This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
cs:architecture [28.11.2014 15:10] trestikv@cesnet.cz [Struktura události] |
cs:architecture [23.12.2015 15:39] jakubcegan@cesnet.cz |
||
|---|---|---|---|
| Line 9: | Line 9: | ||
| {{:cs:warden-l.png?nolink&800|Architektura systému Warden}} | {{:cs:warden-l.png?nolink&800|Architektura systému Warden}} | ||
| - | ===== Warden událost ===== | + | ===== Warden klienti ===== |
| - | Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z detekčních systémů provozovaných v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH. | + | **Odesílající klient** poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden. |
| - | Reálný obsah jednotlivých událostí se liší dle jejich typu, ale obecně jsou k dispozici níže uvedené položky. Pokud není některá položka použita, případně není dostupná, je nastavena na hodnotu **undef**. | + | **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. |
| - | ===== Struktura události ===== | + | Klientský software je volně dostupný na stránce [[cs:downloads|Ke stažení]]. |
| - | | ''id'' | ID události přidělené Warden serverem. | | ||
| - | | ''hostname'' | Hostname reportujícho klienta. | | ||
| - | | ''service'' | Název reportujího klienta (služby). | | ||
| - | | ''detected'' | Časová známka detekce události. | | ||
| - | | ''received'' | Časová známka přidělená Warden serverem při uložení události. | | ||
| - | | ''type'' | Číselník typů zasílaných událostí (portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, test, other). | | ||
| - | | ''source_type'' | Číselník označující typ pole ''source'' (URL, IP, Reply-To:) | | ||
| - | | ''source'' | Zdroj hrozby odpovídající typem obsahu poli ''source_type''. | | ||
| - | | ''target_proto'' | Port kam hrozba směřuje, pokud je pro typ události dostupný. | | ||
| - | | ''target_port'' | Port kam hrozba směřuje, pokud je dostupný. | | ||
| - | | ''note'' | Pole pro dodatečné informace (např. text phishingového emailu). | | ||
| - | | ''valid'' | Označuje, zda je událost platná (True/False). | | ||
| - | | ''attack_scale'' | Odhad závažnosti hrozby (síly útoku). | | ||
| - | | ''priority'' | Odhad priority hrozby. | | ||
| - | | ''timeout'' | Odhad aktuálnosti hrozby. | | ||
| - | ===== Odesílající klient ===== | + | ===== Warden událost ===== |
| - | + | ||
| - | **Odesílající klient** poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce [[downloads|Ke stažení]]. | + | |
| - | + | ||
| - | ===== Odebírající klient ===== | + | |
| - | **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. Aktuální stabilní verze odesílajícího klienta je volně dostupná na stránce [[downloads|Ke stažení]]. | + | Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z různých zdrojů. Mohou to být detekční systémy provozované v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH, data třetích stran (jako například Shadowserver, Honeynet či další), či agregovaná/korelovaná data (zdroje dat lze jednoznačně odlišit). Reálný obsah jednotlivých událostí se liší dle typu, použit je strukturovaný formát [[https://idea.cesnet.cz|IDEA]]. |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz