Differences

This shows you the differences between two versions of the page.

--- cs:architecture [01.12.2014 14:00]
trestikv@cesnet.cz
+++ cs:architecture [23.12.2015 15:39]
jakubcegan@cesnet.cz
@@ Line 15: / Line 15: @@
 **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy.
-Aktuální stabilní verze klientů je volně dostupná na stránce [[cs:downloads|Ke stažení]].
+Klientský software je volně dostupný na stránce [[cs:downloads|Ke stažení]].
 ===== Warden událost =====
-Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z detekčních systémů provozovaných v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH.
+Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z různých zdrojů. Mohou to být detekční systémy provozované v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH, data třetích stran (jako například Shadowserver, Honeynet či další), či agregovaná/korelovaná data (zdroje dat lze jednoznačně odlišit). Reálný obsah jednotlivých událostí se liší dle typu, použit je strukturovaný formát [[https://idea.cesnet.cz|IDEA]].
-Reálný obsah jednotlivých událostí se liší dle jejich typu, ale obecně jsou k dispozici níže uvedené položky. Pokud není některá položka použita, případně není dostupná, je nastavena na hodnotu **undef**.
-===== Struktura události =====
-| ''id''           | ID události přidělené Warden serverem. |
-| ''hostname''     | Hostname reportujícho klienta. |
-| ''service''      | Název reportujího klienta (služby). |
-| ''detected''     | Časová známka detekce události. |
-| ''received''     | Časová známka přidělená Warden serverem při uložení události. |
-| ''type''         | Číselník typů zasílaných událostí (darkspace, portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, other). Podrobnější popis událostí je dostupný níže. |
-| ''source_type''  | Číselník označující typ pole ''source'' (URL, IP, Reply-To:) |
-| ''source''       | Zdroj hrozby odpovídající typem obsahu poli  ''source_type''. |
-| ''target_proto'' | Port kam hrozba směřuje, pokud je pro typ události dostupný. |
-| ''target_port''  | Port kam hrozba směřuje, pokud je dostupný. |
-| ''note''         | Pole pro dodatečné informace (např. text phishingového emailu). |
-| ''valid''        | Označuje, zda je událost platná (True/False). |
-| ''attack_scale'' | Odhad závažnosti hrozby (síly útoku). |
-| ''priority''     | Odhad priority hrozby. |
-| ''timeout''      | Odhad aktuálnosti hrozby. |
-===== Typy události (type) =====
-| ''darkspace''  | Přístup na Honeypot. |
-| ''portscan''   | Skenování TCP/UDP portů. |
-| ''bruteforce'' | Útok typu bruteforce nebo slovníkový útok na přihlašovací mechanizmus služby. |
-| ''probe''      | Další pokusy o připojení (např. ICMP) nebo nerozeznané skenování portů/bruteforce útok. |
-| ''spam''       | Nevyžádaná emailová zpráva (nejedná se o phishing). |
-| ''phishing''   | Phishingový útok. |
-| ''botnet_c_c'' | Odhalné řídící středisko botnetu. |
-| ''dos''        | Prostý i distribuovaný útok odepřením služby. |
-| ''malware''    | Vzorek malware (virus, trojský kůň, ransomeware atd.) |
-| ''copyright''  | Porušení autorských práv. |
-| ''webattack''  | Útok proti webové aplikaci. |
-| ''other''      | Ostatní nezařazené události. |

Differences

Rychlé odkazy

Kontakt

Stálá služba