Security event collection within a distributed heterogeneous networking environment

No Thumbnail Available

URL

Journal Title

Journal ISSN

Volume Title

Helsinki University of Technology | Diplomityö
Checking the digitized thesis and permission for publishing
Instructions for the author

Authors

Date

2009

Department

Elektroniikan, tietoliikenteen ja automaation tiedekunta

Major/Subject

Tietoverkkotekniikka

Mcode

S-38

Degree programme

Language

en

Pages

(8+) 50

Series

Abstract

Tietoisuus turvallisuustapahtumatietojen keräyksen tärkeydestä on kasvussa. Syy tähän on että tietoja voidaan käyttää rikosteknisissä tutkimuksissa ja epäilyttävän toiminnan havaitsemiseen verkossa. Viime aikoina on laadittu uusia säännöksiä, jotka vaativat yrityksiä valvomaan tietojen käsittelyä vastuullisuus syistä. Korreloimalla ja analysoimalla kerättyjä turvallisuustapahtumatietoja voidaan havaita tunkeutumisia, hyökkäyksiä ja haavoittuvuuksia, joita ei muuten olisi havaittu, ja saada parempi kuva niiden laajuudesta. Tietoturvallisuusinformaation ja -tapahtumien hallintajärjestelmä (SIEM) on erikoistunut järjestelmä, joka kerää tietoturvallisuustapahtumatiedot keskitettyyn sijaintiin ja etsii informaatiosta epäilyttäviä tapahtumia korrelaatio ja analysointi menetelmien avulla. SIEM järjestelmä voidaan jakaa viiteen kerrokseen: tapahtumien luonti, tapahtumien keräys ja prosessointi, tapahtumien tallennus, tapahtumien korrelointi, ja tapahtumien valvonta ja raportointi. Diplomityö keskittyy tutkimuskysymyksiin, jotka liittyvät kolmeen ensimmäiseen kerrokseen. Diplomityö pyrkii löytämään suotuisimman tavan toteuttaa turvallisuustapahtumatietojen keräys hajautetussa monimuotoisessa verkkoympäristössä taustatutkimuksen ja prototyypin kautta. Tapahtuma1ähteiden, tiedon valtavan määrän, keräyksen, jäsennyksen, normalisoinnin, aikakorjauksen, säännösten asettamien vaatimusten ja tapahtumatietojen tallennuksen herättämät kysymykset ja niiden vastaukset käydään läpi. Toimiva prototyyppi rakennettiin konkreettisen käsityksen saamiseksi ongelmiin. Tätä prototyyppiä käytettiin taustatutkimuksessa löydettyjen ratkaisujen havainnollistamiseen ja arviointiin. Diplomityön tuloksena saatiin yhdeksän suositusta joita kannattaa noudattaa turvallisuustapahtumatietojen keräyksen toteutuksessa.

Description

Supervisor

Ott, Jörg

Thesis advisor

Alinen, Antti

Keywords

security event, turvallisuustapahtumatieto, event sources, tapahtumalähde, information overflow, tietojen valtava määrä, collection, keräys, syntactic analysis, jäsennys, normalization, normalisointi, time synchronization, aikakorjaus, storage, tallennus, regulatory requirements, säännösten asettamat vaatimukset, SIEM, SIEM

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-2020120555227

Collections

[dipl] Teknillinen korkeakoulu / TKK