Rp 9001 suspicious network connection

data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml

@@ -1,14 +1,9 @@
 title: RA_1012_check_analysis_toolset
 id: RA1012
 description: >
-  Make sure your toolset for analysis and management is updated and fully operational. Make sure that all the required permissions have been granted as well
-author: your name/nickname/twitter
-creation_date: YYYY/MM/DD
+  Убедиться, что средства защиты информации, мониторинга и автоматизации, необходимые в работе, обновлены и полностью работоспособны
+author: bpopovich
+creation_date: 2023/04/29
 stage: preparation
-automation:
-  - thehive/phantom/demisto/etc
-references:
-  - https://example.com
-extended_description: |
-  Description of the extended_description for the Response Action in markdown format.
-  Here newlines will be saved.
+workflow: |
+  Убедитесь, что ваши средства защиты информации, мониторинга и автоматизации, необходимые в работе, обновлены и полностью работоспособны. Убедитесь, что все необходимые доступы к ним предоставлены.

data/ru/response_actions/RA_1017_implement_ids_ips_firewalls/RA_1017_implement_ids_ips_firewalls.yml

@@ -0,0 +1,14 @@
+title: RA_1017_implement_ids_ips_firewalls
+id: RA1017
+description: >
+  Внедрить и настроить средства обнаружения/предотвращения вторжений, межсетевого экранирования
+author: bpopovich
+creation_date: 2023/04/26
+stage: preparation
+workflow: |
+    1. Убедитесь, что средства обнаружения/предотвращение вторжений, межсетевого экранирования корректно настроены и обновлены.
+    2. Определите контакты подразделений, ответственных за обеспечение функционирования этих средств.
+    3. Регламентируйте взаимодействие с этими подразделением.
+    4. Убедитесь, что средства из п. 1 доступны и выполняют свои функции.
+    5. Убедитесь, что эти средства предоставляют возможность локализации активов в инфраструктуре организации.
+

data/ru/response_actions/RA_1018_check_lan_communication/RA_1018_check_lan_communication.yml

@@ -0,0 +1,13 @@
+title: RA_1018_check_lan_communication
+id: RA1018
+description: >
+  Актуализировать информацию в подразделениях, ответственных за функционирование сетевой инфраструктуры и ответственных за сетевую конфигурацию активов в сети
+author: bpopovich
+creation_date: 2023/04/26
+stage: preparation
+workflow: |
+    1. Убедитесь, что схема сетевой инфраструктуры организации актуальна и отображает все точки входа.
+    2. Убедитесь, что подразделения, ответственные за функционирования сети и ответственные за сетевую конфигурацию активов в сети имеют актуальную схему сетевой инфраструктуры.
+    3. Регламентируйте регулярный аудит сети с целью выявления новых точек входа и недокументированных активов.
+    4. Регламентируйте внедрение средств мониторинга и управления сетевой инфраструктурой в новых сегментах сети.
+

data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml

@@ -1,16 +1,19 @@
 title: RA_1104_access_external_http_logs
 id: RA1104
 description: >
-  Make sure you have access to external communication HTTP logs
-author: '@atc_project'
-creation_date: 2020/05/06
+  Убедиться, что журналирование исходящего HTTP-трафика реализовано и корректно настроено
+author: enikulina
+creation_date: 2023/02/06
 stage: preparation
 references:
   - https://docs.zeek.org/en/current/examples/httpmonitor/
-  - https://en.wikipedia.org/wiki/Common_Log_Format
+  - https://suricata.readthedocs.io/en/suricata-6.0.12/output/eve/eve-json-format.html?highlight=http%20event#event-type-http
 requirements:
   - MS_border_proxy
   - MS_border_ngfw
+  - DN_border_proxy_logs
+  - DN_border_ngfw_logs
+  - DN_suricata_http_events
   - DN_zeek_http_log
-extended_description: |
-  Make sure that there is a collection of HTTP connections logs for external communication (from corporate assets to the Internet) configured.
+workflow: |
+  Включите и настройте подходящим под вашу инфраструктуру образом журналирование исходящей (из корпоративной сети к внешним ресурсам) HTTP-активности.

data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml

@@ -1,14 +1,19 @@
 title: RA_1111_get_ability_to_block_external_ip_address
 id: RA1111
 description: >
-   Убедиться, что у вас есть возможность заблокировать внешний IP-адрес 
+   Проверить возможность блокировки внешних IP-адресов
 author: enikulina
 creation_date: 2023/02/02
 stage: preparation
+automation:
+  - xdr
+  - soar
+  - custom scripts
+references:
 requirements:
   - MS_border_firewall
   - MS_border_proxy
   - MS_border_ips
   - MS_border_ngfw
-extended_description: |
-  Убедиться, что у вас есть возможность добавления внешних IP-адресов в "черный список" или создания запрещающих правил для входящего и исходящего трафика в 1 из перечисленных систем.
+workflow: |
+  Убедитесь, что у вас есть возможность заблокировать сетевое взаимодействие с внешним IP-адресом путем добавления его в "черный список" или создания запрещающих правил для входящего и исходящего трафика.

data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml

@@ -1,15 +1,18 @@
 title: RA_1112_get_ability_to_block_internal_ip_address
 id: RA1112
 description: >
-  Убедитесь, что у вас есть возможность изолировать внутренний узел от корпоративной и внешней сетей
+  Проверить возможность изоляции хостов от внутренней и внешней сетей
 author: enikulina
 creation_date: 2023/02/02
 stage: preparation
+automation:
+  - edr/xdr
+  - soar
 requirements:
   - MS_intranet_firewall
   - MS_intranet_proxy
   - MS_intranet_ips
   - MS_intranet_ngfw
   - MS_host_firewall
-extended_description: |
-  Убедитесь, что у вас есть возможность изолировать внутренний узел от корпоративной и внешней сетей.
+workflow: |
+  Убедитесь в наличии, доступности средств защиты информации и администрирования для сетевой изоляции (блокировки сетевой активности) узлов корпоративной сети.

data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml

@@ -1,18 +1,15 @@
 title: RA_1117_get_ability_to_block_port_external_communication
 id: RA1117
 description: >
-  Make sure you can block a network port for external communications
-author: your name/nickname/twitter
-creation_date: YYYY/MM/DD
+  Убедиться в возможности блокировки сетевых портов от соединений извне
+author: bpopovich
+creation_date: 2023/04/29
 stage: preparation
-references:
-  - https://example.com
 requirements:
   - MS_border_firewall
   - MS_border_proxy
   - MS_border_ips
   - MS_border_ngfw
   - MS_host_firewall
-extended_description: |
-  Description of the extended_description for the Response Action in markdown format.
-  Here newlines will be saved.
+workflow: |
+  Проверьте наличие, доступность средств защиты информации и администрирования для блокировки внешних соединений на сетевые порты в любом сегменте инфраструктуры.

data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml

@@ -1,14 +1,15 @@
 title: RA_1602_get_ability_to_lock_user_account
 id: RA1602
 description: >
-  Make sure you have the ability to lock user account from being used
-author: your name/nickname/twitter
-creation_date: YYYY/MM/DD
+  Проверить возможность блокировки учетных записей пользователей
+author: enikulina
+creation_date: 2023/02/09
 stage: preparation
-references:
-  - https://example.com
+automation:
+  - xdr
+  - soar/irp
 requirements:
-  - DN_zeek_conn_log # placeholder
-extended_description: |
-  Description of the extended_description for single Response Action in markdown format.
-  Here newlines will be saved.
+  - active directory
+workflow: |
+  Убедитесь, что при необходимости вы можете оперативно заблокировать как локальную учетную запись, так и учетную запись в домене организации. 
+  Опираясь на выработанную ранее процедуру реагирования, убедитесь, что ответственные за реагирование имеют необходимые для блокировки УЗ доступы к СЗИ и IT-системам либо контакты соответствующих подразделений.

data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml

@@ -1,14 +1,14 @@
 title: RA_2001_list_victims_of_security_alert
 id: RA2001
 description: >
-  List victims of a security alert
-author: name/nickname/twitter
-creation_date: YYYY/MM/DD
+  Составить список затронутых инцидентом ИБ объектов инфраструктуры.
+author: avasiltsov
+creation_date: 2023/04/27
 stage: identification
 automation:
-  - thehive
-references:
-  - https://example.com
-extended_description: |
-  Description of the extended_description for the Response Action in markdown format.
-  Here newlines will be saved.
+  - siem/irp
+linked_artifacts:
+  - A1004
+  - A1005
+workflow: |
+  Определите затронутые инцидентом объекты корпоративной инфраструктуры: пострадавшие хосты, учетные записи и т.п.

data/ru/response_actions/RA_2091_map_business_risks/RA_2091_map_business_risks.yml

@@ -0,0 +1,10 @@
+title: RA_2091_map_business_risks
+id: RA2091
+description: >
+  Сопоставить бизнес-риски со списком затронутых инцидентом активов
+author: bpopovich
+creation_date: 2023/04/27
+stage: identification
+workflow: |
+  Оцените влияние инцидента на ваши бизнес-процессы и сопоставьте бизнес-риски со списком затронутых инцидентом активов, чтобы корректно приоритизировать процессы реагирования.
+

data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml

@@ -8,14 +8,21 @@ stage: identification
 references:
   - https://docs.microsoft.com/en-us/sysinternals/downloads/whois
   - https://www.abuseipdb.com/
+  - https://ipinfo.io/
   - https://app.any.run
   - https://www.virustotal.com/
   - https://otx.alienvault.com/
-extended_description: |
-  Собрать и проанализировать информацию об обнаруженном ранее IP-адресе с помощью различных доступных ресурсов:
+workflow: |
+  Соберите и проанализируйте информацию об обнаруженном IP-адресе с помощью различных доступных ресурсов.
 
-  - https://www.abuseipdb.com/
-  - whois
-  - https://app.any.run
-  - https://www.virustotal.com/
-  - https://otx.alienvault.com/
+  - Проверка репутации, GeoIP, ASN, Range
+    - https://www.abuseipdb.com/check/ (проверка репутации, географической принадлежности, типа использования адреса (например, хостинг), отчетов);
+    - https://www.virustotal.com/ (проверка репутации, детектов АВ, отчетов, статистики по DNS/Files);
+    - https://app.any.run
+    - https://otx.alienvault.com/
+    - https://ipinfo.io/ (проверка географической принадлежности, типа использования адреса, ASN, Range, Company).
+
+  - Проверка анонимизации (VPN, TOR, Proxy)
+    - https://ipinfo.io/products/proxy-vpn-detection-api
+    - https://spur.us/context/<ip_address>
+    - https://getipintel.net/free-proxy-vpn-tor-ip-lookup/#web  

data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml

@@ -1,14 +1,21 @@
 title: RA_2111_collect_transferred_data
 id: RA2111
 description: >
-  Collect the data that is being transferred at the moment or at a particular time in the past
-author: your name/nickname/twitter
-creation_date: YYYY/MM/DD
+  Cобрать, сохранить и проанализировать информацию о подозрительном сетевом потоке и переданной в нём информации
+author: bpopovich, enikulina
+creation_date: 2023/04/27
 stage: identification
-references:
-  - https://example.com
-requirements:
-  - DN_zeek_conn_log # placeholder
-extended_description: |
-  Description of the extended_description for single Response Action in markdown format.
-  Here newlines will be saved.
+automation:
+  - nta/ndr
+  - ids/ips
+workflow: |
+  Соберите и сохраните информацию о подозрительной сетевой активности доступными средствами в формате .pcap.
+  Определите и проанализируйте характеристики и содержимое трафика.
+
+  В первую очередь необходимо выделить:
+    - исходные IP-адреса (отправитель и получатель)
+    - используемые порты и протокол
+    - значения основных полей протокола
+    - сработавшие сетевые сигнатуры и признаки аномалий
+
+  Если источник активности находится во внутренней сети, необходимо проанализировать логи и постараться определить процесс, генерирующий трафик, а также учетную запись пользователя, от имени которой он выполняется.

data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml

@@ -1,12 +1,21 @@
 title: RA_2114_list_hosts_communicated_with_external_ip
 id: RA2114
 description: >
-  List hosts communicated with an external IP address
-author: '@atc_project'
-creation_date: 2020/05/06
+  Определить узлы корпоративной сети, взаимодействовавшие с внешним IP-адресом
+author: enikulina
+creation_date: 2023/02/06
 stage: identification
+automation:
+  - ids/ips
+  - nta/ndr
+  - siem
 requirements:
+  - MS_border_firewall
+  - MS_border_proxy
+  - MS_border_ips
+  - MS_border_ngfw
   - DN_network_flow_log
-  - DN_zeek_conn_log
-extended_description: |
-  List hosts communicated with an external IP address using the most efficient way.
+  - DN_proxy_log
+  - DN_firewall_log
+workflow: |
+  Найдите все хосты в инфраструктуре, с которых были обращения к внешнему подозрительному IP-адресу.

data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml

@@ -1,19 +1,23 @@
 title: RA_3101_block_external_ip_address
 id: RA3101
 description: >
-  Block an external IP address from being accessed by corporate assets
-author: '@atc_project'
-creation_date: 2019/01/31
+  Заблокировать внешний IP-адрес
+author: enikulina
+creation_date: 2023/02/06
 stage: containment
+automation:
+  - xdr
+  - soar/irp
 requirements:
   - MS_border_firewall
   - MS_border_proxy
   - MS_border_ips
   - MS_border_ngfw
   - MS_host_firewall
-extended_description: |
-  Block an external IP address from being accessed by corporate assets, using the most efficient way.
+artifacts:
+  - A1007
+workflow: |
+  Заблокируйте внешний вредоносный IP-адрес (путем добавления в "черный список" или создания запрещающих правил для входящего и исходящего трафика).
 
-  Warning:
-
-  - Be careful blocking IP addresses. Make sure it's not a cloud provider or a hoster. If you would like to block something that is hosted on a well-known cloud provider or on a big hoster IP address, you should block (if applicable) a specific URL using alternative Response Action
+  Внимание:
+  Если IP-адрес является адресом облачного провайдера или хостинга, предпочтительнее, если возможно, ограничить доступ только к вредоносному URL (вместо блокировки IP-адреса).

data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml

@@ -1,15 +1,18 @@
 title: RA_3102_block_internal_ip_address
 id: RA3102
 description: >
-  Изолировать внутренний узел от локальной и внешней сетей
+  Изолировать узел от внутренней и внешней сетей
 author: enikulina
 creation_date: 2023/02/03
 stage: containment
+automation:
+  - edr/xdr
+  - soar
 requirements:
   - MS_intranet_firewall
   - MS_intranet_proxy
   - MS_intranet_ips
   - MS_intranet_ngfw
   - MS_host_firewall
-extended_description: |
-  Изолировать скомпрометированный внутренний хост от локальной и внешней сетей для прекращения распространения атаки.
+workflow: |
+  Изолируйте скомпрометированный хост от корпоративной и внешней сетей.

data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml

@@ -5,5 +5,8 @@ description: >
 author: enikulina
 creation_date: 2023/02/03
 stage: containment
-extended_description: |
-  Заблокировать учетную запись пользователя с разрывом всех активных сессий и обязательной сменой пароля.
+automation:
+  - xdr
+  - soar/irp
+workflow: |
+  Заблокируйте локальную либо доменную учетную запись пользователя с разрывом всех активных сессий и обязательной сменой пароля.