Создание отчётов для передачи в ГосСОПКА

ID статьи: 538

Последнее обновление: 15 янв, 2024

KnowledgeBase:

Product: LogAn

Version: 7.0.2

Technology: SIEM

ГосСОПКА – Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты.

В LogAn реализована возможность передачи отчётов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА.

Для отправки отчётов необходимо:

Самостоятельно подключиться к системе личных кабинетов ГосСОПКА.

Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Добавить криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА).

Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз).

Для этого во вкладке Настройки веб-интерфейса LogAn перейдите в раздел Сеть ➜ Шлюзы и нажмите Добавить. Далее укажите необходимые данные (название, описание, IP-адрес и т.п.).

Примечание Не указывайте криптографический шлюз в качестве шлюза по умолчанию.

Добавить DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА.

Во вкладке Настройки перейдите в раздел Консоль администратора ➜ Настройки ➜ Системные DNS-серверы. Добавьте серверы с адресами 10.0.100.49 и 10.0.100.50.

Примечание В список системных -серверов можно добавить не более трёх серверов. Серверы ГосСОПКА не могут быть использованы для преобразования доменных имён в сети Интернет.

Настроить статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3.

Добавление статических маршрутов производится во вкладке Настройки, раздел Сеть ➜ Маршруты. Нажмите Добавить и укажите данные:

Отметьте чекбокс Включено.
Название маршрута.
Описание (опционально).
Тип маршрута: unicast.
Адрес назначения: 10.0.100.0/24.
Шлюз: IP-адрес шлюза, через который доступна сеть.

Настроить подключение к личному кабинету ГосСОПКА с LogAn для возможности отправки отчёта.

Для настройки коннектора перейдите во вкладку Настройки в раздел Сенсоры ➜ Коннекторы. Используйте коннектор Gossopka, созданный в LogAn по умолчанию; необходимо указать:

FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля).
Логин/пароль.
Ключ API личного кабинета ГосСОПКА. Ключ API добавляется в поле HTTP заголовки.

Настроить шаблон отчёта.

Во вкладке Журналы и отчёты LogAn в разделе Отчёты инцидентов ➜ Шаблоны отчётов инцидентов по умолчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчётам. Заполните поля формы; данная форма будет использоваться при формировании отчёта.

Наименование	Описание
Организация	Название организации.
Категория	Категория уведомления: Уведомление о компьютерном инциденте. Уведомление о компьютерной атаке. Уведомление о наличии уязвимости.
Тип события ИБ	Тип события информационной безопасности: Вовлечение контролируемого ресурса в инфраструктуру ВПО. Замедление работы ресурса в результате DDoS-атаки. Заражение ВПО. Захват сетевого трафика. Использование контролируемого ресурса для фишинга. Компрометация учётной записи. Несанкционированное изменение информации. Несанкционированное разглашение информации. Публикация на ресурсе запрещённой законодательством РФ информации. Рассылка спам-сообщений с контролируемого ресурса. Успешная эксплуатация уязвимости.
Статус реагирования на инцидент	Статус реагирования на инцидент: Меры приняты. Проводятся мероприятия по реагированию. Возобновлены мероприятия по реагированию.
Необходимость привлечения сил ГосСОПКА	Отметьте чекбокс в случае необходимости привлечения сил ГосСОПКА.
Краткое описание события ИБ	Описание события информационной безопасности.
Сведения о средстве или способе выявления инцидента	Информация о способе и устройстве/ПО, посредством которого был выявлен инцидент.
Дата и время выявления инцидента	Дата и время выявления инцидента заполняются автоматически.
Дата и время завершения инцидента	Дата и время завершения инцидента заполняются автоматически.
Ограничительный маркер TLP	Маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки: RED: информация является крайне конфиденциальной. AMBER: информацией можно поделиться в рамках своей организации, при условии, что этой информацией нужно поделиться. GREEN: информация может быть широко распространена в пределах определённого сообщества. WHITE: информация в свободном распространении, но не нарушает авторские права.
Влияние на доступность	Потенциальное влияние на доступность информационных ресурсов: Отсутствует. Низкое. Высокое.
Влияние на целостность	Потенциальное влияние на целостность ресурсов информационной системы: Отсутствует. Низкое. Высокое.
Влияние на конфиденциальность	Потенциальное влияние на конфиденциальность (ограничение доступа к информационным ресурсам, разрешения доступа к системе только авторизованным пользователям, предотвращение раскрытия информации неуполномоченным лицам): Отсутствует. Низкое. Высокое.
Краткое описание иной формы последствий компьютерного инцидента	Описание последствий инцидента, кроме тех, что были указаны ранее.
Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент	Наименование контролируемого информационного ресурса объекта КИИ, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость.
Информация о категорировании ОКИИ	Присвоенная объекту КИИ категория значимости: Информационный ресурс не является объектом КИИ. Объект КИИ без категории значимости (объект признан незначимым). Объект КИИ третьей категории значимости (самая низкая). Объект КИИ второй категории значимости. Объект КИИ первой категории значимости (самая высокая).
Сфера функционирования субъекта	Сфера функционирования объекта КИИ (например, банковская сфера, здравоохранение и т.п.).
Наличие подключения к сети Интернет	Наличие подключения к сети Интернет: Да. Нет.
Страна/регион	Код в соответствии с ISO-3166-2.
Населенный пункт или геокоординаты	Название населённого пункта или его географические координаты. Географические координаты указываются в формате: широта – С.Ш, долгота – В.Д.

Сформировать и отправить отчёт об инциденте информационной безопасности.

Чтобы сформировать отчёт, перейдите во вкладку Инциденты. Выбрав в списке инцидентов необходимый, перейдите во вкладку с подробностями инцидента и нажмите Создать отчёт ➜ GOSSOPKA report.

Чтобы сформировать и отправить отчёт в систему личных кабинетов ГосСОПКА укажите коннектор, настроенный в пункте 5 и нажмите Послать через сеть.

Заполните необходимые поля формы (большинство заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажмите ОК. В случае успешного соединения сервер LogAn отправит отчёт на коннектор (в систему личных кабинетов ГосСОПКА).

Запись об отправке отчёта будет отображена в журнале событий LogAn (вкладка Журналы и отчёты раздел Журналы Log Analyzer ➜ Журнал событий).