Рекомендации по работе с карточкой инцидента ИБ

Общий порядок действий при обнаружении инцидента ИБ выглядит следующим образом.

Порядок действий при обнаружении инцидента ИБ Рисунок 1. Порядок действий при обнаружении инцидента ИБ

При обнаружении инцидента ИБ необходимо зарегистрировать его, создав карточку инцидента с первоначальной информацией об инциденте в соответствии со стандартами, принятыми в вашей организации. По мере реагирования и расследования инцидента карточка дополняется новой информацией.

Полностью заполненная карточка инцидента ИБ может выглядеть следующим образом:

Поле	Значение
Идентификатор инцидента	Уникальный номер. Например, F0001
Время возникновения инцидента	Число, месяц, год и время: 01.01.2021 12:01
Продолжительность инцидента	Предположительные дата и время начала и завершения атаки. Например, с 01.01.2021 12:01 по 01.01.2021 12:05. Заполняется, если атака была распределена во времени (например, подбор пароля, фишинговая рассылка, сканирование сетевых портов)
Источник вредоносного воздействия	IP-адрес или FQDN (fully qualified domain name) узла, с которого предположительно была проведена атака
Атакованные ресурсы	Ресурс или группа ресурсов, на которые была направлена обнаруженная атака
Средство обнаружения	С помощью какого средства (или нескольких средств) инцидент был обнаружен
Описание инцидента	Краткое описание события. Например, «Детектирование фишинговой рассылки на почте»
Уровень опасности	Присваивается экспертным путем
Сопоставление с матрицей MITRE ATT&CK	Тактики и техники MITRE ATT&CK, использованные во время атаки. Например, TA0001: Initial Access
Связь с недопустимым событием	Указывается, если инцидент относится к успешной, частичной или потенциальной реализации недопустимого события
Скомпрометированные данные	Какие важные данные удалось получить атакующим в результате инцидента (учетные записи, содержимое баз данных, документация и т. д.)
Связь с другими инцидентами	Перечень идентификаторов родительских инцидентов, реализация которых была необходима для этого инцидента
Меры по реагированию на инцидент	Плейбук или отдельные меры, которые были использованы для реагирования на инцидент
Продолжительность реагирования на инцидент	Время. Например, 3:15:00. Указывается время, прошедшее с момента регистрации инцидента до закрытия карточки инцидента
Меры по повышению общего уровня защищенности	Меры повышения защищенности, предпринятые после нейтрализации инцидента

Поле

Значение

Идентификатор инцидента

Уникальный номер. Например, F0001

Время возникновения инцидента

Число, месяц, год и время: 01.01.2021 12:01

Продолжительность инцидента

Предположительные дата и время начала и завершения атаки. Например, с 01.01.2021 12:01 по 01.01.2021 12:05. Заполняется, если атака была распределена во времени (например, подбор пароля, фишинговая рассылка, сканирование сетевых портов)

Источник вредоносного воздействия

IP-адрес или FQDN (fully qualified domain name) узла, с которого предположительно была проведена атака

Атакованные ресурсы

Ресурс или группа ресурсов, на которые была направлена обнаруженная атака

Средство обнаружения

С помощью какого средства (или нескольких средств) инцидент был обнаружен

Описание инцидента

Краткое описание события. Например, «Детектирование фишинговой рассылки на почте»

Уровень опасности

Присваивается экспертным путем

Сопоставление с матрицей MITRE ATT&CK

Тактики и техники MITRE ATT&CK, использованные во время атаки. Например, TA0001: Initial Access

Связь с недопустимым событием

Указывается, если инцидент относится к успешной, частичной или потенциальной реализации недопустимого события

Скомпрометированные данные

Какие важные данные удалось получить атакующим в результате инцидента (учетные записи, содержимое баз данных, документация и т. д.)

Связь с другими инцидентами

Перечень идентификаторов родительских инцидентов, реализация которых была необходима для этого инцидента

Меры по реагированию на инцидент

Плейбук или отдельные меры, которые были использованы для реагирования на инцидент

Продолжительность реагирования на инцидент

Время. Например, 3:15:00. Указывается время, прошедшее с момента регистрации инцидента до закрытия карточки инцидента

Меры по повышению общего уровня защищенности

Меры повышения защищенности, предпринятые после нейтрализации инцидента