Отправка сообщений в «Джет Сигнал»
«Джет Сигнал» – это информационная система управления инцидентами информационной безопасности, предназначенная для повышения эффективности обработки инцидентов информационной безопасности.
Поля, принимаемые системой «Джет Сигнал»
Описание полей, принимаемых в «Джет Сигнал» представлены в следующе таблице.
Таблица 1 - Список полей файла komrad-server-notification-mapping-syslog-cef.yaml
Поле «Джет Сигнал» | Значение в mapping_body | Обязательность | Описание |
---|---|---|---|
title | Title | + | Имя директивы |
content | Content | + | Текст инцидента в виде json |
priority | Priority | + | Приоритет инцидента |
criticalness | Critical | + | Критичность инцидента |
detected_at | DetectedAt | + | Время обнаружения (формат 2000-01-02 15:16:17) |
type | Type | + | Тип инцидента |
source_siem | SourceSiem | + | Название SIEM системы – "Komrad-SIEM" |
incident_signature | IncidentSignature | + | Уникальный идентификатор сработавшей сигнатуры. События участвующие в создание инцидента (Key) |
details | – | – | Массив детальных полей для каждого типа инцидента (блок Служебная информация) |
controlled_object | ControlledObject | – | Идентификатор контролируемого объекта |
need_for_action | NeedForAction | – | Необходимость содействия (checkbox). Принимаемые значения: 1 или 0 |
tlp | TLP | – | TLP (необходим маппинг - Перекодировка значений) |
comp_inc_status | CompIncStatus | – | Статус КИ (необходим маппинг - Перекодировка значений) |
host_type | HostType | – | Тип атакуемого объекта (необходим маппинг - Перекодировка значений) |
need_for_action | NeedForAction | – | Необходимость содействия (checkbox) (1/0) |
place_and_method_fixing | PlaceAndMethodFixing | – | Место и способ фиксации компьютерного инцидента |
Настройка «Джет сигнал»
Добавление KOMRAD в интегрируемые системы «Джет Сигнал»
Для добавления выполните:
-
Зайти в «Настройки» ⇒ «Справочники» ⇒ «Интегрируемые системы»
Настройки «Джет Сигнал»
-
Создать запись:
Komrad-SIEM
Перекодировка значений
Для перекодировки выполните:
- Зайти в «Настройки» ⇒ «Справочники» ⇒ «Перекодир овка значений»
- Необходимо создать записи перекодировки значений для справочников: "Приоритет инцидента", "Критичность инцидента", а также "Тип" и "Категория инцидента"
Приоритет инцидента
Заранее удостовериться, что справочник «Приоритеты инцидентов» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать.
Возможные значения в системе KOMRAD: low
, medium
, high
, baseline
.
Необходимо создать несколько записей с параметрами, указанными в следующей таблице.
Таблица 2 - Записи перекодировки значений
№ записи | Параметры |
---|---|
{counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Приоритеты инцидентов Внешнее значение – low Внутреннее значение – Низкий |
{counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Приоритеты инцидентов Внешнее значение – medium Внутреннее значение – Средний |
{counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Приоритеты инцидентов Внешнее значение – high Внутреннее значение – Высокий |
{counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Приоритеты инцидентов Внешнее значение – baseline Внутреннее значение – Базовый |
Критичность инцидента
Заранее удостовериться, что справочник «Критичность инцидента» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать.
Возможные значения в системе KOMRAD: low
, medium
, high
, baseline
.
Необходимо создать несколько записей с параметрами, указанными в следующей таблице.
Таблица 3 - Записи типов и категорий инцидента
№ записи | Параметры |
---|---|
{counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Критичность инцидентов Внешнее значение – low Внутреннее значение – Низкая |
{counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Критичность инцидентов Внешнее значение – medium Внутреннее значение – Средняя |
{counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Критичность инцидентов Внешнее значение – high Внутреннее значение – Высокая |
{counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Критичность инцидентов Внешнее значение – baseline Внутреннее значение – Базовая |