Инциденты

В настоящем разделе представлено описание подраздела меню «Инциденты», предусматривающего механизм управления следующими функциями:

  • управление инцидентами;

  • экспорт инцидентов;

  • управление группами инцидентов.

В подразделе «Инциденты» отображаются инциденты, обнаруженные подключенными к ARMA MC устройствами.

Для перехода в подраздел меню на панели навигации необходимо выбрать раздел меню «Журналы», затем - подраздел «Инциденты» (см. Рисунок – Список инцидентов).

Рисунок – Список инцидентов

Подраздел меню позволяет просматривать инциденты в формате таблицы, состоящей из следующих столбцов:

  • «ID» - порядковый номер инцидента;

  • «Важность» - важность инцидента, определяется системой на основании сработавшего правила корреляции;

  • «Дата создания» - время и дата создания инцидента;

  • «Наименование» - наименование инцидента, определяется системой на основании сработавшего правила корреляции;

  • «IP адрес» - IP адрес получателя;

  • «Статус» - статус инцидента для расследования офицером ИБ;

  • «События» - количество событий, на основании которых был создан инцидент;

  • «Группы» - группа, в которую определён инцидент. Группы назначаются пользователем и используются для удобства фильтрации;

  • «Назначен» - имя пользователя, на которого назначен инцидент для расследования;

  • «Описание» - описание инцидента, определяется системой на основании сработавшего правила корреляции;

  • «Обновление» - время и дата обновления инцидента в карточке инцидента.

Подраздел меню позволяет настроить отображение столбцов таблицы. Для настройки отображения столбцов необходимо нажать кнопку «Настройка столбцов» и выбрать в выпадающем списке необходимые столбцы. По умолчанию в таблице отображаются все столбцы.

Порядок работы с информацией, представленной в формате таблицы описан в разделе Форма раздела меню. Таблица настоящего руководства.

Поиск и фильтрация

Блок фильтрации позволяет фильтровать инциденты по всем столбцам списка и по умолчанию состоит из следующих полей (см. Рисунок – Блок фильтрации):

  • «Поиск»;

  • «Важность»;

  • «Статус»;

  • «Группы»;

  • «Назначен»;

  • «Создание»;

  • «Обновление»;

  • кнопка «Сбросить фильтры».

Рисунок – Блок фильтрации

Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по столбцам «ID», «Наименование», «Группы» и «Назначен».

Фильтрация по полю «Важность» позволяет отфильтровать данные по важности инцидента. Поле «Важность» содержит выпадающий список и предоставляет выбор из следующих вариантов значений:

  • «Критическая» (90-100);

  • «Высокая» (70-89);

  • «Средняя» (40-69);

  • «Низкая» (1-39).

Фильтрация по полю «Статус» позволяет отфильтровать данные по статусу инцидента. Поле «Статус» содержит выпадающий список и предоставляет выбор из следующих вариантов значений:

  • «Назначен» - расследование инцидента назначено на конкретного пользователя;

  • «Отложен» - расследование инцидента отложено;

  • «Ложный» - расследование инцидента проведено, инцидент определён как ложный;

  • «Не назначен» - статус инцидента по умолчанию;

  • «Решен» - расследование инцидента проведено, инцидент решён.

Фильтрация по полю «Группы» позволяет отфильтровать данные по группам, в которые включены инциденты.

Фильтрация по полю «Назначен» позволяет отфильтровать данные по исполнителям, на которых назначены инциденты.

Фильтрация по полям «Создание» и «Обновление» позволяет отфильтровать данные по дате создания и обновления и включает в себя следующие поля:

  • «С» позволяет отфильтровать инциденты по дате создания/добавления и задаёт начальную дату диапазона. После ввода даты в таблице отобразятся лишь те инциденты, где «Дата» совпадает или больше введённой в фильтр.

  • «По» позволяет отфильтровать инциденты по дате создания/добавления и задаёт конечную дату диапазона. После ввода даты в таблице отобразятся лишь те инциденты, где «Дата» совпадает или меньше введённой в фильтр.

Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».

Просмотр подробной информации об инциденте

Для просмотра подробной информации об инциденте необходимо нажать на запись с необходимым инцидентом, в результате будет отображена карточка «[Имя инцидента]» (см. Рисунок – Карточка инцидента). Данные в карточке невозможно отредактировать.

Рисунок – Карточка инцидента

При нажатии кнопки «bttn.expnd» карточка инцидента откроется в полноразмерном режиме. Карточка содержит подробную информацию об инциденте и включает следующие блоки (см. Рисунок – Полноразмерная карточка инцидента):

  • «Основные»;

  • «Детали»;

  • «Рекомендации»;

  • «Последствия»;

  • «События».

Рисунок – Полноразмерная карточка инцидента

Блок «Основные» позволяет выполнить следующие действия:

  • ознакомиться с информацией о наименовании, дате создания и важности инцидента;

  • назначить крайний срок расследования инцидента;

  • добавить инцидент в существующую группу или создать новую группу для инцидента;

  • изменить/добавить описание инцидента.

Блок «Детали» позволяет выполнить следующие действия:

  • назначить инциденту статус;

  • назначить пользователя для работы с инцидентом.

Блок «Рекомендации» позволяет ознакомиться с информацией о рекомендациях по работе с инцидентом.

Блок «Последствия» позволяет ознакомиться с информацией о последствиях инцидента.

Блок «События» отображает связанные с инцидентом события в табличной форме со следующими столбцами:

  • «Дата»;

  • «Сообщение»;

  • «Источник»;

  • «Сигнатура»;

  • «Критичность»;

  • «Категория»;

  • «IP получателя»;

  • «IP отправителя».

Управление инцидентами

В ARMA MC предусмотрены следующие шаги для работы с инцидентами:

  • назначение пользователя для решения инцидента, даты до которой данный инцидент необходимо решить, изменение статуса инцидента;

  • пользователь, назначенный для решения инцидента, исходя из результата проведенного расследования, должен изменить статус инцидента, в случае положительного решения инцидента – отметить инцидент как решённый.

Назначение пользователя для решения инцидента

Для назначения пользователей для решения инцидента необходимо выполнить следующие действия:

  1. Открыть карточку инцидента «[Имя инцидента]».

  2. В поле параметра «Статус» выбрать значение «Назначен».

  3. В поле параметра «Назначен» выбрать пользователя, на которого будет назначен инцидент.

  4. Нажать кнопку «Сохранить» в правом верхнем углу карточки для сохранения изменений.

Внесение результата проведенного расследования

Для внесения результата проведенного расследования назначенному пользователю необходимо выполнить следующие действия:

  1. Открыть карточку инцидента «[Имя инцидента]».

  2. Изменить значение поля параметра «Статус».

  3. Нажать кнопку «Сохранить» в правом верхнем углу карточки для сохранения изменений.

Примечание

В случае положительного решения инцидента нажать кнопку «Решить» на панели инструментов для того, чтобы отметить инцидент как решённый.

Экспорт инцидентов

Существует возможность локально сохранить таблицу инцидентов. Для этого необходимо нажать кнопку «Экспорт» на панели инструментов (см. Рисунок – Список инцидентов).

Управление группами инцидентов

Существует возможность объединять инциденты в группы. Группы назначаются пользователем и используются для удобства фильтрации.

Добавление группы

Для добавления группы необходимо выполнить следующие действия (см. Рисунок – Добавление группы):

  1. На панели инструментов нажать кнопку «Группы».

  2. В открывшейся форме «Список групп» нажать кнопку «Добавить».

  3. В открывшемся окне указать значения в полях параметров «Наименование» и «Описание».

  4. Нажать кнопку «Сохранить».

Рисунок – Добавление группы

В случае успешного создания группы появится соответствующее уведомление (см. Рисунок – Успешное добавление группы).

Рисунок – Успешное добавление группы

Редактирование группы

Для редактирования группы необходимо выполнить следующие действия (см. Рисунок – Изменение группы):

  1. На панели инструментов нажать кнопку «Группы».

  2. В форме «Список групп» нажать на необходимую группу.

  3. В открывшемся окне отредактировать значения в полях параметров «Наименование» и/или «Описание».

  4. Нажать кнопку «Изменить».

Рисунок – Изменение группы

В случае успешного редактирования группы появится соответствующее уведомление (см. Рисунок – Успешное изменение группы).

Рисунок – Успешное изменение группы

Удаление группы

Для удаления группы необходимо выполнить следующие действия (см. Рисунок – Удаление группы):

  1. В форме «Список групп» установить флажок в чек-боксе слева от значения «ID» необходимой группы или групп.

  2. Нажать кнопку «Удалить» на панели инструментов.

  3. В появившемся окне подтвердить удаление группы, нажав кнопку «Удалить».

Рисунок – Удаление группы

В случае успешного удаления группы появится соответствующее уведомление (см. Рисунок – Успешное удаление группы).

Рисунок – Успешное удаление группы

Формат сообщения об инциденте

Формат основного сообщения имеет следующий вид:

«<DateTime> <Host/IP> AMC: <MessageBody>»

где:

  • «<DateTime>» – дата и время получения сообщения;

  • «<Host/IP>» – хост или IP адрес отправителя;

  • «<MessageBody>» – тело сообщения.

Пример основного сообщения:

Dec 17 17:26:32 172.18.0.10 AMC: CEF:0|InfoWatch ARMA|ARMAMC|1.0.1|Incident|test|5|cnt=1 rt=1608216295000
cs1=1c5f4516-27cb4714-af79-9643f8c18022 cs1Label=IncidentID start=1608216259000 end=1608216259000
msg=<14>CEF:0|armaif|Suricata|2.0|429496728|suricataalert|8|unixdate\=1608216259 .676164 log_from\=suricata
cid\=28775 gid\=1 signature\=429496728 rev\=1 msg\=test classification\=null priority\=3 proto\=TCP
ip_src\=192.168.56.100 port_src\=80 ip_dst\=10.20.30.1 port_dst\=34568 mechanic\=IDS

Формат вложенного сообщения «cef»

Формат вложенного сообщения «cef» имеет следующий вид:

«CEF:<Version>|<Device Vendor>|<Device Product>|<Device Version>
|<Device Event Class ID>|<Name>|<Severity>|<Extension>»

где:

  • «<Version>» – версия «cef»;

  • «<Device Vendor>» – производитель источника логов, всегда InfoWatch ARMA;

  • «<Device Product>» – название продукта источника логов, ARMA MC;

  • «<Device Version>» – версия продукта источника логов;

  • «<Device Event Class ID>» – тип сообщения, всегда равен «Incident»;

  • «<Name>» – название инцидента;

  • «<Severity>» – серьезность инцидента от «0» до «10»;

  • «<Extension>» – дополнительные поля, представляющие собой пары ключ=значение, в значении допускаются пробелы:

    • «cnt» – количество событий, сформировавших инцидент;

    • «rt» – время создания инцидента в формате «unixtime» в миллисекундах, например, «1608216295000»;

    • «cs1» – уникальный идентификатор инцидента, например, «1c5f451627cb–4714–af79–9643f8c18022»;

    • «cs1Label» – описание того, что записывается в «cs1», всегда «IncidentID»;

    • «start» – время появления первого события для текущего инцидента в формате «unixtime» в миллисекундах, например, «1608216295000»;

    • «end» – время появления последнего события для текущего инцидента в формате «unixtime» в миллисекундах, например, «1608216295000»;

    • «msg» – описание инцидента, зависит от сформировавшего инцидент правила корреляции.

Применяется экранирование символов \ и = с помощью постановки символа \ перед ними.

Пример вложенного сообщения:

CEF:0|InfoWatch ARMA|ARMAMC|1.0.1|Incident|test|5|cnt=1rt=1608216295000
cs1=1c5f4516-27cb-4714-af79-9643f8c18022cs1Label=IncidentID start=1608216259000 end=1608216259000
msg=<14>CEF:0|armaif|Suricata|2.0|429496728|suricataalert|8|unixdate\=1608216259 .676164
log_from\=suricata cid\=28775 gid\=1 signature\=429496728 rev\=1 msg\=test classification\=null
priority\=3 proto\=TCP ip_src\=192.168.56.100 port_src\=80 ip_dst\=10.20.30.1 port_dst\=34568
mechanic\=IDS

В данном случае значение ключа «msg» в поле «Extension» представляет собой другое сообщение формата «cef»:

<14>CEF:0|armaif|Suricata|2.0|429496728|suricataalert|8|unixdate=1608 216259.676164
log_from=suricata cid=28775 gid=1 signature=429496728 rev=1 msg=test classification=null
priority=3 proto=TCP ip_src=192.168.56.100 port_src=80 ip_dst=10.20.30.1 port_dst=34568 mechanic=IDS