|
|
Webová aplikace integrující techniky umělé inteligence do procesu tvorby korelačních pravidel
Šibor, Martin ; Caha, Tomáš (oponent) ; Safonov, Yehor (vedoucí práce)
V současné době, kdy se digitalizace stává neodmyslitelnou součástí všech oblastní našich životů, se neustále zvyšuje komplexnost a sofistikovanost kybernetických hrozeb. Klíčovým prvkem v boji proti těmto kybernetickým hrozbám je bezpečnostní monitoring. Důležitým nástrojem bezpečnostního monitoringu jsou systémy SIEM, které umožňují včasnou detekci a reakci na potenciální útoky na základě korelačních pravidel. Hlavním přínosem této práce je návrh a implementace webové aplikace, která integruje techniky umělé inteligence do procesu tvorby a správy korelačních pravidel pro systémy bezpečnostních monitoringů s cílem zefektivnit proces tvorby, úprav a pochopení korelačních pravidel. Práce se nejdříve věnuje teoretickému úvodu do oblasti zpracování přirozeného jazyka a moderních neuronových sítí, zejména architektury transformers, která je základem generativních modelů umělé inteligence (např. ChatGPT, Gemini). Dále jsou představeny principy bezpečnostního monitoringu, systémů pro zpracování záznamů událostí, koncept generalizace korelačních pravidel a v neposlední řadě výzvy spojené se správou a udržováním korelačních pravidel, které integrace umělé inteligence do těchto procesů výrazně odbourává. Praktická část práce popisuje návrh a implementaci webové aplikace, která využívá modely gpt-4 a gpt-3.5-turbo od společnosti OpenAI a model Gemini Ultra 1.0 od společnosti Google pro tvorbu nových korelačních pravidel, úpravu existujících pravidel a jejich vysvětlením a interpretací pro snazší pochopení a rychlejší nasazení. Aplikace je navržena s ohledem na uživatelskou přívětivost a efektivitu. Výsledky práce ukazují, že integrace umělé inteligence do procesu tvorby korelačních pravidel přináší významné zlepšení efektivity. Webová aplikace umožňuje uživatelům snadno vytvářet a upravovat korelační pravidla. Aplikace také umožňuje uživatelům lépe porozumět korelačním pravidlům a umožňuje jim takto rychleji reagovat na potenciální hrozby.
|
|
|
Vývoj korelačních pravidel pro detekci kybernetických útoků
Dzadíková, Slavomíra ; Safonov, Yehor (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Diplomová práca sa zaoberá problematikou efektívneho spracovávania logových záznamov a ich následnou analýzou pomocou korelačných pravidiel. Cieľom práce bolo implementovať spracovávanie logových záznamov do štruktúrovanej podoby, extrahovať jednotlivé polia záznamu pomocou modelu pre spracovanie prirodzeného jazyka riešením úlohy zodpovedania otázok, a vyvinúť korelačné pravidlá pre detekciu škodlivého správania. Počas riešenia zadania boli vyhotovené dve dátové sády, jedna so záznamami zo zariadení Windows, druhá obsahuje záznamy z firewallu Fortigate. Vytvorené modely na báze predtrénovaných modelov s architektúrou BERT a XLNet, ktoré boli doučené na riešenie problému parsovania logov pomocou vyhotovených datasetov a ich výsledky boli analyzované a porovnané. Druhá čásť diplomovej práce bola venovaná vývoju korelačných pravidiel, kde bol skúmaný koncept obecného zápisu Sigma. Bolo vytvorených a úspešne otestovaných šesť pravidiel, ktoré boli nasadené vo vlastnom experimentálnom pracovisku v systéme Elastic Stack, pričom každé pravidlo je popísané taktikami, technikami a subtechnikami frameworku MITRE ATT&CK.
|
|
| |
|
|
Web application for generalizing SIEM correlation rules
Matušicová, Viktória ; Mikulec, Marek (oponent) ; Safonov, Yehor (vedoucí práce)
The risk of attacks on companies by organized crime increases as technology advances. Attacks that focus on modifying data or gaining access to a company's network are constantly developed. The sophisticated nature of advanced threats distinguishes them from broad-based attacks that rely on automated scripts. However, organizations can mitigate this risk by utilizing a combination of appropriate tools. These include network flow monitoring, probes for detecting and preventing attacks, and Security Information and Event Management (SIEM) tools for correlating incidents and events. By leveraging these tools, suspicious behavior in the network can be identified, and measures can be taken to prevent and mitigate the impact of cyber attacks. The main contribution of this thesis is the development of a web application that serves as a general tool for managing correlation rules across various SIEM solutions. Through the use of this web application, publicly available Sigma rules can be managed and converted into target SIEM solutions. Users are given the ability to save these rules to their personal user section, alongside SIEM conversions and visual representations of technique coverage based on categorization by MITRE ATT@CK and LogSource of stored user rules. The theoretical part of the thesis comprises an analysis of security monitoring issues, an explanation of the benefits of the Sigma platform and an analysis of the web application. A use case model is defined, functional and non-functional requirements are specified to describe the resulting system. Additionally, the analysis of available tools for converting Sigma rules is performed. The practical portion of the thesis begins with a focus on the design of the web application, including the architecture of both the server-side and client-side components, as well as an explanation of the core functionalities. The resulting solution is then implemented, with detailed procedures for creating microservices, client-side development, and launching the web application. The final state of the project summarizes the result. The thesis concludes with a testing phase, the client side of the web application is evaluated through functional user interface screenshots. The thesis also includes a demonstration of the process for testing Sigma rules, which involves converting the rules using the web application and subsequently carrying out functional verification using the RSA NetWitness SIEM test solution.
|
|
|
Vývoj korelačních pravidel pro detekci kybernetických útoků
Dzadíková, Slavomíra ; Safonov, Yehor (oponent) ; Martinásek, Zdeněk (vedoucí práce)
Diplomová práca sa zaoberá problematikou efektívneho spracovávania logových záznamov a ich následnou analýzou pomocou korelačných pravidiel. Cieľom práce bolo implementovať spracovávanie logových záznamov do štruktúrovanej podoby, extrahovať jednotlivé polia záznamu pomocou modelu pre spracovanie prirodzeného jazyka riešením úlohy zodpovedania otázok, a vyvinúť korelačné pravidlá pre detekciu škodlivého správania. Počas riešenia zadania boli vyhotovené dve dátové sády, jedna so záznamami zo zariadení Windows, druhá obsahuje záznamy z firewallu Fortigate. Vytvorené modely na báze predtrénovaných modelov s architektúrou BERT a XLNet, ktoré boli doučené na riešenie problému parsovania logov pomocou vyhotovených datasetov a ich výsledky boli analyzované a porovnané. Druhá čásť diplomovej práce bola venovaná vývoju korelačných pravidiel, kde bol skúmaný koncept obecného zápisu Sigma. Bolo vytvorených a úspešne otestovaných šesť pravidiel, ktoré boli nasadené vo vlastnom experimentálnom pracovisku v systéme Elastic Stack, pričom každé pravidlo je popísané taktikami, technikami a subtechnikami frameworku MITRE ATT&CK.
|
|
| |
host ::
RSS.