diff --git a/data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml b/data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml index 9025065b..9120666b 100644 --- a/data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml +++ b/data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml @@ -1,14 +1,9 @@ title: RA_1012_check_analysis_toolset id: RA1012 description: > - Make sure your toolset for analysis and management is updated and fully operational. Make sure that all the required permissions have been granted as well -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Убедиться, что средства защиты информации, мониторинга и автоматизации, необходимые в работе, обновлены и полностью работоспособны +author: bpopovich +creation_date: 2023/04/29 stage: preparation -automation: - - thehive/phantom/demisto/etc -references: - - https://example.com -extended_description: | - Description of the extended_description for the Response Action in markdown format. - Here newlines will be saved. +workflow: | + Убедитесь, что ваши средства защиты информации, мониторинга и автоматизации, необходимые в работе, обновлены и полностью работоспособны. Убедитесь, что все необходимые доступы к ним предоставлены. diff --git a/data/ru/response_actions/RA_1017_implement_ids_ips_firewalls/RA_1017_implement_ids_ips_firewalls.yml b/data/ru/response_actions/RA_1017_implement_ids_ips_firewalls/RA_1017_implement_ids_ips_firewalls.yml new file mode 100644 index 00000000..5fd4c93c --- /dev/null +++ b/data/ru/response_actions/RA_1017_implement_ids_ips_firewalls/RA_1017_implement_ids_ips_firewalls.yml @@ -0,0 +1,14 @@ +title: RA_1017_implement_ids_ips_firewalls +id: RA1017 +description: > + Внедрить и настроить средства обнаружения/предотвращения вторжений, межсетевого экранирования +author: bpopovich +creation_date: 2023/04/26 +stage: preparation +workflow: | + 1. Убедитесь, что средства обнаружения/предотвращение вторжений, межсетевого экранирования корректно настроены и обновлены. + 2. Определите контакты подразделений, ответственных за обеспечение функционирования этих средств. + 3. Регламентируйте взаимодействие с этими подразделением. + 4. Убедитесь, что средства из п. 1 доступны и выполняют свои функции. + 5. Убедитесь, что эти средства предоставляют возможность локализации активов в инфраструктуре организации. + diff --git a/data/ru/response_actions/RA_1018_check_lan_communication/RA_1018_check_lan_communication.yml b/data/ru/response_actions/RA_1018_check_lan_communication/RA_1018_check_lan_communication.yml new file mode 100644 index 00000000..aea20e80 --- /dev/null +++ b/data/ru/response_actions/RA_1018_check_lan_communication/RA_1018_check_lan_communication.yml @@ -0,0 +1,13 @@ +title: RA_1018_check_lan_communication +id: RA1018 +description: > + Актуализировать информацию в подразделениях, ответственных за функционирование сетевой инфраструктуры и ответственных за сетевую конфигурацию активов в сети +author: bpopovich +creation_date: 2023/04/26 +stage: preparation +workflow: | + 1. Убедитесь, что схема сетевой инфраструктуры организации актуальна и отображает все точки входа. + 2. Убедитесь, что подразделения, ответственные за функционирования сети и ответственные за сетевую конфигурацию активов в сети имеют актуальную схему сетевой инфраструктуры. + 3. Регламентируйте регулярный аудит сети с целью выявления новых точек входа и недокументированных активов. + 4. Регламентируйте внедрение средств мониторинга и управления сетевой инфраструктурой в новых сегментах сети. + diff --git a/data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml b/data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml index 225670df..c411aaca 100644 --- a/data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml +++ b/data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml @@ -1,16 +1,19 @@ title: RA_1104_access_external_http_logs id: RA1104 description: > - Make sure you have access to external communication HTTP logs -author: '@atc_project' -creation_date: 2020/05/06 + Убедиться, что журналирование исходящего HTTP-трафика реализовано и корректно настроено +author: enikulina +creation_date: 2023/02/06 stage: preparation references: - https://docs.zeek.org/en/current/examples/httpmonitor/ - - https://en.wikipedia.org/wiki/Common_Log_Format + - https://suricata.readthedocs.io/en/suricata-6.0.12/output/eve/eve-json-format.html?highlight=http%20event#event-type-http requirements: - MS_border_proxy - MS_border_ngfw + - DN_border_proxy_logs + - DN_border_ngfw_logs + - DN_suricata_http_events - DN_zeek_http_log -extended_description: | - Make sure that there is a collection of HTTP connections logs for external communication (from corporate assets to the Internet) configured. +workflow: | + Включите и настройте подходящим под вашу инфраструктуру образом журналирование исходящей (из корпоративной сети к внешним ресурсам) HTTP-активности. diff --git a/data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml b/data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml index 0c16d65d..3d5d39ff 100644 --- a/data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml +++ b/data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml @@ -1,14 +1,19 @@ title: RA_1111_get_ability_to_block_external_ip_address id: RA1111 description: > - Убедиться, что у вас есть возможность заблокировать внешний IP-адрес + Проверить возможность блокировки внешних IP-адресов author: enikulina creation_date: 2023/02/02 stage: preparation +automation: + - xdr + - soar + - custom scripts +references: requirements: - MS_border_firewall - MS_border_proxy - MS_border_ips - MS_border_ngfw -extended_description: | - Убедиться, что у вас есть возможность добавления внешних IP-адресов в "черный список" или создания запрещающих правил для входящего и исходящего трафика в 1 из перечисленных систем. +workflow: | + Убедитесь, что у вас есть возможность заблокировать сетевое взаимодействие с внешним IP-адресом путем добавления его в "черный список" или создания запрещающих правил для входящего и исходящего трафика. diff --git a/data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml b/data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml index a1394792..df69dc7b 100644 --- a/data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml +++ b/data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml @@ -1,15 +1,18 @@ title: RA_1112_get_ability_to_block_internal_ip_address id: RA1112 description: > - Убедитесь, что у вас есть возможность изолировать внутренний узел от корпоративной и внешней сетей + Проверить возможность изоляции хостов от внутренней и внешней сетей author: enikulina creation_date: 2023/02/02 stage: preparation +automation: + - edr/xdr + - soar requirements: - MS_intranet_firewall - MS_intranet_proxy - MS_intranet_ips - MS_intranet_ngfw - MS_host_firewall -extended_description: | - Убедитесь, что у вас есть возможность изолировать внутренний узел от корпоративной и внешней сетей. +workflow: | + Убедитесь в наличии, доступности средств защиты информации и администрирования для сетевой изоляции (блокировки сетевой активности) узлов корпоративной сети. diff --git a/data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml b/data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml index 195ffd2a..826117c2 100644 --- a/data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml +++ b/data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml @@ -1,18 +1,15 @@ title: RA_1117_get_ability_to_block_port_external_communication id: RA1117 description: > - Make sure you can block a network port for external communications -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Убедиться в возможности блокировки сетевых портов от соединений извне +author: bpopovich +creation_date: 2023/04/29 stage: preparation -references: - - https://example.com requirements: - MS_border_firewall - MS_border_proxy - MS_border_ips - MS_border_ngfw - MS_host_firewall -extended_description: | - Description of the extended_description for the Response Action in markdown format. - Here newlines will be saved. +workflow: | + Проверьте наличие, доступность средств защиты информации и администрирования для блокировки внешних соединений на сетевые порты в любом сегменте инфраструктуры. diff --git a/data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml b/data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml index 56677647..9e88cf6d 100644 --- a/data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml +++ b/data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml @@ -1,14 +1,15 @@ title: RA_1602_get_ability_to_lock_user_account id: RA1602 description: > - Make sure you have the ability to lock user account from being used -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Проверить возможность блокировки учетных записей пользователей +author: enikulina +creation_date: 2023/02/09 stage: preparation -references: - - https://example.com +automation: + - xdr + - soar/irp requirements: - - DN_zeek_conn_log # placeholder -extended_description: | - Description of the extended_description for single Response Action in markdown format. - Here newlines will be saved. + - active directory +workflow: | + Убедитесь, что при необходимости вы можете оперативно заблокировать как локальную учетную запись, так и учетную запись в домене организации. + Опираясь на выработанную ранее процедуру реагирования, убедитесь, что ответственные за реагирование имеют необходимые для блокировки УЗ доступы к СЗИ и IT-системам либо контакты соответствующих подразделений. diff --git a/data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml b/data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml index c33ef0dd..533a0859 100644 --- a/data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml +++ b/data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml @@ -1,14 +1,14 @@ title: RA_2001_list_victims_of_security_alert id: RA2001 description: > - List victims of a security alert -author: name/nickname/twitter -creation_date: YYYY/MM/DD + Составить список затронутых инцидентом ИБ объектов инфраструктуры. +author: avasiltsov +creation_date: 2023/04/27 stage: identification automation: - - thehive -references: - - https://example.com -extended_description: | - Description of the extended_description for the Response Action in markdown format. - Here newlines will be saved. + - siem/irp +linked_artifacts: + - A1004 + - A1005 +workflow: | + Определите затронутые инцидентом объекты корпоративной инфраструктуры: пострадавшие хосты, учетные записи и т.п. diff --git a/data/ru/response_actions/RA_2091_map_business_risks/RA_2091_map_business_risks.yml b/data/ru/response_actions/RA_2091_map_business_risks/RA_2091_map_business_risks.yml new file mode 100644 index 00000000..72bd9a92 --- /dev/null +++ b/data/ru/response_actions/RA_2091_map_business_risks/RA_2091_map_business_risks.yml @@ -0,0 +1,10 @@ +title: RA_2091_map_business_risks +id: RA2091 +description: > + Сопоставить бизнес-риски со списком затронутых инцидентом активов +author: bpopovich +creation_date: 2023/04/27 +stage: identification +workflow: | + Оцените влияние инцидента на ваши бизнес-процессы и сопоставьте бизнес-риски со списком затронутых инцидентом активов, чтобы корректно приоритизировать процессы реагирования. + diff --git a/data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml b/data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml index 6493cfc4..ecf8f3c0 100644 --- a/data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml +++ b/data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml @@ -8,14 +8,21 @@ stage: identification references: - https://docs.microsoft.com/en-us/sysinternals/downloads/whois - https://www.abuseipdb.com/ + - https://ipinfo.io/ - https://app.any.run - https://www.virustotal.com/ - https://otx.alienvault.com/ -extended_description: | - Собрать и проанализировать информацию об обнаруженном ранее IP-адресе с помощью различных доступных ресурсов: +workflow: | + Соберите и проанализируйте информацию об обнаруженном IP-адресе с помощью различных доступных ресурсов. - - https://www.abuseipdb.com/ - - whois - - https://app.any.run - - https://www.virustotal.com/ - - https://otx.alienvault.com/ + - Проверка репутации, GeoIP, ASN, Range + - https://www.abuseipdb.com/check/ (проверка репутации, географической принадлежности, типа использования адреса (например, хостинг), отчетов); + - https://www.virustotal.com/ (проверка репутации, детектов АВ, отчетов, статистики по DNS/Files); + - https://app.any.run + - https://otx.alienvault.com/ + - https://ipinfo.io/ (проверка географической принадлежности, типа использования адреса, ASN, Range, Company). + + - Проверка анонимизации (VPN, TOR, Proxy) + - https://ipinfo.io/products/proxy-vpn-detection-api + - https://spur.us/context/ + - https://getipintel.net/free-proxy-vpn-tor-ip-lookup/#web diff --git a/data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml b/data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml index 9d13c6f3..70322b9e 100644 --- a/data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml +++ b/data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml @@ -1,14 +1,21 @@ title: RA_2111_collect_transferred_data id: RA2111 description: > - Collect the data that is being transferred at the moment or at a particular time in the past -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Cобрать, сохранить и проанализировать информацию о подозрительном сетевом потоке и переданной в нём информации +author: bpopovich, enikulina +creation_date: 2023/04/27 stage: identification -references: - - https://example.com -requirements: - - DN_zeek_conn_log # placeholder -extended_description: | - Description of the extended_description for single Response Action in markdown format. - Here newlines will be saved. +automation: + - nta/ndr + - ids/ips +workflow: | + Соберите и сохраните информацию о подозрительной сетевой активности доступными средствами в формате .pcap. + Определите и проанализируйте характеристики и содержимое трафика. + + В первую очередь необходимо выделить: + - исходные IP-адреса (отправитель и получатель) + - используемые порты и протокол + - значения основных полей протокола + - сработавшие сетевые сигнатуры и признаки аномалий + + Если источник активности находится во внутренней сети, необходимо проанализировать логи и постараться определить процесс, генерирующий трафик, а также учетную запись пользователя, от имени которой он выполняется. diff --git a/data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml b/data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml index 05425856..19c4afb4 100644 --- a/data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml +++ b/data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml @@ -1,12 +1,21 @@ title: RA_2114_list_hosts_communicated_with_external_ip id: RA2114 description: > - List hosts communicated with an external IP address -author: '@atc_project' -creation_date: 2020/05/06 + Определить узлы корпоративной сети, взаимодействовавшие с внешним IP-адресом +author: enikulina +creation_date: 2023/02/06 stage: identification +automation: + - ids/ips + - nta/ndr + - siem requirements: + - MS_border_firewall + - MS_border_proxy + - MS_border_ips + - MS_border_ngfw - DN_network_flow_log - - DN_zeek_conn_log -extended_description: | - List hosts communicated with an external IP address using the most efficient way. + - DN_proxy_log + - DN_firewall_log +workflow: | + Найдите все хосты в инфраструктуре, с которых были обращения к внешнему подозрительному IP-адресу. diff --git a/data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml b/data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml index 0d0527dd..4bf6877d 100644 --- a/data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml +++ b/data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml @@ -1,19 +1,23 @@ title: RA_3101_block_external_ip_address id: RA3101 description: > - Block an external IP address from being accessed by corporate assets -author: '@atc_project' -creation_date: 2019/01/31 + Заблокировать внешний IP-адрес +author: enikulina +creation_date: 2023/02/06 stage: containment +automation: + - xdr + - soar/irp requirements: - MS_border_firewall - MS_border_proxy - MS_border_ips - MS_border_ngfw - MS_host_firewall -extended_description: | - Block an external IP address from being accessed by corporate assets, using the most efficient way. +artifacts: + - A1007 +workflow: | + Заблокируйте внешний вредоносный IP-адрес (путем добавления в "черный список" или создания запрещающих правил для входящего и исходящего трафика). - Warning: - - - Be careful blocking IP addresses. Make sure it's not a cloud provider or a hoster. If you would like to block something that is hosted on a well-known cloud provider or on a big hoster IP address, you should block (if applicable) a specific URL using alternative Response Action + Внимание: + Если IP-адрес является адресом облачного провайдера или хостинга, предпочтительнее, если возможно, ограничить доступ только к вредоносному URL (вместо блокировки IP-адреса). diff --git a/data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml b/data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml index 2d668771..8f0b866f 100644 --- a/data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml +++ b/data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml @@ -1,15 +1,18 @@ title: RA_3102_block_internal_ip_address id: RA3102 description: > - Изолировать внутренний узел от локальной и внешней сетей + Изолировать узел от внутренней и внешней сетей author: enikulina creation_date: 2023/02/03 stage: containment +automation: + - edr/xdr + - soar requirements: - MS_intranet_firewall - MS_intranet_proxy - MS_intranet_ips - MS_intranet_ngfw - MS_host_firewall -extended_description: | - Изолировать скомпрометированный внутренний хост от локальной и внешней сетей для прекращения распространения атаки. +workflow: | + Изолируйте скомпрометированный хост от корпоративной и внешней сетей. diff --git a/data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml b/data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml index ada2ab59..74b418ba 100644 --- a/data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml +++ b/data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml @@ -5,5 +5,8 @@ description: > author: enikulina creation_date: 2023/02/03 stage: containment -extended_description: | - Заблокировать учетную запись пользователя с разрывом всех активных сессий и обязательной сменой пароля. +automation: + - xdr + - soar/irp +workflow: | + Заблокируйте локальную либо доменную учетную запись пользователя с разрывом всех активных сессий и обязательной сменой пароля. diff --git a/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_companies.yml b/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_companies.yml deleted file mode 100644 index 39de7268..00000000 --- a/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_companies.yml +++ /dev/null @@ -1,30 +0,0 @@ -title: RA_4001_report_incident_to_external_companies -id: RA4001 -description: Report incident to external companies -author: '@atc_project' -creation_date: 2019/01/31 -stage: eradication -automation: - - thehive # integration with MISP -references: - - https://www.antiphishing.org/report-phishing/ - - https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en - - https://www.ic3.gov/default.aspx - - http://www.us-cert.gov/nav/report_phishing.html - - https://blog.thehive-project.org/2017/06/19/thehive-cortex-and-misp-how-they-all-fit-together/ - - https://www.sei.cmu.edu/education-outreach/computer-security-incident-response-teams/national-csirts/ - - https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/ - - https://mitre.github.io/unfetter/about/ -extended_description: | - Report incident to external security companites, i.e. [National Computer Security Incident Response Teams (CSIRTs)](https://www.sei.cmu.edu/education-outreach/computer-security-incident-response-teams/national-csirts/). - Provide all Indicators of Compromise and Indicators of Attack that have been observed. - - A phishing attack could be reported to: - - 1. [National Computer Security Incident Response Teams (CSIRTs)](https://www.sei.cmu.edu/education-outreach/computer-security-incident-response-teams/national-csirts/) - 2. [U.S. government-operated website](http://www.us-cert.gov/nav/report_phishing.html) - 3. [Anti-Phishing Working Group (APWG)](http://antiphishing.org/report-phishing/) - 4. [Google Safe Browsing](https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en) - 5. [The FBI's Intenet Crime Complaint Center (IC3)](https://www.ic3.gov/default.aspx) - - This Response Action could be automated with [TheHive and MISP integration](https://blog.thehive-project.org/2017/06/19/thehive-cortex-and-misp-how-they-all-fit-together/). diff --git a/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_csirts.yml b/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_csirts.yml new file mode 100644 index 00000000..93dea065 --- /dev/null +++ b/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_csirts.yml @@ -0,0 +1,11 @@ +title: RA_4001_report_incident_to_external_csirts +id: RA4001 +description: Сообщить об инциденте внешним центрам реагирования +author: enikulina +creation_date: 2023/02/03 +stage: eradication +references: + - https://cert.gov.ru/abuse +workflow: | + Оповестите об инциденте внешние центры реагирования на компьютерные инциденты, отраслевые CERT/CSIRT, правоохранительные и/или регулирующие органы (в зависимости от характера и критичности инцидента). + Предоставьте все индикаторы компрометации (IoC) и индикаторы атаки (IoA), которые были собраны в процессе расследования. diff --git a/data/ru/response_actions/RA_5101_unblock_blocked_ip/RA_5101_unblock_blocked_ip.yml b/data/ru/response_actions/RA_5101_unblock_blocked_ip/RA_5101_unblock_blocked_ip.yml index 97fa57ac..b5b5921d 100644 --- a/data/ru/response_actions/RA_5101_unblock_blocked_ip/RA_5101_unblock_blocked_ip.yml +++ b/data/ru/response_actions/RA_5101_unblock_blocked_ip/RA_5101_unblock_blocked_ip.yml @@ -1,19 +1,18 @@ -title: RA_5101_unblock_blocked_ip +title: RA_5101_unblock_blocked_internal_ip id: RA5101 description: > - Unblock a blocked IP address -author: '@atc_project' -creation_date: 2020/05/06 + Ввести изолированный узел обратно в сеть +author: enikulina +creation_date: 2023/02/06 stage: recovery +automation: + - edr/xdr + - soar requirements: - - MS_border_firewall - - MS_border_proxy - - MS_border_ips - - MS_border_ngfw - MS_intranet_firewall - MS_intranet_proxy - MS_intranet_ips - MS_intranet_ngfw - MS_host_firewall -extended_description: | - Unblock a blocked IP address in the system(s) used to block it. +workflow: | + Введите изолированный ранее хост обратно в сеть, предварительно убедившись в устранении угрозы и отсутствии признаков нелегитимной активности. diff --git a/data/ru/response_actions/RA_5105_unblock_blocked_user/RA_5105_unblock_blocked_user.yml b/data/ru/response_actions/RA_5105_unblock_blocked_user/RA_5105_unblock_blocked_user.yml index ce1c26be..c7a9f4b5 100644 --- a/data/ru/response_actions/RA_5105_unblock_blocked_user/RA_5105_unblock_blocked_user.yml +++ b/data/ru/response_actions/RA_5105_unblock_blocked_user/RA_5105_unblock_blocked_user.yml @@ -1,14 +1,16 @@ title: RA_5105_unblock_blocked_user id: RA5105 description: > - Unblock a blocked user -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Разблокировать учетную запись пользователя +author: avasiltsov, enikulina +creation_date: 2023/04/26 stage: recovery -references: - - https://example.com -requirements: - - DN_zeek_conn_log # placeholder -extended_description: | - Description of the extended_description for single Response Action in markdown format. - Here newlines will be saved. +automation: + - edr/xdr + - irp/soar +linked_artifacts: + - A1001 + - A1003 + - A1004 +workflow: | + Разблокируйте ранее заблокированную учетную запись пользователя, предварительно убедившись в успешной смене пароля и разрыве активных до блокировки сессий. diff --git a/data/ru/response_actions_implementations/RAI_2105_0001_ptnad_analyse_ip/RAI_2105_0001_ptnad_analyse_ip.yml b/data/ru/response_actions_implementations/RAI_2105_0001_ptnad_analyse_ip/RAI_2105_0001_ptnad_analyse_ip.yml index 41c2bd77..2d3d175f 100644 --- a/data/ru/response_actions_implementations/RAI_2105_0001_ptnad_analyse_ip/RAI_2105_0001_ptnad_analyse_ip.yml +++ b/data/ru/response_actions_implementations/RAI_2105_0001_ptnad_analyse_ip/RAI_2105_0001_ptnad_analyse_ip.yml @@ -27,7 +27,7 @@ extended_description: | 2) Настроенный сбор необходимого трафика в PT NAD ## Ожидаемый результат воздействия - Получение информации обо всех сетевых соединения с данным IP-адресов + Получение информации обо всех входящих и исходящих сетевых соединениях с IP-адресом за указанный промежуток времени ## Реализации ### PDQL: IP-адрес @@ -68,3 +68,4 @@ extended_description: | ### Ссылки на внешние ресурсы ### Соответствие классификациям + diff --git a/data/ru/response_actions_implementations/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip.yml b/data/ru/response_actions_implementations/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip.yml new file mode 100644 index 00000000..6e4248ff --- /dev/null +++ b/data/ru/response_actions_implementations/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip.yml @@ -0,0 +1,76 @@ +title: Поиск хостов во внутренней сети, взаимодействовавших с указанным IP-адресом, с помощью PT NAD +id: RAI2114_0001 +linked_response_actions: RA2114 +description: Поиск хостов во внутренней сети, взаимодействовавших с указанным IP-адресом, в PT NAD +author: enikulina +creation_date: 2023/05/04 +modification_date: 2023/05/04 +linked_software: + - S1003 +tags: + - ip.connect +linked_artifacts: + - A1007 +requirements: + software: + means_of_action: + - ID: S1003 + cpe-fs: "cpe:2.3:a:positive_technologies:pt_nad:9.*:*:*:*:*:*:*:*" + targets_of_action: +extended_description: | + Данное действие реагирования предназначено для выявления всех узлов, с которых были обращения к подозрительному IP-адресу в указанный промежуток времени. + + ## Требования к целевой системе + Отсутствуют + + ## Требования к средствам воздействия + 1) PT NAD версии 9 и выше + 2) Настроенный сбор необходимого трафика в PT NAD + + ## Ожидаемый результат воздействия + Список хостов, взаимодействовавших с указанным IP-адресом в выбранный промежуток времени + + ## Реализации + ### PDQL: IP-адрес + + #### Параметры + $IP - целевой IP-адрес + + #### Комментарии + Выполнив запрос, необходимо построить дашборд для отфильтрованных сессий и выгрузить его: + 1. Перейти в раздел "Дашборды" и выбрать дашборд "Трафик" + 2. Найти виджет "Клиенты по сессиям и трафику"; если виджет отсутствует, построить его: + - нажать на гайку справа (над дашбордами) -> "Добавить виджеты" -> "Трафик" -> "Клиенты по сессиям и трафику" + 3. Выгрузить список клиентов в формате CSV: + - нажать на многоточие в правом верхнем углу виджета -> "Скачать в формате CSV" + + #### Запрос + +
+ PDQL Запрос + + ```python linenums="1" + src.groups == "HOME_NET" && dst.ip == $IP + ``` +
+ + #### Пример использования + + #### Результат + +
+ Результат + + ```json linenums="1" + ``` +
+ + #### Ограничения + + ## Дополнительные сведения + ### Метки + ### Артефакты + IP Address + + ### Ссылки на внешние ресурсы + ### Соответствие классификациям diff --git a/data/ru/response_actions_implementations/RAI_2203_0001_ptnad_list_receivers/RAI_2203_0001_ptnad_list_receivers.yml b/data/ru/response_actions_implementations/RAI_2203_0001_ptnad_list_receivers/RAI_2203_0001_ptnad_list_receivers.yml index c28b56af..458fe1de 100644 --- a/data/ru/response_actions_implementations/RAI_2203_0001_ptnad_list_receivers/RAI_2203_0001_ptnad_list_receivers.yml +++ b/data/ru/response_actions_implementations/RAI_2203_0001_ptnad_list_receivers/RAI_2203_0001_ptnad_list_receivers.yml @@ -27,16 +27,22 @@ extended_description: | 2) Настроенный сбор необходимого трафика в PT NAD ## Ожидаемый результат воздействия - Получение информации о получателях письма электронной почты с определенной темой и\или с определенного адреса + Список получателей письма электронной почты с определенной темой и\или с определенного адреса ## Реализации ### PDQL: Тема письма\Отправитель письма\IP-адрес отправителя письма - - #### Комментарии - Фильтрация всех SMTP-сессий по отправителю письма и теме или по IP-адресу отправителя с последующей выгрузкой дашборда - + #### Параметры + $FROM - почтовый адрес отправителя, $SUBJ - тема письма, $IP - IP-адрес отправитеоя + + #### Комментарии + Выполнив запрос, необходимо построить дашборд для отфильтрованных сессий и выгрузить его. + 1. Построить дашборд "Почтовые адреса получателей": + - Перейти в раздел "Дашборды" + - Нажать на гайку справа (над дашбордами) -> "Добавить виджеты" -> "Эл.Почта" -> "Почтовые адреса получателей" + 2. Выгрузить список пользователей в формате CSV: + - нажать на многоточие в правом верхнем углу виджета -> "Скачать в формате CSV" #### Запрос @@ -48,10 +54,6 @@ extended_description: | ``` - Построить дашборд "Почтовые адреса получателей": - Нажать на гайку справа -> "Добавить виджеты" -> "Эл.Почта" -> "Почтовые адреса получателей" - Выгрузить списко пользователей в формате CSV: - Нажать на многоточие в парвом верхнем углу дашборда -> "Скачать в формате CSV" #### Пример использования diff --git a/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml new file mode 100644 index 00000000..7f06e581 --- /dev/null +++ b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml @@ -0,0 +1,62 @@ +title: Подозрительное сетевое соединение +id: RP9001 +description: > + Сценарий реагирования при обнаружении подозрительного сетевого подключения +author: bpopovich, gkhandozhko, enikulina +creation_date: 2023/05/26 +severity: M +tlp: AMBER +tags: + - attack.defense_evasion + - attack.persistence + - attack.command_and_control + - sub-playbook +extended_description: | + Нестандартная сетевая активность в инфраструктуре, взаимодействие с подозрительными IP и URL-адресами могут свидетельствовать о компрометации корпоративных ресурсов и наличии инцидента ИБ. Поэтому факты подозрительных сетевых соединений требуют тщательного анализа и, в случае подтвержденного инцидента, принятия необходимых мер по реагированию. +preparation: + - RA_1001_practice + - RA_1002_take_trainings + - RA_1012_check_analysis_toolset + - RA_1017_implement_ids_ips_firewalls + - RA_1018_check_lan_communication + - RA_1104_access_external_http_logs + - RA_1110_access_external_packet_capture_data + - RA_1111_get_ability_to_block_external_ip_address + - RA_1112_get_ability_to_block_internal_ip_address + - RA_1117_get_ability_to_block_port_external_communication + - RA_1602_get_ability_to_lock_user_account +identification: + - RA_2111_collect_transferred_data + - RA_2105_analyse_IP + - RA_2114_list_hosts_communicated_with_external_ip + - RA_2001_list_victims_of_security_alert + - RA_2091_map_business_risks + - RP_0009_malicious_process +containment: + - RA_3101_block_external_ip_address + - RA_3102_block_internal_ip_address + - RA_3502_run_antivirus_scan + - RA_3601_lock_user_account +eradication: + - RA_4001_report_incident_to_external_csirts +recovery: + - RA_5105_unblock_blocked_user + - RA_5101_unblock_blocked_internal_ip +lessons_learned: + - RA_6001_develop_incident_report + - RA_6002_conduct_lessons_learned_exercise +extended_description: | + | Артефакты | Действия по реагированию | Возможный обнаруженный объект | + | :-------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| :--------------------------------------------------------------------------------------------------------------------------| + | <[УЗ домена]>(A_1001) | Проверьте УЗ пользователей домена, которые были обнаружены на этапе идентификации. | Имена пользователей, которые потенциально были скомпрометированы в результате атаки. | + | <[Хост]>(A_1005) | Проверьте хосты, которые были обнаружены на этапе идентификации. | Вредоносные программы и утилиты, использованные для проведения атаки или подозрительные внешние сетевые подключения | + | <[IP адрес]>(A_1007) | Соберите все IP-адреса, которые были обнаружены на этапе идентификации. Отдельно отметьте те, которые принадлежат организации. | Нетипичные соединения для IP-адреса, например, неиспользуемые сетевые протоколы взаимодействия. | +workflow: | + 1. На этапе подготовки необходимо провести учения, проверить корректность работы средств защиты информации и иных информационных средств. + Подтвердить доступ к результатам работы этих средств, доступ к журналам и дампам сетевого потока. + 2. На этапе идентификации необходимо собрать артефакты, фигурирующие в компьютерной атаке. Например, это могут быть как <[процессы]>(A_4001), так и <[IP адреса]>(A_1007). Если в ходе расследования будет обнаружен <[процесс]>(A_4001), инициировавший нелегитимное сетевое соединение, то следует перейти к сценарию реагирования <[RP0009: Запуск вредоносного процесса]>(RP_0009). + Среди затронутых инцидентом активов (<[хостов]>(A_1005)) необходимо выделить критичные для бизнес-процессов организации. Это поможет правильно расставить приоритеты на последующих стадиях реагирования. + 3. На этапе локализации необходимо на основе собранной на этапе идентификации информации ограничить распространение атаки с помощью средств защиты информации и иных информационных средств, заблокировать нелегитимный IP-адрес на сетевом уровне, изолировать скомпрометированные хосты, заблокировать скомпрометированные УЗ и провести сканирование <[хостов]>(A_1005) антивирусными средствами. Не забывайте фиксировать все предпринятые меры по локализации с указанием времени, исполнителя (ответственного) и т.д. + 4. На этапе устранения необходимо <[сообщить об инциденте]>(RA_4001) внешним центрам реагирования, предоставив все найденные индикаторы компрометации. + 5. На этапе восстановления необходимо <[разблокировать]>(RA_5105) ранее заблокированные учетные записи и <[восстановить сетевое взаимодействие]>(RA_5101) ранее изолированных внутренних хостов. + 6. В рамках пост-инцидентного анализа необходимо <[составить отчет]>(RA_6001) о произошедшем инциденте в соответствии с принятыми в организации процедурами и <[проанализировать инцидент]>(RA_6002), понять, какие меры нужно предпринять, чтобы избежать аналогичных инцидентов в будущем.