- Kích hoạt cảnh báo theo giờ, giả sử như khi lỗi 404 trong mỗi giờ lớn
3.2. Mã nguồn Falcon Orchestrator
3.2.1. Giới thiệu chung
Falcon Orchestrator là một công cụ mã nguồn mở được xây dựng dựa trên CrowdStrike’s Falcon Connect APIs. Có khả năng tự động hóa quy trình làm việc và khả năng quản lý các sự cố an ninh, cũng như khả năng điều tra số forensic và đưa ra các biện pháp khắc phục sự cố tức thời.
Falcon Orchestrator là công cụ do hãng Crowdstrike xây dựng nhằm bổ trợ cho phần incident response của hãng nên chúng mặc định được thiết kế sử dụng các APIs do hãng cung cấp.
Falcon Orchestrator tổng hợp các sự cố an ninh được detect bởi hệ thống SIEM có sẵn của tổ chức, nó giúp phân loại sự cố, thậm chí là phân cơng cơng việc cho các thành viên trong nhóm IR. Các thành viên trong nhóm IR sẽ nhận được các cơng việc tương ứng để có thể giải quyết sự cố. Falcon Orchestrator có một số giải pháp ứng phó tạm thời như block các file binary, kill process hay disable user,... Cung cấp một khả năng ứng phó nhanh chóng.
Là một ứng dụng chạy trên nền tảng Windows, cơng cụ này được lập trình và phát triển sử dụng các thư viện và công cụ như .NET 405, C#, ASP.NET MVC 4, Entity Framework và PowerShell. Project được viết bằng Visual Studio 2015 và được public công khai trên github.com.
Dưới đây là các thư viện bên ngoài được sử dụng trong project này, các thư viện này không được cung cấp kèm theo project trên github:
HighCharts HighCharts.NET DotNetZip JSON.NET AutoMapper Log4Net WIX JQuery JQuery DataTables Bootstrap 58 TIEU LUAN MOI download : skknchat@gmail.com
Kiến trúc Project gồm có 7 modules chính tương ứng với các chức năng của project tổng thể:
Bảng 3: Các modules của project Falcon Orchestrator
Name
Client Windows Service
DAL Class Library
Installer Setup Project
LDAP Class Library
Fornsics Class Library
IOC Class Library
Web ASP.NET
Web Application
3.2.2. Thành phần và chức năng chính của Falcon Orchestrator