Cellcrypt Federal Stack Auditing and Monitoring មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់

មាតិកា លាក់

1 Cellcrypt Federal Stack Auditing and Monitoring

2 សេចក្តីផ្តើម

3 DB

4 អ្នកគ្រប់គ្រង ECS ECS

5 AUX

6 សវនកម្មជង់

7 លក្ខណៈពិសេសសវនកម្មអនុលោមតាម NIAP

8 Exampលទ្ធផលសម្រាប់ការតភ្ជាប់ IP

9 ឯកសារ/ធនធាន

9.1 ឯកសារយោង

10 ប្រកាសដែលពាក់ព័ន្ធ

Cellcrypt Federal Stack Auditing and Monitoring

ផ្លូវច្បាប់
រក្សាសិទ្ធិ © Cellcrypt Inc. រក្សាសិទ្ធិគ្រប់យ៉ាង។ ទាំងទាំងមូល ឬផ្នែកណាមួយនៃព័ត៌មានដែលមាននៅក្នុងឯកសារនេះ មិនអាចប្រែប្រួល ឬផលិតឡើងវិញជាសម្ភារៈ ឬទម្រង់អេឡិចត្រូនិកណាមួយឡើយ ដោយគ្មានការយល់ព្រមជាលាយលក្ខណ៍អក្សរជាមុនពីម្ចាស់កម្មសិទ្ធិបញ្ញា។ ព័ត៌មាននៅក្នុងឯកសារនេះគឺអាចផ្លាស់ប្តូរដោយគ្មានការជូនដំណឹងជាមុន។ Cellcrypt Inc. មិនធ្វើការធានាគ្រប់ប្រភេទទាក់ទងនឹងព័ត៌មាននេះ រួមទាំង ប៉ុន្តែមិនកំណត់ចំពោះការធានាដែលបង្កប់ន័យនៃលទ្ធភាពធ្វើពាណិជ្ជកម្ម និងសម្បទាសម្រាប់គោលបំណងជាក់លាក់ណាមួយ។ Cellcrypt Inc. និងអ្នកនិពន្ធនឹងមិនទទួលខុសត្រូវចំពោះកំហុសដែលមាននៅទីនេះ ឬសម្រាប់ការខូចខាតដោយចៃដន្យ ឬជាលទ្ធផលដែលទាក់ទងនឹងគ្រឿងសង្ហារិម ដំណើរការ ឬការប្រើប្រាស់សម្ភារៈនេះទេ។

ការព្រមាន៖ ឯកសារនេះត្រូវបានការពារដោយច្បាប់រក្សាសិទ្ធិ និងសន្ធិសញ្ញាអន្តរជាតិ។ ការផលិតឡើងវិញ ឬការចែកចាយឯកសារនេះដោយគ្មានការអនុញ្ញាត ឬផ្នែកណាមួយនៃឯកសារនេះ អាចបណ្តាលឱ្យមានទោសទណ្ឌរដ្ឋប្បវេណី និងព្រហ្មទណ្ឌធ្ងន់ធ្ងរ ហើយនឹងត្រូវកាត់ទោសតាមកម្រិតអតិបរមាដែលអាចធ្វើទៅបានក្រោមច្បាប់។

ប៉ាតង់កំពុងរង់ចាំ Cellcrypt Inc
រាល់ការខិតខំប្រឹងប្រែងត្រូវបានធ្វើឡើងដើម្បីធានាថាខ្លឹមសារនៃឯកសារនេះគឺត្រឹមត្រូវ។ ទោះយ៉ាងណាក៏ដោយ ទាំងអ្នកនិពន្ធ និងក្រុមហ៊ុន Cellcrypt Inc. មិនទទួលយកការទទួលខុសត្រូវណាមួយចំពោះការបាត់បង់ ឬការខូចខាតដែលបង្កឡើង ឬការចោទប្រកាន់ថាត្រូវបានបង្កឡើងដោយឯកសារនេះដោយផ្ទាល់ ឬដោយប្រយោល។

សេចក្តីផ្តើម

សៀវភៅណែនាំនេះនឹងផ្តល់ការណែនាំអំពីរបៀបធ្វើសវនកម្មផ្នែកនីមួយៗនៃ Cellcrypt Stack។ ដោយសារនេះជាសៀវភៅណែនាំបច្ចេកទេស វាពិតជាមានតម្លៃក្នុងការនិយាយថា ព័ត៌មានបន្ថែមអំពីរបៀបដំណើរការសវនកម្មមាននៅក្នុងសេវាកម្មជំនួយ - ផ្នែកសវនកម្មនៃសៀវភៅណែនាំអំពីលក្ខណៈបច្ចេកទេស និងតម្រូវការ។
ប្រសិនបើអ្នកមានចម្ងល់ ឬកង្វល់ សូមទាក់ទងមកយើងខ្ញុំតាមរយៈ support@csghq.com.

ផ្លូវទៅកាន់កំណត់ហេតុ
ទីតាំងលម្អិតនៃកំណត់ហេតុ files សម្រាប់រាល់ឧទាហរណ៍នៃ Cellcrypt Stack ។

DB

ឧបករណ៍បណ្តាញ NDcPP យោង	ព្រឹត្តិការណ៍	កន្លែងដែលត្រូវរកវា។	ភស្តុតាង
FMT_SMF.1	សំណួរមូលដ្ឋានទិន្នន័យ	–	–

ម៉ារីយ៉ាឌីប៊ី

កំហុសមូលដ្ឋានទិន្នន័យ និងការព្រមាន៖/var/log/mariadb/mariadb.log

API

ឧបករណ៍បណ្តាញ NDcPP យោង	ព្រឹត្តិការណ៍	កន្លែងដែលត្រូវរកវា។	ភស្តុតាង
FCS_HTTP S_EXT.1	បរាជ័យក្នុងការបង្កើត HTTPS Session។	/var/log/ nginx/api- [DOMAIN]- error.log
FCS_TLSC_ EXT.1	បរាជ័យក្នុងការបង្កើត TLS Session	/var/log/ nginx/api- [DOMAIN]- error.log

FCS_TLSS_ EXT.1

បរាជ័យក្នុងការបង្កើត TLS Session

/var/log/ nginx/api- [DOMAIN]-

error.log

EMP

ឧបករណ៍បណ្តាញ NDcPP យោង	ព្រឹត្តិការណ៍	កន្លែងដែលត្រូវរកវា។	ភស្តុតាង
FIA_AFL.1	ការព្យាយាមចូលដែលមិនជោគជ័យត្រូវបានបំពេញ ឬលើសកម្រិតកំណត់។	–	–
FAU_GEN. ១.១	កំណត់ពាក្យសម្ងាត់ឡើងវិញ	/var/log/ សារ
		/opt/secure/ portal/app/ storage/logs/ laravel.log
FCS_HTTP S_EXT.1	បរាជ័យក្នុងការបង្កើត HTTPS Session។	/var/log/ nginx/emp- [DOMAIN]- error.log
FCS_TLSC_ EXT.1	បរាជ័យក្នុងការបង្កើត TLS Session	/var/log/ nginx/emp- [DOMAIN]- error.log

FCS_TLSS_ EXT.1

បរាជ័យក្នុងការបង្កើត TLS Session

/var/log/ nginx/emp- [DOMAIN]-

error.log

ឧបករណ៍បណ្តាញ NDcPP យោង	ព្រឹត្តិការណ៍	កន្លែងដែលត្រូវរកវា។	ភស្តុតាង
FCS_HTTP S_EXT.1	បរាជ័យក្នុងការបង្កើត HTTPS Session។	/var/log/nginx/my- [DOMAIN]- error.log
FCS_TLSC _EXT.1	បរាជ័យក្នុងការបង្កើត TLS Session	/var/log/nginx/my- [DOMAIN]- error.log
FCS_TLSS _EXT.1	បរាជ័យក្នុងការបង្កើត TLS Session	/var/log/nginx/my- [DOMAIN]- error.log

អេសអេស

ឧបករណ៍បណ្តាញ NDcPP យោង	ព្រឹត្តិការណ៍	កន្លែងដែលត្រូវរកវា។	ភស្តុតាង
FIA_UIA_E XT.1	រាល់ការប្រើប្រាស់យន្តការកំណត់អត្តសញ្ញាណ និងការផ្ទៀងផ្ទាត់។	/var/log/ សារ

FIA_UAU_E XT.2	រាល់ការប្រើប្រាស់យន្តការកំណត់អត្តសញ្ញាណ និងការផ្ទៀងផ្ទាត់។	/var/log/ សារ
FMT_SMF.1	សកម្មភាពគ្រប់គ្រងទាំងអស់នៃទិន្នន័យ TSF ។	/var/log/ សារ
FCS_TLSC_ EXT.1	បរាជ័យក្នុងការបង្កើត TLS Session	/var/log/ stunnel/ stunnel.log
FCS_TLSS_ EXT.1	បរាជ័យក្នុងការបង្កើត TLS Session	/var/log/ stunnel/ stunnel.log
FCS_TLSS_ EXT.2	បរាជ័យក្នុងការផ្ទៀងផ្ទាត់អតិថិជន	/var/log/ stunnel/ stunnel.log
–	activate_remote_wipe –	/var/log/ សារ
–	authenticate_admin_user	/var/log/ សារ
–	admin_logout	/var/log/ សារ
–	admin_session_ផុតកំណត់	/var/log/ សារ
–	send_password_reset_mail	/var/log/ សារ
–	check_password_reset	/var/log/ សារ

–	reset_password	/var/log/ សារ
–	add_admin_user_partner_g roup	/var/log/ សារ
–	create_admin_user	/var/log/ សារ
–	delete_admin_user	/var/log/ សារ
–	user_register	/var/log/ សារ
–	modify_user_roles	/var/log/ សារ
–	update_by_id	/var/log/ សារ
–	ឧបករណ៍_អាប់ដេត_ស្ថានភាព	/var/log/ សារ
–	add_alias	/var/log/ សារ
–	លុបឈ្មោះក្លែងក្លាយ	/var/log/ សារ
–	លុបគណនី	/var/log/ សារ
–	auth_my_user	/var/log/ សារ

–

user_logout

/var/log/ សារ

តុដេក

ឧបករណ៍បណ្តាញ NDcPP យោង	ព្រឹត្តិការណ៍	កន្លែងដែលត្រូវរកវា។	ភស្តុតាង
FCS_HTTP S_EXT.1	បរាជ័យក្នុងការបង្កើត HTTPS Session។	/var/log/nginx/ vault- [DOMAIN]- error.log
FCS_TLSC_ EXT.1	បរាជ័យក្នុងការបង្កើត TLS Session	/var/log/nginx/ vault- [DOMAIN]- error.log
FCS_TLSS_ EXT.1	បរាជ័យក្នុងការបង្កើត TLS Session	/var/log/nginx/ vault- [DOMAIN]- error.log

SIP

ឧបករណ៍បណ្តាញ NDcPP

យោង

ព្រឹត្តិការណ៍

កន្លែងដែលត្រូវរកវា។

ភស្តុតាង

FAU_GEN .1/CDR	ការបង្កើតទិន្នន័យសវនកម្ម (កំណត់ត្រាលម្អិតការហៅទូរសព្ទ)	/var/log/ opensips.log	2022-12-07T19:17:55.672734+00:00 sip-* /usr/ local/sbin/opensips[35710]: ACC: call ended: created=1645211866;call_start_time=16452118 67;duration=8;ms_duration=8296;setuptime=1; method=INVITE;ពី_tag=fa6f84b3-38a2-4709- 8ffd-3e10f52df51d;to_tag=809ab268-06ba-41e 1-9f03-4270ebe692af;call_id=ba07fafd-963c-46 39- a454-6bba4627c887;code=200;reason=OK;src_i p=;dst_ip=13.90.174.9;call_end_time=1645211 875;call_type=Audio;caller=;callee=
FIA_UAU 2/VVoIP	ការចុះឈ្មោះជោគជ័យ ឬបរាជ័យនៃចំណុចបញ្ចប់ VVoIP/ឧបករណ៍	/var/log/ opensips.log
FIA_UAU 2/VVoIP	ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃចំណុចបញ្ចប់/ឧបករណ៍ VvoIP ខាងក្រៅ	/var/log/ opensips.log
FMT_SMF .1	បើក/បិទមុខងារឧបករណ៍/ចំណុចបញ្ចប់ VVoIP	/var/log/ opensips.log
FCS_TLS S_EXT.2	បរាជ័យក្នុងការផ្ទៀងផ្ទាត់អតិថិជន	/var/log/ opensips.log

Nginx

ការចូលប្រើ TLS - ចុះឈ្មោះរាល់ការតភ្ជាប់ TLS ទៅ HTTPS Proxy/var/log/nginx/api.domain.com-access.log
កំហុស TLS - ចុះឈ្មោះរាល់កំហុស TLS នៅពេលភ្ជាប់ទៅ HTTPS Proxy/var/log/nginx/api.domain.com-error.log

ស្រឡាំងកាំង។
កំណត់ហេតុសេវាកម្មផ្លូវរូងក្រោមដី /var/log/stunnel/stunnel.log

ECS
អ្នកគ្រប់គ្រង ECS

សកម្មភាព និងកំហុសរបស់ ECS
/var/log/supervisor/ecs-stderr

កំហុសក្នុងការតភ្ជាប់ ECS
/var/log/supervisor/ecs-stdout-

ធ្វើសមកាលកម្មសកម្មភាព និងកំហុស
/var/log/supervisor/sync-emp-stderr

កំហុសក្នុងការធ្វើសមកាលកម្មការតភ្ជាប់
/var/log/supervisor/sync-emp-stdout-

អ្នកគ្រប់គ្រង
កំណត់ហេតុ - ចុះឈ្មោះ នៅពេលណាដែលម៉ាស៊ីនមេត្រូវបានបង្កាត់ បញ្ឈប់ ឬដំណើរការឡើងវិញ។ /var/log/supervisor/supervidord.log

សញ្ញាផ្កាយ
សញ្ញាផ្កាយ កំណត់ហេតុ សកម្មភាព និងសារកំហុស

Nginx
ការចូលប្រើ TLS - ចុះឈ្មោះរាល់ការតភ្ជាប់ TLS ទៅ HTTPS Proxy/var/log/nginx/ecs.domain.com-access.log

កំហុស TLS - ចុះឈ្មោះរាល់កំហុស TLS នៅពេលភ្ជាប់ទៅ HTTPS Proxy/var/log/nginx/ecs.domain.com-error.log

អេសអេស
អ្នកគ្រប់គ្រង SAS
កំណត់ហេតុ សកម្មភាព និងសារកំហុសរបស់កម្មករ SAS NodeJS
/var/log/supervisor/*

ប្រតិបត្តិការ Backend-v4 សារ និងកំណត់ហេតុ
/var/log/supervisor/backend-v4-*

កំណត់ហេតុអ្នកគ្រប់គ្រង
ចុះឈ្មោះនៅពេលណាដែលម៉ាស៊ីនមេត្រូវបានបង្កាត់ បញ្ឈប់ ឬដំណើរការឡើងវិញ។ /var/log/supervisor/supervidord.log

ម៉ាស៊ីនមេកម្មវិធីសុវត្ថិភាព
កំណត់ហេតុ សកម្មភាព និងសារកំហុសរបស់ SAS Gearman Workers
/var/log/secure-application-server/*

អាឡឺម៉ង់
កំហុសពេលដំណើរការម៉ាស៊ីនមេអាល្លឺម៉ង់
/var/log/gearman-job-server/gearman.log

រ៉េឌីស
កំណត់ហេតុប្រតិបត្តិការ Redis
/var/log/redis/redis-server.log

ធ្វើឡើងវិញ
កំណត់ហេតុប្រតិបត្តិការ និងការតភ្ជាប់ឡើងវិញ
/var/log/supervisor/sip-reverse-stderr-*

ស្រឡាំងកាំង។
កំណត់ហេតុសេវាកម្មផ្លូវរូងក្រោមដី
/var/log/stunnel/stunnel.log

SIP
អ្នកគ្រប់គ្រង SIP
Revinetd - កំណត់ហេតុសេវាកម្មបញ្ច្រាស SIP
/var/log/supervisor/sip-reverse-stderr-*Supervisor Log – ចុះឈ្មោះនៅពេលណាដែលម៉ាស៊ីនមេត្រូវបានបង្កាត់ បញ្ឈប់ ឬចាប់ផ្តើមឡើងវិញ។ /var/log/supervisor/supervidord.log

ចំហរ
ចុះឈ្មោះរាល់ការប៉ុនប៉ងភ្ជាប់ SIP
/var/log/opensips.log

ស្រឡាំងកាំង។
កំណត់ហេតុសេវាកម្មផ្លូវរូងក្រោមដី
/var/log/stunnel/stunnel.log

តុដេក
អ្នកគ្រប់គ្រងឃ្លាំង
សេវាកម្មតុដេក file ការជូនដំណឹងអំពីការទាញយក/ផ្ទុកឡើង និងកំណត់ហេតុកំហុស
/var/log/supervisor/vault-v3-stderr-*

Nginx
ការចូលប្រើ TLS - ចុះឈ្មោះរាល់ការតភ្ជាប់ TLS ទៅ HTTPS Proxy /var/log/nginx/vault.domain.com-access.log

កំហុស TLS - ចុះឈ្មោះរាល់កំហុស TLS នៅពេលភ្ជាប់ទៅ HTTPS Proxy /var/log/nginx/vault.domain.com-error.log

វិបផតថល (EMP/My)
ឡារ៉ាវ
ចុះឈ្មោះព្រឹត្តិការណ៍ Portal សកម្មភាព និងកំហុស
/opt/secure/portal/app/storage/logs/laravel.log

Nginx
ការចូលប្រើ TLS - ចុះឈ្មោះរាល់ការតភ្ជាប់ TLS ទៅ HTTPS Proxy (EMP)
/var/log/nginx/emp.domain.com-access.log

កំហុស TLS - ចុះឈ្មោះរៀងរាល់
កំហុស TLS ពេលភ្ជាប់ទៅ HTTPS Proxy (EMP)
/var/log/nginx/emp.domain.com-error.log

ការចូលប្រើ TLS - ចុះឈ្មោះរៀងរាល់
ការតភ្ជាប់ TLS ទៅ HTTPS ប្រូកស៊ី (MY)
/var/log/nginx/my.domain.com-access.log

កំហុស TLS - ចុះឈ្មោះរៀងរាល់
កំហុស TLS ពេលភ្ជាប់ទៅ HTTPS Proxy (MY)
/var/log/nginx/my.domain.com-error.log

ស្រឡាំងកាំង។
កំណត់ហេតុសេវាកម្មផ្លូវរូងក្រោមដី
/var/log/stunnel/stunnel.log

AUX

Nginx
ការចូលប្រើ TLS - ចុះឈ្មោះរាល់ការតភ្ជាប់ TLS ទៅ HTTPS Proxy
/var/log/nginx/aux.domain.com-access.log

កំហុស TLS - ចុះឈ្មោះរៀងរាល់
កំហុស TLS នៅពេលភ្ជាប់ទៅ HTTPS ប្រូកស៊ី
/var/log/nginx/aux.domain.com-error.log

កំណត់ហេតុដែលបានចែករំលែក
Syslog
សារកំណត់ហេតុទាំងអស់ត្រូវបានផ្ញើទៅ syslog ។
/var/log/messages

NTP
រាល់ស្ថិតិ និងកំណត់ហេតុដែលទាក់ទងនឹង NTP ។
/var/log/ntpstats/*

SSH
កំណត់ហេតុដេមិន SSH ។
/var/log/secure

សវនកម្មជង់

មុខងារសវនកម្មជាច្រើននៃកម្មវិធីត្រូវបានរចនាឡើងដើម្បីអនុលោមតាមតម្រូវការ NIAP ហើយត្រូវបានបើកតាមលំនាំដើម។
ផ្នែកព័ត៌មាននេះផ្តល់នូវការយល់ដឹងអំពីតម្រូវការអ្វីខ្លះដែលត្រូវបានបំពេញ និងកន្លែងដែលអ្នកអាចស្វែងរកព័ត៌មានទាំងនោះបាន។

Aux

ឧបករណ៍បណ្តាញ NDcPP យោង

ព្រឹត្តិការណ៍

កន្លែងដែលត្រូវរកវា។

ភស្តុតាង

FCS_HTTP S_EXT.1

បរាជ័យក្នុងការបង្កើត HTTPS Session។

/var/log/nginx/ aux-[DOMAIN]-

error.log

លក្ខណៈពិសេសសវនកម្មអនុលោមតាម NIAP

មុខងារសវនកម្មមួយចំនួនដែលតម្រូវដោយ NIAP គឺអាចរកបាននៅពេលដែលម៉ូឌុលសវនកម្មត្រូវបានដំឡើង។ ផ្នែកនេះពន្យល់លម្អិតបន្ថែមទៀតនៃលក្ខណៈពិសេសដែលមានផ្តល់ជូន។

កាលបរិច្ឆេទចាប់ផ្តើម/បិទ/ពេលវេលានៃមុខងារសវនកម្ម
FAU_GEN.1.1 កំណត់ថា TOE នឹងបង្កើតកំណត់ត្រាសវនកម្មនៃការចាប់ផ្តើម និងបិទមុខងារសវនកម្ម

ថ្ងៃទី 23 ខែកក្កដា 14:49:34 ip-172-31-33-210.us-west-2.compute.internal auditd[2207]៖ ដេមិនសវនកម្មកំពុងចាកចេញ។

ថ្ងៃទី 23 ខែកក្កដា ម៉ោង 14:49:36 ip-172-31-33-210.us-west-2.compute.internal systemd[1]៖ ចាប់ផ្តើមសេវាកម្មសវនកម្មសុវត្ថិភាព…
ថ្ងៃទី 23 ខែកក្កដា ម៉ោង 14:49:36 ip-172-31-33-210.us-west-2.compute.internal auditd[22693]៖ បានចាប់ផ្តើមអ្នកបញ្ជូន៖ /sbin/ បានធ្វើសវនកម្មបង់ប្រាក់៖ 22695
ថ្ងៃទី 23 ខែកក្កដា ម៉ោង 14:49:36 ip-172-31-33-210.us-west-2.compute.internal auditd[22693]: Init complete, auditd 2.8.4 listening for events (startup state enabled)

ការតភ្ជាប់ IP
FAU_GEN.1.1/Log បញ្ជាក់ថា TSF នឹងអាចបង្កើតកំណត់ត្រាប្រព័ន្ធនៃការភ្ជាប់ IP ។
Nftables បញ្ចេញការភ្ជាប់ IP ណាមួយដោយផ្ទាល់ទៅក្នុង syslog file.

Exampលទ្ធផលសម្រាប់ការតភ្ជាប់ IP

ថ្ងៃទី 5 ខែសីហា 19:07:41 ip-172-31-33-210 ខឺណែល៖ LOG_IPTABLES_PING_REQUEST៖ IN=eth0 OUT=
MAC=06:d6:65:61:b7:fe:06:b1:01:79:45:47:08:00 SRC=179.184.19.129 DST=172.31.33.210 LEN=84 TOS=0x00
PREC=0x00 TTL=38 ID=6627 DF PROTO=ICMP ប្រភេទ=8 កូដ=0 ID=32536 SEQ=200
ថ្ងៃទី 5 ខែសីហា 19:07:42 ip-172-31-33-210 ខឺណែល៖ LOG_IPTABLES_PING_REQUEST៖ IN=eth0 OUT=
MAC=06:d6:65:61:b7:fe:06:b1:01:79:45:47:08:00 SRC=179.184.19.129 DST=172.31.33.210 LEN=84 TOS=0x00
PREC=0x00 TTL=38 ID=6791 DF PROTO=ICMP ប្រភេទ=8 កូដ=0 ID=32536 SEQ=201
ថ្ងៃទី 5 ខែសីហា 19:07:43 ip-172-31-33-210 ខឺណែល៖ LOG_IPTABLES_PING_REQUEST៖ IN=eth0 OUT=
MAC=06:d6:65:61:b7:fe:06:b1:01:79:45:47:08:00 SRC=179.184.19.129 DST=172.31.33.210 LEN=84 TOS=0x00
PREC=0x00 TTL=38 ID=6835 DF PROTO=ICMP ប្រភេទ=8 កូដ=0 ID=32536 SEQ=202
ចំណាំ៖ សម្រាប់ FAU_GEN.1/CDR's test no. 1, ការតភ្ជាប់ IP ត្រូវបានសាកល្បងតាមរយៈពាក្យបញ្ជា "ping" (ដូច្នេះទម្រង់កំណត់ហេតុដែលបានបង្ហាញខាងលើ)

កំណត់ហេតុស្ថានភាពផ្សេងៗ
FAU_GEN.1.1/Log ក៏អំពាវនាវរកថាស និង file សមត្ថភាពផ្ទុក ស្ថានភាព NTP ការប្រើប្រាស់ស៊ីភីយូ ការប្រើប្រាស់អង្គចងចាំ សមត្ថភាពផ្ទុកសវនកម្ម និងស្ថានភាពកង្ហារ។ ការធ្វើតេស្តវាយតម្លៃវិលជុំវិញការត្រួតពិនិត្យបានឱ្យដឹងថាប៉ារ៉ាម៉ែត្រសម្រាប់រយៈពេល 10 នាទីនិងការអនុវត្តការហៅទូរស័ព្ទ / សារ។ ទាំងនេះត្រូវបានដោះស្រាយដោយប្រើស្គ្រីបសែលសាមញ្ញដើម្បីបញ្ជូនលទ្ធផលពីសេវាកម្មត្រួតពិនិត្យប្រព័ន្ធប្រតិបត្តិការដែលមានស្រាប់។ កំពូលឧបករណ៍ប្រើប្រាស់ OS ត្រូវបានប្រើសម្រាប់ស្ថានភាព CPU/memory និង df សម្រាប់ទំហំថាសដែលមាន។ លទ្ធផលទាំងនេះត្រូវបានបញ្ជូនបន្តទៅកំណត់ហេតុ syslog file.

ថាស/file សមត្ថភាពផ្ទុក

សីហា 5 18:55:01 ip-172-31-33-210 journal: df -h: Fileទំហំប្រព័ន្ធដែលប្រើរួច ប្រើ % បានម៉ោននៅលើ
សីហា 5 18:55:01 ip-172-31-33-210 journal: df -h: /dev/xvda2 10G 3.4G 6.7G 34% /
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ទិនានុប្បវត្តិ: df -h: devtmpfs 897M 0 897M 0% /dev
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ទិនានុប្បវត្តិ: df -h: tmpfs 919M 0 919M 0% /dev/shm
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ទិនានុប្បវត្តិ: df -h: tmpfs 919M 79M 840M 9% / ដំណើរការ
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ទិនានុប្បវត្តិ: df -h: tmpfs 919M 0 919M 0% /sys/fs/cgroup
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ទិនានុប្បវត្តិ: df -h: tmpfs 184M 0 184M 0% /run/user/1000
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ទិនានុប្បវត្តិ: df -h: tmpfs 184M 0 184M 0% /run/user/0
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ntpstat៖ ធ្វើសមកាលកម្មទៅម៉ាស៊ីនមេ NTP (204.11.201.10) នៅ stratum 3
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ntpstat: ពេលវេលាត្រឹមត្រូវទៅក្នុងរយៈពេល 37 ms
ថ្ងៃទី 5 ខែសីហា 18:55:01 ip-172-31-33-210 ntpstat: ម៉ាស៊ីនមេបោះឆ្នោតរៀងរាល់ 1024 វិនាទី

ការប្រើប្រាស់ CPU/Memory

ថ្ងៃទី 6 ខែសីហា 14:41:54 ip-172-31-33-210 កំពូល៖ កំពូល – 14:41:54 ឡើង 19 ថ្ងៃ, 3:04, អ្នកប្រើប្រាស់ 2 នាក់ មធ្យមភាគផ្ទុក៖ 0.00, 0.01, 0.05
ថ្ងៃទី 6 ខែសីហា 14:41:54 ip-172-31-33-210 កំពូល៖ កិច្ចការ៖ សរុប ១៨២ រត់ ២ ដេក ១៨០ ឈប់ ០ ខ្មោចឆៅ ០
ថ្ងៃទី 6 ខែសីហា 14:41:54 ip-172-31-33-210 កំពូល៖ %Cpu(s): 0.0 us, 6.2 sy, 0.0 ni, 93.8 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st

ថ្ងៃទី 6 ខែសីហា 14:41:54 ip-172-31-33-210 កំពូល៖ KiB Mem : 1880524 សរុប, 64660 ឥតគិតថ្លៃ, 1247988 បានប្រើ, 567876 buff/cache
ថ្ងៃទី 6 ខែសីហា 14:41:54 ip-172-31-33-210 កំពូល៖ KiB Swap៖ 0 សរុប 0 ឥតគិតថ្លៃ 0 បានប្រើ។ 352988 ប្រើបាន Mem
សីហា 6 14:41:54 ip-172-31-33-210 កំពូល៖ mbie
ថ្ងៃទី 6 ខែសីហា 14:41:54 ip-172-31-33-210 កំពូល៖ PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ Command

សីហា 6 14:41:54 ip-172-31-33-210 កំពូល៖ 21324 ec2-អ្នកប្រើប្រាស់ 20 0 162028 2104 1540 R 6.2 0.1 0:00.01 កំពូល
សីហា 6 14:41:54 ip-172-31-33-210 កំពូល៖ 1 root 20 0 128148 5032 2504 S 0.0 0.3 4:03.70 systemd
សីហា 6 14:41:54 ip-172-31-33-210 កំពូល៖ 2 root 20 0 0 0 0 S 0.0 0.0 0:00.36 kthreadd

ការចូលរដ្ឋបាលក្នុងតំបន់
ធាតុទីមួយនៃ FAU_GEN.1.1 ចែងថារាល់ព្រឹត្តិការណ៍ចូល និងចេញជាអ្នកគ្រប់គ្រងត្រូវតែគិតគូរ ក៏ដូចជាការចាប់ផ្តើម/បញ្ឈប់បណ្តាញដែលទុកចិត្ត។ ជង់ដោះស្រាយវាដោយការកំណត់មើលច្បាប់នៅលើប្រព័ន្ធគោលពីរនៃការចូល/ចេញ ដែលបន្ថែមពីលើមុខងារ "របាយការណ៍ -l" បង្កើតរបាយការណ៍អំពីការប៉ុនប៉ងចូលទាំងអស់នៅលើម៉ាស៊ីនមេ។ កញ្ចប់ចុងក្រោយត្រូវបានប្រើសម្រាប់ព័ត៌មានការចាប់ផ្តើម/ការបញ្ចប់បណ្តាញដែលជឿទុកចិត្ត។ លើសពីនេះទៀត Syslog ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីធ្វើសវនកម្មរាល់ការប៉ុនប៉ងដើម្បីចាប់ផ្តើមសម័យអ្នកប្រើប្រាស់ទំនើប (រួមទាំងពាក្យបញ្ជាដូចជា sudo) ។
ព័ត៌មានចូល៖

របាយការណ៍ចូល
កាលបរិច្ឆេទពេលវេលា aid host term ព្រឹត្តិការណ៍ជោគជ័យ exe

08/06/2019 ម៉ោង 15:50:09 ec2-user 200.175.61.81.static.gvt.net.br /dev/pts/0 /usr/sbin/sshd បាទ/ចាស 919456
08/06/2019 ម៉ោង 18:13:41 ec2-user 200.175.61.81.static.gvt.net.br /dev/pts/0 /usr/sbin/sshd បាទ/ចាស 919808
08/07/2019 ម៉ោង 09:17:17 ec2-user 200.175.61.81.static.gvt.net.br /dev/pts/0 /usr/sbin/sshd បាទ/ចាស 921179
08/07/2019 ម៉ោង 13:24:55 ec2-user 200.175.61.81.static.gvt.net.br /dev/pts/0 /usr/sbin/sshd បាទ/ចាស 921613
08/07/2019 ម៉ោង 13:27:52 ec2-user 200.175.61.81.static.gvt.net.br /dev/pts/0 /usr/sbin/sshd បាទ/ចាស 921820
08/07/2019 ម៉ោង 14:46:53 ec2-user 200.175.61.81.static.gvt.net.br /dev/pts/0 /usr/sbin/sshd បាទ/ចាស 924724
08/07/2019 ម៉ោង 16:05:17 ec2-user 200.175.61.81.static.gvt.net.br /dev/pts/0 /usr/sbin/sshd បាទ/ចាស 926211

ព័ត៌មានឆានែលដែលគួរឱ្យទុកចិត្ត

ec2-user pts/0 179.184.19.129.s ច័ន្ទ សីហា 5 18:16 – 19:58 (01:41)

ec2-user ssh 200.175.61.81.st ថ្ងៃទី 5 ខែសីហា ម៉ោង 20:27 – 20:27 (00:00)
ec2-user pts/2 200.175.61.81.st ថ្ងៃទី 5 ខែសីហា ម៉ោង 19:24 – 22:42 (03:17)
ec2-user pts/5 200.175.61.81.st ថ្ងៃទី 5 ខែសីហា ម៉ោង 19:52 – 23:59 (04:06)

ec2-user pts/2 200.175.61.81.st ថ្ងៃអង្គារ ទី 6 ខែសីហា 14:28 – 14:38 (00:09)
ec2-user pts/0 179.184.19.129.s ថ្ងៃអង្គារ ទី6 ខែសីហា 14:20 – 14:43 (00:23)
ec2-user pts/2 200.175.61.81.st ថ្ងៃអង្គារ ខែសីហា 6 14:38 នៅតែចូល

វគ្គអ្នកប្រើប្រាស់ជាន់ខ្ពស់

ថ្ងៃទី 8 ខែសីហា 20:40:20 ip-172-31-33-210 sudo: pam_unix(sudo:session): សម័យបានបើកសម្រាប់អ្នកប្រើប្រាស់ជា root ដោយ ec2- user(uid=0)
ថ្ងៃទី 8 ខែសីហា 20:40:20 ip-172-31-33-210 sudo: pam_tty_audit(sudo:session): ជម្រើសមិនស្គាល់ `ec2-user'
ថ្ងៃទី 8 ខែសីហា 20:40:20 ip-172-31-33-210 sudo: pam_tty_audit(sudo:session): បានផ្លាស់ប្តូរស្ថានភាពពី 1 ទៅ 1
ថ្ងៃទី 8 ខែសីហា 20:41:39 ip-172-31-33-210 sudo: pam_unix(sudo:session): សម័យបានបិទសម្រាប់អ្នកប្រើប្រាស់ root

ថ្ងៃទី 8 ខែសីហា 20:41:54 ip-172-31-33-210 sudo: ec2-user : TTY=pts/0 ; PWD=/home/ec2-user ; USER=ជា root ; ពាក្យបញ្ជា=/ bin/systemctl ចាប់ផ្តើម rsyslog ឡើងវិញ

ការផ្ទៀងផ្ទាត់ SH មិនល្អ

FAU_GEN.1.1 ក៏តម្រូវឱ្យ TOE កត់ត្រាការប៉ុនប៉ងចូលដែលមិនជោគជ័យ រួមទាំងពេលដែលវាលើសពីដែនកំណត់ដែលបានកំណត់ជាមុនមួយចំនួន។
TOE ប្រើប្រាស់កម្មវិធីជំនួយរបាយការណ៍សង្ខេបរបស់សវនករ – របាយការណ៍ – និងបញ្ជាក់ច្បាប់សវនកម្មសម្រាប់សេវាកម្ម pam_tty ។

Exampលទ្ធផល៖ របាយការណ៍ -i -au -បរាជ័យ
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃរបាយការណ៍កាលបរិច្ឆេទពេលវេលា acct host term exe ព្រឹត្តិការណ៍ជោគជ័យ
07/31/2019 ម៉ោង 12:29:42 ec2-អ្នកប្រើប្រាស់ 179.184.19.129 ssh /usr/sbin/sshd លេខ 845672
07/31/2019 ម៉ោង 13:12:40 ec2-អ្នកប្រើប្រាស់ 179.184.19.129 ssh /usr/sbin/sshd លេខ 845839
07/31/2019 ម៉ោង 13:31:19 ec2-អ្នកប្រើប្រាស់ 179.184.19.129 ssh /usr/sbin/sshd លេខ 845872
07/31/2019 ម៉ោង 19:01:13 ec2-អ្នកប្រើប្រាស់ 200.175.61.81 ssh /usr/sbin/sshd លេខ 848199
07/31/2019 ម៉ោង 19:28:00 ec2-អ្នកប្រើប្រាស់ 179.184.19.129 ssh /usr/sbin/sshd លេខ 848260

ការផ្លាស់ប្តូរពេលវេលា និងកាលបរិច្ឆេទ
តម្រូវការ FPT_STM_EXT.1 ធ្វើឱ្យវាចាំបាច់ដើម្បីធ្វើសវនកម្មការផ្លាស់ប្តូរដែលមិនបន្តនៅក្នុងពេលវេលា។ ការត្រួតពិនិត្យប្រព័ន្ធគោលពីរដែលទាក់ទងនឹងពេលវេលា និងអាចប្រតិបត្តិបាន (សូមមើលឧample ខាងក្រោម) ធ្វើសវនកម្មលើការប៉ុនប៉ងណាមួយដើម្បីផ្លាស់ប្តូរពេលវេលាមិនបន្តនៅលើជង់។

Example ទិន្នផល
របាយការណ៍សង្ខេបនៃការប្រតិបត្តិដែលពាក់ព័ន្ធនឹងការផ្លាស់ប្តូរតំបន់ពេលវេលារបស់ម៉ាស៊ីនមេ TOE

របាយការណ៍ដែលអាចប្រតិបត្តិបាន។

# កាលបរិច្ឆេទកាលបរិច្ឆេទ exe term host aid event
332. 08/06/2019 13:23:34 /usr/lib/systemd/systemd ? ? មិនបានកំណត់ 877714
333. 08/06/2019 13:23:34 /usr/lib/systemd/systemd-timedated (គ្មាន) ? មិនបានកំណត់ 877713
334. 08/06/2019 13:23:34 /usr/lib/systemd/systemd-timedated (គ្មាន) ? មិនបានកំណត់ 877715
335. 08/06/2019 13:24:04 /usr/lib/systemd/systemd ? ? មិនបានកំណត់ 877716
336. 08/06/2019 13:25:45 /usr/lib/systemd/systemd ? ? មិនបានកំណត់ 877729
337. 08/06/2019 13:25:45 /usr/bin/timedatectl pts0? អ្នកគ្រប់គ្រង 877726
338. 08/06/2019 13:25:45 /usr/lib/systemd/systemd-timedated (គ្មាន) ? មិនបានកំណត់ 877728
339. 08/06/2019 13:25:45 /usr/lib/systemd/systemd-timedated (គ្មាន) ? មិនបានកំណត់ 877731
340. 08/06/2019 13:25:45 /usr/lib/systemd/systemd-timedated (គ្មាន) ? មិនបានកំណត់ 877732

ការប៉ុនប៉ងធ្វើបច្ចុប្បន្នភាពដោយដៃ

FMT_MOF.1/ManualUpdate អាណត្តិថារាល់ការប៉ុនប៉ងដើម្បីចាប់ផ្តើមការធ្វើបច្ចុប្បន្នភាពលេខកូដដោយដៃត្រូវតែធ្វើសវនកម្ម។ ទោះបីជា FPT_TUD_EXT ។
ព្រឹត្តិការណ៍មិនចាំបាច់ត្រូវបានសវនកម្មទៀតទេ (ការចាប់ផ្តើម / លទ្ធផលនៃការប៉ុនប៉ងធ្វើបច្ចុប្បន្នភាព) ការកត់ត្រាលទ្ធផលនៃបច្ចុប្បន្នភាពដោយដៃបំពេញតម្រូវការទាំងពីរ។
ការកែប្រែដោយផ្ទាល់ចំពោះស្គ្រីបដំឡើងត្រូវបានធ្វើឡើងដើម្បីកត់ត្រារាល់សារអាប់ដេតដែលត្រូវបានសួរ។ ឧ៖

ថ្ងៃទី 6 ខែសីហា 18:31:54 ip-172-31-33-210 ទិនានុប្បវត្តិ: SW upgrade: #033[1;32mmariadb#033[0m: កំពុងដំណើរការការត្រួតពិនិត្យលក្ខខណ្ឌជាមុន។
ថ្ងៃទី 6 ខែសីហា 18:32:50 ip-172-31-33-210 ទិនានុប្បវត្តិ: SW upgrade: #033[1;32mmariadb#033[0m: កំពុងដំណើរការការត្រួតពិនិត្យលក្ខខណ្ឌជាមុន។
ថ្ងៃទី 6 ខែសីហា 18:32:50 ip-172-31-33-210 journal: SW upgrade: #033[1;32mmariadb#033[0m: configuring system.

ថ្ងៃទី 6 ខែសីហា 18:32:53 ip-172-31-33-210 ទិនានុប្បវត្តិ: SW upgrade: #033[1;32mmariadb#033[0m: សេវាកម្មចាប់ផ្តើម។
ថ្ងៃទី 6 ខែសីហា 18:32:53 ip-172-31-33-210 journal: SW upgrade: #033[1;32mmariadb#033[0m: កំពុងដំណើរការការត្រួតពិនិត្យចុងក្រោយ។
ថ្ងៃទី 6 ខែសីហា 18:32:53 ip-172-31-33-210 journal: SW upgrade: #033[1;32mmariadb#033[0m: បានដំឡើង។

ហៅទូរស័ព្ទទៅកំណត់ត្រាលម្អិត
កំណត់ហេតុក្នុងស្រុកដែលត្រូវបានការពាររួមមាន Call Detail Records (CDRs)។ ការអនុញ្ញាតទាំងនេះត្រូវបានកំណត់ដោយស្វ័យប្រវត្តិក្នុងអំឡុងពេល

ដំណើរការដំឡើងកម្មវិធី TOE ។ CDR's ត្រូវបានបង្កើតឡើងដោយសេវា ESC OpenSIPS និងមានព័ត៌មានដូចខាងក្រោម៖
ឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់របស់ TOE
ហៅទូរស័ព្ទទៅអ្នកកំណត់អត្តសញ្ញាណប្រភពដើម
លេខសម្គាល់អ្នកទទួលការហៅទូរសព្ទ
លេខលំដាប់ប្រតិបត្តិការតែមួយគត់
ស្ថានភាពការហៅទូរសព្ទ (ខកខាន/បានភ្ជាប់/បិទ/ខកខាន)
ប្រភេទការហៅទូរសព្ទ (សំឡេង / សំឡេង + វីដេអូ)
ហៅម៉ោងចាប់ផ្តើម
ហៅម៉ោងបញ្ចប់
រយៈពេលហៅទូរសព្ទ
ទិសដៅការហៅចូល (ចូល/ចេញ)
ហៅផ្លូវទៅ TOE
ការហៅចេញក្រៅ TOE

តំបន់ពេលវេលា
Exampកំណត់ហេតុការហៅទូរសព្ទបង្ហាញព័ត៌មានលម្អិត CDR៖ 2022-02-18T19:17:55.672734+00:00 sip-alpha /usr/local/bin/opensips[35710]: ACC: call បានបញ្ចប់៖created=1645211866;call_start_time=1645211867;duration=8;ms_duration=8296;setuptime=1;method=INVIT E;from_tag=fa6f84b3-38a2-4709-8ffd-3e10f52df51d;to_tag=809ab268-06ba-41e1-9f03-4270ebe692af;call_id= ba07fafd-963c-4639- a454-6bba4627c887;code=200;reason=OK;src_ip=;dst_ip=13.90.174.9;call_end_time=1645211875;call_type=A audio;caller=;callee=

ចែករំលែកព័ត៌មានសវនកម្ម
ព័ត៌មាននេះត្រូវបានផលិតនៅលើគ្រប់ម៉ាស៊ីនដែលដំណើរការសេវាកម្ម Cellcrypt stack ។

SSH / ការចូលប្រើដោយផ្ទាល់

ឧបករណ៍បណ្តាញ NDcPP យោង	ព្រឹត្តិការណ៍	កន្លែងដែលត្រូវរកវា។	ភស្តុតាង
FCS_SSHS_ EXT.1	បរាជ័យក្នុងការបង្កើតសម័យ SSH	/var/ log/ message es

NTP

ឧបករណ៍បណ្តាញ NDcPP យោង	ព្រឹត្តិការណ៍	កន្លែងដែលត្រូវរកវា។	ភស្តុតាង
FCS_SSHS_ EXT.1	បរាជ័យក្នុងការបង្កើតសម័យ SSH	/var/ log/ message es

ព័ត៌មានផ្នែករឹង

ឧបករណ៍បណ្តាញ NDcPP យោង

ព្រឹត្តិការណ៍

កន្លែងដែលត្រូវរកវា។

ភស្តុតាង

FAU_GEN.

1/កំណត់ហេតុ

ការប្រើប្រាស់ CPU និង Memory

/var/ log/ message es

2021-12-06T11:09:30.302105-05:00 api-* កំពូល៖ កំពូល -

14:41:54 ឡើង 19 ថ្ងៃ, 3:04, អ្នកប្រើប្រាស់ 2 នាក់, ផ្ទុកជាមធ្យម: 0.00,

0.01, 0.05

2021-12-06T11:09:30.302105-05:00 api-* top: Tasks:

សរុប 182 រត់ 2 ដេក 180 ឈប់ 0 ខ្មោចឆៅ

2021-12-06T11:09:30.302105-05:00 api-* top: %Cpu(s):

0.0 us, 6.2 sy, 0.0 ni, 93.8 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st

2021-12-06T11:09:30.302105-05:00 api-* top: KiB

Mem : 1880524 សរុប 64660 ឥតគិតថ្លៃ 1247988 បានប្រើ។

567876 buff/cache

2021-12-06T11:09:30.302105-05:00 api-* top: KiB

ស្វប៖ 0 សរុប 0 ឥតគិតថ្លៃ 0 បានប្រើ។ 352988 ប្រើបាន Mem

2021-12-06T11:09:30.302105-05:00 api-* top: mbie

2021-12-06T11:09:30.302105-05:00 api-* top: PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ Command 2021-12-06T11:09:30.302105:05-admin 00 21324 20 0 162028 R 2104 1540 6.2:0.1 កំពូល

2021-12-06T11:09:30.302105-05:00 api-* កំពូល៖ 1 ឫស 20

0 128148 5032 2504 S 0.0 0.3 4:03.70 systemd

2021-12-06T11:09:30.302105-05:00 api-* កំពូល៖ 2 ឫស 20

0 0 0 0 S 0.0 0.0 0:00.36 kthreadd

FAU_GEN.

1/កំណត់ហេតុ

ស្ថានភាព NTP

/var/ log/ message es

2021-12-06T11:09:30.302105-05:00 api-* ntpstat:

ធ្វើសមកាលកម្មទៅម៉ាស៊ីនមេ NTP (204.11.201.10) នៅ stratum 3

2021-12-06T11:09:30.302105-05:00 api-* ntpstat: time

កែទៅក្នុងរយៈពេល 37 ms

2021-12-06T11:09:30.302105-05:00 api-* ntpstat:

ម៉ាស៊ីនមេបោះឆ្នោតរៀងរាល់ 1024 វិនាទី

FAU_GEN.

1/កំណត់ហេតុ

ថាស និង file សមត្ថភាពផ្ទុក

/var/ log/ message es