НКЦКИ
Общая информация
Национальный координационный центр по компьютерным инцидентам обеспечивает координацию деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации.
Концепция ГосСОПКА появилась с целью защиты критической информационной инфраструктуры (КИИ) Российской Федерации.
Платформа Радар позволяет автоматизировать регистрацию выбранных инцидентов в ГосСОПКА.
Настройка интеграции
Перед началом отправки инцидентов в ГосСОПКА необходимо произвести настройку Платформы Радар:
- настроить сопоставление данных;
- проверить настройку API конструктора;
- настроить группы активов;
Настройка сопоставления данных
Для настройки сопоставления данных перейдите в меню Параметры - Сопоставление данных (см. рисунок 1).
Рисунок 1 -- Сопоставление данных
ГосСОПКА принимает инциденты в определенном формате с определенным набором полей. Все эти поля перечислены на странице.
Всего существует два вида полей:
- Предопределенные. В Платформе Радар такой тип поля называется Значение. Этот тип полей не сопоставляется, а указывается значение, выбранное из списка. Пример представлен на рисунке 2.
Рисунок 2 -- Выбор из списка для поля типа "Значение"
- Сопоставляемые. В Платформе Радар такой тип поля называется Сопоставление. Для такого типа полей значение Платформа Радар берет из инцидента и помещает в сопоставляемое поле автоматически. Пример представлен на рисунке 3.
Рисунок 3 -- Указание поля инцидента для типа "Сопоставление".
При поставке Платформы Радар все поля для интеграции с системой ГоссСОПКА уже настроены, однако при необходимости можно уточнить предопределенные поля.
API конструктор
Для перехода в API конструктор перейдите в меню Параметры - API конструктор (см. рисунок 4).
Рисунок 4 -- API конструктор
Здесь для настройки интеграции вам необходимо указать Токен для передачи инцидентов в систему ГосСОПКА.
Внимание! После сохранения Токен не будет отображаться в интерфейсе Платформы Радар.
Ниже показаны два метода передачи инцидентов: метод обновления статуса происшествия (см. рисунок 5) и метод отправки происшествия (см. рисунок 6).
Рисунок 5 -- Метод обновления статуса происшествия
Рисунок 6 -- Метод отправки происшествия
Настройка группы активов
К каждому инциденту привязан свой актив. А сами активы объединяются в группы. Для того, чтобы инциденты могли быть отправлены в систему ГосСОПКА, связанные активы должны входить в группы активов с установленным признаком КИИ (критическая информационная инфраструктура).
Убедитесь, что этот признак проставлен в группе активов. Для этого перейдите в меню Активы - Группы активов, найдите необходимую группу и кликните иконку редактирования (см. рисунок 7).
Рисунок 7 -- Редактирование группы активов.
В настройках группы активов проверьте наличие установленного признака напротив надписи "КИИ?" (см. рисунок 8).
Рисунок 8 -- Признак КИИ
Передача происшествий в ГосСОПКА
Передача происшествий в ГосСОПКА осуществляется в два этапа:
- Среди инцидентов выбирается необходимый для отправки в качестве происшествия в ГосСОПКА;
- Происшествие валидируется и отправляется в ГосСОПКА.
Выбор инцидента для отправки
Для выбора инцидента перейдите к инцидентам в меню Инциденты - Инциденты (см. рисунок 9).
Рисунок 9 -- Перечень инцидентов
В перечне найдите необходимый инцидент и кликните по его заголовку. В окне с инцидентом найдите блок "Происшествия".
Для отправки инцидента в качестве происшествия в ГосСОПКА (см. рисунок 10):
1. Установите признак "Выбрать для отправки";
2. В поле "НКЦКИ" выберите пункт ГосСОПКА;
3. Кликните на иконку "Зарегистрировать для отправки".
Рисунок 10 -- Регистрация происшествия на отправку
Настройка отправки инцидента в ГосСОПКА будет отображаться только у инцидентов, у которых связанный актив входит в группу активов с установленным признаком "КИИ".
Управление происшествиями на отправку
Для управления происшествиями перейдите в меню Инциденты - Происшествия на отправку (см. рисунок 11).
Рисунок 11 -- Происшествия на отправку
При клике на заголовок инцидента откроется подробная информация об инциденте (см. рисунок 10).
Кликните на иконку просмотра происшествия чтобы просмотреть подготовленное для отправки происшествие (см. рисунок 12).
Рисунок 12 -- Просмотр происшествия
Кликните на иконку отправки сообщения , при этом откроется окно проверки происшествия (см. рисунок 13).
Рисунок 13 -- Подтверждение сопоставления
В окне проверки происшествия отображается исходное происшествие и поля сопоставления. Нажмите кнопку "Проверить" для просмотра результирующего сообщения (см. рисунок 14).
Рисунок 14 -- Просмотр результата проверки
Поля могут быть не все сопоставлены, но это не мешает отправке данных в НКЦКИ. Если результат сопоставления удовлетворительный, нажмите кнопку "Отправить" для отправки сообщения.
После отправки иконка отправки сообщения изменится на иконку обновления статуса , а в происшествии будут указаны дата отправки, статус отправки, идентификатор происшествия, статус происшествия (см. рисунок 15).
Рисунок 15 -- Изменение статуса отправки
При клике на иконку обновления статуса статус происшествия будет обновлен.
Подробности обновления статуса можно получить, кликнув на иконку просмотра ответов (см. рисунок 16).
Рисунок 16 -- Просмотр ответов.