Инструкция по установке и эксплуатации системы InfoZorok
Система информационной безопасности InfoZorok - это программное решение, которое интегрирует несколько функций безопасности в единую платформу.
Выполняет такие задачи как инвентаризация и управление ИТ-активами, контроль конфигураций, управление событиями, а также централизованный сбор и анализ данных за счет интеграции с другими системами информационной безопасности.
Гибкая структура решения позволяет оперативно добавлять новый функционал. Имеет единую консоль, что обеспечивает централизованной контроль различных аспектов безопасности.
Система предоставляет возможность улучшить защиту за счет комплексного подхода к безопасности. Это помогает снизить сложность управления безопасностью и повысить эффективность обнаружения и реагирования на угрозы.
Функции системы:
1. Учёт активов (CMDB). Автоматизированный сбор данных по компьютерам и пользователям, информационным системам и программному обеспечению из LDAP, систем безопасности (AVP, EDR, DLP, SIEM и др), систем виртуализации и других источников данных. Позволяет вести учет материальных активов. Выполняет объединение полученной информации и отображение в едином интерфейсе.
2. Кадровый модуль. Интеграция с кадровыми системами через программный интерфейс или напрямую с базой данных и получение информации о штатной структуре, штатных единицах. Объединение источников и визуализация данных из нескольких кадровых систем компании.
3. Управление учетными данными. Объединение активов и кадровой информации позволяет выполнять базовые функции IDM, такие как отслеживание приемов, увольнений и блокировки учетных записей, назначение ответственных за учетные записи.
4. Модуль Документы. Позволяет регистрировать нормативные документы компании и контролировать ознакомление с ними работников.
5. Учёт инцидентов. Регистрация, категоризация, назначение ответственных по выявленным инцидентам.
6. Автоматизированный мониторинг. Автоматизированное выявление аномалий в соответствии с заданными сигнатурами и уведомление администраторов системы (офицеров безопасности).
Система состоит из трех компонентов:
1.Сервер - содержит веб-сервер и базу данных
2.Агент - содержит службу с помощью которой осуществляется подключение к источникам информации, сбор этой информации и ее обработка в базе данных
3.Сервер лицензий (на стороне вендора) - подтверждение запросов на выпуск контрольного значения лицензии
Минимальные системные требования для агента и сервера
InfoZorok Server:
OS - Ubuntu 24.10 Server
RAM - 4Gb
Storage - 50Gb
InfoZorok Agent:
OS - Ubuntu 24.10 Server
RAM - 4Gb
Storage - 50Gb
Для корректной установки необходимо чтобы оба сервера имели записи в DNS, корректно настроенную службу времени NTP и установленную последнюю версию Docker Swarm и PSQL.
Допускается установка сервера и агента на одном хосте.
Для установки Docker Swarm и PSQL выполните следующие команды:
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
sudo usermod -aG docker $USER
перезагрузите сервер
sudo reboot now
docker swarm init --advertise-addr <ip-адрес сервера в локальной сети>
sudo apt install -y postgresql-client
Установка InfoZorok
Распакуйте полученный от вендора дистрибутив в домашний каталог с помощью команды от sudo:
sudo tar -xzf iz.tar.gz
Установка состоит из четырех этапов:
1. Генерация ключей
2. Установка сервера
3. Установка агента
4. Активация продукта
Генерация ключей.
1.Перейдите в каталог iz и выполните команду
cd ~/iz
./keys_generate.sh
введите FQDN имя сервера, на который будет установлена система InfoZorok
В результате будут сгенерированы криптографические ключи агента, сервера, локального центра сертификации и помещены в каталоги keys соответствующего дистрибутива (izagent, izserver, izca).
2.Для обеспечения безопасности переместите сгенерированные ключи локального удостоверяющего центра (каталог iz/izca) во внешнее защищенное хранилище.
Установка сервера
1.Перейдите в каталог iz/izserver и выполните команду
cd ~/iz/izserver
./izserver_install.sh
введите FQDN имя сервера InfoZorok. В ходе установки необходимо будет придумать пароль для сервисной учетной записи базы данных системы.
2.Проверьте корректность работы стека Infozorok командой
docker service ls
все сервисы должны быть запущены (статус "1/1")
3.Выполните вход в интерфейс сервера InfoZorok (https://<FQDN сервера, который вы указывали при установке>). Первоначальные учетные данные выдаются с дистрибутивом.
4.Смените начальный логин и пароль администратора в профиле (в левом нижнем углу), поля Email и Password.
5.Перейдите в меню System->Settings и заполните полученные от вендора лицензионный ключ и срок его действия в двойных кавычках (“license_key” и “license_expiry” в формате ГГГГ-ММ-ДД).
Установка агента
1.Перенесите каталог с дистрибутивом агента (iz/izagent) на нужный сервер и выполните команду
cd ~/iz/izagent
./izagent_install.sh
введите FQDN имя сервера InfoZorok, уровень логирования (нажмите ENTER для установки рекомендуемого значения) и интервал работы агента (нажмите ENTER для установки рекомендуемого значения).
2.Проверьте корректность работы стека агента командой
docker service ls
сервис должны быть запущен (статус "1/1")
Активация агента
1.Выполните вход в интерфейс сервера InfoZorok
2.В меню System->Settings, скопируйте сертификат и запрос на контрольное значение ("license_certificate" и "license_control_value_request") и отправьте их вендору
3.После получения от вендора контрольного значения, сохраните его в "license_control_value"
4.Перейдите в меню System->Agent, найдите вновь созданного агента (в поле Sys Job Id будет 0 items). Назначьте новому агенту тестовую задачу, например test_job1, которая будет записывать строку "agent1" в коллекцию test1
5.Перейдите в главном меню в Test->test1, подождите период обновления (30 секунд) и убедитесь, что новые значения добавляются
6.Логи работы системы и возможные ошибки можно посмотреть в журнале, пункт Event главного меню
Эксплуатация системы InfoZorok
Система InfoZorok состоит из нескольких преднастроенных модулей, которым соответствуют пункты главного меню:
Stock - склад. В данном модуле можно вести учет материальных ценностей, распределяя их по категориям.
Asset - активы. Этот модуль отвечает за консолидированные данные по всем ИТ-активам, которые автоматизированно собираются в систему, нормализуются и связываются по ключевому полю - serialnumber.
Account - учетные записи. Аналогично Asset, модуль объединяет учетные записи пользователей из различных систем, связанные по общему полю - userprincipalname.
Infosystem - информационные системы. Модуль позволяет объединять активы (Asset-ы) в общие сущности - информационные системы, назначать за них ответственных, учитывать характеристики.
Software - программное обеспечение. При наличии в инфраструктуре компании решений по сбору такой информации, возможно настроить интеграцию и получать данные по установленному ПО в единой консоли.
Person - штат. Модуль позволяет настроить интеграцию с одной или несколькими кадровыми системами. Включает список физических лиц, штатных работников, штатной структуры и др.
Document - документы. Учет организационно-распорядительной документации с возможностью регистрации ознакомления по каждому работнику.
Incident - инциденты. Модуль регистрации выявленных нарушений, с указанием нарушителя, его руководителя и принятых мер.
Task - задачи. Позволяет назначать задачи на пользователей системы и отслеживать сроки исполнения.
System - настройки системы InfoZorok.
Event - журнал системных событий и уведомлений.
Система позволяет выполнять сбор информации из внешних систем и источников, обработку, структурирование, хранение, анализ и уведомление администратора при сработке настроенных сигнатур.
Сбор информации из внешних источников осуществляется агентами, которые конфигурируются с помощью назначаемых на них работ (Job-ов). Каждый Job включает расписание (когда и в какое время он будет отрабатывать) и иструкции-шаги (Step-ы ), что именно должно быть выполнено. Список агентов, назначенных на них Job-ов и включенных в них Step-ов можно увидеть в меню System->Agent/Job/Step, соответственно.
После успешного сбора информации и сохранения ее в базе данных, к ней можно обращаться через графический интерфейс, выбрав соответствующую коллекцию. Например, учетные записи компьютеров, загруженные из каталога LDAP, находятся в меню Assets-LDAP Computer.
Для выполнения анализа и поиска аномалий в данных, в системе настраиваются сигнатуры, в результате отработки которых генерируются алерты и направляются на электронную почту администратору.
Настройка сигнатур выполняется аналогично сбору информации, только в типе Step-а указывается не "update" как для сбора данных, а "event".
Настройка групп получателей алертов выполняется в меню System-Group.
Выполняет такие задачи как инвентаризация и управление ИТ-активами, контроль конфигураций, управление событиями, а также централизованный сбор и анализ данных за счет интеграции с другими системами информационной безопасности.
Гибкая структура решения позволяет оперативно добавлять новый функционал. Имеет единую консоль, что обеспечивает централизованной контроль различных аспектов безопасности.
Система предоставляет возможность улучшить защиту за счет комплексного подхода к безопасности. Это помогает снизить сложность управления безопасностью и повысить эффективность обнаружения и реагирования на угрозы.
Функции системы:
1. Учёт активов (CMDB). Автоматизированный сбор данных по компьютерам и пользователям, информационным системам и программному обеспечению из LDAP, систем безопасности (AVP, EDR, DLP, SIEM и др), систем виртуализации и других источников данных. Позволяет вести учет материальных активов. Выполняет объединение полученной информации и отображение в едином интерфейсе.
2. Кадровый модуль. Интеграция с кадровыми системами через программный интерфейс или напрямую с базой данных и получение информации о штатной структуре, штатных единицах. Объединение источников и визуализация данных из нескольких кадровых систем компании.
3. Управление учетными данными. Объединение активов и кадровой информации позволяет выполнять базовые функции IDM, такие как отслеживание приемов, увольнений и блокировки учетных записей, назначение ответственных за учетные записи.
4. Модуль Документы. Позволяет регистрировать нормативные документы компании и контролировать ознакомление с ними работников.
5. Учёт инцидентов. Регистрация, категоризация, назначение ответственных по выявленным инцидентам.
6. Автоматизированный мониторинг. Автоматизированное выявление аномалий в соответствии с заданными сигнатурами и уведомление администраторов системы (офицеров безопасности).
Система состоит из трех компонентов:
1.Сервер - содержит веб-сервер и базу данных
2.Агент - содержит службу с помощью которой осуществляется подключение к источникам информации, сбор этой информации и ее обработка в базе данных
3.Сервер лицензий (на стороне вендора) - подтверждение запросов на выпуск контрольного значения лицензии
Минимальные системные требования для агента и сервера
InfoZorok Server:
OS - Ubuntu 24.10 Server
RAM - 4Gb
Storage - 50Gb
InfoZorok Agent:
OS - Ubuntu 24.10 Server
RAM - 4Gb
Storage - 50Gb
Для корректной установки необходимо чтобы оба сервера имели записи в DNS, корректно настроенную службу времени NTP и установленную последнюю версию Docker Swarm и PSQL.
Допускается установка сервера и агента на одном хосте.
Для установки Docker Swarm и PSQL выполните следующие команды:
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
sudo usermod -aG docker $USER
перезагрузите сервер
sudo reboot now
docker swarm init --advertise-addr <ip-адрес сервера в локальной сети>
sudo apt install -y postgresql-client
Установка InfoZorok
Распакуйте полученный от вендора дистрибутив в домашний каталог с помощью команды от sudo:
sudo tar -xzf iz.tar.gz
Установка состоит из четырех этапов:
1. Генерация ключей
2. Установка сервера
3. Установка агента
4. Активация продукта
Генерация ключей.
1.Перейдите в каталог iz и выполните команду
cd ~/iz
./keys_generate.sh
введите FQDN имя сервера, на который будет установлена система InfoZorok
В результате будут сгенерированы криптографические ключи агента, сервера, локального центра сертификации и помещены в каталоги keys соответствующего дистрибутива (izagent, izserver, izca).
2.Для обеспечения безопасности переместите сгенерированные ключи локального удостоверяющего центра (каталог iz/izca) во внешнее защищенное хранилище.
Установка сервера
1.Перейдите в каталог iz/izserver и выполните команду
cd ~/iz/izserver
./izserver_install.sh
введите FQDN имя сервера InfoZorok. В ходе установки необходимо будет придумать пароль для сервисной учетной записи базы данных системы.
2.Проверьте корректность работы стека Infozorok командой
docker service ls
все сервисы должны быть запущены (статус "1/1")
3.Выполните вход в интерфейс сервера InfoZorok (https://<FQDN сервера, который вы указывали при установке>). Первоначальные учетные данные выдаются с дистрибутивом.
4.Смените начальный логин и пароль администратора в профиле (в левом нижнем углу), поля Email и Password.
5.Перейдите в меню System->Settings и заполните полученные от вендора лицензионный ключ и срок его действия в двойных кавычках (“license_key” и “license_expiry” в формате ГГГГ-ММ-ДД).
Установка агента
1.Перенесите каталог с дистрибутивом агента (iz/izagent) на нужный сервер и выполните команду
cd ~/iz/izagent
./izagent_install.sh
введите FQDN имя сервера InfoZorok, уровень логирования (нажмите ENTER для установки рекомендуемого значения) и интервал работы агента (нажмите ENTER для установки рекомендуемого значения).
2.Проверьте корректность работы стека агента командой
docker service ls
сервис должны быть запущен (статус "1/1")
Активация агента
1.Выполните вход в интерфейс сервера InfoZorok
2.В меню System->Settings, скопируйте сертификат и запрос на контрольное значение ("license_certificate" и "license_control_value_request") и отправьте их вендору
3.После получения от вендора контрольного значения, сохраните его в "license_control_value"
4.Перейдите в меню System->Agent, найдите вновь созданного агента (в поле Sys Job Id будет 0 items). Назначьте новому агенту тестовую задачу, например test_job1, которая будет записывать строку "agent1" в коллекцию test1
5.Перейдите в главном меню в Test->test1, подождите период обновления (30 секунд) и убедитесь, что новые значения добавляются
6.Логи работы системы и возможные ошибки можно посмотреть в журнале, пункт Event главного меню
Эксплуатация системы InfoZorok
Система InfoZorok состоит из нескольких преднастроенных модулей, которым соответствуют пункты главного меню:
Stock - склад. В данном модуле можно вести учет материальных ценностей, распределяя их по категориям.
Asset - активы. Этот модуль отвечает за консолидированные данные по всем ИТ-активам, которые автоматизированно собираются в систему, нормализуются и связываются по ключевому полю - serialnumber.
Account - учетные записи. Аналогично Asset, модуль объединяет учетные записи пользователей из различных систем, связанные по общему полю - userprincipalname.
Infosystem - информационные системы. Модуль позволяет объединять активы (Asset-ы) в общие сущности - информационные системы, назначать за них ответственных, учитывать характеристики.
Software - программное обеспечение. При наличии в инфраструктуре компании решений по сбору такой информации, возможно настроить интеграцию и получать данные по установленному ПО в единой консоли.
Person - штат. Модуль позволяет настроить интеграцию с одной или несколькими кадровыми системами. Включает список физических лиц, штатных работников, штатной структуры и др.
Document - документы. Учет организационно-распорядительной документации с возможностью регистрации ознакомления по каждому работнику.
Incident - инциденты. Модуль регистрации выявленных нарушений, с указанием нарушителя, его руководителя и принятых мер.
Task - задачи. Позволяет назначать задачи на пользователей системы и отслеживать сроки исполнения.
System - настройки системы InfoZorok.
Event - журнал системных событий и уведомлений.
Система позволяет выполнять сбор информации из внешних систем и источников, обработку, структурирование, хранение, анализ и уведомление администратора при сработке настроенных сигнатур.
Сбор информации из внешних источников осуществляется агентами, которые конфигурируются с помощью назначаемых на них работ (Job-ов). Каждый Job включает расписание (когда и в какое время он будет отрабатывать) и иструкции-шаги (Step-ы ), что именно должно быть выполнено. Список агентов, назначенных на них Job-ов и включенных в них Step-ов можно увидеть в меню System->Agent/Job/Step, соответственно.
После успешного сбора информации и сохранения ее в базе данных, к ней можно обращаться через графический интерфейс, выбрав соответствующую коллекцию. Например, учетные записи компьютеров, загруженные из каталога LDAP, находятся в меню Assets-LDAP Computer.
Для выполнения анализа и поиска аномалий в данных, в системе настраиваются сигнатуры, в результате отработки которых генерируются алерты и направляются на электронную почту администратору.
Настройка сигнатур выполняется аналогично сбору информации, только в типе Step-а указывается не "update" как для сбора данных, а "event".
Настройка групп получателей алертов выполняется в меню System-Group.
Контакты
г. Санкт-Петербург, ул. Васенко 12
+7 981 7464343
