Ретрокорреляция
Ретрокорреляция (ретроспективный анализ) -- механизм повторного анализа ранее зарегистрированных событий информационной безопасности с целью выявления не обнаруженных ранее компьютерных инцидентов. Механизм позволяет применять новые или изменённые правила корреляции к историческим данным.
Возможности
Ретрокорреляция обеспечивает:
- Выявление связей и зависимостей между событиями ИБ, зарегистрированными в установленном интервале времени, и вновь появившейся справочной информацией
- Выявление связей и зависимостей между событиями ИБ и новыми или изменёнными методами обнаружения инцидентов
- Выявление связей и зависимостей между событиями ИБ и ранее полученными сведениями о контролируемых информационных ресурсах и уровне защищённости
- Настройку параметров проводимого анализа: временного интервала, критериев корреляции, правил агрегации и выбора коррелятора
- Поиск ранее не обнаруженных компьютерных инцидентов с использованием новых методов выявления
- Выполнение ретрокорреляции как по одной директиве, так и по совокупности директив одновременно
Агрегированные события ИБ хранятся в системе не менее шести месяцев с момента регистрации. Временной интервал ретрокорреляции ограничен периодом хранения событий, настроенным в конфигурации системы.
Управление задачами
Управление задачами ретрокорреляции осуществляется через таблицу задач, которая содержит следующие столбцы:
| Столбец | Описание |
|---|---|
| Идентификатор | Уникальный ID задачи |
| Название | Имя задачи |
| Описание | Текстовое описание |
| Фильтры | Применённые фильтры |
| Статус | Текущее состояние задачи |
| Дата создания | Дата и время создания |
| Дата обновления | Дата и время последнего изменения |
| Дата запуска | Дата и время запуска анализа |
| Дата завершения | Дата и время завершения анализа |
Доступные действия с таблицей:
- Настройка отображаемых столбцов
- Полнотекстовый поиск по всем полям
- Сортировка по возрастанию и убыванию для столбцов: идентификатор, название, описание, фильтры, статус
- Сортировка по дате: дата создания, обновления, запуска, завершения
- Фильтрация по статусу и по фильтрам
Создание задачи ретрокорреляции
Создание задачи ретрокорреляции проходит в три шага с помощью конструктора.
Шаг 1 -- Общая информация
На первом шаге заполняются:
- Название -- имя задачи ретрокорреляции
- Описание -- текстовое описание назначения задачи (не более 1000 символов)
Шаг 2 -- Фильтрация событий
На втором шаге задаётся выборка событий для анализа:
- Временной промежуток -- период, за который будет проводиться ретроспективный анализ
- Фильтры -- условия отбора событий
- Поиск событий -- выражение поиска с поддержкой учёта регистра и регулярных выражений
Временной промежуток не может превышать период хранения событий в системе. При попытке указать интервал, выходящий за пределы хранения, отобразится сообщение об ошибке.
Шаг 3 -- Корреляция
На третьем шаге выбираются:
- Коррелятор -- узел, на котором будет выполняться анализ
- Директивы -- одна или несколько директив для применения к событиям
При выборе нескольких групп "коррелятор + директивы" директивы между группами могут пересекаться. В этом случае система отображает предупреждение о том, что директива уже включена на другом корреляторе.
Карточка задачи ретрокорреляции
Карточка задачи содержит три вкладки:
Информация
На вкладке Информация отображаются:
- Идентификатор задачи
- Название
- Статус
- Период анализа
- Применённые фильтры
- Описание
- Таблица директив с ссылками на карточки директив
- Таблица корреляторов с ссылками на карточки корреляторов
События
На вкладке События отображается таблица событий, аналогичная таблице раздела Поиск по событиям.
Инциденты
На вкладке Инциденты содержатся два раздела:
- Необработанные инциденты -- инциденты в статусе "новый", обнаруженные в ходе анализа. У всех инцидентов, найденных при ретрокорреляции, указан источник Ретрокорреляция
- Обработанные инциденты -- инциденты, прошедшие обработку и находящиеся в статусах "расследуется", "ложное срабатывание" или "закрыт"
Статусы задач
| Статус | Описание | Доступные действия |
|---|---|---|
| Создана | Задача создана, но не запущена | Запустить |
| В процессе | Задача запущена и выполняется | Поставить на паузу, Остановить |
| На паузе | Выполнение задачи приостановлено | Запустить, Остановить |
| Завершена | Задача успешно завершена | Скачать отчёт |
| Отменена | Задача была отменена пользователем | Запустить |
| Ошибка | Задача завершена с ошибкой | Запустить |
С завершённой задачей нельзя производить действия, кроме скачивания отчёта.
Прогресс выполнения
Во время выполнения задачи отображается прогресс в процентном выражении от 0% до 100%. Значение прогресса рассчитывается как отношение количества обработанных событий к общему количеству событий в задаче.
Все изменения статуса и прогресса фиксируются в журнале изменений с указанием даты и имени пользователя.
Источники инцидентов
Инциденты, обнаруженные в результате ретрокорреляции, получают отметку источника Ретрокорреляция. В системе поддерживаются следующие типы источников инцидентов:
| Источник | Описание |
|---|---|
| Коррелятор | Инцидент создан в результате работы коррелятора в реальном времени |
| Ретрокорреляция | Инцидент обнаружен при ретроспективном анализе |
| Ручной | Инцидент создан вручную оператором |
| Импортированный | Инцидент импортирован из внешнего источника |
| Внешний | Инцидент получен из внешней системы |
Ограничения
- Когда задача находится в статусе В процессе, коррелятор, на котором она выполняется, нельзя выключить. При попытке выключения отображается уведомление: "На данном корреляторе запущена задача ретрокорреляции"
- Задачу ретрокорреляции нельзя запустить на корреляторе, находящемся в статусе Запускается, Останавливается, Остановлен, Ошибка или Недоступен. При попытке запуска отображается уведомление: "Коррелятор недоступен"
- Ошибка задачи возникает при остановке коррелятора по внешним причинам