Název:
Nástroj pro mapování aktiv počítačové infrastruktury a návrhu korelačních pravidel při realizaci bezpečnostního monitoringu
Překlad názvu:
Tool for mapping computer infrastructure assets and designing SIEM correlation rules for security monitoring
Autoři:
Hrabálek, Matěj ; Caha, Tomáš (oponent) ; Safonov, Yehor (vedoucí práce) Typ dokumentu: Bakalářské práce
Rok:
2023
Jazyk:
cze
Nakladatel: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstrakt: [cze][eng]
S rostoucí popularitou služby SOC, která často používá nástroje SIEM, vznikají i nové problémy týkající se implementace těchto nástrojů do jednotlivých infrastruktur, které mohou čelit kybernetickým útokům. Nástroje SIEM totiž dokáží detekovat kybernetické útoky pouze za předpokladu, že jsou správně nakonfigurované, tj. že sbírají správné logy. Tato bakalářská práce slouží k usnadnění procesu implementace SIEM do interní infrastruktury. Je v nich pojednáno o vhodné kategorizaci zdrojů logů a korelačních pravidel, pojmenování korelačních pravidel a je navržen systém mapování zdrojů logů na příslušná korelační pravidla, což usnadňuje implementaci SIEM do infrastruktury. Veškeré poznatky jsou poté implementovány do webové aplikace, která je praktickým výstupem této bakalářské práce. Webová aplikace umožňuje uživateli, který se chystá implementovat službu SIEM do vlastní infrastruktury, zadat údaje o dané infrastruktuře, tj. zejména zdroje logů, které mohou být v infrastruktuře generovány, a nabídne mu k příslušným zdrojům logů vhodná korelační pravidla včetně jejich pojmenování. V teoretické části je tak kromě logů, technologie SIEM a korelačních pravidel, pojednáno také o obecných poznatcích z kybernetické bezpečnosti nebo službě Security Operations Center.
With the growing popularity of the SOC service, which often uses SIEM tools, new challenges arise regarding the implementation of these tools into individual infrastructures that can face cyber attacks. SIEM tools can detect cyber attacks only if they are configured correctly, i.e. they collect the right logs. This bachelor’s thesis is used for the facilitation of the process of implementing SIEM into the internal infrastructure. They discuss the appropriate categorization of log sources and correlation rules, the naming of correlation rules, and a system for mapping log sources to relevant correlation rules is proposed, which facilitates the implementation of SIEM into the infrastructure. All knowledge is then implemented into a web application, which is the practical output of this bachelor’s thesis. The web application allows the user, who is going to implement a SIEM service into their own infrastructure, to enter data about the infrastructure, especially log sources that can be generated in the infrastructure, and offers suitable correlation rules, including their naming, to the respective log sources. In addition to logs, SIEM technology and correlation rules, the theoretical part also discusses general knowledge from cyber security and describes the Security Operations Center.
Klíčová slova:
Bezpečnostní monitoring; interní síť; korelační pravidla; mapování korelačních pravidel; SIEM; SOC; webová aplikace; zdroj logů.; záznam událostí; Computer attack; correlation rule mapping; correlation rules; event log; internal network; log source; security monitoring; SIEM; SOC; web application.
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/210895