Сценарии реагирования на инциденты. FAQ

1. Что такое сценарий реагирования на инцидент?

Сценарий реагирования или плейбук (от англ. playbook) представляет собой алгоритм действий, заданный для определенного типа инцидента, который исполняется в автоматическом режиме при срабатывании определенного правила.

2. Что дает использование плейбуков?

Плейбук позволяет в автоматическом режиме выполнять множество действий и распараллеливать операции, тем самым ускоряя процесс реагирования и избавляя специалистов от осуществления рутинных действий вручную. Сценарий реагирования может включать в себя как действия, направленные на сбор свидетельств, сохранение их целостности и возможность исследования этих данных в будущем, так и необходимые первоочередные шаги для блокирования атаки, а также максимально оперативного уведомления всех заинтересованных сторон в соответствии с зонами ответственности и планирование последующих задач по обработке и аналитике.

Фиксация плана действий по реагированию в виде плейбука позволяет снизить человеческий фактор и вероятность ошибки или пропуска какого-либо этапа. Контроль выполнения операций и возможность скорректировать их на лету позволяют гибко управлять процессом реагирования.

3. Какие действия можно добавить в сценарий?

В состав плейбука можно включить следующие типы действий:

  • Уведомление – позволяет отправить уведомление выбранным пользователям или группам пользователей. Можно создавать шаблоны темы письма и текста письма с помощью переменных.
  • Назначение – позволяет сформировать список пользователей и/или групп пользователей и указать роли, которые будут им автоматически назначены.
  • Модификация – позволяет сформировать список значений полей для изменения/присвоения
  • Действие персонала – позволяет добавить действие, предпринятое в отношении инцидента, с указанием типа запуска (сразу, после завершения другого действие и т.д.)
  • Скрипт – действие, которое позволяет исполнить скрипт из заранее определенного в настройках списка. В R-Vision IRP уже есть большая база скриптов реагирования (в системе предустановлено более 50 скриптов автоматизации).
  • Решение – позволяет создать разветвление дальнейшего ход сценария в зависимости от условий. В системе есть два вида решений: решения пользователя (в этом случае пользователь получает уведомление о том, что нужно принять решение по инциденту) и автоматическое решение (вариант решения выбирается автоматически в соответствии с заданными критериями).
  • Запрос информации – позволяет направить запрос дополнительной информации по инциденту выбранным пользователям или группам пользователей̆. Можно создавать шаблоны темы письма и текста письма с помощью переменных.
  • Инцидент HP Service Manager – действие, которое позволяет добавить или изменить инцидент, полученный через интеграцию с HP Service Manager. Можно сформировать список полей инцидентов HP Service Manager и задать соответствие полям инцидентов в системе R-Vision IRP.
  • Запрос событий по инциденту в SIEM (QRadar SIEM/ ArcSight ESM) – действие, которое позволяет сделать запрос событий по инциденту в SIEM и просмотреть результаты запроса в виде таблицы и графика.
  • Сканирование связанного оборудования – позволяет выполнить сканирование определенных внутренних узлов, связанных с инцидентом.
  • Запрос информации через API – действие, которое позволяет сделать запрос информации по инциденту из внешней̆ системы через API и использовать результаты запроса для заполнения полей инцидента.
  • Запуск сценария реагирования – позволяет запустить сценарий реагирования из списка сценариев, существующих в системе.
  • Запуск коннектора – позволяет запустить коннектор из списка коннекторов, существующих в системе.

4. По каким критериям может срабатывать плейбук?

Триггером или критерием для срабатывания сценария может выступать принадлежность инцидента к определенному типу, значение какого-либо поля инцидента или связанный с инцидентом актив (узлы, пользователи и т.д.). Помимо самих критериев необходимо задать правила их срабатывания, которые могут учитывать различные варианты соответствия (всем критериям, одному из критериев или пользовательскую комбинацию условий).

5. Как выглядит плейбук?

В окне настроек плейбук представлен списком действий.

Иконки указывают на тип действия (уведомление, назначение, решение и т.д.), цифра в скобках обозначает порядок выполнения действия.

В графическом редакторе тот же самый плейбук выглядит так.

6. Как настроить плейбук?

Плейбук настраивается в несколько простых шагов:

1) На этапе первичной настройки системы необходимо задать типовые поля карточки инцидента, которые будут использованы в качестве триггеров в сценарии реагирования. Также на этом этапе нужно сформировать цикл обработки инцидента и указать последовательность статусов, в соответствии с которыми будет осуществляться процесс работы с инцидентами ИБ, т.е. задать workflow.

2) Добавить условия, по которым сценарии будут срабатывать для инцидентов.

3) Добавить действия по инциденту и указать последовательность их выполнения.

4) Указать максимальный срок устранения инцидента при необходимости. Это опционально.

7. Всегда ли плейбуки автоматизированные?

R-Vision IRP предусматривает гибкие инструменты и предустановленные справочники, чтобы создавать максимально автоматизированные варианты сценариев реагирования с минимальным количеством действий пользователя. Однако при необходимости можно создать как комбинированный, так и полностью «ручной» сценарий, который может служить подсказкой для специалиста и своеобразным регламентом реагирования на инциденты.

8. Есть ли типовые шаблоны плейбуков?

Для быстрого старта в R-Vision IRP предусмотрен набор предустановленных шаблонных плейбуков, которые легко адаптировать под специфику организации и конкретную структуру команды реагирования в удобном графическом интерфейсе. Например, чтобы адаптировать действие «Уведомление», достаточно выбрать в сценарии нужный блок, нажать кнопку «Изменить» и скорректировать пользователей и текст уведомления.

9. Как отредактировать плейбук?

Создание и редактирование плейбука можно осуществлять как в окне настроек, так и в режиме графического редактора, который весьма удобен для тонкой настройки.

Графический редактор наглядно отображает заданную в сценарии последовательность действий, переходы между действиями (блоками) отмечены стрелками. Скорректировать сценарий можно простым перетаскиванием блоков и стрелок мышью. Можно скопировать сценарий реагирования и на его основе создать аналогичный путем редактирования/добавления необходимых действий или их последовательности.

10. В какой момент запускается плейбук?

При добавлении инцидента в базу R-Vision IRP или изменении инцидента, система осуществляет проверку справочника настроенных сценариев реагирования. Если инцидент соответствует заданным критериям, то система запускает соответствующий̆ сценарий. Система может запустить несколько сценариев, но для каждого инцидента сценарий реагирования срабатывает только один раз.

11. Как посмотреть этап отработки сценария?

Действия по инциденту, которые были применены в соответствии со сценарием, а также их статус и прогресс можно просмотреть как в виде списка действий по инциденту в его карточке, так и в графическом редакторе. В графическом редакторе визуализация статуса действия реализована с помощью цветовой индикации: желтый цвет означает, что действие в процессе выполнения, зеленый – выполнено, серый – действие запланировано.

Существует возможность внести корректировки в действия на лету: изменить срок исполнения, ответственного, статус.

 

Сценарий реагирования в процессе выполнения:

 

12. А если остались вопросы?

Присылайте ваши вопросы на адрес sales@rvision.pro, и наши эксперты подробно вам ответят. Мы также готовы провести для вас специальный вебинар с демонстрацией возможностей плейбуков и всего спектра функционала R-Vision IRP для оперативного реагирования на инциденты.

Поделиться записью: