Przejdź do głównej zawartości

Konfiguracja powiadomień o incydentach

Powiadomienia mogą być wykorzystywane jako zdarzenia w Syslog, jako powiadomienia SMS czy e-mail.

Konfiguracja Syslog

Aplikacja oferuje możliwość skonfigurowania namiarów na Syslog, do którego będą przekazywane logi incydentów. Po wybraniu odpowiedniej zakładki na lewym panelu, pojawi nam się okno konfiguracyjne Syslog: Syslog main

Możemy tam podać następujące parametry:

  • Host - adres IP / url do syslog
  • Port - port na którym nasłuchuje usługa
  • Standard - mamy do wybory jeden z dwóch standardów: Rfc3164, Rfc5424 oraz CEF
  • Protokół - UDP lub TCP, dodatkowo przy TCP możemy wybrać opcje szyfrowania połączenia

Po wprowadzeniu konfiguracji możemy zapisać zmiany lub wysłać testowego loga.

Testowa wiadomość w formacie CEF ma następującą strukturę:

May 15 16:53:27 DESKTOP-TEST CEF:0|TrapTech|TrapInit|0.13.0|100|TEST-Only|2|msg=TEST-Only
src=127.0.0.1 dhost=TEST-Only dip=127.0.0.1 dpt=8080 DestinationInstanceName=TEST-Only
DestinationDefinitionName=TEST-Only BaitValue=TEST-Only
LogDirectUrl=http://localhost:5000/logs?logId=XXX CustomKey1=TEST-Only CustomKey2=TEST-Only

Kolejno znajdują się tam następujące informacje:

  • Data i czas wysłania loga (May 15 16:53:27)
  • Nazwa hosta gdzie znajduje się TrapInit (DESKTOP-TEST)
  • Standard (CEF:0)
  • Nazwa naszej firmy (TrapTech)
  • Nazwa aplikacji (TrapInit)
  • Wersja aplikacji (0.13.0)
  • Sygnatura id, w aplikacji zawsze 100
  • Nazwa incydentu (TEST-Only)
  • Waga incydentu (2), zawiera jedną wartość spośród trzech:
    • 2 - Info
    • 6 - Attempt
    • 9 - Incident
  • Następnie znajduje się lista wartości w formacie klucz=wartość:
    • msg - Opis incydentu
    • src - Ip atakującego
    • dhost - Nazwa hosta gdzie znajduje się pułapka
    • dip - Ip hosta gdzie znajduje się pułapka
    • dpt - Port na którym znajduje się pułapka
    • DestinationInstanceName - Nazwa instancji pułapki
    • DestinationDefinitionName - Nazwa definicji pułapki
    • BaitValue - Wartość przynęty (pojawia się tylko, gdy występuje w incydencie)
    • LogDirectUrl - Adres bezpośredni do incydentu w aplikacji
    • CustomKey1 - Własny klucz występuje, jeśli log zawiera CustomData

Konfiguracja bramki SMS

W aplikacji jest możliwość skonfigurowanie bramki SMS z użyciem Twilio, która jest używana do wysyłania powiadomień o incydentach. W celu skorzystania z tej funkcji, należy zakupić dostęp na wyżej wymienionej platformie i wprowadzić otrzymane dane w odpowiednie pola na panelu konfiguracyjnym. Twilio

Konfiguracja SMTP

W celu wysyłania powiadomień mailowych, należy podać dane do serwera SMTP. Konfiguracja odbywa się na następującym ekranie: SMTP Kolejno mamy do uzupełnienia następujące pola:

  • Host - adres IP / url do serwera SMTP
  • Port - port na którym dostępna jest usługa
  • Login - login użytkownika do serwera SMTP
  • Hasło - hasło do serwera SMTP
  • Szyfrowanie - do wyboru mamy następujące opcje: SMTP encryption
  • Adres nadawcy maila

Po podaniu danych, przed zapisem mamy możliwość przetestowania połączenia, aby to wykonać, należy użyć przycisku Test. Gdy test przechodzi poprawnie, można zapisać ustawienia przyciskiem Save. Dodatkowo istnieje możliwość wysłania testowego maila, po wybraniu odpowiedniej opcji, ukaże nam się dedykowany w tym celu dialog. SMTP test email