7.17. Для событий ИБ, связанных с осуществлением информационного взаимодействия на всех уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91, аналитику может быть рекомендовано рассмотрение следующей информации:
протоколы (журналы) регистрации телекоммуникационного оборудования, средств межсетевого экранирования, средств обнаружения и предотвращения атак и данные сетевого трафика:
- информация аппаратного (физического) и канального уровней по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- МАС-адреса сетевых карт источника и получателя данных;
- данные о протоколе канального уровня (EtherType value);
- информация об изменениях состояния сетевого интерфейса на аппаратном (физическом) и канальном уровне, в том числе подключение к вычислительной сети, изменение параметров, отключение от вычислительной сети, физическое отсоединение от сети;
- информация сетевого уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- IP-адреса источника и получателя данных;
- дата, время и результаты обработки сетевых пакетов;
- идентификатор и информация о протоколе сетевого и транспортного уровня (IP protocol number, например, ТСР, UDP, ICMP);
- базовая информация используемого протокола (например, номер порта TCP или UDP, ICMP-тип и код);
- информация о результатах выполнения операций адресации и маршрутизации (status information) и возникающих при этом ошибках (error information);
- информация об адресах, портах и результатах выполнения NAT-преобразований;
- информация о результатах установления и отклонения PROXY-соединений;
- информация о назначении IP-адресов DHCP и DNS-сервисов, в том числе дата и время обработки назначения (высвобождения) IP-адреса, MAC-адреса средств вычислительной техники, результаты назначения IP-адреса, информация о соответствии MAC-адресов и IP-адресов;
- информация VPN-шлюзов об установлении взаимодействия на сетевом уровне, в том числе IP-адреса источника и получателя данных, дата и время обработки сетевых пакетов;
- информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
- информация о результатах применения правил фильтрации информационных потоков;
- информация транспортного уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- информация об установке и окончании соединений по протоколам TCP, UDP, ICMP;
- информация о номерах сетевых портов (ports) источника и получателя данных протоколов ТСР и UDP, которые потенциально могут указывать на программное обеспечение, используемое для обмена данными;
- информация о состоянии интерфейсов транспортного уровня взаимодействия (сокетов), в том числе создание сокета, переход в режим ожидания соединения, отправка и прием запроса на соединение, завершение соединения, удаление сокета;
- информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
- информация о результатах применения правил фильтрации информационных потоков;
- информация сеансового и прикладного уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- данные, передаваемые по протоколу NetFlow;
- информация об установке и окончании сессии взаимодействия на сеансовом уровне;
- идентификатор и информация о протоколе прикладного уровня;
- информация об использованных идентификаторах субъектов доступа;
- информация о выполняемых операциях и командах, результатах их выполнения;
- информация о возможных реализациях вторжений (атак), в том числе информация о типе реализуемой атаки (например, атака типа “переполнение буфера”, SQL-инъекция), об использованной уязвимости, результативности реализации атаки;
- информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
- информация о результатах применения правил фильтрации информационных потоков;
- информация о создании, изменении, удалении доверительных отношений между доменами;
протоколы (журналы) регистрации и данные почтовых серверов, средств контентной фильтрации электронной почты:
- информация “заголовков” почтовых сообщений:
- информация о почтовых адресах отправителя и получателя почтового сообщения;
- информация о дате и времени отправления почтовых сообщений;
- информация о “теме” почтового сообщения;
- информация об идентификационных номерах почтовых сообщений (message ID);
- информация о типе почтового клиента, использованного для формирования почтового клиента;
- информация о “степени важности” почтового сообщения;
- информация о маршрутизации почтового сообщения (перечень транзитных почтовых серверов прохождения почтового сообщения, дата и время приема почтового сообщения указанными почтовыми серверами);
- информация “тела” почтового сообщения:
- содержание почтового сообщения;
- информация о типе содержимого почтового сообщения (например, простой текст, наличие графики, наличие прикрепленных файлов);
- информация о наличии прикрепленных файлов и содержание прикрепленных файлов;
- информация о наличии и содержании гиперссылок.
протоколы (журналы) регистрации и данные почтовых серверов, средств контентной фильтрации электронной почты:
- информация “заголовков” почтовых сообщений:
- информация о почтовых адресах отправителя и получателя почтового сообщения;
- информация о дате и времени отправления почтовых сообщений;
- информация о “теме” почтового сообщения;
- информация об идентификационных номерах почтовых сообщений (message ID);
- информация о типе почтового клиента, использованного для формирования почтового клиента;
- информация о “степени важности” почтового сообщения;
- информация о маршрутизации почтового сообщения (перечень транзитных почтовых серверов прохождения почтового сообщения, дата и время приема почтового сообщения указанными почтовыми серверами);
- информация “тела” почтового сообщения:
- содержание почтового сообщения;
- информация о типе содержимого почтового сообщения (например, простой текст, наличие графики, наличие прикрепленных файлов);
- информация о наличии прикрепленных файлов и содержание прикрепленных файлов; • информация о наличии и содержании гиперссылок.
