполнения тестового подключения и отправки тестового сообщения нажмите кнопку Проверить подключение.
7. Выберите в выпадающем меню тип сообщения, соответствующий уведомлению. По умолчанию устанавливается Informational.
8. При необходимости измените текст уведомления, добавив переменные в текстовом поле Именованные параметры (см. примечание ниже).
9. Нажмите OK для сохранения настроек.

Изменение сохраненных скриптов

Для того, чтобы изменить параметры ранее сохраненных скриптов в системе:

1. Выберите команду Редактировать в контекстном меню скрипта или щелкните дважды указателем мыши по строке скрипта.
2. В открывшемся диалоговом окне внесите необходимые изменения и нажмите кнопку Сохранить.

Удаление скриптов

Для того, чтобы удалить имеющийся в системе набор настроек скрипта:

1. Выберите название скрипта в списке и нажмите кнопку Удалить на панели управления или выберите команду Удалить в контекстном меню скрипта.
2. В диалоговом окне подтверждения действия нажмите кнопку Да.

3. Нажмите OK для сохранения настроек.