Politiques

Le système de politiques est conçu pour faciliter la gestion des grands environnements de supervision. Il vous permet de propager des modules, des alertes, des alertes externes, des plugins, des inventaires à distance et des collections aux agents de manière centralisée et homogène.

Vous pouvez également trouver plus d'informations dans « Différences entre les modèles, les politiques et les opérations en bloc ».

• Il est possible d'accéder rapidement aux composants de n'importe quelle politique en cliquant sur les liens correspondants.
• Il est possible d'ajouter des politiques préconfigurées qui peuvent être téléchargées depuis la bibliothèque de ressources de Pandora FMS.
• Le dialogue de filtrage des éléments peut être ouvert en utilisant le raccourci clavier CTRL+f, même s'il est caché par une notification.
• Dans la section de configuration de chaque agent (menu Management → Resources → Manage agents → Edit → Manage policy) il existe un onglet de politiques spécifique pour chaque agent. L'interface est similaire à celle des politiques de surveillance et n'affecte que l'agent sélectionné. Cela permet d'effectuer des opérations conjointes en sélectionnant plusieurs politiques à la fois, et de les appliquer ou supprimer simultanément. Les agents ajoutés de cette manière apparaîtront également dans la section principale des politiques de surveillance et pourront être gérés en masse.

Il est possible de rechercher dans Pandora FMS depuis l'en-tête sur le Command Center (Métaconsole) et dans le nœud.

Les recherches dans le Command Center retournent deux types de résultats :

• Recherche centralisée : Les politiques montrées sont celles qui existent dans le Command Center il-même.
• Recherche non-centralisée : Les politiques présentées sont obtenues directement de chaque nœud, en indiquant leur origine.

Menu Management → Configuration → Manage policies → Create.

Saisissez le nom et le groupe et indiquez s'il s'appliquera aux groupes enfants et s'il sera appliqué de force pour les agents dont la configuration à distance n'est pas activée (option Force Apply). Cliquez à nouveau sur Create pour l'enregistrer.

Cliquez sur l'icône correspondant dans la colonne d'options :

Voir la section pour importer et exporter au format PRD.

Si une politique à des agents, le bouton Supprimer sera désactivé et un bouton pour supprimer tous ses agents apparaîtra.

Ce bouton mettra en file d'attente la suppression des agents. Une fois traité, le bouton pour supprimer la politique sera à nouveau actif.

Dans la file d'attente des opérations de la politique, il existe un résumé des éléments qui ont été modifiés depuis la dernière application de la politique.

Dans cette liste, vous avez les éléments en attente à mettre à jour et ceux à supprimer. Ce résumé vous indiquera s'il est nécessaire d'appliquer la politique ou pas. Parfois, à côté de l'icône d'agent en attente d'être appliqués, il y a un bouton pour les appliquer.

• Si les modifications en attente n'affectent que la base de données (par exemple, les modifications des alertes), ce bouton n'apporte des modifications qu'à ce niveau, l'application sera donc plus rapide.
• En revanche, si la configuration qui affecte les fichiers de configuration a été modifiée (par exemple, si les collections ou modules locaux ont été modifiés), l'application sera complète.
• Sous le résumé, sur le côté droit, il y a un bouton pour tout appliquer, quel que soit le type de modifications en attente.

Dans la configuration du nœud, il existe un jeton appelé Max. days before policy queue is purged, défini par défaut à 7 jours, pour purger la base de données des files d'attente de politiques de supervision déjà appliquées.

Pour configurer la politique, cliquez sur le nom de la politique. Une fois à l'intérieur, vous pouvez accéder aux différentes sections de configuration via le menu en haut à droite.

Dans la configuration d'une politique, en plus de setup, les onglets suivants sont disponibles :

• Agents.
• Modules.
• Modules d'inventaire.
• Alertes.
• Alertes externes.
• Collections.
• Linking.
• Queue.
• Plugins de l'agent.
• Wizards de l'agent.

Les opérations possibles dans une politique sont les suivantes :

• Ajouter/supprimer un ou plusieurs agents existants à la police.
• Créer/modifier/supprimer un module.
• Définir/modifier/supprimer un agent plugin.
• Créer/modifier/supprimer une alerte.
• Créer/modifier/supprimer une alerte externe.
• Ajouter/supprimer une collection existante.
• Ajouter/supprimer un module d'inventaire existant.
• Lier un ou plusieurs modules adoptés à la politique.
• Mettre en œuvre les changements apportés à la politique.

Pour ajouter des Agents à la politique vous avez dans la partie supérieure des options de filtrage pour sélectionner en groupe les Agents dont vous avez besoin en les sélectionnant avec les touches Contrôle Ctrl ou Shift Shift. En bas de la fenêtre se trouve la liste de tous les agents associés à la politique, y compris ceux qui sont en attente d'être retirés de la politique.

La liste des agents peut également être filtrée par groupe, par sous-chaîne ou par état de la demande.

• Lorsqu'un agent est supprimé, son nom apparaît surligné en rouge et, au lieu d'un bouton de suppression, un bouton permet d'annuler la suppression et de réassocier l'agent à la politique.
• N'oubliez pas que l'ajout ou la suppression d'agents de la politique ne sera effectif que lorsque la politique sera appliquée dans la section « Queue ».

Sous Apply to, sélectionnez Groups, puis recherchez et sélectionnez les groupes requis. Ajoutez ensuite à la liste Groups in policy. En bas de la fenêtre, une liste de tous les groupes associés à la politique s'affiche, y compris ceux qui sont en attente de suppression de la politique.

Lorsqu'un groupe est supprimé, son nom apparaît barré et, au lieu d'un bouton de suppression, un bouton permet d'annuler la suppression et de ré associer le groupe à la politique. Les agents appartenant au groupe seront également barrés.

L'ajout ou la suppression de groupes dans la politique ne sera effectif qu'au moment de la mise en œuvre de la politique (Queue).

Supprimer un module déjà créé

Pour supprimer un module de la politique et le retirer de la configuration des agents, cliquez sur l'icône de la corbeille située à droite du module. Le module restera dans la liste, mais son nom sera barré et le bouton de la corbeille se transformera en bouton permettant d'annuler la suppression.

Si plusieurs modules doivent être supprimés, vous pouvez les sélectionner individuellement dans la case située à droite de la corbeille, puis cliquer sur le bouton Delete.

Les modules de type Data Server sont ajoutés aux EndPoints PFMS. Pour travailler avec ces modules, les agents doivent avoir activé la configuration à distance.

Choisissez l'option Endpoint module, bouton Create.

Vous pouvez remplir les champs de l'onglet Basic ou, si vous avez préalablement défini un composant local, le sélectionner. Vous trouverez plus d'informations sur la description de ces champs dans la rubrique Modèles et composants.

Le champ Data configuration permet d'introduire le code du module lui-même qui sera appliqué aux agents qui souscrivent à cette politique. Cette modification sera reflétée dans le fichier pandora_agent.conf de l'endpoint lui-même.

Ce type de modules ICMP est exécuté par le PFMS Server.

Pour créer un module de type ICMP, sélectionnez l'option Network ICMP module et cliquez sur le bouton Create. Il est recommandé d'utiliser les deux options préconfigurées dans la liste Using network component → Network Management: Host alive pour surveiller la disponibilité et la connectivité d'un appareil et Host latency pour mesurer leur temps d'accès. Si l'agent contient des modules portant le même nom, ceux-ci deviendront des modules adoptés.

Pour Target IP (address), il existe trois options :

1. Auto: Il est toujours mis à jour avec la première adresse IP de l'agent auquel la politique sera appliquée.
2. Force primary key: Par défaut, le module est créé avec l'adresse IP principale de l'agent au moment de l'application de la politique. Si l'adresse IP de l'agent est modifiée, l'ancienne adresse IP est conservée.
3. Custom: Permet d'attribuer une adresse IP spécifique dans la politique. Pour cela, une zone de texte apparaîtra lorsque vous sélectionnerez cette option.

Ce type de modules TCP est exécuté par le PFMS Server.

Les meilleures options à utiliser se trouvent dans les composants réseau (de la liste Using network component) et sont inclus par défaut dans Pandora FMS. La flexibilité de PFMS permet à chaque client de créer ses propres composants et de les utiliser dans ses propres politiques de surveillance.

Pour Target IP (address), il existe trois options :

1. Auto: Il est toujours mis à jour avec la première adresse IP de l'agent auquel la politique sera appliquée.
2. Force primary key: Par défaut, le module est créé avec l'adresse IP principale de l'agent au moment de l'application de la politique. Si l'adresse IP de l'agent est modifiée, l'ancienne adresse IP est conservée.
3. Custom: Permet d'attribuer une adresse IP spécifique dans la politique. Pour cela, une zone de texte apparaîtra lorsque vous sélectionnerez cette option.

Pandora FMS dispose de certains composants SNMP préconfigurés dans la liste Using network component et la surveillance SNMP est très étendue. Cela dit, il est extrêmement important de connaître l'OID (Object IDentifier ou identifiant d'objet) à utiliser. Un explorateur SNMP (bouton SNMP Walk) est disponible pour saisir manuellement les identifiants et les paramètres du dispositif à surveiller afin d'obtenir les valeurs OID et leurs réponses.

Pour Target IP (address), il existe trois options :

1. Auto: Il est toujours mis à jour avec la première adresse IP de l'agent auquel la politique sera appliquée.
2. Force primary key: Par défaut, le module est créé avec l'adresse IP principale de l'agent au moment de l'application de la politique. Si l'adresse IP de l'agent est modifiée, l'ancienne adresse IP est conservée.
3. Custom: Permet d'attribuer une adresse IP spécifique dans la politique. Pour cela, une zone de texte apparaîtra lorsque vous sélectionnerez cette option.

Le système d'exploitation MS Windows® dispose d'une multitude de requêtes de type WMI, les plus importantes sont préenregistrées avec PFMS et peuvent être sélectionnées dans la liste Using network component. Lors de la configuration de chaque politique qui contiendra un module WMI, vous pouvez configurer rapidement les identifiants de consultation à l'aide de la fonctionnalité « Stockage des identifiants ».

Pour Target IP (address), il existe trois options :

1. Auto: Il est toujours mis à jour avec la première adresse IP de l'agent auquel la politique sera appliquée.
2. Force primary key: Par défaut, le module est créé avec l'adresse IP principale de l'agent au moment de l'application de la politique. Si l'adresse IP de l'agent est modifiée, l'ancienne adresse IP est conservée.
3. Custom: Permet d'attribuer une adresse IP spécifique dans la politique. Pour cela, une zone de texte apparaîtra lorsque vous sélectionnerez cette option.

Dans l'onglet Basic → Command, vous devez insérer l'instruction à exécuter à distance. Utilisez des guillemets simples lorsque cela est nécessaire. Si vous devez utiliser des guillemets doubles, échappez-les avec une barre oblique inversée (\").

En fonction de la commande saisie et de sa réponse lors de son exécution, il convient de sélectionner le type de module approprié (numérique, booléen, alphanumérique, données incrémentales).

La liste Using network component comprend un grand nombre de composants classés par système d'exploitation (vérifier si cela correspond à l'objectif général de la politique en question) ou par utilisation (General group).

Pour Target IP (address), il existe trois options :

1. Auto: Il est toujours mis à jour avec la première adresse IP de l'agent auquel la politique sera appliquée.
2. Force primary key: Par défaut, le module est créé avec l'adresse IP principale de l'agent au moment de l'application de la politique. Si l'adresse IP de l'agent est modifiée, l'ancienne adresse IP est conservée.
3. Custom: Permet d'attribuer une adresse IP spécifique dans la politique. Pour cela, une zone de texte apparaîtra lorsque vous sélectionnerez cette option.

Sélectionnez l'option Web module → Create. Configurez les champs du module et accédez à la section Web checks.

En fonction du type de module choisi, qui dépend du contrôle correspondant (champ Web Checks), il faudra configurer les seuils et même le type d'authentification, les identifiants, etc. Pour enregistrer, utilisez à nouveau le bouton Create.

Pour créer un module de type prédictif, sélectionnez l'option Prediction module → Create.

Dans la liste Source module, vous pouvez choisir les modules de la même politique (sauf si vous sélectionnez Service) comme source de données pour calculer la prévision. Dans la liste Module type, vous devez choisir le type de module en fonction de la sélection effectuée. Pour plus de détails, consultez la rubrique Intelligence artificielle.

Sélectionnez l'option Plugin module → Create. Entrez le nom et choisissez parmi deux options pour sélectionner plugin :

• À l'aide de la liste Using network component qui configure automatiquement le nom et le type du module (et le plugin lui-même).
• À l'aide de la liste Plugin, sélectionnez dans Module type un élément correspondant au plugin sélectionné.

Dans les deux cas, vous devez remplir les champs spécifiques du plugin choisi (il est recommandé de lire l'aide intégrée dans PFMS lors de son installation) et les seuils à supervision pour le changement d'état du futur module créé par la politique.

Une fois tous les champs remplis, cliquez sur le bouton Créer pour enregistrer le nouveau module de la politique de surveillance.

Dans ce cas, il manque un composant réseau, sa configuration doit donc être effectuée comme indiqué dans la rubrique Supervision API.

Dans une politique, vous pouvez également créer des modules d'inventaire, en choisissant un dans la liste de ceux disponibles dans le système, un intervalle et les identifiants.

Comme pour le reste des éléments de la politique, si vous supprimez un module d'inventaire, il apparaîtra rayé et au lieu du bouton pour supprimer, un bouton apparaîtra pour annuler l'action.

Pour plus d'informations sur l'ajout de modules d'inventaire distants, voir Modules d'inventaire.

Lorsque vous créez un module à partir d'une politique apparaît référencé à travers l'icône de politiques.

Ces modules sont créés dans la politique et, lors de l'application de la politique, ils sont également créés dans l'agent. Vous pouvez lier et délier les modules à partir de la page de configuration du module lui-même en cliquant sur ce bouton.

Les modules non liés sont ceux qui appartiennent à une politique mais qui ne sont pas sensibles aux changements de cette politique. Ils peuvent être utiles car ils permettent de définir des exceptions individuelles aux modules appartenant à une politique. Ainsi, il est possible de personnaliser un module d'un agent spécifique au sein d'une politique sans le retirer de cette dernière.

Ces modules ont été créés dans la politique avec le même nom d'un module qui existe déjà dans l'agent. Lorsque la politique Pandora FMS est appliquée elle utilisera les données du module existant au lieu de créer un nouveau module et continuera à être géré depuis l'agent.

Un module adopté peut être lié de manière à utiliser la définition définie dans la politique au lieu de la définition locale. Ainsi, lorsque vous gérez le module à partir de la politique, ce module change lorsque vous apportez une modification.

Pour ajouter une alerte, associez l'un des modèles d'alerte Alert template définis précédemment à un module appartenant à la politique et cliquez sur Add.

Vous pouvez ajouter des actions, mettre en mode veille ou standby ou désactiver une alerte. Si vous souhaitez modifier le module ou le modèle, supprimez-le et créer une nouvelle alerte.

Pour supprimer l'alerte de la politique et la supprimer de la configuration de l'agent, cliquez sur l'icône de la corbeille à droite de l'alerte. Ce faisant, l'alerte restera dans la liste mais avec le nom rayé et le bouton corbeille deviendra un bouton pour annuler la suppression.

Les alertes externes vous permettent de lier des alertes à des modules d'agent qui ne figurent pas dans la liste des modules de la politique. Il est très utile pour affecter des alertes uniquement à certains modules d'agent et pas à tous.

Pour créer une alerte externe, remplissez le formulaire suivant:

La seule modification autorisée est l'ajout ou la suppression d'actions de l'alerte externe. Les autres modifications doivent être supprimées et recréées.

Pour supprimer l'alerte externe de la politique et la supprimer de la configuration de l'agent, cliquez sur l'icône de la corbeille à droite de l'alerte externe.

Le système de suppression est le même que celui des alertes normales. Il ne sera effectif que lorsque la politique sera appliquée « (Queue) ».

Un ou plusieurs modules peuvent avoir des actions différentes selon les politiques.

La façon d'ajouter des plugins aux politiques est exactement la même que celle d'un agent. Vous pouvez consulter la section « Plugins dans des EndPoints ».

Voici une méthode pour déployer la configuration et l'activation du Hardening plugin sur les systèmes Unix®/Linux® :

module_begin
module_plugin /usr/share/pandora_agent/plugins/pandora_hardening -t 150
module_absoluteinterval 7d
module_end

Enfin, il faut uniquement cliquer sur le bouton de mise à jour intitulé Add, puis effectuer la gestion de la file d'attente des politiques.

En complément de la supervisison SIEM (SIEM doit être configuré et opérationnel), la fonctionnalité File Integrity Monitoring (FIM) appliquée aux politiques, qui permet de contrôler l'intégrité de chaque fichier important en fonction de chaque système d'exploitation.

File collections sont des ressources utilisées pour déployer en masse des scripts ou des plugins à utiliser dans les EndPoints, les politiques de supervision des agents et les serveurs satellites.

Lorsque vous modifiez une politique de supervision et que vous cliquez sur l'onglet Collections, une liste des collections disponibles s'affiche. Vous pouvez ajouter ou supprimer des collections, puis appliquer la Queue des modifications.

Il est possible de gérer les politiques à partir du Command Center (Métaconsole). Le processus consiste à distribuer les informations à tous les nœuds afin que chacun des serveurs soit responsable de leur application. Cette distribution de l'information est complexe, car il est important que tous les nœuds disposent des mêmes données que le Command Center.

Retour à l'index de documentation de Pandora FMS