Действия реагирования позволяют определить методы реагирования при срабатывании правил аналитики информационной безопасности. UserGate SIEM позволяет гибко настраивать правила, используя переменные, относящиеся к категориям срабатывания правил аналитики.
Действия могут быть созданы во вкладке Аналитика ➜ Действия реагирования. При добавлении действия необходимо указать следующие параметры.
Наименование
Описание
Включено
Включает/отключает правило реагирования.
Название
Отображает название правила реагирования.
Описание
Описывает правила реагирования. Данное поле необязательно для заполнения.
Действие
Показывает действие, выбранное для исполнения в случае срабатывания правила аналитики. Действие реагирования выполнится, если оно указано в свойствах правила аналитики.
Для выбора доступны следующие виды реагирования:
Отправить email: отправка письма на выбранные почтовые адреса. Настройка действия Отправить email будет рассмотрена далее в разделе Действие типа отправить email.
Отправить сообщение: отправка сообщения на указанные номера телефонов. Настройка действия Отправить сообщение будет рассмотрена далее в разделе Действие типа отправить сообщение.
Webhook: получение уведомления о срабатывании правила на веб-странице, адрес которой был указан при настройке действия. Настройка действия Webhook будет рассмотрена далее в разделе Действие типа webhook.
Создать инцидент: автоматическое создание инцидента в результате срабатывания правил аналитики. О настройке действия Создать инцидент читайте в разделе Настройки инцидентов.
Послать команду на коннектор ‒ отправка команды на выбранный коннектор. Настройка действия Послать команду на коннектор будет рассмотрена далее в разделе Действие типа послать команду на коннектор.
Послать команду на эндпоинт ‒ отправка команды на конечное устройство с установленным ПО UserGate Client. Подробнее читайте в раздел Действие типа послать команду на эндпоинт.
Записывать в журнал правил
Включает/отключает журналирование данных о срабатывании действия реагирования. Данные записываются в журнал событий SIEM, который можно просмотреть во вкладке Журналы и отчёты ➜ Журналы ➜ Журнал событий.
Группировать похожие срабатывания
Для удобства при настройке действий реагирования возможно использование функции группировки срабатываний.
Группировка возможна по следующим параметрам:
Никогда.
За период времени. При настройке группировки срабатываний правила аналитики за период времени действие реагирования выполнится, если в течение указанного времени произошло хотя бы одно срабатывание.
По количеству срабатываний. При настройке группировки по количеству срабатываний правила аналитики действие реагирования выполнится только после указанного количества срабатываний.
Период группировки
Отображает период группировки в минутах. Задание параметра возможно только при выборе группировки похожих срабатываний за период времени.
Количество срабатываний
Отображает заданное количество срабатываний. Задание параметра возможно только при выборе группировки похожих срабатываний по их количеству.
Созданные действия реагирования можно редактировать, удалять, копировать, включать, отключать. Также в списке действий реагирования можно отображать все действия, только включённые или только выключенные.
Действие типа отправить email
Если в качестве действия реагирования была выбрана отправка email, то в свойствах правила реагирования необходимо указать следующие параметры.
Наименование
Описание
Профиль оповещения
Профиль оповещения SMTP, который будет использован для отправки email.
Список почтовых адресов получателей. Получатели должны быть добавлены в списки в разделе Настройки ➜ Библиотеки ➜ Почтовые адреса. О добавлении почтовых адресов читайте в разделе Почтовые адреса.
Шаблон
Шаблон письма уведомления с возможностью передачи значений различных переменных, относящихся к срабатыванию.
Список номеров телефонов получателей. Получатели должны быть добавлены в списки в разделе Настройки ➜ Библиотеки ➜ Номера телефонов. О добавлении телефонных номеров читайте в разделе Номера телефонов.
Шаблон
Шаблон сообщения с возможностью передачи значений различных переменных, относящихся к срабатыванию.
Для тестирования webhook можно воспользоваться сервисом https://webhook.site. Для этого необходимо перейти на сайт Webhook.site и скопировать сгенерированную ссылку. Далее её необходимо указать в свойствах правила реагирования в поле URL во вкладке Действия.
Действие типа послать команду на коннектор
В качестве одного из действий реагирования может быть настроена отправка команды на коннектор.
Если в качестве действия реагирования настроена передача команды для исполнения на коннекторе, то необходимо указать следующие параметры:
Наименование
Описание
Коннекторы
Выбор устройств, на которые необходимо отправить команду в случае срабатывания правила аналитики. Коннектор должен быть заранее добавлен и настроен в разделе Сенсоры --> Коннекторы вкладки Настройки веб-интерфейса управления UserGate SIEM (для более подробной информации обратитесь к разделу Коннекторы).
Важно! Могут выбраны только коннекторы с одинаковой группой команд.
Команда
Определение команды, которая будет передана на коннектор для выполнения; представлены команды группы, указанной для выбранных коннекторов.
В случае наличия в команде переменных, будут отображены дополнительные поля для указания их значений.
В качестве одного из действий реагирования может быть настроена отправка команды на конечное устройство с установленным ПО UserGate Client. Доступны следующие команды:
Отключить от сети ‒ блокировка доступа к сети Интернет.
Завершить процесс ‒ завершение указанного в запросе фильтра процесса.
Шаблон уведомлений
Во вкладке Шаблон необходимо указать текст уведомления. Можно передавать не только фиксированный текст, но и данные, относящиеся к срабатыванию или его записям в журнале.
Чтобы передать данные, относящиеся к срабатыванию, необходимо в поле во вкладке Шаблон ввести название одного из параметров, представленных в таблице. Например, если ввести {ANALYTICS_RULE_NAME}, то в тексте уведомления, настроенном как отправка email, SMS или webhook, будет отражено название правила аналитики, которое сработало. Если заполнить шаблон при настройке действия Создать инцидент, то текст будет отображён в описании инцидента.
Переменные для уведомлений и команд
ПримечаниеПоле чувствительно к регистру букв. Название переменных необходимо вводить прописными буквами в фигурных скобках (как представлено в таблице).
ПримечаниеИспользование переменных в командах и уведомлениях возможно в случае, если они были выбраны в разделе Аналитика ➜ Правила аналитики ➜ Условия для группировки событий.
Наименование
Описание
{ANALYTICS_RULE_NAME}
Название правила аналитики.
{ANALYTICS_RULE_DESCRIPTION}
Описание правила аналитики.
{NAME}
Название определённого срабатывания.
{TIME}
Время срабатывания правила аналитики.
{TRIGGERED_ALERTS_NUMBER}
Количество срабатываний.
{FIRST_TRIGGERED_ALERT_TIME}
Время первого срабатывания.
{LAST_TRIGGERED_ALERT_TIME}
Время последнего срабатывания.
{TRIGGERED_ALERTS_NAMES}
Список названий срабатываний, если используется группировка.
{FIRST_EVENT_TIME}
Время первого события, попавшего под срабатывание правила аналитики.
{LAST_EVENT_TIME}
Время последнего события, попавшего под срабатывания правила аналитики.
{THREAT_LEVEL}
Указанный уровень угрозы.
{CATEGORY}
Категория, к которой относится срабатывание.
{PRIORITY}
Приоритет срабатывания правила аналитики.
{ADMINISTRATOR_NAME}
Имя администратора, которым было создано правило аналитики.
{USER_NAME}
Имя пользователя.
{SOURCE_ZONE}
Зона источника.
{DESTINATION_ZONE}
Зона назначения.
{SOURCE_COUNTRY}
Страна источника.
{DESTINATION_COUNTRY}
Страна назначения.
{SOURCE_IP}
IP-адрес источника.
{SOURCE_PORT}
Порт источника.
{DESTINATION_IP}
IP-адрес назначения.
{DESTINATION_PORT}
Порт назначения.
{SOURCE_ZONE_ALL}
Зоны источников всех событий, сформировавших срабатывание.
{DESTINATION_ZONE_ALL}
Зоны назначения всех событий, сформировавших срабатывание.
{SOURCE_COUNTRY_ALL}
Страны источников всех событий, сформировавших срабатывание.
{DESTINATION_COUNTRY_ALL}
Страны назначения всех событий, сформировавших срабатывание.
{SOURCE_IP_ALL}
IP-адреса источников всех событий, сформировавших срабатывание.
{SOURCE_PORT_ALL}
Порты источников всех событий, сформировавших срабатывание.
{DESTINATION_IP_ALL}
IP-адреса назначения всех событий, сформировавших срабатывание.
{DESTINATION_PORT_ALL}
Порты назначения всех событий, сформировавших срабатывание.