Pannonia IT Knowledgebase

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: threat_intel
know-how:threat_intel

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

Threat Intelligence

FIXME work in progress

Zielsetzung

  • Alle Drops mit bestimmten Eigenschaften die auf der Firewall extern einschlagen protokollieren um daraus Hinweise auf gehackte Systeme zu gewinnen
  • Interessant wird dann die andere Richtung auf anderen Systemen - welche Endgeräte versuchen auf IP Adressen von Intern nach Extern zuzugreifen auf IPs die aus den historischen Daten gewonnen wurden

Logging

  • Zentraler Server Beispiel syslog server auf 192.168.1.1 linux syslog.conf
..
destination d_intel { network("192.168.1.1" port(514) transport(udp)); };
filter f_firewall_intel { message("fw") and message("EXT-FW") and message("DROP"); };
log { source(s_src); filter(f_firewall_intel); destination(d_intel);};
..
  • openwrt /etc/config/system
..
        option log_ip '192.168.1.1'
        option log_port '514'
        option log_proto 'udp'
..
Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
know-how/threat_intel.1665662916.txt.gz · Zuletzt geändert: 2022/10/13 14:08 von cc