Analitikus Adatközpont

Az Analitikus Adatközpont célja a Nemzeti Kibervédelmi Intézet (NKI) operatív működésének támogatása, ennek keretében nagy adatmennyiségek biztonságos fogadása, analitikus elemzés kiszolgáló adattárolása és kezelése.

Az adat- és információbiztonsági követelményekkel összhangban, a NKI folyamatait integrálva, biztosít gyakorlatorientált Adatközpontot, használata révén a kockázat detektálási képesség, így áttételesen a védett szervezetek és rendszerek kiberbiztonsága megerősítésre kerül.

Bileta Logo

Adatmegosztási lehetőségek

A beérkezett adatokból lehetősége van ügyfeleinknek adatmegosztást igényelni, eseti vagy rendszeres jelleggel.

Elérhető adatmegosztások:

Különböző káros kóddal fertőzött, káros kódot terjesztő,  botnet vagy scan tevékenységet végző hosztok, és azokhoz fűződő adatok. A fertőzöttség leggyakrabban sinkhole technikával kerül felfedezésre.

Az adatmegosztásban használt mezők, és azok jelentése:

Név Magyarázat
timestamp észlelt esemény időbélyege (UTC)
local ip érintett (forrás) IP cím
local port érintett (forrás) hálózati port
type esemény típusa
infection fertőzöttség megnevezése
url érintett URL
agent user agent (HTTP eseményeknél)
remote ip érintett (cél) IP cím
remote port érintett (cél) hálózati port
service provider érintett szolgáltató megnevezése
asn érintett szolgáltató ASN száma

Az adatmegosztás vesszővel elválaszott fájlokkal történik (.csv formátum), amely az igénylő e-mail címére kerül megküldésre.

Péda:

timestamp,local,ip,local,port,type,infection,url,agent,remote,ip,remote,port,service,provider,asn
2022-06-05,01:50:33,xxx.255.xxx.43,2974,botnet/drone,downadup,GET,/search?q=5314,HTTP/1.0,Mozilla/4.0,(compatible;,MSIE,6.0;,Windows,NT,5.1;,SV1;,.NET,CLR,2.0.50727),xxx.214.xxx.152,80,Szolgáltató,ASxxx
2022-06-02,12:44:54,xxx.184.xxx.194,59183,botnet/drone,sality,/logo.gif?e5445086=-1345523310,NULL,xxx.104.xxx.205,80,Szolgáltató,ASxxx
2022-06-04,00:00:25,xxx.155.xxx.175,42090,darknet,mirai,NULL,NULL,NULL,2323,Szolgáltató,ASxxx

Sérülékeny szolgáltatást nyújtó hosztok és azokhoz fűződő adatok.

Az adatmegosztásban használt mezők, és azok jelentése:

Név Magyarázat
timestamp észlelt esemény időbélyege (UTC)
local ip érintett (forrás) IP cím
local port érintett (forrás) hálózati port
type esemény típusa
tag eseményhez köthető címkék
server sérülékeny szoláltatást nyújtó alkalmazás
more data További információ (pl. ssl sérülékenység esetén a használt chiper suite)
service provider érintett szolgáltató megnevezése
asn érintett szolgáltató ASN száma

TOP 5 malware típus százalékos megoszlása az utóbbi egy hét adatai szerint