- •Содержание
- •Общие положения
- •Наименование системы и общие положения
- •Назначение и цели создания системы
- •Область применения
- •Функционал
- •Уточнение структуры входных и выходных данных
- •Входные данные
- •Данные о событиях безопасности
- •Данные об инцидентах
- •Данные пользователей системы
- •Служебные и интеграционные данные
- •Выходные данные
- •Статус инцидента
- •Отчёт об инциденте
- •Отчётность и аналитические данные
- •Информация о критических и подозрительных инцидентах
- •Методы решения задачи
- •Корреляция и анализ событий безопасности
- •Используемые технологии
- •Применение
- •Автоматическое реагирование на инциденты
- •Методы аутентификации
- •Применение
- •Шифрование и защита данных
- •Методы и инструменты
- •Применение
- •Аутентификация и контроль доступа
- •Методы и технологии
- •Применение
- •Аналитика и отчетность
- •Методы и инструменты
- •Применение
- •Разработка алгоритма решения задачи
- •Цель алгоритма
- •Общий принцип работы алгоритма
- •Взаимодействие подсистем
- •Определение формы представления входных и выходных данных
- •Определение семантики и синтаксиса языка
- •Семантика данных
- •Синтаксис данных
- •Примечания
- •Разработка структуры системы
- •Основные подсистемы и модули
- •Подсистема хранения данных
- •Подсистема авторизации
- •Базовая подсистема
- •Подсистема работы с документами
- •Подсистема шаблонов
- •Взаимодействие подсистем
- •Принципы построения структуры программы
- •Окончательное определение конфигурации технических средств
- •Серверное оборудование
- •Рабочие станции и устройства пользователей
- •Сетевое и коммуникационное оборудование
- •Программное обеспечение
- •Принципы построения конфигурации
- •Список ипользуемых источников
Информация о критических и подозрительных инцидентах
Содержание данных:
идентификатор инцидента, присвоенный системой при корреляции событий;
источник инцидента: сервер, сетевое устройство, рабочая станция, прикладной сервис или учётная запись пользователя (указано в структуре входных данных);
описание выявленного аномального поведения или признаков угрозы, зафиксированных подсистемой мониторинга;
временные метки, включая время обнаружения, фиксации и начала реагирования;
сетевые параметры: IP-адрес источника, сетевой порт, направление трафика;
уровень риска / критичности, определяемый правилами корреляции (низкий, средний, высокий, критический);
рекомендованные меры реагирования, включая автоматические сценарии SOAR и действия специалистов SOC.
Формат передачи:
структурированные данные, формируемые модулем анализа инцидентов;
передача информации между подсистемами через внутренние механизмы обмена АСУ «Бустсейв»;
сохранение данных в централизованной базе и их отображение в интерфейсах аналитики и мониторинга.
Назначение:
для операторов SOC – оперативное выявление критичных угроз, выполнение сценариев реагирования и контроль динамики инцидентов;
для аналитиков ИБ – анализ тенденций, корректировка правил корреляции, уточнение профилей угроз;
для руководства – оценка текущего уровня рисков, эффективности реагирования и общей ситуации по информационной безопасности.
Методы решения задачи
Корреляция и анализ событий безопасности
Цель
Обеспечение своевременного выявления инцидентов информационной безопасности на основе автоматизированного анализа событий, поступающих из различных компонентов ИТ-инфраструктуры.
Цель включает обнаружение аномалий, попыток атак, нештатных действий пользователей и иных событий, требующих реагирования, с минимальным временем от возникновения до фиксации инцидента.
Используемые технологии
Применение подсистемы мониторинга (SIEM-функциональность) внутри базовой подсистемы для централизованного сбора событий безопасности;
нормализация поступающих логов для приведения к единому формату;
корреляция событий по предустановленным и пользовательским правилам (описано в ЭП);
выявление аномальной активности и отклонений на основе сопоставления событий и их взаимосвязей;
формирование инцидентов на основе правил корреляции и критериев критичности.
Применение
Сбор событий с серверов, сетевого оборудования, рабочих станций, прикладных сервисов и средств защиты информации;
автоматическая классификация инцидентов по уровню критичности, источнику и типу угрозы;
формирование уведомлений о выявленных инцидентах и передача их в подсистему реагирования (SOAR-функциональность) внутри базовой подсистемы;
предоставление данных операторам SOC для анализа и дальнейшего расследования.
Автоматическое реагирование на инциденты
Цель
Сокращение времени реакции на угрозы и минимизация последствий инцидентов за счёт автоматизации действий по реагированию.
Подсистема обеспечивает выполнение стандартных и пользовательских сценариев, что уменьшает влияние атак на инфраструктуру и снижает нагрузку на операторов SOC.