ID статьи: 959
Последнее обновление: 08 апр, 2024
Documentation: Product: SIEM Version: 7.1.x Technology: IRP
ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты. В UserGate SIEM реализована возможность передачи отчётов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА. Для отправки отчётов необходимо: 1. Самостоятельно подключиться к системе личных кабинетов ГосСОПКА. Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. 2. Добавить криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА). Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз). ПримечаниеНе указывайте криптографический шлюз в качестве шлюза по умолчанию.
3. Добавить DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА. Для определения адреса системы личных кабинетов ГосСОПКА необходимо добавить серверы с адресами 10.0.100.49 и 10.0.100.50. ПримечаниеВ список системных DNS-серверов можно добавить не более трёх серверов. Серверы ГосСОПКА не могут быть использованы для преобразования доменных имён в сети Интернет.
4. Настроить статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3. Для обеспечения доступности серверов ГосСОПКА необходимо добавить статический маршрут с адресом назначения: 10.0.100.0/24. Подробнее о настройке маршрутов читайте в разделе Маршруты. 5. Настроить подключение к личному кабинету ГосСОПКА с UserGate SIEM для возможности отправки отчёта. В UserGate SIEM по умолчанию создан коннектор Gossopka, предназначенный для взаимодействия с ГосСОПКА. Для настройки коннектора перейдите во вкладку Настройки в раздел Сенсоры ➜ Коннектор. Используйте коннектор Gossopka, созданный в UserGate SIEM по умолчанию; необходимо указать: FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля), логин/пароль и ключ API, который добавляется в поле HTTP заголовки. 6. Настроить шаблон отчёта. По молчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчётам. Заполните поля формы; данная форма будет использоваться при формировании отчёта.
7. Сформировать и отправить отчёт об инциденте информационной безопасности. Формирование отчёта доступно во вкладке с подробностями об инциденте нажатием кнопки Создать отчёт ➜ GOSSOPKA report. Для отправки отчёта необходимо указать коннектор, настроенный ранее и нажать Послать через сеть. Далее нужно заполнить необходимые поля формы (большинство поле заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажать ОК. В случае успешного соединения сервер UserGate SIEM отправит отчёт на коннектор (в систему личных кабинетов ГосСОПКА). Запись об отправке отчёта будет отображена в журнале событий SIEM.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 959
Последнее обновление: 08 апр, 2024
Ревизия: 7
Просмотры: 4668
Комментарии: 0
Теги
|