Benutzer-Werkzeuge

Webseiten-Werkzeuge


know-how:threat_intel

Threat Intelligence

FIXME work in progress

Zielsetzung

  • Alle Drops mit bestimmten Eigenschaften die auf der Firewall extern einschlagen protokollieren um daraus Hinweise auf gehackte Systeme zu gewinnen
  • Interessant wird dann die andere Richtung auf anderen Systemen - welche Endgeräte versuchen auf IP Adressen von Intern nach Extern zuzugreifen auf IPs die aus den historischen Daten gewonnen wurden

Logging

  • Zentraler Server Beispiel syslog server auf 192.168.1.1 linux syslog.conf
..
destination d_intel { network("192.168.1.1" port(514) transport(udp)); };
filter f_firewall_intel { message("fw") and message("EXT-FW") and message("DROP"); };
log { source(s_src); filter(f_firewall_intel); destination(d_intel);};
..
  • openwrt /etc/config/system
..
        option log_ip '192.168.1.1'
        option log_port '514'
        option log_proto 'udp'
..
Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
know-how/threat_intel.txt · Zuletzt geändert: 2022/10/13 14:08 von cc

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki