HEMZA, M. Pokročilý webový nástroj pro správu bezpečnostních korelačních pravidel a kyberbezpečnostních reakcí [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2024.
Práce splnila všechny body zadání. Kvalita textu je na velmi dobré úrovni, výsledná implementace je povedená a použitelná v praxi. Student využil moderní technologie, vše integroval v rámci Git a aplikaci otestoval na reálných pravidlech. Pozitivně hodnotím zpracování práce v angličtině.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Jedná se o průměrně obtížnou práci implementačního charakteru. Cílem byl návrh a implementace webové aplikace sloužící pro správu SIEM korelačních pravidel a automatických scénářů reakce pro SOAR řešení. Student splnil všechny body zadání ve velmi dobré kvalitě. Významnou roli hrál konzultant, který zajišťoval usazení práce do rámce z reálné praxe a velmi aktivně se studentem spolupracoval. Z tohoto důvodu do komentářů přikládám i jeho hodnocení, s nímž se ztotožňuji. | ||
| Práce s literaturou | Student aktivně vyhledával relevantní dostupnou literaturu a vhodně ji začlenil do své práce. Kap 2.1., který představuje klíčové bezpečnostní pojmy lépe zpracována. | ||
| Aktivita během řešení, konzultace, komunikace | V průběhu semestru student pravidelně konzultoval a prezentoval dosažené výsledky. | ||
| Aktivita při dokončování | Student obsah práce konzultoval průběžně a její definitivní obsah byl zaslán k připomínkování v dostatečném předstihu. Všechny připomínky k práci byly zapracovány. | ||
| Publikační činnost, ocenění | žádná |
Implementace nástroje je na dobré úrovni a splňuje funkční požadavky. Technická část je na dobré úrovni a splňuje požadavky odborníka v dané oblasti. Nižší kvalitu má technická zpráva, která ne vždy jasně popisuje různá teoretická východiska nebo technické detaily. Celkově je však práce dostatečně kvalitní a splňuje body zadání v očekávané míře. Navrhuji hodnocení C (77 bodů).
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Práce je implementačního charakteru, vyžadovala nastudování aktuálních technologií SIEM a SOAR a implementaci nástroje pro zprávu pravidel a postupů reakcí. | ||
| Rozsah splnění požadavků zadání | Všechny body zadání byli naplněny v dostačující kvalitě. | ||
| Rozsah technické zprávy | Práce je v obvyklém rozmezí. Obsahuje 47 vysázených stran od úvodu po závěr. | ||
| Prezentační úroveň technické zprávy | 63 | Technická zpráva vykazuje určitou nejasnost v cílech a účelu, což ztěžuje její pochopitelnost. Na začátku není jasné, zda se práce zaměřuje na implementaci nástroje pro správu a monitoring SIEM a SOAR systémů, nebo na tvorbu SOAR playbooků. V některých kapitolách chybí propojení mezi částmi textu a například odkazovaný popis kolekcí databáze není uveden. Testování aplikace je popisováno zmateně, s nedostatečným vysvětlením, co bylo testováno a jaký byl jeho cíl. Není dostatečně vysvětleno, jak aplikace zapadá do běžného pracovního postupu ani jak se integruje do stávajících systémů. Ve výsledku technická zpráva působí chaoticky, a i když obsahuje potřebné informace, je někdy náročné se v nich orientovat. | |
| Formální úprava technické zprávy | 72 | Formální úprava technické zprávy vykazuje několik nedostatků. Odkazy a citace se nacházejí samostatně na začátku řádku a někdy chybí mezery před citacemi. Číslování citací občas nevychází od nejmenšího k největšímu. Text obsahuje typografické chyby, například v sekci 2.2 je uvedeno "SEIM" místo "SIEM". Některé citace jsou na nesprávných místech - vloženy do bloku textu mimo větu. Odkazy jsou někdy uvedeny bez specifikace, kam se odkazují, například pouze "3.2" bez "Section" nebo "Figure". Na konci stránek zůstávají prázdná místa (např. str. 11) a referenční označení jsou často nesprávná či malými písmeny (např. "6.3 image", "6.2.4 section"). | |
| Práce s literaturou | 75 | Výběr studijních pramenů v technické zprávě je obecně odpovídající tématu a zadání práce. Student většinou správně rozlišuje mezi převzatými prvky a vlastními výsledky a úvahami. Citování textu je většinou dobře provedené, s výjimkou úvodu, kde chybí citace k uvedeným informacím. Problémy nastávají u citací obrázků, například u obrázku 2.3 není jasný jeho původ a není zřejmé, zda je citace uvedena při odkazu. Literatura je primárně tvořena odkazy na online dokumentace diskutovaných a použitých technologií a doplněna o pár citací odborné literatury. | |
| Realizační výstup | 87 | Implementace naplňuje stanovené cíle a dovoluje pokročilejší správu pravidel a postupů. Nástroj je rozdělen do vícero logických částí které jsou obsluhovány mikroslužbami a komunikují s uživatelským rozhraním. Grafické rozhraní je zpracováno na dobré úrovni a dovoluje interaktivní správu postupů (playbooků) pomocí blokových schémat. Nástroj dovoluje velmi flexibilní správu pokročilých parametrů pravidel a postupů. Upravené pravidla a postupy jsou automaticky verzovány v pomocí služby GitHub. Testování implementace proběhlo jen konzultací s expertem s oblasti, kde byla posuzována správnost vygenerovaných pravidel a postupů. Testování mohlo být rozšířeno o jednotkové testy jednotlivých komponent (mikroslužeb) a testování pro doladění uživatelského rozhraní. Odevzdaný kód je logicky rozdělen podle funkčních celků, obsahuje komentáře a stručný návod k spuštění. Struktura kódu je čitelná a kód na první pohled neobsahuje zásadnější chyby. Samotná dokumentace kódu je poněkud stručnější, bylo by vhodné doplnit minimálně požadovanou verzi jazyka Python. | |
| Využitelnost výsledků | Práce přináší nový nástroj pro zjednodušení práce bezpečnostních expertů a jednoduššího přechodu k standardizovaným zápisům pravidel a postupů pro SIEM a SOAR systémy. |
eVSKP id 155315