Работа с консолью инцидентов¶
Консоль инцидентов предназначена для управления инцидентами – их создания, хранения, обработки, отображения минимальной статистики по инцидентам.
Концепция работы с консолью инцидентов предполагает, что руководящий офицер безопасности должен определить, что считается инцидентом, разработать и создать политики (фильтры), определяющие такие события, а также разработать порядок (схемы) реагирования на инциденты, называемые в терминологии StaffCop шаблонами реагирования на инциденты.
Нужно выделить основные группы инцидентов и создать описания групп инцидентов в консоли, а также определить, какой пользователь системы (из числа подчинённых офицеру безопасности сотрудников) за какую группу инцидентов будет отвечать, чтобы можно было назначать расследования инцидентов конкретным сотрудникам.
Вход в консоль инцидентов и просмотр списка инцидентов¶
Вход в консоль инцидентов выполняется из меню «Админ» веб-интерфейса:
После выбора пункта меню «Инциденты» в отдельной вкладке браузера откроется консоль управления инцидентами:
Для каждого созданного инцидента в таблице отображается информация об инциденте.
Если инцидентов много, можно отобразить только выбранные - для этого предназначена кнопка «Фильтр» в верхнем правом углу экрана.
После её нажатия можно построить фильтр по одному или нескольким условиям, что позволяет отобразить только те инциденты, которые нужно видеть в настоящий момент.
Фильтр представляет собой последовательность полей описания инцидента, по которым можно задавать значения для фильтрации.
Поля и операции для полей выбираются нажатием символа «стрелка вниз» около поля ввода:
После создания фильтра и нажатия кнопки «Сохранить» в таблице инцидентов будут отображены только те инциденты, которые соответствуют заданному фильтру.
Создание инцидента¶
- Инцидент может быть создан тремя способами:
вручную, из консоли инцидентов;
автоматически, в результате срабатывания политики или фильтра.
добавить событие вручную из линзы событий в режиме таблицы.
Для создания инцидента вручную нужно нажать кнопку в правом верхнем углу консоли инцидента «Создать инцидент». Откроется окно создания нового инцидента:
Назначение полей интуитивно понятно из их описаний на форме. Нужно заполнить все поля формы и нажать кнопку «Сохранить» (синего цвета на скриншоте)). Инцидент будет создан.
Второй способ создания инцидента – автоматический, в результате срабатывания заранее настроенных соответствующим образом политики или фильтра.
Для того чтобы инцидент создавался автоматически, нужно включить уведомления в описании созданной администратором системы политики или фильтра.
К сожалению, стандартную (предопределённую) политику отредактировать таким образом не получится, нужно обязательно создавать новую политику или пользовательский фильтр.
Настройки для создания инцидента в автоматическом режиме производится на вкладке «Уведомление» конфигуратора политики или фильтра.
Нужно взвести флажок «Активировать уведомление», после чего будет предоставлен доступ к настройкам создания инцидента:
После того, как будет взведён флажок «Создать инцидент», можно будет задать параметры создания инцидента – шаблон реагирования, группу инцидента и кому будет отправлена информация для реакции.
Сразу же после срабатывания политики или фильтра информация будет автоматически передана в консоль инцидентов и создан инцидент.
Третий способ может быть реализован следующим образом.
Работа с инцидентами¶
При клике на консоли инцидентов открывается панель подробностей инцидента.
Она содержит всю информацию об инциденте, в частности, журнал действий с инцидентом, и позволяет редактировать содержимое инцидента (для этого служат кнопки «Редактировать инцидент» в правом верхнем углу панели) и «Редактировать» (в правом нижнем углу панели).
После нажатия одной этих кнопок режим просмотра переключается на режим редактирования, и можно изменить информацию об инциденте.
Назначение кнопок, расположенных справа внизу на панели в режиме редактирования, интуитивно понятно и не требует пояснений.
Настройка консоли инцидентов¶
- Настройка консоли инцидентов выполняется из самой консоли инцидентов. Возможно настроить следующие параметры консоли инцидентов:
статусы инцидентов;
группы инцидентов;
шаблоны реагирования на инциденты.
Перейти к настройке соответствующих параметров можно, перейдя по соответствующему пункту меню в левой части консоли инцидентов.
Список «Статусы» содержит статусы инцидентов.
По умолчанию статусов инцидентов всего два: «New» (новый – этот статус имеет любой инцидент сразу после его создания, и «Closed» (закрытый – этот статус присваивается инциденту администратором безопасности тогда, когда инцидент уже расследован, и необходимости в дальнейшей работе с ним нет).
Администратор безопасности может создать любое количество статусов инцидентов, для этого надо в списке инцидентов нажать кнопку «Новый статус» в правом верхнем углу списка:
В окне веб-интерфейса откроется панель создания статуса.
Все значения полей описания статуса интуитивно понятны и не требуют комментариев. Сохранить новый статус можно, нажав одну из кнопок «Сохранить» (либо в верхнем правом углу, либо в нижнем правом углу панели).
Можно определить несколько статусов, завершающих обработку инцидента.
Выделение цветом предназначено для обеспечения наглядности списка статусов инцидентов.
Ведение списков групп инцидентов и шаблонов реагирования на инциденты ничем не отличается от ведения списка статусов инцидентов, кроме отсутствия выделения цветом. Свойство группы инцидентов – один из администраторов системы, который отвечает за эту группу инцидентов, свойство шаблона реагирования – описание действий, которые необходимо выполнить для того, чтобы решить инцидент.
Отчёты по инцидентам¶
Отчёты по инцидентам позволяют получать сводную информацию по инцидентам.
«Из коробки» есть три предопределённых отчёта – «Отчёт по инцидентам», «Отчёт по решённым инцидентам» и «Отчёт по инцидентам детально».
Формат каждого отчёта (порядок и количество полей) может быть изменён средствами редактирования отчёта.
Для этого нужно зайти в соответствующий отчёт (т.е. сформировать его), и появится панель редактирования отчёта:
- Имеются следующие возможности по выгрузке, отображению и редактированию отчёта (слева направо):
добавление отчёта в список отчётов (создание копии отчёта);
экспорт результатов формирования отчёта (печать, форматы HTML и MS Excel;
редактирование описания отчёта в текстовом формате;
изменение форматирования ячеек отчёта и установка форматирования «по умолчанию»);
изменение параметров схемы построения отчёта (показывать/не показывать итоги и под-итоги, вид формы отчёта);
изменение списка полей (столбцов), включаемых в отчёт, возможность добавления вычисляемых полей;
отображение отчёта «на весь экран» (без группы меню слева и служебных панелей браузера).
Удаление отчёта реализовано через редактирование его в текстовом формате. Удалить стандартные отчёты (три отчёта, которые есть в консоли инцидентов «из коробки») нельзя.
В правом верхнем углу находится кнопка «Фильтр». Настройка фильтра аналогична настройке фильтра для просмотра инцидентов. Если фильтр включён, то в отчёт попадут только те данные, которые соответствуют установленному фильтру.
Пример настройки автоматического создания инцидентов¶
Настроим систему для автоматического создания инцидентов при отсутствии событий с определённых рабочих станций.
Прежде всего нужно выполнить настройку стандартной политики, которая называется «Отсутствие событий». Она находится в панели «Фильтры», в папках «Политики» и «Детекторы». В её свойствах нужно указать время, в течение которого неполучение событий с рабочих станций становится инцидентом, а в фильтре в измерении «Агент» - выбрать те рабочие станции, неполучение событий с которых будет считаться инцидентом. После чего эту политику надо включить для новых событий (по умолчанию эта политика выключена).
Затем нужно создать новую (пользовательскую) политику, у которой установить в свойствах категорию «Инцидент», «Политика активна» и «Применять только к новым событиям». В панели «Уведомления» нужно не только настроить уведомления, но и включить флажок «Создать инцидент», а также выбрать подходящие для сработавшей политики группу инцидентов и шаблон реагирования (они должны быть подготовлены заранее).
В фильтре данной политики нужно установить значение «Сработавшие фильтры», где указать срабатывание настроенного нами ранее детектора «Отсутствие событий».
После сохранения пользовательской политики перерыв в получении событий с указанных агентов будет считаться инцидентом, и информация об этом будет автоматически попадать в список в консоли инцидентов.