English version

RE&CT

Фреймворк создан для накопления, описания и классификации действенных техник реагирования на инциденты.

Философия RE&CT основана на подходе фреймворка MITRE ATT&CK.
Столбцы представляют собой Стадии Реагирования (Response Stages).
Ячейки представляют собой Действия Реагирования (Response Actions).

Основные варианты использования:

• Приоритизация задач по созданию и совершенствованию процесса реагирования на инциденты, включая развитие компетенций, внедрение технических средств, разработку регламентов и т.д.
• Анализ недочетов — определение "степени покрытия" матрицы RE&CT уже реализованными функциями реагирования на инциденты

Основные ресурсы:

• RE&CT Navigator (модифицированный ATT&CK Navigator) для визуализации и анализа общей картины
• Автоматически сгенерированный веб-сайт фреймворка RE&CT — лучшее место для детального изучения существующих техник реагирования на инциденты
• Автоматически сгенерированная база знаний в Atlassian Confluence — демонстрация функции по экспорта аналитики

Preparation	Identification	Containment	Eradication	Recovery	Lessons Learned
Practice	List victims of security alert*	Patch vulnerability*	Report incident to external companies	Reinstall host from golden image*	Develop incident report
Take trainings	List host vulnerabilities*	Block external IP address	Remove rogue network device*	Restore data from backup*	Conduct lessons learned exercise
Raise personnel awareness	Put compromised accounts on monitoring	Block internal IP address	Delete email message	Unblock blocked IP
Make personnel report suspicious activity	List hosts communicated with internal domain*	Block external domain	Remove file*	Unblock blocked domain
Set up relevant data collection*	List hosts communicated with internal IP*	Block internal domain	Remove registry key*	Unblock blocked URL
Set up a centralized long-term log storage*	List hosts communicated with internal URL*	Block external URL	Remove service*	Unblock blocked port*
Develop communication map*	Analyse domain name*	Block internal URL	Revoke authentication credentials	Unblock blocked user*
Make sure there are backups*	Analyse IP*	Block port external communication	Remove user account*	Unblock domain on email
Get network architecture map*	Analyse URI*	Block port internal communication		Unblock sender on email
Get access control matrix*	List hosts communicated by port*	Block user external communication		Restore quarantined email message
Develop assets knowledge base*	List hosts connected to VPN*	Block user internal communication		Restore quarantined file*
Check analysis toolset*	List hosts connected to intranet*	Block data transferring by content pattern*		Unblock blocked process*
Access vulnerability management system logs*	List data transferred*	Block domain on email		Enable disabled service*
Connect with trusted communities	Collect transferred data*	Block sender on email		Unlock locked user account*
Access external network flow logs	Identify transferred data*	Quarantine email message
Access internal network flow logs*	List hosts communicated with external domain	Quarantine file by format*
Access internal HTTP logs*	List hosts communicated with external IP	Quarantine file by hash*
Access external HTTP logs	List hosts communicated with external URL	Quarantine file by path*
Access internal DNS logs*	Find data transferred by content pattern*	Quarantine file by content pattern*
Access external DNS logs	Analyse user-agent*	Block process by executable path*
Access VPN logs*	List users opened email message	Block process by executable metadata*
Access DHCP logs*	Collect email message	Block process by executable hash*
Access internal packet capture data*	List email message receivers	Block process by executable format*
Access external packet capture data*	Make sure email message is phishing	Block process by executable content pattern*
Get ability to block external IP address	Extract observables from email message	Disable system service*
Get ability to block internal IP address*	Analyse email address*	Lock user account*
Get ability to block external domain	List files created*
Get ability to block internal domain*	List files modified*
Get ability to block external URL	List files deleted*
Get ability to block internal URL*	List files downloaded*
Get ability to block port external communication*	List files with tampered timestamps*
Get ability to block port internal communication*	Find file by path*
Get ability to block user external communication*	Find file by metadata*
Get ability to block user internal communication*	Find file by hash*
Get ability to find data transferred by content pattern*	Find file by format*
Get ability to block data transferring by content pattern*	Find file by content pattern*
Get ability to list data transferred*	Collect file*
Get ability to collect transferred data*	Analyse file hash*
Get ability to identify transferred data*	Analyse Windows PE*
Find data transferred by content pattern*	Analyse macos macho*
Get ability to analyse user-agent*	Analyse Unix ELF*
Get ability to list users opened email message	Analyse MS office file*
Get ability to list email message receivers	Analyse PDF file*
Get ability to block email domain	Analyse script*
Get ability to block email sender	Analyse jar*
Get ability to delete email message	Analyse filename*
Get ability to quarantine email message	List processes executed*
Get ability to collect email message*	Find process by executable path*
Get ability to analyse email address*	Find process by executable metadata*
Get ability to list files created*	Find process by executable hash*
Get ability to list files modified*	Find process by executable format*
Get ability to list files deleted*	Find process by executable content pattern*
Get ability to list files downloaded*	List registry keys modified*
Get ability to list files with tampered timestamps*	List registry keys deleted*
Get ability to find file by path*	List registry keys accessed*
Get ability to find file by metadata*	List registry keys created*
Get ability to find file by hash*	List services created*
Get ability to find file by format*	List services modified*
Get ability to find file by content pattern*	List services deleted*
Get ability to collect file*	Analyse registry key*
Get ability to quarantine file by path*	List users authenticated*
Get ability to quarantine file by hash*
Get ability to quarantine file by format*
Get ability to quarantine file by content pattern*
Get ability to remove file*
Get ability to analyse file hash*
Get ability to analyse windows pe*
Get ability to analyse macos macho*
Get ability to analyse unix elf*
Get ability to analyse ms office file*
Get ability to analyse pdf file*
Get ability to analyse script*
Get ability to analyse jar*
Get ability to analyse filename*
Get ability to list processes executed*
Get ability to find process by executable path*
Get ability to find process by executable metadata*
Get ability to find process by executable hash*
Get ability to find process by executable format*
Get ability to find process by executable content pattern*
Get ability to block process by executable path*
Get ability to block process by executable metadata*
Get ability to block process by executable hash*
Get ability to block process by executable format*
Get ability to block process by executable content pattern*
Manage remote computer management system policies*
Get ability to list registry keys modified*
Get ability to list registry keys deleted*
Get ability to list registry keys accessed*
Get ability to list registry keys created*
Get ability to list services created*
Get ability to list services modified*
Get ability to list services deleted*
Get ability to remove registry key*
Get ability to remove service*
Get ability to analyse registry key*
Manage identity management system*
Get ability to lock user account*
Get ability to list users authenticated*
Get ability to revoke authentication credentials*
Get ability to remove user account*

Действия Реагирования (Response Actions), отмеченные символом "*", являются пустыми файлами, содержащими только название и краткое описание.
Они созданы для того, чтобы описать направление, в котором RE&CT будет развиваться.
Ссылки ведут к GitHub issues по их разработке, в которой вы можете принять участие.

Действенная Аналитика

Проект ATC RE&CT наследует парадигму "Действенная Аналитика" от проекта ATC.
Это означает, что аналитика:

• человекочитаемая (.md) для распространения/использования в ходе операционной деятельности
• машиночитаемая (.yml) для автоматизированной обработки/интеграций
• исполняемая платформой для реагирования на инциденты (Incident Response Platform, IRP). На данный момент поддерживается генерация шаблонов кейсов для IRP TheHive

Проще говоря, аналитика хранится в формате .yml файлов, автоматически конвертируется в документы в формате .md (посредством jinja) и .json файлы шаблонов кейсов TheHive.
Для получения информации по кастомизации и использованию, обращайтесь к разделу usage в README проекта.

Response Action

Response Action (Действие Реагирования) — это описание специфичной атомарной процедуры/задачи, которая должна быть выполнена в ходе реагирования на инцидент. Это первостепенный объект, используемый для составления Сценариев Реагирования (Response Playbooks).
Каждое Действие Реагирования связано с конкретной Стадией Реагирования.

Первая цифра идентификатора Действия Реагирования отражает Стадию, к которой это Действие относится:

• 1: Подготовка (Preparation)
• 2: Идентификация (Identification)
• 3: Сдерживание (Containment)
• 4: Ликвидация (Eradication)
• 5: Восстановление (Recovery)
• 6: Выводы (Lessons Learned)

Вторая цифра идентификатора Действия Реагирования отражает Категорию, к которой это Действие относится:

• 0: Общее (General)
• 1: Сеть (Network)
• 2: Электронная почта (Email)
• 3: Файл (File)
• 4: Процесс (Process)
• 5: Конфигурация (Configuration)
• 6: Идентификационные данные (Identity)

Таким образом, посредством идентификатора Действия Реагирования, можно определить Стадию и Категорию, к которым это Действие принадлежит. Например RA2202: Collect an email message относится к Стадии 2 (Идентификация) и Категории 2 (Электронная почта).

Категоризация предназначена для расширения возможностей для оценки зрелости и планирования развития процесса реагирования на инциденты.

Response Playbook

Response Playbook (Сценарий Реагирования) — это план, который представляет собой законченный список задач/процедур (Действий Реагирования) которые должны быть выполнены в ходе реагирования на конкретную угрозу с опциональным маппингом к фреймворкам MITRE ATT&CK или Misinfosec AMITT.

Сценарий Реагирования может включать в себя описание хода работ, особых условий/требований, детали по последовательности исполнения Действий Реагирования, или любую другую релевантную информацию.

TheHive Case Templates

Шаблоны кейсов платформы реагирования на инциденты TheHive генерируются на основе Сценариев Реагирования.
Каждая отдельная задача в шаблоне кейса — это отдельное Действие Реагирования (с его полным описанием).

Вот пример импортированного шаблона кейса TheHive:

Импортированный шаблон кейса TheHive, созданный на основе Сценария Реагирования (кликните, чтобы раскрыть)

Одна из задач в кейсе TheHive, созданная на основе Действия Реагирования (кликните, чтобы раскрыть)

Шаблоны кейсов TheHive хранятся в директории docs/thehive_templates и могут быть импортированы в TheHive через его веб-интерфейс.

Контакты

• Следите за обновлениями в Twitter
• Присоединяйтесь к обсуждению в Slack или Telegram

Контрибьюторы

• Тимур Зиннятуллин, @zinint
• Даниил Светлов, @Mr_4nders0n
• Андреас Ханкелер, @Karneades
• Патрик Эбрэхам, @pjabes
• Лукас Берези, @lberezy
• Эфе Эрдур, @efeerdur
• Алехандро Ортуно, @aomanzanera
• @d3anp
• Кристоф Ботт, @xofolowski

Вы хотели бы внести свой вклад в проект и тоже стать участником? Инструкция CONTRIBUTING поможет начать.

План развития

План развития проекта и соответствующие обсуждения можно найти в issues посредством лейблов:

• Обсуждения
• Вопросы
• Улучшения
• Разработка Действий Реагирования

Лицензия

Лицензия доступна к просмотру по ссылке.