chk
/
logseq_kauer
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
logseq_kauer/pages/%J CSOC.md

11 KiB
Raw Blame History

type:: jourfixe icon:: 🗨️ team:: todo start::

  • neue Themen aus Journal (noch nicht zugeordnet)

  • Historie (Datum -> Text)

    • 2023-01-23: ausführliche Mail zum Status
    • 2022-07-06:
      • Wir möchten auch einen Zugriff auf die Nicht-Übertragenen Daten im Sammler (wie Kevin ElasticSearch nutzten)
        • Blick auf Rohdaten nicht gewünscht, Miriam klärt warum nicht
      • Status Berichte In den nächsten zwei Wochen fertig, mit Daten der letzten zwei Monaten
      • Status V-Scanner
        • Hardware ist in Betrieb
        • Kein Dashboard für den V-Scanner
      • Status Dashboards (status.csoc.de)
      • Dashboard vscanner kommt nichts an
        • Standard Credentials, update-Status etc.
        • Agends:
          • Zu langsam und errors
          • Status über nicht meldender Agends nicht noch vorhanden
        • Separater Termin für Dashboard fachliche Beurteilung
        • Feedback Anfang nächster Woche
      • Erfahrung aus Ticketbearbeitung
        • Zusätzlicher Termin erforderlich -> nächsten Di. 13:00 Uhr
        • Prio im Ticketsystem anzeigen (welches sind die Telefontickets
        • Offene Tickets sichten
          • Events, die aufgelaufen sind, inkl. "False Positives"
          • 16.000 Alerts
      • Logs aus Firewall -> noch offen, kommen Central und XG logs an?
        • Nimmt Miriam zur Prüfung mit
      • Brute-Force
        • Ab wie vielen Anmeldeversuchen melden -> unser Vorschlag 10 Feedback zur schlechten Analyse "Proxy"
    • 2023-01-23:
      • Neue Dashboards werden in 2 Wochen auf alle Kunden ausgerollt
      • Nächsten Monat: Monatsbericht wird kommen
      • Frage nach Sophos-Central noch offen
      • In zwei Wochen: geändertes Onboarding, -> später über Ticket -> Info über neuen Agend, Regelwerk über Ticket anpassen
      • Frage nach Info-Tickets -> mit ja und sinnvoll bestätig
      • Rollouts kann schon gestartet werden, -> Systeme landen dann aut0omatisch im Onboarding
    • 2022-02-24:
      • Seit letzten Monat melden 400 Systeme keine Daten mehr -> bemerkt wird das erst jetzt Kevin sucht nach dem Problem und informiert wieder
    • 2022-02-16: Eskalationsgespräch
      • Status Dashboards
        • Liste mit Agends, die aber nichts melden -> will CSCO noch liefern
          • Anforderung ist verstanden
          • Kibana kann immer nur auf eine Tabelle schauen
          • Ist in Bearbeitung, wird priorisiert
        • Allgemein zu den Dashboards
          • Interne Frage, ob sinnvoll für den Kunden, welche Kennzahlen möchten wir?
          • Verschiedene Ebenen, allgemeine Sicht -> Absprung auf einzelne PCs
          • Verweise auf
            • Regelwerke aus zwei Quelle: heute Sigma-Rules + Wazuh Rules -> wird aktuell in eine Welt zusammengeführt
            • Braucht noch Zeit
        • Management-Berichte
          • Kommen erst nach dem Go-Live
          • Monatsbericht: erst möglich, wenn sinnvolle Daten vorhanden
          • Preview-Bericht kann schon mal erstellt werden -> prüfen, ob wir einen Test bekommen können
        • OnBoarding, immer gleiche Dinge
          • Status: domänen krahu und hkr sind drauf, critical events sind fertig (critical, high, medium, low)
          • Noch 5-6 Regel in "High"
          • Krah systeme sieht gut aus
          • Hkr systeme -> altsysteme verursache großen onboarding aufwand
            • Systeme mit HKR im Namen fertig
            • Einzelne Systeme können auf Leitstelle geschaltet werden
            • Idee: alle Meldungen der Altsysteme als Ausnahmen definieren
              • Wir bekommen Übersicht der Regeln aus Altsystemen -> dieses Liste wird dann im Nachhinein abgearbeitet und "gesäubert"
            • Abgestimmt, dass wir das so machen
        • Grund für "alte Kamellen": Wechsel von Stufe auf Medium
        • Sophos Protokolle
          • Integration Sophos muss technisch noch geprüft werden
          • Firewalldaten kommen heute schon an (Hardwareanbindung ok)
          • SophosCentral: unklar, ob daten schon ankommen -> Termin erforderlich
            • Im Termin wird geklärt, wo die Daten her kommen
            • Ggf. Remote-Syslog an einen Port bei uns
            • oder API
            • -> Termin mit Jo Meth (Vorschläge, -> Christopher schickt Find-Time
        • Im Onboarding wurde noch nie ein Punkt aus der Firewall besprochen -> Ulrich prüft das
        • Termin GoLive -> ~ 2 Wochen, konkret bewusst nicht festgelegt.
        • Test
        • Nächste Domänen
          • KNITTLINGEN
            • Kleines Werk ~ 30 Systeme
            • Bewertung ober alles White-Listen
          • KRAH & HKR erst auf die Leitstelle
            • HKR-Altsysteme -> Ausnahmen s.o.
            • ~ 2 - 3 Wochen
    • 2021-11-23: Quartalsgespräch, mit Miriam und Teresa
      • Miriam -> du angeboten
      • Liste mit kritischen Systemen
      • Liste mit Status, ob beide Dienste Daten liefern
      • CSOC benötigt Liste über IP-Segmente
      • CSOC benötigt Liste über Businness-Applikation -> E-Mail Job einrichten
      • Go-Live abhängig von Anzahl Agents -> Ziel Ende Dez.
      • Sophos Central API -> noch mal prüfen, RS Ulrich
      • Prüfen, ob HKR-Systeme schon daten melden
    • 2021-10-27: Krisengespräch, mit @Jörg Lammerich und @Miriam Schaak
      • SysMon hat sich quer gestellt - 30 T Wazu Agends sind aktiv
      • DashBoard wird schon vor dem GoLive zur Verfügung gestellt, so dass wir den Agend-Status sehen können
      • CSOC prüft, ob eine Alarmierung aktiviert werden kann, wenn ein Server keine Daten mehr sendet
      • KRAH setzt virtuelle Maschine zum test der autom. Deployments auf
      • KRAH clont defekte Maschine, auf der der Agend aktuell installiert ist
    • 2021-09-17:
      • 80 h nach Stromausfall ohne Daten -> wie kann das nicht bemerkt werden?
    • 2021-09-10: Abschlussgespräch
      • Was passiert bei welchen Ticket-Prioritäten
        • Ticket wird immer während Öffnungszeit (Bearbeitung noch am gleichen Tag)
        • Wenn Prio hoch -> Hörer wird in die Hand genommen
          • Liste muss noch definiert werden
        • Incident -> Notrufkette
        • ISB
        • Nicht Personengebunden -> 3 Leute ergänzen
          • Christopher schickt Daten von Eray & Michael
        • Häufig kommen "konservative" Themen - lieber ein Ticket zu viel -> Techniker muss drauf gucken
      • VScanner
        • Andere Technologie, aktiv auf System -> Log-Übertragung
        • aktiver Schwachstellenscanner von außen (Portscans) -> Findet auch Systeme ohne Agend
        • Installationsstatus noch unbekannt
        • Erzeugt andere Events als der Agend
        • Liste über Subnetze erforderlich
          • Definieren wann welche Bereiche gescannt werden dürfen (z.B. außerhalb der Produktionszeit) -
          • Arbeitsplätze während mittags
          • i.d.R. Scan 1 x wöchentlich -> nach Wunschzeit
          • Liste im SharePoint ausfüllen -> HKR beachten
        • Frau Schark lädt zu einem Quartalsgesprächen neu einladen
        • Kommunikationswege
        • Vscanner vs. "normale" Überwachungsereignisse
          • Was macht der V-Scanner jetzt mehr
        • Verfahren im Umgang mit Tickets
    • 2021-09-03:
      • Zugangsdaten für Linux-Gerät -> wg. DocuSnap
        • Hotline, Notfallkontakte
          • Monatliche Pauschale Kostenpflichtig - 24/7
            • Hat Ansprechpartner, Dokumentation etc.
            • Dokumentiert den FallKappa Vor Ort am nächsten Tag
          • Training:
          • Erstaufschlag sauber Dokumenten
          • Meldekette
          • Incident Response Plan - Training jährlich durch Planspiel
            • Zeit und Art wird gemessen (wie Apoll 13)
            • Jemand für ein Statement nach außen bereithalten -> Stakeholder informieren
        • fred.schmidt@tuv-austria.com DHPG Wirtschaftsprüfer -> tuv-austria.com Joint-Venture -> CSOC
        • ~2 Punkte noch offen
        • Nächste Woche Abschlussgespräch am Freitag (KW36)
          • Verfahren und Umgang mit Tickets
        • Aufschaltung dann in KW37
          • Vorstellung im "Ground-Team" und Aufschaltung
        • Erweiterung Domänen, RES, WITEC:
          • Neue Systeme autom. ins Onboarding noch nicht umgesetzt)
          • Alternativ: eine Woche aus Leitstelle -> dann neue Landschaft hinzuschalten
          • Dashboard: ab nächster Woche (nichts für "Thread-Hunting")
        • Wöchentliche Routine-Analysen -> Ticket wird erstellt (Feinjustierung der Einstellungen)
    • 2021-08-20:
      • Onboarding läuft
      • Frau Shark -> übernimmt dann die Quartalsgespräche
      • prozentualer Fortschritt:
        • Datenanalyse bei 75% -> 2 bis 3 Termin
      • Bethke am 13.Sep in Elternzeit -> Bis dahin Datenanalyse abschließen
      • Dashboards kommen spätestens Ende des Jahres
    • 2021-07-16:
      • Neue MST-Datei wird ausgetauscht
        • Kann der WAZU auf 32Bit Produktionsrechner verteilt werden? -> Erfahrung?
        • Wann sind wir im Status, dass wir Berichte bekommen und selbst das DashBoard einsehen können?
        • Vscanner nicht per SSH erreichbar
        • Probleme mit dem SysMon bei HKR
    • 2021-07-02:
      • 125 aktiv, 47 disconnected
      • Vorbereitung vscanner
      • Subnetzt und IP Adressen benötigt
      • Port im Servernetz ->Server direkt erreichbar machen
      • Zugriff auf alle Clients per Firewall einstellen
      • IP 172.21.10.7/16
      • Firewall: Regel, dass Sensor-IP über Port 22 auf 172.21.10.7 zugreifen kann
      • Eine Höheneinheit
      • Hardware-Port wird markiert
    • 2021-06-25:
      • 115 Systeme sind aktiv
      • Fehler noch nicht gefunden (Funktion des Agend zum Files anschauen verursacht vermutlich den Fehler)
      • 55 Systeme sind noch offline -> ChrKl prüft, ob diese die neue Konfiguration haben -> ChrKl
      • Info an Jo, so dass alle Domänen den CSOC Server erreichen -> ChrKl
    • 2021-06-18: Dienste beenden sich weiter
    • 2021-06-11:

      • 165 Clients

        161 Disconnected

        • Dienst künftig mit Einstellung autom. Neustart Deployen -> ChrKl
        • Ãœberwachung der Agends auf Servern nach 30 Min E-Mail -> CSOC
        • Log  C:\Program Files (x86)\ossec-agent\ossec.log von mehreren Systemen senden
    • 2021-05-07:

      • Noch keine User im Ticketsystem -> SteFi, ChrKl ->

        WAZU Client ausrollen -> auf Testumgebung

    • 2021-04-30:
      • Ticketsystem
      • Ticket muss auf offen gestellt werden -> sonst Anruf
      • Ticket wird nicht quittiert -> sonst Anruf
      • Wunsch: Normaler Prozess, Ausnahme darf erstellt werden
      • Beispiel: Token.bat wird gestartet -> Alarm, jede WOche, -> Ausnahmeregel wird aufgenommen, Datei mit den Ausnahmen kann von uns eingesehen werden.
      • Technik:
      • erstes System installiert: Daten kommen an, aktuell disconnected
      • Klein & Fiebrich in Freitagsserie aufgenommen
    • 2021-04-23:

      • System läuft

        Weiterentwicklung: stufe 3

        Logdatenanalyse

        Wazu Agend muss verteilt werden

        Server muss vorbereitet werden

        Schnittstelle zum KRAH-Netz wird benötigt (Sensor <-> interne Netz) müsste vorhanden sein

        Ggf. firewall ports öffnen (Agend -> Sensor Kommunikation)

         

        Erster Test manuelle Installation (PowerShell Befehl)

        Sysmon muss zusätzlich auf den Systemen installiert sein (ausrollen)

        Verteilung per GPO möglich oder Desktop Central

        Ausrollen auf Gruppen von ~ 20 Geräten (pro Bereich)

        • Csoc gibt uns Termin für Server Update

        • Test ausrollen, SysMon & Wazu

        • Port Mirroring bleibt wie bisher erhalten

          Syslog daten müssen mit dem neuen System verarbeitet werden, ggf. muss parsing angepasst werden

        • Dokumentation:

          Details zu den IP-Adressen benötigt -> Was verbirgt sich hinter einer IP?

          Docusnap Export vorbereiten

  • Kleinstprojekte / Themen (Text-> Datum)

    • offen

    • abgeschlossen

  • offene Projekte