Работа с базой знаний типов инцидентов

Общие данные о типах инцидентов

В рамках Платформы Радар каждый инцидент всегда принадлежит к определенному предустановленному типу инцидентов.

Раздел интерфейса "Типы инцидентов" предназначен для управления базой знаний по типам обрабатываемых инцидентов. Актуализация базы знаний является одной из приоритетных задач SOC.

Анализ типов инцидентов

Просмотр списка типов инцидентов

Полный табличный список типов инцидентов расположен в разделе: Инциденты - Типы инцидентов (см. рисунок 1).

Подробное описание табличного списка типов инцидентов и возможностей фильтрации списка приведены в разделе "Раздел "Инциденты". Подраздел "Типы инцидентов"".

Рисунок 1 -- Список типов инцидентов в разделе Инциденты - Типы инцидентов

Гиперссылки в строке типа обеспечивают просмотр следующей детальной информации:

• ID - содержит идентификатор типа произошедшего инцидента. Гиперссылка ведет на карточку типа инцидента с детальной информацией. Описание карточки типа инцидента приведено в разделе документа "Просмотр детализации типа инцидента. Карточка типа";
• Заголовок - содержит название типа инцидента. Гиперссылка ведет на карточку типа инцидента с детальной информацией . Описание карточки актива приведено в разделе документа "Просмотр детализации типа инцидента. Карточка инцидента";
• Кнопка редакирования ( ) - переводит на страницу редактирования параметров инцидента;
• Источник" - содержит пиктограммы, соответствующие тому или иному источнику данных. Если в поле установлена пиктограмма коррелятора ( ), то при при наведении на нее курсора откроется всплывающее окно "Связанные правила Logmule" с гиперссылкой на страницу с описанием правил коррелятора (см. рисунок 2). Переход на страницу с описанием правил корреляции возможен только при наличии у пользователя соответствующих прав.

Рисунок 2 -- Просмотр правил корреляции, связанных с типом иницдента

Просмотр детализации типа инцидента. Карточка типа

Общее описание карточки типа инцидента

Для просмотра детализации по интересующему типу инцидента необходимо:

1. Перейти в раздел Инциденты - Типы инцидентов;
2. В списке типов инцидентов щелкнуть по названию интересующего типа в поле "Заголовок" или "ID".

На экране откроется карточка типа инцидента, содержащая полный набор данных по выбранному типу (см. рисунок 3).

Рисунок 3 -- Детали по выбранному типу инцидентов

Карточка типа инцидента состоит из следующих информационных блоков:

• Сводная информация по типу - верхняя часть экрана;
• Блок описания - содержит информацию по происшествиям, зафиксированным в рамках одного инцидента;
• Блок рекомендаций - содержит различные рекомендации по данному типу угроз;
• Блок "Инциденты" - содержит текущий список инцидентов данного типа.

Блок сводной информации по типу инцидента

Блок сводной информации содержит следующие данные по типу инцидента (см. рисунок 3):

• Полное название инцидента в Платформе Радар - верхняя строка карточки;
• Оценка риска - оценка риска по умолчанию для инцидентов данного типа. Предлагается при создании инцидента и может быть изменена пользователем для отдельных инцидентов;
• Короткий ID - короткий идентификатор типа инцидента, устанавливаемый Платформой Радар;
• Соответствие ПО - флаг использовать/не_использовать тип для создания инцидентов при оценке соответствия ПО; .
• Обновлен - дата и время последнего обновления (создания) типа инцидента;
• Категория - категория типа инцидента. Возможно одно из следующих значений:
  • Нарушение политики - гиперссылка "policy_violation", открывает список инцидентов, относящихся к данной категории;
  • Сетевая аномалия - гиперссылка "network_anomaly", открывает список инцидентов, относящихся к данной категории;
  • Уязвимость - гиперссылка "policy_violation", открывает список инцидентов, относящихся к данной категории.

Помимо перечисленных параметров в блоке сводной информации присутствуют следующие функции:

• Редактировать - при нажатии на кнопку открывается страница редактирования параметров типа инцидента. Подробное описание редактирования приведено в разделе "Управление базой знаний типов инцидентов. Редактирование параметров типа инцидента";
• Написать сообщение - при нажатии на кнопку открывается стандартное окно Платформы Радар для создания и отправки сообщения. Подробное описание отправки сообщений приведено в разделе документа "Управление базой знаний типов инцидентов. Создание и отправка сообщений со ссылкой на тип инцидента".

Блок описания

Блок описания - это информационный блок, который содержит следующие поля (см. рисунок 4):

• Сводка - краткое описание действий, спровоцировавших инцидент;
• Описание - описание причины, по которой данные действия были причислены к разряду инцидентов.

Блок рекомендаций

Блок рекомендаций - это информационный блок, который содержит следующие поля (см. рисунок 4):

• Рекомендации по устранению угрозы - блок содержит набор рекомендаций по устранению угрозы.
• Последствия реализованной угрозы - блок содержит перечень последствий реализации угрозы.
• Рекомендации по уменьшению риска - блок содержит набор рекомендаций по уменьшению риска возникновения угрозы данного типа.

Текст в каждом из полей блока рекомендаций можно при необходимости скрыть или развернуть используя функцию ( ) в заголовке поля.

Рисунок 4 -- Описание угрозы и рекомендации по ее устранению на карточке типа инцидента

Блок "Инциденты"

Блок "Инциденты" содержит стандартный табличный инцидентов, состоящий только из инцидентов данного типа.

Полное описание табличного списка инцидентов приведено в разделе "Инциденты".

Подробное описание работы со списком инцидентов приведена в разделе "Работа с инцидентами".

Управление базой знаний типов инцидентов

Создание нового типа инцидента вручную

База знаний центра реагирования должна постоянно расширяться. Помимо получения постоянных обновлений со стороны разработчиков Платформы Радар существует возможность самостоятельного расширения базы знаний вручную.

Для создания нового типа инцидента необходимо:

1. Перейти в раздел Инциденты - Типы инцидентов;

2. Нажать на кнопку "Создать";

3. В открывшейся форме с параметрами типа инцидента заполнить соответствующие поля (см. рисунок 5):

   Подробное описание используемых при создании типа полей приведено в разделе "Просмотр детализации типа инцидента. Карточка типа".

4. Нажать на кнопку "Сохранить".

На экране откроется обновленный табличный список типов.

Рисунок 5 -- Форма для создания нового объекта "Тип инцидента"

Редактирование параметров типа инцидента

Доступ к функции редактирования

Внимание! Функция редактирования доступна пользователю только при наличии необходимых прав доступа.

Функция редактирования параметров типа инцидента доступна:

• на экране со списком типов : Инциденты - Типы инцидентов;
• на карточке инцидента: Инциденты - Типы инцидентов - /щелкнуть по заголовку интересующего типа инцидента в списке/.

Перечень редактируемых параметров

В случае необходимости можно отредактировать такие параметры типа инцидента как:

• значение уровня риска (Оценка риска) по умолчанию для типа инцидента;
• Имя типа инцидента в Платформе Радар;
• поменять Категорию угрозы для данного типа инцидента;
• поменять статус "Использовать тип для создания инцидентов при оценке соответствия ПО?";
• параметры описания типа инцидента, такие как:
  • Сводка - краткое описание действий, спровоцировавших инцидент;
  • Описание угрозы - описание причины, по которой данные действия были причислены к разряду инцидентов;
  • Рекомендации по устранению угрозы - набор рекомендаций по устранению угрозы;
  • Последствия реализованной угрозы - перечень последствий реализации угрозы;
  • Рекомендации по уменьшению риска - набор рекомендаций по уменьшению риска возникновения угрозы данного типа;
  • Внутреннее примечание;
  • Комментарий.

Проведение редактирования

Редактирование параметров типа инцидента необходимо в случае, если в описании типа есть неточности, выявленные аналитиком или у аналитика есть дополнительные сведения, требующие фиксации в контексте типа инцидента.

Для проведения редактирования необходимо:

1. Открыть окно редактирования одним из следующих способов:
2. Открыть список инцидентов Инциденты - Типы инцидентов, и нажать в строке типа, требующего модификации, на кнопку ;
3. Открыть карточку типа инцидента, требующего модификации Инциденты - Типы инцидентов -> /щелкнуть по заголовку интересующего типа в списке/, и нажать на кнопку "Редактировать", расположенную в блоке сводной информации карточки.
4. В открывшейся форме редактирования параметров типа инцидента внести необходимые изменения (см. рисунок 6);
5. Для сохранения изменений нажать на кнопку "Сохранить".

Рисунок 6 -- Окно редактирования выбранного типа инцидента

Создание и отправка сообщения со ссылкой на тип инцидента

При работе с базой знаний пользователь может отправить текстовое сообщение другому пользователю Платформы Радар. Для этого необходимо:

1. Открыть карточку типа инцидента: Инциденты - Типы инцидентов -> /щелкнуть по заголовку интересующего типа в списке/;
2. Нажать на кнопку "Написать сообщение";
3. В открывшейся форме сообщения заполнить следующие поля:
   • Получатель - выбрать адресата из раскрывающегося списка пользователей Платформы Радар;
   • Заголовок - ввести заголовок сообщения;
   • Сообщение - ввести текст сообщения.
4. Нажать на кнопку "Отправить".

При отправке к сообщению будет автоматически прикреплена ссылка на данную карточку типа инцидента.

Отправленное из карточки типа сообщение отобразится в списке отправленных сообщений пользователя. Список отправленных сообщений пользователя расположен в профиле пользователя ( ), в разделе "Сообщения".

Подробное описание работы пользователя с сообщениями приведено в разделе документации "Работа с сообщениями".

Создание вручную инцидента указанного типа

На карточке типа под списком инцидентов данного типа расположена функция создания инцидента - кнопка "Создать инцидент" (см. раздел "Просмотр детализации типа инцидента. Карточка типа"). Данная функция позволяет создать вручную инцидент того типа, с карточки которого была активирована функция создания инцидента.

Полное описание создания приведено в разделе "Работа с инцидентами. Создание нового инцидента с карточки типа инцидента".