Просмотр сведений об инциденте НКЦКИ

Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Интеграция с другими решениями

Взаимодействие с НКЦКИ

Просмотр сведений об инциденте НКЦКИ

15 мая 2024

ID 261377

Скачать PDF

Развернуть все | Свернуть все

В окне во сведениями об инциденте НКЦКИ вы можете просматривать всю информацию, относящуюся к инциденту, включая его свойства.

Чтобы просмотреть сведения об инциденте НКЦКИ:

В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
Выберите вкладку Инциденты НКЦКИ.
В открывшейся таблице нажмите на идентификатор инцидента.

Откроется окно со сведениями об инциденте НКЦКИ.

В заголовке окна указан краткий уникальный идентификатор инцидента и статус, присвоенный инциденту в НКЦКИ. Если инцидент еще не был экспортирован в НКЦКИ, он имеет статус Черновик. Некоторые параметры инцидента НКЦКИ доступны для редактирования, остальные параметры наследуются от инцидента XDR и не редактируются.

С помощью панели инструментов в верхней части окна вы можете выполнять следующие действия:

редактировать инцидент НКЦКИ;
удалять инцидент НКЦКИ;
экспортировать инцидент НКЦКИ.

Окно сведений об инциденте НКЦКИ содержит разделы, описанные ниже.

Сводная информация

В этом разделе вы можете просматривать и при необходимости редактировать следующую общую информацию об инциденте НКЦКИ:

Короткий идентификатор – уникальный идентификатор инцидента НКЦКИ.
Тенант – имя тенанта, в котором был обнаружен инцидент.
Обнаружено – дата и время обнаружения инцидента.
Завершено – дата и время закрытия инцидента. Этот параметр доступен для редактирования.
Описание – краткое описание инцидента. Этот параметр доступен для редактирования.
Категория – категория инцидента НКЦКИ. Этот параметр доступен для редактирования.
Тип – тип инцидента НКЦКИ. Этот параметр доступен для редактирования.
Утечка персональных данных – уведомление об утечке персональных данных. Этот параметр доступен для редактирования.
Параметр отображается, если при редактировании категории инцидента вы выбрали Уведомление о компьютерном инциденте, а затем выбрали один из следующих типов:
- Заражение ВПО
- Компрометация учетной записи
- Несанкционированное разглашение информации
- Успешная эксплуатация уязвимости
- Событие не связано с компьютерной атакой
Доступные поля

Уведомление об утечке персональных данных – включите этот переключатель в случае утечки персональных данных, после чего раздел Утечка персональных данных станет доступным.

Оператор персональных данных – наименование оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

ИНН – ИНН оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

Адрес – адрес оператора персональных данных. Поле отображается, если настроена интеграция с НКЦКИ.

Адрес электронной почты – адрес электронной почты оператора персональных данных для отправки информации об уведомлении. Поле отображается, если настроена интеграция с НКЦКИ.

Причины, повлекшие нарушение прав субъектов персональных данных – укажите причины, повлекшие нарушение прав субъектов персональных данных.

Характеристики персональных данных – укажите характеристики персональных данных.

Предполагаемый вред, нанесенный правам субъектов персональных данных – укажите, какой вред нанесен правам субъектов персональных данных.

Принятые меры по устранению последствий инцидента.

Дополнительные сведения.

Информация о результатах внутреннего расследования инцидента.
Название компании – наименование главной организации, в которой произошел инцидент.
TLP – маркер протокола Traffic Light, который определяет уровень конфиденциальности информации, содержащейся в сведениях об инциденте НКЦКИ. Этот параметр доступен для редактирования.
Возможные значения маркера
- WHITE – раскрытие не ограничено.
- GREEN – раскрытие только для сообщества.
- AMBER – раскрытие только для организаций.
- RED – раскрытие только для круга лиц.

Состояние действия – статус реагирования на инцидент. Этот параметр доступен для редактирования.

Возможные значения статуса

Инцидент XDR – инцидент XDR, на основе которого был создан инцидент НКЦКИ.
Затронутая система имеет подключение к интернету – наличие доступа в интернет в системе, где произошел инцидент. Этот параметр доступен для редактирования.
Если система, где произошел инцидент, имеет доступ в интернет, то становится доступна вкладка, где можно заполнить технические сведения об атакованном ресурсе (раздел Технические сведения об атакованном ресурсе) и вредоносной системе (раздел Технические сведения о вредоносной системе).
Требуется помощь – необходимость получения помощи от сотрудников НКЦКИ. Этот параметр доступен для редактирования.
Имя затронутой системы – название атакованной системы. Этот параметр доступен для редактирования.
Категория затронутой системы – категория значимости объекта критической информационной инфраструктуры (далее КИИ). Этот параметр доступен для редактирования.
Список категорий значимости
Объекты КИИ имеют следующие категории значимости:
- объект КИИ первой категории значимости;
- объект КИИ второй категории значимости;
- объект КИИ третьей категории значимости;
- объект КИИ без категории значимости;
- информационный ресурс не является объектом КИИ.
Функция затронутой системы – сфера деятельности организации, в которой функционирует атакованная система.
Доступные сферы деятельности компании
- Атомная энергетика.
- Банковская сфера и иные сферы финансового рынка.
- Горнодобывающая промышленность.
- Государственная/муниципальная власть.
- Здравоохранение.
- Металлургическая промышленность.
- Наука.
- Оборонная промышленность.
- Образование.
- Ракетно-космическая промышленность.
- Связь.
- СМИ.
- Топливно-энергетический комплекс.
- Транспорт.
- Химическая промышленность.
- Иная.

Статус инцидента XDR	Статус реагирования инцидента НКЦКИ
Новый, В процессе, Отложен	Проводятся мероприятия по реагированию
Закрыт как: истинноположительный результат	Меры приняты
Закрыт как: ложное срабатывание; низкоприоритетный; объединен.	Инцидент не подтвержден

Расположение – геокод, соответствующий субъекту Российской Федерации, в котором располагается организации.

Список геокодов Российской Федерации

Субъект РФ	Геокод
Адыгея	RU-AD
Алтайский край	RU-ALT
Амурская область	RU-AMU
Архангельская область	RU-ARK
Астраханская область	RU-AST
Башкортостан	RU-BA
Белгородская область	RU-BEL
Брянская область	RU-BRY
Бурятия	RU-BU
Владимирская область	RU-VLA
Волгоградская область	RU-VGG
Вологодская область	RU-VLG
Воронежская область	RU-VOR
Дагестан	RU-DA
Еврейская автономная область	RU-YEV
Забайкальский край	RU-ZAB
Ивановская область	RU-IVA
Ингушетия	RU-IN
Иркутская область	RU-IRK
Кабардино-Балкария	RU-KB
Калининградская область	RU-KGD
Калмыкия	RU-KL
Калужская область	RU-KLU
Камчатский край	RU-KAM
Карачаево-Черкессия	RU-KC
Карелия	RU-KR
Кемеровская область	RU-KEM
Кировская область	RU-KIR
Костромская область	RU-KOS
Краснодарский край	RU-KDA
Красноярский край	RU-KYA
Курганская область	RU-KGN
Курская область	RU-KRS
Ленинградская область	RU-LEN
Липецкая область	RU-LIP
Магаданская область	RU-MAG
Марий Эл	RU-ME
Мордовия	RU-MO
Москва	RU-MOW
Московская область	RU-MOS
Мурманская область	RU-MUR
Ненецкий автономный округ	RU-NEN
Нижегородская область	RU-NIZ
Новгородская область	RU-NGR
Новосибирская область	RU-NVS
Омская область	RU-OMS
Оренбургская область	RU-ORE
Орловская область	RU-ORL
Пензенская область	RU-PNZ
Пермский край	RU-PER
Приморский край	RU-PRI
Псковская область	RU-PSK
Республика Алтай	RU-AL
Республика Коми	RU-KO
Республика Саха	RU-SA
Ростовская область	RU-ROS
Рязанская область	RU-RYA
Самарская область	RU-SAM
Санкт-Петербург	RU-SPE
Саратовская область	RU-SAR
Сахалинская область	RU-SAK
Свердловская область	RU-SVE
Северная Осетия	RU-SE
Смоленская область	RU-SMO
Ставропольский край	RU-STA
Тамбовская область	RU-TAM
Татарстан	RU-TA
Тверская область	RU-TVE
Томская область	RU-TOM
Тульская область	RU-TUL
Тыва	RU-TY
Тюменская область	RU-TYU
Удмуртия	RU-UD
Ульяновская область	RU-ULY
Хабаровский край	RU-KHA
Хакасия	RU-KK
Ханты-Мансийский автономный округ – Югра	RU-KHM
Челябинская область	RU-CHE
Чечня	RU-CE
Чувашия	RU-CU
Чукотский автономный округ	RU-CHU
Ямало-Ненецкий автономный округ	RU-YAN
Ярославская область	RU-YAR

Средство обнаружения – приложение, с помощью которого был зарегистрирован инцидент. Этот параметр доступен для редактирования.
Город – город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.
Влияние на доступность – влияние инцидента на доступность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
Влияние на целостность – влияние инцидента на целостность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
Влияние на конфиденциальность – влияние инцидента на конфиденциальность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
Другое влияние – описание других последствий компьютерного инцидента или компьютерной атаки.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
Категория программ – наименование и версия уязвимого приложения. Параметр доступен для категории инцидента НКЦКИ Уведомление о наличии уязвимости.

Технические сведения об атакованном ресурсе – технические сведения о системе, где произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.

Список параметров атакованного ресурса

При наличии доступа в интернет в системе, где произошел инцидент, становится доступна вкладка, где можно заполнить технические сведения об атакованном ресурсе. Параметры раздела доступны к заполнению в зависимости от категории и типа инцидента НКЦКИ (см. таблицу ниже).

Параметры раздела Технические сведения об атакованном ресурсе

Название и описание параметра	Категория	Тип
IPv4-адрес IPv4-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
	Уведомление о наличии уязвимости	Уязвимый ресурс
IPv6-адрес IPv6-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
	Уведомление о наличии уязвимости	Уязвимый ресурс
Имя домена Доменное имя контролируемого ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации
	Уведомление о наличии уязвимости	Уязвимый ресурс
URI-адрес URI-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
	Уведомление о наличии уязвимости	Уязвимый ресурс
Электронная почта Адрес электронной почты атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Компрометация учетной записи Несанкционированное разглашение информации Успешная эксплуатация уязвимости
	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Социальная инженерия
Атакуемый сетевой сервис Имя и порт/протокол атакованной сетевой службы	Уведомление о компьютерном инциденте	Заражение ВПО Замедление работы ресурса в результате DDoS-атаки Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Успешная эксплуатация уязвимости
	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
	Уведомление о наличии уязвимости	Уязвимый ресурс
AS-Path до атакованной автономной системы (ASN)	Уведомление о компьютерном инциденте	Захват сетевого трафика

Технические сведения о вредоносной системе – технические сведения о вредоносной системе, вследствие атаки которой произошел инцидент. Этот параметр доступен для редактирования.

Список параметров вредоносной системы

При наличии доступа в интернет в системе, где произошел инцидент, становится доступна вкладка, где можно заполнить технические сведения о вредоносной системе. Параметры раздела доступны к заполнению в зависимости от категории и типа инцидента НКЦКИ (см. таблицу ниже).

Параметры раздела Технические сведения о вредоносной системе

Название и описание параметра	Категория	Тип
IPv4-адрес IPv4-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Замедление работы ресурса в результате DDoS-атаки Использование контролируемого ресурса для фишинга Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
IPv4-адрес IPv4-адрес атакованного ресурса	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
IPv6-адрес IPv6-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Замедление работы ресурса в результате DDoS-атаки Использование контролируемого ресурса для фишинга Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
IPv6-адрес IPv6-адрес атакованного ресурса	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
Имя домена Доменное имя контролируемого ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Замедление работы ресурса в результате DDoS-атаки Использование контролируемого ресурса для фишинга Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
Имя домена Доменное имя контролируемого ресурса	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
URI-адрес URI-адрес атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Использование контролируемого ресурса для фишинга Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
URI-адрес URI-адрес атакованного ресурса	Уведомление о компьютерной атаке	Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Социальная инженерия
Функции – тип активности Предлагается к заполнению, если заполнено одно из полей IPv4-адрес, IPv6-адрес, Имя домена или URI-адрес. Возможные значения: Центр управления ВПО. Элемент инфраструктуры ВПО. Источник распространения ВПО. Тип не определен.
Электронная почта Адрес электронной почты атакованного ресурса	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Несанкционированное разглашение информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
	Уведомление о компьютерной атаке	Попытки внедрения ВПО Попытки эксплуатации уязвимости Социальная инженерия
Хеш вредоносного ПО Хеш-сумма вредоносного модуля	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО
Хеш вредоносного ПО Хеш-сумма вредоносного модуля	Уведомление о компьютерной атаке	Попытки внедрения ВПО
Используемые уязвимости Описание используемых уязвимостей	Уведомление о компьютерном инциденте	Заражение ВПО Вовлечение контролируемого ресурса в инфраструктуру ВПО Замедление работы ресурса в результате DDoS-атаки Использование контролируемого ресурса для фишинга Компрометация учетной записи Несанкционированное изменение информации Несанкционированное разглашение информации Публикация на ресурсе запрещенной законодательством РФ информации Рассылка спам-сообщений с контролируемого ресурса Успешная эксплуатация уязвимости
Используемые уязвимости Описание используемых уязвимостей	Уведомление о компьютерной атаке	DDoS-атака Неудачные попытки авторизации Попытки внедрения ВПО Попытки эксплуатации уязвимости Публикация мошеннической информации Сетевое сканирование Социальная инженерия
Номер автономной системы (ASN) Номер подставной автономной системы (ASN)	Уведомление о компьютерном инциденте	Захват сетевого трафика
Наименование AS Наименование подставной автономной системы	Уведомление о компьютерном инциденте	Захват сетевого трафика
Наименование LIR Наименование локального интернет-регистратора	Уведомление о компьютерном инциденте	Захват сетевого трафика

Интеграция с НКЦКИ

В этом разделе вы можете просматривать следующую информацию об инциденте, который был экспортирован в НКЦКИ:

UUID – уникальный идентификатор карточки уведомления в НКЦКИ.
Регистрационный номер – регистрационный номер уведомления в НКЦКИ.
Зарегистрировано – дата и время регистрации инцидента в НКЦКИ.
Время обновления – дата последнего обновления инцидента в НКЦКИ.

История

В этом разделе вы можете просматривать следующую информацию об истории изменений инцидента НКЦКИ:

Время – дата и время изменения инцидента.
Пользователь – имя пользователя, который изменил инцидент.
Подробнее – информация об изменении инцидента.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!