Отправка сообщений в «Джет Сигнал»
«Джет Сигнал» – это информационная система управления инцидентами информационной безопасности, предназначенная для повышения эффективности обработки инцидентов информационной безопасности.
Поля, принимаемые системой «Джет Сигнал»
Описание полей, принимаемых в «Джет Сигнал» представлены в следующе таблице.
Таблица 1 - Список полей файла komrad-server-notification-mapping-syslog-cef.yaml
Поле «Джет Сигнал» | Зн ачение в mapping_body | Обязательность | Описание |
---|---|---|---|
title | Title | + | Имя директивы |
content | Content | + | Текст инцидента в виде json |
priority | Priority | + | Приоритет инцидента |
criticalness | Critical | + | Критичность инцидента |
detected_at | DetectedAt | + | Время обнаружения (формат 2000-01-02 15:16:17) |
type | Type | + | Тип инцидента |
source_siem | SourceSiem | + | Название SIEM системы – "Komrad-SIEM" |
incident_signature | IncidentSignature | + | Уникальный идентификатор сработавшей сигнатуры. События участвующие в создание инцидента (Key) |
details | – | – | Массив детальных полей для каждого типа инцидента (блок Служебная информация) |
controlled_object | ControlledObject | – | Идентификатор контролируемого объекта |
need_for_action | NeedForAction | – | Необходимость содействия (checkbox). Принимаемые значения: 1 или 0 |
tlp | TLP | – | TLP (необходим маппинг - Перекодировка значений) |
comp_inc_status | CompIncStatus | – | Статус КИ (необходим маппинг - Перекодировка значений) |
host_type | HostType | – | Тип атакуемого объекта (необходим маппинг - Перекодировка значений) |
need_for_action | NeedForAction | – | Необходимость содействия (checkbox) (1/0) |
place_and_method_fixing | PlaceAndMethodFixing | – | Место и способ фиксации компьютерного инцидента |
Настройка «Джет сигнал»
Добавление KOMRAD в интегрируемые системы «Джет Сигнал»
Для добавления выполните:
-
Зайти в «Настройки» ⇒ «Справочники» ⇒ «Интегрируемые системы»
Настройки «Джет Сигнал»
-
Создать запись:
Komrad-SIEM