База знаний

База Знаний

Документация

...

Общие сведения

UserGate 6.x

UserGate 7.x

Быстрый старт

NGFW 7.0.1 Руководство администратора

Management Center 7.0.1 Руководство администратора

Log Analyzer 7.0.1 Руководство администратора

NGFW 7.1.x Руководство администратора

Management Center 7.1.x Руководство администратора

Log Analyzer 7.1.x Руководство администратора

UserGate SIEM 7.1.x Руководство администратора

Введение

Лицензирование SIEM

Первоначальная настройка

Офлайн операции с сервером

Настройка SIEM

Настройка сети

Пользователи и устройства

Сенсоры

Сборщик логов

Библиотеки

Диагностика и мониторинг

Журналы и отчеты

Аналитика

Инциденты

Общие сведения

Настройки инцидентов

Дашборд по инцидентам

Журнал инцидентов

Создание инцидентов безопасности

Подробности инцидента

Передача отчётов об инцидентах информационной безо...

Интерфейс командной строки (CLI)

Дашборд

Техническая поддержка

ADMIN

Избранные

Приложения

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Подробности инцидента

ID статьи: 958

Последнее обновление: 25 мар, 2024

Documentation:

Product: SIEM

Version: 7.1.0

Technology: IRP

Выбор инцидента и нажатие кнопки Показать произведет перевод на новую вкладку (название вкладки формируется из индекса и заданного имени инцидента), где будет отображена подробная информация о выбранном инциденте. На данной вкладке также можно редактировать (кнопка Редактировать) и комментировать (кнопка Комментировать) инцидент, изменять ответственного за инцидент (кнопка Назначить), и статус рабочего процесса (кнопка Рабочий процесс). Помимо информации об инциденте, отображённой во вкладке Журнал инцидентов (подробнее читайте в разделе Журнал инцидентов), можно увидеть следующую информацию.

В разделе Срабатывания отражена информация о срабатываниях правил аналитики, добавленных в инцидент. Подробнее читайте в разделе Срабатывания. Добавить срабатывания в инцидент можно нажатием кнопки Добавить срабатывания. Далее необходимо выбрать срабатывания, которые необходимо добавить в инцидент. Чтобы просмотреть подробности срабатывания выделите нужное срабатывание правила аналитики и нажмите кнопку Показать подробно. Также можно просмотреть краткую информацию о срабатывании нажав на кнопку Показать. Нажатием на кнопку Удалить из инцидента можно удалить запись о срабатывании правила аналитики из инцидента. Список срабатываний правил аналитики, добавленный в инциденты, можно скачать в csv-файл для дальнейшего анализа нажатием кнопки Экспортировать в CSV.

В разделе Журналы отображена подробная информация о событиях всех журналов (подробнее о записях журналов читайте в разделе Поиск). Чтобы добавить события в инцидент нажмите Добавить в инцидент и выберите события для добавления. Нажатие кнопки Удалить из инцидента позволяет удалить ненужные события.

В разделе Улики отображены записи о наблюдениях за объектами, указанными при настройке. Улики необходимы для упрощения анализа инцидента информационной безопасности, принятия верного решения и уменьшения затраченного на инцидент времени. Для получения информации используются ресурсы для обогащения (подробнее читайте в разделе Внешние сервисы обогащений). Подробную информацию, предоставленную сервисом, можно увидеть в настройках обогащения, нажав на обогащение.

Улики можно создать нажатием кнопки Добавить. Далее необходимо указать параметры, которые будут отражены в таблице раздела.

Наименование	Описание
Тип улики	Возможен выбор одного из следующих типов улик: Автономная система: система IP-сетей и маршрутизаторов, находящихся под единым управлением. Домен: имя сайта в Интернете. Файл: файл, о котором необходимо собрать информацию. Имя файла: название файла, о котором необходимо собрать информацию. FQDN: полное доменное имя. Хэш: хэш какого-либо файла, например, добавленного в инцидент. Имя хоста: метка устройства, подключённого к компьютерной сети и использующаяся для идентификации устройства. IP: уникальный адрес, идентифицирующий устройство в компьютерной сети. Почта: адрес электронной почты. Тема письма: часть письма, указанная в поле subject. Реестр: ключ реестра Microsoft Windows — каталог, в котором хранятся настройки и параметры операционной системы. Путь URI: последовательность символов, идентифицирующая абстрактный или физический ресурс. URL: индивидуальный адрес ресурса в сети Интернет. Агент пользователя: буквенно-цифровая строка, идентифицирующая программу, которая отправляет запрос на сервер и одновременно запрашивает доступ к web-сайту. Другое.
Значение	Необходимо указать объект, с которым будет производиться работа: IP-адрес, домен, и т.п.
Тип атаки	Для указания доступны следующие типы атаки: Ботнет — сеть заражённых компьютеров, удалённо управляемых преступниками. Фишинг — вид Интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Вредоносное ПО — любое программное обеспечение, которое пытается заразить компьютер или мобильное устройство. DDoS — способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети. Угон трафика — злоумышленное перенаправление трафика. Сетевое сканирование — сканирование узлов сети для определения уязвимостей. Брутфорс — метод взлома учётных записей путём подбора паролей к ним. Компроментация — факт несанкционированного доступа к защищенной информации, а также подозрение осуществления такого доступа. Спам — массовая рассылка с использованием специальных программ, коммерческой, политической и иной рекламы или иного вида сообщений людям, не выразившим желания их получать. Другое.
TLP	Отображена маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки: RED: информация является крайне конфиденциальной. AMBER: информацией можно поделиться в рамках своей организации, при условии, что этой информацией нужно поделиться. GREEN: информация может быть широко распространена в пределах определённого сообщества. WHITE: информация в свободном распространении, но не нарушает авторские права.
Индикатор компроментации?	Чекбокс необходимо отметить, если объект является потенциальным индикатором компроментации.
Сервисы	Отображён список сервисов, которые используются для получения дополнительной информации об объектах наблюдения. Список сервисов отображается автоматически после выбора типа улики. Список сервисов доступен в разделе Настройки ➜ Библиотеки ➜ Внешние сервисы обогащений. Подробнее читайте в разделе Внешние сервисы обогащений.
Обновлено	Показаны дата и время последнего обновления сервиса.

С использованием соответствующих кнопок Редактировать и Удалить улики можно редактировать или удалять.

В разделе Активность можно просмотреть комментарии по инциденту и историю внесения изменений (добавление наблюдателей, изменение статуса рабочего процесса и т.д.).

С использованием кнопки Создать отчёт можно создать отчёт об инциденте:

Incident report: пользовательский отчёт, который может быть создан на английском или русском языках в формате PDF или HTML. При создании отчёта возможно использование шаблонов, список которых доступен в разделе Журналы и отчёты ➜ Отчёты инцидентов ➜ Правила отчётов инцидентов.
GOSSOPKA report: для создание отчёта используется шаблон Форма для ГОССОПКА, который соответствует требованиям к отчётам ГОССОПКА. Отчёт можно просто скачать (кнопка Создать файл) или сразу сформировать в требуемом формате и отправить в систему личных кабинетов ГОССОПКА (кнопка Послать через сеть). Для автоматической отправки отчёта пользователю необходимо предоставить учётную запись для входа в личный кабинет на сайте ГОССОПКА и защищённый канал передачи. Подробнее читайте в разделе Передача отчётов об инцидентах информационной безопасности в ГосСОПКА.