Project

General

Profile

Wiki »

Typy událostí

Pro začátek jako jeden z odrazových můstků seznam kategorií tak, jak ho používá CESNET-CERTS Kategorie incidentů CESNET-CERTS.

Podle dostupných datových zdrojů

Rozlišujeme typy podle reakcí na ně v koncových sítích:
  • zablokování IP pomocí black hole routingu
  • zablokování na firewallu na základě L3/L4 položek paketu
  • zablokování na aplikačním firewallu (URL)?
  • zablokování přes vlastní blacklist (IP)?
  • přidání IP/odesílatele/REPLYTO/VZORKU do mailového filtru
  • přidání vzorku viru do virové databáze?
  • manuální obsluha
  • ?
Z toho plynou tyto typy:
  • portscan - skenování TCP nebo UDP portů
  • bruteforce - útok na autentizaci služeb hrubou silou/slovníkovými útoky
  • spam - nevyžádaná pošta, která nemá charakter phishingu
  • phishing - e-mail, který se snaží vylákat citlivé údaje (i prostřednictvím URL)
  • botnet_c_c - řídící centrum botnetu
  • dos - (distribuovaný) útok odepření služby
  • malware - vzorek viru/malware
  • copyright - porušování autorských práv
  • webattack - napadání web. aplikací (např. XSS)
  • other - vše, co nespadá do typů výše

Příklad mapovaní typů událostí na reálné incidenty

Pozn. pro incidenty nahlášené z RT nevytváříme speciální typ, ale RT bude uveden jako zdroj události, navíc popsáno v Tagu.

Pozn. Problematika phishingu je komplexni, zatim se k tomu postavime tak, ze v pripade potreby vygenerujeme pro phishing vic nez jednu udalost (Reply-To:, From:, To:, URL podvodneho formulare)

Description tags

Vycházím z požadavku odlišit hlášení incidentů z honeypotů a z běžných logů.
Pokusil jsem se tedy rozdělit naše (a známé) zdroje
do kategorií - obávám se ale, že strom (méně specifické ke specifickým)
nemusí stačit. Možná by nebylo od věci použít nové pole class jako seznam
"tagů", kterým může správce zdroj popsat - včetně například jména použitého
sw.

Pro udržení konzistence bychom množinu tagů měli udržet krátkou a dobře
popsanou. Příklady:

  1. Detection medium
    • Network - network data based (Snort, Suricata, Bro, FTAS, LaBrea, Kippo)
    • Host - host based (Swatch, Logcheck)
    • Correlation - corellation engines (Prelude, OSSIM)
    • External - credible external sources (incident reporting, ticket
      systems, human verified events)
  1. Data source
    • Content - datagram content based detectors (Snort, Bro)
    • Flow - netflow based (FTAS, FlowMon)
    • Connection - connection data (portscan, portsweep)
    • Data - application data based (SpamAssassin, antiviruses)
    • Log - based on system logs, where more specific source is not
      applicable (Swatch, Logcheck, SSH scans)
    • IR - incident reporting, ticket systems, human verified events
  1. Detection methodology
    • Honeypot (LaBrea, Kippo, Dionaea)
    • Antispam (SpamAssassin, Bogofilter, CRM114, Policyd, greylisting)
    • Antivirus (ClamAV)
    • IDS - IDS/IPS, Snort, Suricata, Bro
  1. Detector/analyzer product name examples
    • Snort, FTAS, SpamAssassin, LaBrea, Swatch, Prelude