Отправка сообщений в «Джет Сигнал»

«Джет Сигнал» – это информационная система управления инцидентами информационной безопасности, предназначенная для повышения эффективности обработки инцидентов информационной безопасности.

Поля, принимаемые системой «Джет Сигнал»

Описание полей, принимаемых в «Джет Сигнал» представлены в след. таблице.

Table 1. Список полей файла komrad-server-notification-mapping-syslog-cef.yaml
Поле «Джет Сигнал» Значение в mapping_body Обязательность Описание

title

Title

+

Имя директивы

content

Content

+

Текст инцидента в виде json

priority

Priority

+

Приоритет инцидента

criticalness

Critical

+

Критичность инцидента

detected_at

DetectedAt

+

Время обнаружения
(формат 2000-01-02 15:16:17)

type

Type

+

Тип инцидента

source_siem

SourceSiem

+

Название SIEM системы – “Komrad-SIEM”

incident_signature

IncidentSignature

+

Уникальный идентификатор сработавшей сигнатуры. События участвующие в создание инцидента (Key).

details

Массив детальных полей для каждого типа инцидента (блок Служебная информация)

controlled_object

ControlledObject

Идентификатор контролируемого объекта

need_for_action

NeedForAction

Необходимость содействия (checkbox). Принимаемые значения: 1 или 0

tlp

TLP

TLP (необходим маппинг - Перекодировка значений)

comp_inc_status

CompIncStatus

Статус КИ (необходим маппинг - Перекодировка значений)

host_type

HostType

Тип атакуемого объекта (необходим маппинг - Перекодировка значений)

need_for_action

NeedForAction

Необходимость содействия (checkbox) (1/0)

place_and_method_fixing

PlaceAndMethodFixing

Место и способ фиксации компьютерного инцидента

Настройка «Джет сигнал»

Добавление ПК «КОМРАД» в интегрируемые системы «Джет Сигнал»

Для добавления выполните:

  1. Зайти в «Настройки» → «Справочники» → «Интегрируемые системы»;

настройки JetSignal
Figure 1. Настройки «Джет Сигнал»

  1. Создать запись: Komrad-SIEM.

Перекодировка значений

Для перекодировки выполните:

  1. Зайти в «Настройки» > «Справочники» > «Перекодировка значений».

  2. Необходимо создать записи перекодировки значений для справочников: Приоритет инцидента, Критичность инцидента, а также Тип и категория инцидента.

Приоритет инцидента

Заранее удостовериться, что справочник «Приоритеты инцидентов» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать.
Возможные значения в системе ПК «КОМРАД»: low, medium, high, baseline.
Необходимо создать несколько записей со следующими параметрами указанными в след. таблице.

Table 2. Записи перекодировки значений
№ записи Параметры

1

Интегрируемая система – Komrad-SIEM
Справочник – Приоритеты инцидентов
Внешнее значение – low
Внутреннее значение – Низкий

2

Интегрируемая система – Komrad-SIEM
Справочник – Приоритеты инцидентов
Внешнее значение – medium
Внутреннее значение – Средний

3

Интегрируемая система – Komrad-SIEM
Справочник – Приоритеты инцидентов
Внешнее значение – high
Внутреннее значение – Высокий

4

Интегрируемая система – Komrad-SIEM
Справочник – Приоритеты инцидентов
Внешнее значение – baseline
Внутреннее значение – Базовый

Критичность инцидента

Заранее удостовериться, что справочник «Критичность инцидента» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать.
Возможные значения в системе ПК «КОМРАД»: low, medium, high, baseline.
Необходимо создать несколько записей со следующими параметрами указанными в след. таблице.

Table 3. Записи типов и категорий инцидента
№ записи Параметры

5

Интегрируемая система – Komrad-SIEM
Справочник – Критичность инцидентов
Внешнее значение – low
Внутреннее значение – Низкая

6

Интегрируемая система – Komrad-SIEM
Справочник – Критичность инцидентов
Внешнее значение – medium
Внутреннее значение – Средняя

7

Интегрируемая система – Komrad-SIEM
Справочник – Критичность инцидентов
Внешнее значение – high
Внутреннее значение – Высокая

8

Интегрируемая система – Komrad-SIEM
Справочник – Критичность инцидентов
Внешнее значение – baseline
Внутреннее значение – Базовая

Тип и категория инцидента

Заранее удостовериться, что справочники «Типы инцидентов» и «Категории инцидентов» не пустые и имеют необходимые значения, если нет, то необходимо их создать.
Необходимо создать несколько записей со следующими параметрами указанными в след. таблице.

Table 4. Записи критичности инцидента
№ записи Параметры

9

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – spam
Внутреннее значение – Спам

10

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – resource_scanning
Внутреннее значение – Сканирование ресурсов

11

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов
Внешнее значение – edit_content
Внутреннее значение – Изменение контента

12

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – forbidden_content
Внутреннее значение – Запрещенный контент

13

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – malicious_resource
Внутреннее значение – Вредоносный ресурс

14

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – phishing
Внутреннее значение – Фишинг (мошенничество)

15

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – ddos
Внутреннее значение – DoS/DDoS

16

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – cu_bot_network
Внутреннее значение – ЦУ бот-сети

17

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – retrieving_passwords
Внутреннее значение – Перебор паролей

18

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – vpo
Внутреннее значение – ВПО

19

Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – exploitation_vulnerabilities
Внутреннее значение – Эксплуатация уязвимости

Настройка конфигурации ПК «КОМРАД»

Чтобы произвести настройку почтового сервера для отправки уведомлений необходимо открыть файл komrad-server.yaml командой в терминале:

sudo nano /etc/echelon/komrad/komrad-server.yaml

И привести его фрагмент к виду:

 smtp:
  - name: SMTP Service (1)
    host: localhost (2)
    idle-timeout: 30s (3)
    password: password (4)
    port: 465 (5)
    username: username@localhost (6)
    identity: username@localhost (7)
    start_tls: opportunistic_start_tls (8)
    tls:
      TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
      Cert: /var/lib/echelon/komrad/certs/client.pem
      CertKey: /var/lib/echelon/komrad/certs/client-key.pem
      ServerName: ""
      disable: false
      system-pool: false
    local_name: ""
1 Имя почтового сервера, используется для отображения в визуальном интерфейсе;
2 Адрес хоста SMTP сервера. Например, mail.enterprise.ru;
3 Время, через которое соединение SMTP будет разорвано, в случае отсутствия активных сообщений;
4 Пароль почтового ящика;
5 Порт SMTP-сервера. Обычно один из: 25, 465, 587;
6 Логин почтового аккаунта, например, siem@mail.enterprise.ru;
7 Почтовый адрес отправителя, используется и для аутентификации как параметр identity;
8 StartTLS настраивает стратегию информирования почтового сервера о том, что почтовый клиент хочет перейти с небезопасного соединения на безопасный с использованием TLS.
На почтовом ящике, который использует «Джет Сигнал», необходимо создать 2 папки: ARCH (в неё будут попадать успешно обработанные инциденты) и ERROR (в неё будут попадать инциденты, которые не удалось обработать)

Настройка уведомлений ПК «КОМРАД» в «Джет Сигнал»

Для настройки уведомлений необходимо перейти в Администрирование → Уведомления. Далее для создания нового правила нужно нажать на кнопку «Добавление».

Вкладка Уведомление
Figure 2. Вкладка «Уведомление»

Следом отобразится окно создания нового правила уведомления.

Окно создания правила уведомления
Figure 3. Окно создания правила уведомления

Для создания правила необходимо:

  1. Заполнить поле «Название»;

  2. В качестве транспорта выбрать «SMTP Service»;

  3. В поле указания получателя укажите почту, которая указана в конфигурационном файле «Джет Сигнал» в параметре login (путь – /var/www/jetsignal/config/emailListener.yml);

  4. Указать тему сообщения;

  5. В поле сообщение вставить строку: {{ extendedIncident | ToJetsignal: 'type', nil }}. Вместо type нужно указать тип инцидента для системы «Джет Сигнал». Полный список всех типов инцидентов представлен в след. таблице. Параметр nil выводит только информацию об инциденте, чтобы создать собственный параметр воспользуйтесь информацией указанной в п. "Дополнительные параметры сообщений".

  6. выбрать директиву для отправки из выпадающего списка;

  7. провести проверку встроенной валидацией и сохранить.

Table 5. Типы инцидентов
Тип инцидента Описание

spam

Спам

resource_scanning

Сканирование ресурсов

edit_content

Изменение контента

forbidden_content

Запрещенный контент

malicious_resource

Вредоносный ресурс

phishing

Фишинг, мошенничество с целью получения конфиденциальных данных

ddos

Dos/DDoS, распределённая атака типа «отказ в обслуживании»

cu_bot_network

Центр управления (ЦУ) бот-сети

retrieving_passwords

Перебор паролей

vpo

Вредоносное программное обеспечение

exploitation_vulnerabilities

Эксплуатация уязвимости

Дополнительные параметры сообщений

Есть возможность установить дополнительные параметры с помощью подобной конструкции:

{% capture opt %}
{
  "time_zone": "Europe/Moscow",
  "content": "Произошел инцидент по {{ directive }} с id {{ incident.DirectiveID }} на komrad {{ incident.TenantID }}",
  "strict_error_mapping_mode": true,
  "mapping_details": [
    {
      "key": "target_name",
      "value": "{{ incident.TenantID }}"
    },
    {
      "key": "mailing_addresses",
      "value": [
        "ya@com",
        "go@com"
      ]
    }
  ],
  "mapping_body": [
    {
      "key": "NeedForAction",
      "value": true
    },
    {
      "key": "ControlledObject",
      "value": "pc"
    },
    {
      "key": "PlaceAndMethodFixing",
      "value": "attack spam"
    }
  ]
}

{% endcapture %}
{% assign opts_jet = opt | ToOptionsJetsignal %}

{{ extendedIncident | ToJetsignal: 'spam', opts_jet}}

Параметры:

  1. time_zone - корректирует время обнаружение (detected_at) относительно часового пояса. В случае если значение пусто или поле пропущено – время будет относительно UTC.

  2. content - заменить содержание описания, в котором по умолчанию инцидент в виде json, на значение поля.

  3. strict_error_mapping_mode - устанавливает строгий мод, который, в случае отсутствия полей в details для соответствующего типа инцидента, будет выдавать ошибку.

  4. mapping_details - массив объектов ключ-значение, который будет указан в details.

  5. mapping_body - устанавливает значение основных и дополнительных полей, принимаемых системой «Джет Сигнал» (см. п. "Поля, принимаемые системой «Джет Сигнал»").