This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
cs:architecture [01.12.2014 14:00] trestikv@cesnet.cz |
cs:architecture [23.12.2015 15:39] jakubcegan@cesnet.cz |
||
---|---|---|---|
Line 15: | Line 15: | ||
**Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. | **Odebírající klient** poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy. | ||
- | Aktuální stabilní verze klientů je volně dostupná na stránce [[cs:downloads|Ke stažení]]. | + | Klientský software je volně dostupný na stránce [[cs:downloads|Ke stažení]]. |
===== Warden událost ===== | ===== Warden událost ===== | ||
- | Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z detekčních systémů provozovaných v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH. | + | Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z různých zdrojů. Mohou to být detekční systémy provozované v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH, data třetích stran (jako například Shadowserver, Honeynet či další), či agregovaná/korelovaná data (zdroje dat lze jednoznačně odlišit). Reálný obsah jednotlivých událostí se liší dle typu, použit je strukturovaný formát [[https://idea.cesnet.cz|IDEA]]. |
- | + | ||
- | Reálný obsah jednotlivých událostí se liší dle jejich typu, ale obecně jsou k dispozici níže uvedené položky. Pokud není některá položka použita, případně není dostupná, je nastavena na hodnotu **undef**. | + | |
- | + | ||
- | ===== Struktura události ===== | + | |
- | + | ||
- | | ''id'' | ID události přidělené Warden serverem. | | + | |
- | | ''hostname'' | Hostname reportujícho klienta. | | + | |
- | | ''service'' | Název reportujího klienta (služby). | | + | |
- | | ''detected'' | Časová známka detekce události. | | + | |
- | | ''received'' | Časová známka přidělená Warden serverem při uložení události. | | + | |
- | | ''type'' | Číselník typů zasílaných událostí (darkspace, portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, other). Podrobnější popis událostí je dostupný níže. | | + | |
- | | ''source_type'' | Číselník označující typ pole ''source'' (URL, IP, Reply-To:) | | + | |
- | | ''source'' | Zdroj hrozby odpovídající typem obsahu poli ''source_type''. | | + | |
- | | ''target_proto'' | Port kam hrozba směřuje, pokud je pro typ události dostupný. | | + | |
- | | ''target_port'' | Port kam hrozba směřuje, pokud je dostupný. | | + | |
- | | ''note'' | Pole pro dodatečné informace (např. text phishingového emailu). | | + | |
- | | ''valid'' | Označuje, zda je událost platná (True/False). | | + | |
- | | ''attack_scale'' | Odhad závažnosti hrozby (síly útoku). | | + | |
- | | ''priority'' | Odhad priority hrozby. | | + | |
- | | ''timeout'' | Odhad aktuálnosti hrozby. | | + | |
- | + | ||
- | ===== Typy události (type) ===== | + | |
- | + | ||
- | | ''darkspace'' | Přístup na Honeypot. | | + | |
- | | ''portscan'' | Skenování TCP/UDP portů. | | + | |
- | | ''bruteforce'' | Útok typu bruteforce nebo slovníkový útok na přihlašovací mechanizmus služby. | | + | |
- | | ''probe'' | Další pokusy o připojení (např. ICMP) nebo nerozeznané skenování portů/bruteforce útok. | | + | |
- | | ''spam'' | Nevyžádaná emailová zpráva (nejedná se o phishing). | | + | |
- | | ''phishing'' | Phishingový útok. | | + | |
- | | ''botnet_c_c'' | Odhalné řídící středisko botnetu. | | + | |
- | | ''dos'' | Prostý i distribuovaný útok odepřením služby. | | + | |
- | | ''malware'' | Vzorek malware (virus, trojský kůň, ransomeware atd.) | | + | |
- | | ''copyright'' | Porušení autorských práv. | | + | |
- | | ''webattack'' | Útok proti webové aplikaci. | | + | |
- | | ''other'' | Ostatní nezařazené události. | | + | |