Правила мониторинга

Материал из Документация Ключ-АСТРОМ
Версия от 07:43, 8 июня 2023; ENetrebin (обсуждение | вклад) (Новая страница: «Чтобы включить или исключить определенные процессы из списка, контролируемого Application Secu...»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Чтобы включить или исключить определенные процессы из списка, контролируемого Application Security, вы можете настроить детальные правила мониторинга для сторонней аналитики уязвимостей на основе таких свойств, как тег процесса, тег узла и зона управления.

Определение пользовательских правил мониторинга

Вы можете определить собственные правила мониторинга через веб-интерфейс Ключ-АСТРОМ или API настроек.

В Ключ-АСТРОМ:

Чтобы добавить новое правило

  1. В меню Ключ-АСТРОМ выберите «Настройки » > «Безопасность приложений » > «Аналитика уязвимостей» > «Правила мониторинга: сторонние» .
  2. Выберите Добавить новое правило , чтобы добавить новое правило.
  3. Введите запрошенную информацию (режим, свойство, оператор условия и значение условия).
  4. Выберите Сохранить изменения .

Вы можете редактировать, отключать, включать или удалять правила в любое время.

Через настройки API:

Вы можете прочитать или изменить правила с помощью API настроек.

  • Чтобы просмотреть правило мониторинга, используйте запрос GET объекта . Установите следующие параметры:
    • schemaIds=builtin:appsec.rule-settings
    • scopes=tenant Пример ответа JSON

{

  "items": [

    {

      "objectId": "vu9U3hXa3q0AAAABABxidWlsdGluOmFwcHNlYy5ydWxlLXNldHRpbmdzAAZ0ZW5hbnQABnRlbmFudAAkYTc4NjY0NGItZmVjNC0zNzliLWI0MWItNThmYzgzOWZmYWY5vu9U3hXa3q0",

      "value": {

        "enabled": true,

        "mode": "MONITORING_OFF",

        "property": "PROCESS_TAG",

        "operator": "EQUALS",

        "value": "super secret process"

      }

    },

    {

      "objectId": "vu9U3hXa3q0AAAABABxidWlsdGluOmFwcHNlYy5ydWxlLXNldHRpbmdzAAZ0ZW5hbnQABnRlbmFudAAkNDhkZGYxNDMtYzc2Mi0zYzIwLWI1ODAtNTNhODEwOGZlMDBivu9U3hXa3q0",

      "value": {

        "enabled": true,

        "mode": "MONITORING_ON",

        "property": "HOST_TAG",

        "operator": "NOT_EQUALS",

        "value": "Test"

      }

    },

    {

      "objectId": "vu9U3hXa3q0AAAABABxidWlsdGluOmFwcHNlYy5ydWxlLXNldHRpbmdzAAZ0ZW5hbnQABnRlbmFudAAkNmY1NjZkNmItYWMyNy0zOTg2LWE1OGItNTU2ZTI1NTE5NTcyvu9U3hXa3q0",

      "value": {

        "enabled": false,

        "mode": "MONITORING_ON",

        "property": "MANAGEMENT_ZONE",

        "operator": "EQUALS",

        "value": "Monitorme"

      }

    }

  ],

  "totalCount": 3,

  "pageSize": 100

}

Чтобы изменить правило мониторинга, используйте запрос объекта POST .

[

  {

      "value": {

        "enabled": true,

        "mode": "MONITORING_ON",

        "property": "HOST_TAG",

        "operator": "EQUALS",

        "value": "REST"

      },

    "scope": "tenant",

    "schemaId": "builtin:appsec.rule-settings"

  },

    {

      "value": {

        "enabled": true,

        "mode": "MONITORING_OFF",

        "property": "PROCESS_TAG",

        "operator": "NOT_EQUALS",

        "value": "Test-Process"

      },

    "scope": "tenant",

    "schemaId": "builtin:appsec.rule-settings"

  }

]

Примечание. Для сред Kubernetes необходимо добавить теги как на хост, так и на узел Kubernetes.

Оценка правил мониторинга

После того как вы добавите, отредактируете или удалите правило, может пройти до 15 минут, прежде чем изменения вступят в силу во всей системе. Настроенные правила мониторинга оцениваются периодически (при выполнении внутренних рабочих процессов) и по запросу (через вызовы REST API). Независимо от контекста вызова оценка правила остается неизменной: при заданном наборе сущностей алгоритм решает, следует ли отслеживать конкретную сущность или нет. Правила обрабатываются по порядку до первого совпадения. Обратите внимание, что каждое правило должно быть уникальным.

  • Если правило соответствует определенному объекту, используется настроенный режим ( Monitor, ), и последующие правила не оцениваются для этого конкретного объекта.Do not monitor
  • MonitorЕсли ни одно правило не соответствует определенному объекту, используется режим по умолчанию ( ).

Часто задаваемые вопросы

  • Что произойдет, если я изменю порядок правил?
    • Применяется первое правило сопоставления.
  • Что произойдет, если будет добавлено применимое правило « Не отслеживать »?
    • Новые уязвимости для процессов, соответствующих правилу, создаваться не будут.
    • Существующие уязвимости, которые относятся только к соответствующим процессам, устранены.
  • Что произойдет, если правило «Не отслеживать» будет удалено или больше не будет применяться?
    • Будут созданы новые уязвимости для процессов, соответствующих правилу.
    • Связанные устраненные уязвимости вновь открыты.

Ограничения

В настоящее время невозможно определить пользовательские правила мониторинга на основе свойства тега процесса для сред Kubernetes.