Работа с инцидентами

В разделе Инциденты веб-интерфейса KUMA можно создавать, просматривать и обрабатывать инциденты. При необходимости вы также можете фильтровать инциденты. При нажатии на название инцидента открывается окно со сведениями о нем.

Инциденты можно экспортировать в НКЦКИ.

Срок хранения инцидентов составляет один год, однако этот параметр можно изменить.

Формат даты инцидента зависит от языка локализации, выбранного в настройках программы. Возможные варианты формата даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

О таблице инцидентов

В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.

Как настроить таблицу инцидентов

Доступные столбцы таблицы инцидентов:

• Название – название инцидента. Инциденты, поступившие от НКЦКИ, содержат в названии префикс ALRT*.
• Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
• Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
• Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
  • Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
  • При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
• Тенант – название тенанта, которому принадлежит инцидент.
• Статус – текущее состояние инцидента:
  • Открыт – новый, еще не обработанный инцидент.
  • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – инцидент закрыт, угроза безопасности устранена.
• Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
• Уровень важности – степень значимости потенциальной угрозы безопасности: Критический , Высокий , Средний , Низкий .
• Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
• Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
• Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
• Категория инцидента и Тип инцидента – категория и тип угрозы, присвоенные инциденту.
• Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
  • Не экспортировался – данные не передавались в НКЦКИ.
  • Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
  • Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
• Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
• КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

• Активы: название, FQDN, IP-адрес.
• Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
• Корреляционные правила: название.
• Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
• Тенанты: название.

При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.

Сохранение и выбор конфигураций фильтра инцидентов

В KUMA можно сохранять изменения параметров таблицы инцидентов в виде фильтров. Конфигурации фильтров сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры конфигурации фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
2. Выберите Сохранить текущий фильтр.

   Откроется окно для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

3. Введите название конфигурации фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Выбрать фильтр.
2. Выберите нужную конфигурацию.

Конфигурация фильтра активна.

Вы можете выбрать фильтр, который будет использоваться по умолчанию, поставив в раскрывающемся списке Фильтры звездочку левее названия требуемой конфигурации фильтра.

Чтобы сбросить текущие настройки фильтра,

откройте раскрывающийся список Фильтры и выберите Очистить фильтр.

Удаление конфигураций фильтра инцидентов

Чтобы удалить ранее сохраненную конфигурацию фильтра:

1. В разделе KUMA Инциденты откройте раскрывающийся список Фильтры.
2. Нажмите значок рядом с фильтром, который требуется удалить.
3. Нажмите ОК.

Конфигурация фильтра удалена для всех пользователей KUMA.

Просмотр информации об инциденте

Чтобы просмотреть информацию об инциденте:

1. В окне веб-интерфейса программы выберите раздел Инциденты.
2. Выберите инцидент, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об инциденте.

Некоторые параметры инцидентов доступны для редактирования. Инциденты, автоматически созданные в KUMA по результатам уведомления от НКЦКИ, содержат префикс ALRT*.

В верхней части окна информации об инциденте расположена панель инструментов и указано имя пользователя, которому назначен инцидент, а также указаны разделы окна в виде закладок, при нажатии на которые можно перемещаться к нужному разделу. В этом окне вы можете обработать инцидент: назначить его пользователю, объединить его с другим инцидентом или закрыть.

Раздел Описание содержит следующие данные:

• Создан – дата и время создания инцидента.
• Название – название инцидента.

  Название инцидента можно изменить, введя в поле новое название и нажав Сохранить. Название должно содержать от 1 до 128 символов в кодировке Unicode.

• Тенант – название тенанта, которому принадлежит инцидент.

  Тенанта можно изменить, выбрав необходимый тенант в раскрывающемся списке и нажав Сохранить.

• Статус – текущее состояние инцидента:
  • Открыт – новый, еще не обработанный инцидент.
  • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – инцидент закрыт, угроза безопасности устранена.
• Уровень важности – значимость угрозы, которую представляет инцидент. Возможные значения:
  • Критический.
  • Высокий.
  • Средний.
  • Низкий.

  Уровень важности можно изменить, выбрав нужное значение в раскрывающемся списке и нажав Сохранить.

• Категории затронутых активов – категории, к которым принадлежат связанные с инцидентом активы.
• Появление первого события и Появление последнего события – дата и время первого и последнего события в инциденте.
• Тип инцидента и Категория инцидента – тип и категория угрозы, присвоенная инциденту. Значения можно изменить, выбрав в раскрывающемся списке нужное и нажав Сохранить.
• Экспорт в НКЦКИ – сведения о том, экспортировался ли этот инцидент в НКЦКИ.
• Описание – описание инцидента.

  Описание можно изменить, введя в поле новый текст и нажав Сохранить. Описание должно содержать не более 256 символов в кодировке Unicode.

• Связанные тенанты – тенанты, относящиеся к связанным с инцидентом алертам, активам и пользователям.
• Доступные тенанты – тенанты, алерты которых можно привязывать к инциденту автоматически.

  Список доступных тенантов можно изменить, установив в раскрывающемся списке флажки напротив нужных тенантов и нажав Сохранить.

Раздел Связанные алерты содержит таблицу алертов, относящихся к инциденту. При нажатии на название алерта открывается окно с подробными данными об этом алерте.

Разделы Связанные активы и Связанные пользователи содержат таблицы с данными об активах и пользователях, относящихся к инциденту. Эта информация поступает из алертов, связанных с инцидентом.

Таблицы в разделах Связанные алерты, Связанные активы и Связанные пользователи можно дополнить данными, нажав в нужном разделе на кнопку Привязать и выбрав в открывшемся окне объект, который следует привязать к инциденту. При необходимости вы можете отвязать объекты от инцидента. Для этого вам требуется выбрать необходимые объекты, нажать Отвязать в разделе, к которому они относятся, и сохранить изменения. Если объекты добавлены в инцидент автоматически, их нельзя отвязать, пока не отвязан алерт, в котором они упоминаются. Состав полей в таблицах этих разделов можно изменить, нажав в нужном разделе на кнопку шестеренки (). По данным в таблицах этих разделов можно вести поиск с помощью полей Поиск.

Раздел Журнал изменений содержит записи об изменениях, которые вы и пользователи вносили в инцидент. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии.

В разделе Интеграция с НКЦКИ можно отслеживать статус инцидента в НКЦКИ. Кроме того, в этом разделе можно экспортировать данные об инциденте в НКЦКИ, пересылать в НКЦКИ файлы, а также обмениваться со специалистами НКЦКИ сообщениями.

Если в параметры инцидента на стороне НКЦКИ были внесены изменения, в окне инцидента в KUMA будет отображаться соответствующее уведомление. При этом для параметров, по которым есть расхождения, в окне будут отображаться варианты значений и из KUMA, и из НКЦКИ.

Создание инцидента

Чтобы создать инцидент:

1. Откройте веб-интерфейс KUMA и выберите раздел Инциденты.
2. Нажмите Создать инцидент.

   Откроется окно создания инцидента.

3. Заполните обязательные параметры инцидента:
   • В поле Название введите название инцидента. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   • В раскрывающемся списке Тенант выберите тенант, которому принадлежит создаваемый инцидент.
4. При необходимости укажите другие параметры инцидента:
   • В раскрывающемся списке Уровень важности выберите степень угрозы, которую представляет инцидент. Доступные значения: Низкий, Средний, Высокий, Критический.
   • В полях Появление первого события и Появление последнего события укажите временной диапазон, в котором были получены события, относящиеся к инциденту.
   • В раскрывающихся списках Категория инцидента и Тип инцидента выберите категорию и тип инцидента. Доступные типы инцидента зависят от выбранной категории.
   • Добавьте Описание инцидента. Описание должно содержать не более 256 символов в кодировке Unicode.
   • В раскрывающемся списке Доступные тенанты выберите тенанты, алерты которых можно будет привязывать к инциденту автоматически.
   • В разделе Связанные алерты добавьте алерты, относящиеся к инциденту.

     Привязка алертов к инцидентам

     Чтобы привязать алерт к инциденту:

     1. В разделе Связанные алерты окна инцидента нажмите Привязать.

        Откроется окно со списком непривязанных к инцидентам обнаружений.

     2. Выберите требуемые алерты.

        Алерты можно искать по пользователям, активам, тенантам и корреляционным правилам с помощью регулярных выражений PCRE.

     3. Нажмите Привязать.

     Алерты связаны с инцидентом и отображаются в разделе Связанные алерты.

     Чтобы отвязать алерты от инцидента:

     1. Выберите нужные алерты в разделе Связанные алерты и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Алерты отвязаны от инцидента. Также алерт можно отвязать от инцидента в окне алерта с помощью кнопки Отвязать.

   • В разделе Связанные активы добавьте активы, относящиеся к инциденту.

     Привязка активов к инцидентам

     Чтобы привязать актив к инциденту:

     1. В разделе Связанные активы окна инцидента нажмите Привязать.

        Откроется окно со списком активов.

     2. Выберите нужные активы.

        Активы можно искать с помощью поля Поиск.

     3. Нажмите Привязать.

     Активы связаны с инцидентом и отображаются в разделе Связанные активы.

     Чтобы отвязать активы от инцидента:

     1. Выберите нужные активы в разделе Связанные активы и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Активы отвязаны от инцидента.

   • В разделе Связанные пользователи добавьте пользователей, относящихся к инциденту.

     Привязка пользователей к инцидентам

     Чтобы привязать пользователя к инциденту:

     1. В разделе Связанные пользователи окна инцидента нажмите Привязать.

        Откроется окно со списком пользователей.

     2. Выберите нужных пользователей.

        Пользователей можно искать с помощью поля Поиск.

     3. Нажмите Привязать.

     Пользователи связаны с инцидентом и отображаются в разделе Связанные пользователи.

     Чтобы отвязать пользователей от инцидента:

     1. Выберите нужных пользователей в разделе Связанные пользователи и нажмите на кнопку Отвязать.
     2. Нажмите Сохранить.

     Пользователи отвязаны от инцидента.

   • Добавьте Комментарий к инциденту.
5. Нажмите Сохранить.

Инцидент создан.

Обработка инцидентов

Вы можете назначить инцидент пользователю, объединить инциденты или закрыть инцидент.

Чтобы обработать инцидент:

1. Выберите необходимые инциденты одним из следующих способов:
   • В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, который нужно обработать.

     Откроется окно инцидента, в его верхней части расположена панель инструментов.

   • В разделе Инциденты веб-интерфейса KUMA установите флажок рядом с требуемыми инцидентами.

     В нижней части окна отобразится панель инструментов.

2. В раскрывающемся списке Назначить выберите пользователя, которому вы хотите назначить инцидент.

   Вы можете назначить инцидент себе, выбрав Мне.

   Инциденту будет присвоен статус Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.

3. В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
   1. После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
   2. В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
      • Добавить учетную запись в группу

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Удалить учетную запись из группы

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Сбросить пароль учетной записи
      • Блокировать учетную запись
   3. Нажмите Применить.
4. При необходимости измените параметры инцидента.
5. После расследования закройте инцидент:
   1. Нажмите Закрыть.

      Откроется окно подтверждения.

   2. Укажите причину закрытия инцидента:
      • одобрен. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • не одобрен. Это означает, что инцидент был ложным, а полученные события не указывают на угрозу безопасности.
   3. Нажмите Закрыть.

   Инциденту будет присвоен статус Закрыт. Инциденты с таким статусом невозможно редактировать, и они отображаются в таблице инцидентов, только если при фильтрации таблицы в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого инцидента или назначить его другому пользователю невозможно, однако его можно объединить с другим инцидентом.

6. При необходимости объедините выбранные инциденты с другим инцидентом:
   1. Нажмите Объединить и в открывшемся окне выберите инцидент, в который следует поместить все данные из выбранных инцидентов.
   2. Подтвердите выбор, нажав Объединить.

   Инциденты будут объединены.

Инцидент обработан.

Изменение инцидентов

Чтобы изменить параметры инцидента:

1. В разделе Инциденты веб-интерфейса KUMA нажмите на инцидент, параметры которого нужно изменить.

   Откроется окно инцидента.

2. Измените нужные параметры. Для редактирования доступны все параметры инцидента, которые можно задать при его создании.
3. Нажмите Сохранить.

Инцидент будет изменен.

Автоматическая привязка алертов к инцидентам

В KUMA можно настроить автоматическую привязку создаваемых алертов к уже существующим инцидентам, если у алертов и инцидентов есть пересечения по относящимся к ним активам или пользователям. Если настройка включена, то при создании алерта программа выполняет поиск инцидентов за указанный период, к которым относятся активы или пользователи из алерта. Кроме того, программа проверяет, чтобы созданный алерт относился к тенантам, указанным в инцидентах в качестве параметра Доступные тенанты. Если удовлетворяющий условиям инцидент найден, программа связывает созданный алерт и найденный инцидент.

Чтобы настроить автоматическую привязку алертов к инцидентам:

1. Откройте раздел веб-интерфейса KUMA Параметры → Инциденты → Автоматическая привязка алертов к инцидентам.
2. Установите флажок Включить в блоках параметров Привязка при пересечении по активам и/или Привязка при пересечении по пользователям, в зависимости от того, какие связи необходимо искать между инцидентами и алертами.
3. Задайте Срок давности создания инцидента для параметров, по которым необходимо искать связи. Создаваемые алерты будут сравниваться с инцидентами не старше указанного срока.

Автоматическая привязка алертов к инцидентам настроена.

Чтобы выключить автоматическую привязку алертов к инцидентам,

в разделе веб-интерфейса KUMA Параметры → Инциденты → Автоматическая привязка алертов к инцидентам установите флажок Выключено.

Категории и типы инцидентов

Для удобства работы вы можете присваивать категории и типы. Если инциденту присвоена категория НКЦКИ, его можно экспортировать в НКЦКИ.

Категории и типы инцидентов, которые можно экспортировать в НКЦКИ

Категории инцидентов можно просмотреть или изменить в разделе Параметры → Инциденты → Типы инцидентов, где они отображаются в виде таблицы. При нажатии на заголовки столбцов можно менять параметры сортировки таблицы. Таблица содержит следующие столбцы:

• Категория инцидента – общий признак инцидента или компьютерной атаки. Таблицу можно фильтровать по значениям этого столбца.
• Тип инцидента – класс инцидента или компьютерной атаки.
• Категория для НКЦКИ – соответствие типа инцидента номенклатуре НКЦКИ. Невозможно экспортировать в НКЦКИ инциденты, которым присвоены пользовательские типы и категории. Таблицу можно фильтровать по значениям этого столбца.
• Уязвимость – указывает ли тип инцидента на уязвимость.
• Создан – дата создания типа инцидента.
• Изменен – дата изменения типа инцидента.

Чтобы добавить тип инцидента:

1. В разделе веб-интерфейса KUMA Параметры → Инциденты → Типы инцидентов нажмите Добавить.

   Откроется окно создания типа инцидента.

2. Заполните поля Тип и Категория.
3. Если создаваемый тип инцидента соответствует номенклатуре НКЦКИ, установите флажок Категория для НКЦКИ.
4. Если тип инцидента указывает на уязвимость, установите флажок Уязвимость.
5. Нажмите Сохранить.

Тип инцидента создан.

Взаимодействие с НКЦКИ

В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:

• экспортировать в НКЦКИ инциденты;
• при запросе НКЦКИ дополнять экспортированный инцидент данными;
• отправлять в НКЦКИ файлы;
• обмениваться сообщениями со специалистами НКЦКИ;
• просматривать изменения в параметрах экспортированных инцидентов, сделанных в НКЦКИ;
• обрабатывать инциденты, автоматически созданные KUMA по результатам уведомления от НКЦКИ, с префиксом ALRT* .

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Условия взаимодействия с НКЦКИ

Для взаимодействия с НКЦКИ должны выполняться следующие условия:

• лицензия программы включает модуль GosSOPKA;
• настроена интеграция с НКЦКИ;
• в параметрах пользователей, в обязанности которых входит взаимодействие с НКЦКИ, установлен флажок Может взаимодействовать с НКЦКИ.

Этапы взаимодействия с НКЦКИ

В KUMA экспорт и обработка инцидентов, экспортированных в НКЦКИ, проходит через следующие этапы:

1. Создание инцидента и проверка его на соответствие требованиям НКЦКИ

   Вы можете создать инцидент или получить его из дочернего узла KUMA. Перед отправкой данных в НКЦКИ необходимо убедиться, что категория инцидента соответствует требованиям НКЦКИ

2. Экспорт инцидента в НКЦКИ

   При успешном экспорте инцидента в НКЦКИ его параметр Экспорт в НКЦКИ принимает значение Экспортирован. В нижней части окна инцидента становится доступен раздел с чатом с сотрудниками НКЦКИ.

   В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ и в автоматических сообщениях чата.

   Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ. Параметры инцидента в таком статусе доступны для изменения, однако обновленные сведения невозможно передать из KUMA в НКЦКИ. Вы можете просмотреть разницу между данными об инциденте в KUMA и в НКЦКИ.

3. Дополнение данных об инциденте

   Если сотрудникам НКЦКИ не хватает сведений для обработки инцидента, они могут присвоить ему статус Требуется дополнение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ. Пользователи уведомляются об изменении статуса.

   К инцидентам с таким статусом можно прикрепить файл.

   Дополнение данных завершается повторным экспортом инцидента в НКЦКИ, при котором необходимо дополнить или изменить ранее отправленные сведения. Из родительского узла KUMA невозможно вносить изменения в инциденты дочерних узлов – это необходимо сделать сотрудникам дочернего узла KUMA.

   При успешном дополнении инцидента данными ему присваивается статус Проверка НКЦКИ.

4. Завершение обработки инцидента

   Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ.

   При получении этого статуса инцидент в KUMA автоматически закрывается. Взаимодействие с НКЦКИ по данному инциденту через KUMA становится невозможным.

Особенности экспорта в НКЦКИ из иерархической структуры KUMA

Если в вашей организации развернуто несколько узлов KUMA, которые объединены в иерархическую структуру, вы можете из родительских узлов KUMA передавать в НКЦКИ инциденты, полученные из дочерних узлов KUMA. Для этого должны выполняться следующие условия:

• В родительском и дочернем узле KUMA настроена интеграция с НКЦКИ. При этом для родительского узла параметры URL и Токен в разделе Параметры → НКЦКИ являются обязательными, а для дочернего – нет.
• В обоих узлах не отключена интеграция с НКЦКИ.

При такой настройке взаимодействие с НКЦКИ осуществляется только на уровне узла, экспортировавшего инцидент в НКЦКИ.

Из родительского узла KUMA невозможно изменить параметры инцидента, полученного из дочернего узла KUMA. Если для экспорта в НКЦКИ не хватает каких-то данных, инцидент необходимо изменить на дочернем узле KUMA, а затем уже экспортировать его в НКЦКИ из родительского узла KUMA.

Экспорт данных в НКЦКИ

Невозможно экспортировать в НКЦКИ закрытые в KUMA инциденты, если на момент закрытия в этих инцидентах не было заполнено поле Описание.

Чтобы экспортировать инцидент в НКЦКИ:

1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, который вы хотите экспортировать.
2. Нажмите в нижней части окна на кнопку Экспорт в НКЦКИ.
3. Если вы не указали категорию и тип инцидента, укажите эти сведения в открывшемся окне и нажмите на кнопку Экспорт в НКЦКИ.

   Откроется окно с параметрами экспорта.

4. Укажите параметры на вкладке Основные окна Экспорт в НКЦКИ:
   • Категория инцидента и Тип инцидента – укажите тип и категорию инцидента. В НКЦКИ можно экспортировать только инциденты определенных категорий и типов.
   • TLP (обязательно) – присвойте инциденту маркер протокола Traffic Light, определяющий характер сведений об инциденте. По умолчанию используется значение RED. Доступные значения:
     • WHITE – раскрытие не ограничено;
     • GREEN – раскрытие только для сообщества;
     • AMBER – раскрытие только для организаций;
     • RED – раскрытие только для круга лиц.
   • Название информационной системы (обязательно) – укажите название информационного ресурса, в котором произошел инцидент. В поле можно ввести до 500 000 символов.
   • Категория КИИ системы (обязательно) – укажите категорию критической информационной структуры (КИИ) вашей организации. Если у вашей организации нет категории КИИ, выберите пункт Информационный ресурс не является объектом КИИ.
   • Сфера деятельности компании (обязательно) – укажите сферу деятельности вашей организации. По умолчанию используется значение, указанное в параметрах интеграции с НКЦКИ.
   • Местоположение (обязательно) – выберите в раскрывающемся списке местоположение вашей организации.
   • Затронутая система имеет подключение к интернету – установите этот флажок, если активы, относящиеся к инциденту, имеют подключение к интернету. По умолчанию этот флажок снят.

     Если этот флажок установлен, в окне становится доступна для заполнения вкладка Технические сведения, на которой отображаются сведения об относящихся к инциденту активах. Подробнее см. ниже.

   • Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

     С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например, MS Office), а в столбце Версия – версию программы (например, 2.4).

   • Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например, CVE-2020-1231.

     Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

   • Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например, Операционные системы Microsoft и их компоненты.

     Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

5. При необходимости укажите параметры на вкладке Дополнительно окна Экспорт в НКЦКИ.

   Набор параметров на вкладке зависит от выбранных категории и типа инцидента:

   • Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например, KUMA 1.5.
   • Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощь сотрудников ГосСОПКА.
   • Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
   • Влияние на доступность – оцените степень последствий инцидента для доступности системы:
     • Высокое
     • Низкое
     • Отсутствует
   • Влияние на целостность – оцените степень последствий инцидента для целостности системы:
     • Высокое
     • Низкое
     • Отсутствует
   • Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
     • Высокое
     • Низкое
     • Отсутствует
   • Иные последствия – укажите иные значимые последствия инцидента.
   • Город – укажите город, в котором находится ваша организация.
6. Если к инциденту прикреплены активы, можно указать их параметры на вкладке Технические данные.

   Эта вкладка становится активной, только если вы установили флажок Затронутая система имеет подключение к интернету.

   При необходимости изменить или дополнить сведения, ранее указанные на вкладке Технические данные, это следует делать в вашем личном кабинете ГосСОПКА, даже если сотрудники НКЦКИ запросили у вас дополнительные сведения и у вас есть возможность изменить экспортированный инцидент.

   Категории указываемых активов должны соответствовать категории затронутой КИИ системы.

7. Нажмите Экспорт.
8. Подтвердите экспорт.

Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Экспортирован. В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.

Изменить данные в экспортированном инциденте возможно, только если сотрудники НКЦКИ запросили у вас дополнительные сведения. Если дополнительные сведения запрошены не были, но вам требуется внести изменения в экспортированный инцидент, это следует делать в вашем личном кабинете ГосСОПКА.

После успешного экспорта инцидента в нижней части экрана отображается кнопка Сравнение инцидента KUMA с данными в НКЦКИ, при нажатии на которую открывается окно, где подсвечиваются различия в данных в инциденте между KUMA и НКЦКИ.

Дополнение данных об инциденте по запросу

Если сотрудникам НКЦКИ потребуются дополнительные сведения об инциденте, они могут их у вас запросить. В этом случае в окне инцидента в разделе Интеграция с НКЦКИ статус инцидента меняется на Требуется дополнение. При этом следующие пользователи KUMA получают по электронной почте уведомления об изменении статуса: пользователь, которому назначен инцидент, и пользователь, экспортировавший инцидент в НКЦКИ.

Если инциденту в НКЦКИ присвоен статус Требуется дополнение, в KUMA для этого инцидента становятся доступны следующие действия:

• Загрузка в НКЦКИ файлов.
• Повторный экспорт данных об инциденте в НКЦКИ с изменением или дополнением ранее указанных сведений. Выполнение этого действия завершает дополнение инцидента данными.

Отправка файлов в НКЦКИ

Если инцидент имеет статус НКЦКИ Требуется дополнение, вы можете приложить к нему файл. Файл будет доступен как в НКЦКИ, так и в веб-интерфейсе KUMA.

При иерархическом развертывании KUMA загружать файлы в НКЦКИ можно только из родительского узла KUMA. При этом в дочерних узлах KUMA видны журнальные записи о загрузке файла.

В журнале изменений инцидента добавляются сообщения о загрузке в НКЦКИ файлов пользователями KUMA. Сообщения о добавлении файлов со стороны НКЦКИ в журнал не заносятся.

Чтобы приложить файл к инциденту:

1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, к которому вы хотите приложить файл. Инцидент должен иметь статус НКЦКИ Требуется дополнение.
2. В разделе окна инцидента Интеграция с НКЦКИ выберите вкладку Файл и нажмите на кнопку Отправить файл в НКЦКИ.

   Откроется окно выбора файла.

3. Выберите нужный файл размером не более 50 МБ и подтвердите выбор.

Файл приложен к инциденту. Файл доступен и для сотрудников НКЦКИ, и для пользователей KUMA.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных

В KUMA 2.1.х отсутствует отдельный раздел с параметрами инцидентов для передачи в НКЦКИ сведений об утечке персональных данных. Поскольку такие инциденты возникают и есть необходимость передавать сведения в НКЦКИ, воспользуйтесь следующим решением.

Чтобы передать инциденты, связанные с утечкой персональных данных:

1. В веб-интерфейсе KUMA в разделе Инциденты при создании инцидента, связанного с утечкой персональных данных, в поле Категория инцидента выберите Уведомление о компьютерном инциденте.
2. В поле Тип инцидента выберите один из вариантов, подразумевающих предоставление сведений об утечке персональных данных:
   • Заражение ВПО.
   • Компрометация учетной записи.
   • Несанкционированное разглашение информации.
   • Успешная эксплуатация уязвимости.
   • Событие не связано с компьютерной атакой.
3. В поле Описание укажите "Инцидент связан с утечкой персональных данных. Прошу установить статус "Требуется дополнение"".
4. Нажмите Сохранить.
5. Выполните экспорт инцидента в НКЦКИ.

После того, как сотрудники НКЦКИ установят статус "Требуется дополнение" и вернут инцидент для дальнейшего редактирования, в личном кабинете НКЦКИ вы сможете дополнить информацию в разделе Сведения об утечке персональных данных.

Обмен сообщениями с сотрудниками НКЦКИ

После успешного экспорта инцидента в НКЦКИ в нижней части окна инцидента становится доступен чат с сотрудниками НКЦКИ. Обмениваться сообщениями можно с момента успешного экспорта инцидента до его закрытия в НКЦКИ.

Окно чата с историей сообщений и полем для ввода новых сообщений доступно в разделе окна инцидента Интеграция с НКЦКИ на вкладке Чат.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Допустимые категории и типы инцидентов НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:

Уведомления об изменении статуса инцидента в НКЦКИ

При некоторых изменениях статуса или данных инцидента в НКЦКИ пользователи KUMA получают следующие уведомления по электронной почте:

• Уведомление о получении сообщения от НКЦКИ.
• Уведомление о запросе дополнительных данных.
• Уведомление об изменении данных инцидента в НКЦКИ.
• Уведомление об автоматическом закрытии инцидента.

Уведомления получают следующие пользователи:

• Пользователь, которому был назначен инцидент.
• Пользователь, который экспортировал инцидент в НКЦКИ.