Работа с инцидентами

Общие данные об инцидентах

Платформа Радар предназначена для автоматизации деятельности специалистов SOC. Обработка инцидентов ИБ является одним из ключевых процессов деятельности центра мониторинга.

Инцидент информационной безопасности (инцидент ИБ) - появление одного или нескольких нежелательных/неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операции и создания угрозы ИБ [ГОСТ Р ИСО/МЭК ТО 18044-2007].

Платформа Радар обрабатывает инциденты следующих категорий:

• Уязвимость (при интеграции со сканером уязвимостей) - дефект в исходном коде программного обеспечения или его конфигурации.

• Нарушение политики - действия, выявленные системой, идущие в разрез с политикой безопасности.

• Сетевая аномалия - сетевая активность, имеющая отклонения от нормы.

В рамках Платформы Радар инцидент всегда имеет определенный тип инцидента и привязку к активу, на котором он выявлен.

Выявление инцидентов (автоматическое создание инцидентов)

Механизмы выявления инцидентов

В рамках Платформы Радар реализованы следующие механизмы выявления инцидентов:

• правила корреляции -- подробное описание в разделе "Работа с правилами корреляции" ;
• данные об уязвимостях -- подробное описание в разделе "Интеграция со сканерами уязвимостей";
• создание инцидента вручную;
• контроль списка программного обеспечения -- подробное описание в разделе "Настройка контроля установленного программного обеспечения";

Присвоение статуса новым инцидентам

Новые инциденты могут быть созданы в следующих статусах:

• "Новый "-- инциденты видны во всех интерфейсах системы, используется для создания инцидентов в рамках штатной работы системы.

• "ПГ Новый" -- инцидент в данном статусе виден только в интерфейсе администратора, используется для создания инцидентов, требующих дополнительную проверку со стороны высококвалифицированного аналитика.

Происшествия

В Платформе Радар реализован механизм создания происшествий в рамках существующего инцидента без порождения нового, что значительно повышает эффективность работы специалистов по расследованию инцидентов.

Инцидент, у которого следующие атрибуты:

• тип инцидента;

• IP-адрес актива, на котором он обнаружен;

• TCP-порт (опционально);

• идентификатор, передаваемый из корреляции (опционально),

совпадают с соответствующими атрибутами существующего инцидента, регистрируется не как отдельный инцидент, а как происшествие в рамках существующего инцидента.

В случае, если происшествие добавляется в инцидент в статусе «Закрыт», то, в зависимости от настройки переоткрытия инцидента, инцидент будет переоткрыт или будет создан новый инцидент.

Создание инцидента вручную

Общие положения

Создание инцидента вручную может потребоваться в следующих случаях:

• инцидент выявлен аналитиком по результатам анализа данных актива, событий или иных источников информации;

• инцидент выявлен вне Платформы Радар и передан аналитику по внешнему каналу (электронная почта, телефон).

Доступ к функции создания нового инцидента вручную

Функция создания вручную нового инцидента доступна:

• на экране со списком инцидентов: "Инциденты"-> "Инциденты";
• на карточке типа инцидента: "Инциденты"-> "Типы инцидентов" -> /щелкнуть по заголовку интересующего типа в списке/.

Создание нового инцидента со страницы списка инцидентов

Для создания инцидента со страницы со списком инцидентов необходимо:

1. Перейти в раздел «Инциденты» ->«Инциденты».

2. Нажать на кнопку «Создать инцидент».

3. В открывшемся окне указать тип создаваемого инцидента, выбрав его из раскрывающегося списка "Тип инцидента" (см. рисунок 1).

   
   Рисунок 1 -- Выбор типа для создаваемого вручную инцидента

4. После выбора типа открывается форма со стандартными параметрами указанного типа инцидента (см. рисунок 2). Отредактировать стандартные значения полей, если это необходимо. Полное описание параметров типа инцидента приведено в разделе "Просмотр детализации типа инцидента. Карточка типа".

   
   Рисунок 2 -- Настройка параметров типа при создании нового инцидента

5. В области "Актив" указать IP-адрес актива на котором произошел инцидент и нажать кнопку "Поиск активов". Произойдет привязка создаваемого инцидента к активу. Если указанный актив уже существует, то появится область "Добавление к существующему активу" и кнопка "Сохранить" (см. рисунок 3). При отсутствии регистрации актива в Платформе Радар будет предложено создать актив. Алгоритм создания нового актива в Платформе Радар приведен ниже.

6. Для завершения создания инцидента в Платформе Радар нажать на кнопку "Сохранить".

Произойдет возврат к обновленному списку инцидентов на странице "Инциденты"->"Инциденты".

Рисунок 3 - Привязка нового инцидента к активу и сохранение созданного инцидента

При отсутствии в Платформе Радар данных об активе, будет предложено создать новый актив (см. рисунок 4). На экране откроется область "Создание нового актива". Для нового актива необходимо указать:

• Поле "Имя" - указать имя актива в Платформе Радар
• Поле "Тип" - тип или роль оборудования, к которому принадлежит актив.
• Функция "Значимость актива" - установка числового значения значимости актива (1-5), ;
• Функция "Сетевая видимость " - установка числового значения сетевой видимости актива (1-5);
• Поле "IP" - ввести IP-адрес актива.

Более подробное описание создания актива приведено в разделе "Управление активами. Создание актива".

Рисунок 4 -- Область с формой создания актива (при создании инцидента)

Создание нового инцидента с карточки типа инцидента

Для создания инцидента с карточки типа инцидента необходимо:

1. Перейти в раздел «"Инциденты"-> "Типы инцидентов" -> /щелкнуть по заголовку интересующего типа в списке/.

2. В открывшейся карточке типа в блоке со списком инцидентов данного типа нажать на кнопку «Создать инцидент».

На экране сразу откроется форма со стандартными параметрами того типа инцидента? с карточки которого была активирована функция создания инцидента. Дальнейшие шаги по созданию инцидента аналогичны шагам создания инцидента со страницы списка инцидента - см. предыдущий раздел "Создание нового инцидента со страницы списка инцидентов".

Привязка дополнительных событий вручную для анализа причины инцидента

При необходимости можно привязать к существующему инциденту дополнительные события, изначально не относящиеся к данному инциденту. Привязка осуществляется вручную. Цель привязки дополнительных событий к инциденту - обеспечить более точный анализ инцидента.

Для привязки события к инциденту необходимо выполнить следующие действия:

1. В веб-интерфейсе Платформы Радар перейти в раздел "Просмотр событий".

2. Открыть интересующее событие, щелкнув по значку - (см. рисунок 5).

   
   Рисунок 5 -- Открытие "сырых" данных события

3. Нажать кнопку Найти инцидент (см. рисунок 6).

   
   Рисунок 6 -- Функция поиска инцидента, которому может принадлежать данное событие

4. Если для данного события связанный с ним инцидент не будет найден, то Платформа Радар предложит (см. рисунок 7) либо вручную создать инцидент на основе данного события (кнопка Создать инцидент), либо добавить событие к существующему инциденту (кнопка Добавить к существующему).

   
   Рисунок 7 -- Результат работы функции Найти инциденты.

5. Нажать кнопку Добавить к существующему.

6. В открывшемся окне (см. рисунок 8):

   • выбрать подходящее правило корреляции для данного события;
   • найти инцидент, к которому необходимо привязать данное событие, по ссылке или ID или выбрать нужный инцидент из предложенного списка.

   
   Рисунок 8 -- Привязка события к инциденту

7. Для привязки события к инциденту нажать кнопку Сохранить.

Для того, чтобы проверить, что привязка события к инциденту произошла, нужно повторить шаги 1-3 приведенного выше алгоритма. По нажатию кнопки Найти инциденты откроется имя инцидента, к которому было привязано вручную событие (см. рисунок 9). По имени инцидента можно перейти на карточку инцидента для просмотра детализации. Описание карточки инцидента приведено в разделе документа "Анализ инцидента. Просмотр детализации инцидента. Карточка инцидента".

Рисунок 9 -- Просмотр списков инцидентов, к которым привязано событие

Привязка дополнительных полей

К любому инциденту можно добавить дополнительные поля вручную в карточке инцидента. Перечень дополнительных полей определяется в разделе "Раздел "Инциденты". Дополнительные поля". Для добавления дополнительного поля выберите инцидент и перейдите к его редактированию. В блоке "Дополнительные поля" (см. рисунок 10) выберите доступные дополнительные поля и задайте их значение.

Рисунок 10 -- Добавление дополнительных полей

После добавления дополнительных полей и задания их значений нажмите кнопку "Сохранить". Для удаления дополнительного поля из карточки инцидентов нажмите кнопку "Удалить поле". Для удаления всех дополнительных полей из краточник инцидентов нажмите кнопку "Удалить".

Анализ инцидента

Просмотр списка инцидентов

Основная цель этапа анализа - оценить степень риска для данного инцидента и необходимость проведения дальнейших действий по расследованию.

Полный табличный список инцидентов расположен в разделе: "Инциденты"-> "Инциденты" (см. рисунок 11).

Так же на карточке актива доступен список инцидентов, произошедших на данном активе: "Активы"-> "Активы"-> /щелкнуть по названию интересующего актива в списке/.

Рисунок 11 - Список инцидентов в разделе "Инциденты" -> "Инциденты"

Гиперссылки в строке инцидента обеспечивают просмотр следующей детальной информации:

• Поле "Тип инцидента" - содержит идентификатор типа произошедшего инцидента. Гиперссылка ведет на карточку типа инцидента с детальной информацией по данному типу. Описание карточки типа инцидента приведено в разделе "Просмотр детализации типа инцидента. Карточка типа".
• Поле "Актив" - содержит название актива, на котором произошел инцидент . Гиперссылка ведет на карточку актива с детальной информацией по данному активу. Описание карточки актива приведено в разделе "Работа с активами".
• Поле "Заголовок" - содержит название инцидента. Гиперссылка ведет на карточку инцидента с детальной информацией по данному инциденту. Описание карточки инцидента приведено в разделе документа "Анализ инцидента. Просмотр детализации инцидента. Карточка инцидента".
• Поле "Пользователь" () - содержит имя пользователя Платформы Радар, которому назначен данный инцидент для расследования. Гиперссылка ведет на страницу с краткой информацией по данному пользователю.
• Поле "Группа" () - содержит имя группы пользователей Платформы Радар, которой назначен данный инцидент для расследования. Гиперссылка ведет на страницу с краткой информацией о данной группе.
• Кнопка редактирования () - переводит на страницу редактирования параметров инцидента. Описание страницы редактирования приведено в разделе документа "Расследование инцидента. Редактирование параметров инцидента".

Просмотр детализации инцидента. Карточка инцидента

Общее описание карточки инцидента

Для просмотра детализации по интересующему инциденту необходимо:

1. Перейти в раздел "Инциденты"-> "Инциденты" .
2. В списке инцидентов щелкнуть по названию интересующего инцидента в поле "Заголовок" .

На экране откроется карточка инцидента, содержащая полный набор данных по инциденту (см. рисунок 12).

Рисунок 12 -- Карточка инцидента с детальной информацией по инциденту

Карточка инцидента состоит из следующих информационных блоков:

• Сводная информация по инциденту - верхняя часть экрана;
• Блок "Происшествия" - содержит информацию по происшествиям, зафиксированным в рамках одного инцидента.
• Блок "История" - история действий с инцидентом.

Блок сводной информации по инциденту

Блок сводной информации содержит следующие данные по инциденту:

• Сквозной идентификатор "ID" инцидента.
• "Количество происшествий" - количество происшествий, зафиксированных на текущий момент в рамках инцидента.
• "Количество повторных открытий" - количество повторных открытий инцидента.
• "Источник события" - указывается тип источника инцидента, например "Введен вручную".
• Данные актива на котором произошел инцидент:
  • "Название "- уникальное название актива в Платформе Радар. Реализовано в виде гиперссылки, которая ведет на карточку актива. Описание карточки актива приведено в разделе документа "Просмотр детализации. Карточка инцидента".
  • "Тип" - тип актива.
  • "Группы" - указываются одна или несколько групп, которым принадлежит данный актива.
  • "FQDN/ IP" - IP- адрес или FQDN актива. Реализован в виде гиперссылки, которая ведет на список сетевых интерфейсов актива.
  • "ОС" - операционная система, установленная на активе;

• Текущий статус инцидента - представляет собой функцию смены статуса в виде раскрывающегося список статусов (см. рисунок 13). Список содержит возможные варианты смены текущего статуса и позволяет поменять статус инцидента непосредственно на карточке инцидента.

  
  Рисунок 13 -- Функция смены статуса на карточке инцидента

• "Время происшествия" - время создания инцидента;

• "Ответственный" - представляет собой два раскрывающихся списка: список пользователей и список групп пользователей (см. рисунок 14). По умолчанию указывается текущий назначенный пользователь и/или группа пользователей, которым назначен данный инцидент для расследования. Списки в поле "Ответственный" позволяют переназначить инцидент другому пользователю или другой группе пользователей непосредственно на карточке инцидента.

  
  Рисунок 14 -- Функция переназначения инцидента другому ответственному пользователю или группе пользователей на карточке инцидента

• "Категория" - категория инцидента. Возможно одно из следующих значений: "Уязвимость", "Нарушение политики" или "Сетевая аномалия".

• "Тип инцидента" - указывается идентификатор типа, к которому относится данный инцидент. Реализовано в виде гиперссылки, которая ведет на карточку типа инцидента. Описание карточки типа инцидента приведено в разделе документа "Просмотр детализации типа инцидента. Карточка типа"
• В блоке сводной информации присутствует три типа оценок. Подробное описание работы с оценками приведено в разделе "Детализация оценок инцидента".

Помимо перечисленных параметров в блоке сводной информации присутствуют следующие функции:

• "Редактировать" - при нажатии на кнопку открывается страница редактирования параметров инцидента. Подробное описание редактирования приведено в разделе "Расследование инцидента. Редактирование параметров инцидента".
• "Написать сообщение" - при нажатии на кнопку открывается стандартное окно Платформы Радар для создания и отправки сообщения. Подробное описание отправки сообщений с карточки инцидента приведено в разделе документа "Расследование инцидента. Создание и отправка сообщения со ссылкой на инцидент".
• "Показать описание" - при нажатии на кнопку отрывается информационное окно, содержащее описание инцидента (см. рисунок 15). Описание содержит следующую информацию:
  • "Сводка" - описание действия, вызвавшего инцидент;
  • "Описание угрозы";
  • "Последствия реализованной угрозы";
  • "Рекомендации по устранению угрозы";
  • "Рекомендации по уменьшению риска".

Рисунок 15 -- Описание инцидента

Детализация оценок инцидента

На карточке инцидента указаны три типа оценок:

• Оценка срочности;
• Уровень риска (уровень значимости инцидента) инцидента;
• Уровень значимости актива.

Оценка срочности - верхний кружок с оценкой. Оценка срочности -- параметр, определяющий степень срочности необходимых мер по устранению инцидента. Параметр вычисляется автоматически на базе уровня риска указанного типа инцидента и значимости активов, на которых он обнаружен.

При наведении на кружок курсора мыши открывается список параметров, формирующих оценку срочности (см. рисунок 16).

Рисунок 16 -- Просмотр параметров, формирующих оценку срочности

Уровень риска (уровень значимости инцидента) - второй кружок сверху (см. рисунок 17). Определяет степень опасности данного типа инцидента для инфраструктуры. Значение уровня риска задается при создании типа инцидента в Платформе Радар. Оценивается по шкале от 0 до 10.

Рисунок 17 -- Уровень риска для инцидента

Уровень значимости актива - значимость актива, на котором произошел инцидент (см. рисунок 18). Оценивается числовыми значениями от 1 до 5.

Рисунок 18 -- Уровень значимости актива, на котором произошел инцидент

Блок информации "Происшествия". Общая информация

В данном блоке отображается текущий перечень происшествий, произошедших в рамках данного инцидента (см. рисунок 19). Для каждого происшествия отображаются следующие параметры:

• "Начало активности" - дата и время начала процессов происшествия;
• "Конец активности" - дата и время окончания процессов происшествия;
• "Отправлено в НКЦКИ" - статус отправки данных о происшествии в НКЦКИ (национальный координационный центр по компьютерным инцидентам) - отправлено/ не отправлено.

Рисунок 19 -- Информация о происшествиях на карточке инцидента

Особенности просмотра происшествий, обнаруженных правилами корреляции

Для происшествий, обнаруженных правилами корреляции, дополнительно выводится следующая информация:

• результаты анализа - данные, формируемые правилом корреляции как результат работы;

• событие - данные о событиях, вызвавших срабатывание правила (по кнопке Показать детали, см. рисунок 20); корреляции;

• уровень риска;

• правило корреляции, обнаружившее данное происшествие (по кнопке Перейти к правилу корреляции, см. рисунок 20);

• идентификатор, передаваемый из правила корреляции.

Рисунок 20 - Информация о происшествиях на карточке инцидента, обнаруженного правилами корреляции

Для происшествий, обнаруженных правилами корреляции, доступен просмотр деталей события. При нажатии кнопки Показать детали откроется просмотр "сырого" события в котором можно уточнить детали происшествия (см. рисунок 21).

Рисунок 21 - Просмотр сырого события

Особенности просмотра происшествий, обнаруженных по результатам анализа данных сканера уязвимостей

Для происшествий, обнаруженных по результатам анализа данных сканера уязвимостей дополнительно выводится информация о плагине сканера уязвимостей, обнаружившего уязвимость:

• ID плагина;

• название плагина;

• порт;

• протокол;

• внешнее сканирование

• вектор CVSS;

• CVSS Temporal Vector;

• CVSS Base Score;

• CVSS Temporal Score;

• фактор риска;

• дата изменения плагина;

• дата публикации.

Блок информации "История"

В данном блоке отображается история изменения статуса данного инцидента. Для каждой смены статуса отображается (см. рисунок 22):

• на какой статус изменен;
• дата и время изменения;
• пользователь, изменивший статус.

Помимо уведомлений о смене статуса в истории отображаются комментарии пользователя к смене того или иного статуса.

Рисунок 22 -- История изменений статуса инцидента

Для добавления комментария при смене статуса необходимо:

1. Ввести комментарий в поле "Текст комментария".
2. При необходимости приложить к комментарию файл с данными, например график или текстовый файл. Для выбора добавляемого файла используется стандартная функция "Обзор".
3. Нажать на кнопку "Добавить комментарий".

Введенный текст отобразится в истории с указанием действия "Комментарий" (см. рисунок 23). Если к комментарию был добавлен файл, то в комментарии перед текстом комментария отобразится гиперссылка с именем файла.

Рисунок 23 -- Комментарий с добавленным файлом

Расследование инцидента

Алгоритм смены статусов при расследовании инцидента

В ходе расследования инцидент проходит ряд статусов (см. рисунок 24), имеющих следующую смысловую нагрузку:

• ПР Новый - статус используется вне основного рабочего процесса, например для тестирования. (Deprecated)
• Новый - инцидент находится в открытом состоянии в очереди на разбор.
• В работе - по инциденту ведутся работы.
• Запрошена информация - Обработка инцидента приостановлена, была запрошена дополнительная информация.
• Ожидает проверки - Для исправления инцидента применены контрмеры, требуется проверка со стороны компетентного лица.
• Риск принят - со стороны компетентного лица было принято решения отказаться от дальнейшего расследования инцидента.
• Закрыт - работы по расследованию инцидента завершены.
• Недействительный - инцидент был создан по ошибке, закрыт без разбора.

Рисунок 24 -- Алгоритм смены статусов при расследовании инцидентов

В ходе расследования пользователь Платформы Радар выполняет следующие действия над инцидентом:

• изменение статуса инцидента;
• назначение ответственных;
• редактирование параметров инцидента, включая удаление инцидента при необходимости;
• создание сообщений в контексте инцидента.

Изменение статуса инцидента

Доступ к функции смены статуса

Изменение статуса производится при завершении определенной стадии работы над инцидентом. Функция смены статуса находится:

• на экране со списком инцидентов: "Инциденты"-> "Инциденты";
• на карточке инцидента: "Инциденты"-> "Инциденты" -> /щелкнуть по заголовку интересующего инцидента в списке/.

Изменение статуса инцидента/инцидентов в списке инцидентов

Внимание! Функция смены статуса на данной станице доступна пользователю только при наличии необходимых прав.

Для изменения статуса инцидента или группы инцидентов требуется:

1. Открыть список инцидентов: "Инциденты"-> "Инциденты".
2. Выделить флажками одну или несколько строк инцидентов, чей статус необходимо изменить (см. рисунок 25).
3. Раскрыть список статусов и выбрать в нем новый статус (см. рисунок 25).

При выборе нового статуса происходит запуск автоматического обновления страницы списка. По завершению обновления выбранные инциденты должны отобразится с новым статусом.

Рисунок 25 -- Смена статуса инцидентов на странице списка инцидентов

Изменение статуса инцидента на карточке инцидента

Для изменения статуса инцидента через карточку инцидента требуется:

1. Открыть карточку инцидента: "Инциденты"-> "Инциденты" -> /щелкнуть по заголовку интересующего инцидента в списке/.

2. Раскрыть список статусов и выбрать в нем новый статус (см. рисунок 26).

   Список будет содержать только перечень статусов, доступных для смены текущего статуса согласно алгоритму смены статусов - см. раздел "Алгоритм смены статусов при расследовании инцидента".

При выборе нового статуса происходит запуск автоматического обновления статуса. Изменение статуса будет отображено в блоке информации "История". Описание работы с данным блоком приведено в разделе "Просмотр детализации инцидента. Карточка инцидента. Блок информации "История"".

При необходимости в блоке "История" пользователь может:

• Добавить текстовый комментарий к проведенной смене статуса. Например, указать причину смены статуса.
• В качестве комментариев добавить данные из внешних источников в виде прикрепленного файла. Например добавить картинку с графиком или таблицу с данными, которые повлияли на смену статуса.

Подробное описание работы с комментариями к смене статуса приведено в разделе "Просмотр детализации инцидента. Карточка инцидента. Блок информации "История"".

Рисунок 26 -- Смена статуса на карточке инцидента

Назначение инцидента ответственным

Доступ к функции выбора ответственных пользователей

Инцидент может быть назначен как отдельному пользователю, так и группе пользователей.

Изменение ответственного (группы ответственных) за инцидент производится пользователем при необходимости передать полномочия по ведению данного инцидента другому пользователю или группе пользователей.

Функции назначения ответственных находятся:

• на экране со списком инцидентов: "Инциденты"-> "Инциденты";
• на карточке инцидента: "Инциденты"-> "Инциденты" -> /щелкнуть по заголовку интересующего инцидента в списке/..

Назначение инцидента ответственным в списке инцидентов

Внимание! Функции назначения инцидента ответственным на данной станице доступна пользователю только при наличии необходимых прав.

Для назначения инцидента новому пользователю, ответственному за расследование, требуется:

1. Открыть список инцидентов: "Инциденты"-> "Инциденты".
2. Выделить флажками одну или несколько строк инцидентов, для которых необходимо сменить ответственного (см. Рисунок 27).
3. Для назначения инцидента новому ответственному выбрать на экране функцию "Назначить пользователю" -- станет доступным раскрывающийся список пользователей и кнопка "Назначить" (см. Рисунок 27).
4. Выбрать в списке нового пользователя и нажать кнопку "Назначить".

Произойдёт обновление списка и для выбранных инцидентов будет указан новый ответственный пользователь в поле "Пользователь" () .

Назначение одного или нескольких инцидентов группе пользователей проводится аналогично назначению отдельного пользователя. При этом выбирается функция "Назначить группе". Раскрывающийся список будет содержать текущий список групп. По нажатию на кнопку "Назначить "произойдёт обновление списка и для выбранных инцидентов будет указана новая ответственная группа пользователей в поле "Группа" ().

Рисунок 27 -- Выбор пользователя, ответственного за инцидент

Назначение ответственных на карточке инцидента

Для назначения инцидента новым ответственным через карточку инцидента требуется:

1. Открыть карточку инцидента: "Инциденты"-> "Инциденты" -> /щелкнуть по заголовку интересующего инцидента в списке/.

   На карточке для параметра "Ответственный" указаны в виде функциональных элементов:

   • текущий ответственный пользователь (функция слева) -- имя пользователя;
   • текущая ответственная группа (функция справа) -- имя группы.

   Если ни пользователь ни группа еще не назначены, то функциональные элементы будут иметь соответствующие подписи "Пользователь" и "Группа" (см. Рисунок 28).

2. Для назначения инцидента новому пользователю выбрать функцию (слева) с именем текущего ответственного пользователя -- станет доступным раскрывающийся список пользователей и кнопка "Назначить" (см. Рисунок 28).

3. Выбрать в списке нового пользователя и нажать на кнопку "Назначить".

Для параметра "Ответственный" будет указано имя нового ответственного за инцидент пользователя (на соответствующем функциональном элементе).

Назначение инцидента новой группе ответственных пользователей проводится аналогично назначению отдельного пользователя. Выбирается функция с названием текущей ответственной группы. Раскрывающийся список будет содержать текущий список групп.

Рисунок 28 -- Назначение ответственного или группы ответственных на карточке инцидента

Создание и отправка сообщения со ссылкой на инцидент

При проведении расследования инцидента пользователь может отправить текстовое сообщение другому пользователю Платформы Радар. Для этого необходимо:

1. Открыть карточку инцидента: "Инциденты"-> "Инциденты" -> /щелкнуть по заголовку интересующего инцидента в списке/.
2. Нажать на кнопку "Написать сообщение".
3. В открывшейся форме сообщения заполнить следующие поля:
   • "Получатель" - выбрать адресата из раскрывающегося списка пользователей Платформы Радар;
   • "Заголовок" - ввести заголовок сообщения;
   • "Сообщение" - ввести текст сообщения
4. Нажать на кнопку "Отправить".

При отправке к сообщению будет автоматически прикреплена ссылка на данную карточку инцидента.

Отправленное из карточки инцидента сообщение отобразится в списке отправленных сообщений пользователя. Список отправленных сообщений пользователя расположен в профиле пользователя (), в разделе "Сообщения".

Подробное описание работы пользователя с сообщениями приведено в разделе "Работа с сообщениями".

Редактирование параметров инцидента

Доступ к функции редактирования

Внимание! Функция редактирования доступна пользователю только при наличии необходимых прав доступа.

Функция редактирования параметров инцидента доступна:

• на экране со списком инцидентов: "Инциденты"-> "Инциденты";
• на карточке инцидента: "Инциденты"-> "Инциденты" -> /щелкнуть по заголовку интересующего инцидента в списке/.

Перечень редактируемых параметров

В случае необходимости можно отредактировать такие параметры инцидента как:

• значение уровня риска (уровень значимости) инцидента;
• имя инцидента в Платформе Радар;
• параметры описания инцидента, такие как:
  • "Сводка "-- описание действия, вызвавшего инцидент;
  • "Описание угрозы";
  • "Последствия реализованной угрозы";
  • "Рекомендации по устранению угрозы";
  • "Рекомендации по уменьшению риска";
  • "Внутреннее примечание".

Редактирование параметров инцидента

Редактирование параметров инцидента необходимо в случае, если в описании инцидента есть неточности, выявленные аналитиком или у аналитика есть дополнительные сведения, требующие фиксации в контексте инцидента.

Для проведения редактирования необходимо:

1. Открыть окно редактирования одним из следующих способов:
2. Открыть список инцидентов "Инциденты"->"Инциденты", и нажать в строке интересующего инцидента на кнопку .
3. Открыть карточку инцидента "Инциденты"-> "Инциденты" -> /щелкнуть по заголовку интересующего инцидента в списке/, и нажать на кнопку "Редактировать", расположенную в блоке сводной информации карточки
4. В открывшейся форме редактирования параметров инцидента внести необходимые изменения (см. рисунок 29).
5. Для сохранения изменений нажать на кнопку "Сохранить".

Рисунок 29 -- Окно редактирования параметров

Удаление инцидента

Внимание! Функция удаления доступна пользователю только при наличии необходимых прав доступа. Инцидент должен быть назначен данному пользователю рассмотрения.

Функция удаления доступна через окно редактирования параметров инцидента.

Для удаления инцидента с Платформы Радар необходимо:

1. Открыть окно редактирования одним из следующих способов:
   • Открыть список инцидентов "Инциденты"-> "Инциденты", и нажать в строке интересующего инцидента на кнопку .
   • Открыть карточку инцидента "Инциденты"-> "Инциденты" -> /щелкнуть по заголовку интересующего инцидента в списке/, и нажать на кнопку "Редактировать", расположенную в блоке сводной информации карточки
2. В открывшейся форме редактирования параметров инцидента нажать на кнопку "Удалить" (см. рисунок 29).
3. В открывшемся окне подтверждения удаления нажать на кнопку "Ок".

Произойдет автоматический переход к обновленному списку инцидентов.

Группировка инцидента

При формировании инцидента Платформа Радар позволяет поместить инцидент в группу. При этом система позволяет - Поместить инцидент в уже имеющуюся группу инцидентов - Создать новую группу, из правила корреляции - Поместить инцидент в группу в ручную

Группировка с использованием корреляций

Объединение инцидентов в группы можно с помощью правил корреляции.

Группа инцидентов указывается с использованием параметра incident_group при формировании инцидента (alert)

#####################################################################
rule_settings = {
    "risk_score": 6,
    "create_incident": True,
    "assign_to_customer": False,
    "template_name": 'template'
}                                                               
#####################################################################
print(rule_settings)


@log_connection.fetch("#.web_server.#")
def handle_logline(logline):
    #tab
    useragent=logline.get("initiator.http.user-agent.full")
    if 'openvas' in useragent.lower():
        alert(rule_settings["template_name"],
                 logline,
                 rule_settings["risk_score"],
                 {"ip": logline.target.host.ip[0]},
                 create_incident=rule_settings["create_incident"],
                 assign_to_customer=rule_settings["assign_to_customer"],
                 incident_identifier=logline.initiator.host.ip[0],
                 incident_group="test-group-1")

В качестве группы можно передавать как статическое значение, так и и значение поля из logline

#####################################################################
rule_settings = {
    "risk_score": 6,
    "create_incident": True,
    "assign_to_customer": False,
    "template_name": 'template'
}                                                               
#####################################################################
print(rule_settings)


@log_connection.fetch("#.web_server.#")
def handle_logline(logline):
    #tab
    useragent=logline.get("initiator.http.user-agent.full")
    if 'openvas' in useragent.lower():
        alert(rule_settings["template_name"],
                 logline,
                 rule_settings["risk_score"],
                 {"ip": logline.target.host.ip[0]},
                 create_incident=rule_settings["create_incident"],
                 assign_to_customer=rule_settings["assign_to_customer"],
                 incident_identifier=logline.initiator.host.ip[0],
                 incident_group=logline.target.host.ip[0])

Платформа Радар позволяет помещать в одну группу события от разных источников и типов.

#####################################################################
rule_settings = {
    "risk_score": 6,
    "create_incident": True,
    "assign_to_customer": False,
    "template_name": 'template_brut'
}                                                               
#####################################################################
print(rule_settings)

@log_connection.fetch("#.windows.os.#")
def handle_logline(logline):
         if logline.observer.event.id == "4776" and logline.observer.event.type == "security":
             print( logline.target.user.name )
             if logline.outcome.name == "failure":
                 alert(rule_settings["template_name"],
                 logline,
                 rule_settings["risk_score"],
                 {"fqdn": logline.observer.host.fqdn[0], "ip": logline.event.worker.ip},
                 create_incident=rule_settings["create_incident"],
                 assign_to_customer=rule_settings["assign_to_customer"],
                 incident_identifier=logline.observer.host.fqdn[0],
                 incident_group="test-group-1")

Ручное добавление в группу

Платформа Радар позволяет помещать инциденты как уже в созданные группы, так и в новые.

Для создания группы инцидентов переходим в раздел Инциденты - Группы инцидентов и нажимаем кнопку "Создать" (см. рисунок 30).

Рисунок 30 -- Создание группы инцидентов

В появившейся форме указываем Название группы При необходимости указываем Описание, Пользователя по умолчанию или Группу пользователей по умолчанию (см. рисунок 31).

Рисунок 31 - Параметры группы инцидентов

Для добавления инцидентов в группу, переходим в раздел Инциденты - **Инциденты **

Устанавливаем чек бокс, напротив инцидентов, которые необходимо объединить в группу. В правом верхнем угру, нажимаем на "Объединить в группу". В выпадающем списке выбираем необходимую группу. Нажимаем "Назначить группу" (см. рисунок 32).

Рисунок 32 -- Назначение группы

Для добавления инцидента в группу из инцидента открываем инцидент на редактирование (см. рисунок 33).

Рисунок 33 - Добавление инцидента в группу.

В разделе группа инцидентов выбираем необходимую группу из списка. Нажимаем "Сохранить" (см. рисунок 34).

Рисунок 34 -- Сохранение