FIR (Fast Incident Response) – это платформа управления инцидентами кибербезопасности, предназначенная для гибкости и скорости их обработки.
Она позволяет легко создавать, отслеживать и сообщать о случаях кибербезопасности.
Управление инцидентами с компьютерной безопасностью включает в себя мониторинг и обнаружение событий безопасности в компьютерной или компьютерной сети и выполнение надлежащих действий на эти события.
Управление инцидентами в области компьютерной безопасности является специализированной формой управления инцидентами, основной целью которого является разработка хорошо понятого и предсказуемого действия на события и компьютерные вторжения.
FIR предназначен для всех, кто хочет отслеживать инциденты в области кибербезопасности (CSIRT, CERT, SOC и т. д.).
Subject: краткое описание вашего инцидента. То, что появится в таблицах событий.
Business Lines: объекты, связанные с этим инцидентом. Вы выбираете то, что происходит бизнес процессах: внутренний отдел, клиенты и т. д.
Category: категория инцидента (например, фишинг, вредоносное ПО). Категории так настраиваются на панели администратора.
Status: может принимать три значения: Открыто, закрыто и заблокировано. Это все метки, определенные в панели администратора
Detection: как был обнаружен инцидент. Значения по умолчанию: CERT, External, Poleand Group. Эти значения могут быть изменены на панели администратора в разделе меток
Severity: Опасность. От 1 до 4
Date / Time : дата и время инцидента
Is an incident : проводится различие между событием и инцидентом
Description: текст свободной формы, описывающий событие
Когда вы имеете дело с управлением инцидентами в кибербезопасности, доступны следующие дополнительные поля.
Эти поля используются только для отображения и статистики:
Actor : кто является лидером этого управления инцидентами? Значения по умолчанию: CERT и Entity
Plan: что используется в плане исправления?
Confidentiality: конфиденциальность от C0 до C3
Чуть позже опишу установка в двух вариантах