This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
cs:architecture [28.11.2014 15:10] trestikv@cesnet.cz [Struktura události] |
cs:architecture [24.09.2015 11:49] ph@cesnet.cz |
||
---|---|---|---|
Line 9: | Line 9: | ||
{{:cs:warden-l.png?nolink&800|Architektura systému Warden}} | {{:cs:warden-l.png?nolink&800|Architektura systému Warden}} | ||
- | ===== Warden událost ===== | + | ===== Warden klienti ===== |
- | Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z detekčních systémů provozovaných v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH. | + | **Odesílající klient** poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden. |
- | Reálný obsah jednotlivých událostí se liší dle jejich typu, ale obecně jsou k dispozici níže uvedené položky. Pokud není některá položka použita, případně není dostupná, je nastavena na hodnotu **undef**. | + | **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. |
- | ===== Struktura události ===== | + | Klientský software je volně dostupný na stránce [[cs:downloads|Ke stažení]]. |
- | | ''id'' | ID události přidělené Warden serverem. | | ||
- | | ''hostname'' | Hostname reportujícho klienta. | | ||
- | | ''service'' | Název reportujího klienta (služby). | | ||
- | | ''detected'' | Časová známka detekce události. | | ||
- | | ''received'' | Časová známka přidělená Warden serverem při uložení události. | | ||
- | | ''type'' | Číselník typů zasílaných událostí (portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, test, other). | | ||
- | | ''source_type'' | Číselník označující typ pole ''source'' (URL, IP, Reply-To:) | | ||
- | | ''source'' | Zdroj hrozby odpovídající typem obsahu poli ''source_type''. | | ||
- | | ''target_proto'' | Port kam hrozba směřuje, pokud je pro typ události dostupný. | | ||
- | | ''target_port'' | Port kam hrozba směřuje, pokud je dostupný. | | ||
- | | ''note'' | Pole pro dodatečné informace (např. text phishingového emailu). | | ||
- | | ''valid'' | Označuje, zda je událost platná (True/False). | | ||
- | | ''attack_scale'' | Odhad závažnosti hrozby (síly útoku). | | ||
- | | ''priority'' | Odhad priority hrozby. | | ||
- | | ''timeout'' | Odhad aktuálnosti hrozby. | | ||
- | ===== Odesílající klient ===== | + | ===== Warden událost ===== |
- | + | ||
- | **Odesílající klient** poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce [[downloads|Ke stažení]]. | + | |
- | ===== Odebírající klient ===== | + | Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z různých zdrojů. Mohou to být detekční systémy provozované v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH, data třetích stran (jako například Shadowserver, Honeynet či další), či agregovaná/korelovaná data (zdroje dat lze jednoznačně odlišit). |
- | **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce [[downloads|Ke stažení]]. | + | Reálný obsah jednotlivých událostí se liší dle typu, použit je strukturovaný formát [[https://idea.cesnet.cz|IDEA]]. |