Nástroj pro generalizaci automatizovaných SOAR scénářů pro sdílení znalostí v odvětví počítačové bezpečnosti

Thumbnail Image
Files
final-thesis.pdf(18.64 MB)
appendix-1.zip(1.52 MB)
review_159178.html(5.94 KB)
Date
Authors
Ištoňová, Miriam
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Dnešnú dobu by bolo možné definovať ako množstvo, rýchlosť a možnosti. Dohľadové centrá bezpečnosti zareagovali na výzvu množstva neutíchajúcich informácií nástrojom monitorovania a kategorizácie ako je SIEM. Avšak v prípade samotných incidentov, ponúka svoju rýchlosť a automatizáciu reakcie vyspelé riešenie SOAR. Ako každá technológia aj SOAR ponúkaný rôznymi spoločnosťami, prispieva ku možnostiam jednotlivých štruktúr a formátov scenáru reakcie, čo prináša jasnú výzvu zjednodušenia, spolupráce a generalizácie. Bakalárska práca sa preto zameriava na realizáciu nástroja konverzie, s cieľom zjednotenia a zovšeobecnenia formátu automatizovaných SOAR scenárov za pomoci využitia vyvíjajúceho sa playbook štandardu CACAO. Hlavným prínosom nástroja je možnosť zjednotenia použitia SOAR scenárov, zabezpečenie úspešnej konverzie a tým zjednodušenie zdieľania znalostí v oblasti počítačovej bezpečnosti. Teoretická časť práce teda popisuje aktuálnu problematiku bezpečnostného monitoringu, vysvetľuje dôležitosť automatizácie v rámci reakcie na incidenty a ponúka podrobnú analýzu a zrovnanie dostupných technológií a formátov scenárov automatickej reakcie na incidenty. Praktická časť je úzko spojená a závisí na výsledkoch analýzy. Zameriava sa na voľbu a návrh vhodného formátu popisu jednotlivých scenárov automatickej reakcie ako hlavne následnej implementácii samotného nástroja konverzie.
Today’s era could be defined as quantity, speed and possibilities. Security monitoring centers have responded to the challenge of an unrelenting amount of information with monitoring and categorization tools such as SIEM. However, in case of incidents themselves, the speed and automation of response is offered by an advanced SOAR solution. Like any technology, SOAR offered by different companies also contributes to the variety of individual response scenario structures and formats, bringing the clear challenge of simplification, collaboration and generalization. Therefore, the bachelor thesis focuses on the implementation of a conversion tool, with the goal of unifying and generalizing the format of automated SOAR scenarios using the evolving CACAO playbook standard. The main benefit of the tool is the ability to unify the use of SOAR scenarios, ensure successful conversion and thus facilitate knowledge sharing in the field of cybersecurity. The theoretical part of this thesis focuses on the current issue of security monitoring, explains the importance of automation within incident response and offers a detailed analysis and comparison of available technologies and formats of automated incident response playbooks. The practical part is closely related and depends on the results of the analysis. It focuses on the selection and design of a suitable format for the description of the individual automatic response scenarios as well as the following final implementation of the conversion tool itself.
Description
Keywords
SOAR, playbook, scenár, konverzia, formát, CACAO, SIEM, SOC, generalizácia, SOAR, playbook, scenario, conversion, format, CACAO, SIEM, SOC, generalization
Citation
IŠTOŇOVÁ, M. Nástroj pro generalizaci automatizovaných SOAR scénářů pro sdílení znalostí v odvětví počítačové bezpečnosti [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.
Document type
Document version
Date of access to the full text
Language of document
sk
Study field
bez specializace
Comittee
prof. Ing. Jan Hajný, Ph.D. (předseda) Mgr. Václav Stupka, Ph.D. (místopředseda) Ing. Radovan Juráň (člen) Ing. Tomáš Gerlich (člen) Ing. Tomáš Mácha, Ph.D. (člen) Ing. František Urban, Ph.D. (člen) Ing. Martin Zukal, Ph.D. (člen)
Date of acceptance
2024-06-10
Defence
Studentka prezentovala výsledky své práce a komise byla seznámena s posudky. Studentka obhájila bakalářskou práci a odpověděla na otázky členů komise a oponenta. Otázky: -Co bude potřeba udělat při přidání podpory pro další formát SOAR souboru? - studentka dostatečně vysvětlila otázku -Z jakého důvodu se podle Vás aktivně CACAO standard nepoužívá? - studentka dostatečně vysvětlila otázku -Jaké největší komplikace jste musela řešit při konverzi formátu Splunk na CACAO a jak jste je řešila? - studentka dostatečně vysvětlila otázku
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
http://hdl.handle.net/11012/246480
Collections
2024
Citace PRO