Перейти к содержанию

Настройки

Для перехода на страницу настроек выберите в меню слева соответствующий пункт. На странице настроек доступны несколько вкладок: Состояние системы, Сервис данных, Лог действий пользователей, LDAP, Kaspersky Feed, Уведомления.

Состояние системы

Вкладка Состояние системы предоставляет набор информационных разделов с данными о настройках и параметрах работы системы.

В разделе Лицензия приведена следующая информация:

  • Тип действующей лицензии (OSA и/или SCA).
  • Количество запросов в текущем месяце.
  • Источники данных, используемые системе.

В следующем информационном разделе приводится статистика о количестве команд и количестве приложений в системе.

В разделе Источники данных приведена более подробная информация об источниках данных, включая:

  • Статус источника (Активен/Неактивен).
  • В поле Источник указывается URL-адрес базы данных Track.Feed для каждого источника, а также его статус (Основной/Резервный). Для одного из онлайн-источников, на каторый в данный момент идут запросы, также указывается статус Активный.
  • Дата последнего успешного запроса к данному источнику.
  • Время запроса.
  • Дата окончания лицензии для работы с данным источником.

В разделе Репозитории приведен список подключенных менеджеров репозиториев, а также следующая статистика для каждого из них:

  • Имя менеджера репозиториев.
  • Количество репозиториев в данном менеджере репозиториев.
  • Количество запросов за день к данному менеджеру репозиториев.
  • Количество запросов За неделю.
  • Количество запросов За месяц.
  • Количество ошибок за месяц при запросах к данному менеджеру репозиториев.

Сервис данных

Сервис данных определяет параметры используемой в системе базы данных — Track.Feed.

В поле Адрес указывается URL-адрес базы данных Track.Feed.

В поле Резервный адрес указывается URL-адрес резервной базы данных Track.Feed. Это поле не является обязательным, как и наличие резервной базы данных.

В поле Токен указывается используемый для работы токен подключения. Токен подключения является в системе идентификатором лицензии пользователя. Токен для подключения к Track.Feed входит в комплект поставки системы.

После того как указаны адрес (-а) и токен подключения, можно проверить корректность заданных значений и доступность подключения, нажав на кнопку Проверить подключение внизу страницы. Если заполнены оба поля Адрес и Резервный адрес, то проверка производится по обоим адресам и токену. На экране появится сообщение, подтверждающее успешность подключения или содержащее информацию о некорректных параметрах подключения.

Примечание

При логине пользователь может получать различные системные уведомления о состоянии и настройках системы, в том числе предупреждение о том, что адрес сервера отличается от https://feed.appsec.global.

После успешного заполнения параметров подключения для их фиксации необходимо нажать на кнопку Сохранить. В случае некорректного заполнения полей данная кнопка будет недоступна.

С помощью кнопки Сбросить кэш можно очистить кеш ответов Track.Feed в Redis, см. раздел «Кеширование ответов Track.Feed».

С помощью установки флага Блокировать сканирование при недоступности сервиса можно блокировать загрузку компонентов, запрашиваемых из менеджера репозиториев, в случае недоступности Track.Feed.

С помощью установки флага Блокировать сканирование при недоступности какого-либо из источников можно блокировать загрузку компонентов в случае недоступности сервиса Sonatype для проверки уязвимостей (только в случае его использования).

В поле Прокси указывается URL-адрес прокси-сервера в случае, если он используется.

Прокси-серверы

Чтобы добавить прокси-сервер, нажмите кнопку Добавить прокси сервер на вкладке Сервис данных справа вверху. В появившемся окне введите информацию о прокси-сервере, включая его адрес и порт (обязательные параметры), а также имя и пароль пользователя (необязательные параметры) и нажмите кнопку Сохранить.

Вновь созданный прокси-сервер будет добавлен в список прокси-серверов. Если это был первый прокси-сервер в системе, на вкладке Сервис данных появится кнопка Редактировать список прокси.

Чтобы просмотреть список прокси-серверов, нажмите кнопку Редактировать список прокси. Все прокси-серверы будут перечислены в выпадающем списке в появившемся окне.

В данном окне выберите прокси-сервер из выпадающего списка. На экране появится окно с детальной информацией о прокси-сервере, включая его адрес, порт, а также имя и пароль пользователя.

Информацию о прокси-сервере можно отредактировать в данном окне и сохранить. Также прокси-сервер можно удалить.

Лог действий пользователей

Выберите пункт Настройки в меню слева и перейдите на вкладку Лог действий пользователей.

Для каждого запроса указаны дата и время действия в системе, имя пользователя, совершившего действие, тип объекта, с которым совершено действие, ID объекта в системе, тип произведенного действия и краткое описание произведенных изменений.

Типы объектов, с которым пользователь совершил действие, включают в себя все основные сущности, с которыми работает система, например, LOGIN — при входе пользователя в систему, ROLE, USER, USER_ROLES и ROLE_AUTHORITY — при работе с ролями пользователей в системе, WAVE — при работе с исключениями, RULE и RULE_DISABLED — при работе с политиками безопасности, REPO и PLUGIN — при работе с репозиториями, PROXY — при работе с прокси-серверами, BACKEND — при работе с сервисами данных.

Тип действия зависит от объекта, с которым оно было произведено. Стандартными типами действий в системе являются: вход пользователя в систему, создание объекта, редактирование объекта, активация объекта, деактивация объекта.

В логе пользователей реализована фильтрация по информации в колонках Время события, Имя пользователя, Тип объекта и ID объекта. Чтобы отфильтровать необходимые действия, нажмите на кнопку AppSec.Track справа вверху и появившемся окне Поиск по таблице введите информацию для поиска.

Нажмите кнопку Сбросить фильтр, чтобы вернуться к полному списку действий пользователей.

LDAP

Примечание

Вкладка доступна только пользователям с правами CONFIG_LDAP, см. раздел «Присваивание ролей пользователям».

Выберите пункт Настройки в меню слева и перейдите на вкладку LDAP.

Система позволяет работать с несколькими доменами LDAP. Каждый домен представлен в виде строки в списке Подключенные LDAP-серверы.

Настройка LDAP-профиля

Примечание

Поддерживается также протокол LDAPS (LDAP over Secure Sockets Layer). В этом случае необходимо обеспечить импорт сертификата домена, с которого происходит авторизация.

  1. На вкладке LDAP в списке Подключенные LDAP-серверы выберите нужный домен для редактирования существующего LDAP-профиля или нажмите на кнопку Добавить новый домен для конфигурирования нового LDAP-профиля.

  2. Включите переключатель LDAP Config.

  3. В соответствующих полях страницы Конфигурация LDAP укажите следующие параметры в полях панели Подключение домена:

    • URL — адрес LDAP-сервера, включая номер порта.
    • Manager DN — уникальное имя администратора LDAP.
    • Manager password — пароль администратора LDAP.

      Примечание

      Начиная с версии 3.5.0, пароли в системе хранятся в зашифрованном виде. Для этого в конфигурации контейнера в yaml-файле добавлен параметр SECURE_KEY.

      Для перехода с версии без шифрования на версию с зашифрованными паролями необходимо добавить указанный параметр SECURE_KEY и его значение в yaml-файл, перезагрузить систему, а затем заново задать все настройки LDAP, включая маппинг групп и ролей.

    Настройку соединения можно проверить, нажав на соответствующую кнопку панели Подключение домена.

  4. В полях панели Пользователи укажите следующие параметры:

    • User UID Attribute — идентификатор пользователя (в этом поле возможно использование {USER_DN}).
    • User Name Attribute — имя пользователя.
    • User Search Base — база поиска пользователя.

    Нажмите на кнопку Проверить соединение панели Пользователи. В окне Список найденных пользователей будет отображено до 10 пользователей, найденных по заданным параметрам.

  5. В полях панели Группы укажите следующие параметры:

    • Group Base — база группы.
    • Group Search Filter — фильтр поиска группы (в этом поле возможно использование {USER_DN}).
    • Group Name Attribute — имя группы.

    Нажмите на кнопку Проверить соединение панели Группы. В окне Список найденных групп будет отображено до 10 групп, найденных по заданным параметрам.

  6. Нажмите на кнопку Проверить конфигурацию, чтобы убедиться в корректности настроек.

  7. Нажмите на кнопку Проверить связь пользователей и групп. В окне Связь пользователей и групп будет отображен список пользователей с указанием, к какой группе (группам) LDAP он принадлежит. Пустой список связей означает, что пользователи и группы расположены в разных местах и конфигурацию следует доработать.

  8. Нажмите на кнопку Сохранить.

Ниже приведен пример корректной конфигурации LDAP в формате JSON:

{
    "enabled": true,
    "url": "ldap://<IP-адрес или имя LDAP-сервера>",
    "managerDn": "cn=admin,dc=sirius,dc=com",
    "managerPassword": "<пароль>",
    "userSearchBase": "ou=users,dc=sirius,dc=com",
    "userUidAttribute": "uid={USER_DN}",
    "userNameAttribute": "givenName",
    "groupBase": "ou=groups,dc=sirius,dc=com",
    "groupSearchFilter": "uniqueMember={USER_DN}",
    "groupNameAttribute": "cn"
}

Назначение ролей для LDAP-групп

После подключения к LDAP-серверу система заполнит Список групп, загруженных из LDAP. Нажав на строку группы в этом списке, можно просмотреть и при необходимости изменить сопоставленные ей глобальные и локальные роли AppSec.Track.

В результате LDAP-пользователи соответствующей группы смогут авторизоваться в AppSec.Track с правами, соответствующими назначенной роли (-ям).

Чтобы назначить глобальную роль, нажмите на строку группы, на вкладке Глобальные роли выберите роль (-и) AppSec.Track, которую необходимо назначить LDAP-группе, и нажмите на кнопку Сохранить.

Примечание

Отображаются роли, ранее созданные в AppSec.Track, см. вкладку Роли страницы Пользователи и роли. Более подробная информация о создании ролей приведена в разделе «Роли пользователей».

Нажмите на кнопку Сохранить.

Чтобы назначить локальную роль, нажмите на строку группы и на вкладках Команды, Приложения, Плагины и Репозитории выберите объект и роль (-и) AppSec.Track из выпадающих списков и нажмите на расположенный справа значок «+». Объект и роли будут добавлены в список выбранных на вкладке объектов.

Нажмите на кнопку Сохранить.

Авторизация LDAP-пользователя

Для авторизации LDAP-пользователя необходимо ввести имя пользователя и пароль, в поле Войти через выбрать домен LDAP, к которому относится данный пользователь, и нажать на кнопку Войти.

После авторизации пользователи появляются на вкладке Пользователи страницы Пользователи и роли, а в столбце Роль пользователя для них указывается значение LDAP.

Изменение ролей LDAP-пользователя

Успешно авторизовавшиеся LDAP-пользователи отображаются на вкладке Пользователи страницы Пользователи и роли. При необходимости можно изменить назначенные им роли, см. раздел «Присваивание ролей пользователям».

В списке пользователей LDAP-пользователи отмечены значком «», а в графе Роль пользователя для них указывается значение LDAP, а также домен LDAP и назначенные глобальные и локальные роли в системе.

Примечание

Роли, назначенные для LDAP-групп на вкладке LDAP страницы Настройки, не отображаются у пользователей на вкладке Пользователи страницы Пользователи и роли.

LDAP-пользователи и пользователи AppSec.Track

При совпадении имен пользователей AppSec.Track и LDAP-пользователей, а также при совпадении имен пользователей из разных доменов LDAP, эти пользователи в системе различаются между собой и каждый из них продолжает сохранять свои индивидуальные настройки и доступы.

Kaspersky Feed

Подключение базы Kaspersky Feed позволяет получить дополнительную информацию об уязвимостях компонентов. Уязвимости, обнаруженные с использованием этой информации, имеют префикс KLA или KCP, см. раздел «Работа в менеджере репозиториев».

Загрузка Kaspersky Feed

  1. На странице Настройки выберите вкладку Kaspersky Feed.

    Примечание

    Вкладка доступна только пользователям с правами CONFIG_KASPERSKY, см. раздел «Присваивание ролей пользователям».

  2. Перетащите JSON-файл Open Source Software Threats Data Feed в область загрузки или, нажав на область загрузки, выберите файл, используя стандартное диалоговое окно браузера.

  3. Нажмите кнопку Загрузить.

    Примечание

    Процесс загрузки и добавление данных может занять некоторое время (до нескольких минут). После загрузки в правом нижнем углу появляется соответствующее уведомление и отображается общее количество загруженных уязвимостей.

    Начиная с версии 3.5.0, система поддерживает загрузку больших файлов, в том числе размером больше 3 гигабайт. Загрузка и обработка файла размером 3 гигабайта и более может занять до 30 минут, на это время бэкенд и пользовательский интерфейс системы становятся недоступны.

    Примечание

    При использовании Kaspersky Feed для ускорения работы рекомендуется установить настройку логирования на уровень INFO и не использовать уровень DEBUG.

Уведомления

Начиная с версии 3.5.0, система поддерживает работу с уведомлениями. На вкладке Уведомления можно настроить параметры сервера отправки уведомлений для рассылки уведомлений о запросах на разблокировку и ответов на эти запросы, а также уведомлений о сработавших политиках.

Настройки сервера отправки уведомлений включают в себя несколько параметров:

  • Флаг Включить сервис отправки уведомлений позволяет включить или выключить рассылку уведомлений.
  • Адрес SMTP-сервера, на который будет производиться рассылка уведомлений.
  • Порт SMTP-сервера.
  • В случае использования SMTP-авторизации, необходимо установить флаг Включить SMTP-авторизацию и в появившихся дополнительных полях Пользователь и Пароль задать параметры авторизации.
  • Флаг Start TLS позволяет включить использование протокола шифрования.
  • Email-адрес отправителя писем задает адрес электронной почты, от которого происходит рассылка уведомлений. По умолчанию этот параметр имеет значение noreply@appsec.com.
  • Email для отправки тестового письма позволяет задать адрес электронной почты, на который можно отправить тестовое письмо с помощью соответствующей кнопки в правом верхнем углу.

После заполнения параметров сервера отправки уведомлений нажмите на кнопку Сохранить.