Интеграция с другими решениями

Интеграция с другими решениями позволяет расширить функциональность Open Single Management Platform.

Open Single Management Platform поддерживает интеграцию со следующими решениями "Лаборатории Касперского" и решениями сторонних производителей:

• Kaspersky Automated Security Awareness Platform
• Kaspersky Threat Intelligence Portal
• Kaspersky Anti Targeted Attack Platform / Kaspersky Endpoint Detection and Response
• Active Directory
• UserGate
• Ideco NGFW
• Ideco UTM
• Redmine
• Check Point NGFW
• Sophos Firewall
• Континент 4
• СКДПУ НТ
• FortiGate

Open Single Management Platform также поддерживает более 100 источников событий. Полный список поддерживаемых источников событий см. в разделе Поддерживаемые источники событий.

Параметры интеграции можно указать для тенанта любого уровня. Параметры родительской интеграции копируются в дочерний тенант. Вы можете изменять скопированные дочерние параметры интеграции, так как дочерние и родительские параметры не связаны, а изменения в дочерних параметрах не влияют на параметры родительского тенанта.

Для общего тенанта не нужно настраивать параметры интеграции.

Если вам нужно отключить интеграцию, вы можете сделать это вручную в разделе Параметры → Тенанты.

Интеграция с решением "Лаборатории Касперского" автоматически удаляется при удалении тенанта, для которого была указана интеграция. Задержка при удалении данных составляет до 24 часов. Восстановление параметров интеграции недоступно.

Интеграция с Kaspersky Automated Security Awareness Platform

Kaspersky Automated Security Awareness Platform (далее также КASAP) – это платформа для онлайн-обучения, которая позволяет пользователям изучать правила информационной безопасности и связанные с ними угрозы в повседневной работе, а также практиковаться на реальных примерах.

После настройки интеграции вы можете выполнять следующие задачи в Open Single Management Platform:

• Назначать учебные курсы пользователям, связанными с алертами и инцидентами.
• Изменять группы обучения пользователей.
• Просматривать информацию о курсах, пройденных пользователями, и полученных ими сертификатах.

KASAP считается интегрированным с Open Single Management Platform после настройки интеграции между KASAP и KUMA.

Перед настройкой интеграции между KASAP и KUMA необходимо создать токен авторизации и получить URL для API-запросов в KASAP.

Создание токена в KASAP и получение URL для API-запросов

Создание токена

Чтобы авторизовать запросы API-запросы от KUMA к KASAP, запросы должны быть подписаны токеном, созданным в KASAP.

Создать токен может только администратор организации.

Чтобы создать токен:

1. Войдите в веб-интерфейс KASAP.
2. В разделе Панель мониторинга выберите раздел Импорт и синхронизация и откройте вкладку OpenAPI.
3. Нажмите на кнопку Новый токен.
4. В открывшемся окне выберите права токена, доступные при интеграции:
   • GET /openapi/v1/groups
   • POST /openapi/v1/report
   • PATCH /openapi/v1/user/:userid
5. Нажмите на кнопку Сгенерировать токен.

   Сгенерированный токен отображается на экране.

6. Скопируйте токен и сохраните его любым удобным способом. Этот токен необходим для настройки интеграции между KASAP и KUMA.

   Токен не хранится в системе KASAP в открытом виде. После закрытия окна Создать токен токен недоступен для просмотра. Если вы закроете окно без копирования токена, вам нужно будет нажать на кнопку Перевыпустить токен, чтобы система сгенерировала новый токен.

Выданный токен действителен 12 месяцев.

Получение URL для запросов API-запросов

Веб-адрес используется для взаимодействия с KASAP через OpenAPI. Вам нужно указать этот веб-адрес при настройке интеграции между KASAP и KUMA.

Чтобы получить URL, используемый в KASAP для запросов API:

1. Войдите в веб-интерфейс KASAP.
2. В разделе Панель мониторинга выберите раздел Импорт и синхронизация и откройте вкладку OpenAPI.
3. В поле OpenAPI URL скопируйте веб-адрес и сохраните его любым удобным способом.

Интеграция с Kaspersky Threat Intelligence Portal

Вам нужно настроить интеграцию с Kaspersky Threat Intelligence Portal (далее также Kaspersky TIP), чтобы получать информацию о репутации наблюдаемых объектов.

Перед настройкой параметров вам необходимо создать токен авторизации для API-запросов на Kaspersky TIP или Kaspersky OpenTIP.

Чтобы настроить интеграцию Open Single Management Platform и Kaspersky TIP:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Список тенантов отображается на экране.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. Выберите вкладку Параметры и перейдите в раздел Kaspersky TIP.

   Вы можете изменить значения в разделе Kaspersky TIP, если вам назначена одна из следующих ролей XDR: Главный администратор, Администратор тенанта или Администратор SOC.

4. Если на шаге 2 вы выбрали корневой тенант, вы можете включить переключатель Прокси-сервер, чтобы использовать прокси-сервер для взаимодействия с Kaspersky TIP.

   Прокси-сервер настраивается в свойствах корневого Сервера администрирования.

5. В поле TTL кеш укажите срок хранения кеша и единицы измерения: дни или часы.

   По умолчанию установлено 7 дней. Если вы не укажете никакого значения, срок хранения кеша неограничен.

   Вы устанавливаете период хранения кеша для всех подключений.

6. Включите переключатель Интеграция для одного из следующих сервисов:
   • Kaspersky TIP (общий доступ)

     После добавления токена авторизации вы сможете получить информацию от Kaspersky TIP о следующих типах объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обогащение. При запросе данных расходуется квота данных.

   • Kaspersky TIP (премиум-доступ)

     После добавления токена авторизации вы сможете выполнять следующие действия:

     • Получать подробную информацию от Kaspersky TIP о следующих типах наблюдаемых объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обогащение. При запросе данных расходуется квота данных.
     • Получать подробную информацию от Kaspersky TIP о следующих типах наблюдаемых объектов, перечисленных на вкладке Наблюдаемые объекты в деталях алерта или инцидента: домен, веб-адрес, IP-адрес, хеш MD5 или SHA256. Информация обновляется в столбце Обновление статуса. При запросе данных квота не расходуется.
7. Нажмите на кнопку Добавить токен.
8. В открывшемся окне введите нужные данные токена авторизации и нажмите на кнопку Добавить.

   Подробнее о формировании токена авторизации для API-запросов см. в справке Kaspersky TIP или Kaspersky OpenTIP.

   После добавления токена вы можете заменить его, нажав на кнопку Заменить и введя новый токен в открывшемся окне. Это может быть необходимо, если срок действия токена истек.

9. Нажмите на кнопку Сохранить.

Интеграция с KATA/KEDR

Kaspersky Endpoint Detection and Response (далее также KEDR) – это функциональный блок Kaspersky Anti Targeted Attack Platform (далее также KATA), который защищает активы в локальной сети организации (LAN).

Вы можете настроить интеграцию Open Single Management Platform и KATA/KEDR для управления действиями по реагированию на угрозы на активах, подключенных к серверам Kaspersky Endpoint Detection and Response. Команды для выполнения операций принимаются сервером Kaspersky Endpoint Detection and Response, который затем передает эти команды Kaspersky Endpoint Agent, установленному на активах.

Чтобы настроить интеграцию Open Single Management Platform и KATA/KEDR:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Список тенантов отображается на экране.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. Выберите вкладку Параметры и перейдите в раздел KATA/KEDR.

   Вы можете изменить значения в разделе KATA/KEDR, если вам назначена одна из следующих ролей XDR: Главный администратор, Администратор тенанта или Администратор SOC.

4. Включите переключатель Интеграция KATA.
5. Нажмите на кнопку Добавить соединение и в открывшемся окне выполните следующие действия:
   1. В поле IP-адрес или имя устройства введите одно из следующих значений:
      • hostname
      • IPv4
      • IPv6
   2. В поле Порт укажите номер порта.
   3. Нажмите на кнопку Сохранить.

   Окно закрыто.

   Если подключение не добавлено, отобразится сообщение об ошибке.

   Если подключение добавлено успешно, на экране отображается соответствующее сообщение. XDR ID, сертификат и закрытый ключ генерируются и отображаются в соответствующих полях. При необходимости вы можете сгенерировать новый сертификат и закрытый ключ, нажав на кнопку Сгенерировать.

   Чтобы убедиться, что соединение установлено, нажмите на кнопку Проверить подключение. Результат отображается в параметре Статус подключения.

6. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

   После добавления соединения вы можете изменить или удалить его, нажав на соответствующие значки. Вы также можете добавить другое подключение, выполнив шаги 1–6.

Если вы хотите получать информацию об алертах Kaspersky Endpoint Detection and Response, вам нужно настроить интеграцию между компонентом KUMA и KATA/KEDR.

Настройка пользовательской интеграции

Вы можете выполнять действия по реагированию на алерты и инциденты через внешние системы, запуская сторонние скрипты на удаленных клиентских устройствах. Чтобы использовать эту функциональность, вам необходимо настроить окружение и интеграцию Open Single Management Platform со службой запуска скриптов.

Чтобы настроить окружение для запуска сторонних пользовательских скриптов, необходимо:

• Выбрать устройство, на котором запускается сторонний пользовательский скрипт.
• Настроить интеграцию Open Single Management Platform со службой запуска скриптов.
• Создать плейбук, который будет использоваться для запуска скрипта.

Клиент предоставляет доступ к пользовательским скриптам сторонних производителей и обновляет скрипты.

Чтобы настроить интеграцию Open Single Management Platform со службой запуска скриптов:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Список тенантов отображается на экране.

2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. Выберите вкладку Параметры и в разделе Пользовательская интеграция:
   • Включите переключатель Пользовательская интеграция.
   • В разделе Проверка удаленного устройства включите переключатель Проверить подключение устройства и заполните поле Открытый ключ, чтобы включить проверку клиентского устройства в Open Single Management Platform.
   • В разделе Подключение к удаленному устройству выполните следующие действия:
     • Заполните поля IP-адрес или имя устройства и Порты.
     • Выберите Тип SSH-авторизации, который будет использоваться для установки безопасного соединения с удаленным устройством:
       • Имя пользователя и пароль. Если вы выберете этот тип аутентификации, на следующем шаге вам потребуется ввести имя пользователя и пароль.
       • SSH-ключ. Если вы выберете этот тип аутентификации, на следующем шаге вам потребуется ввести имя пользователя и SSH-ключ.
     • Нажмите на кнопку Добавить данные.
4. В открывшемся окне введите нужные данные и нажмите на кнопку Сохранить.

   Если вы хотите изменить сохраненные данные, нажмите на кнопку Заменить, введите новые данные в открывшемся окне и сохраните изменения.

   Чтобы убедиться, что соединение установлено, нажмите на кнопку Проверить подключение. Результат отображается в параметре Статус подключения.

5. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Интеграция Open Single Management Platform со службой запуска скриптов настроена. Вы можете выполнять действия по реагированию на удаленных устройствах, запустив плейбуки.

Взаимодействие с НКЦКИ

Open Single Management Platform позволяет вам взаимодействовать с Национальным координационным центром по компьютерным инцидентам (далее НКЦКИ). Субъект ГосСОПКА, который использует Open Single Management Platform, может передавать данные о компьютерных инцидентах, обнаруженных компьютерных атаках и уязвимостях, используя экспорт инцидентов в НКЦКИ. Благодаря обмену информацией об инцидентах, реагирование на компьютерные инциденты, которые происходят на субъектах критической информационной инфраструктуры Российской Федерации, может стать более оперативным.

В Open Single Management Platform в рамках взаимодействия с НКЦКИ можно выполнять следующие действия:

• экспортировать в НКЦКИ инциденты;
• просматривать изменения в параметрах экспортированных инцидентов, сделанные в НКЦКИ.

Условия взаимодействия с НКЦКИ

Для взаимодействия с НКЦКИ должны выполняться следующие условия:

• Лицензия приложения включает модуль ГосСОПКА.
• Настроена интеграция с НКЦКИ.
• Пользователю, который работает с инцидентами НКЦКИ должна быть присвоена одна из следующих предопределенных ролей:
  • Главный администратор.
  • Администратор тенанта.
  • Работа с НКЦКИ.

Этапы взаимодействия с НКЦКИ

В Open Single Management Platform процесс подготовки и обработки инцидентов НКЦКИ состоит из следующих этапов:

1. Создание инцидента и проверка его на соответствие требованиям НКЦКИ

   Вы можете создать инцидент НКЦКИ на основе инцидента XDR. Перед отправкой данных в НКЦКИ убедитесь, что категория инцидента соответствует требованиям НКЦКИ.

2. Экспорт инцидента в НКЦКИ

   При успешном экспорте инцидента в НКЦКИ, статус инцидента принимает значение Отправлен в НКЦКИ.

   В НКЦКИ полученному инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.

   Статус инцидента и некоторые параметры инцидента могут обновляться на стороне НКЦКИ. Если сотрудники НКЦКИ внесли изменения, значения параметров инцидента НКЦКИ обновляются. Данные между Open Single Management Platform и НКЦКИ синхронизируются каждые 5–10 минут. Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ.

3. Завершение обработки инцидента

   Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В Open Single Management Platform этот статус отображается в заголовке окна со сведениями об инциденте НКЦКИ.

   При получении статуса Отправлен в архив взаимодействие с НКЦКИ по инциденту через Open Single Management Platform становится невозможным. При этом закрытые инциденты можно найти в таблице инцидентов НКЦКИ и просмотреть сведения о них.

Настройка интеграции с НКЦКИ

Вы можете создать подключение к НКЦКИ. Это позволит вам экспортировать в него инциденты, зарегистрированные в Open Single Management Platform.

Чтобы настроить интеграцию с НКЦКИ:

1. В главном меню перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть доступ на чтение.

2. Нажмите на имя требуемого тенанта.

   Откроется окно свойств тенанта. Если у вас есть только право доступа на чтение к этому тенанту, свойства будут доступны только для чтения. Если у вас есть право доступа на запись, вы можете настроить свойства тенанта.

3. В окне свойств тенанта выберите вкладку Параметры и в разделе Сторонние интеграции выберите НКЦКИ.
4. Включите опцию Интеграция с НКЦКИ.
5. В поле URL введите URL, по которому доступен НКЦКИ. Например: https://example.cert.gov.ru/api/v2/.
6. В поле API-токен нажмите на кнопку Добавить токен и задайте API-токен вручную.
7. В поле Организация укажите название вашей компании. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.
8. В раскрывающемся списке Функция затронутой системы выберите сферу, в которой работает ваша организация. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.

   Доступные сферы деятельности компании

   • Атомная энергетика.
   • Банковская сфера и иные сферы финансового рынка.
   • Горнодобывающая промышленность.
   • Государственная/муниципальная власть.
   • Здравоохранение.
   • Металлургическая промышленность.
   • Наука.
   • Оборонная промышленность.
   • Образование.
   • Ракетно-космическая промышленность.
   • Связь.
   • СМИ.
   • Топливно-энергетический комплекс.
   • Транспорт.
   • Химическая промышленность.
   • Иная.
9. В раскрывающемся списке Расположение выберите геокод, соответствующий субъекту Российской Федерации, в котором располагается ваша компания. Эти данные будут передаваться в НКЦКИ при экспорте инцидентов.

   Список геокодов Российской Федерации

   Список геокодов Российской Федерации

   Субъект РФ	Геокод
   Адыгея	RU-AD
   Алтайский край	RU-ALT
   Амурская область	RU-AMU
   Архангельская область	RU-ARK
   Астраханская область	RU-AST
   Башкортостан	RU-BA
   Белгородская область	RU-BEL
   Брянская область	RU-BRY
   Бурятия	RU-BU
   Владимирская область	RU-VLA
   Волгоградская область	RU-VGG
   Вологодская область	RU-VLG
   Воронежская область	RU-VOR
   Дагестан	RU-DA
   Еврейская автономная область	RU-YEV
   Забайкальский край	RU-ZAB
   Ивановская область	RU-IVA
   Ингушетия	RU-IN
   Иркутская область	RU-IRK
   Кабардино-Балкария	RU-KB
   Калининградская область	RU-KGD
   Калмыкия	RU-KL
   Калужская область	RU-KLU
   Камчатский край	RU-KAM
   Карачаево-Черкессия	RU-KC
   Карелия	RU-KR
   Кемеровская область	RU-KEM
   Кировская область	RU-KIR
   Костромская область	RU-KOS
   Краснодарский край	RU-KDA
   Красноярский край	RU-KYA
   Курганская область	RU-KGN
   Курская область	RU-KRS
   Ленинградская область	RU-LEN
   Липецкая область	RU-LIP
   Магаданская область	RU-MAG
   Марий Эл	RU-ME
   Мордовия	RU-MO
   Москва	RU-MOW
   Московская область	RU-MOS
   Мурманская область	RU-MUR
   Ненецкий автономный округ	RU-NEN
   Нижегородская область	RU-NIZ
   Новгородская область	RU-NGR
   Новосибирская область	RU-NVS
   Омская область	RU-OMS
   Оренбургская область	RU-ORE
   Орловская область	RU-ORL
   Пензенская область	RU-PNZ
   Пермский край	RU-PER
   Приморский край	RU-PRI
   Псковская область	RU-PSK
   Республика Алтай	RU-AL
   Республика Коми	RU-KO
   Республика Саха	RU-SA
   Ростовская область	RU-ROS
   Рязанская область	RU-RYA
   Самарская область	RU-SAM
   Санкт-Петербург	RU-SPE
   Саратовская область	RU-SAR
   Сахалинская область	RU-SAK
   Свердловская область	RU-SVE
   Северная Осетия	RU-SE
   Смоленская область	RU-SMO
   Ставропольский край	RU-STA
   Тамбовская область	RU-TAM
   Татарстан	RU-TA
   Тверская область	RU-TVE
   Томская область	RU-TOM
   Тульская область	RU-TUL
   Тыва	RU-TY
   Тюменская область	RU-TYU
   Удмуртия	RU-UD
   Ульяновская область	RU-ULY
   Хабаровский край	RU-KHA
   Хакасия	RU-KK
   Ханты-Мансийский автономный округ – Югра	RU-KHM
   Челябинская область	RU-CHE
   Чечня	RU-CE
   Чувашия	RU-CU
   Чукотский автономный округ	RU-CHU
   Ямало-Ненецкий автономный округ	RU-YAN
   Ярославская область	RU-YAR

10. Включите параметр Использовать прокси-сервер, чтобы подключаться к НКЦКИ через прокси-сервер.

    Нажмите на ссылку Параметры, чтобы задать настройки прокси-сервера. Откроется окно свойств Сервера администрирования, в котором вы можете выполнить настройку.

11. Вы можете указать следующие параметры об операторе персональных данных в соответствующих полях:
    • Наименование
    • ИНН
    • Адрес
    • Адрес электронной почты

    Вы также можете убедиться, что соединение с НКЦКИ установлено, нажав на кнопку Проверить подключение. Статус проверки отобразится в поле Статус подключения.

12. Нажмите на кнопку Сохранить для завершения настройки интеграции.

Open Single Management Platform интегрирован с НКЦКИ. Теперь вы можете экспортировать в него инциденты.

Чтобы выключить интеграцию с НКЦКИ:

1. В главном меню перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть доступ на чтение.

2. Нажмите на имя требуемого тенанта.

   Откроется окно свойств тенанта. Если у вас есть только право доступа на чтение к этому тенанту, свойства будут доступны только для чтения. Если у вас есть право доступа на запись, вы можете настроить свойства тенанта.

3. В окне свойств тенанта выберите вкладку Параметры и в разделе Сторонние интеграции выберите НКЦКИ.
4. Выключите параметр Интеграция с НКЦКИ.
5. Нажмите на кнопку Сохранить.

Интеграция Open Single Management Platform с НКЦКИ выключена.

Просмотр таблицы инцидентов НКЦКИ

Таблица инцидентов НКЦКИ содержит информацию обо всех созданных инцидентах НКЦКИ.

Чтобы просмотреть таблицу инцидентов НКЦКИ:

1. В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
2. При необходимости отфильтруйте тенанты. По умолчанию фильтр тенантов выключен и в таблице инцидентов отображаются инциденты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
   1. Перейдите по ссылке рядом с параметром Фильтр тенантов.

      Откроется список тенантов.

   2. Установите флажки рядом с требуемыми тенантами.

      В таблице инцидентов отображаются только инциденты, обнаруженные на активах, принадлежащих выбранным тенантам.

3. Выберите вкладку Инциденты НКЦКИ.

   Откроется таблица с инцидентами НКЦКИ. Таблица содержит следующие столбцы:

   • Короткий идентификатор – уникальный идентификатор инцидента НКЦКИ.
   • Тенант – имя тенанта, в котором был обнаружен инцидент.
   • Обнаружен – дата и время обнаружения инцидента.
   • Завершен – дата и время закрытия инцидента.
   • Статус – текущий статус инцидента НКЦКИ, экспортированного в НКЦКИ.
   • Категория – категория инцидента НКЦКИ.
   • Тип – тип инцидента НКЦКИ.

4. Вы можете группировать и фильтровать данные таблицы с инцидентами НКЦКИ. Для этого нажмите на значок параметров () или на значок фильтрации () в правом верхнем углу таблицы и настройте параметры отображения инцидентов.

   По умолчанию таблица инцидентов НКЦКИ отфильтрована по столбцу Статус: инциденты со статусом Отправлен в архив и Принято решение не отображаются.

Просмотр сведений об инциденте НКЦКИ

Развернуть все | Свернуть все

В окне со сведениями об инциденте НКЦКИ вы можете просматривать всю информацию, относящуюся к инциденту, включая его свойства.

Чтобы просмотреть сведения об инциденте НКЦКИ:

1. В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Выберите вкладку Инциденты НКЦКИ.
3. В открывшейся таблице нажмите на идентификатор инцидента.

Откроется окно со сведениями об инциденте НКЦКИ.

В заголовке окна указан краткий уникальный идентификатор инцидента и статус, присвоенный инциденту в НКЦКИ. Если инцидент еще не был экспортирован в НКЦКИ, он имеет статус Черновик. Некоторые параметры инцидента НКЦКИ доступны для редактирования, остальные параметры наследуются от инцидента XDR и не редактируются.

При необходимости вы можете обновить информацию в окне со сведениями об инциденте, нажав на значок рядом с заголовком окна.

С помощью панели инструментов в верхней части окна вы можете выполнять следующие действия:

• редактировать инцидент НКЦКИ;
• удалять инцидент НКЦКИ;
• экспортировать инцидент НКЦКИ.

Окно сведений об инциденте НКЦКИ содержит разделы, описанные ниже.

Сводная информация

В этом разделе вы можете просматривать и при необходимости редактировать следующую общую информацию об инциденте НКЦКИ:

• Короткий идентификатор – уникальный идентификатор инцидента НКЦКИ.
• Тенант – имя тенанта, в котором был обнаружен инцидент.
• Обнаружено – дата и время обнаружения инцидента.
• Завершено – дата и время закрытия инцидента. Этот параметр доступен для редактирования.
• Описание – краткое описание инцидента. Этот параметр доступен для редактирования.
• Категория – категория инцидента НКЦКИ. Этот параметр доступен для редактирования.
• Тип – тип инцидента НКЦКИ. Этот параметр доступен для редактирования.
• Утечка персональных данных – уведомление об утечке персональных данных. Этот параметр доступен для редактирования.

  Параметр отображается, если при редактировании категории инцидента вы выбрали Уведомление о компьютерном инциденте, а затем выбрали один из следующих типов:

  • Заражение ВПО
  • Компрометация учетной записи
  • Несанкционированное разглашение информации
  • Успешная эксплуатация уязвимости
  • Событие не связано с компьютерной атакой

  Доступные поля

  Уведомление об утечке персональных данных – включите этот переключатель в случае утечки персональных данных, после чего раздел Утечка персональных данных станет доступным.

  Оператор персональных данных – наименование оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

  ИНН – ИНН оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

  Адрес – адрес оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

  Адрес электронной почты – адрес электронной почты оператора персональных данных для отправки информации об уведомлении. Поле отображается, если настроена интеграция с НКЦКИ.

  Причины, повлекшие нарушение прав субъектов персональных данных – укажите причины, повлекшие нарушение прав субъектов персональных данных.

  Характеристики персональных данных – укажите характеристики персональных данных.

  Предполагаемый вред, нанесенный правам субъектов персональных данных – укажите, какой вред нанесен правам субъектов персональных данных.

  Принятые меры по устранению последствий инцидента.

  Дополнительные сведения.

  Информация о результатах внутреннего расследования инцидента.

• Название компании – наименование главной организации, в которой произошел инцидент.
• TLP – маркер протокола Traffic Light, который определяет уровень конфиденциальности информации, содержащейся в сведениях об инциденте НКЦКИ. Этот параметр доступен для редактирования.

  Возможные значения маркера

  • WHITE – раскрытие не ограничено.
  • GREEN – раскрытие только для сообщества.
  • AMBER – раскрытие только для организаций.
  • RED – раскрытие только для круга лиц.
• Состояние действия – статус реагирования на инцидент. Этот параметр доступен для редактирования.

  Возможные значения статуса

  Значения статуса по умолчанию заполняются по таблице соответствий приведенной ниже.

  Список статусов инцидентов XDR и соответствующих статусов реагирования

  Статус инцидента XDR	Статус реагирования инцидента НКЦКИ
  Новый, В процессе, Отложен	Проводятся мероприятия по реагированию
  Закрыт как: истинноположительный результат	Меры приняты
  Закрыт как: ложное срабатывание; низкоприоритетный; объединен.	Инцидент не подтвержден

• Инцидент XDR – инцидент XDR, на основе которого был создан инцидент НКЦКИ.
• Затронутая система имеет подключение к интернету – наличие доступа в интернет в системе, где произошел инцидент. Этот параметр доступен для редактирования.

  Если система, где произошел инцидент, имеет доступ в интернет, то становится доступна вкладка, где можно заполнить технические сведения об атакованном ресурсе (раздел Технические сведения об атакованном ресурсе) и вредоносной системе (раздел Технические сведения о вредоносной системе).

• Требуется помощь – необходимость получения помощи от сотрудников НКЦКИ. Этот параметр доступен для редактирования.
• Имя затронутой системы – название атакованной системы. Этот параметр доступен для редактирования.
• Категория затронутой системы – категория значимости объекта критической информационной инфраструктуры (далее КИИ). Этот параметр доступен для редактирования.

  Список категорий значимости

  Объекты КИИ имеют следующие категории значимости:

  • объект КИИ первой категории значимости;
  • объект КИИ второй категории значимости;
  • объект КИИ третьей категории значимости;
  • объект КИИ без категории значимости;
  • информационный ресурс не является объектом КИИ.
• Функция затронутой системы – сфера деятельности организации, в которой функционирует атакованная система.

  Доступные сферы деятельности компании

  • Атомная энергетика.
  • Банковская сфера и иные сферы финансового рынка.
  • Горнодобывающая промышленность.
  • Государственная/муниципальная власть.
  • Здравоохранение.
  • Металлургическая промышленность.
  • Наука.
  • Оборонная промышленность.
  • Образование.
  • Ракетно-космическая промышленность.
  • Связь.
  • СМИ.
  • Топливно-энергетический комплекс.
  • Транспорт.
  • Химическая промышленность.
  • Иная.
• Расположение – геокод, соответствующий субъекту Российской Федерации, в котором располагается организации.

  Список геокодов Российской Федерации

  Список геокодов Российской Федерации

  Субъект РФ	Геокод
  Адыгея	RU-AD
  Алтайский край	RU-ALT
  Амурская область	RU-AMU
  Архангельская область	RU-ARK
  Астраханская область	RU-AST
  Башкортостан	RU-BA
  Белгородская область	RU-BEL
  Брянская область	RU-BRY
  Бурятия	RU-BU
  Владимирская область	RU-VLA
  Волгоградская область	RU-VGG
  Вологодская область	RU-VLG
  Воронежская область	RU-VOR
  Дагестан	RU-DA
  Еврейская автономная область	RU-YEV
  Забайкальский край	RU-ZAB
  Ивановская область	RU-IVA
  Ингушетия	RU-IN
  Иркутская область	RU-IRK
  Кабардино-Балкария	RU-KB
  Калининградская область	RU-KGD
  Калмыкия	RU-KL
  Калужская область	RU-KLU
  Камчатский край	RU-KAM
  Карачаево-Черкессия	RU-KC
  Карелия	RU-KR
  Кемеровская область	RU-KEM
  Кировская область	RU-KIR
  Костромская область	RU-KOS
  Краснодарский край	RU-KDA
  Красноярский край	RU-KYA
  Курганская область	RU-KGN
  Курская область	RU-KRS
  Ленинградская область	RU-LEN
  Липецкая область	RU-LIP
  Магаданская область	RU-MAG
  Марий Эл	RU-ME
  Мордовия	RU-MO
  Москва	RU-MOW
  Московская область	RU-MOS
  Мурманская область	RU-MUR
  Ненецкий автономный округ	RU-NEN
  Нижегородская область	RU-NIZ
  Новгородская область	RU-NGR
  Новосибирская область	RU-NVS
  Омская область	RU-OMS
  Оренбургская область	RU-ORE
  Орловская область	RU-ORL
  Пензенская область	RU-PNZ
  Пермский край	RU-PER
  Приморский край	RU-PRI
  Псковская область	RU-PSK
  Республика Алтай	RU-AL
  Республика Коми	RU-KO
  Республика Саха	RU-SA
  Ростовская область	RU-ROS
  Рязанская область	RU-RYA
  Самарская область	RU-SAM
  Санкт-Петербург	RU-SPE
  Саратовская область	RU-SAR
  Сахалинская область	RU-SAK
  Свердловская область	RU-SVE
  Северная Осетия	RU-SE
  Смоленская область	RU-SMO
  Ставропольский край	RU-STA
  Тамбовская область	RU-TAM
  Татарстан	RU-TA
  Тверская область	RU-TVE
  Томская область	RU-TOM
  Тульская область	RU-TUL
  Тыва	RU-TY
  Тюменская область	RU-TYU
  Удмуртия	RU-UD
  Ульяновская область	RU-ULY
  Хабаровский край	RU-KHA
  Хакасия	RU-KK
  Ханты-Мансийский автономный округ – Югра	RU-KHM
  Челябинская область	RU-CHE
  Чечня	RU-CE
  Чувашия	RU-CU
  Чукотский автономный округ	RU-CHU
  Ямало-Ненецкий автономный округ	RU-YAN
  Ярославская область	RU-YAR

• Средство обнаружения – приложение, с помощью которого был зарегистрирован инцидент. Этот параметр доступен для редактирования.
• Город – город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.
• Влияние на доступность – влияние инцидента на доступность атакованной системы.

  Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.

• Влияние на целостность – влияние инцидента на целостность атакованной системы.

  Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.

• Влияние на конфиденциальность – влияние инцидента на конфиденциальность атакованной системы.

  Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.

• Другое влияние – описание других последствий компьютерного инцидента или компьютерной атаки.

  Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.

• Категория приложений – наименование и версия уязвимого приложения. Параметр доступен для категории инцидента НКЦКИ Уведомление о наличии уязвимости.
• Технические сведения об атакованном ресурсе – технические сведения о системе, где произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.

  Список параметров атакованного ресурса

  При наличии доступа в интернет в системе, где произошел инцидент, становится доступна вкладка, где можно заполнить технические сведения об атакованном ресурсе. Параметры раздела доступны к заполнению в зависимости от категории и типа инцидента НКЦКИ (см. таблицу ниже).

  Параметры раздела Технические сведения об атакованном ресурсе

  Название и описание параметра	Категория	Тип
  IPv4-адрес IPv4-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
  	Уведомление о наличии уязвимости	Уязвимый ресурс
  IPv6-адрес IPv6-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
  	Уведомление о наличии уязвимости	Уязвимый ресурс
  Имя домена Доменное имя контролируемого ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации
  	Уведомление о наличии уязвимости	Уязвимый ресурс
  URI-адрес URI-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
  	Уведомление о наличии уязвимости	Уязвимый ресурс
  Электронная почта Адрес электронной почты атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Компрометация учетной записи Несанкционированное разглашение информации Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Социальная инженерия
  Атакуемый сетевой сервис Имя и порт/протокол атакованной сетевой службы	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
  	Уведомление о наличии уязвимости	Уязвимый ресурс
  AS-Path до атакованной автономной системы (ASN)	Уведомление о компьютерном инциденте	Захват сетевого трафика

• Технические сведения о вредоносной системе – технические сведения о вредоносной системе, вследствие атаки которой произошел инцидент. Этот параметр доступен для редактирования.

  Список параметров вредоносной системы

  При наличии доступа в интернет в системе, где произошел инцидент, становится доступна вкладка, где можно заполнить технические сведения о вредоносной системе. Параметры раздела доступны к заполнению в зависимости от категории и типа инцидента НКЦКИ (см. таблицу ниже).

  Параметры раздела Технические сведения о вредоносной системе

  Название и описание параметра	Категория	Тип
  IPv4-адрес IPv4-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Замедление работы ресурса в результате DDoS-атаки Использование контролируемого ресурса для фишинга Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
  IPv6-адрес IPv6-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Замедление работы ресурса в результате DDoS-атаки Использование контролируемого ресурса для фишинга Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
  Имя домена Доменное имя контролируемого ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Замедление работы ресурса в результате DDoS-атаки Использование контролируемого ресурса для фишинга Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
  URI-адрес URI-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Использование контролируемого ресурса для фишинга Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Социальная инженерия
  Функции – тип активности Предлагается к заполнению, если заполнено одно из полей IPv4-адрес, IPv6-адрес, Имя домена или URI-адрес. Возможные значения: Центр управления ВПО. Элемент инфраструктуры ВПО. Источник распространения ВПО. Тип не определен.
  Электронная почта Адрес электронной почты атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Несанкционированное разглашение информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	Попытки внедрения ВПО Попытки эксплуатации уязвимости Социальная инженерия
  Хеш вредоносного ПО Хеш-сумма вредоносного модуля	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО
  	Уведомление о компьютерной атаке	Попытки внедрения ВПО
  Используемые уязвимости Описание используемых уязвимостей	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Замедление работы ресурса в результате DDoS-атаки Использование контролируемого ресурса для фишинга Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
  	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
  Номер автономной системы (ASN) Номер подставной автономной системы (ASN)	Уведомление о компьютерном инциденте	Захват сетевого трафика
  Наименование AS Наименование подставной автономной системы	Уведомление о компьютерном инциденте	Захват сетевого трафика
  Наименование LIR Наименование локального интернет-регистратора	Уведомление о компьютерном инциденте	Захват сетевого трафика

Интеграция с НКЦКИ

В этом разделе вы можете просматривать следующую информацию об инциденте, который был экспортирован в НКЦКИ:

• UUID – уникальный идентификатор карточки уведомления в НКЦКИ.
• Регистрационный номер – регистрационный номер уведомления в НКЦКИ.
• Зарегистрировано – дата и время регистрации инцидента в НКЦКИ.
• Время обновления – дата последнего обновления инцидента в НКЦКИ.

История

В этом разделе вы можете просматривать следующую информацию об истории изменений инцидента НКЦКИ:

• Время – дата и время изменения инцидента.
• Пользователь – имя пользователя, который изменил инцидент.
• Подробнее – информация об изменении инцидента.

Создание инцидента НКЦКИ

Вы можете создать инцидент НКЦКИ только на основе существующего инцидента XDR.

Чтобы создать инцидент НКЦКИ:

1. В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Нажмите на инцидент XDR, на основе которого вы хотите создать инцидент для отправки в НКЦКИ. Инцидент XDR может иметь любой статус.

   Откроется окно со сведениями об инциденте XDR.

3. В панели управления в верхней части окна нажмите Создать инцидент НКЦКИ.

   Откроется окно создание инцидента НКЦКИ.

4. Заполните следующие поля:
   • Категория – категория инцидента НКЦКИ.
   • Тип – тип инцидента НКЦКИ.
5. При необходимости в поле Активы вы можете выбрать или добавить активы, вовлеченные в инцидент НКЦКИ. В таблице активов у таких устройств в столбце Имеет признаки стоит значение "атакующий" или "жертва".

   Данные о выбранных атакованных устройствах и вредоносных системах будут отображаться в окне со сведениями об инциденте НКЦКИ в разделах инцидента Технические сведения об атакованном ресурсе и Технические сведения о вредоносной системе.

Инцидент НКЦКИ создан. После этого в инцидент XDR добавляется ссылка на созданный инцидент НКЦКИ, а в инциденте НКЦКИ – ссылка на инцидент XDR. Вы можете просмотреть сведения об инциденте, отредактировать их и экспортировать инцидент в НКЦКИ.

Передача инцидентов в НКЦКИ

Чтобы экспортировать инцидент в НКЦКИ:

1. В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Выберите вкладку Инциденты НКЦКИ.
3. В открывшейся таблице нажмите на идентификатор инцидента НКЦКИ, который вы хотите экспортировать.

   Откроется окно со сведениями об инциденте.

   Если в списке инцидентов НКЦКИ отсутствует инцидент, который необходимо экспортировать, вы можете создать инцидент НКЦКИ.

4. При необходимости вы можете отредактировать параметры инцидента НКЦКИ перед экспортом. Для этого нажмите на кнопку Изменить в панели в верхней части окна инцидента НКЦКИ, заполните необходимые поля и сохраните изменения.
5. Нажмите на кнопку Отправить в НКЦКИ в панели в верхней части окна инцидента НКЦКИ.
6. В открывшемся окне подтвердите отправку инцидента в НКЦКИ.

Запрос в НКЦКИ отправлен. Если экспорт выполнен успешно, в НКЦКИ полученному инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ. При этом значение поля Статус меняется на Отправлен в НКЦКИ. С этого момента повторная отправка и редактирование инцидента в НКЦКИ в интерфейсе Open Single Management Platform становятся недоступны. Если вам требуется внести изменения в экспортированный инцидент, это следует делать в личном кабинете НКЦКИ.

Допустимые категории и типы инцидентов НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ.

Категории и типы инцидентов НКЦКИ

Статусы инцидента НКЦКИ

Инцидент, экспортированный в НКЦКИ, может иметь статусы, приведенные в таблице ниже.

Статусы инцидента НКЦКИ