Název:
Nástroj pro generalizaci automatizovaných SOAR scénářů pro sdílení znalostí v odvětví počítačové bezpečnosti
Překlad názvu:
Tool for generalizing automated SOAR scenarios for cybersecurity knowledge sharing
Autoři:
Ištoňová, Miriam ; Dobiáš, Patrik (oponent) ; Safonov, Yehor (vedoucí práce) Typ dokumentu: Bakalářské práce
Rok:
2024
Jazyk:
slo
Nakladatel: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstrakt: [slo][eng]
Dnešnú dobu by bolo možné definovať ako množstvo, rýchlosť a možnosti. Dohľadové centrá bezpečnosti zareagovali na výzvu množstva neutíchajúcich informácií nástrojom monitorovania a kategorizácie ako je SIEM. Avšak v prípade samotných incidentov, ponúka svoju rýchlosť a automatizáciu reakcie vyspelé riešenie SOAR. Ako každá technológia aj SOAR ponúkaný rôznymi spoločnosťami, prispieva ku možnostiam jednotlivých štruktúr a formátov scenáru reakcie, čo prináša jasnú výzvu zjednodušenia, spolupráce a generalizácie. Bakalárska práca sa preto zameriava na realizáciu nástroja konverzie, s cieľom zjednotenia a zovšeobecnenia formátu automatizovaných SOAR scenárov za pomoci využitia vyvíjajúceho sa playbook štandardu CACAO. Hlavným prínosom nástroja je možnosť zjednotenia použitia SOAR scenárov, zabezpečenie úspešnej konverzie a tým zjednodušenie zdieľania znalostí v oblasti počítačovej bezpečnosti. Teoretická časť práce teda popisuje aktuálnu problematiku bezpečnostného monitoringu, vysvetľuje dôležitosť automatizácie v rámci reakcie na incidenty a ponúka podrobnú analýzu a zrovnanie dostupných technológií a formátov scenárov automatickej reakcie na incidenty. Praktická časť je úzko spojená a závisí na výsledkoch analýzy. Zameriava sa na voľbu a návrh vhodného formátu popisu jednotlivých scenárov automatickej reakcie ako hlavne následnej implementácii samotného nástroja konverzie.
Today’s era could be defined as quantity, speed and possibilities. Security monitoring centers have responded to the challenge of an unrelenting amount of information with monitoring and categorization tools such as SIEM. However, in case of incidents themselves, the speed and automation of response is offered by an advanced SOAR solution. Like any technology, SOAR offered by different companies also contributes to the variety of individual response scenario structures and formats, bringing the clear challenge of simplification, collaboration and generalization. Therefore, the bachelor thesis focuses on the implementation of a conversion tool, with the goal of unifying and generalizing the format of automated SOAR scenarios using the evolving CACAO playbook standard. The main benefit of the tool is the ability to unify the use of SOAR scenarios, ensure successful conversion and thus facilitate knowledge sharing in the field of cybersecurity. The theoretical part of this thesis focuses on the current issue of security monitoring, explains the importance of automation within incident response and offers a detailed analysis and comparison of available technologies and formats of automated incident response playbooks. The practical part is closely related and depends on the results of the analysis. It focuses on the selection and design of a suitable format for the description of the individual automatic response scenarios as well as the following final implementation of the conversion tool itself.
Klíčová slova:
CACAO; conversion; format; generalization; playbook; scenario; SIEM; SOAR; SOC
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: https://hdl.handle.net/11012/246480