События ИБ
Подсистема регистрации и учета событий ИБ
Архитектура подсистемы
Подсистема регистрации и учета событий ИБ реализована в виде микросервиса orchestrator (оркестратор), который выполняет следующие функции:
- Управление конфигурациями: хранение, версионирование и отслеживание изменений файлов конфигураций сервисов
- Сбор событий безопасности: централизованный сбор и маршрутизация логов инфраструктуры и событий ИБ
- Управление компонентами: регистрация и учет компонентов системы
Классификатор типов событий по функциональному назначению
| Класс события | Описание |
|---|---|
| AUTH | События идентификации и аутентификации |
| USER | Действия пользователей в системе |
| ADMIN | Административные действия |
| CFG | Изменение конфигурации и параметров системы |
| NET | Сетевые события и взаимодействие |
| DATA | Операции с данными и информационными ресурсами |
| SYS | Функционирование системы и средств защиты |
| LOG | Регистрация и обработка журналов |
Уровни важности событий
Для оценки значимости событий информационной безопасности используется единая шкала уровней важности. Уровень важности определяется для каждого события и используется при анализе, корреляции и реагировании.
Применяются следующие уровни важности: низкий, средний, высокий, критический.
Атрибутный состав событий ИБ
Каждое зарегистрированное событие ИБ должно содержать обязательный набор атрибутов.
| № | Атрибут | Описание |
|---|---|---|
| 1 | Дата и время события | Дата и время возникновения события |
| 2 | Идентификатор типа события (EventCode) | Уникальный код типа события в системе |
| 3 | Тип события | Тип события в соответствии с классификацией |
| 4 | Уровень важности | Оценка значимости событий ИБ |
| 5 | Результат операции | Успешно / неуспешно |
| 6 | Субъект события | Имя пользователя |
| 7 | Сетевой адрес субъекта | IP-адрес хоста субъекта |
| 8 | Объект события | Ресурс, функция или данные, по отношению к которым осуществлялась операция |
| 9 | Информация об объекте | Наименование объекта операции |
| 10 | Параметры изменения | Описание измененных параметров (если применимо) |
Классы и типы событий ИБ
Общая таблица событий
| Класс | Тип события | EventCode | Наименование события | Уровень важности | Статус |
|---|---|---|---|---|---|
| AUTH | AUTH_LOGIN | AUTH_LOGIN_SUCCESS | Успешная аутентификация пользователя | Низкий | Успех |
| AUTH | AUTH_LOGIN | AUTH_LOGIN_FAIL | Неуспешная попытка аутентификации пользователя | Средний | Отказ |
| AUTH | AUTH_LOGOUT | AUTH_LOGOUT | Завершение сессии пользователя | Низкий | |
| AUTH | AUTH_ACCOUNT | AUTH_ACCOUNT_BLOCK | Блокирование учётной записи пользователя | Высокий | |
| AUTH | AUTH_DEVICE | AUTH_DEVICE_SUCCESS | Успешная аутентификация устройства | Низкий | Успех |
| AUTH | AUTH_DEVICE | AUTH_DEVICE_FAIL | Неуспешная попытка аутентификации устройства | Средний | Отказ |
| USER | USER_ACCOUNT | USER_CREATE | Создание учётной записи | Средний | |
| USER | USER_ACCOUNT | USER_MODIFY | Изменение учётной записи | Средний | |
| USER | USER_ACCOUNT | USER_BLOCK | Деактивация учётной записи | Средний | |
| ADMIN | ADMIN_GROUP | GROUP_CREATE | Создание группы | Низкий | |
| ADMIN | ADMIN_GROUP | GROUP_DELETE | Удаление группы | Низкий | |
| ADMIN | ADMIN_GROUP | GROUP_MODIFY | Изменение параметров группы | Средний | |
| ADMIN | ADMIN_GROUP | GROUP_USER_ADD | Добавление пользователя в группу | Низкий | |
| ADMIN | ADMIN_GROUP | GROUP_USER_REMOVE | Исключение пользователя из группы | Низкий | |
| ADMIN | ADMIN_ACTION | ADMIN_ACTION | Административное действие | Средний | |
| CFG | CFG_INIT | CFG_INIT_START | Инициализация компонентов системы | Средний | |
| CFG | CFG_FILE | CFG_FILE_CREATE | Создание конфигурационного файла | Средний | |
| CFG | CFG_FILE | CFG_FILE_DELETE | Удаление конфигурационного файла | Средний | |
| CFG | CFG_FILE | CFG_FILE_MODIFY | Изменение конфигурационного файла | Средний | |
| CFG | CFG_PARAM | CFG_PARAM_CHANGE | Изменение параметров журналирования | Высокий | |
| CFG | CFG_SECURITY | CFG_SECURITY_CHANGE | Изменение параметров безопасности | Высокий | |
| CFG | CFG_COMPONENT | CFG_COMP_REMOVE | Удаление компонента системы | Высокий | |
| CFG | CFG_COMPONENT | CFG_COMP_UPDATE | Изменение компонента системы | Высокий | |
| CFG | CFG_PROCESS | CFG_PROC_CHANGE | Изменение состава процессов | Средний | |
| NET | NET_CHANGE | NET_CHANGE | Изменение сетевых параметров | Высокий | |
| NET | NET_DENY | NET_DENY | Блокирование сетевого соединения | Средний | |
| NET | NET_CHANGE | NET_CHANGE_ID | Изменение идентификаторов и атрибутов ИС | Высокий | |
| DATA | DATA_MODIFY | DATA_MODIFY | Изменение данных | Средний | |
| DATA | DATA_DELETE | DATA_DELETE | Удаление данных | Высокий | |
| DATA | DATA_EXPORT | DATA_EXPORT | Экспорт защищаемых данных | Высокий | |
| SYS | SYS_COMPONENT | SYS_COMP_FAIL | Отказ компонента системы | Критический | |
| SYS | SYS_COMPONENT | SYS_COMP_STOP | Остановка компонента системы | Высокий | |
| SYS | SYS_SECURITY | SYS_SEC_FAIL | Отказ механизма защиты | Критический | |
| SYS | SYS_SECURITY | SYS_SEC_DISABLE | Отключение механизма защиты | Высокий | |
| LOG | LOG_MANAGE | LOG_CLEAR | Очистка журналов | Высокий | |
| LOG | LOG_MANAGE | LOG_OVERFLOW | Переполнение журнала | Высокий |
Матрица соответствия «тип инцидента → меры реагирования»
Настоящая матрица устанавливает соответствие между типами событий ИБ, возможными типами инцидентов ИБ и мерами реагирования, применяемыми в ИС BIMAR SYSTEM.
| Класс события | Тип инцидента ИБ | Меры реагирования |
|---|---|---|
| AUTH | Попытка НСД | Анализ журнала; блокировка учетной записи при превышении порога; уведомление администратора ИБ |
| USER | Нарушение управления доступом | Проверка прав; откат изменений; уведомление администратора ИБ |
| ADMIN | Несанкционированное администрирование | Анализ действий; приостановка учетной записи; расследование |
| CFG | Несанкционированное изменение конфигурации | Восстановление конфигурации; ограничение доступа; анализ причин |
| NET | Нарушение сетевой конфигурации | Проверка настроек; восстановление параметров; уведомление |
| DATA | Утечка / несанкционированный экспорт данных | Блокировка экспорта; анализ объема данных; расследование инцидента |