cs:architecture

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
Last revision Both sides next revision
cs:architecture [01.12.2014 14:00]
trestikv@cesnet.cz
cs:architecture [23.12.2015 15:32]
jakubcegan@cesnet.cz
Line 8: Line 8:
  
 {{:​cs:​warden-l.png?​nolink&​800|Architektura systému Warden}} {{:​cs:​warden-l.png?​nolink&​800|Architektura systému Warden}}
 +
 +===== Stav systému =====
 +
 +{{http://​warden-hub.cesnet.cz/​banner/​banner.svg?​680x540}}
  
 ===== Warden klienti ===== ===== Warden klienti =====
Line 15: Line 19:
 **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. ​ **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. ​
  
-Aktuální stabilní verze klientů ​je volně ​dostupná ​na stránce [[cs:​downloads|Ke stažení]].+Klientský software ​je volně ​dostupný ​na stránce [[cs:​downloads|Ke stažení]].
  
  
 ===== Warden událost ===== ===== Warden událost =====
  
-Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z detekčních systémů provozovaných ​v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH.  +Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z různých zdrojů. Mohou to být detekční systémy provozované ​v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH, data třetích stran (jako například Shadowserver,​ Honeynet či další), či agregovaná/​korelovaná data (zdroje dat lze jednoznačně odlišit). Reálný obsah jednotlivých událostí se liší dle typu, použit je strukturovaný formát [[https://idea.cesnet.cz|IDEA]].
- +
-Reálný obsah jednotlivých událostí se liší dle jejich ​typu, ale obecně jsou k dispozici níže uvedené položky. Pokud není některá položka ​použita, případně není dostupná, ​je nastavena na hodnotu **undef**. +
- +
-===== Struktura události ===== +
- +
-| ''​id'' ​          | ID události přidělené Warden serverem. | +
-| ''​hostname'' ​    | Hostname reportujícho klienta. | +
-| ''​service'' ​     | Název reportujího klienta (služby). | +
-| ''​detected'' ​    | Časová známka detekce události. | +
-| ''​received'' ​    | Časová známka přidělená Warden serverem při uložení události. | +
-| ''​type'' ​        | Číselník typů zasílaných událostí (darkspace, portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, other). Podrobnější popis událostí je dostupný níže. | +
-| ''​source_type'' ​ | Číselník označující typ pole ''​source''​ (URL, IP, Reply-To:) | +
-| ''​source'' ​      | Zdroj hrozby odpovídající typem obsahu poli  ''​source_type''​. | +
-| ''​target_proto''​ | Port kam hrozba směřuje, pokud je pro typ události dostupný. | +
-| ''​target_port'' ​ | Port kam hrozba směřuje, pokud je dostupný. | +
-| ''​note'' ​        | Pole pro dodatečné informace (např. text phishingového emailu). | +
-| ''​valid'' ​       | Označuje, zda je událost platná (True/False). | +
-| ''​attack_scale''​ | Odhad závažnosti hrozby (síly útoku). | +
-| ''​priority'' ​    | Odhad priority hrozby. | +
-| ''​timeout'' ​     | Odhad aktuálnosti hrozby. | +
- +
-===== Typy události (type) ===== +
- +
-| ''​darkspace'' ​ | Přístup na Honeypot. | +
-| ''​portscan'' ​  | Skenování TCP/UDP portů+
-| ''​bruteforce''​ | Útok typu bruteforce nebo slovníkový útok na přihlašovací mechanizmus služby. | +
-| ''​probe'' ​     | Další pokusy o připojení (napřICMP) nebo nerozeznané skenování portů/​bruteforce útok. | +
-| ''​spam'' ​      | Nevyžádaná emailová zpráva (nejedná se o phishing). | +
-| ''​phishing'' ​  | Phishingový útok. | +
-| ''​botnet_c_c''​ | Odhalné řídící středisko botnetu. | +
-| ''​dos'' ​       | Prostý i distribuovaný útok odepřením služby. | +
-| ''​malware'' ​   | Vzorek malware (virus, trojský kůň, ransomeware atd.) | +
-| ''​copyright'' ​ | Porušení autorských práv. | +
-| ''​webattack'' ​ | Útok proti webové aplikaci. | +
-| ''​other'' ​     | Ostatní nezařazené události. |+
  
Last modified:: 23.12.2015 15:39