Правила мониторинга

Материал из Документация Ключ-АСТРОМ

Чтобы включить или исключить определенные процессы из списка, контролируемого Application Security, вы можете настроить детальные правила мониторинга для сторонней аналитики уязвимостей на основе таких свойств, как тег процесса, тег узла и зона управления.

Определение пользовательских правил мониторинга

Вы можете определить собственные правила мониторинга через веб-интерфейс Ключ-АСТРОМ или API настроек.

В Ключ-АСТРОМ:

Чтобы добавить новое правило

  1. В меню Ключ-АСТРОМ выберите «Настройки » > «Безопасность приложений » > «Аналитика уязвимостей» > «Правила мониторинга: сторонние» .
  2. Выберите Добавить новое правило , чтобы добавить новое правило.
  3. Введите запрошенную информацию (режим, свойство, оператор условия и значение условия).
  4. Выберите Сохранить изменения .

Вы можете редактировать, отключать, включать или удалять правила в любое время.

Через настройки API:

Вы можете прочитать или изменить правила с помощью API настроек.

  • Чтобы просмотреть правило мониторинга, используйте запрос GET объекта . Установите следующие параметры:
    • schemaIds=builtin:appsec.rule-settings
    • scopes=tenant Пример ответа JSON

{

  "items": [

    {

      "objectId": "vu9U3hXa3q0AAAABABxidWlsdGluOmFwcHNlYy5ydWxlLXNldHRpbmdzAAZ0ZW5hbnQABnRlbmFudAAkYTc4NjY0NGItZmVjNC0zNzliLWI0MWItNThmYzgzOWZmYWY5vu9U3hXa3q0",

      "value": {

        "enabled": true,

        "mode": "MONITORING_OFF",

        "property": "PROCESS_TAG",

        "operator": "EQUALS",

        "value": "super secret process"

      }

    },

    {

      "objectId": "vu9U3hXa3q0AAAABABxidWlsdGluOmFwcHNlYy5ydWxlLXNldHRpbmdzAAZ0ZW5hbnQABnRlbmFudAAkNDhkZGYxNDMtYzc2Mi0zYzIwLWI1ODAtNTNhODEwOGZlMDBivu9U3hXa3q0",

      "value": {

        "enabled": true,

        "mode": "MONITORING_ON",

        "property": "HOST_TAG",

        "operator": "NOT_EQUALS",

        "value": "Test"

      }

    },

    {

      "objectId": "vu9U3hXa3q0AAAABABxidWlsdGluOmFwcHNlYy5ydWxlLXNldHRpbmdzAAZ0ZW5hbnQABnRlbmFudAAkNmY1NjZkNmItYWMyNy0zOTg2LWE1OGItNTU2ZTI1NTE5NTcyvu9U3hXa3q0",

      "value": {

        "enabled": false,

        "mode": "MONITORING_ON",

        "property": "MANAGEMENT_ZONE",

        "operator": "EQUALS",

        "value": "Monitorme"

      }

    }

  ],

  "totalCount": 3,

  "pageSize": 100

}

Чтобы изменить правило мониторинга, используйте запрос объекта POST .

[

  {

      "value": {

        "enabled": true,

        "mode": "MONITORING_ON",

        "property": "HOST_TAG",

        "operator": "EQUALS",

        "value": "REST"

      },

    "scope": "tenant",

    "schemaId": "builtin:appsec.rule-settings"

  },

    {

      "value": {

        "enabled": true,

        "mode": "MONITORING_OFF",

        "property": "PROCESS_TAG",

        "operator": "NOT_EQUALS",

        "value": "Test-Process"

      },

    "scope": "tenant",

    "schemaId": "builtin:appsec.rule-settings"

  }

]

Примечание. Для сред Kubernetes необходимо добавить теги как на хост, так и на узел Kubernetes.

Оценка правил мониторинга

После того как вы добавите, отредактируете или удалите правило, может пройти до 15 минут, прежде чем изменения вступят в силу во всей системе. Настроенные правила мониторинга оцениваются периодически (при выполнении внутренних рабочих процессов) и по запросу (через вызовы REST API). Независимо от контекста вызова оценка правила остается неизменной: при заданном наборе сущностей алгоритм решает, следует ли отслеживать конкретную сущность или нет. Правила обрабатываются по порядку до первого совпадения. Обратите внимание, что каждое правило должно быть уникальным.

  • Если правило соответствует определенному объекту, используется настроенный режим ( Monitor, ), и последующие правила не оцениваются для этого конкретного объекта.Do not monitor
  • MonitorЕсли ни одно правило не соответствует определенному объекту, используется режим по умолчанию ( ).

Часто задаваемые вопросы

  • Что произойдет, если я изменю порядок правил?
    • Применяется первое правило сопоставления.
  • Что произойдет, если будет добавлено применимое правило « Не отслеживать »?
    • Новые уязвимости для процессов, соответствующих правилу, создаваться не будут.
    • Существующие уязвимости, которые относятся только к соответствующим процессам, устранены.
  • Что произойдет, если правило «Не отслеживать» будет удалено или больше не будет применяться?
    • Будут созданы новые уязвимости для процессов, соответствующих правилу.
    • Связанные устраненные уязвимости вновь открыты.

Ограничения

В настоящее время невозможно определить пользовательские правила мониторинга на основе свойства тега процесса для сред Kubernetes.