Nástroj pro generalizaci automatizovaných SOAR scénářů pro sdílení znalostí v odvětví počítačové bezpečnosti

Thumbnail Image

Files

final-thesis.pdf (18.64 MB)
 appendix-1.zip (1.52 MB)
 review_159178.html (5.94 KB)

Date

Authors

Ištoňová, Miriam

Advisor

Referee

Mark

A

Journal Title

Journal ISSN

Volume Title

Publisher

Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií

ORCID

Abstract

Dnešnú dobu by bolo možné definovať ako množstvo, rýchlosť a možnosti. Dohľadové centrá bezpečnosti zareagovali na výzvu množstva neutíchajúcich informácií nástrojom monitorovania a kategorizácie ako je SIEM. Avšak v prípade samotných incidentov, ponúka svoju rýchlosť a automatizáciu reakcie vyspelé riešenie SOAR. Ako každá technológia aj SOAR ponúkaný rôznymi spoločnosťami, prispieva ku možnostiam jednotlivých štruktúr a formátov scenáru reakcie, čo prináša jasnú výzvu zjednodušenia, spolupráce a generalizácie. Bakalárska práca sa preto zameriava na realizáciu nástroja konverzie, s cieľom zjednotenia a zovšeobecnenia formátu automatizovaných SOAR scenárov za pomoci využitia vyvíjajúceho sa playbook štandardu CACAO. Hlavným prínosom nástroja je možnosť zjednotenia použitia SOAR scenárov, zabezpečenie úspešnej konverzie a tým zjednodušenie zdieľania znalostí v oblasti počítačovej bezpečnosti. Teoretická časť práce teda popisuje aktuálnu problematiku bezpečnostného monitoringu, vysvetľuje dôležitosť automatizácie v rámci reakcie na incidenty a ponúka podrobnú analýzu a zrovnanie dostupných technológií a formátov scenárov automatickej reakcie na incidenty. Praktická časť je úzko spojená a závisí na výsledkoch analýzy. Zameriava sa na voľbu a návrh vhodného formátu popisu jednotlivých scenárov automatickej reakcie ako hlavne následnej implementácii samotného nástroja konverzie.
Today’s era could be defined as quantity, speed and possibilities. Security monitoring centers have responded to the challenge of an unrelenting amount of information with monitoring and categorization tools such as SIEM. However, in case of incidents themselves, the speed and automation of response is offered by an advanced SOAR solution. Like any technology, SOAR offered by different companies also contributes to the variety of individual response scenario structures and formats, bringing the clear challenge of simplification, collaboration and generalization. Therefore, the bachelor thesis focuses on the implementation of a conversion tool, with the goal of unifying and generalizing the format of automated SOAR scenarios using the evolving CACAO playbook standard. The main benefit of the tool is the ability to unify the use of SOAR scenarios, ensure successful conversion and thus facilitate knowledge sharing in the field of cybersecurity. The theoretical part of this thesis focuses on the current issue of security monitoring, explains the importance of automation within incident response and offers a detailed analysis and comparison of available technologies and formats of automated incident response playbooks. The practical part is closely related and depends on the results of the analysis. It focuses on the selection and design of a suitable format for the description of the individual automatic response scenarios as well as the following final implementation of the conversion tool itself.

Description

Keywords

SOAR , playbook , scenár , konverzia , formát , CACAO , SIEM , SOC , generalizácia , SOAR , playbook , scenario , conversion , format , CACAO , SIEM , SOC , generalization

Citation

IŠTOŇOVÁ, M. Nástroj pro generalizaci automatizovaných SOAR scénářů pro sdílení znalostí v odvětví počítačové bezpečnosti [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.

Document type

Document version

Date of access to the full text

Language of document

sk

Study field

bez specializace

Comittee

prof. Ing. Jan Hajný, Ph.D. (předseda) Mgr. Václav Stupka, Ph.D. (místopředseda) Ing. Radovan Juráň (člen) Ing. Tomáš Gerlich (člen) Ing. Tomáš Mácha, Ph.D. (člen) Ing. František Urban, Ph.D. (člen) Ing. Martin Zukal, Ph.D. (člen)

Date of acceptance

2024-06-10

Defence

Studentka prezentovala výsledky své práce a komise byla seznámena s posudky. Studentka obhájila bakalářskou práci a odpověděla na otázky členů komise a oponenta. Otázky: -Co bude potřeba udělat při přidání podpory pro další formát SOAR souboru? - studentka dostatečně vysvětlila otázku -Z jakého důvodu se podle Vás aktivně CACAO standard nepoužívá? - studentka dostatečně vysvětlila otázku -Jaké největší komplikace jste musela řešit při konverzi formátu Splunk na CACAO a jak jste je řešila? - studentka dostatečně vysvětlila otázku

Result of defence

práce byla úspěšně obhájena

DOI

URI

http://hdl.handle.net/11012/246480

Collections

2024

Endorsement

Review

Supplemented By

Referenced By

Citace PRO