Project

General

Profile

Actions

Feature #2903

closed

Příprava šablon

Added by Radomír Orkáč over 8 years ago. Updated over 6 years ago.

Status:
Rejected
Priority:
Normal
Assignee:
Category:
Development - Core
Target version:
Start date:
06/17/2016
Due date:
% Done:

100%

Estimated time:
To be discussed:

Description

Ahoj,

souhrn z naší schůzky s Mekem, a také zahřívání pro Radka, kterého se
bude část práce týkat.

Problém:

V současné době existuje v Mentatu knihovna událostí:
https://mentat-hub.cesnet.cz/mentat/event/browse
https://mentat-hub.cesnet.cz/mentat/event/list
Používá se ve skutečnosti ale už jen na několik šablon od AU1 (které
jméno šablony zapíší do _CESNET.EventTemplate), většina ostatních zdrojů,
které vznikly jako zdroje přímo Wardenu, už nemá přiřazenou žádnou šablonu.
Šablona určuje, jak bude vypadat výsledný mailový report, tj. pro většinu
událostí šablona neexistuje a používá se jako fallback agregace podle
Node.SW a Description a defaultní šablona.
Potřebujeme ale události naškatulkovat a přidat k nim české popisy,
závažnost, odkaz na další info. Škatulky ale neodpovídají čistě Category -
Anomaly.Traffic může být leccos, Attempt.Login také, atd. Ale - typy
událostí můžou být podobné - všechna Kippa budou mít stejnou šablonu,
Dionaey taky, etc.
Budeme tedy potřebovat novou knihovnu události, založenou na existujících
datech, a nová data do ní zařazovat, než půjdou do reportů (tj. prakticky
nějak společně se zapojováním nového klienta do Wardenu).

Návrh (po diskusi s Mekem):

Každá šablona bude mít svůj handle, relativně krátký, člověkem čitelný,
ale unikátní popisek - zhruba odpovídá "Title" v současné knihovně.
Přiřazení handlů bude probíhat pomocí konfigurace - primárním dělítkem je
Node.Name (a možná i Category), a v rámci tohoto bude moci být několik
obecných pravidel (matchovací jazyk Mentatu). Tj. pokud nebude potřeba nic
spešl, může pravidlo obecně vypadat nějak jako:

cz.cesnet.holly.kippo: SSH bruteforce attack
cz.tul.ward.kippo: SSH bruteforce attack

Pokud bude, zprávy od detektoru se rozdělí přesnějšími pravidly, třeba ve
stylu:

cz.cesnet.au1:
Category eq "Intrusion.Botnet" and Source.Type eq "CC": Botnet Command and Control
Category eq "Vulnerable.Config" and Source.Protocols eq "ssdp": Open SSDP

Je možné, že půjde nějak rozumně využít šablonování ve stylu - šablona
"Open", titulek "Open $WHAT".
Získáme tím do reportu možnost původních sekcí:

cz.cesnet.kippo
Slovníkový útok na SSH (Attempt.Login)
IP Time Count
----------------------- ----------------------- --------
195.113.134.227 2016-03-22 ... 53
a.b.c.d 2016-03-23 ... 12

Ale taky třeba možnost úvodní souhrnné sekce, ve stylu:

IP Událost Počet Počet
detektorů událostí
----------------------- --------------------------- ----------- -------
195.113.134.226 Slovníkový útok na SSH 2 23
195.113.134.227 Slovníkový útok na SSH 5 112
Dron - součást botnetu 2 2
195.113.134.250 Open SSDP 1 1

Získáme tím i možnost zvonit správci, že některá událost nezapadá do
žádných pravidel a bylo by záhodno zjistit, co se děje - zařadit do
existující šablony, nebo se domluvit se správcem detektoru.
Mek pracuje na agregaci podle současného stavu, ze které vyjdeme a budeme
se snažit najít rozumnou (tedy malou) sadu šablon a pravidel pro jejich
přiřazení (což bude pravděpodobně hlavně práce pro Radka).

-- Pavel (ph)


Files

mentat-db-profile.out.txt (10.3 KB) mentat-db-profile.out.txt Radomír Orkáč, 06/17/2016 09:55 AM
dos.txt (4.16 KB) dos.txt Radomír Orkáč, 10/17/2016 09:58 PM
vulnerable.txt (6.97 KB) vulnerable.txt Radomír Orkáč, 10/17/2016 09:58 PM
spam.txt (846 Bytes) spam.txt Radomír Orkáč, 10/17/2016 09:58 PM
anomaly.txt (4.75 KB) anomaly.txt Radomír Orkáč, 10/17/2016 09:58 PM
sip.txt (3.49 KB) sip.txt Radomír Orkáč, 10/17/2016 09:58 PM
bruteforce.txt (5.48 KB) bruteforce.txt Radomír Orkáč, 10/17/2016 09:58 PM
Actions

Also available in: Atom PDF