Kaspersky Unified Monitoring and Analysis Platform

Взаимодействие с НКЦКИ

В KUMA в рамках взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее "НКЦКИ") можно выполнять следующие действия:

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

Условия взаимодействия с НКЦКИ

Для взаимодействия с НКЦКИ должны выполняться следующие условия:

Этапы взаимодействия с НКЦКИ

В KUMA экспорт и обработка инцидентов, экспортированных в НКЦКИ, проходит через следующие этапы:

  1. Создание инцидента и проверка его на соответствие требованиям НКЦКИ

    Вы можете создать инцидент или получить его из дочернего узла KUMA. Перед отправкой данных в НКЦКИ необходимо убедиться, что категория инцидента соответствует требованиям НКЦКИ

  2. Экспорт инцидента в НКЦКИ

    При успешном экспорте инцидента в НКЦКИ его параметр Экспорт в НКЦКИ принимает значение Экспортирован. В нижней части окна инцидента становится доступен раздел с чатом с сотрудниками НКЦКИ.

    В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ и в автоматических сообщениях чата.

    Если в НКЦКИ предоставлены все необходимые данные, инциденту присваивается статус Проверка НКЦКИ. Параметры инцидента в таком статусе доступны для изменения, однако обновленные сведения невозможно передать из KUMA в НКЦКИ. Вы можете просмотреть разницу между данными об инциденте в KUMA и в НКЦКИ.

  3. Дополнение данных об инциденте

    Если сотрудникам НКЦКИ не хватает сведений для обработки инцидента, они могут присвоить ему статус Требуется дополнение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ. Пользователи уведомляются об изменении статуса.

    К инцидентам с таким статусом можно прикрепить файл.

    Дополнение данных завершается повторным экспортом инцидента в НКЦКИ, при котором необходимо дополнить или изменить ранее отправленные сведения. Из родительского узла KUMA невозможно вносить изменения в инциденты дочерних узлов – это необходимо сделать сотрудникам дочернего узла KUMA.

    При успешном дополнении инцидента данными ему присваивается статус Проверка НКЦКИ.

  4. Завершение обработки инцидента

    Когда сотрудники НКЦКИ обработают инцидент, в НКЦКИ ему будет присвоен статус Принято решение. В KUMA этот статус отображается в окне инцидента в разделе Интеграция с НКЦКИ.

    При получении этого статуса инцидент в KUMA автоматически закрывается. Взаимодействие с НКЦКИ по данному инциденту через KUMA становится невозможным.

В этом разделе

Особенности экспорта в НКЦКИ из иерархической структуры KUMA

Экспорт данных в НКЦКИ

Дополнение данных об инциденте по запросу

Отправка файлов в НКЦКИ

Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных

Обмен сообщениями с сотрудниками НКЦКИ

Допустимые категории и типы инцидентов НКЦКИ

Уведомления об изменении статуса инцидента в НКЦКИ

В начало
[Topic 221855]

Особенности экспорта в НКЦКИ из иерархической структуры KUMA

Если в вашей организации развернуто несколько узлов KUMA, которые объединены в иерархическую структуру, вы можете из родительских узлов KUMA передавать в НКЦКИ инциденты, полученные из дочерних узлов KUMA. Для этого должны выполняться следующие условия:

  • В родительском и дочернем узле KUMA настроена интеграция с НКЦКИ. При этом для родительского узла параметры URL и Токен в разделе ПараметрыНКЦКИ являются обязательными, а для дочернего – нет.
  • В обоих узлах не отключена интеграция с НКЦКИ.

При такой настройке взаимодействие с НКЦКИ осуществляется только на уровне узла, экспортировавшего инцидент в НКЦКИ.

Из родительского узла KUMA невозможно изменить параметры инцидента, полученного из дочернего узла KUMA. Если для экспорта в НКЦКИ не хватает каких-то данных, инцидент необходимо изменить на дочернем узле KUMA, а затем уже экспортировать его в НКЦКИ из родительского узла KUMA.

В начало
[Topic 243256]

Экспорт данных в НКЦКИ

Невозможно экспортировать в НКЦКИ закрытие в KUMA инциденты, если у них на момент закрытия не было заполнено поле Описание.

Чтобы экспортировать инцидент в НКЦКИ:

  1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, который вы хотите экспортировать.
  2. Нажмите в нижней части окна на кнопку Экспорт в НКЦКИ.
  3. Если вы не указали категорию и тип инцидента, укажите эти сведения в открывшемся окне и нажмите на кнопку Экспорт в НКЦКИ.

    Откроется окно с параметрами экспорта.

  4. Укажите параметры в закладке Основные окна Экспорт в НКЦКИ:
    • Категория инцидента и Тип инцидента – укажите тип и категорию инцидента. В НКЦКИ можно экспортировать только инциденты определенных категорий и типов.
    • TLP (обязательно) – присвойте инциденту маркер протокола Traffic Light, определяющий характер сведений об инциденте. По умолчанию используется значение RED. Доступные значения:
      • WHITE – раскрытие не ограничено;
      • GREEN – раскрытие только для сообщества;
      • AMBER – раскрытие только для организаций;
      • RED – раскрытие только для круга лиц.
    • Название информационной системы (обязательно) – укажите название информационного ресурса, в котором произошел инцидент. В поле можно ввести до 500 000 символов.
    • Категория КИИ системы (обязательно) – укажите категорию критической информационной структуры (КИИ) вашей организации. Если у вашей организации нет категории КИИ, выберите пункт Информационный ресурс не является объектом КИИ.
    • Сфера деятельности компании (обязательно) – укажите сферу деятельности вашей организации. По умолчанию используется значение, указанное в параметрах интеграции с НКЦКИ.
    • Местоположение (обязательно) – выберите в раскрывающемся списке местоположение вашей организации.
    • Затронутая система имеет подключение к интернету – установите этот флажок, если активы, относящиеся к инциденту, имеют подключение к интернету. По умолчанию этот флажок снят.

      Если этот флажок установлен, в окне становится доступна для заполнения закладка Технические сведения, на которой отображаются сведения об относящихся к инциденту активах. Подробнее см. ниже.

    • Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

      С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например, MS Office), а в столбце Версия – версию программы (например, 2.4).

    • Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например, CVE-2020-1231.

      Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

    • Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например, Операционные системы Microsoft и их компоненты.

      Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

  5. При необходимости укажите параметры в закладке Дополнительно окна Экспорт в НКЦКИ.

    Набор параметров в закладке зависит от выбранных категории и типа инцидента:

    • Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например, KUMA 1.5.
    • Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощь сотрудников ГосСОПКА.
    • Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
    • Влияние на доступность – оцените степень последствий инцидента для доступности системы:
      • Высокое
      • Низкое
      • Отсутствует
    • Влияние на целостность – оцените степень последствий инцидента для целостности системы:
      • Высокое
      • Низкое
      • Отсутствует
    • Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
      • Высокое
      • Низкое
      • Отсутствует
    • Иные последствия – укажите иные значимые последствия инцидента.
    • Город – укажите город, в котором находится ваша организация.
  6. Если к инциденту прикреплены активы, можно указать их параметры в закладке Технические данные.

    Эта закладка становится активной, только если вы установили флажок Затронутая система имеет подключение к интернету.

    При необходимости изменить или дополнить сведения, ранее указанные в закладке Технические данные, это следует делать в вашем личном кабинете ГосСОПКА, даже если сотрудники НКЦКИ запросили у вас дополнительные сведения и у вас есть возможность изменить экспортированный инцидент.

    Категории указываемых активов должны соответствовать категории затронутой КИИ системы.

  7. Нажмите Экспорт.
  8. Подтвердите экспорт.

Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Экспортирован. В НКЦКИ полученному от вас инциденту присваивается регистрационный номер и статус. Эти сведения отображаются в окне инцидента в разделе Интеграция с НКЦКИ.

Изменить данные в экспортированном инциденте возможно, только если сотрудники НКЦКИ запросили у вас дополнительные сведения. Если дополнительные сведения запрошены не были, но вам требуется внести изменения в экспортированный инцидент, это следует делать в вашем личном кабинете ГосСОПКА.

После успешного экспорта инцидента в нижней части экрана отображается кнопка Сравнение инцидента KUMA с данными в НКЦКИ, при нажатии на которую открывается окно, где подсвечиваются различия в данных в инциденте между KUMA и НКЦКИ.

В начало
[Topic 243253]

Дополнение данных об инциденте по запросу

Если сотрудникам НКЦКИ потребуются дополнительные сведения об инциденте, они могут их у вас запросить. В этом случае в окне инцидента в разделе Интеграция с НКЦКИ статус инцидента меняется на Требуется дополнение. При этом следующие пользователи KUMA получают по электронной почте уведомления об изменении статуса: пользователь, которому назначен инцидент, и пользователь, экспортировавший инцидент в НКЦКИ.

Если инциденту в НКЦКИ присвоен статус Требуется дополнение, в KUMA для этого инцидента становятся доступны следующие действия:

В начало
[Topic 243327]

Отправка файлов в НКЦКИ

Если инцидент имеет статус НКЦКИ Требуется дополнение, вы можете приложить к нему файл. Файл будет доступен как в НКЦКИ, так и в веб-интерфейсе KUMA.

При иерархическом развертывании KUMA загружать файлы в НКЦКИ можно только из родительского узла KUMA. При этом в дочерних узлах KUMA видны журнальные записи о загрузке файла.

В журнале изменений инцидента добавляются сообщения о загрузке в НКЦКИ файлов пользователями KUMA. Сообщения о добавлении файлов со стороны НКЦКИ в журнал не заносятся.

Чтобы приложить файл к инциденту:

  1. В разделе Инциденты веб-интерфейса KUMA откройте инцидент, к которому вы хотите приложить файл. Инцидент должен иметь статус НКЦКИ Требуется дополнение.
  2. В разделе окна инцидента Интеграция с НКЦКИ выберите закладку Файл и нажмите на кнопку Отправить файл в НКЦКИ.

    Откроется окно выбора файла.

  3. Выберите нужный файл размером не более 50 МБ и подтвердите выбор.

Файл приложен к инциденту. Файл доступен и для сотрудников НКЦКИ, и для пользователей KUMA.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

В начало
[Topic 243368]

Отправка в НКЦКИ инцидентов, связанных с утечкой персональных данных

В KUMA 2.1.х отсутствует отдельный раздел с параметрами инцидентов для передачи в НКЦКИ сведений об утечке персональных данных. Поскольку такие инциденты возникают и есть необходимость передавать сведения в НКЦКИ, воспользуйтесь следующим решением.

Чтобы передать инциденты, связанные с утечкой персональных данных:

  1. В веб-интерфейсе KUMA в разделе Инциденты при создании инцидента, связанного с утечкой персональных данных, в поле Категория инцидента выберите Уведомление о компьютерном инциденте.
  2. В поле Тип инцидента выберите один из вариантов, подразумевающих предоставление сведений об утечке персональных данных:
    • Заражение ВПО.
    • Компрометация учетной записи.
    • Несанкционированное разглашение информации.
    • Успешная эксплуатация уязвимости.
    • Событие не связано с компьютерной атакой.
  3. В поле Описание укажите "Инцидент связан с утечкой персональных данных. Прошу установить статус "Требуется дополнение"".
  4. Нажмите Сохранить.
  5. Выполните экспорт инцидента в НКЦКИ.

После того, как сотрудники НКЦКИ установят статус "Требуется дополнение" и вернут инцидент для дальнейшего редактирования, в личном кабинете НКЦКИ вы сможете дополнить информацию в разделе Сведения об утечке персональных данных.

В начало
[Topic 260687]

Обмен сообщениями с сотрудниками НКЦКИ

После успешного экспорта инцидента в НКЦКИ в нижней части окна инцидента становится доступен чат с сотрудниками НКЦКИ. Обмениваться сообщениями можно с момента успешного экспорта инцидента до его закрытия в НКЦКИ.

Окно чата с историей сообщений и полем для ввода новых сообщений доступно в разделе окна инцидента Интеграция с НКЦКИ в закладке Чат.

Данные между KUMA и НКЦКИ синхронизируются каждые 5-10 минут.

См. также:

Уведомления об изменении статуса инцидента в НКЦКИ

В начало
[Topic 243399]

Допустимые категории и типы инцидентов НКЦКИ

В таблице ниже перечислены категории и типы инцидентов, которые можно экспортировать в НКЦКИ:

Категория инцидента

Тип инцидента

Уведомление о компьютерном инциденте

Вовлечение контролируемого ресурса в инфраструктуру ВПО

Замедление работы ресурса в результате DDoS-атаки

Заражение ВПО

Захват сетевого трафика

Использование контролируемого ресурса для фишинга

Компрометация учетной записи

Несанкционированное изменение информации

Несанкционированное разглашение информации

Публикация на ресурсе запрещенной законодательством РФ информации

Рассылка спам-сообщений с контролируемого ресурса

Успешная эксплуатация уязвимости

Уведомление о компьютерной атаке

DDoS-атака

Неудачные попытки авторизации

Попытки внедрения ВПО

Попытки эксплуатации уязвимости

Публикация мошеннической информации

Сетевое сканирование

Социальная инженерия

Уведомление о наличии уязвимости

Уязвимый ресурс

В начало
[Topic 220462]

Уведомления об изменении статуса инцидента в НКЦКИ

При некоторых изменениях статуса или данных инцидента в НКЦКИ пользователи KUMA получают следующие уведомления по электронной почте:

Уведомления получают следующие пользователи:

  • Пользователь, которому был назначен инцидент.
  • Пользователь, который экспортировал инцидент в НКЦКИ.
В начало
[Topic 245705]