cs:architecture

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
Next revision Both sides next revision
cs:architecture [28.11.2014 15:10]
trestikv@cesnet.cz [Struktura události]
cs:architecture [24.09.2015 11:49]
ph@cesnet.cz
Line 9: Line 9:
 {{:​cs:​warden-l.png?​nolink&​800|Architektura systému Warden}} {{:​cs:​warden-l.png?​nolink&​800|Architektura systému Warden}}
  
-===== Warden ​událost ​=====+===== Warden ​klienti ​=====
  
-Událost v systému Warden představuje informace ​zdroji hrozby zaznamenaná některým ze zapojených ​členůInformace jsou získávány z detekčních ​systémů provozovaných v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH+**Odesílající klient** poskytuje základní funkcionalitu potřebnou pro odeslání informací ​hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentacíOrganizace tak může jednoduše odesílat ze svých ​detekčních ​nástrojů informace do systému Warden.
  
-Reálný obsah jednotlivých událostí se liší dle jejich typu, ale obecně jsou k dispozici níže uvedené položky. Pokud není některá položka použita, případně ​není dostupná, je nastavena na hodnotu **undef**.+**Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně ​je zapsat do souboru. V balíčku je společně s tímto klientem ​dostupná ​rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy
  
-===== Struktura události =====+Klientský software je volně dostupný na stránce [[cs:​downloads|Ke stažení]].
  
-| ''​id'' ​          | ID události přidělené Warden serverem. | 
-| ''​hostname'' ​    | Hostname reportujícho klienta. | 
-| ''​service'' ​     | Název reportujího klienta (služby). | 
-| ''​detected'' ​    | Časová známka detekce události. | 
-| ''​received'' ​    | Časová známka přidělená Warden serverem při uložení události. | 
-| ''​type'' ​        | Číselník typů zasílaných událostí (portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, test, other). | 
-| ''​source_type'' ​ | Číselník označující typ pole ''​source''​ (URL, IP, Reply-To:) | 
-| ''​source'' ​      | Zdroj hrozby odpovídající typem obsahu poli  ''​source_type''​. | 
-| ''​target_proto''​ | Port kam hrozba směřuje, pokud je pro typ události dostupný. | 
-| ''​target_port'' ​ | Port kam hrozba směřuje, pokud je dostupný. | 
-| ''​note'' ​        | Pole pro dodatečné informace (např. text phishingového emailu). | 
-| ''​valid'' ​       | Označuje, zda je událost platná (True/​False). | 
-| ''​attack_scale''​ | Odhad závažnosti hrozby (síly útoku). | 
-| ''​priority'' ​    | Odhad priority hrozby. | 
-| ''​timeout'' ​     | Odhad aktuálnosti hrozby. | 
  
-===== Odesílající klient ​===== +===== Warden událost ​=====
- +
-**Odesílající klient** poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce [[downloads|Ke stažení]].+
  
-===== Odebírající klient =====+Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z různých zdrojů. Mohou to být detekční systémy provozované v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH, data třetích stran (jako například Shadowserver,​ Honeynet či další), či agregovaná/​korelovaná data (zdroje dat lze jednoznačně odlišit).
  
-**Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazitpřípadně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. Aktuální stabilní verze odesílajícího klienta ​je volně dostupná na stránce ​[[downloads|Ke stažení]].+Reálný obsah jednotlivých událostí se liší dle typupoužit je strukturovaný formát ​[[https://​idea.cesnet.cz|IDEA]].
  
Last modified: 23.12.2015 15:39