Отправка сообщений в «Джет Сигнал»
«Джет Сигнал» – это информационная система управления инцидентами информационной безопасности, предназначенная для повышения эффективности обработки инцидентов информационной безопасности.
Поля, принимаемые системой «Джет Сигнал»
Описание полей, принимаемых в «Джет Сигнал» представлены в следующе таблице.
Таблица 1 - Список полей файла komrad-server-notification-mapping-syslog-cef.yaml
| Поле «Джет Сигнал» | Зн�ачение в mapping_body | Обязательность | Описание |
|---|---|---|---|
| title | Title | + | Имя директивы |
| content | Content | + | Текст инцидента в виде json |
| priority | Priority | + | Приоритет инцидента |
| criticalness | Critical | + | Критичность инцидента |
| detected_at | DetectedAt | + | Время обнаружения (формат 2000-01-02 15:16:17) |
| type | Type | + | Тип инцидента |
| source_siem | SourceSiem | + | Название SIEM системы – "Komrad-SIEM" |
| incident_signature | IncidentSignature | + | Уникальный идентификатор сработавшей сигнатуры. События участвующие в создание инцидента (Key) |
| details | – | – | Массив детальных полей для каждого типа инцидента (блок Служебная информация) |
| controlled_object | ControlledObject | – | Идентификатор контролируемого объекта |
| need_for_action | NeedForAction | – | Необходимость содействия (checkbox). Принимаемые значения: 1 или 0 |
| tlp | TLP | – | TLP (необходим маппинг - Перекодировка значений) |
| comp_inc_status | CompIncStatus | – | Статус КИ (необходим маппинг - Перекодировка значений) |
| host_type | HostType | – | Тип атакуемого объекта (необходим маппинг - Перекодировка значений) |
| need_for_action | NeedForAction | – | Необходимость содействия (checkbox) (1/0) |
| place_and_method_fixing | PlaceAndMethodFixing | – | Место и способ фиксации компьютерного инцидента |
Настройка «Джет сигнал»
Добавление KOMRAD в интегрируемые системы «Джет Сигнал»
Для добавления выполните:
-
Зайти в «Настройки» ⇒ «Справочники» ⇒ «Интегрируемые системы»
Настройки «Джет Сигнал»
-
Создать запись:
Komrad-SIEM
Перекодировка значений
Для перекодировки выполните:
- Зайти в «Настройки» ⇒ «Справочники» ⇒ «Перекодировка значений»
- Необходимо создать записи перекодировки значений для справочников: "Приоритет инцидента", "Критичность инцидента", а также "Тип" и "Категория инцидента"
Приоритет инцидента
Заранее удостовериться, что справочник «Приоритеты инцидентов» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать.
Возможные значения в системе KOMRAD: low, medium, high, baseline.
Необходимо создать несколько записей с параметрами, указанными в следующей таблице.
Таблица 2 - Записи перекодировки значений
| № записи | Параметры |
|---|---|
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Приоритеты инцидентов Внешнее значение – low Внутреннее значение – Низкий |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Приоритеты инцидентов Внешнее значение – medium Внутреннее значение – Средний |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Приоритеты инцидентов Внешнее значение – high Внутреннее значение – Высокий |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Приоритеты инцидентов Внешнее значение – baseline Внутреннее значение – Базовый |
Критичность инцидента
Заранее удостовериться, что справочник «Критичность инцидента» не пустой и имеет необходимые значения (Низкий, Средний, Высокий, Базовый), если нет, то необходимо их создать.
Возможные значения в систем�е KOMRAD: low, medium, high, baseline.
Необходимо создать несколько записей с параметрами, указанными в следующей таблице.
Таблица 3 - Записи типов и категорий инцидента
| № записи | Параметры |
|---|---|
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Критичность инцидентов Внешнее значение – low Внутреннее значение – Низкая |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Критичность инцидентов Внешнее значение – medium Внутреннее значение – Средняя |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Критичность инцидентов Внешнее значение – high Внутреннее значение – Высокая |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Критичность инцидентов Внешнее значение – baseline Внутреннее значение – Базовая |
Тип и категория инцидента
Заранее удостовериться, что справочники «Типы инцидентов» и «Категории инцидентов» не пустые и имеют необходимые значения, если нет, то необходимо их создать. Необходимо создать несколько записей с параметрами, указанными в следующей таблице.
Таблица 4 - Записи критичности инцидента
| № записи | Параметры |
|---|---|
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов/Категории инцидентов Внешнее значение – spam Внутреннее значение – Спам |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов / Категории инцидентов Внешнее значение – resource_scanning Внутреннее значение – Сканирование ресурсов |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Ти�пы инцидентов Внешнее значение – edit_content Внутреннее значение – Изменение контента |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов/Категории инцидентов Внешнее значение – forbidden_content Внутреннее значение – Запрещенный контент |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов/Категории инцидентов Внешнее значение – malicious_resource Внутреннее значение – Вредоносный ресурс |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов / Категории инцидентов Внешнее значение – phishing Внутреннее значение – Фишинг (мошенничество) |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов/Категории инцидентов Внешнее значение – ddos Внутреннее значение – DoS/DDoS |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов / Катего�рии инцидентов Внешнее значение – cu_bot_network Внутреннее значение – ЦУ бот-сети |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов / Категории инцидентов Внешнее значение – retrieving_passwords Внутреннее значение – Перебор паролей |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов/Категории инцидентов Внешнее значение – vpo Внутреннее значение – ВПО |
| {counter: index} | Интегрируемая система – Komrad-SIEM Справочник – Типы инцидентов / Категории инцидентов Внешнее значение – exploitation_vulnerabilities Внутреннее значение – Эксплуатация уязвимости |
Настройкаконфигурации KOMRAD Enterprise SIEM
Чтобы произвести настройку почтового сервера для отправки у�ведомлений необходимо открыть файл
komrad-server.yaml командой в терминале:sudo nano /etc/echelon/komrad/komrad-server.yaml
И привести его фрагмент к виду:
smtp:
- name: SMTP Service (1)
host: localhost (2)
idle-timeout: 30s (3)
password: password (4)
port: 465 (5)
username: username@localhost (6)
identity: username@localhost (7)
start_tls: opportunistic_start_tls (8)
tls:
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
ServerName: ""
disable: false
system-pool: false
local_name: ""
(1) Имя почтового сервера, используется для отображения в визуальном интерфейсе
(2) Адрес хоста SMTP-сервера. Например, mail.enterprise.ru
(3) Время, через которое соединение SMTP будет разорвано, в случае отсутствия активных сообщений
(4) Пароль почтового ящика
(5) Порт SMTP-се�рвера. Обычно один из: 25, 465, 587
(6) Логин почтового аккаунта, например, siem@mail.enterprise.ru
(7) Почтовый адрес отправителя, используется и для аутентификации как параметр identity
(8) StartTLS настраивает стратегию информирования почтового сервера о том, что почтовый клиент хочет перейти с небезопасного соединения на безопасный с использованием TLS
На почтовом ящике, который использует «Джет Сигнал», необходимо создать 2 папки: ARCH (в неё будут попадать успешно обработанные инциденты) и ERROR (в неё будут попадать инциденты, которые не удалось обработать)
Настройка уведомлений KOMRAD в «Джет Сигнал»
Для настройки уведомлений необходимо перейти в manage ⇒ Уведомления. Далее для создания нового правила нужно нажать на кнопку «Добавление».
Вкладка «Уведомление»
Следом отобразится окно создания нового правила уведомления.
Окно создания правила уведомления
Для создания правила необходимо:
- Заполнить поле «Название»
- В качестве транспорта выбрать «SMTP Service»
- В поле указания получателя укажите почту, которая указана в конфигурационном файле «Джет Сигнал» в параметре login
(путь –
/var/www/jetsignal/config/emailListener.yaml) - Указать тему сообщения
- В поле сообщение вставить строку:
{{ extendedIncident | ToJetsignal: 'type', nil }}Вместоtypeнужно указать тип инцидента для системы «Джет Сигнал». Полный список всех типов инцидентов представлен в следующей таблице. Параметрnilвыводит только информацию об инциденте, чтобы создать собственный параметр воспользуйтесь информацией? указанной в пункте "Дополнительные параметры сообщений" - Выбрать директиву для отправки из выпадающего списка
- Провести проверку встроенной валидацией и сохранить
Таблица 5 - Типы инцидентов
| Тип инцидента | Описание |
|---|---|
| spam | Спам |
| resource_scanning | Сканирование ресурсов |
| edit_content | Изменение контента |
| forbidden_content | Запрещенный контент |
| malicious_resource | Вредоносный ресурс |
| phishing | Фишинг, мошенничество с целью получения конфиденциальных данных |
| ddos | Dos/DDoS, распределённая атака типа «отказ в обслуживании» |
| cu_bot_network | Центр управления (ЦУ) бот-сети |
| retrieving_passwords | Перебор паролей |
| vpo | Вредоносное программное обеспечение |
| exploitation_vulnerabilities | Эксплуатация уязвимости |
Дополнительные параметры сообщений
Присутствует возможность установить дополнительные параметры сообщений. Для этого включите чек-бокс "Использовать собственный шаблон сообщения". В поле "Шаблон темы сообщения" введите {{incident.ID}}.
В поле "Шаблон сообщения" впишите:
{% capture opt %}
{
"time_zone": "Europe/Moscow",
"content": "Произошел инцидент по {{ directive }} с id {{ incident.DirectiveID }} на komrad {{ incident.TenantID }}",
"strict_error_mapping_mode": true,
"mapping_details": [
{
"key": "target_name",
"value": "{{ incident.TenantID }}"
},
{
"key": "mailing_addresses",
"value": [
"ya@com",
"go@com"
]
}
],
"mapping_body": [
{
"key": "NeedForAction",
"value": true
},
{
"key": "ControlledObject",
"value": "pc"
},
{
"key": "PlaceAndMethodFixing",
"value": "attack spam"
}
]
}
{% endcapture %}
{% assign opts_jet = opt | ToOptionsJetsignal %}
{{ extendedIncident | ToJetsignal: 'spam', opts_jet}}
Параметры:
- time_zone - корректирует время обнаружение (detected_at) относительно часового пояса. В случае если значение пусто или поле пропущено – время будет относительно UTC.
- content - заменить содержание описания, в котором по умолчанию инцидент в виде json, на значение поля.
- strict_error_mapping_mode - устанавливает строгий мод, который, в случае отсутствия полей в
detailsдля соответствующего типа инцидента, будет выдавать ошибку. - mapping_details - массив объектов ключ-значение, который будет указан в
details. - mapping_body - устанавливает значение основных и дополнительных полей, принимаемых системой «Джет Сигнал» (см. пункт "Поля, принимаемые системой «Джет Сигнал»").