База знаний

База Знаний

Документация

...

Общие сведения

UserGate 6.x

UserGate 7.x

Быстрый старт

NGFW 7.0.1 Руководство администратора

Management Center 7.0.1 Руководство администратора

Log Analyzer 7.0.1 Руководство администратора

NGFW 7.1.x Руководство администратора

Management Center 7.1.x Руководство администратора

Log Analyzer 7.1.x Руководство администратора

UserGate SIEM 7.1.x Руководство администратора

Введение

Лицензирование SIEM

Первоначальная настройка

Офлайн операции с сервером

Настройка SIEM

Настройка сети

Пользователи и устройства

Сенсоры

Сборщик логов

Библиотеки

Диагностика и мониторинг

Журналы и отчеты

Аналитика

Инциденты

Общие сведения

Настройки инцидентов

Дашборд по инцидентам

Журнал инцидентов

Создание инцидентов безопасности

Подробности инцидента

Передача отчётов об инцидентах информационной безо...

Интерфейс командной строки (CLI)

Дашборд

Техническая поддержка

ADMIN

Избранные

Приложения

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Передача отчётов об инцидентах информационной безопасности в ГосСОПКА

ID статьи: 959

Последнее обновление: 08 апр, 2024

Documentation:

Product: SIEM

Version: 7.1.0

Technology: IRP

ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты.

В UserGate SIEM реализована возможность передачи отчётов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА.

Для отправки отчётов необходимо:

1. Самостоятельно подключиться к системе личных кабинетов ГосСОПКА.

Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.

2. Добавить криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА).

Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз).

ПримечаниеНе указывайте криптографический шлюз в качестве шлюза по умолчанию.

3. Добавить DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА.

Для определения адреса системы личных кабинетов ГосСОПКА необходимо добавить серверы с адресами 10.0.100.49 и 10.0.100.50.

ПримечаниеВ список системных DNS-серверов можно добавить не более трёх серверов. Серверы ГосСОПКА не могут быть использованы для преобразования доменных имён в сети Интернет.

4. Настроить статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3.

Для обеспечения доступности серверов ГосСОПКА необходимо добавить статический маршрут с адресом назначения: 10.0.100.0/24. Подробнее о настройке маршрутов читайте в разделе Маршруты.

5. Настроить подключение к личному кабинету ГосСОПКА с UserGate SIEM для возможности отправки отчёта.

В UserGate SIEM по умолчанию создан коннектор Gossopka, предназначенный для взаимодействия с ГосСОПКА.

Для настройки коннектора перейдите во вкладку Настройки в раздел Сенсоры ➜ Коннектор. Используйте коннектор Gossopka, созданный в UserGate SIEM по умолчанию; необходимо указать: FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля), логин/пароль и ключ API, который добавляется в поле HTTP заголовки.

6. Настроить шаблон отчёта.

По молчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчётам. Заполните поля формы; данная форма будет использоваться при формировании отчёта.

Наименование	Описание
Организация	Название организации.
Категория	Категория уведомления: Уведомление о компьютерном инциденте. Уведомление о компьютерной атаке. Уведомление о наличии уязвимости.
Тип события ИБ	Тип события информационной безопасности: Вовлечение контролируемого ресурса в инфраструктуру ВПО. Замедление работы ресурса в результате DDoS-атаки. Заражение ВПО. Захват сетевого трафика. Использование контролируемого ресурса для фишинга. Компрометация учётной записи. Несанкционированное изменение информации. Несанкционированное разглашение информации. Публикация на ресурсе запрещённой законодательством РФ информации. Рассылка спам-сообщений с контролируемого ресурса. Успешная эксплуатация уязвимости.
Статус реагирования на инцидент	Статус реагирования на инцидент: Меры приняты. Проводятся мероприятия по реагированию. Возобновлены мероприятия по реагированию.
Необходимость привлечения сил ГосСОПКА	Отметьте чекбокс в случае необходимости привлечения сил ГосСОПКА.
Краткое описание события ИБ	Описание события информационной безопасности.
Сведения о средстве или способе выявления инцидента	Информация о способе и устройстве/ПО, посредством которого был выявлен инцидент.
Дата и время выявления инцидента	Дата и время выявления инцидента заполняются автоматически.
Дата и время завершения инцидента	Дата и время завершения инцидента заполняются автоматически.
Ограничительный маркер TLP	Маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки: RED: информация является крайне конфиденциальной. AMBER: информацией можно поделиться в рамках своей организации, при условии, что этой информацией нужно поделиться. GREEN: информация может быть широко распространена в пределах определённого сообщества. WHITE: информация в свободном распространении, но не нарушает авторские права.
Влияние на доступность	Потенциальное влияние на доступность информационных ресурсов: Отсутствует. Низкое. Высокое.
Влияние на целостность	Потенциальное влияние на целостность ресурсов информационной системы: Отсутствует. Низкое. Высокое.
Влияние на конфиденциальность	Потенциальное влияние на конфиденциальность (ограничение доступа к информационным ресурсам, разрешения доступа к системе только авторизованным пользователям, предотвращение раскрытия информации неуполномоченным лицам): Отсутствует. Низкое. Высокое.
Краткое описание иной формы последствий компьютерного инцидента	Описание последствий инцидента, кроме тех, что были указаны ранее.
Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент	Наименование контролируемого информационного ресурса объекта КИИ, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость.
Информация о категорировании ОКИИ	Присвоенная объекту КИИ категория значимости: Информационный ресурс не является объектом КИИ. Объект КИИ без категории значимости (объект признан незначимым). Объект КИИ третьей категории значимости (самая низкая). Объект КИИ второй категории значимости. Объект КИИ первой категории значимости (самая высокая).
Сфера функционирования субъекта	Сфера функционирования объекта КИИ (например, банковская сфера, здравоохранение и т.п.).
Наличие подключения к сети Интернет	Наличие подключения к сети Интернет: Да. Нет.
Страна/регион	Код в соответствии с ISO-3166-2.
Населенный пункт или геокоординаты	Название населённого пункта или его географические координаты. Географические координаты указываются в формате: широта — С.Ш, долгота — В.Д.

7. Сформировать и отправить отчёт об инциденте информационной безопасности.

Формирование отчёта доступно во вкладке с подробностями об инциденте нажатием кнопки Создать отчёт ➜ GOSSOPKA report. Для отправки отчёта необходимо указать коннектор, настроенный ранее и нажать Послать через сеть.

Далее нужно заполнить необходимые поля формы (большинство поле заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажать ОК. В случае успешного соединения сервер UserGate SIEM отправит отчёт на коннектор (в систему личных кабинетов ГосСОПКА).

Запись об отправке отчёта будет отображена в журнале событий SIEM.