KOMRAD Enterprise SIEM обеспечивает взаимодействие с технической инфраструктурой НКЦКИ через API ГосСОПКА. Данный раздел описывает основные аспекты интеграции: категории и типы уведомлений, состав полей карточек, справочные значения и особенности протокола обмена.
Версии API
Текущая версия протокола: 1.1.3 (июль 2025 г.).
Журнал изменений
Версия 1.1.3
- Для поля
related_observables_uri добавлен тип сообщения «Участник DDoS-атаки»
Версия 1.1.2
- Изменен список поддерживаемых операторов в фильтрации сообщений/уведомлений и комментариев
- Добавлен пример создания уведомления с файлом
Версия 1.1.1
- Исправлена информация о полях для типов событий ИБ: «Успешная эксплуатация уязвимости», «Событие не связано с компьютерной атакой», «Использование контролируемого ресурса для проведения атак», «Сетевое сканирование», «Социальная инженерия»
Версия 1.1.0
- Добавлены типы уведомлений: «Событие не связано с компьютерной атакой», «Использование контролируемого ресурса для проведения атак»
- Добавлены типы сообщений от НКЦКИ: «Подозрение на фишинговый ресурс», «Угроза компрометации ПДн», «Угроза компьютерной атаки»
- Переработан формат именования полей (см. таблицу переименований)
- Добавлен функционал оповещения об утечке персональных данных
- Добавлено описание работы со свидетельствами для сообщений от НКЦКИ
Категории и типы событий ИБ
Уведомление о компьютерном инциденте
| Тип события ИБ |
|---|
| Заражение ВПО |
| Замедление работы ресурса в результате DDoS-атаки |
| Захват сетевого трафика |
| Компрометация учетной записи |
| Несанкционированное изменение информации |
| Несанкционированное разглашение информации |
| Публикация на ресурсе запрещенной законодательством РФ информации |
| Успешная эксплуатация уязвимости |
| Использование контролируемого ресурса для проведения атак |
| Событие не связано с компьютерной атакой |
Уведомление о компьютерной атаке
| Тип события ИБ |
|---|
| DDoS-атака |
| Неудачные попытки авторизации |
| Попытки внедрения ВПО |
| Попытки эксплуатации уязвимости |
| Публикация мошеннической информации |
| Сетевое сканирование |
| Социальная инженерия |
Уведомление о наличии уязвимости
| Тип события ИБ |
|---|
| Уязвимый ресурс |
Сообщение от НКЦКИ
| Тип события ИБ |
|---|
| Зараженный ресурс |
| Источник email-рассылки модулей ВПО |
| Источник распространения модулей ВПО |
| Центр управления ВПО |
| Элемент инфраструктуры ВПО |
| Замедление работы ресурса |
| Источник эксплуатации уязвимости |
| Источник компрометации учетной записи |
| Участник захвата сетевого трафика |
| Источник несанкционированного доступа |
| Источник несанкционированного изменения информации |
| Источник рассылки спам-сообщений |
| Публикация запрещенной законодательством РФ информации |
| Размещение фишингового ресурса |
| Наличие несанкционированного контента |
| Участник DDoS-атаки |
| Скомпрометированная учетная запись |
| Источник сетевого сканирования |
| Участник мошеннической деятельности |
| Источник угрозы социальной инженерии |
| Уязвимый ресурс |
| Подозрение на фишинговый ресурс |
| Угроза компрометации ПДн |
| Угроза компьютерной атаки |
Настройка интеграции с ГосСОПКА
Для настройки интеграции KOMRAD Enterprise SIEM с ГосСОПКА необходимо указать следующие параметры:
Основные параметры подключения
| Параметр | Описание | Пример |
|---|
| Токен для API ГосСОПКА | Секретный токен для аутентификации в API | p_fc0e543a... |
| URL для API ГосСОПКА | Адрес API личного кабинета ГосСОПКА | https://lk.gossopka.ru/api/v2/ |
| Адрес прокси | Адрес прокси-сервера (при необходимости) | -- |
| Корневой сертификат | Сертификат для защищенного соединения | server.pem |
Параметры безопасности
| Параметр | Описание |
|---|
| Небезопасное соединение | Разрешить или запретить подключение без проверки сертификата |
| Наличие подключения к сети Интернет | Указание на наличие подключения к сети Интернет для объекта КИИ |
| Необходимость привлечения сил ГосСОПКА | Запрос на привлечение НКЦКИ к реагированию |
| Статус реагирования на инцидент | Текущий статус реагирования |
| Использовать сертификат до прокси | Применять сертификат при подключении через прокси |
Идентификация ресурса и субъекта
| Параметр | Описание |
|---|
| Сфера функционирования субъекта | Сфера деятельности организации |
| Наименование контролируемого ресурса | Название контролируемой информационной системы |
| Владелец информационного ресурса | Наименование организации-владельца |
| Сокращенное наименование организации | Краткое наименование субъекта ГосСОПКА |
| Страна/регион в формате ISO 3166-2 | Код региона (например, RU-MOS) |
| Населенный пункт или геокоординаты | Местоположение объекта |
Степень влияния инцидента
| Параметр | Допустимые значения |
|---|
| Влияние на целостность | высокое / низкое / отсутствует |
| Влияние на доступность | высокое / низкое / отсутствует |
| Влияние на конфиденциальность | высокое / низкое / отсутствует |
Справочники
Категория значимости объекта КИИ
- Информационный ресурс не является объектом КИИ
- Объект КИИ без категории значимости
- Объект КИИ третьей категории значимости
- Объект КИИ второй категории значимости
- Объект КИИ первой категории значимости
Сфера функционирования субъекта КИИ
- Здравоохранение
- Наука
- Транспорт
- Связь
- Энергетика
- Банковская сфера и иные сферы финансового рынка
- Топливно-энергетический комплекс
- Атомная энергетика
- Оборонная промышленность
- Ракетно-космическая промышленность
- Горнодобывающая промышленность
- Металлургическая промышленность
- Химическая промышленность
- Образование
- Государственная/муниципальная власть
- СМИ
Статус реагирования
- Меры приняты
- Проводятся мероприятия по реагированию
- Возобновлены мероприятия по реагированию
- Инцидент не подтвержден
Ограничительный маркер TLP
Система поддерживает протокол TLP (Traffic Light Protocol) версии 2.0:
| Маркер | Описание |
|---|
| TLP:RED | Конфиденциальная информация только для отдельных получателей, без дальнейшего раскрытия |
| TLP:AMBER | Ограниченное раскрытие, получатели могут распространять по мере необходимости внутри своей организации и среди ее клиентов |
| TLP:AMBER+STRICT | Ограниченный доступ к информации только в рамках организации |
| TLP:GREEN | Ограниченное раскрытие в рамках своего сообщества, не по общедоступным каналам |
| TLP:CLEAR | Получатели могут распространять информацию без ограничений (ранее TLP:WHITE) |
Переименование полей API (версия 1.1.0)
При переходе на версию 1.1.0 API произошло переименование полей. Ниже приведена таблица соответствия:
| Старое наименование | Новое наименование |
|---|
regdomain | reg_domain |
intresult | int_result |
ownername | owner_name |
createtime | create_time |
detecttime | detect_time |
endtime | end_time |
eventdescription | event_description |
regnumber | reg_number |
productinfo | product_info |
vulnerabilityid | vulnerability_id |
productcategory | product_category |
malwarehash | malware_hash |
affectedsystemname | affected_system_name |
affectedsystemcategory | affected_system_category |
affectedsystemfunction | affected_system_function |
affectedsystemconnection | affected_system_connection |
availabilityimpact | availability_impact |
integrityimpact | integrity_impact |
confidentialityimpact | confidentiality_impact |
customimpact | custom_impact |
Основные поля карточки сообщения от НКЦКИ
| Поле | Тип | Описание |
|---|
uuid | string | Уникальный идентификатор сообщения от НКЦКИ |
company | string | Краткое наименование организации субъекта ГосСОПКА |
category | string | Категория карточки сообщения |
type | string | Тип события ИБ |
create_time | date-time | Дата и время регистрации сообщения (ISO 8601, UTC) |
Поля оповещения об утечке персональных данных
Для категории «Уведомление о компьютерном инциденте» следующих типов: «Заражение ВПО», «Компрометация учетной записи», «Несанкционированное разглашение информации», «Успешная эксплуатация уязвимости», «Событие не связано с компьютерной атакой» -- доступны дополнительные поля:
| Поле | Описание |
|---|
| Наименование оператора | Полное наименование оператора персональных данных |
| ИНН | Идентификационный номер налогоплательщика |
| Адрес оператора | Юридический адрес оператора |
| Адрес электронной почты | Адрес для отправки информации об уведомлении |
| Предполагаемые причины | Причины, повлекшие нарушение прав субъектов ПДн |
| Характеристики персональных данных | Описание характеристик скомпрометированных ПДн |
| Предполагаемый вред | Вред, нанесенный правам субъектов ПДн |
| Принятые меры | Меры по устранению последствий инцидента |
| Дополнительные сведения | Иная существенная информация |
| Результаты внутреннего расследования | Информация о результатах расследования инцидента |
Коды регионов ISO 3166-2
При формировании уведомлений используются коды регионов Российской Федерации в соответствии со стандартом ISO 3166-2. Примеры:
RU-MOS -- Московская областьRU-SPE -- Санкт-ПетербургRU-MOW -- МоскваRU-SVE -- Свердловская областьRU-NSK -- Новосибирская областьRU-KDA -- Краснодарский край