Návrh a implementace postupů pro automatizované řešení bezpečnostních incidentů

Simple item page
but.committeedoc. Ing. Václav Zeman, Ph.D. (předseda) doc. Ing. Jan Jeřábek, Ph.D. (místopředseda) JUDr. Mgr. Jakub Harašta, Ph.D. (člen) doc. Ing. Zdeněk Martinásek, Ph.D. (člen) RNDr. Ing. Pavel Šeda, Ph.D. (člen)cs
but.defenceStudent prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta. Pokud se zaměříme na scénář kontroly škodlivého souboru na zvoleném zařízení, v případě, kdy na SIEMu vyskočí hláška o spouštění binárního souboru z přílohy emailu, který nebyl antivirovým řešením odstraněn nebo alespoň pozastaven, nejčastěji to znamená, že škodlivý kód akci úspěšně provedl a může sám za sebou „uklidit“, tzn. během vykonání vašeho scénáře podle navrženého postupu dojde k „přidání zprávy“ a „ukončení vyhodnocení“ kvůli absenci souboru k vyhodnocení. V případě, kdy je vzorek zachycen emailovou bránou a máte v experimentálním pracovišti napojený Exchange Server, je možné tyto informace dostat do aktuálního scénáře a pokračovat ve vyhodnocení? Pokud ano, stručně popište možný postup. - student dostatečně vysvětlil otázku. V případě použití Public API VirusTotal dle oficiální dokumentace dostupné ze stránek https://developers.virustotal.com/reference#getting-started existuje omezení dané 500 požadavky denně a 4 požadavky za minutu. V případě reálného použití, například pokud dojde k výpadků API VirusTotal nebo pozastavení poskytování této služby (1 požadavek za 15 s), jaké to bude mít dopady a jak je to ošetřeno? Uvidí uživatel platformy nějakou chybovou hlášku? - student dostatečně vysvětlil otázku. Existuje možnost navržené a naimplementované scénáře úspěšně přenést a zaintegrovat i do jiných SIEM řešení zastoupených na trhu? Například do řešení RSA Netwitness podporující NetWitness Orchestrator. - student dostatečně vysvětlil otázku.cs
but.jazykčeština (Czech)
but.programInformační bezpečnostcs
but.resultpráce byla úspěšně obhájenacs
dc.contributor.advisorMartinásek, Zdeněkcs
dc.contributor.authorHons, Kamilcs
dc.contributor.refereeSafonov, Yehorcs
dc.date.created2021cs
dc.description.abstractTato diplomová práce se zabývá vytvořením návrhů, postupů pro řešení bezpečnostních incidentů, a to jak z teoretického, tak i z praktického hlediska. V rámci práce byly vytvořeny tři obecné scénáře v podobě grafických schémat, vytvořených v programu Inkscape, sloužící jako teoretická předloha k automatickému řešení bezpečnostních incidentů. První navržený scénář navrhuje obecný postup řešení události, ve které je příloha emailu označena jako podezřelá. Druhý scénář slouží jako návrh postupu řešení události, kdy je podezření na komunikaci nedůvěryhodné externí IP adresy s adresou lokální. Třetí scénář navrhuje postup šetření pro události, kde je třeba prošetřit podezřelý soubor na vzdáleném zařízení. Na základě těchto vytvořených scénářů byla provedena a zdokumentována praktická implementace postupů pro automatické řešení bezpečnostních incidentů v programovacím jazyce Python uvnitř prostředí Splunk Phantom. V rámci dokumentace implementace scénářů byla vytvořena dvě audiovizuální demonstrace pro ilustrování vytvořeného prostředí a funkce implementovaných scénářů za pomoci nástroje OBS a Blender. Jednotlivé implementace jsou na závěr práce testovány automatickým spuštěním nad událostmi z definovaného časového rozsahu. Výsledky jsou přehledně analyzovány formou tabulek z důvodu určení úspěšnosti těchto scénářů, jež se zakládá na prověření odlišnosti výsledků analýz od předpokladu. Na základě analýzy byly praktické implementace scénářů upraveny tak, aby jejich výstup odpovídal předpokladu. Výsledkem se tak stávají tři navržené, otestované a analyzované scénáře, které mohou dále sloužit jako základ pro specifické implementace ve firemním informačním systému. Samotná implementace teoretických scénářů byla provedena v rámci testovacího prostředí a součástí práce je popis komunikace a nastavení daného prostředí. V závěru byly popsány výsledky jednotlivých scénářů.cs
dc.description.abstractThis diploma thesis deals with the development of proposals for procedures for dealing with security incidents, both from a theoretical and practical point of view. Three generic scenarios in the form of graphical diagrams, designed in Inkscape program, were created as a theoretical template for the automatic handling of security incidents. The first proposed scenario suggests a general procedure for dealing with an event in which an email attachment is marked as suspicious. The second scenario serves as a suggested procedure for handling an event, where an untrusted external IP address is suspected to be communicating with a local one. The third scenario then suggests an investigation procedure for events, where a suspicious file on a remote device needs to be investigated. Based on these created scenarios, a practical implementation of procedures for automized solving of security incidents was performed and documented in the Python programming language within the Splunk Phantom environment. As part of the documentation of the scenario implementation, two audiovisual demonstrations were created to illustrate the designed environment and the functionality of the implemented scenarios using programs such as OBS and Blender. The individual implementations are tested at the end of the thesis by running them automatically over events from a defined time range. The results are clearly analyzed in the form of tables to determine the success of these scenarios, which is based on checking how the analysis results differ from the original assumptions. Based on the analysis, the practical implementations of the scenarios have been modified to ensure that their output matches with the assumption. Thus, results are three proposed, tested and analyzed scenarios, which can further serve as a basis for specific implementations in a corporate information system. The actual implementation of the theoretical scenarios was carried out within a testing environment and the work includes a description of the communication and a setup of the environment. Finally, the results of the individual scenarios were described.en
dc.description.markAcs
dc.identifier.citationHONS, K. Návrh a implementace postupů pro automatizované řešení bezpečnostních incidentů [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2021.cs
dc.identifier.other133554cs
dc.identifier.urihttp://hdl.handle.net/11012/196911
dc.language.isocscs
dc.publisherVysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologiícs
dc.rightsStandardní licenční smlouva - přístup k plnému textu bez omezenícs
dc.subjectanalýzacs
dc.subjectautomatickécs
dc.subjectodpověď na událostcs
dc.subjectpostupcs
dc.subjectudálostcs
dc.subjectanalysisen
dc.subjectautomaticen
dc.subjectincident responseen
dc.subjectprocedureen
dc.subjecteventen
dc.titleNávrh a implementace postupů pro automatizované řešení bezpečnostních incidentůcs
dc.title.alternativeProposal and implementation of procedures for automated response of security incidentsen
dc.typeTextcs
dc.type.drivermasterThesisen
dc.type.evskpdiplomová prácecs
dcterms.dateAccepted2021-06-08cs
dcterms.modified2024-05-17-12:51:01cs
eprints.affiliatedInstitution.facultyFakulta elektrotechniky a komunikačních technologiícs
sync.item.dbid133554en
sync.item.dbtypeZPen
sync.item.insts2025.03.26 14:26:42en
sync.item.modts2025.01.15 23:23:46en
thesis.disciplinebez specializacecs
thesis.grantorVysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. Ústav telekomunikacícs
thesis.levelInženýrskýcs
thesis.nameIng.cs
Files
Original bundle
Now showing 1 - 3 of 3
Thumbnail Image
Name:
final-thesis.pdf
Size:
10.63 MB
Format:
Adobe Portable Document Format
Description:
final-thesis.pdf
Download
Thumbnail Image
Name:
appendix-1.zip
Size:
158.76 KB
Format:
zip
Description:
appendix-1.zip
Download
Thumbnail Image
Name:
review_133554.html
Size:
7.9 KB
Format:
Hypertext Markup Language
Description:
file review_133554.html
Download
Collections
2021