From 21c4c46280c08a79980d4e4ef84d87b7ff8c3c6a Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Tue, 16 May 2023 22:54:50 +0300 Subject: [PATCH 01/30] =?UTF-8?q?=D0=94=D0=BE=D0=B1=D0=B0=D0=B2=D0=BB?= =?UTF-8?q?=D0=B5=D0=BD=20=D0=BF=D0=BB=D0=B5=D0=B9=D0=B1=D1=83=D0=BA=20"?= =?UTF-8?q?=D0=9F=D0=BE=D0=B4=D0=BE=D0=B7=D1=80=D0=B8=D1=82=D0=B5=D0=BB?= =?UTF-8?q?=D1=8C=D0=BD=D0=BE=D0=B5=20=D1=81=D0=B5=D1=82=D0=B5=D0=B2=D0=BE?= =?UTF-8?q?=D0=B5=20=D1=81=D0=BE=D0=B5=D0=B4=D0=B8=D0=BD=D0=B5=D0=BD=D0=B8?= =?UTF-8?q?=D0=B5"?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RP_9001_suspicious_network_connection | 61 +++++++++++++++++++ 1 file changed, 61 insertions(+) create mode 100644 data/ru/response_playbooks/RP_9001_suspicious_network_connection diff --git a/data/ru/response_playbooks/RP_9001_suspicious_network_connection b/data/ru/response_playbooks/RP_9001_suspicious_network_connection new file mode 100644 index 00000000..889ca492 --- /dev/null +++ b/data/ru/response_playbooks/RP_9001_suspicious_network_connection @@ -0,0 +1,61 @@ +title: Подозрительное сетевое подключение +id: RP9001 +description: > + Сценарий реагирования при обнаружении подозрительного сетевого подключения +author: bpopovich, gkhandozhko +creation_date: 2023/04/26 +severity: M +tlp: AMBER +tags: + - attack.defense_evasion + - attack.persistence + - attack.command_and_control + - sub-playbook +extended_description: | + Этот сценарий реагирования представляет собой памятку и руководство к действию, предназначенное для специалистов в области информационной безопасности. +preparation: + - RA_1001_practice + - RA_1002_take_trainings + - RA_1012_check_analysis_toolset + - RA_1091_preparation_ids_ips_firewalls + - RA_1092_preparation_lan + - RA_1093_preparation_traffic + - RA_1104_access_external_http_logs + - RA_1110_access_external_packet_capture_data + - RA_1111_get_ability_to_block_external_ip_address + - RA_1112_get_ability_to_block_internal_ip_address + - RA_1117_get_ability_to_block_port_external_communication + - RA_1602_get_ability_to_lock_user_account +identification: + - RA_2105_analyse_IP + - RA_2111_collect_transferred_data + - RA_2114_list_hosts_communicated_with_external_ip + - RA_2001_list_victims_of_security_alert + - RA_2091_map_business_risks + - RP_0009_malicious_process +containment: + - RA_3101_block_external_ip_address + - RA_3102_block_internal_ip_address + - RA_3502_run_antivirus_scan + - RA_3601_lock_user_account +eradication: + - RA_4001_report_incident_to_external_csirts +recovery: + - RA_5105_unblock_blocked_user + - RA_5106_reestablish_blocked_host +lessons_learned: + - RA_6001_develop_incident_report + - RA_6002_conduct_lessons_learned_exercise +extended_description: | + | Артефакты | Действия по реагированию | Возможный обнаруженный объект | + | :-------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| :--------------------------------------------------------------------------------------------------------------------------| + | <[УЗ домена]>(A_1001) | Проверьте имена пользователей домена, которые были обнаружены на этапе идентификация. Убедитесь, что эти учетные записи не были скомпрометированы. | Имена пользователей, которые участвовали в процессе аутентификации и иной активности во время атаки. | + | <[Хост]>(A_1005) | Проверьте хосты, которые были обнаружены на этапе идентификации. Убедитесь, что эти хосты не были скомпрометированы. | Пентест-утилиты, иное программное обеспечение для проведения атаки или подозрительные внешние сетевые подключения | + | <[IP адрес]>(A_1007) | Соберите все IP адреса, которые были обнаружены на этапе идентификации. Отдельно отметьте те, которые принадлежат организации. | Нетипичные соединения для IP адреса, например неиспользуемые типы сетевых протоколов взаимодействия. | +workflow: | + 1. На этапе подготовки вы проводите учения, проверяете корректность работы средств защиты информации и иных информационных средств. Подтверждаете доступ к результатам работы этих средств, доступ к журналам и дампам сетевого потока. Это поможет в экономии времени при работе с инцидентом. + 2. На этапе идентификации необходимо найти адреса фигурирующие в компьютерной атаке. Это могут быть как <[процессы]>(A_4001) или <[хосты]>(A_1005) так и <[IP адреса]>(A_1007) Среди этих данных нужно выделить критичные для бизнес-процессов организации. Это поможет расставить правильно приоритеты затраты времени в работе. Если в процессе был найден <[процесс]>(A_4001) то следует перейти на сценарий реагирования <[Запуск вредоносного процесса]>. + 3. На этапе локализации необходимо на основе собранной на этапе идентификации информации ограничить распространение атаки с помощью средств защиты информации и иных информационных средств, заблокировать затронутых атакой пользователей и провести сканирование <[хостов]>(A_1005) антивирусными средствами защиты информации. Ведите журнал, с временными метками, своих действий. Это поможет сэкономить много времени. + 4. На этапе предотвращения необходимо <[сообщить об инциденте]>(RA_4001) внешним центрам реагирования, предоставив все найденные идентификаторы компрометации + 5. На этапе восстановления необходимо <[разблокировать]>(RA_5105) ранее заблокированные учетные записи и <[восстановить сетевое взаимодействие]>(RA_5106) с ранее изолированными внутренними хостами + 6. На этапе жизненного урока необходимо <[составить отчет]>(RA_6001) о произошедшем инциденте в соответствии с принятыми в организации процедурами и <[проанализировать случившееся]>(RA_6002), понять, какие меры нужно предпринять, чтобы инцидент не повторился в дальнейшем From a5faad4d55314e34b34004e12a0f8148961c1af2 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Tue, 16 May 2023 22:55:39 +0300 Subject: [PATCH 02/30] Delete RP_9001_suspicious_network_connection Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RP_9001_suspicious_network_connection | 61 ------------------- 1 file changed, 61 deletions(-) delete mode 100644 data/ru/response_playbooks/RP_9001_suspicious_network_connection diff --git a/data/ru/response_playbooks/RP_9001_suspicious_network_connection b/data/ru/response_playbooks/RP_9001_suspicious_network_connection deleted file mode 100644 index 889ca492..00000000 --- a/data/ru/response_playbooks/RP_9001_suspicious_network_connection +++ /dev/null @@ -1,61 +0,0 @@ -title: Подозрительное сетевое подключение -id: RP9001 -description: > - Сценарий реагирования при обнаружении подозрительного сетевого подключения -author: bpopovich, gkhandozhko -creation_date: 2023/04/26 -severity: M -tlp: AMBER -tags: - - attack.defense_evasion - - attack.persistence - - attack.command_and_control - - sub-playbook -extended_description: | - Этот сценарий реагирования представляет собой памятку и руководство к действию, предназначенное для специалистов в области информационной безопасности. -preparation: - - RA_1001_practice - - RA_1002_take_trainings - - RA_1012_check_analysis_toolset - - RA_1091_preparation_ids_ips_firewalls - - RA_1092_preparation_lan - - RA_1093_preparation_traffic - - RA_1104_access_external_http_logs - - RA_1110_access_external_packet_capture_data - - RA_1111_get_ability_to_block_external_ip_address - - RA_1112_get_ability_to_block_internal_ip_address - - RA_1117_get_ability_to_block_port_external_communication - - RA_1602_get_ability_to_lock_user_account -identification: - - RA_2105_analyse_IP - - RA_2111_collect_transferred_data - - RA_2114_list_hosts_communicated_with_external_ip - - RA_2001_list_victims_of_security_alert - - RA_2091_map_business_risks - - RP_0009_malicious_process -containment: - - RA_3101_block_external_ip_address - - RA_3102_block_internal_ip_address - - RA_3502_run_antivirus_scan - - RA_3601_lock_user_account -eradication: - - RA_4001_report_incident_to_external_csirts -recovery: - - RA_5105_unblock_blocked_user - - RA_5106_reestablish_blocked_host -lessons_learned: - - RA_6001_develop_incident_report - - RA_6002_conduct_lessons_learned_exercise -extended_description: | - | Артефакты | Действия по реагированию | Возможный обнаруженный объект | - | :-------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| :--------------------------------------------------------------------------------------------------------------------------| - | <[УЗ домена]>(A_1001) | Проверьте имена пользователей домена, которые были обнаружены на этапе идентификация. Убедитесь, что эти учетные записи не были скомпрометированы. | Имена пользователей, которые участвовали в процессе аутентификации и иной активности во время атаки. | - | <[Хост]>(A_1005) | Проверьте хосты, которые были обнаружены на этапе идентификации. Убедитесь, что эти хосты не были скомпрометированы. | Пентест-утилиты, иное программное обеспечение для проведения атаки или подозрительные внешние сетевые подключения | - | <[IP адрес]>(A_1007) | Соберите все IP адреса, которые были обнаружены на этапе идентификации. Отдельно отметьте те, которые принадлежат организации. | Нетипичные соединения для IP адреса, например неиспользуемые типы сетевых протоколов взаимодействия. | -workflow: | - 1. На этапе подготовки вы проводите учения, проверяете корректность работы средств защиты информации и иных информационных средств. Подтверждаете доступ к результатам работы этих средств, доступ к журналам и дампам сетевого потока. Это поможет в экономии времени при работе с инцидентом. - 2. На этапе идентификации необходимо найти адреса фигурирующие в компьютерной атаке. Это могут быть как <[процессы]>(A_4001) или <[хосты]>(A_1005) так и <[IP адреса]>(A_1007) Среди этих данных нужно выделить критичные для бизнес-процессов организации. Это поможет расставить правильно приоритеты затраты времени в работе. Если в процессе был найден <[процесс]>(A_4001) то следует перейти на сценарий реагирования <[Запуск вредоносного процесса]>. - 3. На этапе локализации необходимо на основе собранной на этапе идентификации информации ограничить распространение атаки с помощью средств защиты информации и иных информационных средств, заблокировать затронутых атакой пользователей и провести сканирование <[хостов]>(A_1005) антивирусными средствами защиты информации. Ведите журнал, с временными метками, своих действий. Это поможет сэкономить много времени. - 4. На этапе предотвращения необходимо <[сообщить об инциденте]>(RA_4001) внешним центрам реагирования, предоставив все найденные идентификаторы компрометации - 5. На этапе восстановления необходимо <[разблокировать]>(RA_5105) ранее заблокированные учетные записи и <[восстановить сетевое взаимодействие]>(RA_5106) с ранее изолированными внутренними хостами - 6. На этапе жизненного урока необходимо <[составить отчет]>(RA_6001) о произошедшем инциденте в соответствии с принятыми в организации процедурами и <[проанализировать случившееся]>(RA_6002), понять, какие меры нужно предпринять, чтобы инцидент не повторился в дальнейшем From 3328381c3e6f85069085567603ed95a7a6a5db02 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Tue, 16 May 2023 22:57:47 +0300 Subject: [PATCH 03/30] =?UTF-8?q?=D0=94=D0=BE=D0=B1=D0=B0=D0=B2=D0=BB?= =?UTF-8?q?=D0=B5=D0=BD=20=D0=BF=D0=BB=D0=B5=D0=B9=D0=B1=D1=83=D0=BA=20"?= =?UTF-8?q?=D0=9F=D0=BE=D0=B4=D0=BE=D0=B7=D1=80=D0=B8=D1=82=D0=B5=D0=BB?= =?UTF-8?q?=D1=8C=D0=BD=D0=BE=D0=B5=20=D1=81=D0=B5=D1=82=D0=B5=D0=B2=D0=BE?= =?UTF-8?q?=D0=B5=20=D1=81=D0=BE=D0=B5=D0=B4=D0=B8=D0=BD=D0=B5=D0=BD=D0=B8?= =?UTF-8?q?=D0=B5"?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RP_9001_suspicious_network_connection.yml | 61 +++++++++++++++++++ 1 file changed, 61 insertions(+) create mode 100644 data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml diff --git a/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml new file mode 100644 index 00000000..f23aeb73 --- /dev/null +++ b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml @@ -0,0 +1,61 @@ +title: Подозрительное сетевое подключение +id: RP9001 +description: > + Сценарий реагирования при обнаружении подозрительного сетевого подключения +author: bpopovich, gkhandozhko +creation_date: 2023/04/26 +severity: M +tlp: AMBER +tags: + - attack.defense_evasion + - attack.persistence + - attack.command_and_control + - sub-playbook +extended_description: | + Этот сценарий реагирования представляет собой памятку и руководство к действию, предназначенное для специалистов в области информационной безопасности. +preparation: + - RA_1001_practice + - RA_1002_take_trainings + - RA_1012_check_analysis_toolset + - RA_1091_preparation_ids_ips_firewalls + - RA_1092_preparation_lan + - RA_1093_preparation_traffic + - RA_1104_access_external_http_logs + - RA_1110_access_external_packet_capture_data + - RA_1111_get_ability_to_block_external_ip_address + - RA_1112_get_ability_to_block_internal_ip_address + - RA_1117_get_ability_to_block_port_external_communication + - RA_1602_get_ability_to_lock_user_account +identification: + - RA_2105_analyse_IP + - RA_2111_collect_transferred_data + - RA_2114_list_hosts_communicated_with_external_ip + - RA_2001_list_victims_of_security_alert + - RA_2091_map_business_risks + - RP_0009_malicious_process +containment: + - RA_3101_block_external_ip_address + - RA_3102_block_internal_ip_address + - RA_3502_run_antivirus_scan + - RA_3601_lock_user_account +eradication: + - RA_4001_report_incident_to_external_csirts +recovery: + - RA_5105_unblock_blocked_user + - RA_5106_reestablish_blocked_host +lessons_learned: + - RA_6001_develop_incident_report + - RA_6002_conduct_lessons_learned_exercise +extended_description: | + | Артефакты | Действия по реагированию | Возможный обнаруженный объект | + | :-------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| :--------------------------------------------------------------------------------------------------------------------------| + | <[УЗ домена]>(A_1001) | Проверьте имена пользователей домена, которые были обнаружены на этапе идентификация. Убедитесь, что эти учетные записи не были скомпрометированы. | Имена пользователей, которые участвовали в процессе аутентификации и иной активности во время атаки. | + | <[Хост]>(A_1005) | Проверьте хосты, которые были обнаружены на этапе идентификации. Убедитесь, что эти хосты не были скомпрометированы. | Пентест-утилиты, иное программное обеспечение для проведения атаки или подозрительные внешние сетевые подключения | + | <[IP адрес]>(A_1007) | Соберите все IP адреса, которые были обнаружены на этапе идентификации. Отдельно отметьте те, которые принадлежат организации. | Нетипичные соединения для IP адреса, например неиспользуемые типы сетевых протоколов взаимодействия. | +workflow: | + 1. На этапе подготовки вы проводите учения, проверяете корректность работы средств защиты информации и иных информационных средств. Подтверждаете доступ к результатам работы этих средств, доступ к журналам и дампам сетевого потока. Это поможет в экономии времени при работе с инцидентом. + 2. На этапе идентификации необходимо найти адреса фигурирующие в компьютерной атаке. Это могут быть как <[процессы]>(A_4001) или <[хосты]>(A_1005) так и <[IP адреса]>(A_1007) Среди этих данных нужно выделить критичные для бизнес-процессов организации. Это поможет расставить правильно приоритеты затраты времени в работе. Если в процессе был найден <[процесс]>(A_4001) то следует перейти на сценарий реагирования <[Запуск вредоносного процесса]>. + 3. На этапе локализации необходимо на основе собранной на этапе идентификации информации ограничить распространение атаки с помощью средств защиты информации и иных информационных средств, заблокировать затронутых атакой пользователей и провести сканирование <[хостов]>(A_1005) антивирусными средствами защиты информации. Ведите журнал, с временными метками, своих действий. Это поможет сэкономить много времени. + 4. На этапе предотвращения необходимо <[сообщить об инциденте]>(RA_4001) внешним центрам реагирования, предоставив все найденные идентификаторы компрометации + 5. На этапе восстановления необходимо <[разблокировать]>(RA_5105) ранее заблокированные учетные записи и <[восстановить сетевое взаимодействие]>(RA_5106) с ранее изолированными внутренними хостами + 6. На этапе жизненного урока необходимо <[составить отчет]>(RA_6001) о произошедшем инциденте в соответствии с принятыми в организации процедурами и <[проанализировать случившееся]>(RA_6002), понять, какие меры нужно предпринять, чтобы инцидент не повторился в дальнейшем From 9e9ff521526ca07405399539fc2bad702bc2277c Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Mon, 22 May 2023 22:05:36 +0300 Subject: [PATCH 04/30] Update RP_9001_suspicious_network_connection.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RP_9001_suspicious_network_connection.yml | 14 +++++++------- 1 file changed, 7 insertions(+), 7 deletions(-) diff --git a/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml index f23aeb73..44c21d4d 100644 --- a/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml +++ b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml @@ -51,11 +51,11 @@ extended_description: | | :-------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| :--------------------------------------------------------------------------------------------------------------------------| | <[УЗ домена]>(A_1001) | Проверьте имена пользователей домена, которые были обнаружены на этапе идентификация. Убедитесь, что эти учетные записи не были скомпрометированы. | Имена пользователей, которые участвовали в процессе аутентификации и иной активности во время атаки. | | <[Хост]>(A_1005) | Проверьте хосты, которые были обнаружены на этапе идентификации. Убедитесь, что эти хосты не были скомпрометированы. | Пентест-утилиты, иное программное обеспечение для проведения атаки или подозрительные внешние сетевые подключения | - | <[IP адрес]>(A_1007) | Соберите все IP адреса, которые были обнаружены на этапе идентификации. Отдельно отметьте те, которые принадлежат организации. | Нетипичные соединения для IP адреса, например неиспользуемые типы сетевых протоколов взаимодействия. | + | <[IP адрес]>(A_1007) | Соберите все IP адреса, которые были обнаружены на этапе идентификации. Отдельно отметьте те, которые принадлежат организации. | Нетипичные соединения для IP адреса, например, неиспользуемые типы сетевых протоколов взаимодействия. | workflow: | - 1. На этапе подготовки вы проводите учения, проверяете корректность работы средств защиты информации и иных информационных средств. Подтверждаете доступ к результатам работы этих средств, доступ к журналам и дампам сетевого потока. Это поможет в экономии времени при работе с инцидентом. - 2. На этапе идентификации необходимо найти адреса фигурирующие в компьютерной атаке. Это могут быть как <[процессы]>(A_4001) или <[хосты]>(A_1005) так и <[IP адреса]>(A_1007) Среди этих данных нужно выделить критичные для бизнес-процессов организации. Это поможет расставить правильно приоритеты затраты времени в работе. Если в процессе был найден <[процесс]>(A_4001) то следует перейти на сценарий реагирования <[Запуск вредоносного процесса]>. - 3. На этапе локализации необходимо на основе собранной на этапе идентификации информации ограничить распространение атаки с помощью средств защиты информации и иных информационных средств, заблокировать затронутых атакой пользователей и провести сканирование <[хостов]>(A_1005) антивирусными средствами защиты информации. Ведите журнал, с временными метками, своих действий. Это поможет сэкономить много времени. - 4. На этапе предотвращения необходимо <[сообщить об инциденте]>(RA_4001) внешним центрам реагирования, предоставив все найденные идентификаторы компрометации - 5. На этапе восстановления необходимо <[разблокировать]>(RA_5105) ранее заблокированные учетные записи и <[восстановить сетевое взаимодействие]>(RA_5106) с ранее изолированными внутренними хостами - 6. На этапе жизненного урока необходимо <[составить отчет]>(RA_6001) о произошедшем инциденте в соответствии с принятыми в организации процедурами и <[проанализировать случившееся]>(RA_6002), понять, какие меры нужно предпринять, чтобы инцидент не повторился в дальнейшем + 1. На этапе подготовки необходимо провести учения, проверить корректность работы средств защиты информации и иных информационных средств. Подтвердить доступ к результатам работы этих средств, доступ к журналам и дампам сетевого потока. Это поможет в экономии времени при работе с инцидентом. + 2. На этапе идентификации необходимо найти адреса, фигурирующие в компьютерной атаке. Это могут быть как <[процессы]>(A_4001) или <[хосты]>(A_1005), так и <[IP адреса]>(A_1007). Среди этих данных нужно выделить критичные для бизнес-процессов организации. Это поможет расставить правильно приоритеты затраты времени в работе. Если в процессе был найден <[процесс]>(A_4001) то следует перейти к сценарию реагирования <[Запуск вредоносного процесса]>. + 3. На этапе локализации необходимо на основе собранной на этапе идентификации информации ограничить распространение атаки с помощью средств защиты информации и иных информационных средств, заблокировать затронутых атакой пользователей и провести сканирование <[хостов]>(A_1005) антивирусными средствами защиты информации. Ведите журнал своих действий с временными метками. Это поможет сэкономить много времени. + 4. На этапе предотвращения необходимо <[сообщить об инциденте]>(RA_4001) внешним центрам реагирования, предоставив все найденные идентификаторы компрометации. + 5. На этапе восстановления необходимо <[разблокировать]>(RA_5105) ранее заблокированные учетные записи и <[восстановить сетевое взаимодействие]>(RA_5106) с ранее изолированными внутренними хостами. + 6. На этапе жизненного урока необходимо <[составить отчет]>(RA_6001) о произошедшем инциденте в соответствии с принятыми в организации процедурами и <[проанализировать случившееся]>(RA_6002), понять, какие меры нужно предпринять, чтобы инцидент не повторился в дальнейшем. From 297652a983d4d786ab6a64c145b9deb1ade1fa31 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 00:33:23 +0300 Subject: [PATCH 05/30] Update RP_9001_suspicious_network_connection.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RP_9001_suspicious_network_connection.yml | 37 ++++++++++--------- 1 file changed, 19 insertions(+), 18 deletions(-) diff --git a/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml index 44c21d4d..dd4670a0 100644 --- a/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml +++ b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml @@ -1,9 +1,9 @@ -title: Подозрительное сетевое подключение +title: Подозрительное сетевое соединение id: RP9001 description: > Сценарий реагирования при обнаружении подозрительного сетевого подключения -author: bpopovich, gkhandozhko -creation_date: 2023/04/26 +author: bpopovich, gkhandozhko, enikulina +creation_date: 2023/05/26 severity: M tlp: AMBER tags: @@ -12,14 +12,13 @@ tags: - attack.command_and_control - sub-playbook extended_description: | - Этот сценарий реагирования представляет собой памятку и руководство к действию, предназначенное для специалистов в области информационной безопасности. + Нестандартная сетевая активность в инфраструктуре, взаимодействие с подозрительными IP и URL-адресами могут свидетельствовать о компрометации корпоративных ресурсов и наличии инцидента ИБ. Поэтому факты подозрительных сетевых соединений требуют тщательного анализа и, в случае подтвержденного инцидента, принятия необходимых мер по реагированию. preparation: - RA_1001_practice - RA_1002_take_trainings - RA_1012_check_analysis_toolset - - RA_1091_preparation_ids_ips_firewalls - - RA_1092_preparation_lan - - RA_1093_preparation_traffic + - RA_1015_implement_ids_ips_firewalls + - RA_1016_check_lan_communication - RA_1104_access_external_http_logs - RA_1110_access_external_packet_capture_data - RA_1111_get_ability_to_block_external_ip_address @@ -27,8 +26,8 @@ preparation: - RA_1117_get_ability_to_block_port_external_communication - RA_1602_get_ability_to_lock_user_account identification: - - RA_2105_analyse_IP - RA_2111_collect_transferred_data + - RA_2105_analyse_IP - RA_2114_list_hosts_communicated_with_external_ip - RA_2001_list_victims_of_security_alert - RA_2091_map_business_risks @@ -42,20 +41,22 @@ eradication: - RA_4001_report_incident_to_external_csirts recovery: - RA_5105_unblock_blocked_user - - RA_5106_reestablish_blocked_host + - RA_5101_unblock_blocked_internal_ip lessons_learned: - RA_6001_develop_incident_report - RA_6002_conduct_lessons_learned_exercise extended_description: | | Артефакты | Действия по реагированию | Возможный обнаруженный объект | | :-------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| :--------------------------------------------------------------------------------------------------------------------------| - | <[УЗ домена]>(A_1001) | Проверьте имена пользователей домена, которые были обнаружены на этапе идентификация. Убедитесь, что эти учетные записи не были скомпрометированы. | Имена пользователей, которые участвовали в процессе аутентификации и иной активности во время атаки. | - | <[Хост]>(A_1005) | Проверьте хосты, которые были обнаружены на этапе идентификации. Убедитесь, что эти хосты не были скомпрометированы. | Пентест-утилиты, иное программное обеспечение для проведения атаки или подозрительные внешние сетевые подключения | - | <[IP адрес]>(A_1007) | Соберите все IP адреса, которые были обнаружены на этапе идентификации. Отдельно отметьте те, которые принадлежат организации. | Нетипичные соединения для IP адреса, например, неиспользуемые типы сетевых протоколов взаимодействия. | + | <[УЗ домена]>(A_1001) | Проверьте УЗ пользователей домена, которые были обнаружены на этапе идентификации. | Имена пользователей, которые потенциально были скомпрометированы в результате атаки. | + | <[Хост]>(A_1005) | Проверьте хосты, которые были обнаружены на этапе идентификации. | Вредоносные программы и утилиты, использованные для проведения атаки или подозрительные внешние сетевые подключения | + | <[IP адрес]>(A_1007) | Соберите все IP-адреса, которые были обнаружены на этапе идентификации. Отдельно отметьте те, которые принадлежат организации. | Нетипичные соединения для IP-адреса, например, неиспользуемые сетевые протоколы взаимодействия. | workflow: | - 1. На этапе подготовки необходимо провести учения, проверить корректность работы средств защиты информации и иных информационных средств. Подтвердить доступ к результатам работы этих средств, доступ к журналам и дампам сетевого потока. Это поможет в экономии времени при работе с инцидентом. - 2. На этапе идентификации необходимо найти адреса, фигурирующие в компьютерной атаке. Это могут быть как <[процессы]>(A_4001) или <[хосты]>(A_1005), так и <[IP адреса]>(A_1007). Среди этих данных нужно выделить критичные для бизнес-процессов организации. Это поможет расставить правильно приоритеты затраты времени в работе. Если в процессе был найден <[процесс]>(A_4001) то следует перейти к сценарию реагирования <[Запуск вредоносного процесса]>. - 3. На этапе локализации необходимо на основе собранной на этапе идентификации информации ограничить распространение атаки с помощью средств защиты информации и иных информационных средств, заблокировать затронутых атакой пользователей и провести сканирование <[хостов]>(A_1005) антивирусными средствами защиты информации. Ведите журнал своих действий с временными метками. Это поможет сэкономить много времени. - 4. На этапе предотвращения необходимо <[сообщить об инциденте]>(RA_4001) внешним центрам реагирования, предоставив все найденные идентификаторы компрометации. - 5. На этапе восстановления необходимо <[разблокировать]>(RA_5105) ранее заблокированные учетные записи и <[восстановить сетевое взаимодействие]>(RA_5106) с ранее изолированными внутренними хостами. - 6. На этапе жизненного урока необходимо <[составить отчет]>(RA_6001) о произошедшем инциденте в соответствии с принятыми в организации процедурами и <[проанализировать случившееся]>(RA_6002), понять, какие меры нужно предпринять, чтобы инцидент не повторился в дальнейшем. + 1. На этапе подготовки необходимо провести учения, проверить корректность работы средств защиты информации и иных информационных средств. + Подтвердить доступ к результатам работы этих средств, доступ к журналам и дампам сетевого потока. + 2. На этапе идентификации необходимо собрать артефакты, фигурирующие в компьютерной атаке. Например, это могут быть как <[процессы]>(A_4001), так и <[IP адреса]>(A_1007). Если в ходе расследования будет обнаружен <[процесс]>(A_4001), инициировавший нелегитимное сетевое соединение, то следует перейти к сценарию реагирования <[RP0009: Запуск вредоносного процесса]>(RP_0009). + Среди затронутых инцидентом активов (<[хостов]>(A_1005)) необходимо выделить критичные для бизнес-процессов организации. Это поможет правильно расставить приоритеты на последующих стадиях реагирования. + 3. На этапе локализации необходимо на основе собранной на этапе идентификации информации ограничить распространение атаки с помощью средств защиты информации и иных информационных средств, заблокировать нелегитимный IP-адрес на сетевом уровне, изолировать скомпрометированные хосты, заблокировать скомпрометированные УЗ и провести сканирование <[хостов]>(A_1005) антивирусными средствами. Не забывайте фиксировать все предпринятые меры по локализации с указанием времени, исполнителя (ответственного) и т.д. + 4. На этапе устранения необходимо <[сообщить об инциденте]>(RA_4001) внешним центрам реагирования, предоставив все найденные индикаторы компрометации. + 5. На этапе восстановления необходимо <[разблокировать]>(RA_5105) ранее заблокированные учетные записи и <[восстановить сетевое взаимодействие]>(RA_5101) ранее изолированных внутренних хостов. + 6. В рамках пост-инцидентного анализа необходимо <[составить отчет]>(RA_6001) о произошедшем инциденте в соответствии с принятыми в организации процедурами и <[проанализировать инцидент]>(RA_6002), понять, какие меры нужно предпринять, чтобы избежать аналогичных инцидентов в будущем. From 4d8e767e0b8edd4a143a9af73322d1718c51ee75 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 00:34:31 +0300 Subject: [PATCH 06/30] Update RA_5101_unblock_blocked_ip.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_5101_unblock_blocked_ip.yml | 19 +++++++++---------- 1 file changed, 9 insertions(+), 10 deletions(-) diff --git a/data/ru/response_actions/RA_5101_unblock_blocked_ip/RA_5101_unblock_blocked_ip.yml b/data/ru/response_actions/RA_5101_unblock_blocked_ip/RA_5101_unblock_blocked_ip.yml index 97fa57ac..b5b5921d 100644 --- a/data/ru/response_actions/RA_5101_unblock_blocked_ip/RA_5101_unblock_blocked_ip.yml +++ b/data/ru/response_actions/RA_5101_unblock_blocked_ip/RA_5101_unblock_blocked_ip.yml @@ -1,19 +1,18 @@ -title: RA_5101_unblock_blocked_ip +title: RA_5101_unblock_blocked_internal_ip id: RA5101 description: > - Unblock a blocked IP address -author: '@atc_project' -creation_date: 2020/05/06 + Ввести изолированный узел обратно в сеть +author: enikulina +creation_date: 2023/02/06 stage: recovery +automation: + - edr/xdr + - soar requirements: - - MS_border_firewall - - MS_border_proxy - - MS_border_ips - - MS_border_ngfw - MS_intranet_firewall - MS_intranet_proxy - MS_intranet_ips - MS_intranet_ngfw - MS_host_firewall -extended_description: | - Unblock a blocked IP address in the system(s) used to block it. +workflow: | + Введите изолированный ранее хост обратно в сеть, предварительно убедившись в устранении угрозы и отсутствии признаков нелегитимной активности. From 7a76410a5f80a6b0f3084d528af5bfc0906d5244 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 00:35:23 +0300 Subject: [PATCH 07/30] Update RA_5105_unblock_blocked_user.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_5105_unblock_blocked_user.yml | 22 ++++++++++--------- 1 file changed, 12 insertions(+), 10 deletions(-) diff --git a/data/ru/response_actions/RA_5105_unblock_blocked_user/RA_5105_unblock_blocked_user.yml b/data/ru/response_actions/RA_5105_unblock_blocked_user/RA_5105_unblock_blocked_user.yml index ce1c26be..c7a9f4b5 100644 --- a/data/ru/response_actions/RA_5105_unblock_blocked_user/RA_5105_unblock_blocked_user.yml +++ b/data/ru/response_actions/RA_5105_unblock_blocked_user/RA_5105_unblock_blocked_user.yml @@ -1,14 +1,16 @@ title: RA_5105_unblock_blocked_user id: RA5105 description: > - Unblock a blocked user -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Разблокировать учетную запись пользователя +author: avasiltsov, enikulina +creation_date: 2023/04/26 stage: recovery -references: - - https://example.com -requirements: - - DN_zeek_conn_log # placeholder -extended_description: | - Description of the extended_description for single Response Action in markdown format. - Here newlines will be saved. +automation: + - edr/xdr + - irp/soar +linked_artifacts: + - A1001 + - A1003 + - A1004 +workflow: | + Разблокируйте ранее заблокированную учетную запись пользователя, предварительно убедившись в успешной смене пароля и разрыве активных до блокировки сессий. From 17cb75d93e70bf8bbd3741075bdd36543cac9186 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 00:36:22 +0300 Subject: [PATCH 08/30] Update and rename RA_4001_report_incident_to_external_companies.yml to RA_4001_report_incident_to_external_csirts.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- ..._report_incident_to_external_companies.yml | 30 ------------------- ...001_report_incident_to_external_csirts.yml | 11 +++++++ 2 files changed, 11 insertions(+), 30 deletions(-) delete mode 100644 data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_companies.yml create mode 100644 data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_csirts.yml diff --git a/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_companies.yml b/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_companies.yml deleted file mode 100644 index 39de7268..00000000 --- a/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_companies.yml +++ /dev/null @@ -1,30 +0,0 @@ -title: RA_4001_report_incident_to_external_companies -id: RA4001 -description: Report incident to external companies -author: '@atc_project' -creation_date: 2019/01/31 -stage: eradication -automation: - - thehive # integration with MISP -references: - - https://www.antiphishing.org/report-phishing/ - - https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en - - https://www.ic3.gov/default.aspx - - http://www.us-cert.gov/nav/report_phishing.html - - https://blog.thehive-project.org/2017/06/19/thehive-cortex-and-misp-how-they-all-fit-together/ - - https://www.sei.cmu.edu/education-outreach/computer-security-incident-response-teams/national-csirts/ - - https://www.crowdstrike.com/blog/indicators-attack-vs-indicators-compromise/ - - https://mitre.github.io/unfetter/about/ -extended_description: | - Report incident to external security companites, i.e. [National Computer Security Incident Response Teams (CSIRTs)](https://www.sei.cmu.edu/education-outreach/computer-security-incident-response-teams/national-csirts/). - Provide all Indicators of Compromise and Indicators of Attack that have been observed. - - A phishing attack could be reported to: - - 1. [National Computer Security Incident Response Teams (CSIRTs)](https://www.sei.cmu.edu/education-outreach/computer-security-incident-response-teams/national-csirts/) - 2. [U.S. government-operated website](http://www.us-cert.gov/nav/report_phishing.html) - 3. [Anti-Phishing Working Group (APWG)](http://antiphishing.org/report-phishing/) - 4. [Google Safe Browsing](https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en) - 5. [The FBI's Intenet Crime Complaint Center (IC3)](https://www.ic3.gov/default.aspx) - - This Response Action could be automated with [TheHive and MISP integration](https://blog.thehive-project.org/2017/06/19/thehive-cortex-and-misp-how-they-all-fit-together/). diff --git a/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_csirts.yml b/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_csirts.yml new file mode 100644 index 00000000..93dea065 --- /dev/null +++ b/data/ru/response_actions/RA_4001_report_incident_to_external_companies/RA_4001_report_incident_to_external_csirts.yml @@ -0,0 +1,11 @@ +title: RA_4001_report_incident_to_external_csirts +id: RA4001 +description: Сообщить об инциденте внешним центрам реагирования +author: enikulina +creation_date: 2023/02/03 +stage: eradication +references: + - https://cert.gov.ru/abuse +workflow: | + Оповестите об инциденте внешние центры реагирования на компьютерные инциденты, отраслевые CERT/CSIRT, правоохранительные и/или регулирующие органы (в зависимости от характера и критичности инцидента). + Предоставьте все индикаторы компрометации (IoC) и индикаторы атаки (IoA), которые были собраны в процессе расследования. From 0c61d6a6c36f0b493f2fad4466eef7f2ecb1c879 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 00:37:13 +0300 Subject: [PATCH 09/30] Update RA_3601_lock_user_account.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_3601_lock_user_account.yml | 7 +++++-- 1 file changed, 5 insertions(+), 2 deletions(-) diff --git a/data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml b/data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml index ada2ab59..74b418ba 100644 --- a/data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml +++ b/data/ru/response_actions/RA_3601_lock_user_account/RA_3601_lock_user_account.yml @@ -5,5 +5,8 @@ description: > author: enikulina creation_date: 2023/02/03 stage: containment -extended_description: | - Заблокировать учетную запись пользователя с разрывом всех активных сессий и обязательной сменой пароля. +automation: + - xdr + - soar/irp +workflow: | + Заблокируйте локальную либо доменную учетную запись пользователя с разрывом всех активных сессий и обязательной сменой пароля. From 9dfaa7eeb900b0722efb1d9a25ee22bcb7aaa490 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 00:39:35 +0300 Subject: [PATCH 10/30] Update RA_3102_block_internal_ip_address.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_3102_block_internal_ip_address.yml | 9 ++++++--- 1 file changed, 6 insertions(+), 3 deletions(-) diff --git a/data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml b/data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml index 2d668771..8f0b866f 100644 --- a/data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml +++ b/data/ru/response_actions/RA_3102_block_internal_ip_address/RA_3102_block_internal_ip_address.yml @@ -1,15 +1,18 @@ title: RA_3102_block_internal_ip_address id: RA3102 description: > - Изолировать внутренний узел от локальной и внешней сетей + Изолировать узел от внутренней и внешней сетей author: enikulina creation_date: 2023/02/03 stage: containment +automation: + - edr/xdr + - soar requirements: - MS_intranet_firewall - MS_intranet_proxy - MS_intranet_ips - MS_intranet_ngfw - MS_host_firewall -extended_description: | - Изолировать скомпрометированный внутренний хост от локальной и внешней сетей для прекращения распространения атаки. +workflow: | + Изолируйте скомпрометированный хост от корпоративной и внешней сетей. From cead1ac87f75dca271b309d8992bec785f9673d9 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 00:57:46 +0300 Subject: [PATCH 11/30] Update RA_3101_block_external_ip_address.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_3101_block_external_ip_address.yml | 20 +++++++++++-------- 1 file changed, 12 insertions(+), 8 deletions(-) diff --git a/data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml b/data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml index 0d0527dd..4bf6877d 100644 --- a/data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml +++ b/data/ru/response_actions/RA_3101_block_external_ip_address/RA_3101_block_external_ip_address.yml @@ -1,19 +1,23 @@ title: RA_3101_block_external_ip_address id: RA3101 description: > - Block an external IP address from being accessed by corporate assets -author: '@atc_project' -creation_date: 2019/01/31 + Заблокировать внешний IP-адрес +author: enikulina +creation_date: 2023/02/06 stage: containment +automation: + - xdr + - soar/irp requirements: - MS_border_firewall - MS_border_proxy - MS_border_ips - MS_border_ngfw - MS_host_firewall -extended_description: | - Block an external IP address from being accessed by corporate assets, using the most efficient way. +artifacts: + - A1007 +workflow: | + Заблокируйте внешний вредоносный IP-адрес (путем добавления в "черный список" или создания запрещающих правил для входящего и исходящего трафика). - Warning: - - - Be careful blocking IP addresses. Make sure it's not a cloud provider or a hoster. If you would like to block something that is hosted on a well-known cloud provider or on a big hoster IP address, you should block (if applicable) a specific URL using alternative Response Action + Внимание: + Если IP-адрес является адресом облачного провайдера или хостинга, предпочтительнее, если возможно, ограничить доступ только к вредоносному URL (вместо блокировки IP-адреса). From e5bf2280082c59611d6c0cb45239d6a84e080cd8 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 00:58:53 +0300 Subject: [PATCH 12/30] Add files via upload Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_2091_map_business_risks.yml | 10 ++++++++++ 1 file changed, 10 insertions(+) create mode 100644 data/ru/response_actions/RA_2091_map_business_risks/RA_2091_map_business_risks.yml diff --git a/data/ru/response_actions/RA_2091_map_business_risks/RA_2091_map_business_risks.yml b/data/ru/response_actions/RA_2091_map_business_risks/RA_2091_map_business_risks.yml new file mode 100644 index 00000000..72bd9a92 --- /dev/null +++ b/data/ru/response_actions/RA_2091_map_business_risks/RA_2091_map_business_risks.yml @@ -0,0 +1,10 @@ +title: RA_2091_map_business_risks +id: RA2091 +description: > + Сопоставить бизнес-риски со списком затронутых инцидентом активов +author: bpopovich +creation_date: 2023/04/27 +stage: identification +workflow: | + Оцените влияние инцидента на ваши бизнес-процессы и сопоставьте бизнес-риски со списком затронутых инцидентом активов, чтобы корректно приоритизировать процессы реагирования. + From 304b2c69331cccad714c0b06f3dd4c2a8825958b Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:00:10 +0300 Subject: [PATCH 13/30] Update RA_2001_list_victims_of_security_alert.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_2001_list_victims_of_security_alert.yml | 18 +++++++++--------- 1 file changed, 9 insertions(+), 9 deletions(-) diff --git a/data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml b/data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml index c33ef0dd..533a0859 100644 --- a/data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml +++ b/data/ru/response_actions/RA_2001_list_victims_of_security_alert/RA_2001_list_victims_of_security_alert.yml @@ -1,14 +1,14 @@ title: RA_2001_list_victims_of_security_alert id: RA2001 description: > - List victims of a security alert -author: name/nickname/twitter -creation_date: YYYY/MM/DD + Составить список затронутых инцидентом ИБ объектов инфраструктуры. +author: avasiltsov +creation_date: 2023/04/27 stage: identification automation: - - thehive -references: - - https://example.com -extended_description: | - Description of the extended_description for the Response Action in markdown format. - Here newlines will be saved. + - siem/irp +linked_artifacts: + - A1004 + - A1005 +workflow: | + Определите затронутые инцидентом объекты корпоративной инфраструктуры: пострадавшие хосты, учетные записи и т.п. From 9f4f435de0041ff4cebb9dc9f6f5c1d18aa0a55d Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:01:40 +0300 Subject: [PATCH 14/30] Update RA_2114_list_hosts_communicated_with_external_ip.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- ...st_hosts_communicated_with_external_ip.yml | 21 +++++++++++++------ 1 file changed, 15 insertions(+), 6 deletions(-) diff --git a/data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml b/data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml index 05425856..19c4afb4 100644 --- a/data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml +++ b/data/ru/response_actions/RA_2114_list_hosts_communicated_with_external_ip/RA_2114_list_hosts_communicated_with_external_ip.yml @@ -1,12 +1,21 @@ title: RA_2114_list_hosts_communicated_with_external_ip id: RA2114 description: > - List hosts communicated with an external IP address -author: '@atc_project' -creation_date: 2020/05/06 + Определить узлы корпоративной сети, взаимодействовавшие с внешним IP-адресом +author: enikulina +creation_date: 2023/02/06 stage: identification +automation: + - ids/ips + - nta/ndr + - siem requirements: + - MS_border_firewall + - MS_border_proxy + - MS_border_ips + - MS_border_ngfw - DN_network_flow_log - - DN_zeek_conn_log -extended_description: | - List hosts communicated with an external IP address using the most efficient way. + - DN_proxy_log + - DN_firewall_log +workflow: | + Найдите все хосты в инфраструктуре, с которых были обращения к внешнему подозрительному IP-адресу. From 03ac08c038184f60707c35fba48c618045395591 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:02:37 +0300 Subject: [PATCH 15/30] Update RA_2105_analyse_ip.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_2105_analyse_ip/RA_2105_analyse_ip.yml | 21 ++++++++++++------- 1 file changed, 14 insertions(+), 7 deletions(-) diff --git a/data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml b/data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml index 6493cfc4..ecf8f3c0 100644 --- a/data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml +++ b/data/ru/response_actions/RA_2105_analyse_ip/RA_2105_analyse_ip.yml @@ -8,14 +8,21 @@ stage: identification references: - https://docs.microsoft.com/en-us/sysinternals/downloads/whois - https://www.abuseipdb.com/ + - https://ipinfo.io/ - https://app.any.run - https://www.virustotal.com/ - https://otx.alienvault.com/ -extended_description: | - Собрать и проанализировать информацию об обнаруженном ранее IP-адресе с помощью различных доступных ресурсов: +workflow: | + Соберите и проанализируйте информацию об обнаруженном IP-адресе с помощью различных доступных ресурсов. - - https://www.abuseipdb.com/ - - whois - - https://app.any.run - - https://www.virustotal.com/ - - https://otx.alienvault.com/ + - Проверка репутации, GeoIP, ASN, Range + - https://www.abuseipdb.com/check/ (проверка репутации, географической принадлежности, типа использования адреса (например, хостинг), отчетов); + - https://www.virustotal.com/ (проверка репутации, детектов АВ, отчетов, статистики по DNS/Files); + - https://app.any.run + - https://otx.alienvault.com/ + - https://ipinfo.io/ (проверка географической принадлежности, типа использования адреса, ASN, Range, Company). + + - Проверка анонимизации (VPN, TOR, Proxy) + - https://ipinfo.io/products/proxy-vpn-detection-api + - https://spur.us/context/ + - https://getipintel.net/free-proxy-vpn-tor-ip-lookup/#web From 8fa8ef9a038ed1d35b2f81dc5fcd4e548f0049a0 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:04:26 +0300 Subject: [PATCH 16/30] Update RA_2111_collect_transferred_data.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_2111_collect_transferred_data.yml | 27 ++++++++++++------- 1 file changed, 17 insertions(+), 10 deletions(-) diff --git a/data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml b/data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml index 9d13c6f3..70322b9e 100644 --- a/data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml +++ b/data/ru/response_actions/RA_2111_collect_transferred_data/RA_2111_collect_transferred_data.yml @@ -1,14 +1,21 @@ title: RA_2111_collect_transferred_data id: RA2111 description: > - Collect the data that is being transferred at the moment or at a particular time in the past -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Cобрать, сохранить и проанализировать информацию о подозрительном сетевом потоке и переданной в нём информации +author: bpopovich, enikulina +creation_date: 2023/04/27 stage: identification -references: - - https://example.com -requirements: - - DN_zeek_conn_log # placeholder -extended_description: | - Description of the extended_description for single Response Action in markdown format. - Here newlines will be saved. +automation: + - nta/ndr + - ids/ips +workflow: | + Соберите и сохраните информацию о подозрительной сетевой активности доступными средствами в формате .pcap. + Определите и проанализируйте характеристики и содержимое трафика. + + В первую очередь необходимо выделить: + - исходные IP-адреса (отправитель и получатель) + - используемые порты и протокол + - значения основных полей протокола + - сработавшие сетевые сигнатуры и признаки аномалий + + Если источник активности находится во внутренней сети, необходимо проанализировать логи и постараться определить процесс, генерирующий трафик, а также учетную запись пользователя, от имени которой он выполняется. From ae52163176e2fbbda38553bce69c7044cf32702f Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:07:15 +0300 Subject: [PATCH 17/30] Update RA_1602_get_ability_to_lock_user_account.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- ..._1602_get_ability_to_lock_user_account.yml | 19 ++++++++++--------- 1 file changed, 10 insertions(+), 9 deletions(-) diff --git a/data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml b/data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml index 56677647..9e88cf6d 100644 --- a/data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml +++ b/data/ru/response_actions/RA_1602_get_ability_to_lock_user_account/RA_1602_get_ability_to_lock_user_account.yml @@ -1,14 +1,15 @@ title: RA_1602_get_ability_to_lock_user_account id: RA1602 description: > - Make sure you have the ability to lock user account from being used -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Проверить возможность блокировки учетных записей пользователей +author: enikulina +creation_date: 2023/02/09 stage: preparation -references: - - https://example.com +automation: + - xdr + - soar/irp requirements: - - DN_zeek_conn_log # placeholder -extended_description: | - Description of the extended_description for single Response Action in markdown format. - Here newlines will be saved. + - active directory +workflow: | + Убедитесь, что при необходимости вы можете оперативно заблокировать как локальную учетную запись, так и учетную запись в домене организации. + Опираясь на выработанную ранее процедуру реагирования, убедитесь, что ответственные за реагирование имеют необходимые для блокировки УЗ доступы к СЗИ и IT-системам либо контакты соответствующих подразделений. From 09315783cf3abd4f303a8a39132340b95be6b459 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:08:38 +0300 Subject: [PATCH 18/30] Update RA_1117_get_ability_to_block_port_external_communication.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- ...ability_to_block_port_external_communication.yml | 13 +++++-------- 1 file changed, 5 insertions(+), 8 deletions(-) diff --git a/data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml b/data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml index 195ffd2a..826117c2 100644 --- a/data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml +++ b/data/ru/response_actions/RA_1117_get_ability_to_block_port_external_communication/RA_1117_get_ability_to_block_port_external_communication.yml @@ -1,18 +1,15 @@ title: RA_1117_get_ability_to_block_port_external_communication id: RA1117 description: > - Make sure you can block a network port for external communications -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Убедиться в возможности блокировки сетевых портов от соединений извне +author: bpopovich +creation_date: 2023/04/29 stage: preparation -references: - - https://example.com requirements: - MS_border_firewall - MS_border_proxy - MS_border_ips - MS_border_ngfw - MS_host_firewall -extended_description: | - Description of the extended_description for the Response Action in markdown format. - Here newlines will be saved. +workflow: | + Проверьте наличие, доступность средств защиты информации и администрирования для блокировки внешних соединений на сетевые порты в любом сегменте инфраструктуры. From ca3845d11acd66d590c4a5db8383548f94a1cfa8 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:10:08 +0300 Subject: [PATCH 19/30] Update RA_1112_get_ability_to_block_internal_ip_address.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_1112_get_ability_to_block_internal_ip_address.yml | 9 ++++++--- 1 file changed, 6 insertions(+), 3 deletions(-) diff --git a/data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml b/data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml index a1394792..df69dc7b 100644 --- a/data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml +++ b/data/ru/response_actions/RA_1112_get_ability_to_block_internal_ip_address/RA_1112_get_ability_to_block_internal_ip_address.yml @@ -1,15 +1,18 @@ title: RA_1112_get_ability_to_block_internal_ip_address id: RA1112 description: > - Убедитесь, что у вас есть возможность изолировать внутренний узел от корпоративной и внешней сетей + Проверить возможность изоляции хостов от внутренней и внешней сетей author: enikulina creation_date: 2023/02/02 stage: preparation +automation: + - edr/xdr + - soar requirements: - MS_intranet_firewall - MS_intranet_proxy - MS_intranet_ips - MS_intranet_ngfw - MS_host_firewall -extended_description: | - Убедитесь, что у вас есть возможность изолировать внутренний узел от корпоративной и внешней сетей. +workflow: | + Убедитесь в наличии, доступности средств защиты информации и администрирования для сетевой изоляции (блокировки сетевой активности) узлов корпоративной сети. From c8acaf64d44ddc73b476b39182d9f6f6166afbb2 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:11:40 +0300 Subject: [PATCH 20/30] Update RA_1111_get_ability_to_block_external_ip_address.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- ..._1111_get_ability_to_block_external_ip_address.yml | 11 ++++++++--- 1 file changed, 8 insertions(+), 3 deletions(-) diff --git a/data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml b/data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml index 0c16d65d..3d5d39ff 100644 --- a/data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml +++ b/data/ru/response_actions/RA_1111_get_ability_to_block_external_ip_address/RA_1111_get_ability_to_block_external_ip_address.yml @@ -1,14 +1,19 @@ title: RA_1111_get_ability_to_block_external_ip_address id: RA1111 description: > - Убедиться, что у вас есть возможность заблокировать внешний IP-адрес + Проверить возможность блокировки внешних IP-адресов author: enikulina creation_date: 2023/02/02 stage: preparation +automation: + - xdr + - soar + - custom scripts +references: requirements: - MS_border_firewall - MS_border_proxy - MS_border_ips - MS_border_ngfw -extended_description: | - Убедиться, что у вас есть возможность добавления внешних IP-адресов в "черный список" или создания запрещающих правил для входящего и исходящего трафика в 1 из перечисленных систем. +workflow: | + Убедитесь, что у вас есть возможность заблокировать сетевое взаимодействие с внешним IP-адресом путем добавления его в "черный список" или создания запрещающих правил для входящего и исходящего трафика. From e047d7bd415572dce68343fe47d9a07ee66bfab1 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:12:49 +0300 Subject: [PATCH 21/30] Update RA_1104_access_external_http_logs.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_1104_access_external_http_logs.yml | 15 +++++++++------ 1 file changed, 9 insertions(+), 6 deletions(-) diff --git a/data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml b/data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml index 225670df..c411aaca 100644 --- a/data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml +++ b/data/ru/response_actions/RA_1104_access_external_http_logs/RA_1104_access_external_http_logs.yml @@ -1,16 +1,19 @@ title: RA_1104_access_external_http_logs id: RA1104 description: > - Make sure you have access to external communication HTTP logs -author: '@atc_project' -creation_date: 2020/05/06 + Убедиться, что журналирование исходящего HTTP-трафика реализовано и корректно настроено +author: enikulina +creation_date: 2023/02/06 stage: preparation references: - https://docs.zeek.org/en/current/examples/httpmonitor/ - - https://en.wikipedia.org/wiki/Common_Log_Format + - https://suricata.readthedocs.io/en/suricata-6.0.12/output/eve/eve-json-format.html?highlight=http%20event#event-type-http requirements: - MS_border_proxy - MS_border_ngfw + - DN_border_proxy_logs + - DN_border_ngfw_logs + - DN_suricata_http_events - DN_zeek_http_log -extended_description: | - Make sure that there is a collection of HTTP connections logs for external communication (from corporate assets to the Internet) configured. +workflow: | + Включите и настройте подходящим под вашу инфраструктуру образом журналирование исходящей (из корпоративной сети к внешним ресурсам) HTTP-активности. From 4007fc1368a4011e5166623dfa0eeb51fe5d62b3 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:13:24 +0300 Subject: [PATCH 22/30] Add files via upload Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_1015_implement_ids_ips_firewalls.yml | 14 ++++++++++++++ .../RA_1016_check_lan_communication.yml | 13 +++++++++++++ 2 files changed, 27 insertions(+) create mode 100644 data/ru/response_actions/RA_1015_implement_ids_ips_firewalls/RA_1015_implement_ids_ips_firewalls.yml create mode 100644 data/ru/response_actions/RA_1016_check_lan_communication/RA_1016_check_lan_communication.yml diff --git a/data/ru/response_actions/RA_1015_implement_ids_ips_firewalls/RA_1015_implement_ids_ips_firewalls.yml b/data/ru/response_actions/RA_1015_implement_ids_ips_firewalls/RA_1015_implement_ids_ips_firewalls.yml new file mode 100644 index 00000000..b812536d --- /dev/null +++ b/data/ru/response_actions/RA_1015_implement_ids_ips_firewalls/RA_1015_implement_ids_ips_firewalls.yml @@ -0,0 +1,14 @@ +title: RA_1015_implement_ids_ips_firewalls +id: RA1015 +description: > + Внедрить и настроить средства обнаружения/предотвращения вторжений, межсетевого экранирования +author: bpopovich +creation_date: 2023/04/26 +stage: preparation +workflow: | + 1. Убедитесь, что средства обнаружения/предотвращение вторжений, межсетевого экранирования корректно настроены и обновлены. + 2. Определите контакты подразделений, ответственных за обеспечение функционирования этих средств. + 3. Регламентируйте взаимодействие с этими подразделением. + 4. Убедитесь, что средства из п. 1 доступны и выполняют свои функции. + 5. Убедитесь, что эти средства предоставляют возможность локализации активов в инфраструктуре организации. + diff --git a/data/ru/response_actions/RA_1016_check_lan_communication/RA_1016_check_lan_communication.yml b/data/ru/response_actions/RA_1016_check_lan_communication/RA_1016_check_lan_communication.yml new file mode 100644 index 00000000..4475694b --- /dev/null +++ b/data/ru/response_actions/RA_1016_check_lan_communication/RA_1016_check_lan_communication.yml @@ -0,0 +1,13 @@ +title: RA_1016_check_lan_communication +id: RA1016 +description: > + Актуализировать информацию в подразделениях, ответственных за функционирование сетевой инфраструктуры и ответственных за сетевую конфигурацию активов в сети +author: bpopovich +creation_date: 2023/04/26 +stage: preparation +workflow: | + 1. Убедитесь, что схема сетевой инфраструктуры организации актуальна и отображает все точки входа. + 2. Убедитесь, что подразделения, ответственные за функционирования сети и ответственные за сетевую конфигурацию активов в сети имеют актуальную схему сетевой инфраструктуры. + 3. Регламентируйте регулярный аудит сети с целью выявления новых точек входа и недокументированных активов. + 4. Регламентируйте внедрение средств мониторинга и управления сетевой инфраструктурой в новых сегментах сети. + From 5f0a4eb05e681c829a9f87c48ed47c29f175ce67 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:14:19 +0300 Subject: [PATCH 23/30] Update and rename RA_1016_check_lan_communication.yml to RA_1018_check_lan_communication.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- ..._communication.yml => RA_1018_check_lan_communication.yml} | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) rename data/ru/response_actions/RA_1016_check_lan_communication/{RA_1016_check_lan_communication.yml => RA_1018_check_lan_communication.yml} (95%) diff --git a/data/ru/response_actions/RA_1016_check_lan_communication/RA_1016_check_lan_communication.yml b/data/ru/response_actions/RA_1016_check_lan_communication/RA_1018_check_lan_communication.yml similarity index 95% rename from data/ru/response_actions/RA_1016_check_lan_communication/RA_1016_check_lan_communication.yml rename to data/ru/response_actions/RA_1016_check_lan_communication/RA_1018_check_lan_communication.yml index 4475694b..aea20e80 100644 --- a/data/ru/response_actions/RA_1016_check_lan_communication/RA_1016_check_lan_communication.yml +++ b/data/ru/response_actions/RA_1016_check_lan_communication/RA_1018_check_lan_communication.yml @@ -1,5 +1,5 @@ -title: RA_1016_check_lan_communication -id: RA1016 +title: RA_1018_check_lan_communication +id: RA1018 description: > Актуализировать информацию в подразделениях, ответственных за функционирование сетевой инфраструктуры и ответственных за сетевую конфигурацию активов в сети author: bpopovich From 29dea2c901a65f7f83940039583ab5a568eb297f Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:16:51 +0300 Subject: [PATCH 24/30] Update and rename RA_1018_check_lan_communication.yml to RA_1018_check_lan_communication.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_1018_check_lan_communication.yml | 0 1 file changed, 0 insertions(+), 0 deletions(-) rename data/ru/response_actions/{RA_1016_check_lan_communication => RA_1018_check_lan_communication}/RA_1018_check_lan_communication.yml (100%) diff --git a/data/ru/response_actions/RA_1016_check_lan_communication/RA_1018_check_lan_communication.yml b/data/ru/response_actions/RA_1018_check_lan_communication/RA_1018_check_lan_communication.yml similarity index 100% rename from data/ru/response_actions/RA_1016_check_lan_communication/RA_1018_check_lan_communication.yml rename to data/ru/response_actions/RA_1018_check_lan_communication/RA_1018_check_lan_communication.yml From ea3852e031020ea9849e9bf215187f1015bb3bbc Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:17:52 +0300 Subject: [PATCH 25/30] Update and rename RA_1015_implement_ids_ips_firewalls.yml to RA_1017_implement_ids_ips_firewalls.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_1017_implement_ids_ips_firewalls.yml} | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) rename data/ru/response_actions/{RA_1015_implement_ids_ips_firewalls/RA_1015_implement_ids_ips_firewalls.yml => RA_1017_implement_ids_ips_firewalls/RA_1017_implement_ids_ips_firewalls.yml} (94%) diff --git a/data/ru/response_actions/RA_1015_implement_ids_ips_firewalls/RA_1015_implement_ids_ips_firewalls.yml b/data/ru/response_actions/RA_1017_implement_ids_ips_firewalls/RA_1017_implement_ids_ips_firewalls.yml similarity index 94% rename from data/ru/response_actions/RA_1015_implement_ids_ips_firewalls/RA_1015_implement_ids_ips_firewalls.yml rename to data/ru/response_actions/RA_1017_implement_ids_ips_firewalls/RA_1017_implement_ids_ips_firewalls.yml index b812536d..5fd4c93c 100644 --- a/data/ru/response_actions/RA_1015_implement_ids_ips_firewalls/RA_1015_implement_ids_ips_firewalls.yml +++ b/data/ru/response_actions/RA_1017_implement_ids_ips_firewalls/RA_1017_implement_ids_ips_firewalls.yml @@ -1,5 +1,5 @@ -title: RA_1015_implement_ids_ips_firewalls -id: RA1015 +title: RA_1017_implement_ids_ips_firewalls +id: RA1017 description: > Внедрить и настроить средства обнаружения/предотвращения вторжений, межсетевого экранирования author: bpopovich From b45ec4bd1d9d9a1a23a88c7550ad0fbae4ebf86f Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:18:47 +0300 Subject: [PATCH 26/30] Update RA_1012_check_analysis_toolset.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RA_1012_check_analysis_toolset.yml | 15 +++++---------- 1 file changed, 5 insertions(+), 10 deletions(-) diff --git a/data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml b/data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml index 9025065b..9120666b 100644 --- a/data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml +++ b/data/ru/response_actions/RA_1012_check_analysis_toolset/RA_1012_check_analysis_toolset.yml @@ -1,14 +1,9 @@ title: RA_1012_check_analysis_toolset id: RA1012 description: > - Make sure your toolset for analysis and management is updated and fully operational. Make sure that all the required permissions have been granted as well -author: your name/nickname/twitter -creation_date: YYYY/MM/DD + Убедиться, что средства защиты информации, мониторинга и автоматизации, необходимые в работе, обновлены и полностью работоспособны +author: bpopovich +creation_date: 2023/04/29 stage: preparation -automation: - - thehive/phantom/demisto/etc -references: - - https://example.com -extended_description: | - Description of the extended_description for the Response Action in markdown format. - Here newlines will be saved. +workflow: | + Убедитесь, что ваши средства защиты информации, мониторинга и автоматизации, необходимые в работе, обновлены и полностью работоспособны. Убедитесь, что все необходимые доступы к ним предоставлены. From 28513bae45f9b5afcb3258ae7c20d5ea24c73c74 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:20:33 +0300 Subject: [PATCH 27/30] Update RAI_2203_0001_ptnad_list_receivers.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RAI_2203_0001_ptnad_list_receivers.yml | 20 ++++++++++--------- 1 file changed, 11 insertions(+), 9 deletions(-) diff --git a/data/ru/response_actions_implementations/RAI_2203_0001_ptnad_list_receivers/RAI_2203_0001_ptnad_list_receivers.yml b/data/ru/response_actions_implementations/RAI_2203_0001_ptnad_list_receivers/RAI_2203_0001_ptnad_list_receivers.yml index c28b56af..458fe1de 100644 --- a/data/ru/response_actions_implementations/RAI_2203_0001_ptnad_list_receivers/RAI_2203_0001_ptnad_list_receivers.yml +++ b/data/ru/response_actions_implementations/RAI_2203_0001_ptnad_list_receivers/RAI_2203_0001_ptnad_list_receivers.yml @@ -27,16 +27,22 @@ extended_description: | 2) Настроенный сбор необходимого трафика в PT NAD ## Ожидаемый результат воздействия - Получение информации о получателях письма электронной почты с определенной темой и\или с определенного адреса + Список получателей письма электронной почты с определенной темой и\или с определенного адреса ## Реализации ### PDQL: Тема письма\Отправитель письма\IP-адрес отправителя письма - - #### Комментарии - Фильтрация всех SMTP-сессий по отправителю письма и теме или по IP-адресу отправителя с последующей выгрузкой дашборда - + #### Параметры + $FROM - почтовый адрес отправителя, $SUBJ - тема письма, $IP - IP-адрес отправитеоя + + #### Комментарии + Выполнив запрос, необходимо построить дашборд для отфильтрованных сессий и выгрузить его. + 1. Построить дашборд "Почтовые адреса получателей": + - Перейти в раздел "Дашборды" + - Нажать на гайку справа (над дашбордами) -> "Добавить виджеты" -> "Эл.Почта" -> "Почтовые адреса получателей" + 2. Выгрузить список пользователей в формате CSV: + - нажать на многоточие в правом верхнем углу виджета -> "Скачать в формате CSV" #### Запрос @@ -48,10 +54,6 @@ extended_description: | ``` - Построить дашборд "Почтовые адреса получателей": - Нажать на гайку справа -> "Добавить виджеты" -> "Эл.Почта" -> "Почтовые адреса получателей" - Выгрузить списко пользователей в формате CSV: - Нажать на многоточие в парвом верхнем углу дашборда -> "Скачать в формате CSV" #### Пример использования From f202020a489e79860ebf36091cf4c4a1d07bb35a Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:21:09 +0300 Subject: [PATCH 28/30] Add files via upload Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- ...ad_hosts_communicated_with_external_ip.yml | 76 +++++++++++++++++++ 1 file changed, 76 insertions(+) create mode 100644 data/ru/response_actions_implementations/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip.yml diff --git a/data/ru/response_actions_implementations/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip.yml b/data/ru/response_actions_implementations/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip.yml new file mode 100644 index 00000000..6e4248ff --- /dev/null +++ b/data/ru/response_actions_implementations/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip/RAI_2114_0001_ptnad_hosts_communicated_with_external_ip.yml @@ -0,0 +1,76 @@ +title: Поиск хостов во внутренней сети, взаимодействовавших с указанным IP-адресом, с помощью PT NAD +id: RAI2114_0001 +linked_response_actions: RA2114 +description: Поиск хостов во внутренней сети, взаимодействовавших с указанным IP-адресом, в PT NAD +author: enikulina +creation_date: 2023/05/04 +modification_date: 2023/05/04 +linked_software: + - S1003 +tags: + - ip.connect +linked_artifacts: + - A1007 +requirements: + software: + means_of_action: + - ID: S1003 + cpe-fs: "cpe:2.3:a:positive_technologies:pt_nad:9.*:*:*:*:*:*:*:*" + targets_of_action: +extended_description: | + Данное действие реагирования предназначено для выявления всех узлов, с которых были обращения к подозрительному IP-адресу в указанный промежуток времени. + + ## Требования к целевой системе + Отсутствуют + + ## Требования к средствам воздействия + 1) PT NAD версии 9 и выше + 2) Настроенный сбор необходимого трафика в PT NAD + + ## Ожидаемый результат воздействия + Список хостов, взаимодействовавших с указанным IP-адресом в выбранный промежуток времени + + ## Реализации + ### PDQL: IP-адрес + + #### Параметры + $IP - целевой IP-адрес + + #### Комментарии + Выполнив запрос, необходимо построить дашборд для отфильтрованных сессий и выгрузить его: + 1. Перейти в раздел "Дашборды" и выбрать дашборд "Трафик" + 2. Найти виджет "Клиенты по сессиям и трафику"; если виджет отсутствует, построить его: + - нажать на гайку справа (над дашбордами) -> "Добавить виджеты" -> "Трафик" -> "Клиенты по сессиям и трафику" + 3. Выгрузить список клиентов в формате CSV: + - нажать на многоточие в правом верхнем углу виджета -> "Скачать в формате CSV" + + #### Запрос + +
+ PDQL Запрос + + ```python linenums="1" + src.groups == "HOME_NET" && dst.ip == $IP + ``` +
+ + #### Пример использования + + #### Результат + +
+ Результат + + ```json linenums="1" + ``` +
+ + #### Ограничения + + ## Дополнительные сведения + ### Метки + ### Артефакты + IP Address + + ### Ссылки на внешние ресурсы + ### Соответствие классификациям From b899c8741f9669c9bdc4ca2562295c9b4a955061 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 7 Jul 2023 01:22:21 +0300 Subject: [PATCH 29/30] Update RAI_2105_0001_ptnad_analyse_ip.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RAI_2105_0001_ptnad_analyse_ip.yml | 3 ++- 1 file changed, 2 insertions(+), 1 deletion(-) diff --git a/data/ru/response_actions_implementations/RAI_2105_0001_ptnad_analyse_ip/RAI_2105_0001_ptnad_analyse_ip.yml b/data/ru/response_actions_implementations/RAI_2105_0001_ptnad_analyse_ip/RAI_2105_0001_ptnad_analyse_ip.yml index 41c2bd77..2d3d175f 100644 --- a/data/ru/response_actions_implementations/RAI_2105_0001_ptnad_analyse_ip/RAI_2105_0001_ptnad_analyse_ip.yml +++ b/data/ru/response_actions_implementations/RAI_2105_0001_ptnad_analyse_ip/RAI_2105_0001_ptnad_analyse_ip.yml @@ -27,7 +27,7 @@ extended_description: | 2) Настроенный сбор необходимого трафика в PT NAD ## Ожидаемый результат воздействия - Получение информации обо всех сетевых соединения с данным IP-адресов + Получение информации обо всех входящих и исходящих сетевых соединениях с IP-адресом за указанный промежуток времени ## Реализации ### PDQL: IP-адрес @@ -68,3 +68,4 @@ extended_description: | ### Ссылки на внешние ресурсы ### Соответствие классификациям + From 51899df40ed02d9039266739facbd46e1f80fd50 Mon Sep 17 00:00:00 2001 From: Ekaterina N <48784313+duchessacid@users.noreply.github.com> Date: Fri, 21 Jul 2023 17:38:11 +0300 Subject: [PATCH 30/30] Update RP_9001_suspicious_network_connection.yml Signed-off-by: Ekaterina N. <48784313+duchessacid@users.noreply.github.com> --- .../RP_9001_suspicious_network_connection.yml | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml index dd4670a0..7f06e581 100644 --- a/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml +++ b/data/ru/response_playbooks/RP_9001_suspicious_network_connection/RP_9001_suspicious_network_connection.yml @@ -17,8 +17,8 @@ preparation: - RA_1001_practice - RA_1002_take_trainings - RA_1012_check_analysis_toolset - - RA_1015_implement_ids_ips_firewalls - - RA_1016_check_lan_communication + - RA_1017_implement_ids_ips_firewalls + - RA_1018_check_lan_communication - RA_1104_access_external_http_logs - RA_1110_access_external_packet_capture_data - RA_1111_get_ability_to_block_external_ip_address