- •Содержание
- •Общие положения
- •Наименование системы и общие положения
- •Назначение и цели создания системы
- •Область применения
- •Функционал
- •Уточнение структуры входных и выходных данных
- •Входные данные
- •Данные о событиях безопасности
- •Данные об инцидентах
- •Данные пользователей системы
- •Служебные и интеграционные данные
- •Выходные данные
- •Статус инцидента
- •Отчёт об инциденте
- •Отчётность и аналитические данные
- •Информация о критических и подозрительных инцидентах
- •Методы решения задачи
- •Корреляция и анализ событий безопасности
- •Используемые технологии
- •Применение
- •Автоматическое реагирование на инциденты
- •Методы аутентификации
- •Применение
- •Шифрование и защита данных
- •Методы и инструменты
- •Применение
- •Аутентификация и контроль доступа
- •Методы и технологии
- •Применение
- •Аналитика и отчетность
- •Методы и инструменты
- •Применение
- •Разработка алгоритма решения задачи
- •Цель алгоритма
- •Общий принцип работы алгоритма
- •Взаимодействие подсистем
- •Определение формы представления входных и выходных данных
- •Определение семантики и синтаксиса языка
- •Семантика данных
- •Синтаксис данных
- •Примечания
- •Разработка структуры системы
- •Основные подсистемы и модули
- •Подсистема хранения данных
- •Подсистема авторизации
- •Базовая подсистема
- •Подсистема работы с документами
- •Подсистема шаблонов
- •Взаимодействие подсистем
- •Принципы построения структуры программы
- •Окончательное определение конфигурации технических средств
- •Серверное оборудование
- •Рабочие станции и устройства пользователей
- •Сетевое и коммуникационное оборудование
- •Программное обеспечение
- •Принципы построения конфигурации
- •Список ипользуемых источников
Уточнение структуры входных и выходных данных
Входные данные
Данные о событиях безопасности
Типы данных:
события информационной безопасности, поступающие от серверов, сетевого оборудования, рабочих станций и прикладных сервисов;
телеметрия средств защиты, включая данные от SIEM, IDS/IPS, межсетевых экранов, антивирусных решений и средств контроля конечных точек;
зарегистрированные инциденты безопасности, содержащие временные метки, описание события, критичность, результаты корреляции и источник угрозы;
диагностические сообщения систем, включая события отказов сервисов, ошибки приложений, уведомления о сбоях и предупреждения;
данные попыток несанкционированного доступа, в том числе нарушения политик доступа, подозрительная активность и попытки атак из внешних источников.
Источник:
модуль мониторинга событий в составе базовой подсистемы;
сетевое оборудование (маршрутизаторы, коммутаторы, межсетевые экраны);
серверы и прикладные сервисы, генерирующие логи;
средства защиты информации (IDS/IPS, антивирусы, EDR/XDR, средства контроля целостности).
Формат передачи:
структурированные данные, поступающие в систему в виде нормализованных событий;
использование механизмов логирования и телеметрии систем защиты;
передача данных через защищённые каналы связи, используемые в инфраструктуре (VPN, защищённые соединения сервисов, внутренние протоколы обмена).
Обработка в системе:
сбор и нормализация событий, поступающих из различных источников;
фильтрация и корреляция данных, выявление аномалий, анализ взаимосвязей;
формирование инцидентов на основе предустановленных и пользовательских правил;
логирование и сохранение записей, включая события, инциденты, действия пользователей и результаты реагирования – с последующей передачей в подсистему отчётности.
Данные об инцидентах
Типы данных:
уникальный идентификатор инцидента, присваиваемый подсистемой мониторинга и корреляции;
категория и уровень критичности, определяемые правилами корреляции;
источник возникновения инцидента (сервер, сетевое оборудование, рабочая станция, прикладной сервис, пользователь);
временные метки, включающие время обнаружения события, момент формирования инцидента, время выполнения сценариев реагирования;
описание события, результаты анализа, предпринятые действия системы и сведения о дальнейших шагах специалистов;
история обработки – данные о выполненных сценариях, изменении статусов и результатах расследования.
Источник:
модуль обработки событий базовой подсистемы;
модуль реагирования базовой подсистемы;
модуль отчётности подсистемы работы с документами.
Формат:
структурированные записи, формируемые подсистемой мониторинга;
хранение данных в централизованной базе данных, поддерживающей транзакционность и целостность (из требований к БД в ТЗ);
совместимость формата с внутренними структурами БД и подсистем реагирования.
Обработка:
классификация и приоритезация инцидентов по критичности, категории и условиям корреляции;
передача данных в подсистему реагирования (SOAR) для исполнения автоматических сценариев;
обновление статусов инцидентов – «зарегистрирован», «в расследовании», «обработан», «устранён», «отклонён» (статусы указаны в ЭП);
логирование всех действий и передача структурированных данных в подсистему отчётности;
формирование итогового отчёта об инциденте, включающего анализ, действия и результат расследования.