Инциденты

Общие данные

Платформа Радар предоставляет большой набор инструментов для автоматизации процессов сбора, обработки и корреляции событий информационной безопасности с целью выявления инцидентов ИБ и организации реагирования на них.

Событие информационной безопасности (information security event) – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инструменты по анализу событий информационной безопасности подробно рассмотрены в разделе События.

Инцидент информационной безопасности (information security incident) – появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

При работе с инцидентами ИБ платформа автоматизирует ряд процессов:

• Оценку событий ИБ и принятие решения: является ли данное событие инцидентом ИБ.
• Оповещение о возникновении инцидента ИБ и назначение инцидента оператору.
• Исследование инцидента и принятие решения по результатам исследования.

Инцидент всегда относится к активу, на котором он выявлен. Значимость актива в инфраструктуре напрямую влияет на оценку угрозы инцидента. Для оценки угрозы инцидента можно использовать несколько параметров:

Срочность. Значение складывается из уровня "значимости" актива, на котором был выявлен инцидент и уровня риска, присвоенному инциденту. На параметр также влияет сетевая видимость актива и то, на сколько инцидент был просрочен.

Уровень риска. Цифровое обозначение уровня угрозы, присвоенному инциденту.

В платформе инцидент принадлежит к одной из трех категорий:

• нарушение политики – это наступление условий, нарушающих политику безопасности эксплуатации актива (задуманную службой безопасности);
• сетевая аномалия – актив проявляет сетевую активность, которую проявлять не должен;
• уязвимость – у злоумышленника есть возможность получить контроль (полный или частичный) над активом.

Стадия обработки инцидента называется статус. В платформе используются следующие статусы инцидентов:

• ПР Новый – статус присваивается вне основного рабочего процесса, например для тестирования.  Инцидент в данном статусе виден только в интерфейсе администратора;
• Новый – статус присваивается когда инцидент был создан вручную или автоматически;
• Назначен – статус присваивается когда инцидент передали в работу конкретному пользователю или группе пользователей;
• В работе – статус присваивается когда пользователь, на которого назначили инцидент, начал расследование инцидента;
• Запрошена информация – обработка инцидента приостановлена, исполнителем была запрошена дополнительная информация;
• Ожидает проверки – для исправления инцидента применены контрмеры, требуется проверка со стороны компетентного лица;
• Риск принят – со стороны компетентного лица было принято решения отказаться от дальнейшего расследования инцидента;
• Закрыт – работы по расследованию инцидента завершены;
• Недействительный – инцидент был создан по ошибке, закрыт без разбора.

Процесс изменения стадии обработки инцидента приведен на рисунке 1.

Рисунок 1 – Процесс изменения статусов инцидентов

В платформе каждый инцидент всегда принадлежит к определенному типу инцидента. Типы инцидентов это сведения о уязвимости, нарушении политики, аномальной сетевой активности без привязки к активу (подробнее см. раздел Типы инцидентов).

Схожие инциденты можно объединить в группы, а их затем назначить пользователям. Это упрощает управление назначением инцидентов сотрудникам и позволяет выполнять массовые операции над инцидентами через группы (подробнее см. раздел Группы инцидентов).

Инциденты могут хранить любую дополнительную информацию, добавляемую к инцидентам как в процессе их создания правилами корреляции, так и в процессе расследования операторами (подробнее см. раздел Дополнительные поля).

Платформа Радар позволяет отправлять происшествия, выявленные в критической информационной инфраструктуре (КИИ) Российской Федерации, в национальный координационный центр по компьютерным инцидентам (подробнее см. раздел Происшествия на отправку).

Работа с инцидентами включает в себя следующие процессы:

1. Создание инцидента.
2. Просмотр инцидента.
3. Назначение инцидента.
4. Изменение статуса инцидента.
5. Добавление комментария к инциденту.
6. Выбор происшествий на отправку.
7. Редактирование инцидента.
8. Просмотр истории изменения инцидента.
9. Удаление инцидента.

Для работы с инцидентами ИБ перейдите в раздел Инциденты → Инциденты (см. рисунок 2).

Рисунок 2 – Раздел "Инциденты"

В разделе отображается следующая информация об инцидентах:

• Срочность;
• Уровень риска;
• Название – по ссылке произойдет переход на форму просмотра инцидента;
• Статус;
• Актив – по ссылке произойдет переход к форме просмотра актива;
• Тип инцидента – по ссылке произойдет переход к форме просмотра типа инцидента;
• Дата и время создания инцидента;
• Дата и время обновления информации об инциденте;
• Наименование группы, к которой относится инцидент.

Создание инцидента

Создание инцидента можно выполнить несколькими способами:

1. Вручную из раздела Инциденты.
2. При анализе событий ИБ (см. раздел События. Создание инцидента).
3. При анализе "сработок" правила корреляции (см. раздел Правила корреляции. Создание инцидента).

4. Автоматически, по результатам работы следующих механизмов:

   • работы правил корреляции (см. раздел Правила корреляции));
   • при работе со сканером уязвимостей (см. раздел Интеграция со сканерами уязвимостей);
   • при контроле установленного программного обеспечения (см. раздел Настройка контроля установленного программного обеспечения).

Для создания инцидента вручную выполните следующие действия:

1. Перейдите в раздел Инциденты → Инциденты и нажмите кнопку Создать. Откроется форма "Создание инцидента" (см. рисунок 3 и рисунок 4).

   

   Рисунок 3 – Создание инцидента. Общие сведения

   

   Рисунок 4 – Создание инцидента. Подробности по типу инцидента

2. Укажите на форме следующую информацию:

   • в поле Тип инцидента из выпадающего списка выберите тип, к которому относится инцидент. При выборе типа инцидента в поля формы будут автоматически добавлены данные из справочника "Типы инцидентов";
   • в поле Актив из выпадающего списка выберите устройство, на котором был обнаружен инцидент;
   • в поле Название инцидента укажите название инцидента;
   • в поле Уровень риска выберите цифровое обозначение уровня риска. Допустимые значения от 0 до 10;
   • в поле Категория выберите одну из категорий, в которую входит инцидент: нарушение политики, сетевая аномалия, уязвимость;
   • в случае, если сведения о происшествии инцидента планируется передать во внешнюю систему, то в поле Результат анализа необходимо указать соответствующие сведения (см. раздел Происшествия на отправку);
   • в поле Внутреннее примечание укажите дополнительные сведения об инциденте;
   • в поле Группа инцидентов из выпадающего списка выберите группу в которую следует добавить инцидент (см. раздел Группы инцидентов).

3. При необходимости в блоке Подробности по типу инцидента актуализируйте информацию о типе инцидента.

   Примечание: при изменении информации в данном блоке будет изменен соответствующий справочник в разделе Типы инцидентов.

4. Нажмите кнопку Создать.

Просмотр инцидента

Для просмотра и анализа инцидента нажмите по ссылке с наименованием инцидента. Откроется форма просмотра инцидента (см. рисунок 5).

Рисунок 5 – Форма просмотра инцидента

На форме просмотра инцидента информация сгруппирована по следующим блокам:

• Общая информация об инциденте.
• Актив – информация об активе, на котором обнаружен инцидент.
• Результат анализа – информация о результатах анализа инцидента. Данный блок отображается если данное поле было заполнено при создании инцидента.
• Происшествия – информация о происшествиях из которых состоит инцидент.
• История коммуникации в рамках расследования инцидента.

Общая информация об инциденте

Пример блока с общей информации об инциденте приведен на рисунке 6.

Рисунок 6 – Просмотр инцидента. Общая информация

В блоке отображается следующая информация:

• Название инцидента.
• Подробное описание инцидента.
• Цветовое и цифровое значение уровня риска.

• Источник – механизм, с помощью которого был создан инцидент:

  • Коррелятор – инцидент был создан на основе "сработки" правила корреляции;
  • Сканнер уязвимостей – инцидент был создан в результате работы сканнера уязвимостей;
  • Если источник не указан, это означает что инцидент был создан вручную;
  • Контроль ПО – инцидент был создан на основе "сработки" правила контроля установленного ПО.

  Информация, отображаемая в блоке "Источник" формируется в зависимости от механизма, с помощью которого был создан инцидент и может содержать следующую информацию:

  • Эксплуатируется удаленно (только для сканнера уязвимостей) – признак удаленной эксплуатации, возможные значение: да, нет;
  • Правило корреляции (только для коррелятора) – наименование правила, по "сработке" которого был создан инцидент. По ссылке произойдет переход на форму просмотра правила;
  • Количество повторных открытий инцидента;
  • Количество происшествий зарегистрированных в инциденте.

• Дата и время создания инцидента.

• Тип инцидента – по ссылке произойдет переход на форму просмотра типа инцидента.
• Последнее происшествие – дата и время последнего зарегистрированного происшествия.
• Информация о пользователях, которым назначен инцидент.
• Тип – категория, к которой относится инцидент: нарушение политики, сетевая аномалия, уязвимость.
• Дата и время повторного открытия.

Информация об активе

Пример блока с информацией об активе приведен на рисунке 7.

Рисунок 7 -- Просмотр инцидента. Информация об активе

В блоке отображается следующая информация:

• Цветовое и цифровое обозначение "значимости" актива.
• Название актива. По ссылке произойдет переход на форму просмотра актива.
• Тип актива.
• Название группы, к которой принадлежит актив. По ссылке произойдет переход на форму просмотра группы активов.

Информация о происшествиях

Пример блока с информацией о происшествиях приведен на рисунке 8.

Рисунок 8 -- Просмотр инцидента. Информация о происшествиях

В блоке отображается следующая информация:

• Уникальный идентификатор происшествия.
• Отправлено в НКЦКИ – признак отправки происшествия в национальный координационный центр по компьютерным инцидентам (подробнее см. раздел Происшествия на отправку).
• Дата и время начала и конца активности происшествия.

Для просмотра деталей происшествия нажмите на кнопку . Произойдет переход в раздел События с автоматически сформированным фильтром для отображения происшествия на графике потока событий.

Для просмотра события, в котором было зарегистрировано происшествие, нажмите на кнопку . Откроется окно "Результат события" (см. рисунок 9).

Рисунок 9 – Окно "Результат события"

Если инцидент был создан с помощью сканнера уязвимостей, то доступен просмотр данных об обнаруженной уязвимости. Для этого нажмите кнопку . Откроется окно "Данные по уязвимости" (см. рисунок 10).

Рисунок 10 – Окно "Данные по уязвимости"

История коммуникации

Пример блока с информацией об истории коммуникации приведен на рисунке 11.

Рисунок 11 -- Окно "Данные по уязвимости"

В блоке отображается следующая информация:

• Количество оставленных комментариев.
• Дата и время создания комментария.
• Содержание комментария.
• Список прикрепленных файлов.
• Пользователь, оставивший комментарий.

Для просмотра прикреплённых файлов нажмите на соответствующую ссылку.

Назначение инцидента

1. Перейдите на форму просмотра необходимого инцидента.

2. Нажмите на кнопку Назначить. Откроется окно "Назначить" (см. рисунок 12).

   

   Рисунок 12 – Окно "Данные по уязвимости"

3. Выполните в окне следующие действия:

   • выберите способ назначения: конкретному пользователю или группе пользователей;
   • из выпадающего списка выберите пользователя или группу пользователей;
   • нажмите кнопку Сохранить.

Изменение статуса инцидента

1. Перейдите на форму просмотра необходимого инцидента.
2. Нажмите на кнопку с текущим статусом инцидента и из выпадающего списка выберите доступный статус. Описание и возможные изменения статусов приведены в разделе Общая информация.

Добавление комментария к инциденту

1. Перейдите на форму просмотра необходимого инцидента.

2. В блоке История коммуникации нажмите на кнопку Добавить комментарий. Откроется окно "Добавить комментарий" (см. рисунок 13)

   

   Рисунок 13 – Окно "Добавить комментарий"

3. Выполните в окне следующие действия:

   • в поле Комментарий укажите необходимые сведения.
   • при необходимости прикрепите файл. Для этого нажмите на кнопку Прикрепить файл и в открывшемся окне укажите путь к файлу.
   • нажмите кнопку Добавить.

Выбор происшествий для отправки

1. Перейдите на форму просмотра необходимого инцидента.

2. В блоке Происшествия отметьте необходимые происшествия и нажмите кнопку Отправить в НКЦКИ (см. рисунок 14).

   

   Рисунок 14 – Выбор происшествий на отправку"

3. Выбранные происшествия отобразятся в разделе Инциденты → Происшествия на отправку на вкладке "ГосСОПКА" (подробнее см. раздел Отправка происшествий).

Редактирование инцидента

1. Перейдите на форму просмотра необходимого инцидента и нажмите кнопку Редактировать.
2. Внесите необходимые изменения.
3. При необходимости добавьте дополнительные поля в инцидент (подробнее см. раздел Дополнительные поля).
4. Сохраните изменения.

Просмотр истории изменения инцидента

Перейдите на форму просмотра необходимого инцидента, нажмите кнопку и из выпадающего списка выберите пункт История изменений. Откроется форма "История изменений" (см. рисунок 15).

Рисунок 15 – История изменений"

На форме отображается следующая информация:

• Действие – тип действия, выполненного над инцидентом: создание, изменение и т.д.;
• Время – дата и время выполнения действия над инцидентом;
• Сервис – название сервиса, через который было выполнено изменение;
• Кем изменен – уникальный идентификатор сервиса или пользователя выполнившего изменение;
• Детали – просмотр подробного журнала изменения инцидента.

Удаление инцидента

Удаление инцидента можно выполнить несколькими способами:

• Способ 1 – из раздела Инциденты;
• Способ 2 – из формы просмотра инцидента.

Способ 1:

1. Выберите один или несколько инцидентов, установив соответствующие флаги.
2. Нажмите кнопку Удалить.
3. Подтвердите удаление в открывшемся окне.
4. Для удаления всех инцидентов нажмите кнопку Удалить все.

Способ 2:

1. Перейдите на форму просмотра необходимого инцидента, нажмите кнопку и из выпадающего списка выберите пункт Удалить.
2. Подтвердите удаление в открывшемся окне.