Документация

...

Общие сведения

Быстрый старт

Установка и обновление

Архитектура программного обеспечения UserGate

Особенности работы

Описание функций

Примеры настроек

Настройки сети

Удаленный доступ

Авторизация

Политики безопасности

Management Center

Log Analyzer, SIEM

Как настроить правила аналитики SIEM

Создание отчетов для передачи в ГосСОПКА

Взаимодействие со сторонними решениями

NGFW

DCFW

WAF

Management Center

Log Analyzer

SIEM

UserGate Client

Конвертеры конфигураций

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Создание отчетов для передачи в ГосСОПКА

ID статьи: 538

Последнее обновление: 15 окт, 2025

Product: SIEM

Version: 7.x

Technology: SIEM

ГосСОПКА – Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Целью создания ГосСОПКА является защита критической информационной инфраструктуры (КИИ), владельцы объектов которой должны подключиться к ГосСОПКА. Также к ГосСОПКА можно подключиться и на добровольной основе для обеспечения более высокого уровня информационной безопасности и улучшения методов выявления и реагирования на инциденты.

В UserGate SIEM реализована возможность передачи отчетов о компьютерных атаках, инцидентах и уязвимостях в стандартизированном формате через личный кабинет ГосСОПКА.

Для отправки отчетов:

Самостоятельно подключитесь к системе личных кабинетов ГосСОПКА.

Подключение необходимо для взаимодействия и автоматизации обмена информацией о зафиксированных инцидентах информационной безопасности и методах их предотвращения с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Добавьте криптографический шлюз для организации межсетевого взаимодействия с сетью НКЦКИ (Национальный координационный центр по компьютерным инцидентам; главный центр ГосСОПКА).

Для самостоятельного подключения к ГосСОПКА используются аппаратно-программные комплексы компаний Инфотекс (ViPNet), Код безопасности (Континент), С-Терра (С-Терра Шлюз).

Для этого во вкладке Настройки веб-интерфейса UserGate SIEM перейдите в раздел Сеть ➜ Шлюзы и нажмите Добавить. Далее укажите необходимые данные (название, описание, IP-адрес и т. п.).

Примечание Не указывайте криптографический шлюз в качестве шлюза по умолчанию.

Добавьте DNS-серверы для определения адреса системы личных кабинетов ГосСОПКА.

На вкладке Настройки перейдите в раздел Консоль администратора ➜ Настройки ➜ Системные DNS-серверы. Добавьте серверы с адресами 10.0.100.49 и 10.0.100.50.

Примечание В список системных DNS-серверов можно добавить не более трех серверов. Серверы ГосСОПКА не могут быть использованы для преобразования доменных имен в сети Интернет.

Настройте статический маршрут в сеть ГосСОПКА для обеспечения доступности DNS-серверов, указанных в пункте 3.

Добавление статических маршрутов производится во вкладке Настройки, раздел Сеть ➜ Маршруты. Нажмите Добавить и укажите следующие параметры:

Отметьте чекбокс Включено.
Название маршрута.
Описание (опционально).
Тип маршрута: unicast.
Адрес назначения: 10.0.100.0/24.
Шлюз: IP-адрес шлюза, через который доступна сеть.

Настройте подключение к личному кабинету ГосСОПКА с UserGate SIEM для возможности отправки отчета.

Для настройки коннектора перейдите на вкладку Настройки в раздел Сенсоры ➜ Коннекторы. Используйте коннектор Gossopka, созданный в UserGate SIEM по умолчанию. Необходимо указать:

FQDN личного кабинета, вместо указанного по умолчанию (значение по умолчанию отображает формат, в котором должно быть указано значение поля).
Логин и пароль.
Ключ API личного кабинета ГосСОПКА. Ключ API добавляется в поле HTTP заголовки.

Настройте шаблон отчета.

На вкладке Журналы и отчеты в разделе Отчеты инцидентов ➜ Шаблоны отчетов инцидентов по умолчанию создан шаблон Форма для ГОССОПКА, соответствующий требованиям ГосСОПКА к отчетам. Заполните поля формы, которые будут использоваться при формировании отчета.

Наименование	Описание
Организация	Название организации
Категория	Категория уведомления: Уведомление о компьютерном инциденте. Уведомление о компьютерной атаке. Уведомление о наличии уязвимости
Тип события ИБ	Тип события информационной безопасности: Вовлечение контролируемого ресурса в инфраструктуру ВПО. Замедление работы ресурса в результате DDoS-атаки. Заражение ВПО. Захват сетевого трафика. Использование контролируемого ресурса для фишинга. Компрометация учетной записи. Несанкционированное изменение информации. Несанкционированное разглашение информации. Публикация на ресурсе запрещенной законодательством РФ информации. Рассылка спам-сообщений с контролируемого ресурса. Успешная эксплуатация уязвимости
Статус реагирования на инцидент	Статус реагирования на инцидент: Меры приняты. Проводятся мероприятия по реагированию. Возобновлены мероприятия по реагированию
Необходимость привлечения сил ГосСОПКА	Отметьте чекбокс в случае необходимости привлечения сил ГосСОПКА
Краткое описание события ИБ	Описание события информационной безопасности
Сведения о средстве или способе выявления инцидента	Информация о способе и устройстве/ПО, посредством которого был выявлен инцидент
Дата и время выявления инцидента	Дата и время выявления инцидента заполняются автоматически
Дата и время завершения инцидента	Дата и время завершения инцидента заполняются автоматически
Ограничительный маркер TLP	Маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки: RED: информация является крайне конфиденциальной. AMBER: информацией можно поделиться в рамках своей организации, при условии, что этой информацией нужно поделиться. GREEN: информация может быть широко распространена в пределах определенного сообщества. WHITE: информация в свободном распространении, но не нарушает авторские права
Влияние на доступность	Потенциальное влияние на доступность информационных ресурсов: Отсутствует. Низкое. Высокое
Влияние на целостность	Потенциальное влияние на целостность ресурсов информационной системы: Отсутствует. Низкое. Высокое
Влияние на конфиденциальность	Потенциальное влияние на конфиденциальность (ограничение доступа к информационным ресурсам, разрешения доступа к системе только авторизованным пользователям, предотвращение раскрытия информации неуполномоченным лицам): Отсутствует. Низкое. Высокое
Краткое описание иной формы последствий компьютерного инцидента	Описание последствий инцидента, кроме тех, что были указаны ранее
Наименование контролируемого ресурса, на котором был выявлен компьютерный инцидент	Наименование контролируемого информационного ресурса объекта КИИ, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость
Информация о категорировании ОКИИ	Присвоенная объекту КИИ категория значимости: Информационный ресурс не является объектом КИИ. Объект КИИ без категории значимости (объект признан незначимым). Объект КИИ третьей категории значимости (самая низкая). Объект КИИ второй категории значимости. Объект КИИ первой категории значимости (самая высокая)
Сфера функционирования субъекта	Сфера функционирования объекта КИИ (например, банковская сфера, здравоохранение и т.п.)
Наличие подключения к сети Интернет	Наличие подключения к сети Интернет: Да. Нет
Страна/регион	Код в соответствии с ISO-3166-2
Населенный пункт или геокоординаты	Название населенного пункта или его географические координаты. Географические координаты указываются в формате: широта – С.Ш, долгота – В.Д

Сформируйте и отправьте отчет об инциденте информационной безопасности.

Чтобы сформировать отчет, перейдите на вкладку Инциденты. Выберите инцидент в списке, перейдите на вкладку с подробностями инцидента и нажмите Создать отчет ➜ GOSSOPKA report.

Для отправки отчета в систему личных кабинетов ГосСОПКА укажите коннектор, настроенный в пункте 5, и нажмите Послать через сеть.

Заполните необходимые поля формы (большинство заполнено в соответствии с шаблоном Форма для ГОССОПКА) и нажмите ОК. В случае успешного соединения UserGate SIEM отправит отчет через коннектор (в систему личных кабинетов ГосСОПКА).

Запись об отправке отчета будет отображена в журнале событий UserGate SIEM (вкладка Журналы и отчеты, раздел Журналы Log Analyzer ➜ Журнал событий).