282 lines
11 KiB
Markdown
282 lines
11 KiB
Markdown
type:: [[jourfixe]]
|
||
icon:: 🗨️
|
||
team:: todo
|
||
start::
|
||
|
||
- ## neue Themen aus Journal (noch nicht zugeordnet)
|
||
- {{query(and [[inbox]](page [[%J CSOC]])))}}
|
||
- ## Historie (Datum -> Text)
|
||
- **[[2023-01-23]]**: ausführliche Mail zum Status
|
||
- **[[2022-07-06]]**:
|
||
- Wir möchten auch einen Zugriff auf die Nicht-Übertragenen Daten im Sammler (wie Kevin ElasticSearch nutzten)
|
||
- Blick auf Rohdaten nicht gewünscht, Miriam klärt warum nicht
|
||
- Status Berichte In den nächsten zwei Wochen fertig, mit Daten der letzten
|
||
zwei Monaten
|
||
- Status V-Scanner
|
||
- Hardware ist in Betrieb
|
||
- Kein Dashboard für den V-Scanner
|
||
- Status Dashboards (status.csoc.de)
|
||
- Dashboard vscanner kommt nichts an
|
||
- Standard Credentials, update-Status etc.
|
||
- Agends:
|
||
- Zu langsam und errors
|
||
- Status über nicht meldender Agends nicht noch vorhanden
|
||
- Separater Termin für Dashboard fachliche Beurteilung
|
||
- Feedback Anfang nächster Woche
|
||
- Erfahrung aus Ticketbearbeitung
|
||
- Zusätzlicher Termin erforderlich -> nächsten Di. 13:00 Uhr
|
||
- Prio im Ticketsystem anzeigen (welches sind die Telefontickets
|
||
- Offene Tickets sichten
|
||
- Events, die aufgelaufen sind, inkl. "False Positives"
|
||
- 16.000 Alerts
|
||
- Logs aus Firewall -> noch offen, kommen Central und XG logs an?
|
||
- Nimmt Miriam zur Prüfung mit
|
||
- Brute-Force
|
||
- Ab wie vielen Anmeldeversuchen melden -> unser Vorschlag 10
|
||
Feedback zur schlechten Analyse "Proxy"
|
||
- **[[2023-01-23]]**:
|
||
- Neue Dashboards werden in 2 Wochen auf alle Kunden ausgerollt
|
||
- Nächsten Monat: Monatsbericht wird kommen
|
||
- Frage nach Sophos-Central noch offen
|
||
- In zwei Wochen: geändertes Onboarding, -> später über Ticket -> Info über neuen Agend,
|
||
Regelwerk über Ticket anpassen
|
||
- Frage nach Info-Tickets -> mit ja und sinnvoll bestätig
|
||
- Rollouts kann schon gestartet werden, -> Systeme landen dann aut0omatisch im Onboarding
|
||
- **[[2022-02-24]]**:
|
||
- Seit letzten Monat melden 400 Systeme keine Daten mehr -> bemerkt wird das erst jetzt Kevin sucht nach dem Problem und informiert wieder
|
||
- **[[2022-02-16]]**: Eskalationsgespräch
|
||
- Status Dashboards
|
||
- Liste mit Agends, die aber nichts melden -> will CSCO noch liefern
|
||
- Anforderung ist verstanden
|
||
- Kibana kann immer nur auf eine Tabelle schauen
|
||
- Ist in Bearbeitung, wird priorisiert
|
||
- Allgemein zu den Dashboards
|
||
- Interne Frage, ob sinnvoll für den Kunden, welche Kennzahlen möchten wir?
|
||
- Verschiedene Ebenen, allgemeine Sicht -> Absprung auf einzelne PCs
|
||
- Verweise auf
|
||
- Regelwerke aus zwei Quelle: heute Sigma-Rules + Wazuh Rules -> wird aktuell in eine Welt zusammengeführt
|
||
- Braucht noch Zeit
|
||
- Management-Berichte
|
||
- Kommen erst nach dem Go-Live
|
||
- Monatsbericht: erst möglich, wenn sinnvolle Daten vorhanden
|
||
- Preview-Bericht kann schon mal erstellt werden -> prüfen, ob wir einen Test bekommen können
|
||
- OnBoarding, immer gleiche Dinge
|
||
- Status: domänen krahu und hkr sind drauf, critical events sind fertig (critical, high, medium, low)
|
||
- Noch 5-6 Regel in "High"
|
||
- Krah systeme sieht gut aus
|
||
- Hkr systeme -> altsysteme verursache großen onboarding aufwand
|
||
- Systeme mit HKR im Namen fertig
|
||
- Einzelne Systeme können auf Leitstelle geschaltet werden
|
||
- Idee: alle Meldungen der Altsysteme als Ausnahmen definieren
|
||
- Wir bekommen Übersicht der Regeln aus Altsystemen -> dieses Liste wird dann im Nachhinein abgearbeitet und "gesäubert"
|
||
- Abgestimmt, dass wir das so machen
|
||
- Grund für "alte Kamellen": Wechsel von Stufe auf Medium
|
||
- Sophos Protokolle
|
||
- Integration Sophos muss technisch noch geprüft werden
|
||
- Firewalldaten kommen heute schon an (Hardwareanbindung ok)
|
||
- SophosCentral: unklar, ob daten schon ankommen -> Termin erforderlich
|
||
- Im Termin wird geklärt, wo die Daten her kommen
|
||
- Ggf. Remote-Syslog an einen Port bei uns
|
||
- oder API
|
||
- -> Termin mit Jo Meth (Vorschläge, -> Christopher schickt Find-Time
|
||
- Im Onboarding wurde noch nie ein Punkt aus der Firewall besprochen -> Ulrich prüft das
|
||
- Termin GoLive -> ~ 2 Wochen, konkret bewusst nicht festgelegt.
|
||
- Test
|
||
- Nächste Domänen
|
||
- KNITTLINGEN
|
||
- Kleines Werk ~ 30 Systeme
|
||
- Bewertung ober alles
|
||
White-Listen
|
||
- KRAH & HKR erst auf die Leitstelle
|
||
- HKR-Altsysteme -> Ausnahmen s.o.
|
||
- ~ 2 - 3 Wochen
|
||
-
|
||
- **[[2021-11-23]]**: Quartalsgespräch, mit Miriam und Teresa
|
||
- Miriam -> du angeboten
|
||
- Liste mit kritischen Systemen
|
||
- Liste mit Status, ob beide Dienste Daten liefern
|
||
- CSOC benötigt Liste über IP-Segmente
|
||
- CSOC benötigt Liste über Businness-Applikation -> E-Mail Job einrichten
|
||
- Go-Live abhängig von Anzahl Agents -> Ziel Ende Dez.
|
||
- Sophos Central API -> noch mal prüfen, RS Ulrich
|
||
- Prüfen, ob HKR-Systeme schon daten melden
|
||
- **[[2021-10-27]]**: Krisengespräch, mit [[@Jörg Lammerich]] und [[@Miriam Schaak]]
|
||
- SysMon hat sich quer gestellt - 30 T Wazu Agends sind aktiv
|
||
- DashBoard wird schon vor dem GoLive zur Verfügung gestellt, so dass wir den Agend-Status sehen können
|
||
- CSOC prüft, ob eine Alarmierung aktiviert werden kann, wenn ein Server keine Daten mehr sendet
|
||
- KRAH setzt virtuelle Maschine zum test der autom. Deployments auf
|
||
- KRAH clont defekte Maschine, auf der der Agend aktuell installiert ist
|
||
- **[[2021-09-17]]**:
|
||
- 80 h nach Stromausfall ohne Daten -> wie kann das nicht bemerkt werden?
|
||
- **[[2021-09-10]]**: Abschlussgespräch
|
||
- Was passiert bei welchen Ticket-Prioritäten
|
||
- Ticket wird immer während Öffnungszeit (Bearbeitung noch am gleichen Tag)
|
||
- Wenn Prio hoch -> Hörer wird in die Hand genommen
|
||
- Liste muss noch definiert werden
|
||
- Incident -> Notrufkette
|
||
- ISB
|
||
- Nicht Personengebunden -> 3 Leute ergänzen
|
||
- Christopher schickt Daten von Eray & Michael
|
||
- Häufig kommen "konservative" Themen - lieber ein Ticket zu viel -> Techniker muss drauf gucken
|
||
- VScanner
|
||
- Andere Technologie, aktiv auf System -> Log-Übertragung
|
||
- aktiver Schwachstellenscanner von außen (Portscans) -> Findet auch Systeme ohne Agend
|
||
- Installationsstatus noch unbekannt
|
||
- Erzeugt andere Events als der Agend
|
||
- Liste über Subnetze erforderlich
|
||
- Definieren wann welche Bereiche gescannt werden dürfen (z.B. außerhalb der Produktionszeit) -
|
||
- Arbeitsplätze während mittags
|
||
- i.d.R. Scan 1 x wöchentlich -> nach Wunschzeit
|
||
- Liste im SharePoint ausfüllen -> HKR beachten
|
||
- Frau Schark lädt zu einem Quartalsgesprächen neu einladen
|
||
- Kommunikationswege
|
||
- Vscanner vs. "normale" Überwachungsereignisse
|
||
- Was macht der V-Scanner jetzt mehr
|
||
- Verfahren im Umgang mit Tickets
|
||
- **[[2021-09-03]]**:
|
||
- Zugangsdaten
|
||
für Linux-Gerät -> wg. DocuSnap
|
||
- Hotline, Notfallkontakte
|
||
- Monatliche Pauschale Kostenpflichtig - 24/7
|
||
- Hat Ansprechpartner, Dokumentation etc.
|
||
- Dokumentiert den FallKappa Vor Ort am nächsten Tag
|
||
- Training:
|
||
- Erstaufschlag sauber Dokumenten
|
||
- Meldekette
|
||
- Incident Response Plan - Training jährlich durch Planspiel
|
||
- Zeit und Art wird gemessen (wie Apoll 13)
|
||
- Jemand für ein Statement nach außen bereithalten -> Stakeholder informieren
|
||
- fred.schmidt@tuv-austria.com DHPG Wirtschaftsprüfer ->
|
||
tuv-austria.com Joint-Venture -> CSOC
|
||
- ~2 Punkte noch offen
|
||
- Nächste Woche Abschlussgespräch am Freitag (KW36)
|
||
- Verfahren und Umgang mit Tickets
|
||
- Aufschaltung dann in KW37
|
||
- Vorstellung im "Ground-Team" und Aufschaltung
|
||
- Erweiterung Domänen, RES, WITEC:
|
||
- Neue Systeme autom. ins Onboarding noch nicht umgesetzt)
|
||
- Alternativ: eine Woche aus Leitstelle -> dann neue Landschaft hinzuschalten
|
||
- Dashboard: ab nächster Woche (nichts für "Thread-Hunting")
|
||
- Wöchentliche Routine-Analysen -> Ticket wird erstellt (Feinjustierung der Einstellungen)
|
||
- **[[2021-08-20]]**:
|
||
- Onboarding läuft
|
||
- Frau Shark -> übernimmt dann die Quartalsgespräche
|
||
- prozentualer Fortschritt:
|
||
- Datenanalyse bei 75% -> 2 bis 3 Termin
|
||
- Bethke am 13.Sep in Elternzeit -> Bis dahin Datenanalyse abschließen
|
||
- Dashboards kommen spätestens Ende des Jahres
|
||
- **[[2021-07-16]]**:
|
||
- Neue MST-Datei wird ausgetauscht
|
||
- Kann der WAZU auf 32Bit
|
||
Produktionsrechner verteilt werden? -> Erfahrung?
|
||
- Wann sind wir im Status, dass
|
||
wir Berichte bekommen und selbst das DashBoard einsehen können?
|
||
- Vscanner nicht per SSH
|
||
erreichbar
|
||
- Probleme mit dem SysMon bei
|
||
HKR
|
||
- **[[2021-07-02]]**:
|
||
- 125 aktiv, 47 disconnected
|
||
- Vorbereitung vscanner
|
||
- Subnetzt und IP Adressen benötigt
|
||
- Port im Servernetz ->Server direkt erreichbar machen
|
||
- Zugriff auf alle Clients per Firewall einstellen
|
||
- IP 172.21.10.7/16
|
||
- Firewall: Regel, dass Sensor-IP über Port 22 auf 172.21.10.7 zugreifen kann
|
||
- Eine Höheneinheit
|
||
- Hardware-Port wird markiert
|
||
- **[[2021-06-25]]**:
|
||
- 115 Systeme sind aktiv
|
||
- Fehler noch nicht gefunden (Funktion des Agend zum Files anschauen verursacht vermutlich den Fehler)
|
||
- 55 Systeme sind noch offline -> ChrKl prüft, ob diese die neue Konfiguration
|
||
haben -> ChrKl
|
||
- Info an Jo, so dass alle Domänen den CSOC Server erreichen -> ChrKl
|
||
- **[[2021-06-18]]**: Dienste
|
||
beenden sich weiter
|
||
- **[[2021-06-11]]**:
|
||
- 165 Clients
|
||
|
||
161 Disconnected
|
||
- Dienst künftig mit
|
||
Einstellung autom. Neustart Deployen -> ChrKl
|
||
- Ãœberwachung der Agends auf
|
||
Servern nach 30 Min E-Mail -> CSOC
|
||
- Log C:\Program Files (x86)\ossec-agent\ossec.log von mehreren Systemen senden
|
||
- **[[2021-05-07]]**:
|
||
- Noch keine User im Ticketsystem -> SteFi, ChrKl ->
|
||
|
||
WAZU
|
||
Client ausrollen -> auf Testumgebung
|
||
- **[[2021-04-30]]**:
|
||
- Ticketsystem
|
||
-
|
||
- Ticket muss auf
|
||
offen gestellt werden -> sonst Anruf
|
||
- Ticket wird nicht
|
||
quittiert -> sonst Anruf
|
||
-
|
||
- Wunsch: Normaler
|
||
Prozess, Ausnahme darf erstellt werden
|
||
-
|
||
- Beispiel: Token.bat
|
||
wird gestartet -> Alarm, jede WOche, -> Ausnahmeregel wird aufgenommen,
|
||
Datei mit den Ausnahmen kann von uns eingesehen werden.
|
||
-
|
||
- Technik:
|
||
- erstes System
|
||
installiert: Daten kommen an, aktuell disconnected
|
||
-
|
||
- Klein & Fiebrich in Freitagsserie aufgenommen
|
||
- **[[2021-04-23]]**:
|
||
- System läuft
|
||
|
||
Weiterentwicklung:
|
||
stufe 3
|
||
|
||
Logdatenanalyse
|
||
|
||
Wazu Agend muss
|
||
verteilt werden
|
||
|
||
Server muss
|
||
vorbereitet werden
|
||
|
||
Schnittstelle zum
|
||
KRAH-Netz wird benötigt (Sensor <-> interne Netz) müsste vorhanden sein
|
||
|
||
Ggf. firewall ports
|
||
öffnen (Agend -> Sensor Kommunikation)
|
||
|
||
|
||
|
||
Erster Test manuelle
|
||
Installation (PowerShell Befehl)
|
||
|
||
Sysmon muss
|
||
zusätzlich auf den Systemen installiert sein (ausrollen)
|
||
|
||
Verteilung per GPO
|
||
möglich oder Desktop Central
|
||
|
||
Ausrollen
|
||
auf Gruppen von ~ 20 Geräten (pro Bereich)
|
||
- Csoc gibt uns Termin für
|
||
Server Update
|
||
- Test ausrollen, SysMon &
|
||
Wazu
|
||
- Port Mirroring
|
||
bleibt wie bisher erhalten
|
||
|
||
Syslog daten müssen
|
||
mit dem neuen System verarbeitet werden, ggf. muss parsing angepasst werden
|
||
- Dokumentation:
|
||
|
||
Details
|
||
zu den IP-Adressen benötigt -> Was verbirgt sich hinter einer IP?
|
||
|
||
Docusnap Export vorbereiten
|
||
- ## Kleinstprojekte / Themen (Text-> Datum)
|
||
- ### offen
|
||
- ### abgeschlossen
|
||
- ## offene Projekte
|
||
- {{query (and (page-property type [[Kleinprojekt]])(page-property jourfixe [[%J CSOC]]))}} |