Tesztkörnyezet összeállítása biztonsági incidensek felfedezése céljából
Elmentve itt :
| Szerző: | |
|---|---|
| További közreműködők: | |
| Dokumentumtípus: | Diplomadolgozat |
| Kulcsszavak: | informatikai biztonság naplózás QRadar SIEM syslog-ng |
| Online Access: | http://dolgozattar.uni-bge.hu/41908 |
| Kivonat: | A szakdolgozatomban létrehozok egy virtuális tesztkörnyezetet biztonsági incidensek felfedezése céljából. A dolgozatban létrehozott tesztkörnyezetem, áll egy naplózó rendszerből, egy naplóelemző, azaz egy Security information and event management (röviden: SIEM) rendszerből, illetve egy a teszteléshez használt Kali Linux virtuális gépből. Ahhoz, hogy az olvasó számára érthető legyen a dolgozat, az első tartalmi rész az elméleti áttekintésről szól.Az elméleti áttekintésben, először megismertetem az olvasót néhány a naplózással kapcsolatos szabályozással és szabvánnyal. Ezt követően a naplóüzenetek típusai, és kategorizálása következik, amely során az olvasó megismeri, hogy egyes vállalatok, hogyan kategorizálják, és milyen típusokba sorolják az egyes naplóüzeneteket.A következő két alfejezet, a régi és új syslog szabványról szól. Először az RFC3164-es régi syslog szabványt, majd pedig az új RFC5424-es szabványt mutatom be.Ezt követi a Windows naplózás áttekintése, amely ugyan nem része a tesztkörnyezetnek, a teljesebb kép érdekében szükséges, hogy erről is ismeretanyagot biztosítsak. Bemutatom a Windows Eseménynapló esemény típusait, a Microsoft hibaüzenetekkel kapcsolatos ajánlásait, és bemutatom, hogy egy sikeres bejelentkezés a Windows felhasználói fiókba hol és hogyan jelenik meg az Eseménynaplóban.A tesztkörnyezetemben a syslog-ng magyar fejlesztésű naplógyűjtő programot használom, ezért működésének bemutatása elengedhetetlen ahhoz, hogy az olvasó megértse, hogy a tesztkörnyezetem, hogyan működik. Kitérek a program tulajdonságaira, a használatának szükségességére, működési módjaira, és arra, hogy egy naplóüzenetet feldolgozása hogyan történik, a beérkezéstől a tárolásig.A következő nagyobb tartalmi rész a SIEM rendszerekkel foglalkozik. Bemutatom az olvasó számára a SIEM rendszereket, a SIEM rendszer feladatait, az adatgyűjtési módjaikat, az egyik cég által definiált lehetséges SIEM integrációs megoldásokat, illetve a rendszer bevezetésével és karbantartásával kapcsolatos ajánlásokat.A tesztkörnyezetem szerves részét képezi az IBM QRadar SIEM rendszer, amelynek működéséről elméleti ismeretanyagot biztosítok az olvasónak, a tesztkörnyezetem megértésének érdekében.Ezt követi a tesztkörnyezetemmel kapcsolatos elvárások megfogalmazása és elvégzendő feladatok kijelölése. Ebbe beleértve, a syslog-ng-ben, a QRadarban elvégzendő feladatok. Ismeretanyagot nyújtok továbbá, a kibertámadásokról MITRE ATT&CK tudásbázis alapján, mivel a tesztkörnyezetemet kibertámadások indításával teszteltem. Leírom az elvégzendő teszteseteket a Kali Linux virtuális gépen.Az utolsó tartalmi részben az eredményeket mutatom be. Leírom és értékelem a tesztkörnyezetem működését. Bemutatom a konfiguráció működését a syslog-ng kliens és szerver gépen, és a QRadarban. Bemutatom a megvalósított kibertámadásokat a tesztkörnyezetem ellen, majd pedig azt, hogy ezek hogyan jelentek meg a QRadarban.Összefoglalva tehát ismeretanyagot nyújtottam a naplózásról a SIEM rendszerekről, és létrehoztam egy tesztkörnyezetet, amely az elvárásoknak megfelelően képes volt, az egyes kibertámadásokra riasztást generálni. |
|---|