Настройки алертов: SNMP
На вкладке SNMP диалогового окна Настройки алертов можно настроить поддержку SNMP в сервисе DeviceLock.
Чтобы открыть это диалоговое окно, выполните одно из следующих действий:
•В дереве консоли щелкните правой кнопкой мыши Алерты и выберите Управление.
•В дереве консоли выберите
Алерты и нажмите
Управление 
на панели инструментов.
•В дереве консоли выберите Алерты, а затем на панели сведений щелкните правой кнопкой мыши SNMP и выберите Управление.
•В дереве консоли выберите Алерты, а затем на панели сведений дважды щелкните SNMP.
Примечание: Можно задать различные параметры тревожных оповещений для оперативного и автономного режимов. Настройки оперативного режима (обычный профиль) применяются к клиентским компьютерам, находящимся в сети. Настройки автономного режима (офлайн-профиль) применяются к клиентским компьютерам, работающим автономно. По умолчанию DeviceLock работает в автономном режиме, когда сетевой кабель не подключен к клиентскому компьютеру. Дополнительную информацию о политиках DeviceLock для автономного режима работы см. в разделе
Политики безопасности DeviceLock (офлайн-профиль). |
DeviceLock поддерживает протоколы SNMPv1, SNMPv2c и SNMPv3. Можно настроить сервис DeviceLock на автоматическую рассылку оповещений на указанный SNMP-сервер при возникновении условий срабатывания. Данные оповещения отправляются только при соблюдении следующих условий:
•SNMP-сервер настроен на получение SNMP-уведомлений (SNMP traps).
•Удаленный компьютер, на котором работает SNMP-сервер, доступен со всех компьютеров, где установлен сервис DeviceLock.
•Включена рассылка оповещений через SNMP-уведомления.
Заполните вкладку SNMP следующим образом:
•Версия протокола SNMP - Настройте сервис DeviceLock на использование той версии SNMP, которая поддерживается вашим SNMP-сервером. Возможные варианты: SNMPv1, SNMPv2c и SNMPv3.
•Подключение - Укажите информацию об SNMP-сервере:
•Сервер - SNMP-сервер, на который будут отправляться уведомления. В поле Сервер введите имя узла или IP-адрес SNMP-сервера.
•Протокол - Транспортный протокол для передачи данных между сервисом DeviceLock и SNMP-сервером. Возможные варианты: UDP и TCP.
•Таймаут - Промежуток времени, в течение которого сервис DeviceLock ожидает ответа от SNMP-сервера (в секундах) перед повторной отправкой пакета данных. Значение по умолчанию равно 1 секунде.
•Порт - Порт, по которому SNMP-сервер должен получать SNMP-уведомления. По умолчанию используется порт 161.
•Ретранслирование - Количество повторных запросов от сервиса DeviceLock на SNMP-сервер, если сервер не отвечает. По умолчанию выполняется 5 попыток. Это значение задается только для TCP-подключений.
•Безопасность - Задайте настройки безопасности SNMP:
•Сообщество - Имя группы SNMP для аутентификации на SNMP-сервере. Значение по умолчанию: public. Применимо только для SNMPv1 и SNMPv2c.
•Имя пользователя - Имя пользователя для аутентификации на SNMP-сервере. Применимо только для SNMPv3. Если аутентификация не требуется, имя пользователя можно не задавать.
•Имя контекста - Имя контекста указывается, если SNMP-сервер требует контекст SNMP. Применимо только для SNMPv3.
•ID контекстного движка - Идентификатор контекстного движка, если SNMP-сервер требует контекст SNMP. Применимо только для SNMPv3.
•Протокол аутентификации - Протокол для шифрования аутентификации на SNMP-сервере. Применимо только для SNMPv3. Возможные варианты:
•Нет (соответствует уровню безопасности SNMP Нет защиты - Взаимодействие без аутентификации и шифрования).
•HMAC-SHA (соответствует уровню безопасности SNMP Аутентификация)
•Пароль/ Подтверждение пароля - Пароль учетной записи, используемой для аутентификации на SNMP-сервере. Применимо только для SNMPv3.
•Протокол конфиденциальности - Протокол шифрования данных при взаимодействии с SNMP. Применимо только для SNMPv3. Возможные варианты:
•Нет (соответствует уровню безопасности SNMP Аутентификация - Взаимодействие с аутентификацией и без шифрования).
•CBC-AES-128 (соответствует уровню безопасности SNMP Аутентификация и конфиденциальность - Взаимодействие с аутентификацией и шифрованием).
•Пароль/ Подтверждение пароля - Пароль для шифрования данных. Применимо только для SNMPv3.
•Порог - Задайте временной интервал (в часах, минутах или секундах) для объединения событий при отправке оповещений. Сервис DeviceLock объединяет события, произошедшие в течение порогового времени, и создает объединенное событие при выполнении следующих условий:
a) События относятся к одному типу (Успех, Отказ или Информация).
b) События регистрируются для одного и того же типа устройств/протокола.
c) События связаны с одним и тем же пользователем.
d) События связаны с одним и тем же PID.
Значение по умолчанию - 0 секунд.
Примечание: При отправке оповещений сервис DeviceLock объединяет только события, связанные с доступом. Административные оповещения не объединяются. |
•Тест - Отправьте тестовое SNMP-оповещение, чтобы проверить правильность настройки сервиса DeviceLock. В результате тестовой операции отобразится одно из двух сообщений:
•Тест может быть выполнен успешно, т.е. пробное SNMP-оповещение было отправлено с настроенными для него параметрами. В этом случае сообщение будет следующим: “Тестовый алерт SNMP успешно отправлен.”
•Тест может быть не выполнен, т.е. пробное SNMP-оповещение отправить не удалось. В этом случае сообщение будет следующим: “Тестовый алерт SNMP не был отправлен из-за ошибки: <описание ошибки>.”
SNMP-уведомления от сервиса DeviceLock представляются в формате MIB (Management Information Base). MIB для сервиса DeviceLock имеет идентификатор объекта (OID) 1.3.6.1.4.1.60000 или iso.org.dod.internet.private.enterprise.DeviceLock и содержит следующие узлы:
•products(1)
•agent(1)
•alerts(1) - Этот узел содержит по одному экземпляру каждого из следующих MIB-объектов:
•eventType(1) - Класс события (Успех для разрешенной попытки доступа, Отказ для запрещенной попытки, Информация для событий срабатывания контентно-зависимых правил обнаружения содержимого). Обратите внимание, что значение eventType отображается в виде числа, а не строки: 8 означает успешную попытку, 16 - отказ, а 4 означает событие обнаружения содержимого.
•eventId(2) - Номер, идентифицирующий определенный тип событий.
•userSid(3) - Идентификатор безопасности (SID) пользователя, связанного с данным событием.
•userName(4) - Имя пользователя, связанного с данным событием.
•computerName(5) - Имя компьютера, от которого получено событие.
•processId(6) - Идентификатор процесса, связанного с данным событием.
•processName(7) - Имя процесса, связанного с данным событием.
•source(8) - Тип устройства или протокола, связанного с данным событием. Значение source отображается в виде числа, а не строки. Используются следующие числовые значения:
Устройства | Протоколы |
1 - Гибкий диск | 513 - ICQ Messenger |
2 - Съемные устройства | 514 - HTTP |
3 - Жесткий диск | 515 - Торрент |
5 - Оптический привод | 516 - FTP |
7 - Последовательный порт | 517 - SMTP |
8 - Параллельный порт | 520 - Jabber |
9 - Ленточные накопители | 521 - IRC |
10 - USB-порт | 522 - Telnet |
11 - ИК-порт | 524 - Mail.ru Агент |
12 - FireWire-порт | 525 - Web-почта |
13 - Bluetooth | 526 - Социальные сети |
14 - WiFi | 527 - SSL |
15 - Windows Mobile | 528 - SMB |
16 - Palm | 529 - MAPI |
17 - Принтер | 530 - Файловые хранилища |
18 - iPhone-устройства | 531 - Skype |
19 - BlackBerry-устройства | 533 - Любой (TCP) |
20 - Буфер обмена | 534 - Любой (UDP) |
21 - ТС-устройства | 539 - IP (TCP) |
22 - MTP | 540 - IP (UDP) |
| 541 - IBM Notes |
| 542 - WhatsApp |
| 546 - Telegram |
| 547 - Viber |
| 548 - Tor-браузер |
| 549 - Web-поиск |
| 550 - Поиск работы |
| 551 - Zoom |
•action(9) - Тип действия пользователя.
•name(10) - Имя объекта (файл, USB-устройство и т. д.).
•info(11) - Прочая информация об устройстве, связанном с событием, например флаги доступа, имена устройств и так далее.
•reason(12) - Причина возникновения события.
•datetime(13) - Дата и время получения события (в формате RFC3339) в сервисе DeviceLock.
Примечание: Данные MIB-объекты соответствуют полям журнала аудита. |
SNMP-уведомление рассылается каждый раз, когда происходит событие, приведшее к тревожному оповещению. Ниже приводится пример SNMP-оповещения.