type:: [[jourfixe]] icon:: 🗨️ team:: todo start:: - ## neue Themen aus Journal (noch nicht zugeordnet) - {{query(and [[inbox]](page [[%J CSOC]])))}} - ## Historie (Datum -> Text) - **[[2023-01-23]]**: ausführliche Mail zum Status - **[[2022-07-06]]**: - Wir möchten auch einen Zugriff auf die Nicht-Übertragenen Daten im Sammler (wie Kevin ElasticSearch nutzten) - Blick auf Rohdaten nicht gewünscht, Miriam klärt warum nicht - Status Berichte In den nächsten zwei Wochen fertig, mit Daten der letzten zwei Monaten - Status V-Scanner - Hardware ist in Betrieb - Kein Dashboard für den V-Scanner - Status Dashboards (status.csoc.de) - Dashboard vscanner kommt nichts an - Standard Credentials, update-Status etc. - Agends: - Zu langsam und errors - Status über nicht meldender Agends nicht noch vorhanden - Separater Termin für Dashboard fachliche Beurteilung - Feedback Anfang nächster Woche - Erfahrung aus Ticketbearbeitung - Zusätzlicher Termin erforderlich -> nächsten Di. 13:00 Uhr - Prio im Ticketsystem anzeigen (welches sind die Telefontickets - Offene Tickets sichten - Events, die aufgelaufen sind, inkl. "False Positives" - 16.000 Alerts - Logs aus Firewall -> noch offen, kommen Central und XG logs an? - Nimmt Miriam zur Prüfung mit - Brute-Force - Ab wie vielen Anmeldeversuchen melden -> unser Vorschlag 10 Feedback zur schlechten Analyse "Proxy" - **[[2023-01-23]]**: - Neue Dashboards werden in 2 Wochen auf alle Kunden ausgerollt - Nächsten Monat: Monatsbericht wird kommen - Frage nach Sophos-Central noch offen - In zwei Wochen: geändertes Onboarding, -> später über Ticket -> Info über neuen Agend, Regelwerk über Ticket anpassen - Frage nach Info-Tickets -> mit ja und sinnvoll bestätig - Rollouts kann schon gestartet werden, -> Systeme landen dann aut0omatisch im Onboarding - **[[2022-02-24]]**: - Seit letzten Monat melden 400 Systeme keine Daten mehr -> bemerkt wird das erst jetzt Kevin sucht nach dem Problem und informiert wieder - **[[2022-02-16]]**: Eskalationsgespräch - Status Dashboards - Liste mit Agends, die aber nichts melden -> will CSCO noch liefern - Anforderung ist verstanden - Kibana kann immer nur auf eine Tabelle schauen - Ist in Bearbeitung, wird priorisiert - Allgemein zu den Dashboards - Interne Frage, ob sinnvoll für den Kunden, welche Kennzahlen möchten wir? - Verschiedene Ebenen, allgemeine Sicht -> Absprung auf einzelne PCs - Verweise auf - Regelwerke aus zwei Quelle: heute Sigma-Rules + Wazuh Rules -> wird aktuell in eine Welt zusammengeführt - Braucht noch Zeit - Management-Berichte - Kommen erst nach dem Go-Live - Monatsbericht: erst möglich, wenn sinnvolle Daten vorhanden - Preview-Bericht kann schon mal erstellt werden -> prüfen, ob wir einen Test bekommen können - OnBoarding, immer gleiche Dinge - Status: domänen krahu und hkr sind drauf, critical events sind fertig (critical, high, medium, low) - Noch 5-6 Regel in "High" - Krah systeme sieht gut aus - Hkr systeme -> altsysteme verursache großen onboarding aufwand - Systeme mit HKR im Namen fertig - Einzelne Systeme können auf Leitstelle geschaltet werden - Idee: alle Meldungen der Altsysteme als Ausnahmen definieren - Wir bekommen Übersicht der Regeln aus Altsystemen -> dieses Liste wird dann im Nachhinein abgearbeitet und "gesäubert" - Abgestimmt, dass wir das so machen - Grund für "alte Kamellen": Wechsel von Stufe auf Medium - Sophos Protokolle - Integration Sophos muss technisch noch geprüft werden - Firewalldaten kommen heute schon an (Hardwareanbindung ok) - SophosCentral: unklar, ob daten schon ankommen -> Termin erforderlich - Im Termin wird geklärt, wo die Daten her kommen - Ggf. Remote-Syslog an einen Port bei uns - oder API - -> Termin mit Jo Meth (Vorschläge, -> Christopher schickt Find-Time - Im Onboarding wurde noch nie ein Punkt aus der Firewall besprochen -> Ulrich prüft das - Termin GoLive -> ~ 2 Wochen, konkret bewusst nicht festgelegt. - Test - Nächste Domänen - KNITTLINGEN - Kleines Werk ~ 30 Systeme - Bewertung ober alles White-Listen - KRAH & HKR erst auf die Leitstelle - HKR-Altsysteme -> Ausnahmen s.o. - ~ 2 - 3 Wochen - - **[[2021-11-23]]**: Quartalsgespräch, mit Miriam und Teresa - Miriam -> du angeboten - Liste mit kritischen Systemen - Liste mit Status, ob beide Dienste Daten liefern - CSOC benötigt Liste über IP-Segmente - CSOC benötigt Liste über Businness-Applikation -> E-Mail Job einrichten - Go-Live abhängig von Anzahl Agents -> Ziel Ende Dez. - Sophos Central API -> noch mal prüfen, RS Ulrich - Prüfen, ob HKR-Systeme schon daten melden - **[[2021-10-27]]**: Krisengespräch, mit [[@Jörg Lammerich]] und [[@Miriam Schaak]] - SysMon hat sich quer gestellt - 30 T Wazu Agends sind aktiv - DashBoard wird schon vor dem GoLive zur Verfügung gestellt, so dass wir den Agend-Status sehen können - CSOC prüft, ob eine Alarmierung aktiviert werden kann, wenn ein Server keine Daten mehr sendet - KRAH setzt virtuelle Maschine zum test der autom. Deployments auf - KRAH clont defekte Maschine, auf der der Agend aktuell installiert ist - **[[2021-09-17]]**: - 80 h nach Stromausfall ohne Daten -> wie kann das nicht bemerkt werden? - **[[2021-09-10]]**: Abschlussgespräch - Was passiert bei welchen Ticket-Prioritäten - Ticket wird immer während Öffnungszeit (Bearbeitung noch am gleichen Tag) - Wenn Prio hoch -> Hörer wird in die Hand genommen - Liste muss noch definiert werden - Incident -> Notrufkette - ISB - Nicht Personengebunden -> 3 Leute ergänzen - Christopher schickt Daten von Eray & Michael - Häufig kommen "konservative" Themen - lieber ein Ticket zu viel -> Techniker muss drauf gucken - VScanner - Andere Technologie, aktiv auf System -> Log-Übertragung - aktiver Schwachstellenscanner von außen (Portscans) -> Findet auch Systeme ohne Agend - Installationsstatus noch unbekannt - Erzeugt andere Events als der Agend - Liste über Subnetze erforderlich - Definieren wann welche Bereiche gescannt werden dürfen (z.B. außerhalb der Produktionszeit) - - Arbeitsplätze während mittags - i.d.R. Scan 1 x wöchentlich -> nach Wunschzeit - Liste im SharePoint ausfüllen -> HKR beachten - Frau Schark lädt zu einem Quartalsgesprächen neu einladen - Kommunikationswege - Vscanner vs. "normale" Überwachungsereignisse - Was macht der V-Scanner jetzt mehr - Verfahren im Umgang mit Tickets - **[[2021-09-03]]**: - Zugangsdaten für Linux-Gerät -> wg. DocuSnap - Hotline, Notfallkontakte - Monatliche Pauschale Kostenpflichtig - 24/7 - Hat Ansprechpartner, Dokumentation etc. - Dokumentiert den FallKappa Vor Ort am nächsten Tag - Training: - Erstaufschlag sauber Dokumenten - Meldekette - Incident Response Plan - Training jährlich durch Planspiel - Zeit und Art wird gemessen (wie Apoll 13) - Jemand für ein Statement nach außen bereithalten -> Stakeholder informieren - fred.schmidt@tuv-austria.com DHPG Wirtschaftsprüfer -> tuv-austria.com Joint-Venture -> CSOC - ~2 Punkte noch offen - Nächste Woche Abschlussgespräch am Freitag (KW36) - Verfahren und Umgang mit Tickets - Aufschaltung dann in KW37 - Vorstellung im "Ground-Team" und Aufschaltung - Erweiterung Domänen, RES, WITEC: - Neue Systeme autom. ins Onboarding noch nicht umgesetzt) - Alternativ: eine Woche aus Leitstelle -> dann neue Landschaft hinzuschalten - Dashboard: ab nächster Woche (nichts für "Thread-Hunting") - Wöchentliche Routine-Analysen -> Ticket wird erstellt (Feinjustierung der Einstellungen) - **[[2021-08-20]]**: - Onboarding läuft - Frau Shark -> übernimmt dann die Quartalsgespräche - prozentualer Fortschritt: - Datenanalyse bei 75% -> 2 bis 3 Termin - Bethke am 13.Sep in Elternzeit -> Bis dahin Datenanalyse abschließen - Dashboards kommen spätestens Ende des Jahres - **[[2021-07-16]]**: - Neue MST-Datei wird ausgetauscht - Kann der WAZU auf 32Bit Produktionsrechner verteilt werden? -> Erfahrung? - Wann sind wir im Status, dass wir Berichte bekommen und selbst das DashBoard einsehen können? - Vscanner nicht per SSH erreichbar - Probleme mit dem SysMon bei HKR - **[[2021-07-02]]**: - 125 aktiv, 47 disconnected - Vorbereitung vscanner - Subnetzt und IP Adressen benötigt - Port im Servernetz ->Server direkt erreichbar machen - Zugriff auf alle Clients per Firewall einstellen - IP 172.21.10.7/16 - Firewall: Regel, dass Sensor-IP über Port 22 auf 172.21.10.7 zugreifen kann - Eine Höheneinheit - Hardware-Port wird markiert - **[[2021-06-25]]**: - 115 Systeme sind aktiv - Fehler noch nicht gefunden (Funktion des Agend zum Files anschauen verursacht vermutlich den Fehler) - 55 Systeme sind noch offline -> ChrKl prüft, ob diese die neue Konfiguration haben -> ChrKl - Info an Jo, so dass alle Domänen den CSOC Server erreichen -> ChrKl - **[[2021-06-18]]**: Dienste beenden sich weiter - **[[2021-06-11]]**: - 165 Clients 161 Disconnected - Dienst künftig mit Einstellung autom. Neustart Deployen -> ChrKl - Ãœberwachung der Agends auf Servern nach 30 Min E-Mail -> CSOC - Log  C:\Program Files (x86)\ossec-agent\ossec.log von mehreren Systemen senden - **[[2021-05-07]]**: - Noch keine User im Ticketsystem -> SteFi, ChrKl -> WAZU Client ausrollen -> auf Testumgebung - **[[2021-04-30]]**: - Ticketsystem - - Ticket muss auf offen gestellt werden -> sonst Anruf - Ticket wird nicht quittiert -> sonst Anruf - - Wunsch: Normaler Prozess, Ausnahme darf erstellt werden - - Beispiel: Token.bat wird gestartet -> Alarm, jede WOche, -> Ausnahmeregel wird aufgenommen, Datei mit den Ausnahmen kann von uns eingesehen werden. - - Technik: - erstes System installiert: Daten kommen an, aktuell disconnected - - Klein & Fiebrich in Freitagsserie aufgenommen - **[[2021-04-23]]**: - System läuft Weiterentwicklung: stufe 3 Logdatenanalyse Wazu Agend muss verteilt werden Server muss vorbereitet werden Schnittstelle zum KRAH-Netz wird benötigt (Sensor <-> interne Netz) müsste vorhanden sein Ggf. firewall ports öffnen (Agend -> Sensor Kommunikation)   Erster Test manuelle Installation (PowerShell Befehl) Sysmon muss zusätzlich auf den Systemen installiert sein (ausrollen) Verteilung per GPO möglich oder Desktop Central Ausrollen auf Gruppen von ~ 20 Geräten (pro Bereich) - Csoc gibt uns Termin für Server Update - Test ausrollen, SysMon & Wazu - Port Mirroring bleibt wie bisher erhalten Syslog daten müssen mit dem neuen System verarbeitet werden, ggf. muss parsing angepasst werden - Dokumentation: Details zu den IP-Adressen benötigt -> Was verbirgt sich hinter einer IP? Docusnap Export vorbereiten - ## Kleinstprojekte / Themen (Text-> Datum) - ### offen - ### abgeschlossen - ## offene Projekte - {{query (and (page-property type [[Kleinprojekt]])(page-property jourfixe [[%J CSOC]]))}}