Перейти к содержанию

Репутационные списки

Репутационные списки предназначены для обогащения событий данными. Репутационные списки можно сформировать указав индикаторы компрометации.

Индикатор компрометации это наблюдаемый в сети или на конкретном устройстве объект (или активность), который с большой долей вероятности указывает на несанкционированный доступ к системе (то есть её компрометацию).

В качестве индикатора компрометации в репутационных списках могут выступать следующие данные:

  • Домен-URL;
  • IP;
  • SSL хэш;
  • Хэш файл.

Репутационные списки делятся на системные и пользовательские. Системные создаются автоматически по результатам работы сервиса Ti.

Управление репутационными списками выполняется в разделе АдминистрированиеРепутационные списки. Пример раздела приведен на рисунке 1.

Рисунок 1 – Раздел "Репутационные списки". Вкладка "IP"

В разделе информация разделена по соответствующим вкладкам. В общем случае в разделе отображается следующая информация:

  • Домен, IP, SSL – индикатор компрометации. Отображаемый индикатор формируется в зависимости от выбранной вкладки;
  • Изменен – дата и время изменения сведений об индикаторе компрометации;
  • Истекает – дата и время устаревания индикатора компрометации. Например, если владелец сайта обнаруживает взлом и устраняет уязвимость, индикатор, который указывал на вредоносный домен неделю назад, может потерять свою актуальность;
  • Поставщик – наименование поставщика, который предоставляет сведения об индикаторе компрометации. Например, Alien Vault, Kaspersky (подробнее см. раздел Источники IOC). Если указано значение user, то это значит что индикатор добавлен пользователем;
  • Угроза – наименование угрозы;
  • Категория – наименование категории к которой относится угроза;
  • Уровень доверия – это рейтинг индикатора компрометации, который рассчитывается с учётом характеристик источника данных и самого индикатора. Также при определении уровня доверия к индикатору учитывается актуальность индикатора с течением времени;
  • Системный – добавлены ли сведения об индикаторе безопасности системой: да, нет;
  • URL (только для вкладки Домен) – адрес URL скомпрометированного домена;
  • Алгоритмы хэширования MD5, SHA1 , SHA256. (только для вкладки Хэш файл) – значение индикатора компрометации по соответствующему алгоритму хэширования.

Добавление индикатора компрометации "Домен-URL"

  1. Перейдите на вкладку "Домен-URL" и нажмите кнопку Добавить домен-URL. Откроется окно "Создание домена-URL" (см. рисунок 2)

    Рисунок 2 – Окно "Создание домена-URL"

  2. Укажите в окне следующую информацию:

    • в поле Домен укажите скомпрометированный домен;
    • в поле Угроза укажите наименование потенциальной угрозы, которая может возникнуть в результате компрометации домена;
    • в поле Категория укажите категорию к которой относится угроза;
    • в поле URL при необходимости включите переключатель Задать URL и укажите значение скомпрометированного URL домена.

  3. Нажмите кнопку Создать.

Добавление индикатора компрометации "IP"

  1. Перейдите на вкладку "IP" и нажмите кнопку Добавить IP. Откроется окно "Создание IP записи" (см. рисунок 3).

    Рисунок 3 – Окно "Создание IP записи"

  2. Укажите в окне следующую информацию:

    • в поле IP укажите скомпрометированный IP-адрес;
    • в поле Угроза укажите наименование потенциальной угрозы, которая может возникнуть в результате компрометации IP-адреса;
    • в поле Категория укажите категорию к которой относится угроза;
    • в поле Протокол укажите протокол соединения с IP-адресом;
    • в поле Порт при необходимости укажите конкретный порт, на котором произошла компрометация;
    • в поле Направление трафика из выпадающего списка выберите направление потока данных.

  3. Нажмите кнопку Создать.

Добавление индикатора компрометации "SSL хэш"

  1. Перейдите на вкладку "SSL хэш" и нажмите кнопку Добавить ssl-хэш. Откроется окно "Создание ssl-хэша" (см. рисунок 4).

    Рисунок 4 – Окно "Создание ssl-хэша"

  2. Укажите в окне следующую информацию:

    • в поле SSL укажите хэш значение скомпрометированного SSL-сертификата;
    • в поле Угроза укажите наименование потенциальной угрозы, которая может возникнуть в результате компрометации сертификата;
    • в поле Категория укажите категорию к которой относится угроза.

  3. Нажмите кнопку Создать.

Добавление индикатора компрометации "Хэш файл"

  1. Перейдите на вкладку "SSL хэш" и нажмите кнопку Добавить хэш файл. Откроется окно "Создать пользовательский файл" (см. рисунок 5).

    Рисунок 5 – Окно "Создать пользовательский файл"

  2. Укажите в окне следующую информацию:

    • в поле Угроза укажите наименование потенциальной угрозы, которая может возникнуть в результате компрометации файла;
    • в поле Категория укажите категорию к которой относится угроза.
    • в поле MD5 укажите хэш значение скомпрометированного файла по алгоритму "MD5";
    • в поле SHA1 укажите хэш значение скомпрометированного файла по алгоритму "SHA1";
    • в поле SHA256 укажите хэш значение скомпрометированного файла по алгоритму "SHA256";

  3. Нажмите кнопку Создать.

Удаление индикатора компрометации

  1. Перейдите на нужную вкладку: "Домен-URL", "IP", "SSL хэш", "Хэш файл".
  2. Выберите тип индикатора компрометации: системный или пользовательский.
  3. В строке нужного индикатора компрометации нажмите кнопку .
  4. Подтвердите удаление в открывшемся окне.