Перейти к содержанию

Источники IOC

Источники IOC – это поставщики индикаторов компрометации, которые используются при работе репутационных списков.

Индикатор компрометации (IOC) является свидетельством того, что кто-то мог создать брешь в сети организации. Эти данные экспертизы не просто указывают на потенциальную угрозу. Они сигнализируют, что уже произошла атака, например проникновение вредоносных программ, компрометация учетных сведений или кража данных.

Индикаторами компрометации могут выступать, например, IP-адрес или доменное имя узла, на котором зарегистрирована подозрительная активность, хеш-сумма вредоносного файла.

Источники IOC собирают информацию об индикаторах компрометации из открытых баз данных, которые предоставляются такими компаниями как Alien Vault, Kaspersky и т.д. Затем передают полученные сведения в репутационные списки.

Источники IOC делятся на системные и пользовательские.

Системные источники IOC необходимы для корректной работы платформы, поэтому их нельзя изменить или удалить.

При настройке пользовательских источников IOC можно настроить формат сопоставления данных. Это необходимо для корректной передачи индикаторов компрометации в репутационные списки. Формат сопоставления может быть настроен как и для стандартной формы (обычно это CSV файл), так и для формы с дополнительными параметрами.

Поскольку базы данных постоянно обновляются, Платформа Радар позволяет настроить периодичность получения индикаторов компрометации.

Работа с источниками IOC включает в себя следующие процессы:

  1. Создание источника.
  2. Просмотр источника.
  3. Редактирование истопника.
  4. Изменение состояния источника IOC.
  5. Запуск и остановка источников IOC.
  6. Настройка периода запуска источников.
  7. Удаление источников.

Для работы с источниками IOC перейдите АдминистрированиеИсточники IOC (см. рисунок 1).

Рисунок 1 – Раздел "Источники IOC"

В разделе отображается следующая информация:

  • Название – наименование источника IOC в платформе;
  • Тип – тип источника компрометации. По умолчанию в платформе доступен тип "NET" (аномалии трафика);
  • Цель – потенциальная цель атаки: IP-адрес, доменное имя узла, хеш-сумма файла;
  • Шаблон – шаблон, по которому будут извлекаться данные из открытых баз данных и передаваться в репутационные списки;
  • Активность – состояние источника, которое показывает используется ли источник для передачи индикаторов компрометации в репутационные списки. Может принимать следующие значения: Активен, Не активен;
  • Системный – является ли источник системным: да, нет.

При работе с источниками IOC доступны следующие элементы управления:

Кнопка Действие
просмотр информации об источнике IOC
редактирование источника IOC
удаление источника IOC
запустить все активные источники для получения/обновления индикаторов компрометации
остановить получение/обновление индикаторов компрометации всеми активными источниками
Указать период настроить период автоматического запуска и остановки всех активных источников для получения/обновления индикаторов компрометации
Создать источник создание пользовательского источника IOC

Создание источника IOC

  1. Нажмите кнопку Создать. Откроется форма "Создать источник" (см. рисунок 2).

    Рисунок 2 – Форма "Создать источник"

  2. Укажите в окне информацию об источнике:

    • в поле Название укажите наименование источника в платформе. В разделе Репутационные списки наименование источника будет отображать в графе Поставщик;
    • установите переключатель Активность в положение "Включен" если необходимо использовать источник для передачи индикаторов компрометации в репутационные списки;
    • в поле Тип из выпадающего списка выберите тип источника IOC;
    • в поле Цель из выпадающего списка выберите потенциальную цель атаки;
    • в поле URL источника укажите адрес, на котором располагается база данных индикаторов компрометации;

    • в зависимости от указанной базы данных индикаторов компрометации, настройте параметры сопоставления данных при передачи в репутационные списки:

      • для стандартной формы (см. пункт 3);
      • для формы с дополнительными параметрами (см. пункт 4).

    • в поле Угроза укажите наименование потенциальной угрозы, которая может возникнуть в результате компрометации;

    • в поле Категория укажите категорию к которой относится угроза;
    • в поле Важность укажите числовой показатель важности угрозы. Данный показатель будет учитываться в процессе создания инцидента и будет влиять на показатель "срочность инцидента"

  3. Для стандартной формы исходника индикаторов компрометации укажите следующие данные:

    • в поле Разделитель из выпадающего списка выберите способ разделения колонок исходника;
    • в поле Шаблон укажите шаблон, по которому будут извлекаться значения из строки источника. Например шаблон ip - - - - - - будет означать, что будет извлекаться параметр IP-адрес из первой колонки.

  4. Для нестандартной формы исходника индикаторов компрометации в поле Форма выберите вариант "Форма с доп. параметрами". На форме создания источника IOC появятся дополнительные поля для заполнения (см. рисунок 3).

    Рисунок 3 – Форма "Создать источник". Настройка формы исходника с доп. параметрами

    Укажите на форме следующую информацию:

    • При необходимости укажите путь до исходника со списком значений индикатораов компрометации и соответствующий путь до значения в списке. Для этого активируйте соответствующие переключатели и укажите нужные пути;
    • Добавьте и укажите необходимо количество пар "Ключ-Значение" для сопоставления заголовков и параметров из списка значений индикаторов компрометации;

    • Добавьте и настройте необходимое количество условий сравнения для значений в списке:

      • в поле Путь до значения укажите путь до значения в списке значений индикаторов компрометации;
      • в поле Оператор сравнения выберите один из операторов, по которому будет выполняться сравнение: "равно", "не равно";
      • в поле Значение для сравнения укажите значение, с которым будет выполняться сравнение значения из списка.

  5. Нажмите кнопку Сохранить.

Просмотр источника IOC

Для просмотра источника IOC нажмите по ссылке с наименованием источника или кнопку в соответствующей строке (см. рисунок 4).

*Рисунок 4 – Форма "Просмотр источника IOC".

Набор данных, отображаемых на форме просмотра источника IOC, аналогичен данным, которые указываются при его создании.

Редактирование источника IOC

  1. В строке нужного источника IOC нажмите кнопку .
  2. Измените информацию об источнике IOC.
  3. Нажмите кнопку Сохранить.

Изменение состояния источника IOC

Состояние источника показывает используется ли источник для передачи индикаторов компрометации в репутационные списки. Может принимать следующие значения:

  • Активен – источник передает индикаторы компрометации в репутационные списки
  • Не активен – не передает.

Изменение состояния источника IOC можно выполнить следующими способами:

Способ 1. Используйте переключатель в графе Активен на основной странице раздела.

Способ 2. Используйте переключатель Активность на формах создания/редактирования источника IOC.

Запуск и остановка источников IOC

Процедура запуска источников IOC служит для получения/обновления индикаторов компрометации из исходников.

Для запуска процесса нажмите кнопку .

Для остановки процесса нажмите кнопку .

Текущее состояние процесса отображается на основной странице раздела над таблицей со списком источников IOC (см. рисунок 1).

Настройка периода запуска источников IOC

Чтобы не обновлять информацию об индикаторах компрометации вручную, платформа позволяет настроить периодичность запуска данного процесса.

Для этого выполните следующие действия:

  1. Нажмите кнопку Указать период. Откроется окно "Изменение периода запуска" (см. рисунок 5).

    Рисунок 5 – Окно "Изменение периода запуска"

  2. В окне укажите количество часов (от 1-го до 24-х), по истечении которых будет запускаться процесс получения/обновления источников компрометации.

  3. Нажмите кнопку Сохранить.

Удаление источников IOC

  1. В строке нужного источника нажмите кнопку .
  2. Подтвердите удаление в открывшемся окне.