Kaspersky Unified Monitoring and Analysis Platform

Взаимодействие с НКЦКИ

В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Условия взаимодействия с НКЦКИ

Для взаимодействия с НКЦКИ должны выполняться следующие условия:

Этапы взаимодействия с НКЦКИ

В KUMA экспорт и обработка инцидентов, экспортированных в НКЦКИ, проходит через следующие этапы:

  1. Создание инцидента и проверка его на соответствие требованиям НКЦКИ

    Вы можете создать инцидент или получить его из дочернего узла KUMA. Перед отправкой данных в НКЦКИ необходимо убедиться, что категория инцидента соответствует требованиям НКЦКИ

  2. Экспорт инцидента в НКЦКИ

    При успешном экспорте инцидента в НКЦКИ его параметр Экспорт в НКЦКИ принимает значение Экспортирован. В нижней части окна инцидента становится доступен раздел с чатом с сотрудниками НКЦКИ.

    В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ и в автоматических сообщениях чата.

    Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ. Параметры инцидента в таком статусе доступны для изменения, однако обновленные сведения невозможно передать из KUMA в НКЦКИ. Вы можете просмотреть разницу между данными об инциденте в KUMA и в НКЦКИ.

  3. Дополнение данных об инциденте

    Если сотрудникам НКЦКИ не хватает сведений для обработки инцидента, они могут присвоить ему статус Требуется дополнение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ. Пользователи уведомляются об изменении статуса.

    Если требуется, вы можете прикрепить к инциденту файл.

    Дополнение данных завершается повторным экспортом инцидента в НКЦКИ, при котором необходимо дополнить или изменить ранее отправленные сведения. Из родительского узла KUMA невозможно вносить изменения в инциденты дочерних узлов – это необходимо сделать сотрудникам дочернего узла KUMA.

    При успешном дополнении инцидента данными ему присваивается статус Проверка НКЦКИ.

  4. Завершение обработки инцидента

    Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ.

    При получении этого статуса инцидент в KUMA автоматически закрывается. Взаимодействие с НКЦКИ по данному инциденту через KUMA становится невозможным.

В этом разделе

Экспорт данных в НКЦКИ

Получение инцидентов от НКЦКИ

Дополнение данных об инциденте по запросу

Отправка файлов в НКЦКИ

Обмен сообщениями с сотрудниками НКЦКИ

Допустимые категории и типы инцидентов НКЦКИ

Уведомления об изменении статуса инцидента в НКЦКИ

В начало
[Topic 221855]

Экспорт данных в НКЦКИ

Чтобы экспортировать инцидент в НКЦКИ:

  1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, который вы хотите экспортировать.
  2. Нажмите в нижней части окна на кнопку Экспорт в НКЦКИ.
  3. Если вы не указали категорию и тип инцидента, укажите эти сведения в открывшемся окне и нажмите на кнопку Экспорт в НКЦКИ.

    Откроется окно с параметрами экспорта.
    Если вы указали категорию и тип инцидента в карточке инцидента, следует сохранить инцидент перед экспортом в НКЦКИ.

  4. Укажите параметры на вкладке Основные окна Экспорт в НКЦКИ:
  5. На вкладке Основные параметры, заполните обязательные поля:

    Название компании, Владелец актива, Категория инцидента, Тип инцидента, Описание, значение протокола TLP, Дата создания инцидента, Статус, Название информационной системы, Категория КИИ системы, Сфера деятельности компании, Местоположение.

    • Атомная энергетика
    • Банковская сфера и иные сферы финансового рынка
    • Горнодобывающая промышленность
    • Государственная/муниципальная власть
    • Здравоохранение
    • Металлургическая промышленность
    • Наука
    • Оборонная промышленность
    • Образование
    • Ракетно-космическая промышленность
    • Связь
    • СМИ
    • Топливно-энергетический комплекс
    • Транспорт
    • Химическая промышленность
    • Иная
    • WHITE – раскрытие не ограничено;
    • GREEN – раскрытие только для сообщества;
    • AMBER – раскрытие только для организаций;
    • RED – раскрытие только для круга лиц.
    • Если вы хотите предоставить информацию об утечке персональных данных, установите флажок Утечка ПД - вкладка Сведения об утечке ПД станет доступна для заполнения. По умолчанию флажок снят.

      Поля Наименование оператора, ИНН и Адрес оператора заполняются автоматически значениями, указанными при настройке интеграции с НКЦКИ. При этом значения полей доступны для редактирования при подготовке экспорта данных в НКЦКИ.

      Поля об утечке персональных данных доступны для категории Уведомление о компьютерном инциденте для следующих типов уведомлений:

      • Заражение ВПО
      • Компрометация учетной записи
      • Несанкционированное разглашение информации
      • Успешная эксплуатация уязвимости
      • Событие не связано с компьютерной атакой
    • Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

      С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например, MS Office), а в столбце Версия – версию программы (например, 2.4).

    • Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например, CVE-2020-1231.

      Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

    • Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например, Операционные системы Microsoft и их компоненты.

      Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

  6. При необходимости укажите параметры на вкладке Дополнительно окна Экспорт в НКЦКИ.

    Набор параметров на вкладке зависит от выбранных категории и типа инцидента:

    • Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например, KUMA 1.5.
    • Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощь сотрудников ГосСОПКА.
    • Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
    • Влияние на доступность – оцените степень последствий инцидента для доступности системы:
      • Высокое
      • Низкое
      • Отсутствует
    • Влияние на целостность – оцените степень последствий инцидента для целостности системы:
      • Высокое
      • Низкое
      • Отсутствует
    • Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
      • Высокое
      • Низкое
      • Отсутствует
    • Иные последствия – укажите иные значимые последствия инцидента.
    • Город – укажите город, в котором находится ваша организация.
  7. Если к инциденту прикреплены активы, можно указать их параметры на вкладке Технические данные.

    Эта вкладка становится активной, только если вы установили флажок Затронутая система имеет подключение к интернету.

    При необходимости изменить или дополнить сведения, ранее указанные на вкладке Технические данные, это следует делать в вашем личном кабинете ГосСОПКА, даже если сотрудники НКЦКИ запросили у вас дополнительные сведения и у вас есть возможность изменить экспортированный инцидент.

    Категории указываемых активов должны соответствовать категории затронутой КИИ системы.

  8. Нажмите Экспорт.
  9. Подтвердите экспорт.

Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Экспортирован. В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.

Изменить данные в экспортированном инциденте возможно, только если сотрудники НКЦКИ запросили у вас дополнительные сведения. Если дополнительные сведения запрошены не были, но вам требуется внести изменения в экспортированный инцидент, это следует делать в вашем личном кабинете ГосСОПКА.

После успешного экспорта инцидента в нижней части экрана отображается кнопка Сравнение инцидента KUMA с данными в НКЦКИ, при нажатии на которую открывается окно, где подсвечиваются различия в данных в инциденте между KUMA и НКЦКИ.

В начало
[Topic 243253]

Получение инцидентов от НКЦКИ

После обновления до версии 3.4.1 Ядро KUMA при каждом запуске отправляет запрос о наличии новых карточек инцидентов по адресу, указанному в поле URL в настройках интеграции KUMA с НКЦКИ, и затем продолжает отправлять запросы каждые 10 минут. Если в личном кабинете пользователя НКЦКИ появился новый инцидент, KUMA регистрирует инцидент с префиксом ALRT* и дальнейшее взаимодействие с НКЦКИ ведется уже в рамках созданного инцидента.

Взаимодействие с НКЦКИ доступно, даже если в KUMA инцидент переведен в статус Закрыт: вы можете менять значения в поле Статус НКЦКИ и вести чат с НКЦКИ.

Уведомления о сообщениях от НКЦКИ отправляются на электронную почту пользователей с ролью Главный администратор.

В новом инциденте поля будут заполнены таким же образом как указано в следующей таблице .

Значения полей в инциденте, полученном от НКЦКИ.

Название поля

Значение

Создан

При создании инцидента в KUMA автоматически указывается дата и время создания. Пример: 2024-10-08 05:32:39

Имя

Идентификатор или регистрационный номер инцидента (сообщения) в ГосСОПКА. Пример: ALRT-xx-xx-xxx

Тенант

Тенант, в котором будут созданы инциденты, полученные от НКЦКИ. По умолчанию все инциденты создаются в тенанте Main. Можно изменить тенант создания инцидентов в параметрах интеграции с НКЦКИ. Пример: Main.

Статус

Начальный статус инцидента KUMA. Пример: Открыт.

Уровень важности

Степень значимости потенциальной угрозы безопасности. Значение по умолчанию: Критический. Доступные значения: Критический, Высокий, Средний, Низкий.

Категории затронутых активов

Пусто. Значение можно заполнить вручную.

Появление первого события

Пусто. Значение можно заполнить вручную.

Появление последнего события

Пусто. Значение можно заполнить вручную.

Описание

Значение из поля event_description сообщения, которое присылает НКЦКИ. Доступно для редактирования. Пример: сообщение от НКЦКИ.

Связанные тенанты

То же, что и в поле Тенант. Пример: Main.

Доступные тенанты

То же, что и в поле Тенант. Пример: Main.

Связанные алерты

Пусто. Значение можно заполнить вручную.

Связанные активы

Пусто. Значение можно заполнить вручную.

Связанные пользователи

Пусто. Значение можно заполнить вручную.

Журнал изменений

Пусто. Значение можно заполнить вручную.

Раздел Интеграция с НКЦКИ

Категория

Категория карточки сообщения. Значение из справочника. Возможные значения: Сообщение от НКЦКИ.

Поле недоступно для редактирования.

Тип

Тип события ИБ. Значение из справочника. Возможные значения: Зараженный ресурс, Источник email-рассылки модулей ВПО, Источник распространения модулей ВПО, Центр управления ВПО, Элемент инфраструктуры ВПО, Замедление работы ресурса, Источник эксплуатации уязвимости, Источник компрометации учетной записи, Участник захвата сетевого трафика, Источник несанкционированного доступа, Источник несанкционированного изменения информации, Источник рассылки спам-сообщений, Публикация запрещенной законодательством РФ информации, Размещение фишингового ресурса, Наличие несанкционированного контента, Участник DDoS-атаки, Скомпрометированная учетная запись, Источник сетевого сканирования, Участник мошеннической деятельности, Источник угрозы социальной инженерии, Уязвимый ресурс, Подозрение на фишинговый ресурс, Угроза компрометации ПДн, Угроза компьютерной атаки.

Поле недоступно для редактирования.

 

Статус экспорта в НКЦКИ

Импортирован из НКЦКИ. Поле недоступно для редактирования.

Раздел Ход обработки сообщения от НКЦКИ

Статус НКЦКИ

Статус обработки сообщения от НКЦКИ. Значение из справочника. Поле доступно для редактирования. Возможные значения: Новое, В работе, Принято решение, Взаимодействие завершено, Отправлено в архив.

Результат

Результат принятого решения. Значение из справочника. Поле доступно для редактирования. Возможные значения: Меры приняты, Информация учтена, Сведения не подтверждены.

Раздел Чат с НКЦКИ

UUID

Уникальный идентификатор сообщения от НКЦКИ.

Компания

Краткое наименование организации субъекта ГосСОПКА.

Категория

Категория карточки сообщения. Значение из справочника. Пример: сообщение от НКЦКИ.

Тип

Тип события ИБ. Значение из справочника. Пример: зараженный ресурс.

Время создания

Дата и время регистрации сообщения от НКЦКИ. Заполняется по правилам стандарта ISO 8601. Используется время UTC.

Время выявления

Дата и время выявления инцидента. Заполняется по правилам стандарта ISO 8601. Используется время UTC.

Время завершения

Дата и время завершения инцидента. Заполняется по правилам стандарта ISO 8601. Используется время UTC.

Последнее обновление

Дата и время последнего обновления карточки сообщения. Заполняется по правилам стандарта ISO 8601. Используется время UTC.

Описание события

Краткое описание события ИБ. Максимум 5000 символов в кодировке Unicode.

Имя владельца

Владелец информационного ресурса. Максимум 5000 символов в кодировке Unicode.

Регистрационный номер

Регистрационный номер сообщения. Пример: ALRT-20-12-2914.

TLP

Ограничительный маркер TLP. Значение из справочника. Возможные значения: TLP:WHITE, TLP:GREEN, TLP:AMBER, TLP:RED.

Раздел Технические сведения

Блок полей Технические сведения отображается со значениями полей, полученными из сообщения. Состав полей Сообщения от НКЦКИ в блоке Технические сведения зависит от Типа события ИБ и для разных инцидентов набор этих полей может отличаться. Обращайте внимание на значения полей в личном кабинете НКЦКИ. Значения не подлежат редактированию.

В начало
[Topic 298866]

Дополнение данных об инциденте по запросу

Если сотрудникам НКЦКИ потребуются дополнительные сведения об инциденте, они могут их у вас запросить. В этом случае в окне инцидента в разделе Интеграция с НКЦКИ статус инцидента меняется на Требуется дополнение. При этом следующие пользователи KUMA получают по электронной почте уведомления об изменении статуса: пользователь, которому назначен инцидент, и пользователь, экспортировавший инцидент в НКЦКИ.

Если инциденту в НКЦКИ присвоен статус Требуется дополнение, в KUMA для этого инцидента вам также доступны следующие действия:

В начало
[Topic 243327]

Отправка файлов в НКЦКИ

Вы можете приложить файл к инциденту, если инцидент имеет один из следующих статусов НКЦКИ: Новое, В работе, Требуется дополнение, Принято решение. Файл будет доступен как в НКЦКИ, так и в веб-интерфейсе KUMA.

При иерархическом развертывании KUMA загружать файлы в НКЦКИ можно только из родительского узла KUMA. При этом в дочерних узлах KUMA видны журнальные записи о загрузке файла.

В журнале изменений инцидента добавляются сообщения о загрузке в НКЦКИ файлов пользователями KUMA. Сообщения о добавлении файлов со стороны НКЦКИ в журнал не заносятся.

Чтобы приложить файл к инциденту:

  1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, к которому вы хотите приложить файл.
  2. В разделе окна инцидента Интеграция с НКЦКИ выберите вкладку Файл и нажмите на кнопку Отправить файл в НКЦКИ.

    Откроется окно выбора файла.

  3. Выберите нужный файл размером не более 50 МБ и подтвердите выбор.

Файл приложен к инциденту. Файл доступен и для сотрудников НКЦКИ, и для пользователей KUMA.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

В начало
[Topic 243368]

Обмен сообщениями с сотрудниками НКЦКИ

После успешного экспорта инцидента в НКЦКИ в нижней части окна инцидента становится доступен чат с сотрудниками НКЦКИ. Обмениваться сообщениями можно с момента успешного экспорта инцидента до его закрытия в НКЦКИ.

Окно чата с историей сообщений и полем для ввода новых сообщений доступно в разделе окна инцидента Интеграция с НКЦКИ на вкладке Чат.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

См. также:

Уведомления об изменении статуса инцидента в НКЦКИ

В начало
[Topic 243399]

Допустимые категории и типы инцидентов НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:

Категория инцидента

Тип инцидента

Уведомление о компьютерном инциденте

 

Замедление работы ресурса в результате DDoS-атаки

Заражение ВПО

Захват сетевого трафика

Компрометация учетной записи

Несанкционированное изменение информации

Несанкционированное разглашение информации

Публикация на ресурсе запрещенной законодательством РФ информации

Успешная эксплуатация уязвимости

Событие не связано с компьютерной атакой

Использование контролируемого ресурса для проведения атак

Уведомление о компьютерной атаке

DDoS-атака

Неудачные попытки авторизации

Попытки внедрения ВПО

Попытки эксплуатации уязвимости

Публикация мошеннической информации

Сетевое сканирование

Социальная инженерия

Уведомление о наличии уязвимости

Уязвимый ресурс

В начало
[Topic 220462]

Уведомления об изменении статуса инцидента в НКЦКИ

При некоторых изменениях статуса или данных инцидента в НКЦКИ пользователи KUMA получают следующие уведомления по электронной почте:

Уведомления получают следующие пользователи:

  • Пользователь, которому был назначен инцидент.
  • Пользователь, который экспортировал инцидент в НКЦКИ.
В начало
[Topic 245705]