Từ khoá: Số Hiệu, Tiêu đề hoặc Nội dung ngắn gọn của Văn Bản...

Đăng nhập

Đang tải văn bản...

Quyết định 1907/QĐ-BTTTT 2021 Yêu cầu kỹ thuật cơ bản sản phẩm Điều phối thông tin

Số hiệu: 1907/QD-BTTTT Loại văn bản: Quyết định
Nơi ban hành: Bộ Thông tin và Truyền thông Người ký: Nguyễn Huy Dũng
Ngày ban hành: 02/12/2021 Ngày hiệu lực: Đã biết
Ngày công báo: Đang cập nhật Số công báo: Đang cập nhật
Tình trạng: Đã biết

BỘ THÔNG TIN VÀ
TRUYỀN THÔNG
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 1907/QĐ-BTTTT

Hà Nội, ngày 02 tháng 12 năm 2021

 

QUYẾT ĐỊNH

BAN HÀNH YÊU CẦU KỸ THUẬT CƠ BẢN ĐỐI VỚI SẢN PHẨM ĐIỀU PHỐI, TỰ ĐỘNG HÓA VÀ PHẢN ỨNG AN TOÀN THÔNG TIN

BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Theo đề nghị của Cục trưởng Cục An toàn thông tin.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Danh mục Yêu cầu kỹ thuật cơ bản đối với sản phẩm Điều phối, tự động hóa và phản ứng an toàn thông tin (SOAR - Security Orchestration, Automation and Response).

Điều 2. Khuyến nghị cơ quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm SOAR đáp ứng các yêu cầu kỹ thuật cơ bản theo Điều 1 Quyết định này.

Điều 3. Cục An toàn thông tin chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn, kiểm tra, đánh giá việc áp dụng các yêu cầu trong Danh mục Yêu cầu kỹ thuật cơ bản đối với sản phẩm SOAR tại Điều 1 Quyết định này.

Điều 4. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 5. Chánh Văn phòng, Cục trưởng Cục An toàn thông tin, Thủ trưởng các đơn vị thuộc Bộ, các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

 


Nơi nhận:
- Như Điều 5;
- Bộ trưởng (để b/c);
- Các Thứ trưởng;
- Cổng thông tin điện tử của Bộ;
- Lưu: VT, CATTT.

KT. BỘ TRƯỞNG
THỨ TRƯỞNG




Nguyễn Huy Dũng

 

YÊU CẦU KỸ THUẬT CƠ BẢN

ĐỐI VỚI SẢN PHẨM ĐIỀU PHỐI, TỰ ĐỘNG HÓA VÀ PHẢN ỨNG AN TOÀN THÔNG TIN
(Ban hành kèm theo Quyết định số 1907/QĐ-BTTTT ngày 02 tháng 12 năm 2021 của Bộ trưởng Bộ Thông tin và Truyền thông)

I. THÔNG TIN CHUNG

1. Phạm vi áp dụng

Tài liệu này mô tả các yêu cầu kỹ thuật cơ bản để kiểm tra, đánh giá sản phẩm Điều phối, tự động hóa và phản ứng an toàn thông tin (SOAR - Security Orchestration, Automation and Response), bao gồm các nhóm yêu cầu: Yêu cầu về tài liệu, Yêu cầu về quản trị hệ thống, Yêu cầu về kiểm soát lỗi, Yêu cầu về log, Yêu cầu về hiệu năng xử lý, Yêu cầu về chức năng điều phối xử lý và giám sát, Yêu cầu về chức năng tích hợp và tự động hóa.

2. Đối tượng áp dụng

Các cơ quan, tổ chức có liên quan đến hoạt động nghiên cứu, phát triển; đánh giá, lựa chọn sản phẩm SOAR khi đưa vào sử dụng trong các hệ thống thông tin.

3. Khái niệm và thuật ngữ

Trong tài liệu này các khái niệm và thuật ngữ được hiểu như sau:

3.1. Thời gian duy trì phiên kết nối (session timeout)

Khoảng thời gian được thiết lập để cho phép hệ thống hủy phiên kết nối đối với một máy khách, nếu trong khoảng thời gian này mà hệ thống không nhận được yêu cầu mới từ máy khách đó.

3.2. Nền tảng tích hợp (integrated platform)

Sản phẩm phần mềm, hệ thống an toàn thông tin, công nghệ thông tin được kết nối và tương tác thông qua thành phần tích hợp của SOAR.

3.3. Thành phần tích hợp (integration module)

Thành phần được thiết kế, phát triển trên SOAR cho phép kết nối và tương tác với các nền tảng tích hợp.

3.4. Nhật ký hệ thống (log)

Sự kiện an toàn thông tin được hệ thống ghi lại, liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công và các thông tin khác liên quan đến hoạt động của hệ thống (nếu có).

3.5. Cảnh báo (alert)

Sự kiện an toàn thông tin được thu thập từ các nền tảng tích hợp.

3.6. Tình huống (case)

Tập các quy tắc được định nghĩa bởi người dùng, cho phép thiết lập các nhóm cảnh báo theo một tình huống (nghi ngờ sự cố tấn công mạng) cụ thể cần xử lý.

3.7. Mở/Đóng tình huống (open/close case)

Thiết lập trạng thái tình huống cho phép/không cho phép người dùng thực hiện xử lý các cảnh báo của tình huống đó.

3.8. Kịch bản (playbook)

Tập các hành động được định nghĩa bởi người dùng, cho phép SOAR tự động thực hiện xử lý cảnh báo và/hoặc tình huống.

II. YÊU CẦU CƠ BẢN

1. Yêu cầu về tài liệu

SOAR có tài liệu bao gồm các nội dung sau:

a) Hướng dẫn triển khai và thiết lập cấu hình;

b) Hướng dẫn sử dụng và quản trị.

2. Yêu cầu về quản trị hệ thống

2.1. Quản lý vận hành

SOAR cho phép quản lý vận hành đáp ứng các yêu cầu sau:

a) Cho phép thiết lập, thay đổi, áp dụng và hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình thu thập cảnh báo, cấu hình kịch bản, cấu hình thành phần tích hợp;

b) Cho phép thay đổi thời gian hệ thống;

c) Cho phép thay đổi thời gian duy trì phiên kết nối;

d) Cho phép thiết lập, thay đổi các tham số giới hạn đối với kết nối quản trị từ xa (ví dụ: giới hạn địa chỉ IP, giới hạn số phiên kết nối quản trị từ xa đồng thời,…);

đ) Cho phép đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực;

e) Cho phép tìm kiếm dữ liệu log bằng từ khóa để xem lại;

g) Cho phép xóa log;

h) Cho phép xem thời gian hệ thống chạy tính từ lần khởi động gần nhất.

2.2. Quản trị từ xa

SOAR cho phép quản trị từ xa an toàn đáp ứng các yêu cầu sau:

a) Sử dụng giao thức có mã hóa như TLS hoặc tương đương;

b) Tự động đăng xuất tài khoản và hủy bỏ phiên kết nối quản trị từ xa khi hết thời gian duy trì phiên kết nối.

2.3. Quản lý xác thực và phân quyền

SOAR cho phép quản lý cấu hình tài khoản xác thực và phân quyền người dùng đáp ứng các yêu cầu sau:

a) Hỗ trợ phương thức xác thực bằng tài khoản - mật khẩu;

b) Hỗ trợ phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.

2.4. Quản lý báo cáo

SOAR cho phép quản lý báo cáo thông qua giao diện đồ họa đáp ứng các yêu cầu sau:

a) Cho phép tạo mới, xem lại và xóa báo cáo đã được tạo;

b) Cho phép tạo báo cáo mới theo các mẫu báo cáo đã được định nghĩa trước;

c) Cho phép áp dụng các quy tắc tìm kiếm cảnh báo, sự kiện để thêm, lọc, tinh chỉnh nội dung cho báo cáo;

d) Cho phép lựa chọn định dạng tệp tin báo cáo xuất ra đáp ứng tối thiểu 02 trong các định dạng sau: WORD, EXCEL, PDF, HTML, XML;

đ) Cho phép tải về tệp tin báo cáo đã được xuất ra;

e) Cho phép đặt lịch gửi báo cáo định kỳ tới email được cấu hình;

g) Cho phép tạo báo cáo hiệu năng hoạt động của SOAR thông qua tối thiểu 02 thông số sau: thời gian trung bình để xác nhận một sự cố an toàn thông tin, thời gian trung bình để xử lý một sự cố an toàn thông tin kể từ lúc xác nhận;

h) Cho phép tạo báo cáo hiệu quả công việc của từng người tham gia xử lý cảnh báo thông qua tối thiểu 02 thông số sau: số lượng cảnh báo được xử lý trên mỗi người, số lượng cảnh báo được xử lý đúng hạn trên mỗi người.

3. Yêu cầu về kiểm soát lỗi

3.1. Bảo vệ cấu hình

Trong trường hợp SOAR phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), SOAR đảm bảo các loại cấu hình sau mà đang được áp dụng phải được lưu lại và không bị thay đổi trong lần khởi động kế tiếp:

a) Cấu hình hệ thống;

b) Cấu hình quản trị từ xa;

c) Cấu hình tài khoản xác thực và phân quyền người dùng;

d) Cấu hình thu thập cảnh báo;

đ) Cấu hình kịch bản;

e) Cấu hình thành phần tích hợp.

3.2. Bảo vệ dữ liệu log, cảnh báo, tình huống và bằng chứng

Trong trường hợp SOAR phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), SOAR đảm bảo dữ liệu log, cảnh báo, tình huống và bằng chứng đã được lưu lại phải không bị thay đổi trong lần khởi động kế tiếp.

3.3. Đồng bộ thời gian hệ thống

Trong trường hợp SOAR phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), SOAR đảm bảo thời gian hệ thống phải được đồng bộ tự động đến thời điểm hiện tại.

4. Yêu cầu về log

4.1. Log quản trị hệ thống

a) SOAR cho phép ghi log quản trị hệ thống về các loại sự kiện sau:

i) Đăng nhập, đăng xuất tài khoản;

ii) Xác thực trước khi cho phép truy cập vào tài nguyên, sử dụng chức năng của hệ thống;

iii) Áp dụng, hoàn tác sự thay đổi trong cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình thu thập cảnh báo, cấu hình kịch bản;

iv) Kích hoạt lệnh khởi động lại, tắt hệ thống;

v) Thay đổi thủ công thời gian hệ thống;

b) SOAR cho phép ghi log quản trị hệ thống bao gồm các trường thông tin sau:

i) Thời gian sinh log (bao gồm năm, tháng, ngày, giờ, phút và giây);

ii) Địa chỉ IP hoặc định danh của máy trạm;

iii) Định danh của tác nhân (ví dụ: tài khoản người dùng, tên hệ thống,…);

iv) Thông tin về hành vi thực hiện (ví dụ: đăng nhập, đăng xuất, thêm, sửa, xóa, cập nhật, hoàn tác,…);

v) Kết quả thực hiện hành vi (thành công hoặc thất bại);

vi) Lý do giải trình đối với hành vi thất bại (ví dụ: không tìm thấy tài nguyên, không đủ quyền truy cập,…).

4.2. Định dạng log

SOAR cho phép chuẩn hóa log theo tối thiểu 01 định dạng đã được định nghĩa trước để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.

4.3. Quản lý log

SOAR cho phép quản lý log đáp ứng các yêu cầu sau:

a) Cho phép thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log (ví dụ: ngưỡng giới hạn dung lượng lưu trữ, khoảng thời gian lưu trữ,…).

b) Cho phép tìm kiếm log theo từ khóa trên tất cả các trường thông tin bao gồm cả các trường thông tin cấp thấp hơn (nếu có);

c) Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.

5. Yêu cầu về hiệu năng xử lý

SOAR được triển khai thỏa mãn cấu hình tối thiểu theo hướng dẫn cài đặt và thiết lập cấu hình của nhà sản xuất phải đảm bảo đáp ứng các yêu cầu sau:

5.1. Độ trễ thời gian phản hồi các yêu cầu truy vấn dữ liệu

SOAR đảm bảo rằng độ trễ thời gian tìm kiếm log, cảnh báo và tình huống với độ phức tạp bất kỳ, có phản hồi trong khoảng thời gian tối đa là 01 phút.

5.2. Thu thập đồng thời nhiều cảnh báo

SOAR cho phép thu thập, xử lý và lưu trữ dữ liệu đồng thời 100 cảnh báo trong khoảng thời gian là 01 phút.

6. Yêu cầu về chức năng điều phối xử lý và giám sát

6.1. Điều phối xử lý cảnh báo

SOAR cho phép điều phối xử lý cảnh báo đáp ứng các yêu cầu sau:

a) Cho phép thiết lập cấu hình thu thập cảnh báo từ các giải pháp an toàn thông tin, công nghệ thông tin khác (ban đầu các cảnh báo được gán trạng thái là mới);

b) Cho phép tìm kiếm cảnh báo theo từ khóa trên tất cả các trường thông tin của cảnh báo bao gồm cả các trường thông tin cấp thấp hơn (nếu có);

c) Cho phép lưu trữ và phân nhóm cảnh báo theo các tiêu chí khác nhau (ví dụ: mức độ quan trọng của cảnh báo, nguồn gửi cảnh báo,…);

d) Cho phép thực hiện xử lý cảnh báo, trong đó bao gồm tối thiểu các thao tác xử lý sau: cập nhật trạng thái xử lý, cập nhật bằng chứng thu thập được, cập nhật kết quả xử lý;

đ) Cho phép cập nhật trạng thái xử lý cảnh báo, trong đó bao gồm tối thiểu các giá trị trạng thái xử lý sau: mới, đang xử lý, đã xử lý;

e) Cho phép cập nhật kết quả xử lý cảnh báo, trong đó bao gồm tối thiểu các giá trị kết quả xử lý sau: cảnh báo thật, cảnh báo giả;

g) Cho phép cập nhật bằng chứng thu thập được, trong đó bao gồm tối thiểu các thao tác sau: tải lên tệp tin bằng chứng, nhập nội dung text;

h) Cho phép xem lại lịch sử xử lý cảnh báo, trong đó bao gồm tối thiểu các trường thông tin sau: thời điểm thực hiện, người thực hiện, nội dung thực hiện;

i) Cho phép thiết lập thời hạn xử lý cảnh báo;

k) Cho phép xác định thời gian xử lý cảnh báo có bị quá hạn hay không;

l) Cho phép áp dụng thực hiện một kịch bản với cảnh báo.

6.2. Điều phối xử lý tình huống

SOAR cho phép điều phối xử lý tình huống đáp ứng các yêu cầu sau:

a) Cho phép tạo một tình huống bằng việc nhóm một hoặc nhiều cảnh báo thành tình huống đó (ban đầu các tình huống được gán trạng thái là mở);

b) Cho phép tìm kiếm tình huống theo từ khóa trên tất cả các trường thông tin của tình huống bao gồm cả các trường thông tin cấp thấp hơn (nếu có);

c) Cho phép lưu trữ và phân nhóm tình huống theo các tiêu chí khác nhau (ví dụ: mức độ quan trọng của tình huống, nguồn tạo tình huống,…);

d) Cho phép thực hiện xử lý tình huống, trong đó bao gồm tối thiểu các thao tác xử lý sau: cập nhật trạng thái xử lý, cập nhật kết quả xử lý;

đ) Cho phép cập nhật trạng thái xử lý tình huống, trong đó bao gồm tối thiểu các giá trị trạng thái xử lý sau: mở, đóng;

e) Cho phép cập nhật kết quả xử lý tình huống, trong đó bao gồm tối thiểu các giá trị kết quả xử lý sau: phát hiện đúng, phát hiện sai;

g) Cho phép xem lại lịch sử xử lý tình huống, trong đó bao gồm tối thiểu các trường thông tin sau: thời điểm thực hiện, người thực hiện, nội dung thực hiện;

h) Cho phép thiết lập thời hạn xử lý tình huống;

i) Cho phép xác định thời gian xử lý tình huống có bị quá hạn hay không;

k) Cho phép áp dụng thực hiện một kịch bản với tình huống;

l) Cho phép gán một hoặc nhiều người xử lý cho tình huống.

6.3. Giám sát và phân tích sự cố an toàn thông tin

SOAR cho phép giám sát và phân tích sự cố an toàn thông tin thông qua giao diện đồ họa đáp ứng các yêu cầu sau:

a) Cho phép hiển thị thông tin trực quan thể hiện mối liên kết giữa các đối tượng liên quan trong sự cố bằng đường đi và kèm thông tin của liên kết (nếu có), trong đó bao gồm tối thiểu các đối tượng sau: địa chỉ IP, địa chỉ email, tên miền;

b) Cho phép xem dòng thời gian của các sự kiện trong sự cố, trong đó bao gồm tối thiểu các trường thông tin sau: thời điểm xuất hiện, nội dung, các đối tượng có liên quan (nếu có), các bằng chứng thu thập được (nếu có);

7. Yêu cầu về chức năng tích hợp và tự động hóa

7.1. Quản lý thành phần tích hợp

SOAR cho phép quản lý cấu hình thành phần tích hợp thông qua giao diện đồ họa đáp ứng các yêu cầu sau:

a) Cho phép tạo mới, xem lại, cập nhật và xóa thành phần tích hợp đã được tạo;

b) Cho phép phát triển thành phần tích hợp thông qua tối thiểu 01 ngôn ngữ lập trình dạng thông dịch (ví dụ: Python, Javascript,…).

7.2. Hỗ trợ tích hợp nhiều nền tảng khác nhau

SOAR cho phép kết nối và tương tác với các nền tảng khác nhau, trong đó tối thiểu bao gồm:

a) Security Information and Event Management (SIEM) - Quản lý và phân tích sự kiện an toàn thông tin;

b) Threat Intelligence Platform (TIP) - Nền tảng tri thức mối đe dọa an toàn thông tin;

c) Endpoint Security - Đảm bảo an toàn thông tin cho thiết bị đầu cuối (ví dụ: Endpoint Detection and Response (EDR) - Phát hiện và ứng phó các mối đe dọa an toàn thông tin tại thiết bị đầu cuối; Endpoint Protection Platform (EPP) - Nền tảng bảo vệ thiết bị đầu cuối;…);

d) Network Security - Đảm bảo an toàn thông tin mạng (ví dụ: Network-based Intrusion Prevention System (NIPS) - Phòng, chống xâm nhập lớp mạng; Web Application Firewall (WAF) - Tường lửa ứng dụng web;…);

đ) Malware Analysis - Phân tích mã độc;

e) Ticketing System - Quản lý các yêu cầu cần giải quyết;

g) Identity and Access Management (IAM) - Quản lý định danh và truy cập.

7.3. Hỗ trợ tích hợp nhiều API

SOAR cho phép thiết lập cấu hình một hoặc nhiều API trên các thành phần tích hợp để ứng dụng nhiều nhất có thể các chức năng, tính năng mà nền tảng tích hợp cung cấp.

7.4. Hỗ trợ tích hợp API theo hai chiều

SOAR cho phép thiết lập cấu hình API trên các thành phần tích hợp để tương tác hai chiều với các nền tảng tích hợp:

a) Cho phép truy vấn dữ liệu từ nền tảng tích hợp để làm giàu thông tin cho các dữ liệu được xử lý và lưu trữ trên SOAR;

b) Cho phép thực thi lệnh tác động đến nền tảng tích hợp để thực hiện việc ứng phó sự kiện, cố an toàn thông tin.

7.5. Quản lý kịch bản

SOAR cho phép quản lý cấu hình kịch bản thông qua giao diện đồ họa đáp ứng các yêu cầu sau:

a) Cho phép tạo mới, xem lại, cập nhật và xóa kịch bản đã được tạo;

b) Cho phép xây dựng kịch bản với tối thiểu các thành phần sau: khối thực thi, đường đi giữa các khối, điều kiện rẽ nhánh;

c) Cho phép xây dựng kịch bản thông qua tối thiểu các thao tác sau để tương tác với loại thành phần trên: tạo mới, xem lại, cập nhật, xóa;

d) Cho phép xuất một kịch bản ra tệp tin và tải về tệp tin đã xuất;

đ) Cho phép tải lên tệp tin chứa một kịch bản và nhập kịch bản từ tệp tin đó;

e) Cho phép đưa một kịch bản đã được xây dựng trước đó vào một kịch bản.

7.6. Hỗ trợ thực hiện kịch bản tự động

SOAR cho phép thực hiện kịch bản tự động đáp ứng các yêu cầu sau:

a) Cho phép cấu hình kịch bản dựa theo các điều kiện, quy tắc tìm kiếm cảnh báo, tình huống để thực hiện tất cả các bước trong kịch bản mà không cần con người tương tác;

b) Cho phép thiết lập thời hạn thực hiện kịch bản;

c) Cho phép xác định thời gian thực hiện kịch bản có bị quá hạn hay không;

d) Cho phép xem lại lịch sử thực hiện của từng bước trong kịch bản, trong đó bao gồm tối thiểu các trường thông tin sau: tập dữ liệu đầu vào, tập dữ liệu đầu ra, thời điểm bắt đầu thực hiện, thời điểm kết thúc thực hiện, trạng thái thực hiện (thành công hoặc thất bại).

7.7. Hỗ trợ thực hiện kịch bản bán tự động

SOAR cho phép thực hiện kịch bản bán tự động đáp ứng các yêu cầu sau:

a) Cho phép thực hiện kịch bản dựa vào dữ liệu người dùng đưa vào, thông qua một hoặc một số các thao tác sau: nhập giá trị (số hoặc chuỗi ký tự), chọn một hoặc một số trong các giá trị có sẵn, tải lên tệp tin, thiết lập thời điểm bắt đầu tự động thực hiện, thiết lập thời hạn thực hiện;

b) Cho phép thiết lập thời hạn thực hiện kịch bản;

c) Cho phép xác định thời gian thực hiện kịch bản và từng bước trong kịch bản có bị quá hạn hay không;

d) Cho phép xem lại lịch sử thực hiện của từng bước trong kịch bản, trong đó bao gồm tối thiểu các trường thông tin sau: tập dữ liệu đầu vào, tập dữ liệu đầu ra, thời điểm bắt đầu thực hiện, thời điểm kết thúc thực hiện, trạng thái thực hiện (thành công hoặc thất bại), tài khoản người dùng có tương tác;

đ) Cho phép sử dụng kết quả thực hiện của bước trước đó làm dữ liệu đầu vào cho bước tiếp theo trong kịch bản;

e) Cho phép gán một hoặc nhiều người tương tác cho những bước trong kịch bản cần con người tương tác.

VIETNAM’S MINISTRY OF INFORMATION AND COMMUNICATIONS
-------

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

No. 1907/QD-BTTTT

Hanoi, December 2, 2021

 

DECISION

ISSUING BASIC TECHNICAL REQUIREMENTS OF SECURITY ORCHESTRATION, AUTOMATION AND RESPONSE

MINISTER OF INFORMATION AND COMMUNICATIONS

Pursuant to the Law on Cybersecurity dated November 19, 2015;

Pursuant to the Government's Decree No. 17/2017/ND-CP dated February 17, 2017, defining the functions, tasks, powers and organizational structure of the Ministry of Information and Communications;

Upon the request of the Director of the Authority of Information Security.

HEREIN DECIDES

Article 1. Schedule of basic technical requirements of security orchestration, automation and response (SOAR) is enclosed herewith.

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



Article 3. The Authority of Information Security shall take charge of or cooperate with relevant authorities and organizations in providing instructions for, inspecting and assessing the application of the requirements set out according to the Schedule mentioned in Article 1 herein.

Article 4. This Decision is entering into force as of the signature date.

Article 5. The Chief of the Ministry's Office, the Director of the Authority of Information Security, Heads of subordinate units of the Ministry, other involved organizations and individuals shall be responsible for implementing this Decision./.

 

 

PP. MINISTER
DEPUTY MINISTER




Nguyen Huy Dung

 

BASIC TECHNICAL REQUIREMENTS OF SECURITY ORCHESTRATION, AUTOMATION AND RESPONSE

(Issued as an appendix to the Decision No. 1907/QD-BTTTT dated December 2, 2021 of the Minister of Information and Communications)

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



1. Scope of application

This document describes basic technical requirements of security orchestration, automation and response (SOAR) which are classified into the following sets: Documentation; system management; error control; log; operations efficiency; operations orchestration and supervision; operations integration and automation.

2. Subjects of regulation

Bodies and entities related to research and development; assessment and selection of SOAR products before putting them to use in information systems.

3. Definitions and terminologies

In this document, terms shall be construed as follows:

3.1. Session timeout

refers to a duration set to allow a system to cancel a session of connection to a client if the system does not receive any new request from that client.

3.2. Integrated platform

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



3.3. Integration module

refers to a module designed and developed on SOAR to allow connection and interaction with integrated platforms.

3.4. Log

3.5. Alert

refers to a cybersecurity event collected from integrated platforms.

3.6. Case

refers to a set of rules defined by consumers that enables alert groups to be formed by a particular case (suspected cyber attack) against which an action needs to be taken.

Open/close case

refers to the case where a user is allowed/disallowed to take action against any alert arising from that case.

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



refers to a collection of actions defined by users that allows SOAR to automatically handle any alert and/or case.

II. BASIC REQUIREMENTS

1. Documentation requirements

SOAR contains the following documents:

a) Instruction manual for system configuration launch and setup;

b) Instruction manual for use and management.

2. System management requirements

2.1. System operations management

SOAR authorizes management of operations of the system in conformity with the following requirements:

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



b) Allow changes in system time;

c) Allow changes in session timeout;

d) Allows setup and change of limit parameters for remote control connections (for example, limits on IP addresses, limits on the number of concurrent remote control connection sessions,...);

dd) Allow sign out of user accounts with active sessions;

e) Allow search for log data by using keywords for retrieval purposes;

g) Allow deletion of logs;

h) Allow checks on how long the system has run since the last boot.

2.2. Remote control

SOAR authorizes safe remote control in conformity with the following requirements:

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



b) Automatically sign out of the account and abort the remote control connection session after session timeout.

2.3. Authentication and authorization management

SOAR authorizes management of configuration of user authentication and authorization accounts in conformity with the following requirements:

a) Support username and password-based authentication method;

b) Support grouping of accounts into 02 groups, such as administrator and users, with particular rights granted to each group.

2.4. Report management

SOAR authorizes management of reports via graphical interfaces in conformity with the following requirements:

a) Allow creation, review and deletion of reports that have already been created;

b) Allow creation of new reports by using sample reports defined in advance;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



d) Allow options to use formats of exported report files that must be at least 02 of the following formats: WORD, EXCEL, PDF, HTML, XML;

dd) Allow downloading of exported report files;

e) Allow scheduling of submission of periodic reports to configured emails;

g) Allow creation of SOAR performance reports through at least 02 following parameters: average time to confirm an information security incident, average time to handle an information security incident since confirmation;

h) Allow creation of performance reports for each participant in response to alerts through at least 02 following parameters: the number of alerts handled per person; number of alerts handled on time per person.

3. Error control requirements

3.1. Configuration protection

In the event that SOAR has to be restarted due to any error (except hardware error), SOAR must ensure that the following configurations in use are saved and not subject to any change on the next boot:

a) System configuration;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



c) User authentication and authorization account configuration;

d) Alert collection configuration;

dd) Playbook configuration;

e) Integration module configuration.

3.2. Log, alert, case and evidence data security

In the event that SOAR has to be restarted due to any error (except hardware error), SOAR ensures that log, alert, case and evidence data that are saved are not subject to any change on the next boot.

3.3. System time synchronization

In the event that SOAR has to be restarted due to any error (except hardware error), SOAR must ensure that the system time is automatically synchronized to the current time.

4. Log requirements

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



a) SOAR allows logging of the following types of events as a system administrator:

i) Account login, logout;

ii) Authentication before granting permissions to access resources and use system functions;

iii) Applying and undoing changes in system configuration, remote control configuration, authentication account configuration and user authorization, alert collection configuration, playbook configuration;

iv) Activating system reboot or shutdown commands;

v) Manually changing system time;

b) SOAR allows logging of the following types of events as a system administrator, including the following data fields:

i) Log creation time (including year, month, day, hour, minute and second);

ii) Workstation IP address or identity;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



iv) Information about behaviors (e.g. login, logout, add, edit, delete, update, undo,...);

v) Results of implementation of behaviors (success or failure);

vi) Reasons for failure to implement behaviors (e.g. cannot find resources; access authority not fully granted, etc.).

4.2. Log format

SOAR allows log standardization in at least 01 predefined format to transmit log data to log management, analysis and investigation software.

4.3. Log management

SOAR enables management of logs in conformity with the following requirements:

a) Allow setup and configuration of settings related to log storage and destruction (e.g. storage capacity thresholds, storage duration, etc.).

b) Enable keyword-based search for logs on all data fields, including lower level fields (if any);

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



5. Operations efficiency requirements

In order to be put to use, SOAR must meet the minimum configuration requirement set out in the manufacturer's installation and configuration instructions and the followings:

5.1. Delay in time of response to data query requests

SOAR must ensure that delay in time of search for logs, alerts, and cases of any complexity, and response is within a maximum of 01 minute.

5.2. Simultaneous collection of multiple alerts

SOAR allows the simultaneous collection, processing and storage of data of 100 alerts within duration of 01 minute.

6. Operations orchestration and monitoring requirements

6.1. Orchestration in response to alerts

SOAR enables coordination in response to alerts in conformity with the following requirements:

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



b) Enable keyword-based search for alerts on all alert fields, including lower level fields (if any);

c) Allow storage and grouping of alerts according to different criteria (for example, importance, sending source, etc.);

d) Allow implementation of the process of handling of alerts, including at least the following operations: updating processing status, collected evidence, processing results;

dd) Allow update of alert processing status, including at least the following processing status values: new, in progress, processed;

e) Allow update of alert processing results, including at least the following processing result values: true alerts, false alerts;

g) Allow update of collected evidence, including at least the following actions: uploading evidence files, inputting texts;

h) Allow review of alert response history, including at least the following data fields: time of response, action taker, content of action;

i) Allow alert response scheduling;

k) Allow determination of whether alert response is due or late;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



6.2. Case response orchestration

SOAR enables orchestration in response to alerts in conformity with the following requirements:

a) Allow creation of a case by grouping one or more alerts into that case (at first sight, the cases are assigned the open status);

b) Enable keyword-based search for cases on all case data fields, including lower level fields (if any);

c) Allow storage and grouping of cases according to different criteria (for example, importance, creation source, etc.);

d) Allow implementation of the process of response to cases, including at least the following operations: updating processing status, processing results;

dd) Allow update of the response status of case, including at least the following processing status values: open, close;

e) Allow update of case response results, including at least the following processing result values: true finding, false finding;

g) Allow review of case response history, including at least the following data fields: time of response, action taker, content of action;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



i) Allow determination of whether case response is due or late;

k) Allow application of a scenario relative to a case;

l) Allow assigning one or more action takers to the cases.

6.3. Monitoring and analysis of security incidents

SOAR authorizes monitoring and analysis of cybersecurity incidents via graphical interfaces in conformity with the following requirements:

a) Allow display of visual information showing the link between the objects involved in the incident by the path and attachment of the link's information (if any), including at least the following objects: IP address, email address, domain name;

b) Allow check for the timeline of events in the incident, including at least the following fields: time of occurrence, content, related objects (if any), collected evidence (if any);

7. Operations integration and automation requirements

7.1. Integration module management

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



a) Allow creation, review, update and deletion of the existing integration module;

b) Allow development of integration modules through at least 01 interpreted programming language (e.g. Python, Javascript,...).

7.2. Support for integration of multiple platforms

SOAR allows connection and interaction with different platforms, at least including:

a) Security Information and Event Management (SIEM);

b) Threat Intelligence Platform (TIP);

c) Endpoint Security (e.g. Endpoint Detection and Response (EDR); Endpoint Protection Platform (EPP); etc.);

d) Network Security (e.g. Network-based Intrusion Prevention System (NIPS); Web Application Firewall (WAF);…);

dd) Malware Analysis;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



g) Identity and Access Management (IAM).

7.3. Support for integration of multiple APIs

SOAR allows configuration for one or more APIs on integration modules to apply as many functions and features as possible that the integrated platform provides.

7.4. Support for two-way API integration

SOAR allows API configuration on integration modules for two-way interaction with the integrated platform:

a) Enable data querying from an integrated platform to enrich information for data processed and stored on SOAR;

b) Allow command execution to affect the integrated platform to perform security event or incident response.

7.5. Playbook management

SOAR authorizes management of configuration of playbooks via graphical interfaces in conformity with the following requirements:

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



b) Allow design of playbooks with a minimum of the following components: execution block, paths between blocks, branching condition;

c) Allows scripting through at least the following operations to interact with the above components: create, review, update, delete;

d) Allow exporting a playbook to a file and downloading the exported file;

dd) Allow uploading a file containing a playbook and importing a playbook from that file;

e) Allow a pre-created scenario to be included in a playbook.

7.6. Support for automatic execution of playbooks

SOAR enables automatic execution of a playbook in conformity with the following requirements:

a) Allow configuration of the playbook based on conditions, rules for finding alerts, situations to perform all steps in the playbook without human interaction;

b) Allow setting deadline for execution of the playbook;

...

...

...

Please sign up or sign in to your TVPL Pro Membership to see English documents.



d) Allow reviewing the execution history of each step in the playbook, including at least the following fields: input dataset, output dataset, execution start time, execution end time, execution status (success or failure).

7.7. Support for semi-automatic execution of playbooks

SOAR enables semi-automatic execution of a playbook in conformity with the following requirements:

a) Allow a playbook to be executed based on user input data, through one or more of the following operations: enter a value (number or numerical string); select one or several of the available values; upload file; set the auto execution start time; set the execution time;

b) Allow setting deadline for execution of the playbook;

c) Allow determining whether execution of part or the whole of the playbook is due or late;

d) Allow reviewing the execution history of each step in the playbook, including at least the following fields: input dataset, output dataset, execution start time, execution end time, execution status (success or failure), active user account;

dd) Allow use of results obtained in the previous step as input data used for executing the following step in the playbook;

e) Allow assigning one or more interactors to steps in the playbook that needs human interaction.

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Decision No. 1907/QD-BTTTT dated December 2, 2021 on issuing basic technical requirements of security orchestration, automation and response

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


3.060

DMCA.com Protection Status
IP: 34.239.150.167
Hãy để chúng tôi hỗ trợ bạn!