Мультитенантность

Open Single Management Platform поддерживает мультитенантный режим. Этот режим позволяет главному администратору предоставлять функциональность Open Single Management Platform нескольким клиентам независимо или разделять активы, параметры приложения и объекты для разных офисов. Каждый клиент или офис изолирован от других и называется тенантом.

Обычно режим мультитенантности используется в следующих случаях:

• Поставщик услуг имеет несколько клиентских организаций и хочет предоставить функциональность Open Single Management Platform каждой клиентской организации в отдельности. Для этого администратор поставщика услуг может создать тенант для каждой клиентской организации.
• Администратор крупного предприятия может захотеть изолировать параметры активов и приложений и объекты для офисов или подразделений организации и управлять офисами или подразделениями организации независимо. Для этого администратор может создать тенант для каждого офиса или подразделения.

Мультитенантный режим имеет следующие особенности:

• Изоляция тенантов.
• Межтенантные сценарии.

Изоляция тенантов

Тенант изолирован и управляется независимо от других тенантов. Только пользователи, которым назначены права доступа к тенанту, могут работать с этим тенантом и управлять им. Администратор другого тенанта не может получить доступ к данным, ресурсам и активам тенанта, если только главный администратор не предоставит соответствующие права доступа администратору в явном виде.

Для каждого тенанта вы определяете ряд объектов, в том числе следующие:

• Активы

  Список активов уникален для каждого тенанта. Каждый актив может принадлежать только одному тенанту.

• Пользователи и их права доступа.
• События, алерты и инциденты.
• Плейбуки.
• Интеграция с другими приложениями и службами "Лаборатории Касперского", а также с решениями сторонних производителей.

Межтенантные сценарии

Все тенанты организованы в иерархию тенантов. По умолчанию иерархия тенантов содержит предварительно созданный корневой тенант вверху иерархии. Никакие другие тенанты не могут быть созданы на том же уровне, что и корневой тенант. Вы создаете тенант в качестве дочернего по отношению к любому существующему тенанту, включая корневой тенант. Иерархия тенантов может иметь любое количество уровней вложенности.

Иерархия тенантов используется для предоставления кросс-тенантных сценариев, включая следующие:

• Наследование и копирование

  Дочерний тенант получает от родительского тенанта следующие объекты:

  • Пользователи и их права доступа.

    Права доступа наследуются по иерархии и не могут быть отозваны на более низком уровне иерархии.

  • Параметры тенанта, включая параметры интеграции и плейбуки.

    Параметры тенанта и плейбука копируются из родительского тенанта в его дочерний тенант. После создания дочернего тенанта вы можете настроить скопированные параметры в соответствии с требованиями нового тенанта.

• Лицензирование

  Лицензионный ключ для Open Single Management Platform применяется на уровне главного Сервера администрирования, который привязан к корневому тенанту. Далее лицензионный ключ автоматически применяется ко всем тенантам в иерархии.

Роли пользователей

Open Single Management Platform предоставляет вам заранее определенный набор ролей пользователей. Вы предоставляете пользователям права на управление тенантами, назначая пользователям роли.

Тенанты и Серверы администрирования Kaspersky Security Center

Вы можете привязать тенанты к Серверам администрирования Kaspersky Security Center, физическим или виртуальным. Связь между тенантом и Сервером администрирования позволяет объединить возможности обоих решений – Kaspersky Symphony XDR и Open Single Management Platform.

Фильтр тенантов в интерфейсе приложения

В интерфейсе Open Single Management Platform вы можете настроить списки объектов для отображения только тех объектов, которые относятся к выбранным тенантам. Фильтр тенантов применяется к следующим объектам:

• Алерты в разделе Алерты.
• Инциденты в разделе Инциденты.
• События в разделе Поиск угроз.
• Плейбуки в разделе Плейбуки.

Когда вы применяете фильтр тенантов, новые параметры применяются ко всем типам объектов в интерфейсе и на обеих Консолях – в Консоли OSMP и в Консоли KUMA.

О привязке тенантов к Серверам администрирования

Вы можете привязать тенанты к Серверам администрирования Kaspersky Security Center. Связь между тенантом и Сервером администрирования позволяет связать активы, которыми управляет Сервер администрирования, с тенантом.

Вы не можете привязывать тенанты к виртуальным Серверам администрирования, только к физическим.

У тенантов могут быть субтенанты, поэтому они организованы в иерархию тенантов. Серверы администрирования могут иметь подчиненные Серверы администрирования, поэтому они организованы в иерархию Серверов. Вы не можете привязать произвольный тенант к произвольному Серверу, поскольку это может привести к недопустимой привязке. Например, пользователь может не иметь прав доступа к тенанту в иерархии тенантов, но тот же пользователь может иметь права доступа к устройствам этого тенанта. Это может произойти, если у этого пользователя есть права доступа к Серверу администрирования 2, который является главным для Сервера администрирования 1, привязанного к тенанту. Следовательно, по умолчанию этот пользователь унаследовал права доступа к Серверу администрирования 1 и его управляемым устройствам. Чтобы исключить такую ситуацию, привязывать тенанты и Серверы администрирования друг к другу можно только в соответствии с правилами привязки.

Есть два типа привязок:

• Явная привязка.

  Этот тип привязки устанавливается при выборе Сервера администрирования, к которому вы хотите привязать тенант.

• Унаследованная привязка.

  Когда вы устанавливаете явную привязку к Серверу администрирования, у которого есть подчиненные Серверы администрирования, подчиненные Серверы администрирования привязываются к тенанту через унаследованный тип привязки. Таким образом, тенант может быть привязан к нескольким Серверам администрирования.

Правила привязки:

• Корневой тенант всегда привязан к корневому Серверу администрирования. Вы не можете удалить эту привязку.
• Тенант может быть не привязан к Серверу администрирования. У такого тенанта могут быть субтенанты, и эти субтенанты могут быть привязаны к Серверам администрирования.
• Вы можете привязать два Сервера администрирования, которые организованы в иерархию, только к двум тенантам, которые также организованы в иерархию, и только если иерархия Серверов администрирования совпадает с иерархией тенантов.
• Сервер администрирования может быть привязан только к одному тенанту явно или через унаследованный тип привязки.
• При явной привязке тенанта к Серверу администрирования:
  • Если Сервер администрирования был привязан к другому тенанту явно, эта привязка автоматически удаляется.
  • Если у Сервера администрирования есть подчиненные Серверы администрирования, подчиненные Серверы администрирования привязываются к новому тенанту через унаследованный тип привязки, за исключением тех Серверов администрирования, которые были привязаны к своим тенантам явно. Перед этой операцией Open Single Management Platform проверяет, все ли новые привязки законны. В противном случае привязка не может быть установлена.
• При удалении явной привязки между тенантом и Сервером администрирования (отмена привязки Сервера администрирования) Сервер администрирования и все его подчиненные Серверы администрирования (если есть) автоматически привязываются через унаследованный тип привязки к тенанту, к которому привязан главный Сервер администрирования выбранного Сервера администрирования. Если некоторые из подчиненных Серверов администрирования привязаны к своим тенантам явно, эти Серверы администрирования сохраняют свои привязки.
• При добавлении нового Сервера администрирования в иерархию этот Сервер администрирования автоматически привязывается через унаследованный тип привязки к тенанту, к которому привязан его главный Сервер администрирования.
• Когда вы удаляете Сервер администрирования из иерархии и Сервер администрирования имеет явную привязку к тенанту, эта привязка удаляется.

Настройка интеграции с Open Single Management Platform

Вы можете привязать тенанты к Серверам администрирования Kaspersky Security Center. Связь между тенантом и Сервером администрирования позволяет связать активы, которыми управляет Сервер администрирования, с тенантом.

Вы не можете привязывать тенанты к виртуальным Серверам администрирования, только к физическим.

Предварительные условия:

• Убедитесь, что вы знакомы с правилами привязки.
• Вы создали тенант, который хотите привязать к Серверу администрирования.
• При необходимости вы добавили подчиненный Сервер администрирования, который хотите привязать к тенанту.

Чтобы привязать тенант к Серверу администрирования или удалить его привязку от Сервера, у вас должна быть роль, которая предоставляет право на Запись в функциональных областях Тенанты и Интеграции.

Привязка тенанта к Серверу администрирования

Чтобы привязать тенант к Серверу администрирования:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть хотя бы право на Чтение.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры установите флажок рядом с тенантом, который вы хотите привязать к Серверу администрирования, а затем нажмите на кнопку Привязать Сервер администрирования.
4. В открывшемся окне выберите Сервер администрирования, который вы хотите привязать к тенанту.

   Если вы хотите добавить новый Сервер в иерархию или удалить существующий, вы можете сделать это в свойствах Сервера администрирования.

5. Нажмите на кнопку Привязать.

Процесс привязки может занять некоторое время. Вы можете отслеживать этот процесс в столбце Статус привязки списка Серверов администрирования в окне свойств тенанта.

Удаление привязки тенанта к Серверу администрирования

Чтобы удалить привязку тенанта к Серверу администрирования:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть хотя бы право на Чтение.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры установите флажок рядом с тенантом, для которого вы хотите удалить привязку к Серверу администрирования, а затем нажмите на кнопку Удалить привязку.

Просмотр и изменение тенантов

Вы можете использовать тенанты, чтобы предоставлять функциональность Open Single Management Platform клиентской организации независимо или разделять активы и параметры приложения и объекты для разных офисов.

Чтобы просмотреть или изменить свойства тенанта:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть хотя бы право на Чтение.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта. Если у вас есть права доступа только для Чтения к этому тенанту, свойства будут открыты в режиме только для чтения. Если у вас есть право на Запись, вы сможете изменять свойства тенанта.

3. Измените свойства тенанта и нажмите на кнопку Сохранить.

Свойства тенанта изменены и сохранены.

Общие

Вкладка Общие содержит общую информацию о тенанте. Вы можете изменить имя и описание тенанта.

Параметры

Вкладка Параметры содержит следующие разделы:

• Интеграции с приложениями "Лаборатории Касперского"

  В этом разделе вы можете настроить параметры интеграции приложений "Лаборатории Касперского", которые вы хотите интегрировать в Open Single Management Platform для текущего тенанта.

• Интеграция со сторонними приложениями

  В этом разделе вы можете настроить параметры интеграции для сторонних приложений, которые вы хотите интегрировать в Open Single Management Platform для текущего тенанта.

• Обнаружения и реагирование

  В этом разделе можно настроить параметры и объекты, связанные с обнаружением угроз и реагированием на них:

  • Срок хранения

    Сроки хранения алертов и инцидентов зависят от лицензии Open Single Management Platform, которую вы используете.

  • Шаблоны электронных писем
  • Правила сегментации
  • Правила агрегации
  • Управление инцидентами.
  • Подключение к почтовому серверу

Вам не нужно настраивать параметры общего тенанта.

Роли

На вкладке Роли перечислены пользователи, имеющие права доступа к тенанту. Вы можете изменить этот список и назначить пользователям роли.

Добавление тенантов

Прежде чем начать, ознакомьтесь с общей информацией о тенантах.

Чтобы добавлять дочерние тенанты, у вас должны быть права на Чтение и Запись в функциональной области Тенанты в родительском тенанте или в тенанте более высокого уровня в иерархии тенантов.

Чтобы добавить тенант:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Установите флажок рядом с родительским тенантом. Новый тенант будет создан как дочерний по отношению к выбранному тенанту.
3. Нажмите на кнопку Добавить.
4. В открывшемся окне Добавить тенант введите имя нового тенанта.
5. При необходимости добавьте описание тенанту.
6. Нажмите на кнопку Добавить.

Новый тенант появится в списке тенантов.

Дочерний тенант наследует от родительского тенанта следующие объекты:

• пользователей и их права доступа;
• параметры интеграции.

После создания тенанта вы можете перенастроить унаследованные объекты в соответствии с требованиями нового тенанта.

Назначение ролей пользователям тенанта

Вы можете назначать XDR-роли пользователям Open Single Management Platform, чтобы предоставить им наборы прав доступа в тенанте.

Для этого у вас должна быть одна из следующих XDR-ролей в тенанте, в котором вы хотите назначить роли пользователям: Главный администратор, Администратор SOC или Администратор тенанта.

Так как тенанты изолированы и управляются независимо от других тенантов, только пользователи, которым назначены права доступа к тенанту, могут работать с этим тенантом и управлять им.

Права доступа наследуются по иерархии и не могут быть отозваны на более низком уровне иерархии.

Чтобы назначить роли пользователю в тенанте:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Список тенантов отображается на экране.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. Выберите вкладку Роли пользователей и нажмите на кнопку Добавить пользователя.
4. В открывшемся окне выполните следующие действия:
   1. В поле Пользователь введите имя пользователя или адрес электронной почты.
   2. Установите флажки рядом с ролями, которые вы хотите назначить пользователю.

      При необходимости вы можете выбрать несколько ролей.

   3. Нажмите на кнопку Добавить.

   Окно закрывается, и пользователь отображается в списке пользователей.

5. Нажмите на кнопку Сохранить.

Пользователь добавлен в тенант, и ему назначены роли. При необходимости вы можете изменить роли пользователей, нажав на имя пользователя и выполнив действия, описанные в шагах 4–5.

Удаление тенантов

За один раз можно удалить только один тенант. Если у выбранного тенанта есть дочерние тенанты, они также будут удалены. Плейбуки, связанные с тенантами, будут удалены, а информация об алертах и инцидентах, связанных с тенантом, станет недоступной.

При удалении тенанта в Консоли OSMP в Консоли KUMA происходят следующие изменения:

• Тенант, его ресурсы и активы будут удалены.
• Части хранилища, относящиеся к тенанту будут удалены.
• Сырые события становятся недоступными.
• Статусы служб удаленных тенантов изменятся на Серый.

Чтобы удалить тенант, у вас должны быть права на Чтение и Запись в функциональной области Тенанты в выбранном тенанте.

Вы не можете удалить корневой тенант и тенанты, которые были перенесены из интегрированных приложений (например, Kaspersky Unified Monitoring and Analysis Platform) и отмечены в этих приложениях как не подлежащие удалению.

Чтобы удалить тенант:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть хотя бы право на Чтение.

2. Установите флажок напротив тенанта, который требуется удалить. Если у выбранного тенанта есть дочерние тенанты, они будут выбраны автоматически, и отменить их выбор невозможно.
3. Нажмите на кнопку Удалить.
4. Подтвердите операцию, указав имя тенанта, который вы хотите удалить. Если у тенанта есть дочерние тенанты, они также перечислены как тенанты, подлежащие удалению.

Выбранный тенант, его дочерние тенанты (если есть) и связанные объекты удалены.

Настройка подключения к SMTP

Вы можете настроить уведомления по электронной почте о событиях, происходящих в Open Single Management Platform, через Сервер администрирования Kaspersky Security Center и внешний SMTP-сервер. Для этого необходимо настроить параметры подключения к SMTP-серверу.

Чтобы настроить подключение к SMTP-серверу:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Список тенантов отображается на экране.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. Выберите вкладку Параметры и в разделе Обнаружение и реагирование нажмите на Подключение к почтовому серверу.
4. В правой панели нажмите на кнопку Просмотреть свойства.

   Откроется окно свойств Сервера администрирования на вкладке Общие.

   В окне отображаются свойства главного Сервера администрирования и параметры SMTP для главного Сервера администрирования независимо от того, к какому Серверу администрирования привязан тенант.

5. Настройте параметры, как описано в шаге 2 Настройка параметров доставки уведомлений.

После настройки подключения к SMTP-серверу пользователи начнут получать электронные письма от Open Single Management Platform.

Настройка шаблонов уведомлений

После того как вы настроите подключение к SMTP-серверу, вы можете настроить шаблоны для отправки уведомлений по электронной почте о событиях, возникающих в Open Single Management Platform.

Чтобы изменить шаблоны уведомлений, вам нужно иметь одну из следующих XDR-ролей: Главный администратор, Администратор тенанта или Администратор SOC.

Когда вы разворачиваете Open Single Management Platform, у вас есть шаблоны для уведомлений по электронной почте в корневом тенанте. Если вы создаете дочерний тенант, он автоматически копирует параметры родительского тенанта. Так как параметры дочернего тенанта и родительского не связаны, изменения, которые вы вносите в параметры дочернего тенанта, не влияют на параметры родительского тенанта и наоборот.

Чтобы настроить шаблоны уведомлений для отправки по электронной почте:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Отобразится список тенантов.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. Выберите вкладку Параметры и в разделе Обнаружение и реагирование нажмите на Шаблоны электронных писем.

   Отобразится таблица типов событий, для которых вы можете настроить шаблоны уведомлений.

4. Если на шаге 2 вы выбрали корневой тенант, в поле Введите имя сервера укажите адрес, который будет использоваться в ссылках на алерты и инциденты в электронных письмах.
5. В таблице в столбце Тип события нажмите на название шаблона уведомления, который вы хотите изменить: Создание алерта, Назначение алерта оператору, Автоматическое создание нового инцидента, Назначение инцидента оператору.
6. В открывшемся окне Изменить шаблон электронной почты выполните следующие действия:
   • Если вы хотите включить уведомления по электронной почте для выбранного типа события, переведите переключатель в положение Включено в поле Статус.

     По умолчанию уведомления по электронной почте выключены. Вы можете включить уведомления по электронной почте из таблицы типов событий. Для этого переведите переключатель в положение Включено.

   • В поле Тема укажите тему электронного письма.

     Вы можете получить доступ к полям алертов, полям инцидентов и нормализованным полям событий KUMA, например New incident in OSMP: {{ .InternalID }}, {{ .Name }}.

   • В поле Шаблон напишите текст уведомления по электронной почте.

     Пример уведомления по электронной почте

     Hello,<br> <br> Alert {{ .InternalID }}{{ with escapeHTML .Rules.Names }} "{{ . }}"{{ else }}{{ end }} was registered at {{ .CreatedAt }}.<br> <br> Details on alert:<br> <br> Tenant: {{ .TenantID }}<br> Alert severity: {{ .Severity }}<br> Alert first seen: {{ .FirstEventTime }}<br> Alert last seen: {{ .LastEventTime }}<br> Full information about the alert is available in OSMP web-interface: {{ link_alert . }}<br> <br> Open Single Management Platform

     Вы можете получить доступ к полям алертов, полям инцидентов и нормализованным полям событий KUMA и использовать HTML-теги.

     При написании шаблона вы можете использовать следующие функции:

     • date – определяет формат даты и времени. Функция принимает время в миллисекундах (UNIX-время) в качестве первого параметра. Второй параметр можно использовать для передачи времени в формате стандарта RFC. Часовой пояс невозможно изменить.
       {{range .Events }} Service name: {{.Event.ServiceName}} Device host name: {{.Event.DeviceHostName}} Message: {{.Event.Message}} {{end}}

       Вложенные объекты могут иметь свои собственные вложенные объекты. Вы можете получить доступ к ним с помощью вложенных функций range.

     • limit – ограничивает количество объектов, возвращаемых функцией range.
     • link_alert – генерирует ссылку на алерт с указанным URL в поле Введите имя сервера.
     • link_incident – генерирует ссылку на инцидент с указанным URL в поле Введите имя сервера.
     • link – принимает форму ссылки, которую пользователь может открыть, когда он получает уведомление по электронной почте.
   • В поле Получатели укажите один или несколько адресов электронной почты для отправки уведомлений.
   • При необходимости в поле Описание напишите описание шаблона уведомления.
7. Нажмите на кнопку Подтвердить.

   Окно Изменить шаблон электронной почты закроется.

8. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Шаблон для уведомлений по электронной почте изменен и настроен. При возникновении событий выбранных типов в Open Single Management Platform шаблоны уведомлений будут отправлены на указанные адреса электронной почты.