MATUŠICOVÁ, V. Webová aplikace pro generalizaci SIEM korelačních pravidel [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2023.
Studentka splnila cíle diplomové práce, provedla analýzu současného stavu problematiky v odvětví bezpečnostního monitoringu a vývoje korelačních pravidel pro detekci kybernetických útoků pro různé SIEM platformy. Implementovaná aplikace umožňuje správu a vizualizaci generalizovaných a pravidelně aktualizovaných Sigma pravidel. Studentka realizovala experimentální pracoviště, nakonfigurovala všechny stanice potřebné pro fungování webové aplikace. Pro efektivní vývoj použila moderní architekturu virtualizovaných mikroslužeb. Řádně okomentovala výhody a nevýhody existujících architektur webových aplikací a v části 3.2 diplomové práce prezentovala finální návrh aplikace, jejíž funkcionální stránka byla rozdělena právě do čtyř mikroslužeb. Z bezpečnostních důvodu studentka distribuovala backend část aplikace do dvou virtuálních linux serverů, které byly odděleny do různých síťových segmentů virtuálního ESXI pracoviště a napojeny na interní řadič virtuální domény. Studentka použila systém front RabbitMQ pro účely efektivního a standardizovaného předání informací mezi zmíněnými mikroslužbami. Silnou stránkou navrženého řešení je návrh a implementace vlastního autentizačního systému s integrací pokročilé platformy ASP.NET Core Idenity, realizace automatického obnovování autentizačních tokenů a použití PKI certifikátů. Práce taktéž obsahuje podrobné srovnání autentizačních architektur, kde je navržený autentizační systém porovnán s modelem postaveném na IdentityServer4 (viz podkapitola 3.2.2). Pro účely efektivního vývoje byl použit verzovací systém GitLab s vyžitím submodulů. V textu práce byla stručně vysvětlena problematika konverze pravidel pomocí frameworku Sigma a jsou popsány nástroje Sigmac a PySigma. Práce je logicky a přehledně rozdělena. Z teoretického pohledu jsou v práci porovnány SIEM systémy (ELK, Splunk, RSA Netwitness a LogRhythm) se zaměřením na jejich syntaxi při tvorbě korelačních pravidel. Diplomová práce obsahuje specifikaci požadavků, model případů užití, kompletní návrh a detailně popsanou implementaci webové aplikace. Kladně hodnotím vytvořený a detailně popsaný diagram tříd aplikace (dostupný na obrázku 4.1), využití návrhového vzoru Dependency Injection (viz podkapitola 4.1.3), použití virtualizovaných Docker konteinerů (viz podkapitola 4.3.1), integraci funkcionalit knihovny Pinia pro práci s Vue Store (v rámci fungování frontendu aplikace, viz kapitola 4.2). Silnou stránkou aplikace je dobře promyšlená logika fungování a uživatelsky přívětivý přístup ke správě generalizovaných Sigma pravidel, který umožňuje její praktické nasazení a použití v praxi. Dalším nezanedbatelným přínosem je povedená vizualizace uživatelem spravovaných pravidel pomocí LogSource a MITRE ATT&CK frameworků. V průběhu akademického roku studentka pravidelně konzultovala a prezentovala dosažené výsledky. Studentka prokázala schopnost práce s odbornou literaturou. Všechny grafické a textové vstupy jsou řádně citovány. Zdrojový kód je podrobně okomentován s použitím speciálních .NET značek. Na konci praktické části studentka provedla otestování klientské a serverové časti a otestovala funkčnost Sigma pravidel na vybraným SIEM řešení. Z důvodu rozsáhlé a výborně odvedené praktické časti navrhuji práci k obhajobě s finálním hodnocením A (100 bodů).
Studentka splnila cíle diplomové práce, kvalita zdrojových kódů je na profesionální úrovni, řešení odpovídá komerčně dostupným produktům a některými funkcionalitami je překonává. Práce je na excelentní úrovni. Studentka nejprve provedla analýzu současného stavu a podrobně popsala a srozumitelně vysvětlila existující řešení. Následně studentka realizovala návrh v souladu s moderními UX postupy (model případu použití, specifikace požadavků…), a velmi kvalitně navrhla systémovou architekturu s využitím nejmodernějších technologií (architektura mikro servis pomocí Docker, Docker Compose a Docker Swarm…). Studentka kladla důraz na budoucí škálovatelnost a jednoduchou rozšiřitelnost řešení, z toho důvodu zvolila architekturu mikro servis a standardizované knihovny a nástroje využívané v komerční sféře (ASP.NET Core, RabbitMQ, OpenID Connect a OAuth 2.0, Vue.js…). Samotná implementace je v práci velmi vhodně a srozumitelně popsána. Zdrojové kódy odpovídají standardům čistého kódu a vhodně využívají nástrojů objektově orientovaného programování. Studentka musela velmi podrobně nastudovat velkou řadu knihoven a frameworků, které dalece přesahují jakékoliv znalosti získané na akademické půdě a odpovídají moderním komerčním řešením a schopnostem full stack vývojáře a bezpečnostního experta. Studentka zároveň prokázala hlubokou znalost problematiky a vhodně zvolila použité technologie pro konkrétní řešení generalizace SIEM korelačních pravidel (Sigma pravidla – Sigmac, MITRE matice, LogSource…). Řešení je volně přístupné v podobě open source a je plně kompatibilní s komerčními bezpečnostními nástroji (QRadar, RSA NetWitness, Crowdstrike…). Uživatelské rozhraní je přehledné a mimořádně dobře zpracované. Implementované řešení studentka otestovala na experimentálním pracovišti a úspěšně ověřila jeho funkčnost, rovněž bylo otestováno produkční nasazení řešení. Studentka prokázala schopnost práce s odbornou literaturou. Všechny grafické a textové vstupy jsou řádně citovány. Po formální stránce obsahuje práce drobné nedostatky, například formát citací není zcela správný. Celkově je práce zcela excelentní a prokazuje výjimečnou znalost problematiky i vhodných technologií jak ze strany studentky, tak vedoucího práce. Práci hodnotím 100 body.
eVSKP id 151257