know-how:threat_intel
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
know-how:threat_intel [2023/02/28 11:13] – [Threat Intelligence] cc | know-how:threat_intel [2023/03/29 11:52] – [Datenbank] cc | ||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
* Alle Drops mit bestimmten Eigenschaften die auf der Firewall extern einschlagen protokollieren um daraus Hinweise auf gehackte Systeme zu gewinnen | * Alle Drops mit bestimmten Eigenschaften die auf der Firewall extern einschlagen protokollieren um daraus Hinweise auf gehackte Systeme zu gewinnen | ||
* Interessant wird dann die andere Richtung auf anderen Systemen - welche Endgeräte versuchen auf IP Adressen von Intern nach Extern zuzugreifen auf IPs die aus den historischen Daten gewonnen wurden | * Interessant wird dann die andere Richtung auf anderen Systemen - welche Endgeräte versuchen auf IP Adressen von Intern nach Extern zuzugreifen auf IPs die aus den historischen Daten gewonnen wurden | ||
+ | ===== Datenbank ===== | ||
+ | * Ich möchte in der Lage sein SQL Queries auf die Daten abzusetzen | ||
+ | < | ||
+ | MariaDB [inteldb]> | ||
+ | +---------------+--------------+------+-----+---------------------+-------------------------------+ | ||
+ | | Field | Type | Null | Key | Default | ||
+ | +---------------+--------------+------+-----+---------------------+-------------------------------+ | ||
+ | | hash | char(64) | ||
+ | | original | ||
+ | | src | varchar(100) | NO | MUL | NULL | | | ||
+ | | dst | char(40) | ||
+ | | dpt | int(11) | ||
+ | | spt | int(11) | ||
+ | | proto | varchar(15) | ||
+ | | country | ||
+ | | originalDate | ||
+ | | insertionDate | timestamp | ||
+ | +---------------+--------------+------+-----+---------------------+-------------------------------+ | ||
+ | </ | ||
+ | * Storage Engine **default-storage-engine = Aria** - als Nachfolger von **myisam** - ich benötige Crash resistenten Table | ||
+ | ===== Schnittstelle f. Datebank / Input der Daten ===== | ||
+ | |||
+ | |||
===== Logging ===== | ===== Logging ===== | ||
* Zentraler Server Beispiel syslog server auf 192.168.1.1 linux **syslog.conf** | * Zentraler Server Beispiel syslog server auf 192.168.1.1 linux **syslog.conf** |
know-how/threat_intel.txt · Zuletzt geändert: 2024/03/26 08:24 von cc