Настройки

Для перехода на страницу настроек выберите в меню слева соответствующий пункт. На странице настроек доступны несколько вкладок: Сервис данных, Лог действий пользователей, LDAP, Kaspersky Feed, Уведомления.

Сервис данных

Сервис данных определяет параметры используемой в системе базы данных — Track.Feed.

В поле Адрес указывается URL-адрес базы данных Track.Feed.

В поле Токен указывается используемый для работы токен подключения. Токен подключения является в системе идентификатором лицензии пользователя. Токен для подключения к Track.Feed входит в комплект поставки системы.

После того, как указаны адрес и токен подключения, можно проверить корректность заданных значений и доступность подключения, нажав на кнопку Проверить подключение внизу страницы. На экране появится сообщение, подтверждающее успешность подключения или содержащее информацию о некорректных параметрах подключения.

После успешного заполнения параметров подключения для их фиксации необходимо нажать на кнопку Сохранить. В случае некорректного заполнения полей данная кнопка будет недоступна.

С помощью установки флага Блокировать сканирование при недоступности сервиса можно блокировать загрузку компонентов, запрашиваемых из менеджера репозиториев, в случае недоступности Track.Feed.

С помощью установки флага Блокировать сканирование при недоступности какого-либо из источников можно блокировать загрузку компонентов в случае недоступности сервиса Sonatype для проверки уязвимостей (только в случае его использования).

В поле Прокси указывается URL-адрес прокси-сервера в случае, если он используется.

Прокси-серверы

Чтобы добавить прокси-сервер, нажмите кнопку Добавить прокси сервер на вкладке Сервис данных справа вверху. В появившемся окне введите информацию о прокси-сервере, включая его адрес и порт (обязательные параметры), а также имя и пароль пользователя (необязательные параметры) и нажмите кнопку Сохранить.

Вновь созданный прокси-сервер будет добавлен в список прокси-серверов. Если это был первый прокси-сервер в системе, на вкладке Сервис данных появится кнопка Редактировать список прокси.

Чтобы просмотреть список прокси-серверов, нажмите кнопку Редактировать список прокси. Все прокси-серверы будут перечислены в выпадающем списке в появившемся окне.

В данном окне выберите прокси-сервер из выпадающего списка. На экране появится окно с детальной информацией о прокси-сервере, включая его адрес, порт, а также имя и пароль пользователя.

Информацию о прокси-сервере можно отредактировать в данном окне и сохранить. Также прокси-сервер можно удалить.

Лог действий пользователей

Выберите пункт Настройки в меню слева и перейдите на вкладку Лог действий пользователей.

Для каждого запроса указаны дата и время действия в системе, имя пользователя, совершившего действие, тип объекта, с которым совершено действие, ID объекта в системе, тип произведенного действия и краткое описание произведенных изменений.

Типы объектов, с которым пользователь совершил действие, включают в себя все основные сущности, с которыми работает система, например, LOGIN — при входе пользователя в систему, ROLE, USER, USER_ROLES и ROLE_AUTHORITY — при работе с ролями пользователей в системе, WAVE — при работе с исключениями, RULE и RULE_DISABLED — при работе с политиками безопасности, REPO и PLUGIN — при работе с репозиториями, PROXY — при работе с прокси-серверами, BACKEND — при работе с сервисами данных.

Тип действия зависит от объекта, с которым оно было произведено. Стандартными типами действий в системе являются: вход пользователя в систему, создание объекта, редактирование объекта, активация объекта, деактивация объекта.

В логе пользователей реализована фильтрация по информации в колонках Время события, Имя пользователя, Тип объекта и ID объекта. Чтобы отфильтровать необходимые действия, нажмите на кнопку справа вверху и появившемся окне Поиск по таблице введите информацию для поиска.

Нажмите кнопку Сбросить фильтр, чтобы вернуться к полному списку действий пользователей.

LDAP

Примечание

Вкладка доступна только пользователям с правами CONFIG_LDAP, см. раздел «Присваивание ролей пользователям».

Выберите пункт Настройки в меню слева и перейдите на вкладку LDAP.

Система позволяет работать с несколькими доменами LDAP. Каждый домен представлен в виде строки в списке Подключенные LDAP-серверы.

Настройка LDAP-профиля

Примечание

Поддерживается также протокол LDAPS (LDAP over Secure Sockets Layer). В этом случае необходимо обеспечить импорт сертификата домена, с которого происходит авторизация.

1. На вкладке LDAP в списке Подключенные LDAP-серверы выберите нужный домен для редактирования существующего LDAP-профиля или нажмите на кнопку Добавить новый домен для конфигурирования нового LDAP-профиля.

   

2. В соответствующих полях страницы Конфигурация LDAP укажите следующие параметры:

   • URL — адрес LDAP-сервера, включая номер порта.
   • Manager Dn — уникальное имя администратора LDAP.

   • Manager password — пароль администратора LDAP.

     Примечание

     Начиная с версии 3.5.0, пароли в системе хранятся в зашифрованном виде. Для этого в конфигурации контейнера в yaml-файле добавлен параметр SECURE_KEY.

     Для перехода с версии без шифрования на версию с зашифрованными паролями необходимо добавить указанный параметр SECURE_KEY и его значение в yaml-файл, перезагрузить систему, а затем заново задать все настройки LDAP, включая маппинг групп и ролей.

   • User UID Attribute — идентификатор пользователя (в этом поле возможно использование {USER_DN}).

   • User Search Base — база поиска пользователя.
   • User Name Attribute — имя пользователя.
   • Group Base — база группы.
   • Group Search Filter — фильтр поиска группы (в этом поле возможно использование {USER_DN}).
   • Group Name Attribute — имя группы.

3. Активируйте LDAP-профиль с помощью переключателя Enable LDAP config.

4. Нажмите кнопку Сохранить.

Ниже приведен пример корректной конфигурации LDAP в формате JSON:

{
    "enabled": true,
    "url": "ldap://<IP-адрес или имя LDAP-сервера>",
    "managerDn": "cn=admin,dc=sirius,dc=com",
    "managerPassword": "<пароль>",
    "userSearchBase": "ou=users,dc=sirius,dc=com",
    "userUidAttribute": "uid={USER_DN}",
    "userNameAttribute": "givenName",
    "groupBase": "ou=groups,dc=sirius,dc=com",
    "groupSearchFilter": "uniqueMember={USER_DN}",
    "groupNameAttribute": "cn"
}

Назначение ролей для LDAP-групп

После подключения к LDAP-серверу в разделе Маппинг групп и ролей появится список импортированных групп.

1. Нажав «» в строке группы, выберите пункт Редактировать роли. Откроется окно сопоставления групп LDAP с ролями AppSec.Track.

2. Выберите роль (-и) AppSec.Track, которую необходимо назначить LDAP-группе.

   Примечание

   Отображаются роли, ранее созданные в AppSec.Track, см. вкладку Роли. Более подробная информация о создании ролей приведена в разделе «Роли пользователей».

3. Нажмите кнопку Сохранить.

   Примечание

   Когда сопоставление настроено, цвет индикатора слева от названия группы меняется с красного на зеленый.

В результате LDAP-пользователи соответствующей группы смогут авторизоваться в AppSec.Track с правами, соответствующими назначенной роли (-ям). После авторизации пользователи появляются на вкладке Пользователи, а в столбце Роль пользователя для них указывается значение LDAP.

Изменение ролей для LDAP-групп

Нажав стрелку справа от названия группы, можно просмотреть и при необходимости изменить сопоставленные ей роли AppSec.Track.

1. Нажав «» в строке группы, выберите пункт Редактировать роли.

2. Выберите необходимые роли.

3. Нажмите кнопку Сохранить.

Удаление ролей LDAP-групп

При необходимости роли, назначенные группе LDAP, можно удалить — нажав «» в строке группы, выберите пункт меню Удалить группу.

Примечание

После удаления всех назначенных для LDAP-группы ролей входящие в нее пользователи не смогут авторизоваться в AppSec.Track.

Авторизация LDAP-пользователя

Для авторизации LDAP-пользователя необходимо ввести имя пользователя и пароль, в поле Войти через выбрать домен LDAP, к которому относится данный пользователь, и нажать на кнопку Войти.

Изменение ролей LDAP-пользователя

После успешной авторизации LDAP-пользователи появляются на вкладке Пользователи. При необходимости можно изменить назначенные им роли, см. раздел «Присваивание ролей пользователям».

В списке пользователей LDAP-пользователи отмечены значком «», а в графе Роль пользователя для них указывается значение LDAP, а также домен LDAP и назначенные роли в системе.

LDAP-пользователи и пользователи AppSec.Track

При совпадении имен пользователей AppSec.Track и LDAP-пользователей, а также при совпадении имен пользователей из разных доменов LDAP, эти пользователи в системе различаются между собой и каждый из них продолжает сохранять свои индивидуальные настройки и доступы.

Kaspersky Feed

Подключение базы Kaspersky Feed позволяет получить дополнительную информацию об уязвимостях компонентов. Уязвимости, обнаруженные с использованием этой информации, имеют префикс KLA или KCP, см. раздел «Работа в менеджере репозиториев».

Загрузка Kaspersky Feed

1. На странице Настройки выберите вкладку Kaspersky Feed.

   Примечание

   Вкладка доступна только пользователям с правами CONFIG_KASPERSKY, см. раздел «Присваивание ролей пользователям».

2. Перетащите JSON-файл Open Source Software Threats Data Feed в область загрузки или, нажав на область загрузки, выберите файл, используя стандартное диалоговое окно браузера.

3. Нажмите кнопку Загрузить.

   Примечание

   Процесс загрузки и добавление данных может занять некоторое время (до нескольких минут). После загрузки в правом нижнем углу появляется соответствующее уведомление и отображается общее количество загруженных уязвимостей.

   Начиная с версии 3.5.0, система поддерживает загрузку больших файлов, в том числе размером больше 3 гигабайт. Загрузка и обработка файла размером 3 гигабайта и более может занять до 30 минут, на это время бэкенд и пользовательский интерфейс системы становятся недоступны.

   Примечание

   При использовании Kaspersky Feed для ускорения работы рекомендуется установить настройку логирования на уровень INFO и не использовать уровень DEBUG.

Уведомления

Начиная с версии 3.5.0, система поддерживает работу с уведомлениями. На вкладке Уведомления можно настроить параметры сервера отправки уведомлений для рассылки уведомлений о запросах на разблокировку и ответов на эти запросы, а также уведомлений о сработавших политиках.

Настройки сервера отправки уведомлений включают в себя несколько параметров:

• Флаг Включить сервис отправки уведомлений позволяет включить или выключить рассылку уведомлений.
• Адрес SMTP-сервера, на который будет производиться рассылка уведомлений.
• Порт SMTP-сервера.
• В случае использования SMTP-авторизации, необходимо установить флаг Включить SMTP-авторизацию и в появившихся дополнительных полях Пользователь и Пароль задать параметры авторизации.
• Флаг Start TLS позволяет включить использование протокола шифрования.
• Email-адрес отправителя писем задает адрес электронной почты, от которого происходит рассылка уведомлений. По умолчанию этот параметр имеет значение noreply@appsec.com.
• Email для отправки тестового письма позволяет задать адрес электронной почты, на который можно отправить тестовое письмо с помощью соответствующей кнопки в правом верхнем углу.

После заполнения параметров сервера отправки уведомлений нажмите на кнопку Сохранить.