cs:architecture

This is an old revision of the document!


Architektura

Systém se skládá z hlavního Warden serveru, obstarávajícího veškerou zásadní činnosti, a dvou typů klientů. Prvním typem je Odesílající klient, který se stará o dodávání informací poskytovaných zapojenou organizací na Warden server. Druhý typ představuje Odebírající klient určený pro získávaní informací požadovaných zapojenou organizací. Klienta je možné nastavit pro příjem konkrétního typu události požadovaného organizací.

Serverová strana systému Warden (centrum) zajišťuje přijetí a ukládání informací zasílaných klienty. Poskytuje také rozhraní pro přístup ke všem platným uloženým událostem. Vlastní odesílání a přístup k událostem uloženým na serveru je chráněno autentizací pomocí X.509 certifikátu.

Architektura systému

Architektura systému Warden

Warden klienti

Odesílající klient poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden.

Odebírající klient poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy.

Aktuální stabilní verze klientů je volně dostupná na stránce Ke stažení.

Warden událost

Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z detekčních systémů provozovaných v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH.

Reálný obsah jednotlivých událostí se liší dle jejich typu, ale obecně jsou k dispozici níže uvedené položky. Pokud není některá položka použita, případně není dostupná, je nastavena na hodnotu undef.

Struktura události

id ID události přidělené Warden serverem.
hostname Hostname reportujícho klienta.
service Název reportujího klienta (služby).
detected Časová známka detekce události.
received Časová známka přidělená Warden serverem při uložení události.
type Číselník typů zasílaných událostí (darkspace, portscan, bruteforce, probe, spam, phishing, botnet_c_c, dos, malware, copyright, webattack, other). Podrobnější popis událostí je dostupný níže.
source_type Číselník označující typ pole source (URL, IP, Reply-To:)
source Zdroj hrozby odpovídající typem obsahu poli source_type.
target_proto Port kam hrozba směřuje, pokud je pro typ události dostupný.
target_port Port kam hrozba směřuje, pokud je dostupný.
note Pole pro dodatečné informace (např. text phishingového emailu).
valid Označuje, zda je událost platná (True/False).
attack_scale Odhad závažnosti hrozby (síly útoku).
priority Odhad priority hrozby.
timeout Odhad aktuálnosti hrozby.

Typy události (type)

darkspace Přístup na Honeypot.
portscan Skenování TCP/UDP portů.
bruteforce Útok typu bruteforce nebo slovníkový útok na přihlašovací mechanizmus služby.
probe Další pokusy o připojení (např. ICMP) nebo nerozeznané skenování portů/bruteforce útok.
spam Nevyžádaná emailová zpráva (nejedná se o phishing).
phishing Phishingový útok.
botnet_c_c Odhalné řídící středisko botnetu.
dos Prostý i distribuovaný útok odepřením služby.
malware Vzorek malware (virus, trojský kůň, ransomeware atd.)
copyright Porušení autorských práv.
webattack Útok proti webové aplikaci.
other Ostatní nezařazené události.
Last modified: 01.12.2014 14:00