Настройка Active Response в инцидентах R-Vision SOAR

Active Response — сценарий, настроенный на выполнение при срабатывании определенного предупреждения. В сценарии могут использоваться различные способы борьбы с активными угрозами, например, блокировка доступа к агенту из источника угрозы при выполнении определенных критериев.

Active Response в настоящее время работает только с агентами в статусе Active.

Чтобы настроить Active Response для работы с инцидентами R-Vision SOAR:

  1. Добавьте справочник и поле инцидента.

  2. Создайте и настройте пользовательское поле.

  3. Настройте коллектор и импорт коннектора.

  4. Создайте сценарий действий по инциденту.

Добавление справочника и поля инцидента

Чтобы добавить в систему справочник и поле инцидента, выполните в системе R-Vision SOAR следующие действия:

  1. Перейдите в раздел Настройки системы → Инциденты → Справочники.

  2. Нажмите на кнопку b add (Добавить). В правой части экрана отобразится область редактирования справочника.

  3. Введите наименование справочника: R-Point Action.

  4. Нажмите на кнопку Добавить. Справочник будет добавлен в систему.

  5. Откройте созданный справочник, дважды нажав на соответствующую строку или на кнопку b start в правой части строки на рабочей области.

  6. Нажмите на кнопку b add (Добавить). В правой части экрана отобразится область редактирования элемента.

  7. Введите наименование элемента: Dictionary Action.

  8. Нажмите на кнопку b import (Импорт). Отобразится окно выбора файла для импорта.

  9. Нажмите на кнопку Выбрать файл и укажите путь к файлу dictionary_action.csv. Отобразится окно импорта данных.

  10. Нажмите на кнопку Импортировать. Элементы будут добавлены в справочник.

  11. Перейдите в раздел Настройки системы → Инциденты → Поля.

  12. Нажмите на кнопку b add (Добавить). В правой части экрана отобразится область редактирования элемента.

  13. Введите наименование поля: R-Point Action.

  14. Нажмите на кнопку b import (Импорт). Отобразится окно выбора файла для импорта.

  15. Нажмите на кнопку Выбрать файл и укажите путь к файлу field_action.csv. Отобразится окно импорта данных.

  16. Нажмите на кнопку Импортировать. Поле инцидента R-Point Action будет добавлено в систему.

Создание и настройка пользовательского поля инцидента

Чтобы создать и настроить пользовательское поле в карточке инцидента, выполните в системе R-Vision SOAR следующие действия:

  1. Перейдите в раздел Настройки системы → Активы → Поля описания активов.

  2. Нажмите на кнопку b add (Добавить). В правой части экрана отобразится область редактирования справочника.

  3. Создайте новую группу поля с произвольным названием. Для этого:

    1. В выпадающем списке Группа выберите опцию Добавить новую. Отобразится окно добавления группы.

    2. Введите произвольное название группы и нажмите на кнопку Добавить.

  4. Введите наименование поля: Agent ID.

  5. Выберите тип поля Текстовое поле в выпадающем списке Тип.

  6. Укажите тег поля: agent_id.

  7. Перейдите в раздел Настройки системы → Активы → Типы активов.

  8. Выберите тип Оборудование из списка на рабочей области. В правой части экрана отобразится область редактирования типа.

  9. В разделе Поля области редактирования типа нажмите на кнопку Изменить. Отобразится окно выбора поля.

  10. Выберите поле Agent ID и установите для него флажок в столбце Основное.

  11. Нажмите на кнопку Сохранить.

  12. Убедитесь, что настроена синхронизация систем R-Vision ACP и R-Vision Endpoint и в карточке актива типа Оборудование в системе R-Vision ACP заполняется поле Agent ID.

Настройка коллектора и импорт коннектора

Чтобы проверить настройки коллектора и импортировать коннектор, выполните в системе R-Vision SOAR следующие действия:

  1. Перейдите в раздел Настройки системы → Общие → Коллекторы.

  2. Выберите используемый вашей организацией коллектор из списка на рабочей области. В правой части экрана отобразится область редактирования коллектора.

  3. Перейдите на вкладку Организации области редактирования коллектора.

  4. Убедитесь, что у вашей организации в таблице этой вкладки установлен флажок Коллектор реагирования.

  5. Перейдите в раздел Настройки системы → Инциденты → Коннекторы.

  6. Нажмите на кнопку b add (Добавить). В правой части экрана отобразится область редактирования коннектора.

  7. Нажмите на кнопку b import (Импорт). Отобразится окно выбора файла для импорта.

  8. Выберите организацию из выпадающего списка и укажите путь к файлу connector_rpoint.json.

  9. Нажмите на кнопку Импортировать. Коннектор будет добавлен в систему.

  10. Выберите импортированный коннектор R-Point AR в списке коннекторов на рабочей области. В правой части экрана отобразится область редактирования коннектора.

  11. В поле URL области редактирования коннектора укажите адрес сервера управления R-Vision Endpoint вместо существующего значения.

  12. Установите в системе R-Vision Endpoint требуемое время жизни токена.

  13. Получите в системе R-Vision Endpoint токен для пользователя.

  14. Введите полученный токен в поле Auth Value области редактирования коннектора.

  15. Нажмите на кнопку Сохранить. Настройка импортированного коннектора выполнена.

Создание сценария действий по инциденту

Чтобы создать сценарий действий по инциденту, выполните в системе R-Vision SOAR следующие действия:

  1. Перейдите в раздел Настройки системы → Инциденты → Сценарии реагирования.

  2. Нажмите на кнопку b add (Добавить). В правой части вкладки отобразится область редактирования сценария.

  3. Выберите из выпадающего списка организацию.

  4. Выберите из выпадающего списка группу, к которой относится сценарий.

  5. Введите наименование и описание сценария.

  6. Добавьте действия по инциденту с помощью кнопки Добавить в разделе Действия в следующем порядке:

    1. Действие Модификация — для поля R-Point Action выберите способ модификации значения: перезаписать значением Заблокировать. Это действие отобразится в меню действий и станет доступным для выбора.

      Если действие блокировки уже применено и вам требуется применить действие разблокировки, перезапишите поле R-Point Action значением Разблокировать, чтобы действие отобразилось в меню.

    2. Действие Коннектор — выберите импортированный коннектор connector_rpoint. В разделе Предшествующие действия укажите действие из шага 6а.

      Важно добавлять действия в сценарий именно в указанном порядке: сначала Модификация, а затем Коннектор.

    3. Вы также можете использовать действия остановки процесса и удаления файла. Эти действия требуется предварительно настроить, указав сущность, над которой производится действие.

Доступные действия в сценарии

В сценарии Active Response можно использовать следующие действия:

  1. Действие Заблокировать — блокирует все входящие соединения, за исключением указанных в белом списке. Одновременно происходит блокировка всех исходящих соединений кроме нижеперечисленных:

    • 53, // DNS;

    • 67, // DHCP server;

    • 68, // DHCP client;

    • 88, // Kerberos/Active Directory Authentication;

    • 123, // NTP;

    • 389, // Lightweight Directory Access Protocol (LDAP) Server;

    • 546, // DHCPv6 client;

    • 547, // DHCPv6 server;

    • 647, // DHCP failover;

    • 847, // DHCP failover;

    • 853, // DNS over TLS;

    • 5353, // Multicast DNS (mDNS);

    • 5355 // Link-Local Multicast Name Resolution (LLMNR).

    Действие описано в разделе создания сценария действий на шаге 6а.

  2. Действие Остановить процесс — останавливает требуемый процесс в рамках предотвращения угроз безопасной работе системы.

    В поле R-Point PID kill укажите уникальный идентификатор процесса, который требуется остановить.

  3. Действие Удалить файл — удаляет требуемый файл.

    В поле R-Point PATH delete укажите путь к файлу, который требуется удалить.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение