Security Operations

Das DFN-CERT bietet seit jeher Dienstleistungen zur Verbesserung der eigenen IT-Sicherheit an, sowohl im Bereich der Prävention als auch der Reaktion. Diese Leistungen stehen Teilnehmern am DFN über den Dienst DFN.Security zur Verfügung. Im Rahmen der Security Operations werden diese Dienstleistungen kontinuierlich erweitert, was die Erschließung neuer Datenquellen inkludiert. Teilnehmer können zudem Logdaten ihrer eigenen IT-Systeme zur Analyse an uns übertragen. Zu diesem Zweck stellen wir Ihnen die Komponente SOC-Connector zur Installation auf den eigenen Systemen bereit.

Als weiteres Dienstmerkmal steht den Teilnehmenden DNS-RPZ (Domain Name System-Response Policy Zone) zur Verfügung. DNS-RPZ ist ein Verfahren, um bei der Namensauflösung durch rekursive DNS-Resolver mittels eigener Richtlinien einzugreifen und dadurch letztlich den Zugriff auf bösartige Domains zu unterbinden.

Bitte beachten Sie, dass sowohl die Logdatenanalyse als auch die Nutzung von DNS-RPZ erfordert, dass Sie mindestens die Dienstvereinbarung für die DFN.Security Basisleistungen unterzeichnet haben! Bevor dies nicht der Fall ist, können wir Ihnen keinen Zugang zu den Systemen einrichten. Wenden Sie sich dafür bitte an dfn.security@dfn.de.

SOC-Connector

Der SOC-Connector dient der Einlieferung von Logdaten in das Analysesystem des DFN-CERTs. Sie benötigen dafür die Anleitung, das Shell-Skript "soc-connector.sh" sowie ein Zertifikat mit zugehörigem Schlüssel.

Anleitung

Die Anleitung steht in zwei Varianten bereit:

Kurzanleitung: auf der Webseite oder als PDF zum Download (SOC-Connector Quickstart-Anleitung)
Detaillierte Anleitung: auf der Webseite oder als PDF zum Download (SOC-Connector Installations- und Bedienungsanleitung)

Skript

Das Shell-Skript steht zum Download zur Verfügung.
soc-connector.sh

Zertifikat und Schlüssel

Das Zertifikat nebst Schlüssel erhalten Sie von uns in einer verschlüsselten E-Mail, sobald dem DFN-Verein die notwendigen Vertragsunterlagen vorliegen.

Fehlermeldungen

Hinweise zu den Fehlermeldungen des Skripts finden Sie hier.
SOC-Connector - Fehler-Codes

Kontakt

Bei Rückfragen, insbesondere wenn Sie kein Zertifikat erhalten sollten, wenden Sie sich bitte direkt an portal-contact@dfn-cert.de.

Logdatenanalyse

Wenn Sie den SOC-Connector einsetzen wollen, müssen Sie überlegen, welche Daten er übertragen soll und daraus folgend, welche Anwendungsfälle für Sie relevant sind. Eine Erläuterung der aktuell möglichen Prüfungen finden Sie hier.

DNS-RPZ

Die Beschreibung der Funktionsweise und Nutzung des DFN.Security-Dienstbestandteils DNS-RPZ findet sich im Dokument DNS-RPZ_Grundlegende_Informationen.pdf.

Die Erfassung von Teilnehmerdaten für die DNS-RPZ-Inbetriebnahme erfolgt über das im Dokument DNS-RPZ_Teilnehmerdaten.pdf enthaltene Formular. Schicken Sie uns dieses ausgefüllt zu, damit wir die Konfiguration für die Dienstanbindung vornehmen können.

Das Dokument DNS-RPZ_Administration.pdf dient als Hilfestellung, um DNS-RPZ mit der DNS-Software BIND zu konfigurieren. Die Konfiguration ist auch als eigenständige Datei DNS-RPZ_BIND_Konfiguration.txt erhältlich und muss nicht aus diesem Dokument extrahiert werden.

Kontaktperson

Teamleitung
Dipl.-Inform. Christine Kahl