- •Содержание
- •Общие положения
- •Наименование системы и общие положения
- •Назначение и цели создания системы
- •Область применения
- •Функционал
- •Уточнение структуры входных и выходных данных
- •Входные данные
- •Данные о событиях безопасности
- •Данные об инцидентах
- •Данные пользователей системы
- •Служебные и интеграционные данные
- •Выходные данные
- •Статус инцидента
- •Отчёт об инциденте
- •Отчётность и аналитические данные
- •Информация о критических и подозрительных инцидентах
- •Методы решения задачи
- •Корреляция и анализ событий безопасности
- •Используемые технологии
- •Применение
- •Автоматическое реагирование на инциденты
- •Методы аутентификации
- •Применение
- •Шифрование и защита данных
- •Методы и инструменты
- •Применение
- •Аутентификация и контроль доступа
- •Методы и технологии
- •Применение
- •Аналитика и отчетность
- •Методы и инструменты
- •Применение
- •Разработка алгоритма решения задачи
- •Цель алгоритма
- •Общий принцип работы алгоритма
- •Взаимодействие подсистем
- •Определение формы представления входных и выходных данных
- •Определение семантики и синтаксиса языка
- •Семантика данных
- •Синтаксис данных
- •Примечания
- •Разработка структуры системы
- •Основные подсистемы и модули
- •Подсистема хранения данных
- •Подсистема авторизации
- •Базовая подсистема
- •Подсистема работы с документами
- •Подсистема шаблонов
- •Взаимодействие подсистем
- •Принципы построения структуры программы
- •Окончательное определение конфигурации технических средств
- •Серверное оборудование
- •Рабочие станции и устройства пользователей
- •Сетевое и коммуникационное оборудование
- •Программное обеспечение
- •Принципы построения конфигурации
- •Список ипользуемых источников
Взаимодействие подсистем
Источники событий – серверы, сетевое оборудование, рабочие станции, прикладные сервисы и средства контроля – передают данные в базовую подсистему, где выполняется приём, нормализация и первичная обработка поступающей информации.
Базовая подсистема анализирует события, сопоставляет их между собой и определяет возможные отклонения. При выявлении признаков угрозы информация передаётся в подсистему шаблонов, которая выбирает подходящее правило или сценарий обработки.
На основании выбранного шаблона формируется инцидент. Данные инцидента – включая критичность, категорию и первичное описание – сохраняются в подсистеме хранения данных, где им присваивается уникальный идентификатор.
Далее базовая подсистема инициирует выполнение сценария обработки, описанного в шаблоне. Шаблон задаёт последовательность действий, которые должны быть выполнены системой или инициированы пользователем.
В процессе обработки подсистема хранения данных фиксирует результаты каждого действия, статусы, промежуточные этапы, а также информацию об участии пользователей.
По завершении обработки данные передаются в подсистему работы с документами, которая формирует отчёт, аналитику, показатели эффективности и визуальные материалы для отображения в пользовательском интерфейсе.
Сформированные отчёты и сопутствующие документы становятся доступны в базовой подсистеме для просмотра пользователями, а также для последующего анализа руководством, специалистами ИБ и техническими подразделениями.
Определение формы представления входных и выходных данных
Ниже представлена Таблица 1 – формат входных данных и Таблица 2 – формат выходных данных.
Таблица 1 – Формат входных данных
Тип данных |
Формат |
Подсистема |
События безопасности (логи серверов, сетевого оборудования, рабочих станций, приложений, средств защиты информации) |
Структурированные данные, передаваемые по защищённым каналам; возможные форматы файлов: .log, .dat |
Базовая подсистема (приём и предварительная обработка данных) |
Инциденты безопасности (ID, критичность, источник, время, описание, результаты корреляции) |
Структурированные записи, сохраняемые в БД; экспортируемые файлы: .json, .xml, .csv |
Подсистема хранения данных (регистрация и сохранение инцидентов) |
Данные пользователей (учётная запись, роль, подразделение, история действий) |
Записи в централизованной базе данных; возможные файлы экспорта: .csv, .json, .xml |
Подсистема авторизации (учётные записи, роли и доступ) |
Служебные данные (параметры интеграции, состояние модулей, диагностические журналы) |
Внутренние структурированные сообщения подсистем; файлы диагностики: .log, .cfg, .json, .xml |
Подсистема хранения данных + Базовая подсистема (служебные журналы, статусы) |
Таблица 2 – Формат выходных данных
Тип данных |
Формат |
Подсистема |
Статус инцидента (устранён / активен / в обработке / отклонён, уровень критичности) |
Структурированные данные; экспортируемые форматы: .json, .xml, .csv |
Базовая подсистема (обновление статусов), Подсистема хранения данных |
Отчёт об инциденте (ID, источник, описание, время, действия, результат) |
Форматы отчётности и документации: .pdf, .docx, .json, .html |
Подсистема работы с документами |
Сводная отчётность (количество инцидентов, MTTR, SLA, KPI, тенденции) |
Файлы отчётности: .xlsx, .csv, .pdf, .html |
Подсистема работы с документами |
Информация о критических и подозрительных инцидентах (ID, IP, время, уровень риска, рекомендации) |
Структурированные данные для автоматической обработки: .json, .xml; файлы анализа: .pdf, .xlsx |
Базовая подсистема (обработка данных), Подсистема работы с документами |
Примечания по формам представления данных:
Все входные и выходные данные передаются и хранятся с использованием защищённых каналов связи и протоколов обеспечения конфиденциальности и целостности (TLS, HTTPS, VPN).
При интеграции с корпоративными и внешними системами используются стандартизированные форматы обмена данными, такие как JSON, XML, CSV, обеспечивающие совместимость и автоматическую обработку.
Отчёты, аналитические материалы и служебная документация формируются в форматах PDF, DOCX, XLSX, что позволяет выполнять визуализацию, экспорт в BI-системы и передачу отчётных данных подразделениям ИБ и руководству.
Для целей внутреннего аудита, расследований и анализа в SOC предусмотрены форматы JSON и CSV, поддерживающие загрузку в систему мониторинга событий (SIEM) и аналитические инструменты.