ФОРМА ПРЕДСТАВЛЕНИЯ

ДАННЫХ NTF_CA - ФОРМА ПРЕДСТАВЛЕНИЯ УЧАСТНИКАМИ

ИНФОРМАЦИОННОГО ОБМЕНА ДАННЫХ О КОМПЬЮТЕРНЫХ АТАКАХ

Порядковый номер

Категория элемента данных

Описание АСОИ UI

Обязательность полей

Условие обязательности

Правило заполнения

Примечание

1

Тип уведомления

Тип уведомления

О

-

[NTF_CA]

Предзаполненное поле

2

Описание компьютерной атаки

Описание компьютерной атаки

Н

-

Текстовое поле

Текстовое описание компьютерной атаки (в том числе дополнительные сведения о способе реализации КА, способе выявления КА и т.д.).

В случае если компьютерная атака была выявлена с использованием сведений бюллетеня Банка России или НКЦКИ, необходимо указать номер данного бюллетеня

3

Классификация компьютерной атаки

Вектор компьютерной атаки

О

-

[EXT]

[INT]

В соответствии с классификатором компьютерных атак, приведенном в приложении 18

4

Тип компьютерной атаки

О

-

[DoS]

[Exploit attempt]

[Infection attempt]

[Login attempt]

[Phishing]

[Social engineering]

[Scanning]

В соответствии с классификатором компьютерных атак, приведенном в приложении 18

5

Дата

Дата, за которую осуществляется свод данных по компьютерным атакам

О

-

В соответствии с RFC 3339

По московскому времени [UTC + 03:00]

6

Сведения об объектах КИИ, на которые направлены компьютерные атаки

Наименование контролируемого информационного ресурса

УО

Заполняется в случае выявления атак на объект КИИ

Текстовое поле

-

7

Категория контролируемого ресурса

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

8

Страна/регион

В формате ISO-3166-2

-

9

IPv4-адрес атакованного ресурса

Список IP-адресов или файл

Обязательно заполнение одного из полей

10

IPv6-адрес атакованного ресурса

11

Доменное имя атакованного ресурса

Список доменных имен или файл

12

URI-адрес атакованного ресурса

Список URI-адресов или файл

13

e-mail-адрес атакованного объекта

Список e-mail-адресов или файл

14

Атакованная сетевая служба и порт/протокол

Текстовое поле

Заполняется при наличии сведений

15

Сведения об объектах или субъектах вредоносной активности

Набор данных

УО

Состав данных зависит от поля "Тип компьютерной атаки" и приведен на вкладке "Сведения об объектах ВА"

16

Ограничительный маркер TLP

Ограничительный маркер на распространение сведений из данного уведомления

Н

-

[TLP: WHITE]

[TLP: GREEN]

[TLP: AMBER]

[TLP: RED]

Наименование компьютерной атаки

Сведения об объектах или субъектах вредоносной активности

Описание АСОИ UI

Обязательность полей

Условие обязательности

Правило заполнения

Примечание

Компьютерная атака типа "Отказ в обслуживании"

IPv4-адрес вредоносного объекта

УО

Выявлен IPv4-адрес вредоносного объекта

Список IP-адресов или файл

IPv6-адрес вредоносного объекта

Выявлен IPv6-адрес вредоносного объекта

Доменное имя вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен или файл

Количество уникальных (по связке источник атаки + атакуемая система) атак "отказ в обслуживании" за период свода

О

-

Число

-

Попытки эксплуатации уязвимости

IPv4-адрес вредоносного объекта

УО

Выявлен IPv4-адрес вредоносного объекта

Список IP-адресов или файл

IPv6-адрес вредоносного объекта

Выявлен IPv6-адрес вредоносного объекта

Доменное имя вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен или файл

URI-адрес вредоносного объекта

Выявлен URI-адрес вредоносного объекта

Список URI-адресов или файл

e-mail-адрес вредоносного объекта или субъекта

Выявлен e-mail-адрес вредоносного объекта или субъекта

Список e-mail-адресов или файл

Перечень уязвимостей, в отношении которых были попытки эксплуатации

УО

В случае если выявленная уязвимость описана в какой-либо системе описания уязвимостей

Перечень эксплуатируемых уязвимостей безопасности программного или аппаратного обеспечения, из соответствующего каталога (например, CVE, БДУ ФСТЭК и т.д.)

Обязательно заполняется один из блоков

Наименование системы описания уязвимостей

Текстовое поле

Описание уязвимостей

УО

В случае если выявленная уязвимость не описана ни в одной системе описания уязвимостей

Текстовое поле

Количество уникальных (по связке источник атаки + атакуемая система) попыток эксплуатации за период свода

О

-

Число

-

Попытки внедрения модулей ВПО

IPv4-адрес вредоносного объекта

УО

Выявлен IPv4-адрес вредоносного объекта

Список IP-адресов или файл

Указываются все выявленные источники вредоносной активности за период свода

IPv6-адрес вредоносного объекта

Выявлен IPv6-адрес вредоносного объекта

Доменное имя вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен или файл

URI-адрес вредоносного объекта

Выявлен URI-адрес вредоносного объекта

Список URI-адресов или файл

e-mail-адрес вредоносного объекта или субъекта

Выявлен e-mail-адрес вредоносного объекта или субъекта

Список e-mail-адресов или файл

Файл ВПО

УО

Обязательно заполняется одно из полей

Файл

Заполняется как минимум для одного образца ВПО.

URL для скачивания

Текстовое поле

Хеш-сумма

Н

-

Текстовое поле

Алгоритм хеширования

-

[SHA256] [SHA1]

[MD5]

Количество выявленных попыток внедрения ВПО за период свода

О

-

Число

-

Неуспешные попытки авторизации

IPv4-адрес вредоносного объекта

УО

Выявлен IPv4-адрес вредоносного объекта

Список IP-адресов или файл

IPv6-адрес вредоносного объекта

Выявлен IPv6-адрес вредоносного объекта

Доменное имя вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен или файл

URI-адрес вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен или файл

Количество уникальных (по связке источник вредоносной активности + учетная запись) неуспешных попыток авторизации за период свода

О

-

Число

-

Выявление фишинговой рассылки или ресурса

IPv4-адрес вредоносного объекта

УО

Выявлен IPv4-адрес вредоносного объекта

Список IP-адресов или файл

IPv6-адрес вредоносного объекта

Выявлен IPv6-адрес вредоносного объекта

Доменное имя вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен или файл

URI-адрес вредоносного объекта

Выявлен URI-адрес вредоносного объекта

Список URI-адресов или файл

e-mail-адрес вредоносного объекта или субъекта

Выявлен e-mail-адрес вредоносного объекта или субъекта

Список e-mail-адресов или файл

Дополнительная информация о технике реализации атак

Н

-

Текстовое поле

-

Попытки социальной инженерии

IPv4-адрес вредоносного объекта

УО

Выявлен IPv4-адрес вредоносного объекта

Список IP-адресов или файл

IPv6-адрес вредоносного объекта

Выявлен IPv6-адрес вредоносного объекта

Доменное имя вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен или файл

URI-адрес вредоносного объекта

Выявлен URI-адрес вредоносного объекта

Список URI-адресов или файл

e-mail-адрес вредоносного объекта или субъекта

Выявлен e-mail-адрес вредоносного объекта

Список e-mail-адресов или файл

Номер мобильного телефона вредоносного субъекта

Выявлен номер мобильного телефона вредоносного субъекта

Список номеров мобильных телефонов или файл

Дополнительная информация о технике реализации атак с использованием социальной инженерии

Н

-

Текстовое поле

-

Сетевое сканирование контролируемого ресурса

IPv4-адрес вредоносного объекта

УО

Выявлен IPv4-адрес вредоносного объекта

Список IP-адресов или файл

IPv6-адрес вредоносного объекта

Выявлен IPv6-адрес вредоносного объекта

Доменное имя вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен или файл

URI-адрес вредоносного объекта

Выявлен URI-адрес вредоносного объекта

Список URI-адресов или файл

Количество уникальных (по связке источник сканирования + сканируемая система) событий сканирования за период свода

О

-

Число

-