Гайд для защитников: как заполнять отчеты
В ходе кибербитвы защитники обнаруживают инциденты и расследуют критические события, составляют отчеты о действиях атакующих и отправляют их на проверку жюри. Защитники, участвующие в режиме реагирования, не только обнаруживают, но и отражают атаки «красных», предотвращая инциденты, о чем также сдают отчеты. Жюри вправе отклонить или вернуть отчет на доработку, указав в комментариях, что именно нужно исправить. Все отчеты проверяются в порядке очереди. Данные принятых отчетов учитываются в результатах защитников.
Понять, какие отчеты прошли проверку, а какие нуждаются в доработке, можно по статусам отчетов. Для удобства отчеты не только отображаются общим списком, но и разделены по вкладкам в соответствии со своими статусами.

Чем подробнее заполнены поля отчета, тем больше вероятность сдать отчет с первого раза и не тратить время на его доработку. Как можно более точно указывайте дату и время обнаружения инцидента средством защиты, а также прикрепляйте скриншоты для подтверждающие информации.

Чтобы участники тратили меньше времени на заполнение отчетов, предусмотрена возможность сохранять черновики отчетов, а также создавать отчеты на основе существующих: поля нового отчета будут заполнены данными из уже имеющегося.

Если вы лучше воспринимаете видеоконтент, посмотрите ролик, в котором мы показываем разные функции личного кабинета для защитников. При этом в видео нет важной информации о нюансах заполнения отчетов, поэтому обязательно прочитайте разделы ниже.
Статусы отчетов
Черновик
Отчет заполнен частично и пока не готов к отправке на проверку. В отчет можно вносить изменения.
Новый
Отчет сформирован и отправлен на проверку. Проверка отчета еще не началась. Внести изменения в отчет невозможно. Таймер отсчета времени расследования остановлен.
На проверке
Идет проверка отчета членом жюри. Внести изменения в отчет нельзя, но можно оставить комментарий к нему.
На доработке
Требуется доработка отчета. Необходимо ознакомиться с комментариями жюри, внести изменения в отчет и отправить его на повторную проверку — отчет перейдет в статус «Новый». Таймер отсчета времени расследования запущен.
Отклонен
Отчет не принят. Внести изменения в отклоненный отчет не получится, необходимо сформировать новый отчет.

Статус может быть выставлен:
  • жюри, если отчет не прошел проверку;
  • участником команды, чтобы отозвать неверно заполненный отчет;
  • системой автоматически, если команда создала другой отчет о расследовании этого же события.
Не учитывается
Отчет не может быть учтен. Например, в отчете приведены данные о системах, не относящихся к инфраструктуре полигона.
Принят
Отчет принят и учтен в результатах защитников.
Отчет об инциденте
Отчеты об инцидентах могут быть двух видов:
  • Отчеты об обнаружении инцидентов (вкладка Мониторинг). Доступны всем защитникам.
  • Отчеты о предотвращении инцидентов (вкладка Отражение атак). Доступны только защитникам, участвующим в режиме реагирования. Режим защиты определяется до начала киберучений на этапе подачи заявки.
Как создать отчет

Чтобы создать отчет об инциденте:
1. В правом верхнем углу любой страницы нажмите на ваш аватар.
2. В раскрывшемся меню выберите киберучения.
3. Нажмите на блок с названием своей команды.
Блок с названием команд
4. Перейдите на страницу Отчеты об инцидентах.
5. Нажмите кнопку Сдать отчет.
Откроется форма сдачи отчета.
6. Если вы участвуете в режиме реагирования, в верхней части формы выберите вид отчета: Отражение атак — для отчета о предотвращении инцидента; Мониторинг — для отчета об обнаружении инцидента.
Если вы участвуете в режиме мониторинга, переключатель в верхней части формы отчета будет отсутствовать (по умолчанию используется режим мониторинга).
Выбор вида отчета об инциденте
7. Заполните поля отчета.
8. Нажмите кнопку Отправить на проверку или Сохранить, если хотите вернуться к заполнению полей позже. Сохраненные отчеты находятся на вкладке Черновики.
Как заполнить поля отчета
Чтобы заполнить отчет:
1. Введите название и описание отчета. Название отчета должно быть понятным и соответствовать тому, что написано в тексте отчета, а описание — тому, что на самом деле произошло.

Примеры названий отчетов: «Выгрузка информации из Active Directory», «Создание нового пользователя и получение доступа к объекту службы каталогов».
Если вы участвуете в режиме реагирования и использовали PT AF, в названии отчета об инциденте укажите название правила в WAF.
2. Укажите дату и время регистрации инцидента средством защиты.
  • Указывайте местное время, никаких пересчетов делать не нужно. Ваш часовой пояс будет определен автоматически. Это нужно для корректного расчета временных метрик.
  • Если вы участвуете в режиме реагирования, проверьте, что дата и время обнаружения инцидента в средстве защиты предшествуют дате и времени применения первого метода защиты.
3. Введите название средства защиты, которое вы использовали. Например, ISIM, NAD.
Если требуется, вы можете указать больше одного средства защиты (максимум — десять).
4. Для каждого средства защиты укажите, что именно позволило обнаружить атаку.
Для MaxPatrol SIEM — идентификатор инцидента. Например, INC-531.
Дополнительно прикрепите к отчету скриншот карточки инцидента в MaxPatrol SIEM. Для этого перейдите на страницу Все инциденты, откройте карточку нужного инцидента, перейдите на вкладку События и сделайте скриншот.
Карточка инцидента в MaxPatrol SIEM
Для PT ISIM — идентификатор цепочки инцидентов (указан в начале названия цепочки). Например, INC-1.
Карточка цепочки инцидентов в PT ISIM
Для PT Sandbox — хеш-сумму файла. Например, 69630e457ec6798239b091cda43dca0.
Карточка объекта в PT Sandbox
Для PT AF — идентификатор транзакции WAF.
Карточка события безопасности в PT AF
Для PT NAD — IP-адрес и порт источника и цели атаки (src.ip, dst. ip, src. port, dst. port). Найти их можно в строке фильтрации.
Фильтр в PT NAD
5. Выберите тактику и технику атаки по MITRE ATT&CK.
6. Укажите источник и цель атаки, а также учетную запись, использованную для подключения.
Внимательно проверяйте указанные IP-адреса, при ошибке в адресе отчет может быть возвращен на доработку.
7. Введите роль атакованного узла в инфраструктуре. Не указывайте в этом поле FQDN. Из описания должно быть понятно, какие функции выполняет узел в инфраструктуре. Например, «Рабочее устройство пользователя <имя пользователя>», «Сервер баз данных CRM-системы» или «Контроллер, используемый для управления телетрапами в аэропорту».

8. Если участвуете в режиме мониторинга, дайте рекомендации по оперативному реагированию. Опишите своими словами, какие действия нужно предпринимать при обнаружении подобных инцидентов. Старайтесь описывать действия как можно точнее.
Например, «Смена пароля учетной записи пользователя <Имя пользователя> в домене <Имя домена>», «Изоляция хоста <IP-адрес хоста> от интернета».

Если участвуете в режиме отражения атак, выберите метод реагирования. Если требуется, вы можете указать больше одного метода (максимум — десять). Например, «Блокировка соединения с IP-адресом», «Частичная изоляция узла».
Если в режиме отражения атак вы использовали PT AF и в списке методов нет подходящего, выберите метод Завершение процесса, а метод, который использовали, опишите в поле Дополнительная информация.
9. Дайте рекомендации по повышению общего уровня защищенности скомпрометированных систем. Например, «Ограничение запуска приложений пользователем», «Использование EDR-решений», «Настройка политик на межсетевом экране», «Ограничение прав пользователей».

10. Укажите дополнительную информацию об инциденте. Если приводите данные из средств защиты, поясните, что они означают и в чем именно заключался инцидент. Например: «Из анализа цепочки запущенных процессов видно, что хакеры не только смогли закрепиться на узле, но и провели разведку, запустив дополнительные утилиты <перечислите названия утилит>».

Если участвуете в режиме реагирования, в дополнение к указанным в отчете методам реагирования можете дать рекомендации по оперативному реагированию, а если в списке методов реагирования не было подходящего — описать использованный метод реагирования.

11. Прикрепите файлы, загруженные на атакуемый узел, и скриншоты из средств защиты. Скриншоты должны содержать подтверждения сведений, указанных в отчете, например дату и время инцидента, сессии или алерта в средстве защиты, название сработавшего правила или сигнатуры, значения существенных полей (IP-адреса, номера портов, имени учетной записи и др.).

Вы можете сразу отправить отчет на проверку или сохранить его и вернуться к заполнению полей позже. Сохраненные отчеты находятся на вкладке Черновики.
Отчет о расследовании
Сдача отчетов о расследовании доступна, если атакующие реализовали критические события и эти события еще не были расследованы.

Отсчет времени расследования начинается с момента успешной сдачи отчета о критическом событии атакующими и заканчивается, когда жюри принимает отчет о расследовании. Таймер останавливается на время пауз в киберучениях, а также на время проверки отчета жюри и продолжает свой ход, если отчет возвращается на доработку. Метрика время расследования отображается на странице Отчеты о расследовании для каждого критического события и обновляется автоматически.
Как создать отчет
Чтобы создать отчет о расследовании:
1. В правом верхнем углу любой страницы нажмите на ваш аватар.
2. В раскрывшемся меню выберите киберучения.
3. Нажмите на блок с названием своей команды.
Блок с названием команд
4. Перейдите на страницу Отчеты о расследованиях.
Откроется страница Отчеты о расследованиях критических событий со списком реализованных критических событий. Вы можете выбрать реализацию критического события, чтобы перейти на страницу с более подробной информацией об этом событии.
Страница Отчеты о расследованиях критических событий
5. Найдите нужную реализацию критического события.
Если у события есть несколько реализаций, для выбора нужной вы можете ориентироваться на время расследования, указанное для каждого события.
Если вы выбрали не то критическое событие, заполнять новый отчет не потребуется — вы можете создать новый отчет на основе существующего и прикрепить его к нужному критическому событию.
6. Выполните один из шагов:
  • Если вы сдаете отчет о расследовании критического события впервые, нажмите кнопку Сдать отчет в строке критического события.
  • Если вы сдаете отчет о расследовании критического события повторно, в строке события нажмите ✔️, в нижней части раскрывшегося блока нажмите кнопку Создать новый отчет и, если потребуется, подтвердите создание отчета.
Откроется форма для сдачи отчета о расследовании критического события для жюри.
Отчет о расследовании должен содержать описание шагов расследования. Добавлять новые шаги, переключаться между созданными и удалять их можно с помощью кнопок в правом верхнем углу формы.
7. Заполните поля отчета для каждого шага.
8. Нажмите кнопку Отправить на проверку или Сохранить, если хотите вернуться к заполнению полей позже.
Сохраненные отчеты находятся на вкладке Черновики.
Как заполнить поля отчета
Отчет о расследовании описывает шаги атакующих, которые они выполнили, чтобы реализовать критическое событие. Например, как отдельные шаги нужно описывать перехват или получение сессии внутри объекта инфраструктуры, перемещение внутри периметра, получение учетной записи. Во время заполнения отчета вы можете добавлять, удалять шаги и менять их местами.

Внимание! Не пропускайте шаги: каждый следующий шаг должен вытекать из предыдущего. Источник атаки — это цель атаки из предыдущего шага. Финальным шагом должен быть пункт «Реализация критического события».

Заполните поля отчета:
1. Укажите выполненное действие. Выберите подходящее действие из списка, оно и будет названием шага. Пункт «Другое» следует выбирать, только если вы уверены, что действие не подходит ни под один из вариантов. В этом случае нужно добавить описание шага.

С подробным описанием шагов реализации критического события можно ознакомиться в гайде по заполнению отчетов атакующими.

2. Введите время атаки или временной интервал.
По умолчанию устанавливается время создания отчета. Обязательно измените значение на реальное время атаки.

Не указывайте период длиной в день. Точный временной промежуток скажет жюри о том, что вы разобрались во всех подробностях атаки. Жюри затратит меньше времени на поиск записи об инциденте в средстве защиты и проверку отчета, и вы быстрее получите результаты.

3. Введите описание атаки и используемой уязвимости. Например: «С помощью утилиты regsvr32. exe получен дамп памяти процесса lsass. exe на узле dwilkerson.energy.stf» или «Подключившись через бота поддержки к SCRM-системе, атакующие забрали файл scrm_db.sql, который содержит персональные данные». Поясните, почему вы считаете выявленные события нелегитимными.

Необходимо не просто скопировать текст из средств защиты, а подробно проанализировать выявленные действия атакующих и описать суть атаки. Это покажет жюри, что вы сумели верно разобраться в действиях атакующих. Сообщения из средств защиты можно прикрепить к шагу в виде скриншотов.

4. Укажите источник и цель атаки, а также используемый доступ или учетную запись. Учитывайте последовательность шагов: источник атаки — это цель атаки из предыдущего шага.

5. Введите путь к файлу. Например, scrm.energy.stf/database/scrm_db.sql.

6. Приложите скриншоты, подтверждающие действия атакующих. Например, скриншоты из средств защиты. Для последнего шага о реализации критического события скриншоты обязательны, без них отчет будет возвращен на доработку.

Вы можете сразу отправить отчет на проверку или сохранить его и вернуться к заполнению полей позже. Сохраненные отчеты находятся на вкладке Черновики.
Как создать отчет на основе существующего
Чтобы создать отчет на основе существующего:
1. Перейдите на страницу Отчеты о расследованиях.
Вы можете выбрать реализацию критического события, чтобы перейти на страницу с более подробной информацией об этом событии.

2. Найдите отчет, на основе которого вы хотите создать новый.
3. Нажмите ✔️ в строке критического события.
Откроется список отчетов о критическом событии.

4. В строке отчета, на основе которого вы хотите сформировать новый отчет, справа нажмите кнопку Новый отчет на основе этого. Откроется окно выбора критического события.
Создание нового отчета на основе существующего
5. В раскрывающемся списке выберите критическое событие, отчет о расследовании которого необходимо создать.
Если у вас есть отчет о расследовании этого критического события, он будет автоматически отклонен, а существующий черновик удален.
6. Нажмите кнопку Отправить отчет. Откроется форма сдачи отчета о расследовании, заполненная данными выбранного вами отчета.

7. Если требуется, измените значения полей формы и шаги расследования. Вы можете менять последовательность шагов, перетаскивая их за значок в правом верхнем углу формы.

8. Нажмите кнопку Отправить отчет. Отчет будет сформирован и отправлен на проверку жюри. В списке отчетов он отобразится со статусом Новый.
Черновики
Отчеты для жюри до отправки на проверку сохраняются в виде черновиков, которые отображаются на вкладке Черновики и доступны всем участникам команды.
Важно, чтобы участники команды не работали над одним черновиком одновременно, иначе они могут затирать данные друг друга.
Автоматическое сохранение отчета происходит раз в 15 секунд. Сохранять изменения также можно вручную с помощью кнопки Сохранить в форме отчета.

Для каждого критического события может быть только один отчет в статусе Черновик.
Группа отчетов о расследовании одного критического события
Максимальное количество черновиков у одного участника — 20. Если достигнут лимит, для сохранения нового черновика понадобится удалить какой-либо из существующих.
Как сэкономить время на заполнении отчета
Используйте черновики. Данные, которые вы вносите в отчет, автоматически сохраняются в виде черновика. Как выстроить работу — выделить участника для создания отчетов или заполнять их по очереди, — решать вашей команде. Главное — вы можете заполнять отчет частями по мере продвижения расследования — пока все данные и скрины под рукой.

Создавайте отчеты на основе существующих. Поля нового отчета будут заполнены значениями из уже существующего. Это удобно, когда некоторые шаги в отчетах совпадают. Заполните отчет один раз, а потом создавайте новые отчеты на его основе и редактируйте их. Эта же функция пригодится, если вы заполнили отчет, но привязали его не к тому критическому событию.
Что проверить перед отправкой отчета
1. Название отражает суть отчета, описание отвечает на вопрос, почему обнаруженная активность — это действия злоумышленников.

2. Указано реальное время обнаружения инцидента или время атаки, а не значение по умолчанию.

3. Скриншоты информативны. На них показано, что было обнаружено в средствах защиты. Например: подчеркнут никнейм, выделена запись в средстве защиты, на основании которой вы решили, что действует злоумышленник, и т. п.

4. IP-адреса указаны верно. Одна неверная цифра — и жюри может решить, что адрес находится вне скоупа. Придется сдавать новый отчет.

5. Отчет о расследовании привязан к нужному критическому событию.

6. В отчетах о расследовании:
  • В качестве периода атаки указан не целый день, а более точный интервал времени.
  • Источник и цель во всех шагах связаны между собой: источник — это цель предыдущего шага.
  • Последний шаг — реализация критического события.
Дорабатывая отчет, не торопитесь отправить его на повторную проверку. Гораздо важнее учесть все комментарии жюри и разобраться в сути атаки. Такой подробный анализ действий атакующих в киберучениях поможет действовать эффективно и в случае реальных атак.
Если остались вопросы
юбые вопросы о кибербитве вы можете задать в нашем Telegram-канале или отправив письмо по адресу hello@standoff365.com.

По техническим вопросам пишите по адресу support@standoff365.com.