Pannonia IT Knowledgebase

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
know-how:threat_intel

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
know-how:threat_intel [2023/02/28 11:13] – [Threat Intelligence] ccknow-how:threat_intel [2023/03/29 11:52] – [Datenbank] cc
Zeile 4: Zeile 4:
   * Alle Drops mit bestimmten Eigenschaften die auf der Firewall extern einschlagen protokollieren um daraus Hinweise auf gehackte Systeme zu gewinnen   * Alle Drops mit bestimmten Eigenschaften die auf der Firewall extern einschlagen protokollieren um daraus Hinweise auf gehackte Systeme zu gewinnen
   * Interessant wird dann die andere Richtung auf anderen Systemen - welche Endgeräte versuchen auf IP Adressen von Intern nach Extern zuzugreifen auf IPs die aus den historischen Daten gewonnen wurden   * Interessant wird dann die andere Richtung auf anderen Systemen - welche Endgeräte versuchen auf IP Adressen von Intern nach Extern zuzugreifen auf IPs die aus den historischen Daten gewonnen wurden
 +===== Datenbank =====
 +  * Ich möchte in der Lage sein SQL Queries auf die Daten abzusetzen
 +<code>
 +MariaDB [inteldb]> desc raw;
 ++---------------+--------------+------+-----+---------------------+-------------------------------+
 +| Field         | Type         | Null | Key | Default             | Extra                         |
 ++---------------+--------------+------+-----+---------------------+-------------------------------+
 +| hash          | char(64)     | NO   | PRI | NULL                |                               |
 +| original      | varchar(450) | NO       | NULL                |                               |
 +| src           | varchar(100) | NO   | MUL | NULL                |                               |
 +| dst           | char(40)     | NO   | MUL | NULL                |                               |
 +| dpt           | int(11)      | NO   | MUL | NULL                |                               |
 +| spt           | int(11)      | NO   | MUL | NULL                |                               |
 +| proto         | varchar(15)  | NO   | MUL | NULL                |                               |
 +| country       | char(2)      | NO       | NULL                |                               |
 +| originalDate  | datetime     | NO   | MUL | NULL                |                               |
 +| insertionDate | timestamp    | NO       | current_timestamp() | on update current_timestamp() |
 ++---------------+--------------+------+-----+---------------------+-------------------------------+
 +</code>
 +  * Storage Engine **default-storage-engine = Aria** - als Nachfolger von **myisam** - ich benötige Crash resistenten Table
 +===== Schnittstelle f. Datebank / Input der Daten =====
 +
 +
 ===== Logging ===== ===== Logging =====
   * Zentraler Server Beispiel syslog server auf 192.168.1.1 linux **syslog.conf**   * Zentraler Server Beispiel syslog server auf 192.168.1.1 linux **syslog.conf**
know-how/threat_intel.txt · Zuletzt geändert: 2024/03/26 08:24 von cc