Warden 2.0¶

• Table of contents
• Warden 2.0
  • Další navrhovaná funkcionalita:
  • Již implementováno

Další navrhovaná funkcionalita:¶

• Korelace - V současnosti neuvažujeme žádný druh korelace zaslaných událostí centrem.
• Důvěryhodnost událostí - V současnosti nijak neřešíme budování důvěryhodnosti zdrojů dat.
• Anonymizace - Anonymizace některých položek událostí se zatím neuvažuje.
• Zapojené organizace si budou moci vypsat seznam klientů - TP
• Organizace může používat více domén. Typicky v našem případě cesnet.cz, ten.cz, ces.net - a jejich obsah není identický. - PH
  • Pro identifikaci vlastních incidentů to pro současnou verzi nevidím jako
    problém, organizace ví, co jí patří a může si seznam udržovat.
  • Pokud chceme v budoucnu podporovat u odběratelů snadnou možnost
    identifikace libovolné organizace, která je zdrojem události, nemyslím,
    že to stačí - odběratelé by kupříkladu museli pravidelně kontaktovat
    Cesnet, aby jim updatoval seznam aktuálních domén. To už bych ale nechal
    do příštího roku.
• Odmazavani dat z DB (presun na PostgreSQL a partitioning?) - TP
• Agregace prijmanych udalosti - TP
• Webove rozhrani pro spravu Warden serveru - TP
• Uznávat i alternate_name v X509 certifikátu
• Ke zvážení: udávat kromě času začátku i čas konce. Sice jsou události bezestavové, ale často agregované za fixní časový okamžik, možná by dalo větší vypovídající hodnotu atributu scale (X útoků za Y minut)
• Warden web - TP
• warden logo - TP
• Filtr pro nastaveni prichozich udalosti (any, or, and,...) -TP, PH
• Kazdy uzivatel, ktery si chce spustit prijmaciho klienta by mel mit moznost se podivat jake udalosti jsou do Wardenu zasilany -TP
• Zdroj incidentu jako multiatribut (více IP, doménové jméno, mailová adresa...), tedy úprava relačního DB modelu a SOAP API, ale ne nutně nekompatibilně
• logování po pádu (traceback, etc.) - TP
• instalační balíčky/repozitář (deb, rpm) - TP
• revize kodu - TP
• analyza pouzitelnosti soucasnych polozek udalosti/databaze a pripadna zmena jeji struktury - TP
• davkove odesilani udalosti na server? - TP
• zajistene doruceni zpravy na warden server (pokud klient od serveru dostane zpravu o tom, ze udalost byla nedorucena, pokusi se ji poslat znovu)? -TP
• zpracovavani pozadavku na warden server provadet ve vlaknech - TP
• nove server warden-test, ktery by slouzil ciste pro testovani, ne jako produkcni nebo vyvojovy - TP
• pridat logovani klienta? - TP
• nova funkcionalita pridavana do serveru pomocu perl modulu - TP
• podpora IPv6
• knihovna loguje jen stderr, návratovka API true/false. V budoucnu by to chtělo na výběr kromě stderr alespoň syslog, nadřazená aplikace často stderr zavírá - ph
• slušné chování k volající aplikaci - nepadáme při chybě, netimeoutujeme navěky, slušně logujeme - ph
• IP cíle? Může souviset s anonymizací - ph
• širší datový formát? nepopíšeme Bodíkův malware ani Radkův phishing - ph
• neobejdeme se bez soapu? v současné době máme SOAP přes HTTP, pokud už máme HTTP, mohl by stačit obyčejný GET/POST - ph
• získání seznamu klientů, resp. informací o nich? - ph
• validace příchozích zpráv- ph

Již implementováno¶

• PH: Skutečný převod času na UTC (nejen +-1)