Derzeit keine.

Meldungstypen

Die im Rahmen des AW-Dienstes beobachteten Vorfälle sind unterschiedlicher Art. Zu diesem Zweck werden sie durch sogenannte Meldungstypen klassifiziert. Jeder Meldungstyp steht für eine Klasse von ähnlichen Vorfällen.

In den verschickten Warnmeldungen werden die Meldungstypen nur kurz erläutert, um die Warnmeldungen nicht zu lang werden zu lassen. Auf diesen Webseiten finden Sie ausführliche Erläuterungen zu allen Meldungstypen inklusive konkreter Beispiele.

Derzeit werden folgende Meldungstypen verwendet:

Neben der tabellarischen Darstellung im Textteil der Warnmeldung, beinhalten die E-Mails, die wir Ihnen schicken auch einen XML-Anhang, der sich insbesondere zur automatischen Verarbeitung der Warnmeldungen eignet.

Die Struktur dieses XML-Anhangs stellt sich etwas vereinfacht wie folgt dar:

 

<warning awId="AW#JJJJ-XXXXXXX>
  <message category="Meldungskategorie" ip="aaa.bbb.ccc.ddd">
    <description>Kurze Meldungserläuterung.
    </description>
    <event timestamp="Zeitpunkt der Beobachtung" ... >
      <auxiliary_info ... />
      <record>Textbeleg der Beobachtung</record>
    </event>
  </message>
</warning>

 

Die einzelnen Elemente dieser Meldung sind dabei

  • message - Alle Meldungen einer Kategorie zu einer IP-Adresse. Dieses Element entspricht einemTabellenblock im Textteil der Warnmeldung. Kategorie und IP-Adresse finden sich in den Atributen dieses Elements.

  • description - Die kurze Meldungserläuterung der Meldungskategorie. Diese entspricht der Erläuterung im Tabellenblock.
  • event - Eine einzelne Beobachtung zu Kategorie und IP-Adresse. Diese enthält immer einen Zeitstempel (timestamp), der in der Regel mit dem "Zuletzt gesehen" Zeistempel im Textteil übereinstimmt.

  • Zusätzlich treten in Abhängigkeit von der Kategorie folgende Attribute auf:

    • cert_diagnosis: Name der diagnostizierten Malware
    • feedback: Link zu der Beobachtung bei der ursprünglichen Quelle. Dies dient zum Beispiel dazu Spamvorfälle bei der ursprünglichen Quelle als bearbeitet zu markieren und so ggf. Blacklisteinträge zu verhindern oder zu entfernen.
    • ip_protocol: IP-Protokoll der Beobachtung (TCP, UDP)
    • malware_hash: Hashsumme einer beobachteten Malware
    • malware_hash_type: Typ der Hashsumme (MD5, SHA1, ...)
    • observation_end: Ende der Beobachtungen. Werden mehrere Beobachtungen über einen gewissen Zeitraum aggregiert, so startet dieser Zeitraum mit dem Zeitstempel in timestamp und endet mit dem als observation_end angeführten Zeitstempel. In diesem Fall erscheint der observation_end Zeitstempel als "Zuletzt gesehen" im Textteil der Warnmeldung.
    • occurences: Anzahl der Beobachtungen. Werden mehrere Beobachtungen aggregiert, so gibt dies die Anzahl der aggregierten Beobachtungen an.
    • request: Beobachteter HTML-Request
    • service: Betroffener Dienst (SSH, FTP, ...)
    • source_port: Port auf dem betroffenen System
    • source_url: URL auf dem betroffenen System. Achtung: Modifikationen der URL, die zum Schutz vor versehentlichen Klicks vorgenommen werden (http durch hXXp ersetzen), werden im XML-Anhang nicht durchgeführt. Dies gilt auch für die später beschriebenen target_url und unknown_url.
    • target_ip: Vom betroffenen System kontaktierte IP-Adresse
    • target_port: Port auf dem kontaktierten System
    • target_url: URL auf dem kontaktierten System
    • unknown_url: Relevante URL. Diese kann sich sowohl auf dem betroffenen System als auch auf einem anderen System befinden.


  • auxiliary_info - Liegen uns zu einer Beobachtung weitere Informationen vor, die üblicherweise nicht in einer Meldung dieser Kategorie enthalten sind, so werden diese als zusätzliches Element dem event hinzugefügt. Dabei werden die gleichen Attribute wie für das event verwendet. Das heißt, die üblicherweise vorhandenen Attribute einer Kategorie finden sich im event, sind zusätzliche Informationen verfügbar, finden Sie diese als Attribute in auxiliary_info. Die entsprechende Aufteilung wird in der tabellarischen Darstellung im Textteil der Warnmeldung vorgenommen.
  • record - Liegt uns zu einer Beobachtung ein textueller Beleg vor, etwa die Header einer registrierten Spam-E-Mail, so werden diese in einem zusätzlichen Element dem event hinzugefügt. Dieses Element hat keine Attribute und beinhaltet direkt den textuellen Beleg der Beobachtung.
     aktualisiert am: 07.09.2015 |