ถามเรื่อง signature หน่อยครับ

Re: ถามเรื่อง signature หน่อยครับ

Sun, 27 Jul 2008 13:55:03 +0000

Signature ที่ใน SRAN เป็นการประยุกต์และต่อยอดจากการเขียน Rule Base จากโปรแกรมที่ชื่อ snort และการ filtering จาก TCPdump เพื่อให้ Log ที่เกิดขึ้นอ่านแล้วเข้าใจง่ายขึ้น ความหมาย Signature จึงประกอบด้วย
1. Signature ที่เขียนขึ้นในการบันทึกข้อมูลตาม ห่วงโซ่ของเหตุการณ์ (Chain of event) ซึ่งส่วนใหญ่เป็นข้อมูลปกติ เช่น การเล่นเว็บ (Web) , Mail , Chat , Upload / Download , VoIP บางโปรแกรม ทั้งหมดนี้รวมถึงการ Authentication ตาม Application ต่างๆ เช่น MSN , Yahoo , SkyP เป็นต้น

2. Signature ที่เขียนขึ้นในการบันทึกข้อมูลที่มีความเสี่ยงและมีความผิดปกติ (Threat Data) ซึ่งในส่วนนี้เราใช้เทคนิค ระบบ IDS/IPS (Intrusion Detection & Prevention System) มาช่วย

ซึ่งทั้งหมดนี้เราจะสามารถทราบลักษณะการใช้งานของ User ในองค์กรได้ โดยไม่เป็นวิธีการ sniffing ข้อมูลหรือ Hijack ข้อมูลผู้อื่น และเขียน Filtering สิ่งที่ต้องการอยากให้ประมวลผลผ่าน Log file เพื่ออ่านแล้วเข้าใจง่ายในการสืบสวนสอบได้อีกทางหนึ่งด้วย

SRAN Dev

Re: ถามเรื่อง signature หน่อยครับ

Thu, 24 Jul 2008 16:09:56 +0000

สามารถเก็บได้ครับ ถ้าหากใช้รุ่น SR-L ที่มี Hybrid Mode ถึงจะเก็บได้ แต่ต้องให้ทาง Server AD เก็บ Syslog ของมันเองก่อนนะ
ครับ SRAN ที่มี Hybrid ก็จะสามารถเก็บ Log file ที่ผ่านเข้ามา Server AD ได้ทั้งหมด

Re: ถามเรื่อง signature หน่อยครับ

Thu, 24 Jul 2008 11:18:08 +0000

ไม่ทราบว่า SRAN สามารถเก็บ Log ที่รับมาจาก AD Server ได้หรือไม่ครับ

ถามเรื่อง signature หน่อยครับ

Wed, 23 Jul 2008 08:53:21 +0000

คืออยากรู้ความหมายทั้งหมดของ signature ในระบบ sran หน่อยน่ะครับ