Перейти к основному содержимому
Версия: 4.5.X

Отправка сообщений в «Джет Сигнал»

«Джет Сигнал» – это информационная система управления инцидентами информационной безопасности, предназначенная для повышения эффективности обработки инцидентов информационной безопасности.

Поля, принимаемые системой «Джет Сигнал»

Описание полей, принимаемых в «Джет Сигнал» представлены в следующе таблице.

Таблица 1 - Список полей файла komrad-server-notification-mapping-syslog-cef.yaml

Поле
«Джет Сигнал»
Значение в mapping_bodyОбязательностьОписание
titleTitle+Имя директивы
contentContent+Текст инцидента в виде json
priorityPriority+Приоритет инцидента
criticalnessCritical+Критичность инцидента
detected_atDetectedAt+Время обнаружения
(формат 2000-01-02 15:16:17)
typeType+Тип инцидента
source_siemSourceSiem+Название SIEM системы –
"Komrad-SIEM"
incident_signatureIncidentSignature+Уникальный идентификатор сработавшей сигнатуры. События участвующие в создание инцидента (Key)
detailsМассив детальных полей для каждого типа инцидента
(блок Служебная информация)
controlled_objectControlledObjectИдентификатор контролируемого объекта
need_for_actionNeedForActionНеобходимость содействия (checkbox). Принимаемые значения: 1 или 0
tlpTLPTLP (необходим маппинг - Перекодировка значений)
comp_inc_statusCompIncStatusСтатус КИ (необходим маппинг - Перекодировка значений)
host_typeHostTypeТип атакуемого объекта (необходим маппинг - Перекодировка значений)
need_for_actionNeedForActionНеобходимость содействия (checkbox) (1/0)
place_and_method_fixingPlaceAndMethodFixingМесто и способ фиксации компьютерного инцидента

Настройка «Джет сигнал»

Добавление KOMRAD в интегрируемые системы «Джет Сигнал»

Для добавления выполните:

  1. Зайти в «Настройки» ⇒ «Справочники» ⇒ «Интегрируемые системы»

    Настройки «Джет Сигнал»

    Настройки «Джет Сигнал»

  2. Создать запись: Komrad-SIEM

Перекодировка значений

Для перекодировки выполните:

  1. Зайти в «Настройки» ⇒ «Справочники» ⇒ «Перекодировка значений»
  2. Необходимо создать записи перекодировки значений для справочников: "Приоритет инцидента", "Критичность инцидента", а также "Тип" и "Категория инцидента"

Приоритет инцидента

Заранее удостовериться, что справочник «Приоритеты инцидентов» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать. Возможные значения в системе KOMRAD: low, medium, high, baseline. Необходимо создать несколько записей с параметрами, указанными в следующей таблице.

Таблица 2 - Записи перекодировки значений

№ записиПараметры
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Приоритеты инцидентов
Внешнее значение – low
Внутреннее значение – Низкий
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Приоритеты инцидентов
Внешнее значение – medium
Внутреннее значение – Средний
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Приоритеты инцидентов
Внешнее значение – high
Внутреннее значение – Высокий
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Приоритеты инцидентов
Внешнее значение – baseline
Внутреннее значение – Базовый

Критичность инцидента

Заранее удостовериться, что справочник «Критичность инцидента» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать. Возможные значения в системе KOMRAD: low, medium, high, baseline. Необходимо создать несколько записей с параметрами, указанными в следующей таблице.

Таблица 3 - Записи типов и категорий инцидента

№ записиПараметры
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Критичность инцидентов
Внешнее значение – low
Внутреннее значение – Низкая
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Критичность инцидентов
Внешнее значение – medium
Внутреннее значение – Средняя
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Критичность инцидентов
Внешнее значение – high
Внутреннее значение – Высокая
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Критичность инцидентов
Внешнее значение – baseline
Внутреннее значение – Базовая

Тип и категория инцидента

Заранее удостовериться, что справочники «Типы инцидентов» и «Категории инцидентов» не пустые и имеют необходимые значения, если нет, то необходимо их создать. Необходимо создать несколько записей с параметрами, указанными в следующей таблице.

Таблица 4 - Записи критичности инцидента

№ записиПараметры
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов/Категории инцидентов
Внешнее значение – spam
Внутреннее значение – Спам
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – resource_scanning
Внутреннее значение – Сканирование ресурсов
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов
Внешнее значение – edit_content
Внутреннее значение – Изменение контента
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов/Категории инцидентов
Внешнее значение – forbidden_content
Внутреннее значение – Запрещенный контент
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов/Категории инцидентов
Внешнее значение – malicious_resource
Внутреннее значение – Вредоносный ресурс
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – phishing
Внутреннее значение – Фишинг (мошенничество)
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов/Категории инцидентов
Внешнее значение – ddos
Внутреннее значение – DoS/DDoS
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – cu_bot_network
Внутреннее значение – ЦУ бот-сети
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – retrieving_passwords
Внутреннее значение – Перебор паролей
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов/Категории инцидентов
Внешнее значение – vpo
Внутреннее значение – ВПО
{counter: index}
Интегрируемая система – Komrad-SIEM
Справочник – Типы инцидентов / Категории инцидентов
Внешнее значение – exploitation_vulnerabilities
Внутреннее значение – Эксплуатация уязвимости

Настройкаконфигурации KOMRAD Enterprise SIEM

Чтобы произвести настройку почтового сервера для отправки уведомлений необходимо открыть файл

komrad-server.yaml командой в терминале:

sudo nano /etc/echelon/komrad/komrad-server.yaml

И привести его фрагмент к виду:

 smtp:
- name: SMTP Service (1)
host: localhost (2)
idle-timeout: 30s (3)
password: password (4)
port: 465 (5)
username: username@localhost (6)
identity: username@localhost (7)
start_tls: opportunistic_start_tls (8)
tls:
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
ServerName: ""
disable: false
system-pool: false
local_name: ""

(1) Имя почтового сервера, используется для отображения в визуальном интерфейсе

(2) Адрес хоста SMTP-сервера. Например, mail.enterprise.ru

(3) Время, через которое соединение SMTP будет разорвано, в случае отсутствия активных сообщений

(4) Пароль почтового ящика

(5) Порт SMTP-сервера. Обычно один из: 25, 465, 587

(6) Логин почтового аккаунта, например, siem@mail.enterprise.ru

(7) Почтовый адрес отправителя, используется и для аутентификации как параметр identity

(8) StartTLS настраивает стратегию информирования почтового сервера о том, что почтовый клиент хочет перейти с небезопасного соединения на безопасный с использованием TLS

осторожно

На почтовом ящике, который использует «Джет Сигнал», необходимо создать 2 папки: ARCH (в неё будут попадать успешно обработанные инциденты) и ERROR (в неё будут попадать инциденты, которые не удалось обработать)

Настройка уведомлений KOMRAD в «Джет Сигнал»

Для настройки уведомлений необходимо перейти в manage ⇒ Уведомления. Далее для создания нового правила нужно нажать на кнопку «Добавление».

Вкладка «Уведомление»

Вкладка «Уведомление»

Следом отобразится окно создания нового правила уведомления.

Окно создания правила уведомления

Окно создания правила уведомления

Для создания правила необходимо:

  1. Заполнить поле «Название»
  2. В качестве транспорта выбрать «SMTP Service»
  3. В поле указания получателя укажите почту, которая указана в конфигурационном файле «Джет Сигнал» в параметре login (путь – /var/www/jetsignal/config/emailListener.yaml)
  4. Указать тему сообщения
  5. В поле сообщение вставить строку: {{ extendedIncident | ToJetsignal: 'type', nil }} Вместо type нужно указать тип инцидента для системы «Джет Сигнал». Полный список всех типов инцидентов представлен в следующей таблице. Параметр nil выводит только информацию об инциденте, чтобы создать собственный параметр воспользуйтесь информацией? указанной в пункте "Дополнительные параметры сообщений"
  6. Выбрать директиву для отправки из выпадающего списка
  7. Провести проверку встроенной валидацией и сохранить

Таблица 5 - Типы инцидентов

Тип инцидентаОписание
spamСпам
resource_scanningСканирование ресурсов
edit_contentИзменение контента
forbidden_contentЗапрещенный контент
malicious_resourceВредоносный ресурс
phishingФишинг, мошенничество с целью получения конфиденциальных данных
ddosDos/DDoS, распределённая атака типа «отказ в обслуживании»
cu_bot_networkЦентр управления (ЦУ) бот-сети
retrieving_passwordsПеребор паролей
vpoВредоносное программное обеспечение
exploitation_vulnerabilitiesЭксплуатация уязвимости

Дополнительные параметры сообщений

Присутствует возможность установить дополнительные параметры сообщений. Для этого включите чек-бокс "Использовать собственный шаблон сообщения". В поле "Шаблон темы сообщения" введите {{incident.ID}}.

В поле "Шаблон сообщения" впишите:

{% capture opt %}
{
"time_zone": "Europe/Moscow",
"content": "Произошел инцидент по {{ directive }} с id {{ incident.DirectiveID }} на komrad {{ incident.TenantID }}",
"strict_error_mapping_mode": true,
"mapping_details": [
{
"key": "target_name",
"value": "{{ incident.TenantID }}"
},
{
"key": "mailing_addresses",
"value": [
"ya@com",
"go@com"
]
}
],
"mapping_body": [
{
"key": "NeedForAction",
"value": true
},
{
"key": "ControlledObject",
"value": "pc"
},
{
"key": "PlaceAndMethodFixing",
"value": "attack spam"
}
]
}

{% endcapture %}
{% assign opts_jet = opt | ToOptionsJetsignal %}

{{ extendedIncident | ToJetsignal: 'spam', opts_jet}}

Параметры:

  1. time_zone - корректирует время обнаружение (detected_at) относительно часового пояса. В случае если значение пусто или поле пропущено – время будет относительно UTC.
  2. content - заменить содержание описания, в котором по умолчанию инцидент в виде json, на значение поля.
  3. strict_error_mapping_mode - устанавливает строгий мод, который, в случае отсутствия полей в details для соответствующего типа инцидента, будет выдавать ошибку.
  4. mapping_details - массив объектов ключ-значение, который будет указан в details.
  5. mapping_body - устанавливает значение основных и дополнительных полей, принимаемых системой «Джет Сигнал» (см. пункт "Поля, принимаемые системой «Джет Сигнал»").