know-how:threat_intel
Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Threat Intelligence
Zielsetzung
- Alle Drops mit bestimmten Eigenschaften die auf der Firewall extern einschlagen protokollieren um daraus Hinweise auf gehackte Systeme zu gewinnen
- Interessant wird dann die andere Richtung auf anderen Systemen - welche Endgeräte versuchen auf IP Adressen von Intern nach Extern zuzugreifen auf IPs die aus den historischen Daten gewonnen wurden
Logging
- Zentraler Server Beispiel syslog server auf 192.168.1.1
destination d_intel { network("192.168.1.1" port(514) transport(udp)); }; filter f_firewall_intel { message("fw") and message("EXT-FW") and message("DROP"); }; log { source(s_src); filter(f_firewall_intel); destination(d_intel);};
know-how/threat_intel.1665662756.txt.gz · Zuletzt geändert: 2022/10/13 14:05 von cc