Раздел Инциденты предоставляет функционал встроенной в LogAn системы IRP — платформы управления процессами реагирования на инциденты информационной безопасности. Инцидентом считается событие или набор событий информационной безопасности, которые подлежат расследованию. LogAn позволяет настроить процесс расследования инцидентов индивидуально под нужды конкретной компании (подробнее читайте разделе Настройки инцидентов).
IRP система плотно интегрирована с системой SIEM, функционал которой представлен разделом Аналитика. Раздел Аналитика позволяет задать создание инцидента в качестве действия реагирования, тем самым автоматизируя процесс создания инцидентов информационной безопасности (подробнее о настройке действий реагирования читайте в разделе Действия реагирования).
Также, помимо автоматического создания, инциденты могут быть созданы вручную инженером информационной безопасности (подробнее читайте в разделе Создание инцидентов безопасности).
Процесс расследования инцидента проходит в несколько этапов, на каждом из которых инциденту присваивается определенный статус или Состояние, например, Открыт ➜ Сбор данных ➜ В работе ➜ Закрыт. Переход между состояниями возможен по определенным правилам, определяемыми администратором, например, нельзя перейти из состояния Открыт сразу в состояние Закрыт. Возможные переходы между состояниями инцидентов описываются в Схеме инцидентов.
По окончании расследования каждому инциденту присваивается Решение, например, ложная атака, подтвержденная атака, выполнено и т.п.
Тип инцидента выбирается на этапе создания инцидента и определяет назначение инцидента. Например, типом инцидента может быть Инцидент безопасности, Задача и т.п.
Схема инцидента связывает воедино состояния, возможные переходы между состояниями, решения и типы инцидентов, формируя процесс расследования инцидента информационной безопасности.
UserGate LogAn позволяет настроить процесс расследования инцидентов индивидуально под нужды конкретной компании. После первоначальной установки решения создается схема расследования по умолчанию с названием Incident. Администратор системы может изменить существующую схему или создать свою собственную схему. Можно создать несколько схем расследования инцидентов, но использоваться может только одна схема, которая является активной.
Чтобы создать свою собственную схему расследования инцидентов необходимо выполнить следующие действия:
Наименование |
Описание |
---|---|
Шаг 1. Создайте необходимые решения инцидентов |
В разделе Настройки инцидентов ➜ Решения инцидентов нажмите добавить, укажите название и описание создаваемого решения и нажмите кнопку Сохранить. |
Шаг 2. Создайте типы инцидентов |
В разделе Настройки инцидентов ➜ Типы инцидентов нажмите добавить, укажите название и описание создаваемого типа и нажмите кнопку Сохранить. |
Шаг 3. Создайте состояния инцидентов |
В разделе Настройки инцидентов ➜ Состояния инцидентов нажмите добавить, укажите название, описание и группу создаваемого состояния. Группа состояние определяет положение данного состояние в схеме состояний. Возможно 3 варианта:
После определения всех полей нажмите кнопку Сохранить. |
Шаг 4. Создайте схему инцидентов |
В разделе Настройки инцидентов ➜ Схемы инцидентов нажмите добавить и укажите следующие параметры:
|
Шаг 5. Активируйте схему инцидентов |
После создания схемы инцидентов ее необходимо активировать. Для этого активируйте чекбокс Сделать активной в настройках схемы инцидентов. |
В данной вкладке можно просмотреть текущее состояние инцидентов информационной безопасности, созданных на LogAn. Отчеты представлены в виде виджетов, которые могут быть настроены администратором системы в соответствии с его требованиями. Виджеты можно добавлять, удалять, изменять расположение и размер на странице Дашборд.
Некоторые виджеты позволяют настроить отображение, указать фильтрацию данных и настроить прочие параметры. Для настройки виджета необходимо кликнуть по символу шестеренки в правом верхнем углу. Не все параметры, перечисленные ниже, доступны для каждого типа виджетов.
Наименование |
Описание |
---|---|
Название |
Название виджета, которое будет отображено в Дашборд. |
Диаграмма |
Тип представления данных:
|
Запрос фильтра |
SQL-подобная строка запроса, позволяющая ограничить объем информации, используемой при построении виджета. |
Описание |
Описание виджета. |
Количество записей |
Максимальное количество записей для отображения. |
Во вкладке Журнал инцидентов представлен список созданных инцидентов информационной безопасности. В таблице отражена следующая информация об инцидентах.
Наименование в базе данных |
Наименование в поисковом запросе |
Описание |
---|---|---|
Создан |
date |
Дата и время создания инцидента. |
Изменён |
updateDate |
Дата и время последнего изменения. |
Индекс |
incidentPrefix |
Префикс инцидента (INC-N, где N — порядковый номер инцидента; нумерация начинается с 0). |
Имя |
incidentName |
Название инцидента. |
Правило |
rule |
Название правила аналитики, в результате срабатывания которого автоматически был создан инцидент, т.е. при настройке правила аналитики было задано действие реагирования Создать инцидент. |
Статус |
status |
Статус инцидента. Существует 3 группы состояний, которые определяют положение данного состояние в схеме состояний:
По умолчанию в UserGate создана схема Incident, которая содержит переходы между всеми состояниями. Схемы инцидентов можно добавить в разделе Настройки ➜ Настройка инцидентов ➜ Схема инцидентов. Дополнительные состояния инцидентов можно задать во вкладке Настройки ➜ Настройка инцидентов ➜ Состояния инцидентов. Подробнее читайте в разделе Настройки инцидентов. |
Решение |
resolution |
Решение инцидента. По умолчанию созданы:
Дополнительные решения инцидентов можно создать во вкладке Настройки ➜ Настройка инцидентов ➜ Решения инцидентов. Подробнее читайте в разделе Настройки инцидентов. |
Тип |
type |
Тип инцидента. По умолчанию доступны 2 типа: инцидент безопасности и задача. Дополнительно типы инцидентов можно создать в разделе Настройки ➜ Настройка инцидентов ➜ Типы инцидентов. Подробнее читайте в разделе Настройки инцидентов. |
Приоритет |
priority |
Приоритет инцидента:
|
Инициатор |
reporter |
Имя администратора, который создал инцидент. |
Последнее изменение |
lastChangeBy |
Имя администратора, который внёс последнее изменение. |
Назначен |
assignee |
Имя администратора, назначенного на инцидент. |
Активность |
Количество комментариев, срабатываний правил аналитики и журналов событий, добавленных в инцидент. |
Администратор может выбрать для показа только те столбцы, которые ему необходимы. Для этого необходимо навести указатель мыши на название любого столбца, нажать на появившуюся справа от названия столбца стрелку, выбрать Столбцы и в появившемся контекстном меню выбрать необходимые параметры.
Возможно производить фильтрацию инцидентов по параметрам, представленным в таблице. Фильтрация доступна в двух режимах: простой и расширенный (подробнее о синтаксисе расширенного поиска читайте в разделе Поиск и фильтрация данных).
Настроенные фильтры можно сохранять, нажав кнопку Сохранить как. Сохранённые фильтры можно просмотреть с использованием кнопки Популярные фильтры.
Нажатием кнопки Экспортировать в CSV администратор может скачать отфильтрованный список инцидентов в csv-файл для дальнейшего анализа.
Во вкладке Журнал инцидентов также можно создавать инциденты информационной безопасности. Для создания и работы с инцидентами информационной безопасности пользователь должен обладать определёнными ролевыми разрешениями (подробнее читайте в разделе Роли и ролевые разрешения пользователей).
Инциденты создаются нажатием кнопки Создать инцидент. Далее необходимо указать следующие параметры.
Наименование |
Описание |
---|---|
Имя |
Указать название инцидента информационной безопасности. |
Тип |
Указать тип инцидента. По умолчанию созданы 2 типа инцидентов: инцидент безопасности и задача. Дополнительно типы инцидентов могут быть созданы в разделе Настройки ➜ Настройка инцидентов ➜ Типы инцидентов. Подробнее читайте в разделе Настройки инцидентов. |
Приоритет |
Назначить приоритет
|
Назначен |
Назначить ответственного на инцидент. |
Наблюдатели |
Указать список сотрудников для наблюдения за инцидентом. При любых изменениях инцидента они будут получать уведомление. |
Вложения |
Прикрепить файлы, относящиеся к инциденту. |
Описание |
Ввести описание инцидента. |
Выбор инцидента и нажатие кнопки Показать произведет перевод на новую вкладку (название вкладки формируется из индекса и заданного имени инцидента), где будет отображена подробная информация о выбранном инциденте. На данной вкладке также можно редактировать (кнопка Редактировать) и комментировать (кнопка Комментировать) инцидент, изменять ответственного за инцидент (кнопка Назначить), и статус рабочего процесса (кнопка Рабочий процесс). Помимо информации об инциденте, отображённой во вкладке Журнал инцидентов (подробнее читайте в разделе Журнал инцидентов), можно увидеть следующую информацию.
В разделе Срабатывания отражена информация о срабатываниях правил аналитики, добавленных в инцидент. Подробнее читайте в разделе Срабатывания. Добавить срабатывания в инцидент можно нажатием кнопки Добавить срабатывания. Далее необходимо выбрать срабатывания, которые необходимо добавить в инцидент. Чтобы просмотреть подробности срабатывания выделите нужное срабатывание правила аналитики и нажмите кнопку Показать подробно. Также можно просмотреть краткую информацию о срабатывании нажав на кнопку Показать. Нажатием на кнопку Удалить из инцидента можно удалить запись о срабатывании правила аналитики из инцидента. Список срабатываний правил аналитики, добавленный в инциденты, можно скачать в csv-файл для дальнейшего анализа нажатием кнопки Экспортировать в CSV.
В разделе Журналы отображена подробная информация о событиях всех журналов (подробнее о записях журналов читайте в разделе Поиск). Чтобы добавить события в инцидент нажмите Добавить в инцидент и выберите события для добавления. Нажатие кнопки Удалить из инцидента позволяет удалить ненужные события.
В разделе Улики отображены записи о наблюдениях за объектами, указанными при настройке. Улики необходимы для упрощения анализа инцидента информационной безопасности, принятия верного решения и уменьшения затраченного на инцидент времени. Для получения информации используются ресурсы для обогащения (подробнее читайте в разделе Внешние сервисы обогащений). Подробную информацию, предоставленную сервисом, можно увидеть в настройках обогащения, нажав на обогащение.
Улики можно создать нажатием кнопки Добавить. Далее необходимо указать параметры, которые будут отражены в таблице раздела.
Наименование |
Описание |
---|---|
Тип улики |
Возможен выбор одного из следующих типов улик:
|
Значение |
Необходимо указать объект, с которым будет производиться работа: IP-адрес, домен, и т.п. |
Тип атаки |
Для указания доступны следующие типы атаки:
|
TLP |
Отображена маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки:
|
Индикатор компроментации? |
Чекбокс необходимо отметить, если объект является потенциальным индикатором компроментации. |
Сервисы |
Отображён список сервисов, которые используются для получения дополнительной информации об объектах наблюдения. Список сервисов отображается автоматически после выбора типа улики. Список сервисов доступен в разделе Настройки ➜ Библиотеки ➜ Внешние сервисы обогащений. Подробнее читайте в разделе Внешние сервисы обогащений. |
Обновлено |
Показаны дата и время последнего обновления сервиса. |
С использованием соответствующих кнопок Редактировать и Удалить улики можно редактировать или удалять.
В разделе Активность можно просмотреть комментарии по инциденту и историю внесения изменений (добавление наблюдателей, изменение статуса рабочего процесса и т.д.).
С использованием кнопки Создать отчёт можно создать отчёт об инциденте:
Incident report: пользовательский отчёт, который может быть создан на английском или русском языках в формате PDF или HTML. При создании отчёта возможно использование шаблонов, список которых доступен в разделе Журналы и отчёты ➜ Отчёты инцидентов ➜ Правила отчётов инцидентов.
GOSSOPKA report: для создание отчёта используется шаблон Форма для ГОССОПКА, который соответствует требованиям к отчётам ГОССОПКА. Отчёт можно просто скачать (кнопка Создать файл) или сразу сформировать в требуемом формате и отправить в систему личных кабинетов ГОССОПКА (кнопка Послать через сеть). Для автоматической отправки отчёта пользователю необходимо предоставить учётную запись для входа в личный кабинет на сайте ГОССОПКА и защищённый канал передачи. Подробнее читайте в разделе Передача отчётов об инцидентах информационной безопасности в ГосСОПКА.
ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты.
В LogAn реализована возможность передачи отчётов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА.
Для отправки отчётов необходимо:
Самостоятельно подключиться к системе личных кабинетов ГосСОПКА.
Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Добавить криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА).
Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз).
Добавить DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА.
Для определения адреса системы личных кабинетов ГосСОПКА необходимо добавить серверы с адресами 10.0.100.49 и 10.0.100.50.
Настроить статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3.
Для обеспечения доступности серверов ГосСОПКА необходимо добавить статический маршрут с адресом назначения: 10.0.100.0/24. Подробнее о настройке маршрутов читайте в разделе Маршруты.
Настроить подключение к личному кабинету ГосСОПКА с LogAn для возможности отправки отчёта.
В LogAn по умолчанию создан коннектор Gossopka, предназначенный для взаимодействия с ГосСОПКА.
Для настройки коннектора перейдите во вкладку Настройки в раздел Сенсоры ➜ Коннектор. Используйте коннектор Gossopka, созданный в LogAn по умолчанию; необходимо указать: FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля), логин/пароль и ключ API, который добавляется в поле HTTP заголовки.
Настроить шаблон отчёта.
По молчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчётам. Заполните поля формы; данная форма будет использоваться при формировании отчёта.
Наименование |
Описание |
---|---|
Организация |
Название организации. |
Категория |
Категория уведомления:
|
Тип события ИБ |
Тип события информационной безопасности:
|
Статус реагирования на инцидент |
Статус реагирования на инцидент:
|
Необходимость привлечения сил ГосСОПКА |
Отметьте флаг в случае необходимости привлечения сил ГосСОПКА. |
Краткое описание события ИБ |
Описание события информационной безопасности. |
Сведения о средстве или способе выявления инцидента |
Информация о способе и устройстве/ПО, посредством которого был выявлен инцидент. |
Дата и время выявления инцидента |
Дата и время выявления инцидента заполняются автоматически. |
Дата и время завершения инцидента |
Дата и время завершения инцидента заполняются автоматически. |
Ограничительный маркер TLP |
Маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки:
|
Влияние на доступность |
Потенциальное влияние на доступность информационных ресурсов:
|
Влияние на целостность |
Потенциальное влияние на целостность ресурсов информационной системы:
|
Влияние на конфиденциальность |
Потенциальное влияние на конфиденциальность (ограничение доступа к информационным ресурсам, разрешения доступа к системе только авторизованным пользователям, предотвращение раскрытия информации неуполномоченным лицам):
|
Краткое описание иной формы последствий компьютерного инцидента |
Описание последствий инцидента, кроме тех, что были указаны ранее. |
Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент |
Наименование контролируемого информационного ресурса объекта КИИ, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость. |
Информация о категорировании ОКИИ |
Присвоенная объекту КИИ категория значимости:
|
Сфера функционирования субъекта |
Сфера функционирования объекта КИИ (например, банковская сфера, здравоохранение и т.п.). |
Наличие подключения к сети Интернет |
Наличие подключения к сети Интернет:
|
Страна/регион |
Код в соответствии с ISO-3166-2. |
Населенный пункт или геокоординаты |
Название населённого пункта или его географические координаты. Географические координаты указываются в формате: широта — С.Ш, долгота - В.Д. |
Сформировать и отправить отчёт об инциденте информационной безопасности.
Формирование отчёта доступно во вкладке с подробностями об инциденте нажатием кнопки Создать отчёт ➜ GOSSOPKA report. Для отправки отчёта необходимо указать коннектор, настроенный ранее и нажать Послать через сеть.
Далее нужно заполнить необходимые поля формы (большинство поле заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажать ОК. В случае успешного соединения сервер UserGate Log Analyzer отправит отчёт на коннектор (в систему личных кабинетов ГосСОПКА).
Запись об отправке отчёта будет отображена в журнале событий LogAn.