Получение инцидентов от НКЦКИ
После обновления до версии 3.4.1 Ядро KUMA при каждом запуске отправляет запрос о наличии новых карточек инцидентов по адресу, указанному в поле URL в настройках интеграции KUMA с НКЦКИ, и затем продолжает отправлять запросы каждые 10 минут. Если в личном кабинете пользователя НКЦКИ появился новый инцидент, KUMA регистрирует инцидент с префиксом ALRT* и дальнейшее взаимодействие с НКЦКИ ведется уже в рамках созданного инцидента.
Взаимодействие с НКЦКИ доступно, даже если в KUMA инцидент переведен в статус Закрыт: вы можете менять значения в поле Статус НКЦКИ и вести чат с НКЦКИ.
В случае если после обработки сообщения от НКЦКИ от вас требуется направить файл, то вам необходимо авторизоваться в веб-версии Личного кабинета ГосСОПКА, найти соответствующее сообщение от НКЦКИ и самостоятельно приложить к нему файл.
Уведомления о сообщениях от НКЦКИ отправляются на электронную почту пользователей с ролью Главный администратор.
В новом инциденте поля будут заполнены таким же образом как указано в следующей таблице .
Значения полей в инциденте, полученном от НКЦКИ.
Название поля |
Значение |
|---|---|
Создан |
При создании инцидента в KUMA автоматически указывается дата и время создания. Пример: 2024-10-08 05:32:39 |
Имя |
Идентификатор или регистрационный номер инцидента (сообщения) в ГосСОПКА. Пример: ALRT-xx-xx-xxx |
Тенант |
Тенант, в котором будут созданы инциденты, полученные от НКЦКИ. По умолчанию все инциденты создаются в тенанте Main. Можно изменить тенант создания инцидентов в параметрах интеграции с НКЦКИ. Пример: Main. |
Статус |
Начальный статус инцидента KUMA. Пример: Открыт. |
Уровень важности |
Степень значимости потенциальной угрозы безопасности. Значение по умолчанию: Критический. Доступные значения: Критический, Высокий, Средний, Низкий. |
Категории затронутых активов |
Пусто. Значение можно заполнить вручную. |
Появление первого события |
Пусто. Значение можно заполнить вручную. |
Появление последнего события |
Пусто. Значение можно заполнить вручную. |
Описание |
Значение из поля event_description сообщения, которое присылает НКЦКИ. Доступно для редактирования. Пример: сообщение от НКЦКИ. |
Связанные тенанты |
То же, что и в поле Тенант. Пример: Main. |
Доступные тенанты |
То же, что и в поле Тенант. Пример: Main. |
Связанные алерты |
Пусто. Значение можно заполнить вручную. |
Связанные активы |
Пусто. Значение можно заполнить вручную. |
Связанные пользователи |
Пусто. Значение можно заполнить вручную. |
Журнал изменений |
Пусто. Значение можно заполнить вручную. |
Раздел Интеграция с НКЦКИ |
|
Категория |
Категория карточки сообщения. Значение из справочника. Возможные значения: Сообщение от НКЦКИ. Поле недоступно для редактирования. |
Тип |
Тип события ИБ. Значение из справочника. Возможные значения: Зараженный ресурс, Источник email-рассылки модулей ВПО, Источник распространения модулей ВПО, Центр управления ВПО, Элемент инфраструктуры ВПО, Замедление работы ресурса, Источник эксплуатации уязвимости, Источник компрометации учетной записи, Участник захвата сетевого трафика, Источник несанкционированного доступа, Источник несанкционированного изменения информации, Источник рассылки спам-сообщений, Публикация запрещенной законодательством РФ информации, Размещение фишингового ресурса, Наличие несанкционированного контента, Участник DDoS-атаки, Скомпрометированная учетная запись, Источник сетевого сканирования, Участник мошеннической деятельности, Источник угрозы социальной инженерии, Уязвимый ресурс, Подозрение на фишинговый ресурс, Угроза компрометации ПДн, Угроза компьютерной атаки. Поле недоступно для редактирования.
|
Статус экспорта в НКЦКИ |
Импортирован из НКЦКИ. Поле недоступно для редактирования. |
Раздел Ход обработки сообщения от НКЦКИ |
|
Статус НКЦКИ |
Статус обработки сообщения от НКЦКИ. Значение из справочника. Поле доступно для редактирования. Возможные значения: Новое, В работе, Принято решение, Взаимодействие завершено, Отправлено в архив. |
Результат |
Результат принятого решения. Значение из справочника. Поле доступно для редактирования. Возможные значения: Меры приняты, Информация учтена, Сведения не подтверждены. |
Раздел Чат с НКЦКИ |
|
UUID |
Уникальный идентификатор сообщения от НКЦКИ. |
Компания |
Краткое наименование организации субъекта ГосСОПКА. |
Категория |
Категория карточки сообщения. Значение из справочника. Пример: сообщение от НКЦКИ. |
Тип |
Тип события ИБ. Значение из справочника. Пример: зараженный ресурс. |
Время создания |
Дата и время регистрации сообщения от НКЦКИ. Заполняется по правилам стандарта ISO 8601. Используется время UTC. |
Время выявления |
Дата и время выявления инцидента. Заполняется по правилам стандарта ISO 8601. Используется время UTC. |
Время завершения |
Дата и время завершения инцидента. Заполняется по правилам стандарта ISO 8601. Используется время UTC. |
Последнее обновление |
Дата и время последнего обновления карточки сообщения. Заполняется по правилам стандарта ISO 8601. Используется время UTC. |
Описание события |
Краткое описание события ИБ. Максимум 5000 символов в кодировке Unicode. |
Имя владельца |
Владелец информационного ресурса. Максимум 5000 символов в кодировке Unicode. |
Регистрационный номер |
Регистрационный номер сообщения. Пример: ALRT-20-12-2914. |
TLP |
Ограничительный маркер TLP. Значение из справочника. Возможные значения: TLP:WHITE, TLP:GREEN, TLP:AMBER, TLP:RED. |
Раздел Технические сведения |
|
Блок полей Технические сведения отображается со значениями полей, полученными из сообщения. Состав полей Сообщения от НКЦКИ в блоке Технические сведения зависит от Типа события ИБ и для разных инцидентов набор этих полей может отличаться. Обращайте внимание на значения полей в личном кабинете НКЦКИ. Значения не подлежат редактированию. |
|