SIRIOS
Module
- IT-Incident Tracking
- Autorensystem für Advisories
- Schwachstellen Datenbank
- Artefakt Datenbank
- Kontakt Datenbank
- Ticket Modul
- WebWatcher
- Call Modul
- IDMEFConsole
IT-Incident Tracking
Fast jeder Angriff, der die Sicherheit im Netz betrifft, beginnt mit einem Vorfall. Das Modul dient der flexiblen und gleichzeitig normierten Beschreibung der Systempara-meter betroffener Systeme, um einen schnellstmöglichen, CERT-übergreifenden Aus-tausch der neuen Informationen zu unterstützen. Der Datenaustausch zwischen den CERTs findet auf Basis des XML-Formats IODEF statt. Das Modul beinhaltet:
- Überblick über alle im System bereits vorhandenen Vorfälle und ihren Status
- Schrittweises Anlegen und klassifizieren neuer Vorfälle
- Dokumentation der Kontaktdaten von Meldern, Betroffenen oder Verantwortlichen
- Detailspezifikation des Vorfalls
- Dokumention der Angriffsereignisse auf Basis unterschiedlicher Ereignisvorlagen
- Suchfunktion nach Vorfällen
- Import/Export von Vorfalls-Dateien auf Basis von IODEF-konformen XML-Dateien
Autorensystem für Advisories (Meldungen)
Das Advisory Modul unterstützt die Erstellung und Bearbeitung von Meldungen zu identifizierten Incidents und Schwachstellen. Das Modul beinhaltet:
- Übersicht aller verfügbaren Advisories und Ihres Bearbeitungszustands
- Erstellung neuer Advisories auf Basis des XML-Formats EISPP-DAF und vordefinierten Formularen
- Systemübergreifender Austausch von Advisories
- Suche nach Advisories
- Import/Export von Advisories
Schwachstellen Datenbank
Bei einer Schwachstelle (Vulnerability) handelt es sich um Befehlskombinationen, Anwendungsoptionen oder anderen Handhabungen einer Software, die es einem Angreifer unter bestimmten Umständen erlauben, in einen Rechner einzudringen und dort Rechte zu erlangen, die einen Missbrauch möglich machen. Das Modul beinhaltet:
- Neuerstellung von Schwachstellen-Reports
- Weitere Bearbeitung der Schwachstellen-Reports
- Suche nach Schwachstellen-Reports in der Schwachstellen-Datenbank
Artefakt Datenbank
Artefakte sind Daten, die im Zusammenhang mit IT-Incidents (z.B: Exploits) dokumentiert werden sollen. Das Modul zur Dokumentation und Verarbeitung von Artefakten beinhaltet:
- Neuerstellung, d.h. Beschreibung und Klassifizierung von Artefakten
- Verknüpfung der Artefakte mit anderen Artefakten, Ticktes oder Schwachstellen-Reports
- Weitergehende Bearbeitung von Artefakten
- Suche nach Artefakten in der Artefakt-Datenbank
Kontakt Datenbank
Das Modul zur Kontaktverwaltung ermöglicht das Anlegen, Verwalten und Suchen nach Kontaktdaten. Eine Suche nach Kontaktdaten kann in der lokalen Datenbasis von SIRIOS in LDAP Verzeichnissen oder angebundenen SQL-Datenbanken erfolgen.
Ticket Modul
Das Ticket-Modul beinhaltet die Hauptfunktionen zur Erfassung und Bearbeitung eingehender Vorgänge:
- Erfassung und weitere Klassifikation von Vorgängen auf Basis vorstrukturierter Templates für Telefon- und E-Mail Tickets
- Übersichtlich Darstellung (Queue-Ansicht) über alle Vorgänge (Tickets)
- Sperrung/Zuweisung (Freigabe) von Tickets auf einzelne Mitarbeiter
- Anzeige des Ticketinhalts und sämtlicher vorgangsbezogener Metadaten (z.B. Eskalationszeiten, Ticketalter, Kontaktdaten etc.)
- Anzeige der Tickethistorie, d.h. aller Aktionen, Status, Akteure und Zeitstempel
- Prioritätenänderung von Vorgängen
- Planung und Protokollierung von Aktivitäten über Notizen
- Besitzerwechsel eines Vorgangs im Bearbeitungsverlauf
- Zusammenfassung gleichartiger oder inhaltlich zusammengehöriger Vorgänge
- Planung von Aktivitäten über die Wiedervorlagefunktionalität
- Schließen von Vorgängen Tickets unter Angabe eines frei konfigurierbaren Status (z.B. erfolgreich / erfolglos geschlossen)
- Ausführung syntaktischer und kriterienbasierter Volltextsuchen über den gesam-ten Ticketbestand, Queues, Verantwortliche etc.
- Personalisierung der Oberfläche und des Systemverhaltens.
WebWatcher
Üblicherweise verlässt sich ein CERT bei der Überwachung von Schwachstellen nicht ausschließlich auf von Benutzern eingehende Meldungen, sondern prüft immer wieder bestimmte Informationsquellen auf Neuigkeiten ab. In den meisten Fällen werden diese Quellen Webseiten sein, die sich mit Sicherheitslücken und Schwachstellen beschäftigen, aber auch z.B. Newsticker aus dem IT-Umfeld.
SIRIOS stellt dem Betreiber eines CERTs mit dem WebWatcher ein leistungsfähiges Werkzeug zur Verfügung, die genannte Prüfung von Webseiten auf relevante Informationen zu automatisieren und damit die vormals dafür aufgewendeten Resourcen anderen Aufgaben im CERT zur Verfügung zu stellen.
Da eine Schwachstelleninformation, die auf einer der überwachten Webseiten auftritt, im Prinzip nichts anderes ist als eine (Email-) Meldung von einer beliebigen Person, sorgt der Webwatcher dafür, dass die gefundenen Informationen als neues Ticket angelegt und damit automatisch in den üblichen Meldungseingang übernommen werden.
Call Modul
Da Call-Modul ermöglich es, event- bzw. parametergesteuert Alarmierungen aus SIRIOS per Telefon an verantwortliche Personen weiterzuleiten. Im Call-Modul lassen sich verschiedene Call-Trigger erstellen, konfigurieren und verwalten. Wird ein Call getriggert, wandelt SIRIOS die Nachricht von Text in Sprache um und versendet sie an die definierten Empfänger(Gruppen). Alle Calls werden dokumentiert, mit dem auslösenden Ticket verlinkt.
IDMEF Console
Intrusion Detection Systeme (IDS) haben in den letzten Jahren sehr an Bedeutung gewonnen. Damit der Output unterschiedlicher IDS standardisiert und damit ver-gleichbar wird, wurde das Intrusion Detection Message Exchange Format (IDMEF) geschaffen. IDMEFs werden i.d.R. automatisiert ausgewertet, dennoch besteht die Notwendigkeit, IDMEF-Daten auch manuell bearbeiten zu können. Das Modul IDMEFConsole stellt folgende Funktionalitäten zur Verfügung:
- Datenbank-übergreifende Verwaltung von Intrusion Detection Messages
- Vergleichen von IDMEF-Daten
- Verknüpfung zusammengehöriger IDMEF-Daten
- Generierung Vorfälle im IODEF-Format aus IDMEF-Daten
- Export- und Import Suche von IDMEFs