🇬🇧 English version

RE&CT

Фреймворк создан для накопления, описания и классификации действенных техник реагирования на инциденты.

Философия RE&CT основана на подходе фреймворка MITRE ATT&CK.
Столбцы представляют собой Стадии Реагирования (Response Stages).
Ячейки представляют собой Действия Реагирования (Response Actions).

Основные варианты использования:

  • Приоритизация задач по созданию и совершенствованию процесса реагирования на инциденты, включая развитие компетенций, внедрение технических средств, разработку регламентов и т.д.
  • Анализ недочетов — определение "степени покрытия" матрицы RE&CT уже реализованными функциями реагирования на инциденты

Основные ресурсы:

  • RE&CT Navigator (модифицированный ATT&CK Navigator) для визуализации и анализа общей картины
  • Автоматически сгенерированный веб-сайт фреймворка RE&CT — лучшее место для детального изучения существующих техник реагирования на инциденты
  • Автоматически сгенерированная база знаний в Atlassian Confluence — демонстрация функции по экспорта аналитики
Preparation Identification Containment Eradication Recovery Lessons Learned
Practice List victims of security alert* Patch vulnerability* Report incident to external companies Reinstall host from golden image* Develop incident report
Take trainings List host vulnerabilities* Block external IP address Remove rogue network device* Restore data from backup* Conduct lessons learned exercise
Raise personnel awareness Put compromised accounts on monitoring Block internal IP address Delete email message Unblock blocked IP
Make personnel report suspicious activity List hosts communicated with internal domain* Block external domain Remove file* Unblock blocked domain
Set up relevant data collection* List hosts communicated with internal IP* Block internal domain Remove registry key* Unblock blocked URL
Set up a centralized long-term log storage* List hosts communicated with internal URL* Block external URL Remove service* Unblock blocked port*
Develop communication map* Analyse domain name* Block internal URL Revoke authentication credentials Unblock blocked user*
Make sure there are backups* Analyse IP* Block port external communication Remove user account* Unblock domain on email
Get network architecture map* Analyse URI* Block port internal communication Unblock sender on email
Get access control matrix* List hosts communicated by port* Block user external communication Restore quarantined email message
Develop assets knowledge base* List hosts connected to VPN* Block user internal communication Restore quarantined file*
Check analysis toolset* List hosts connected to intranet* Block data transferring by content pattern* Unblock blocked process*
Access vulnerability management system logs* List data transferred* Block domain on email Enable disabled service*
Connect with trusted communities Collect transferred data* Block sender on email Unlock locked user account*
Access external network flow logs Identify transferred data* Quarantine email message
Access internal network flow logs* List hosts communicated with external domain Quarantine file by format*
Access internal HTTP logs* List hosts communicated with external IP Quarantine file by hash*
Access external HTTP logs List hosts communicated with external URL Quarantine file by path*
Access internal DNS logs* Find data transferred by content pattern* Quarantine file by content pattern*
Access external DNS logs Analyse user-agent* Block process by executable path*
Access VPN logs* List users opened email message Block process by executable metadata*
Access DHCP logs* Collect email message Block process by executable hash*
Access internal packet capture data* List email message receivers Block process by executable format*
Access external packet capture data* Make sure email message is phishing Block process by executable content pattern*
Get ability to block external IP address Extract observables from email message Disable system service*
Get ability to block internal IP address* Analyse email address* Lock user account*
Get ability to block external domain List files created*
Get ability to block internal domain* List files modified*
Get ability to block external URL List files deleted*
Get ability to block internal URL* List files downloaded*
Get ability to block port external communication* List files with tampered timestamps*
Get ability to block port internal communication* Find file by path*
Get ability to block user external communication* Find file by metadata*
Get ability to block user internal communication* Find file by hash*
Get ability to find data transferred by content pattern* Find file by format*
Get ability to block data transferring by content pattern* Find file by content pattern*
Get ability to list data transferred* Collect file*
Get ability to collect transferred data* Analyse file hash*
Get ability to identify transferred data* Analyse Windows PE*
Find data transferred by content pattern* Analyse macos macho*
Get ability to analyse user-agent* Analyse Unix ELF*
Get ability to list users opened email message Analyse MS office file*
Get ability to list email message receivers Analyse PDF file*
Get ability to block email domain Analyse script*
Get ability to block email sender Analyse jar*
Get ability to delete email message Analyse filename*
Get ability to quarantine email message List processes executed*
Get ability to collect email message* Find process by executable path*
Get ability to analyse email address* Find process by executable metadata*
Get ability to list files created* Find process by executable hash*
Get ability to list files modified* Find process by executable format*
Get ability to list files deleted* Find process by executable content pattern*
Get ability to list files downloaded* List registry keys modified*
Get ability to list files with tampered timestamps* List registry keys deleted*
Get ability to find file by path* List registry keys accessed*
Get ability to find file by metadata* List registry keys created*
Get ability to find file by hash* List services created*
Get ability to find file by format* List services modified*
Get ability to find file by content pattern* List services deleted*
Get ability to collect file* Analyse registry key*
Get ability to quarantine file by path* List users authenticated*
Get ability to quarantine file by hash*
Get ability to quarantine file by format*
Get ability to quarantine file by content pattern*
Get ability to remove file*
Get ability to analyse file hash*
Get ability to analyse windows pe*
Get ability to analyse macos macho*
Get ability to analyse unix elf*
Get ability to analyse ms office file*
Get ability to analyse pdf file*
Get ability to analyse script*
Get ability to analyse jar*
Get ability to analyse filename*
Get ability to list processes executed*
Get ability to find process by executable path*
Get ability to find process by executable metadata*
Get ability to find process by executable hash*
Get ability to find process by executable format*
Get ability to find process by executable content pattern*
Get ability to block process by executable path*
Get ability to block process by executable metadata*
Get ability to block process by executable hash*
Get ability to block process by executable format*
Get ability to block process by executable content pattern*
Manage remote computer management system policies*
Get ability to list registry keys modified*
Get ability to list registry keys deleted*
Get ability to list registry keys accessed*
Get ability to list registry keys created*
Get ability to list services created*
Get ability to list services modified*
Get ability to list services deleted*
Get ability to remove registry key*
Get ability to remove service*
Get ability to analyse registry key*
Manage identity management system*
Get ability to lock user account*
Get ability to list users authenticated*
Get ability to revoke authentication credentials*
Get ability to remove user account*


Действия Реагирования (Response Actions), отмеченные символом "*", являются пустыми файлами, содержащими только название и краткое описание.
Они созданы для того, чтобы описать направление, в котором RE&CT будет развиваться.
Ссылки ведут к GitHub issues по их разработке, в которой вы можете принять участие.

Действенная Аналитика

Проект ATC RE&CT наследует парадигму "Действенная Аналитика" от проекта ATC.
Это означает, что аналитика:

  • человекочитаемая (.md) для распространения/использования в ходе операционной деятельности
  • машиночитаемая (.yml) для автоматизированной обработки/интеграций
  • исполняемая платформой для реагирования на инциденты (Incident Response Platform, IRP). На данный момент поддерживается генерация шаблонов кейсов для IRP TheHive

Проще говоря, аналитика хранится в формате .yml файлов, автоматически конвертируется в документы в формате .md (посредством jinja) и .json файлы шаблонов кейсов TheHive.
Для получения информации по кастомизации и использованию, обращайтесь к разделу usage в README проекта.

Response Action

Response Action (Действие Реагирования) — это описание специфичной атомарной процедуры/задачи, которая должна быть выполнена в ходе реагирования на инцидент. Это первостепенный объект, используемый для составления Сценариев Реагирования (Response Playbooks).
Каждое Действие Реагирования связано с конкретной Стадией Реагирования.

Первая цифра идентификатора Действия Реагирования отражает Стадию, к которой это Действие относится:

  • 1: Подготовка (Preparation)
  • 2: Идентификация (Identification)
  • 3: Сдерживание (Containment)
  • 4: Ликвидация (Eradication)
  • 5: Восстановление (Recovery)
  • 6: Выводы (Lessons Learned)

Вторая цифра идентификатора Действия Реагирования отражает Категорию, к которой это Действие относится:

  • 0: Общее (General)
  • 1: Сеть (Network)
  • 2: Электронная почта (Email)
  • 3: Файл (File)
  • 4: Процесс (Process)
  • 5: Конфигурация (Configuration)
  • 6: Идентификационные данные (Identity)

Таким образом, посредством идентификатора Действия Реагирования, можно определить Стадию и Категорию, к которым это Действие принадлежит. Например RA2202: Collect an email message относится к Стадии 2 (Идентификация) и Категории 2 (Электронная почта).

Категоризация предназначена для расширения возможностей для оценки зрелости и планирования развития процесса реагирования на инциденты.

Response Playbook

Response Playbook (Сценарий Реагирования) — это план, который представляет собой законченный список задач/процедур (Действий Реагирования) которые должны быть выполнены в ходе реагирования на конкретную угрозу с опциональным маппингом к фреймворкам MITRE ATT&CK или Misinfosec AMITT.

Сценарий Реагирования может включать в себя описание хода работ, особых условий/требований, детали по последовательности исполнения Действий Реагирования, или любую другую релевантную информацию.

TheHive Case Templates

Шаблоны кейсов платформы реагирования на инциденты TheHive генерируются на основе Сценариев Реагирования.
Каждая отдельная задача в шаблоне кейса — это отдельное Действие Реагирования (с его полным описанием).

Вот пример импортированного шаблона кейса TheHive:

Импортированный шаблон кейса TheHive, созданный на основе Сценария Реагирования (кликните, чтобы раскрыть)
Одна из задач в кейсе TheHive, созданная на основе Действия Реагирования (кликните, чтобы раскрыть)


Шаблоны кейсов TheHive хранятся в директории docs/thehive_templates и могут быть импортированы в TheHive через его веб-интерфейс.

Контакты

  • Следите за обновлениями в Twitter
  • Присоединяйтесь к обсуждению в Slack или Telegram

Контрибьюторы

Вы хотели бы внести свой вклад в проект и тоже стать участником? Инструкция CONTRIBUTING поможет начать.

План развития

План развития проекта и соответствующие обсуждения можно найти в issues посредством лейблов:

Лицензия

Лицензия доступна к просмотру по ссылке.