Brukerdokumentasjon for sikkerhetsanalyse

Tjenesten sikkerhetsanalyse skal kunne avsløre ondsinnet aktivitet og kompromitterte maskiner hos den enkelte kunde. Her finner du brukerdokumentasjon, teknisk informasjon om løsningen, samt hva du må gjøre for å komme igang.

Kort om grunnlaget for tjenesten:

På sensoren/serveren kjører open source IDS-løsningen Suricata. UNINETT bruker et regelsett med IDS-signaturer fra Emerghing threats. (per 1.1.2016 har dette regelsettet over 26000 signaturer). Slike åpne regelsett inneholder veldig mange signaturer som gir mange falske positive. Mye av jobben med IDS-løsninger er å skille ut hvilke signaturer som er interessante, og hvilke man kan fjerne.

Ut av Emerghing threats regelsett har derfor UNINETT valgt ut ett sett med regler vi mener kan være interessante for kunden. Kunden kan selv gå inn i loggen og se etter hendelser som treffer disse signaturene for sin(e) sensor(er).

I tillegg velger UNINETT ut et lite utvalg av disse signaturene som skal gi automatisk varsling. Dette vil typisk være tilfeller hvor UNINETT har klare indikasjoner på at det foreligger en sikkerhetshendelse. Dersom kunder ser andre signaturer som burde vært varslet automatisk så setter vi pris på beskjed om dette.

Alle epost-varslinger blir sendt til abuse@<organisasjonsnavn>.no. Loggen fra alle hendelser/treff på signaturer blir sendt til https://laas.uninett.no (Krever Feide-innlogging og tilganger)

Fremgangsmåte: 

  • Kunder som allerede benytter seg av tjenesten kvalitetsmåling (målepåle) har nødvendig hardware (sensor) på plass. Dersom du ikke har det, ta kontakt på kontakt@uninett.no.
  • Påmelding til Logganalyse dersom dette ikke allerede er gjort.
    • Logg inn på Samarbeidsportalen Agora. Der finner man kontaktpersonenene for orgasniasjonen som har mulighet for å bestille tjenester. Hvis det ikke er utpekt en kontaktperson ennå, ta kontakt på kontakt@uninett.no.
    • Kontaktpersonen går inn her og velger «Meld på» for Logganalyse. Det oppgis en tekniskansvarlig for tjenesten.
    • Trykker på «Lagre»
    • UNINETT oppretter en bruker til den tekniskansvarlige i tjenesten. Denne personen har mulighet å gi tilgang til flere brukere.
  • Legge til Sikkerhetsanalyse tjenesten i Logganalyse, navngi tjenesten gjerne som "ids" og velge suricata som log source.
  • Det må gis UNINETT CERT tilgang til å lese logger fra denne servicen. Da må du legge til lesetilgang fra denne gruppa: OU:FAG-U12@uninett.no.
  • Etter dette trenger UNINETT å gjøre noen endringer for at loggene blir lagt inn i servicen.
     
  • Oversikt over alle signaturer og konfigurering av tjenesten kan gjøres via her (Krever Feide-innlogging og tilganger. Dersom du ikke får valgt din institusjon i Feide-innlogging må lokal Feide-administrator aktivere Feide-innlogging for Sikkerhetsanalyse i Feide kundeportalen). Her kan du:
    • Definere dine egne lokale interne nett bak sensoren, såkalt Home-network. (Krav for å komme igang med tjenesten) 
    • Håndtere hvitelisting for IP-adresser man av en eller annen grunn ikke vil varsles om.
    • Skrive egne regler, og velge egne regler som skal varsles automatisk. 
    • Definere hvem som skal ha tilgang til ids.uninett.no (Vi må legge inn første tekniske kontakt som kan gi videre tilganger)
    • Dokumentasjon av dette grensesnittet finnes øverst i høyre hjørnet på websiden