Security event collection within a distributed heterogeneous networking environment

Abstract

Tietoisuus turvallisuustapahtumatietojen keräyksen tärkeydestä on kasvussa. Syy tähän on että tietoja voidaan käyttää rikosteknisissä tutkimuksissa ja epäilyttävän toiminnan havaitsemiseen verkossa. Viime aikoina on laadittu uusia säännöksiä, jotka vaativat yrityksiä valvomaan tietojen käsittelyä vastuullisuus syistä. Korreloimalla ja analysoimalla kerättyjä turvallisuustapahtumatietoja voidaan havaita tunkeutumisia, hyökkäyksiä ja haavoittuvuuksia, joita ei muuten olisi havaittu, ja saada parempi kuva niiden laajuudesta.

Tietoturvallisuusinformaation ja -tapahtumien hallintajärjestelmä (SIEM) on erikoistunut järjestelmä, joka kerää tietoturvallisuustapahtumatiedot keskitettyyn sijaintiin ja etsii informaatiosta epäilyttäviä tapahtumia korrelaatio ja analysointi menetelmien avulla. SIEM järjestelmä voidaan jakaa viiteen kerrokseen: tapahtumien luonti, tapahtumien keräys ja prosessointi, tapahtumien tallennus, tapahtumien korrelointi, ja tapahtumien valvonta ja raportointi. Diplomityö keskittyy tutkimuskysymyksiin, jotka liittyvät kolmeen ensimmäiseen kerrokseen.

Diplomityö pyrkii löytämään suotuisimman tavan toteuttaa turvallisuustapahtumatietojen keräys hajautetussa monimuotoisessa verkkoympäristössä taustatutkimuksen ja prototyypin kautta. Tapahtuma1ähteiden, tiedon valtavan määrän, keräyksen, jäsennyksen, normalisoinnin, aikakorjauksen, säännösten asettamien vaatimusten ja tapahtumatietojen tallennuksen herättämät kysymykset ja niiden vastaukset käydään läpi.

Toimiva prototyyppi rakennettiin konkreettisen käsityksen saamiseksi ongelmiin. Tätä prototyyppiä käytettiin taustatutkimuksessa löydettyjen ratkaisujen havainnollistamiseen ja arviointiin. Diplomityön tuloksena saatiin yhdeksän suositusta joita kannattaa noudattaa turvallisuustapahtumatietojen keräyksen toteutuksessa.