- •Содержание
- •Общие положения
- •Наименование системы и общие положения
- •Назначение и цели создания системы
- •Область применения
- •Функционал
- •Предварительная разработка структуры входных и выходных
- •Входные данные
- •Выходные данные
- •Уточнение методов решения задачи
- •Корреляция и анализ событий безопасности
- •Применение
- •Автоматическое реагирование на инциденты
- •Применение
- •Шифрование и защита данных
- •Применение
- •Аутентификация и контроль доступа
- •Применение
- •Аналитика и отчетность
- •Применение
- •Разработка общего описания алгоритма решения задачи
- •Цель алгоритма
- •Шаги алгоритма
- •Взаимодействие подсистем
- •Разработка технико-экономического обоснования
- •Цель технико-экономического обоснования
- •Выгода для заказчика
- •Технические преимущества проекта
- •Список ипользуемых источников
Выходные данные
Статус обработки инцидента: зарегистрирован, подтверждён, в расследовании, обработан, устранён, эскалирован, отклонён как нерелевантное событие;
отчёт об инциденте: идентификатор инцидента, описание события, источник и категория угрозы, уровень критичности, временные метки, результаты корреляции, выполненные сценарии реагирования, действия специалистов и итог расследования;
аналитическая отчётность: статистика инцидентов, динамика выявленных угроз, показатели эффективности реагирования, аналитические сводки для оценки уровня защищённости, отчёты о тенденциях и повторяющихся типах атак;
отчёты для руководства: агрегированные данные по ключевым показателям эффективности (KPI) подсистем ИБ, суммарные показатели реагирования, визуализированные дашборды и аналитические презентации;
журналы регистрации: записи о действиях пользователей, событиях безопасности, попытках доступа, ходе выполнения сценариев реагирования, изменениях конфигурации и административных операций;
диагностические данные системы: журналы ошибок, результаты самодиагностики, сообщения о сбоях и данные о состоянии компонентов системы.
Уточнение методов решения задачи
Корреляция и анализ событий безопасности
Цель
Обеспечение своевременного выявления инцидентов информационной безопасности на основе автоматизированного анализа событий, поступающих из различных компонентов ИТ-инфраструктуры сервиса «Спиральный бустер».
Целью является обнаружение аномальной активности, попыток атак, нештатных действий пользователей и других нарушений, требующих реагирования, с минимизацией времени от возникновения события до фиксации инцидента.
Применение
Система получает события безопасности из серверов, сетевого оборудования, прикладных сервисов, рабочих станций, средств защиты информации и внешних источников телеметрии. Базовая подсистема (SIEM-функциональность) выполняет нормализацию поступающих данных, сопоставление событий между собой, анализ взаимосвязей и классификацию по уровням критичности.
На основе предустановленных и пользовательских правил корреляции подсистема выявляет отклонения и закономерности, формирует запись об инциденте, передаёт её в подсистему реагирования (SOAR) и обеспечивает передачу информации специалистам SOC для дальнейшего анализа и расследования.
Автоматическое реагирование на инциденты
Цель
Обеспечение оперативного устранения инцидентов информационной безопасности за счёт автоматизации действий по реагированию, минимизация времени воздействия угроз на инфраструктуру и снижение риска развития кибератаки.
Применение
Подсистема реагирования на инциденты автоматически выполняет предопределённые сценарии в зависимости от выявленного типа угрозы и критичности инцидента. Применяемые действия включают:
блокировку атакующих узлов, IP-адресов и сетевых соединений;
изоляцию скомпрометированных устройств и ограничение их сетевого трафика;
запуск процедур восстановления и проверки целостности данных;
уведомление ответственных специалистов службы ИБ и смежных подразделений;
передачу информации в систему регистрации инцидентов и создание задач в Service Desk;
сохранение результатов выполнения сценариев в журнале реагирования и передачу данных в подсистему отчётности.