know-how:threat_intel
Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Threat Intelligence
work in progress / Analyse der gesammelten Firewall Drops / Datenbank Design usw..
Zielsetzung
- Alle Drops mit bestimmten Eigenschaften die auf der Firewall extern einschlagen protokollieren um daraus Hinweise auf gehackte Systeme zu gewinnen
- Interessant wird dann die andere Richtung auf anderen Systemen - welche Endgeräte versuchen auf IP Adressen von Intern nach Extern zuzugreifen auf IPs die aus den historischen Daten gewonnen wurden
Datenbank
- Ich möchte in der Lage sein SQL Queries auf die Daten abzusetzen
MariaDB [inteldb]> desc raw; +---------------+--------------+------+-----+---------------------+-------------------------------+ | Field | Type | Null | Key | Default | Extra | +---------------+--------------+------+-----+---------------------+-------------------------------+ | hash | char(64) | NO | PRI | NULL | | | original | varchar(450) | NO | | NULL | | | src | varchar(100) | NO | MUL | NULL | | | dst | char(40) | NO | MUL | NULL | | | dpt | int(11) | NO | MUL | NULL | | | spt | int(11) | NO | MUL | NULL | | | proto | varchar(15) | NO | MUL | NULL | | | country | char(2) | NO | | NULL | | | originalDate | datetime | NO | MUL | NULL | | | insertionDate | timestamp | NO | | current_timestamp() | on update current_timestamp() | +---------------+--------------+------+-----+---------------------+-------------------------------+
- Storage Engine default-storage-engine = Aria - als Nachfolger von myisam - ich benötige Crash resistenten Table
Schnittstelle f. Datebank / Input der Daten
Logging
- Zentraler Server Beispiel syslog server auf 192.168.1.1 linux syslog.conf
.. destination d_intel { network("192.168.1.1" port(514) transport(udp)); }; filter f_firewall_intel { message("fw") and message("EXT-FW") and message("DROP"); }; log { source(s_src); filter(f_firewall_intel); destination(d_intel);}; ..
- openwrt /etc/config/system
.. option log_ip '192.168.1.1' option log_port '514' option log_proto 'udp' ..
know-how/threat_intel.1680083549.txt.gz · Zuletzt geändert: 2023/03/29 11:52 von cc