This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
cs:architecture [28.11.2014 14:47] trestikv@cesnet.cz [Architektura systému] |
cs:architecture [01.12.2014 14:00] trestikv@cesnet.cz |
||
---|---|---|---|
Line 8: | Line 8: | ||
{{:cs:warden-l.png?nolink&800|Architektura systému Warden}} | {{:cs:warden-l.png?nolink&800|Architektura systému Warden}} | ||
+ | |||
+ | ===== Warden klienti ===== | ||
+ | |||
+ | **Odesílající klient** poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden. | ||
+ | |||
+ | **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. | ||
+ | |||
+ | Aktuální stabilní verze klientů je volně dostupná na stránce [[cs:downloads|Ke stažení]]. | ||
+ | |||
===== Warden událost ===== | ===== Warden událost ===== | ||
Line 22: | Line 31: | ||
| ''detected'' | Časová známka detekce události. | | | ''detected'' | Časová známka detekce události. | | ||
| ''received'' | Časová známka přidělená Warden serverem při uložení události. | | | ''received'' | Časová známka přidělená Warden serverem při uložení události. | | ||
- | | ''type'' | Číselník typů zasílaných událostí (portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, test, other). | | + | | ''type'' | Číselník typů zasílaných událostí (darkspace, portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, other). Podrobnější popis událostí je dostupný níže. | |
- | | ''source_type'' | Číselník označující typ pole '''source''' (URL, IP, Reply-To:) | | + | | ''source_type'' | Číselník označující typ pole ''source'' (URL, IP, Reply-To:) | |
- | | ''source'' | Zdroj hrozby odpovídající typem obsahu poli '''source_type'''. | | + | | ''source'' | Zdroj hrozby odpovídající typem obsahu poli ''source_type''. | |
| ''target_proto'' | Port kam hrozba směřuje, pokud je pro typ události dostupný. | | | ''target_proto'' | Port kam hrozba směřuje, pokud je pro typ události dostupný. | | ||
| ''target_port'' | Port kam hrozba směřuje, pokud je dostupný. | | | ''target_port'' | Port kam hrozba směřuje, pokud je dostupný. | | ||
Line 33: | Line 42: | ||
| ''timeout'' | Odhad aktuálnosti hrozby. | | | ''timeout'' | Odhad aktuálnosti hrozby. | | ||
- | ===== Odesílající klient ===== | + | ===== Typy události (type) ===== |
- | + | ||
- | **Odesílající klient** poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce [[downloads|Ke stažení]]. | + | |
- | + | ||
- | ===== Odebírající klient ===== | + | |
- | **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce [[downloads|Ke stažení]]. | + | | ''darkspace'' | Přístup na Honeypot. | |
+ | | ''portscan'' | Skenování TCP/UDP portů. | | ||
+ | | ''bruteforce'' | Útok typu bruteforce nebo slovníkový útok na přihlašovací mechanizmus služby. | | ||
+ | | ''probe'' | Další pokusy o připojení (např. ICMP) nebo nerozeznané skenování portů/bruteforce útok. | | ||
+ | | ''spam'' | Nevyžádaná emailová zpráva (nejedná se o phishing). | | ||
+ | | ''phishing'' | Phishingový útok. | | ||
+ | | ''botnet_c_c'' | Odhalné řídící středisko botnetu. | | ||
+ | | ''dos'' | Prostý i distribuovaný útok odepřením služby. | | ||
+ | | ''malware'' | Vzorek malware (virus, trojský kůň, ransomeware atd.) | | ||
+ | | ''copyright'' | Porušení autorských práv. | | ||
+ | | ''webattack'' | Útok proti webové aplikaci. | | ||
+ | | ''other'' | Ostatní nezařazené události. | | ||