Отправка сообщений в «Джет Сигнал»
«Джет Сигнал» – это информационная система управления инцидентами информационной безопасности, предназначенная для повышения эффективности обработки инцидентов информационной безопасности.
Поля, принимаемые системой «Джет Сигнал»
Описание полей, принимаемых в «Джет Сигнал» представлены в следующе таблице.
Поле «Джет Сигнал» | Значение в mapping_body | Обязательность | Описание |
---|---|---|---|
title |
Title |
+ |
Имя директивы |
content |
Content |
+ |
Текст инцидента в виде json |
priority |
Priority |
+ |
Приоритет инцидента |
criticalness |
Critical |
+ |
Критичность инцидента |
detected_at |
DetectedAt |
+ |
Время обнаружения |
type |
Type |
+ |
Тип инцидента |
source_siem |
SourceSiem |
+ |
Название SIEM системы – “Komrad-SIEM” |
incident_signature |
IncidentSignature |
+ |
Уникальный идентификатор сработавшей сигнатуры. События участвующие в создание инцидента (Key). |
details |
– |
– |
Массив детальных полей для каждого типа инцидента (блок Служебная информация) |
controlled_object |
ControlledObject |
– |
Идентификатор контролируемого объекта |
need_for_action |
NeedForAction |
– |
Необходимость содействия (checkbox). Принимаемые значения: 1 или 0 |
tlp |
TLP |
– |
TLP (необходим маппинг - Перекодировка значений) |
comp_inc_status |
CompIncStatus |
– |
Статус КИ (необходим маппинг - Перекодировка значений) |
host_type |
HostType |
– |
Тип атакуемого объекта (необходим маппинг - Перекодировка значений) |
need_for_action |
NeedForAction |
– |
Необходимость содействия (checkbox) (1/0) |
place_and_method_fixing |
PlaceAndMethodFixing |
– |
Место и способ фиксации компьютерного инцидента |
Настройка «Джет сигнал»
Добавление KOMRAD в интегрируемые системы «Джет Сигнал»
Для добавления выполните:
-
Зайти в «Настройки» → «Справочники» → «Интегрируемые системы»

-
Создать запись: Komrad-SIEM
Перекодировка значений
Для перекодировки выполните:
-
Зайти в «Настройки» > «Справочники» > «Перекодировка значений»
-
Необходимо создать записи перекодировки значений для справочников: Приоритет инцидента, Критичность инцидента, а также Тип и Категория инцидента
Приоритет инцидента
Заранее удостовериться, что справочник «Приоритеты инцидентов» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать.
Возможные значения в системе KOMRAD: low, medium, high, baseline.
Необходимо создать несколько записей с параметрами, указанными в следующей таблице.
№ записи | Параметры |
---|---|
1 |
Интегрируемая система – Komrad-SIEM |
2 |
Интегрируемая система – Komrad-SIEM |
3 |
Интегрируемая система – Komrad-SIEM |
4 |
Интегрируемая система – Komrad-SIEM |
Критичность инцидента
Заранее удостовериться, что справочник «Критичность инцидента» не пустой
и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать.
Возможные значения в системе KOMRAD: low, medium, high, baseline.
Необходимо создать несколько записей с параметрами, указанными в следующей таблице.
№ записи | Параметры |
---|---|
5 |
Интегрируемая система – Komrad-SIEM |
6 |
Интегрируемая система – Komrad-SIEM |
7 |
Интегрируемая система – Komrad-SIEM |
8 |
Интегрируемая система – Komrad-SIEM |
Тип и категория инцидента
Заранее удостовериться, что справочники «Типы инцидентов» и «Категории инцидентов» не пустые и имеют необходимые значения,
если нет, то необходимо их создать.
Необходимо создать несколько записей с параметрами, указанными в следующей таблице.
№ записи | Параметры |
---|---|
9 |
Интегрируемая система – Komrad-SIEM |
10 |
Интегрируемая система – Komrad-SIEM |
11 |
Интегрируемая система – Komrad-SIEM |
12 |
Интегрируемая система – Komrad-SIEM |
13 |
Интегрируемая система – Komrad-SIEM |
14 |
Интегрируемая система – Komrad-SIEM |
15 |
Интегрируемая система – Komrad-SIEM |
16 |
Интегрируемая система – Komrad-SIEM |
17 |
Интегрируемая система – Komrad-SIEM |
18 |
Интегрируемая система – Komrad-SIEM |
19 |
Интегрируемая система – Komrad-SIEM |
Настройка конфигурации KOMRAD
Чтобы произвести настройку почтового сервера для отправки уведомлений необходимо
открыть файл komrad-server.yaml
командой в терминале:
sudo nano /etc/echelon/komrad/komrad-server.yaml
И привести его фрагмент к виду:
smtp:
- name: SMTP Service (1)
host: localhost (2)
idle-timeout: 30s (3)
password: password (4)
port: 465 (5)
username: username@localhost (6)
identity: username@localhost (7)
start_tls: opportunistic_start_tls (8)
tls:
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
ServerName: ""
disable: false
system-pool: false
local_name: ""
1 | Имя почтового сервера, используется для отображения в визуальном интерфейсе |
2 | Адрес хоста SMTP сервера. Например, mail.enterprise.ru |
3 | Время, через которое соединение SMTP будет разорвано, в случае отсутствия активных сообщений |
4 | Пароль почтового ящика |
5 | Порт SMTP-сервера. Обычно один из: 25, 465, 587 |
6 | Логин почтового аккаунта, например, siem@mail.enterprise.ru |
7 | Почтовый адрес отправителя, используется и для аутентификации как параметр identity |
8 | StartTLS настраивает стратегию информирования почтового сервера о том, что почтовый клиент хочет перейти с небезопасного соединения на безопасный с использованием TLS |
На почтовом ящике, который использует «Джет Сигнал», необходимо создать 2 папки: ARCH (в неё будут попадать успешно обработанные инциденты) и ERROR (в неё будут попадать инциденты, которые не удалось обработать)
|
Настройка уведомлений KOMRAD в «Джет Сигнал»
Для настройки уведомлений необходимо перейти в Администрирование → Уведомления. Далее для создания нового правила нужно нажать на кнопку «Добавление».

Следом отобразится окно создания нового правила уведомления.

Для создания правила необходимо:
-
Заполнить поле «Название»
-
В качестве транспорта выбрать «SMTP Service»
-
В поле указания получателя укажите почту, которая указана в конфигурационном файле «Джет Сигнал» в параметре login (путь –
/var/www/jetsignal/config/emailListener.yml
) -
Указать тему сообщения
-
В поле сообщение вставить строку:
{{ extendedIncident | ToJetsignal: 'type', nil }}
Вместоtype
нужно указать тип инцидента для системы «Джет Сигнал». Полный список всех типов инцидентов представлен в следующей таблице. Параметрnil
выводит только информацию об инциденте, чтобы создать собственный параметр воспользуйтесь информацией указанной в пункте "Дополнительные параметры сообщений" -
Выбрать директиву для отправки из выпадающего списка
-
Провести проверку встроенной валидацией и сохранить
Тип инцидента | Описание |
---|---|
spam |
Спам |
resource_scanning |
Сканирование ресурсов |
edit_content |
Изменение контента |
forbidden_content |
Запрещенный контент |
malicious_resource |
Вредоносный ресурс |
phishing |
Фишинг, мошенничество с целью получения конфиденциальных данных |
ddos |
Dos/DDoS, распределённая атака типа «отказ в обслуживании» |
cu_bot_network |
Центр управления (ЦУ) бот-сети |
retrieving_passwords |
Перебор паролей |
vpo |
Вредоносное программное обеспечение |
exploitation_vulnerabilities |
Эксплуатация уязвимости |
Дополнительные параметры сообщений
Присутствует возможность установить дополнительные параметры сообщений. Для этого включите чек-бокс "Использовать собственный шаблон сообщения". В поле "Шаблон темы сообщения" введите {{incident.ID}}
.
В поле "Шаблон сообщения" впишите:
{% capture opt %}
{
"time_zone": "Europe/Moscow",
"content": "Произошел инцидент по {{ directive }} с id {{ incident.DirectiveID }} на komrad {{ incident.TenantID }}",
"strict_error_mapping_mode": true,
"mapping_details": [
{
"key": "target_name",
"value": "{{ incident.TenantID }}"
},
{
"key": "mailing_addresses",
"value": [
"ya@com",
"go@com"
]
}
],
"mapping_body": [
{
"key": "NeedForAction",
"value": true
},
{
"key": "ControlledObject",
"value": "pc"
},
{
"key": "PlaceAndMethodFixing",
"value": "attack spam"
}
]
}
{% endcapture %}
{% assign opts_jet = opt | ToOptionsJetsignal %}
{{ extendedIncident | ToJetsignal: 'spam', opts_jet}}
Параметры:
-
time_zone - корректирует время обнаружение (detected_at) относительно часового пояса. В случае если значение пусто или поле пропущено – время будет относительно UTC
-
content - заменить содержание описания, в котором по умолчанию инцидент в виде json, на значение поля
-
strict_error_mapping_mode - устанавливает строгий мод, который, в случае отсутствия полей в details для соответствующего типа инцидента, будет выдавать ошибку
-
mapping_details - массив объектов ключ-значение, который будет указан в details
-
mapping_body - устанавливает значение основных и дополнительных полей, принимаемых системой «Джет Сигнал» (см. пункт "Поля, принимаемые системой «Джет Сигнал»")
Последнее изменение 12.05.2023