Tesztkörnyezet összeállítása biztonsági incidensek felfedezése céljából
Elmentve itt :
| Szerző: | |
|---|---|
| További közreműködők: | |
| Dokumentumtípus: | Diplomadolgozat |
| Kulcsszavak: | informatikai biztonság naplózás QRadar SIEM syslog-ng |
| Online Access: | http://dolgozattar.uni-bge.hu/41908 |
MARC
| LEADER | 00000nta a2200000 i 4500 | ||
|---|---|---|---|
| 001 | dolg41908 | ||
| 005 | 20221011101827.0 | ||
| 008 | 221011suuuu hu om 000 hun d | ||
| 040 | |a BGE Dolgozattár Repozitórium |b hun | ||
| 041 | |a hu | ||
| 100 | 1 | |a Gábor Tamás Gergely | |
| 245 | 1 | 0 | |a Tesztkörnyezet összeállítása biztonsági incidensek felfedezése céljából |c Gábor Tamás Gergely |h [elektronikus dokumentum] |
| 520 | 3 | |a A szakdolgozatomban létrehozok egy virtuális tesztkörnyezetet biztonsági incidensek felfedezése céljából. A dolgozatban létrehozott tesztkörnyezetem, áll egy naplózó rendszerből, egy naplóelemző, azaz egy Security information and event management (röviden: SIEM) rendszerből, illetve egy a teszteléshez használt Kali Linux virtuális gépből. Ahhoz, hogy az olvasó számára érthető legyen a dolgozat, az első tartalmi rész az elméleti áttekintésről szól.Az elméleti áttekintésben, először megismertetem az olvasót néhány a naplózással kapcsolatos szabályozással és szabvánnyal. Ezt követően a naplóüzenetek típusai, és kategorizálása következik, amely során az olvasó megismeri, hogy egyes vállalatok, hogyan kategorizálják, és milyen típusokba sorolják az egyes naplóüzeneteket.A következő két alfejezet, a régi és új syslog szabványról szól. Először az RFC3164-es régi syslog szabványt, majd pedig az új RFC5424-es szabványt mutatom be.Ezt követi a Windows naplózás áttekintése, amely ugyan nem része a tesztkörnyezetnek, a teljesebb kép érdekében szükséges, hogy erről is ismeretanyagot biztosítsak. Bemutatom a Windows Eseménynapló esemény típusait, a Microsoft hibaüzenetekkel kapcsolatos ajánlásait, és bemutatom, hogy egy sikeres bejelentkezés a Windows felhasználói fiókba hol és hogyan jelenik meg az Eseménynaplóban.A tesztkörnyezetemben a syslog-ng magyar fejlesztésű naplógyűjtő programot használom, ezért működésének bemutatása elengedhetetlen ahhoz, hogy az olvasó megértse, hogy a tesztkörnyezetem, hogyan működik. Kitérek a program tulajdonságaira, a használatának szükségességére, működési módjaira, és arra, hogy egy naplóüzenetet feldolgozása hogyan történik, a beérkezéstől a tárolásig.A következő nagyobb tartalmi rész a SIEM rendszerekkel foglalkozik. Bemutatom az olvasó számára a SIEM rendszereket, a SIEM rendszer feladatait, az adatgyűjtési módjaikat, az egyik cég által definiált lehetséges SIEM integrációs megoldásokat, illetve a rendszer bevezetésével és karbantartásával kapcsolatos ajánlásokat.A tesztkörnyezetem szerves részét képezi az IBM QRadar SIEM rendszer, amelynek működéséről elméleti ismeretanyagot biztosítok az olvasónak, a tesztkörnyezetem megértésének érdekében.Ezt követi a tesztkörnyezetemmel kapcsolatos elvárások megfogalmazása és elvégzendő feladatok kijelölése. Ebbe beleértve, a syslog-ng-ben, a QRadarban elvégzendő feladatok. Ismeretanyagot nyújtok továbbá, a kibertámadásokról MITRE ATT&CK tudásbázis alapján, mivel a tesztkörnyezetemet kibertámadások indításával teszteltem. Leírom az elvégzendő teszteseteket a Kali Linux virtuális gépen.Az utolsó tartalmi részben az eredményeket mutatom be. Leírom és értékelem a tesztkörnyezetem működését. Bemutatom a konfiguráció működését a syslog-ng kliens és szerver gépen, és a QRadarban. Bemutatom a megvalósított kibertámadásokat a tesztkörnyezetem ellen, majd pedig azt, hogy ezek hogyan jelentek meg a QRadarban.Összefoglalva tehát ismeretanyagot nyújtottam a naplózásról a SIEM rendszerekről, és létrehoztam egy tesztkörnyezetet, amely az elvárásoknak megfelelően képes volt, az egyes kibertámadásokra riasztást generálni. | |
| 695 | |a informatikai biztonság | ||
| 695 | |a naplózás | ||
| 695 | |a QRadar | ||
| 695 | |a SIEM | ||
| 695 | |a syslog-ng | ||
| 700 | 1 | |a Blaskó Zoltán |e ths | |
| 700 | 1 | |a Honfi Vid Dr. Sebestyén |e ths | |
| 856 | 4 | 0 | |u http://dolgozattar.uni-bge.hu/41908/1/Tesztk%C3%B6rnyezet%20%C3%B6ssze%C3%A1ll%C3%ADt%C3%A1sa%20biztons%C3%A1gi%20incidensek%20felfedez%C3%A9se%20c%C3%A9lj%C3%A1b%C3%B3l.pdf |z Dokumentum-elérés |
| 856 | 4 | 0 | |u http://dolgozattar.uni-bge.hu/41908/2/BA_O_g%C3%A1bor_tam%C3%A1s_gergely.pdf |z Dokumentum-elérés |