Posted in Normal Data on October 7, 2008 | Leave a Comment »
สำหรับผู้ให้บริการเว็บไซด์ มีความดีมาให้รับทราบ ทางทีมพัฒนา SRAN ได้จัดทำสคิปในการส่ง Log ที่สอดคล้องกับหลักเกณฑ์การเก็บบันทึกข้อมูลจราจร สำหรับ Web Server มาเพื่ออำนวยความสะดวกให้สำหรับนักพัฒนาเว็บ (Webmaster) และประโยชน์ในการสืบค้นหาการใช้งานเว็บไซด์เพื่อประเมินความเสี่ยงภัยคุกคามที่อาจเกิดขึ้นบนเว็บของท่าน อีกทั้งยังสามารถจัดสถิติเพื่อรองรับการทำ CRM (Customer Relationship Management) เพื่อประโยชน์สำหรับธุรกิจเว็บไซด์ของคุณเองอีกด้วย
Safe House Services คือ บริการที่รับฝากข้อมูลจราจร ที่ผ่านเว็บบริการ (Web Services)
รายละเอียด Data SafeHouse Services สามารถอ่านได้ที่ http://safehouse.sran.net
คุณสมบัติิิทางเทคโนโลยี
เป็นระบบเก็บเหตุการณ์ผู้ใช้งานเว็บไซด์และตรวจจับการโจมตีผ่านเวบที่มีความสามารถดังต่อไปนี้คือ
1.1 เก็บบันทึกข้อมูลจราจรสำหรับผู้ให้บริการเว็บไซด์ (Data Storage)
1.2 จัดทำระบบสืบค้นข้อมูลจราจรเพื่อเก็บบันทึกข้อมูลจราจร (Data Archive) โดยระบุตามข้อกำหนดจากหลักเกณฑ์การเก็บบันทึกข้อมูลจราจรตามที่กฏหมายกำหนด (Data Compliance)
1.3 จัดทำระบบรักษาความน่าเชื่อถือของข้อมูลจราจร (Data Hashing)
1.4 ระบุตำแหน่ง IP Address ที่เปิดเว็บไซด์ ผ่านระบบแผนที่ดาวเทียม
1.5 ทราบถึงข้อมูลระบบ OS (Operating System) และชนิดบราวเซอร์จากผู้เยี่ยมชมทำการเปิดเว็บไซด์
1.6 [...]
Read Full Post »
Posted in Mail, Normal Data on April 26, 2008 | 2 Comments »
มีหลายองค์กรที่ใช้ Lotus Note Mail ทางทีมวิจัยและพัฒนา SRAN จึงได้เขียน Rule เพื่อจับลักษณะการใช้งาน Lotus Note ขึ้นโดยใช้หลักพิจารณาตามห่วงโซ่เหตุการณ์ (Chain of Event) คือ
Who : Mail ID , Subject Mail (อยู่ในระหว่างการพัฒนา)
What : ลักษณะการใช้งาน Lotus Note Mail , ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์ ส่วนใหญ่เป็นการส่งไปที่ Mail Server ที่เป็น Lotus Notes
Where : ไอพีต้นทาง (Source IP) และ Source Port , ไอพีปลายทาง (Destination IP) และ Destination [...]
Read Full Post »
Posted in Mail, Normal Data on April 17, 2008 | Leave a Comment »
ตอนนี้อุปกรณ์ SRAN Security Center ทุกรุ่นที่สามารถเก็บบันทึกข้อมูลได้อัตโนมัติ สามารถที่จะเก็บบันทึกข้อมูลการรับส่ง e-mail โดยตรวจตาม Protocol ดังต่อไปนี้ได้
- การรับ-ส่ง E-mail ผ่าน Protocol POP3-SMTP
- การรับ-ส่ง Secure E-mail ผ่าน SSL-Secured POP3 , SSL-Secured IMAP
- การรับ-ส่งข้อมูล Mail ชนิด Lotus Note
และล่าสุดการวิเคราะห์ E-mail ที่ไม่รบกวนความเป็นส่วนตัว โดยพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ คือ
Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์
What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์
Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง [...]
Read Full Post »
ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้ Login เข้า Domain Controller
ลักษณะการใช้งาน Authentication
ชื่อฐานข้อมูล Signature : Authentication Domain Controller
หมายเลข : NDA001
วันที่ติดตั้งฐานข้อมูล : 25/03/08
ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การ Login เข้าสู่ Domain Controller (Windows Server Active Directory)
ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น
Who : ชื่อ User ที่ทำการ Login
What : เป็นการระบุตัว (Authentication) ผ่าน Domain Controller (Windows)
Where [...]
Read Full Post »
Posted in Normal Data, P2P on February 17, 2008 | Leave a Comment »
ลักษณะการใช้งาน Peer-to-Peer
1. ชื่อฐานข้อมูล Signature : P2P BitTorrent Peer sync
หมายเลข : NDP001
วันที่ติดตั้งฐานข้อมูล : 06/11/07
ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer ในแต่ละชนิด
ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น
Who : ทราบ IP ต้นทาง , IP ปลายทาง
What : ลักษณะการใช้งาน P2P
Where : ชนิดโปรแกรม P2P
When : ทราบถึงเวลาการใช้งาน
Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ
ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการใช้ P2P โปรแกรม Bit Torrent
2. ชื่อฐานข้อมูล Signature : P2P napster login
หมายเลข [...]
Read Full Post »
