Feeds:
Posts
Comments

Archive for the ‘Normal Data’ Category

สำหรับผู้ให้บริการเว็บไซด์ มีความดีมาให้รับทราบ ทางทีมพัฒนา SRAN ได้จัดทำสคิปในการส่ง Log ที่สอดคล้องกับหลักเกณฑ์การเก็บบันทึกข้อมูลจราจร สำหรับ Web Server มาเพื่ออำนวยความสะดวกให้สำหรับนักพัฒนาเว็บ (Webmaster) และประโยชน์ในการสืบค้นหาการใช้งานเว็บไซด์เพื่อประเมินความเสี่ยงภัยคุกคามที่อาจเกิดขึ้นบนเว็บของท่าน อีกทั้งยังสามารถจัดสถิติเพื่อรองรับการทำ CRM (Customer Relationship Management) เพื่อประโยชน์สำหรับธุรกิจเว็บไซด์ของคุณเองอีกด้วย


Safe House Services คือ บริการที่รับฝากข้อมูลจราจร ที่ผ่านเว็บบริการ (Web Services)

รายละเอียด Data SafeHouse Services สามารถอ่านได้ที่ http://safehouse.sran.net

คุณสมบัติิิทางเทคโนโลยี

เป็นระบบเก็บเหตุการณ์ผู้ใช้งานเว็บไซด์และตรวจจับการโจมตีผ่านเวบที่มีความสามารถดังต่อไปนี้คือ

1.1 เก็บบันทึกข้อมูลจราจรสำหรับผู้ให้บริการเว็บไซด์ (Data Storage)

1.2 จัดทำระบบสืบค้นข้อมูลจราจรเพื่อเก็บบันทึกข้อมูลจราจร (Data Archive) โดยระบุตามข้อกำหนดจากหลักเกณฑ์การเก็บบันทึกข้อมูลจราจรตามที่กฏหมายกำหนด (Data Compliance)

1.3 จัดทำระบบรักษาความน่าเชื่อถือของข้อมูลจราจร (Data Hashing)

1.4 ระบุตำแหน่ง IP Address ที่เปิดเว็บไซด์ ผ่านระบบแผนที่ดาวเทียม

1.5 ทราบถึงข้อมูลระบบ OS (Operating System) และชนิดบราวเซอร์จากผู้เยี่ยมชมทำการเปิดเว็บไซด์

1.6 ทราบถึงความเสถียรภาพเครื่องเว็บไซด์ สถิติผู้เข้าชมเว็บแบบ Real Time พร้อมเก็บบันทึกข้อมูลเป็นรายวัน เดือน ปี ที่สามารถดูย้อนหลังได้ พร้อมออกรายงานการใช้งาน

1.7 ระบบสามารถทราบถึงภัยคุกคามที่เกิดขึ้นบนเว็บไซด์ ที่ให้บริการ เช่น ภัยคุกคามจากการโจมตีเว็บ (Web Application Hacking)

1.8 พฤติกรรมการเข้าใช้เวบไซต์ของผู้เยี่ยมชมจากหน้าหนึ่งไปยังอีกหน้าหนึ่ง (Visualize Web Tracking) บอกถึงแนวโน้มของพฤติกรรมของผู้เยี่ยมชม ว่ามาจากที่ไหน และจะไปหน้าไหนมากที่สุด อาทิเช่น ผู้เยี่ยมชมที่มาจากการค้นหาของ Google แล้วเข้ามาที่หน้าไหนในเวบที่วัดสถิติมากที่สุด หรือเมื่อเข้ามา หน้านี้แล้วจะเข้าไปหน้าไหนมากที่สุด และมีจำนวนเท่าใด

หลักเกณฑ์การเก็บ Log ของผู้ให้บริการเว็บไซด์ เมื่อทำการเปรียบเทียบกับ SRAN Safehouse

คลิกที่รูปเพื่อดูรูปขยาย

ส่วนนี้เองจะเป็นการระบุ Log ที่เกิดขึ้นให้สอดคล้องกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับ คอมพิวเตอร์ ที่เกี่ยวข้องกับการเก็บบันทึกข้อมูลจราจรผ่านเว็บแล้ว ประกอบด้วย

– ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ (หมายเลข 2)
– ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (หมายเลข 1)
– ข้อมูลหมายเลขอินเตอร์เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น (หมายเลข 3)
– ข้อมูลคำสั่งการใช้งานระบบ ( หมายเลข 4 และ 5 )
– ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล (URI : Uniform Resource Identifier) เช่นตำแหน่งของเว็บเพ็จ ( หมายเลข 6 )

PresentationSRAN Data Safehouse

อ่านรายละเอียดการสมัครใช้งานได้ที่ http://safehouse.sran.net/man/manual.html

ลักษณะการให้บริการ http://safehouse.sran.net/services.html

Advertisements

Read Full Post »

มีหลายองค์กรที่ใช้ Lotus Note Mail ทางทีมวิจัยและพัฒนา SRAN จึงได้เขียน Rule เพื่อจับลักษณะการใช้งาน Lotus Note ขึ้นโดยใช้หลักพิจารณาตามห่วงโซ่เหตุการณ์ (Chain of Event) คือ

Who : Mail ID , Subject Mail (อยู่ในระหว่างการพัฒนา)

What : ลักษณะการใช้งาน Lotus Note Mail , ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์ ส่วนใหญ่เป็นการส่งไปที่ Mail Server ที่เป็น Lotus Notes

Where : ไอพีต้นทาง (Source IP) และ Source Port , ไอพีปลายทาง (Destination IP) และ Destination Port

When : วันและเวลา

Why (How) : เป็นลักษณะการใช้งานที่เป็นการบุกรุก หรือ เป็นการใช้งานปกติ (ดูจากสีของ event ที่ปรากฏในหน้าจอ SRAN)

รูป สรุปการใช้งาน e-mail ภายในองค์กร

รูปหน้าจอที่แสดงผลการตรวจลักษณะการใช้งาน Lotus Note Mail โดยทำการเก็บบันทึกการใช้งาน IP ต้นทาง ปลายทาง ช่วงเวลาที่ใช้งาน

รูปแสดงค่า Payload ซึ่งแสดงความถูกต้องในการติดต่อสื่อสาร

Read Full Post »

ตอนนี้อุปกรณ์ SRAN Security Center ทุกรุ่นที่สามารถเก็บบันทึกข้อมูลได้อัตโนมัติ สามารถที่จะเก็บบันทึกข้อมูลการรับส่ง e-mail โดยตรวจตาม Protocol ดังต่อไปนี้ได้

– การรับ-ส่ง E-mail ผ่าน Protocol POP3-SMTP

– การรับ-ส่ง Secure E-mail ผ่าน SSL-Secured POP3 , SSL-Secured IMAP

– การรับ-ส่งข้อมูล Mail ชนิด Lotus Note

และล่าสุดการวิเคราะห์ E-mail ที่ไม่รบกวนความเป็นส่วนตัว โดยพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ คือ

Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์

What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

โดยลักษณะ Who , What และ Why สามารถอ่านเนื้อหาเป็นภาษาญี่ปุ่นได้ (Japanese Language)

เป็นวิธีที่อำนวยความสะดวกและสามารถดูข้อมูลแบบเข้าใจง่ายกว่าวิธี syslog ทั่วไป

ภาพหน้าจอ จำนวนการรับและส่ง e-mail บนระบบเครือข่าย ที่ติดตั้งอุปกรณ์ SRAN

ภาพหน้าจอ SRAN ที่เก็บบันทึกข้อมูลการส่ง e-mail และเห็น Subject mail ,เนื้อหา เป็นภาษาญี่ปุ่นได้

ภาพ การบันทึกข้อมูล จากการรับ e-mail โดยแสดงผลอยู่บนอุปกรณ์ SRAN จะเห็นว่าพบเนื้อที่เป็นภาษาญี่ปุ่นและสามารถอ่านได้อย่างสะดวกกว่า เทคโนโลยีการเก็บบันทึก Log ธรรมดา

Read Full Post »

ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้ Login เข้า Domain Controller

ลักษณะการใช้งาน Authentication

ชื่อฐานข้อมูล Signature : Authentication Domain Controller

หมายเลข : NDA001

วันที่ติดตั้งฐานข้อมูล : 25/03/08

ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การ Login เข้าสู่ Domain Controller (Windows Server Active Directory)

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น

Who : ชื่อ User ที่ทำการ Login

What : เป็นการระบุตัว (Authentication) ผ่าน Domain Controller (Windows)

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงวันเวลาการ Login ของ User นั้น

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ Login สำเร็จหรือไม่

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการ Authentication

Read Full Post »

P2P

ลักษณะการใช้งาน Peer-to-Peer

1. ชื่อฐานข้อมูล Signature : P2P BitTorrent Peer sync

หมายเลข : NDP001

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer ในแต่ละชนิด

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น

Who : ทราบ IP ต้นทาง , IP ปลายทาง

What : ลักษณะการใช้งาน P2P

Where : ชนิดโปรแกรม P2P

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการใช้ P2P โปรแกรม Bit Torrent

2. ชื่อฐานข้อมูล Signature : P2P napster login

หมายเลข : NDP002

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer โปรแกรม Napster

3. ชื่อฐานข้อมูล Signature : P2P napster new user login

หมายเลข : NDP003

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer โปรแกรม Napster

4. ชื่อฐานข้อมูล Signature : P2P napster download attempt

หมายเลข : NDP004

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer โปรแกรม Napster

5. ชื่อฐานข้อมูล Signature : P2P napster upload requestหมายเลข : NDP005

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer โปรแกรม Napster

6. ชื่อฐานข้อมูล Signature : P2P GNUTella client request

หมายเลข : NDP006

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer โปรแกรม GNUTella

7. ชื่อฐานข้อมูล Signature :  P2P Outbound GNUTella client request

หมายเลข : NDP007

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer โปรแกรม GNUTella

8.  ชื่อฐานข้อมูล Signature :  P2P eDonkey transfer

หมายเลข : NDP008

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-toPeer โปรแกรม eDonkey

9. ชื่อฐานข้อมูล Signature : P2P eDonkey server response

หมายเลข  : NDP009

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer โปรแกรม eDonkey

10. ชื่อฐานข้อมูล Signature : P2P AOL Instant Messenger file receive attempt

หมายเลข : NDP010

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer โปรแกรม AOL IM

11. ชื่อฐานข้อมูล Signature : P2P AOL Instant Messenger file send attempt

หมายเลข : NDP011

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer Chat จากโปรแกรม AOL IM

12. ชื่อฐานข้อมูล Signature : P2P Skype client successful install

หมายเลข : NDP012

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer VoIP จากโปรแกรม Skype

13. ชื่อฐานข้อมูล Signature : P2P Skype client login

หมายเลข : NDP013

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer VoIP จากโปรแกรม Skype

14. ชื่อฐานข้อมูล Signature : P2P BitTorrent Traffic

หมายเลข : NDP014

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer จากโปรแกรม BitTorrent

15. ชื่อฐานข้อมูล Signature :  KazaaClient P2P Traffic

หมายเลข : NDP015

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer จากโปรแกรม  Kazaa

16. ชื่อฐานข้อมูล Signature : P2P LimeWire P2P Traffic

หมายเลข : NDP016

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer จากโปรแกรม LimeWire

17. ชื่อฐานข้อมูล Signature : P2P Morpheus Install ini Download

หมายเลข : NDP017

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร :  บันทึกการใช้งาน Peer-to-Peer จากโปรแกรม Morpheus

18. ชื่อฐานข้อมูล Signature : P2P Direct Connect Traffic (client-server)

หมายเลข : NDP014

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึกข้อมูลจราจร : บันทึกการใช้งาน Peer-to-Peer ชนิดติดต่อระหว่าง Client – Server

Read Full Post »

Mail

1. ชื่อฐานข้อมูล Signature : SMTP Send Mail Data Traffic

หมายเลข : NDM001

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การใช้งานส่งอีเมลล์

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น

Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์

What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการส่งอีเมลล์ (Send E-mail)

ภาพการวิเคราะห์ Log การส่ง E-mail

2. ชื่อฐานข้อมูล Signature : POP3 Receive Mail Data Traffic

หมายเลข : NDM002

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การใช้รับอีเมลล์

3.เก็บบันทึกข้อมูลการรับส่ง e-mail โดยตรวจตาม Protocol ดังต่อไปนี้ได้

– การรับ-ส่ง E-mail ผ่าน Protocol POP3-SMTP

– การรับ-ส่ง Secure E-mail ผ่าน SSL-Secured POP3 , SSL-Secured IMAP

– การรับ-ส่งข้อมูล Mail ชนิด Lotus Note

และล่าสุดการวิเคราะห์ E-mail ที่ไม่รบกวนความเป็นส่วนตัว โดยพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ คือ

Who : Mail ID , ชื่อหัวเรื่องเมลล์ (Subject) , ชื่อ Files ที่แนบมากับอีเมลล์

What : ลักษณะการใช้งานเป็นการรับ (Receive) หรือส่ง (Send) อีเมลล์

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

โดยลักษณะ Who , What และ Why สามารถอ่านเนื้อหาเป็นภาษาญี่ปุ่นได้ (Japanese Language)

ภาพหน้าจอ จำนวนการรับและส่ง e-mail บนระบบเครือข่าย ที่ติดตั้งอุปกรณ์ SRAN

ภาพหน้าจอ SRAN ที่เก็บบันทึกข้อมูลการส่ง e-mail และเห็น Subject mail ,เนื้อหา เป็นภาษาญี่ปุ่นได้

ภาพ การบันทึกข้อมูล จากการรับ e-mail โดยแสดงผลอยู่บนอุปกรณ์ SRAN จะเห็นว่าพบเนื้อที่เป็นภาษาญี่ปุ่นและสามารถอ่านได้อย่างสะดวกกว่า เทคโนโลยีการเก็บบันทึก Log ธรรมดา

Read Full Post »

FTP

ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้งาน FTP

ลักษณะการใช้งานการสนทนาผ่านโปรแกรม Upload / Download

1. ชื่อฐานข้อมูล Signature : FTP Login Attempted

หมายเลข : NDF001

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก : เป็นการบันทึกข้อมูลจราจร  User Login บน FTP

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event) เพื่อพิจารณา Log ที่เกิดขึ้น

Who : ไอพีต้นทาง (Source IP) ไอพีปลายทาง (Destination IP) ในการติดต่อสื่อสาร

What : เป็นลักษณะการ Upload files หรือ Download Files

Where : IP Server Upload/Download หรือ Domain Name

When : ทราบถึงเวลาการใช้งาน

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการใช้สนทนาโดยใช้โปรแกรม Upload/Download

2. ชื่อฐานข้อมูล Signature : FTP Download File Data Traffic

หมายเลข : NDF002

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก : เป็นการบันทึกข้อมูลจราจร  Download Files

3. ชื่อฐานข้อมูล Signature : FTP Upload File Data Traffic

หมายเลข : NDF003

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก  : เป็นการ Upload Files

4. ชื่อฐานข้อมูล Signature : FTP Login Success

หมายเลข : NDF004

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก : การ Login ที่ถูกต้อง

5. ชื่อฐานข้อมูล Signature : FTP Login Failed

หมายเลข : NDF005

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก :  เป็นการ Login ที่ผิด

6. ชื่อฐานข้อมูล Signature : FTP Logout

หมายเลข : NDF006

วันที่ติดตั้งฐานข้อมูล : 06/11/07

ลักษณะการบันทึก : เป็นการ  Logout ออกจากระบบ

Read Full Post »

Older Posts »