Zápisnica

Zapisovateľ: Kridlová Radoslava

Prítomní: 6 členov (Balogh Štefan, Gurbaľová Terézia, Kridlová Radoslava, Revaj Juraj, Ševčíková Ema, Šurab Lukáš)

Program

  1. Zhodnotenie úloh z predchádzajúceho stretnutia
  2. Zhodnotenie aktuálnej situácie a dostupných nástrojov
  3. Stanovenie úloh

Bod č. 1

  • Interface spájajúci viacero nástrojov dokopy je napr. Camel a Nifi.
  • Webstránka je skoro hotová.
  • Analyzované nástroje sú zhodnotené v bode č.2.

Bod č. 2

  • Blade je na C bloku a nie v dátovom centre, preto sa k nemu zatiaľ nevieme pripojiť.
  • Produkty budeme hodnotiť podľa toho, čo ponúkajú a čo si pýtajú (nie len open source).
  • Použiteľné nástroje sú ElasticSearch, LogSearch, Graylog, GreyCrotex, Suricata Wazuh, QRadar je takisto použiteľný, stačila by aj Community Edition.
    • Wazuh už máme a možno aj integráciu so Suricatou. Wazuh má Discord, z ktorého vieme čerpať.
    • ElasticSearch je populárny a má vlastnú komunitu. Dajú sa nastaviť vlastné patterny. Od nejakej verzie už nie je open source a napreduje rýchlejšie, no open source by možno stačil. Ak by bol dostatočne pružný, bol by ideálny.

Bod č. 3

  • Pozrieť s ana OSSEC, ktorý je ,,bratom” Wazuhu.
  • Zistiť, ako je to s aktualizáciami Wazuhu, či je schopný držať krok
  • Stanoviť a spísať si požiadavky, čo od systému chceme a na základe čoho vieme vymyslieť testy na funkcionality.
    • Aký je detection rate?
    • Aké typy útokov dokáže nástroj detekovať?
    • Formy reakcie.
    • Z čoho všetkého sa zbierajú dáta?
    • Akým spôsobom je možná integrácia? Dokáže korelovať dáta a vyhodnocovať niečo komplexnejšie?
    • Umožňujú rozšírenia napr. detekcie konkrétneho ransomware a pod.?