Security event collection within a distributed heterogeneous networking environment

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
Helsinki University of Technology | Diplomityö
Checking the digitized thesis and permission for publishing
Instructions for the author
Date
2009
Major/Subject
Tietoverkkotekniikka
Mcode
S-38
Degree programme
Language
en
Pages
(8+) 50
Series
Abstract
Tietoisuus turvallisuustapahtumatietojen keräyksen tärkeydestä on kasvussa. Syy tähän on että tietoja voidaan käyttää rikosteknisissä tutkimuksissa ja epäilyttävän toiminnan havaitsemiseen verkossa. Viime aikoina on laadittu uusia säännöksiä, jotka vaativat yrityksiä valvomaan tietojen käsittelyä vastuullisuus syistä. Korreloimalla ja analysoimalla kerättyjä turvallisuustapahtumatietoja voidaan havaita tunkeutumisia, hyökkäyksiä ja haavoittuvuuksia, joita ei muuten olisi havaittu, ja saada parempi kuva niiden laajuudesta. Tietoturvallisuusinformaation ja -tapahtumien hallintajärjestelmä (SIEM) on erikoistunut järjestelmä, joka kerää tietoturvallisuustapahtumatiedot keskitettyyn sijaintiin ja etsii informaatiosta epäilyttäviä tapahtumia korrelaatio ja analysointi menetelmien avulla. SIEM järjestelmä voidaan jakaa viiteen kerrokseen: tapahtumien luonti, tapahtumien keräys ja prosessointi, tapahtumien tallennus, tapahtumien korrelointi, ja tapahtumien valvonta ja raportointi. Diplomityö keskittyy tutkimuskysymyksiin, jotka liittyvät kolmeen ensimmäiseen kerrokseen. Diplomityö pyrkii löytämään suotuisimman tavan toteuttaa turvallisuustapahtumatietojen keräys hajautetussa monimuotoisessa verkkoympäristössä taustatutkimuksen ja prototyypin kautta. Tapahtuma1ähteiden, tiedon valtavan määrän, keräyksen, jäsennyksen, normalisoinnin, aikakorjauksen, säännösten asettamien vaatimusten ja tapahtumatietojen tallennuksen herättämät kysymykset ja niiden vastaukset käydään läpi. Toimiva prototyyppi rakennettiin konkreettisen käsityksen saamiseksi ongelmiin. Tätä prototyyppiä käytettiin taustatutkimuksessa löydettyjen ratkaisujen havainnollistamiseen ja arviointiin. Diplomityön tuloksena saatiin yhdeksän suositusta joita kannattaa noudattaa turvallisuustapahtumatietojen keräyksen toteutuksessa.
Description
Supervisor
Ott, Jörg
Thesis advisor
Alinen, Antti
Keywords
security event, turvallisuustapahtumatieto, event sources, tapahtumalähde, information overflow, tietojen valtava määrä, collection, keräys, syntactic analysis, jäsennys, normalization, normalisointi, time synchronization, aikakorjaus, storage, tallennus, regulatory requirements, säännösten asettamat vaatimukset, SIEM, SIEM
Other note
Citation