Nástroj pro vizualizaci a analýzu korelačních pravidel SIEM nasazených v kyberprostoru
Loading...
Date
Authors
Závišková, Hana
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Ve světě neustále se vyvíjejících moderních technologií roste potřeba vytváření kybernetických bezpečnostních strategií pro ochranu digitálních infrastruktur, neboť se rapidně zvyšují počty kybernetických útoků. Hlavním cílem bakalářské práce je vytvořit nástroj pro vizualizaci korelačních pravidel systémů SIEM. Nástroj je realizován formou rozšíření existující webové aplikace a klade si za cíl umožnit bezpečnostnímu expertovi či uživateli aplikace zkoumat uživatelská Sigma pravidla podle různých kritérií a na základě různých pohledů. Z teoretického hlediska se bakalářská práce zaměřuje na seznámení čtenáře se základy kybernetické bezpečnosti z hlediska motivace zajišťování bezpečnosti, vysvětlení základních pojmů nezbytných pro pochopení obsahu práce a rozbor perspektiv, jakými způsoby lze na kybernetické útoky nahlížet. Obsahuje také popis vybraných kybernetických útoků, jejichž výběr vychází z vypracovaných statistik provedených kybernetických útoků na Českou republiku za období prvních třech kvartálů roku 2023. Následuje vysvětlení principu detekce a prevence vzniku kybernetických incidentů, technologií pro zajištění ochrany v kyberprostoru včetně problematiky zdrojů logů a platforem pro zjišťování informací o hrozbách a principů vyšetřování kybernetických incidentů. Následuje úvod do problematiky právní úpravy kybernetické bezpečnosti včetně popisu doporučení organizace ENISA. Praktická část bakalářské práce je dále rozdělena na čtyři kapitoly. V první části byla provedena analýza dostupných webových frameworků, které mohou být použity v rámci vývoje aplikace, a analýza způsobů vizualizace pravidel použitých ve dvou moderních SIEM řešeních. Druhá fáze se věnuje návrhu různých pohledů, pomocí nichž lze zajistit příjemné, intuitivní a interaktivní prostředí pro zobrazení uživatelských pravidel. Součást vizualizačních návrhů tvoří komponenty dostupné v knihovně D3.js a práce s maticí MITRE ATT&CK. Druhá fáze také zahrnuje vytvoření struktury pro rozložení prvků ve webové aplikaci. Třetí fáze je orientována na přiblížení samotné implementace vhodných zobrazení, které vyplývají z analýzy provedené ve druhé fázi. Zahrnuje také popis experimentálního prostředí, v němž byla aplikace vyvíjena, a způsob získání dat. Poslední fáze je zaměřena na testování vizuální části aplikace z pohledu uživatele. Celou práci zakončuje závěr, v němž jsou shrnuty výsledky bakalářské práce, kterých bylo dosaženo, a návrhy na vylepšení aplikace do budoucna.
In a world of constantly evolving modern technologies, there is a growing need of developing cyber security strategies to protect digital infrastructures as the number of cyber attacks is rapidly increasing. The main goal of the bachelor thesis is to create a tool for visualizing correlation rules of SIEM systems. The tool is implemented as an extension to an existing web application and aims to allow a security expert or application user to explore user Sigma rules according to different criteria and based on different views. From a theoretical point of view, the bachelor’s thesis focuses on introducing the reader to the basics of cyber security in terms of the motivation for providing security, explaining the basic concepts necessary to understand the content of the thesis and analyzing the perspectives in which cyber attacks can be viewed. It also contains a description of selected cyber attacks, the selection of which is based on the statistics of cyber attacks on the Czech Republic for the first three quarters of the year 2023. This is followed by an explanation of the principles of detection and prevention of cyber incidents, technologies for ensuring protection in cyberspace, including the issue of log sources and platforms for detecting information about threats and the principles of cyber incident investigation. This is followed by an introduction to the legal regulation of cyber security, including a description of ENISA recommendations. The practical part of the bachelor thesis is further divided into four chapters. In the first part, an analysis of available web frameworks that can be used in application development and an analysis of the rule visualization methods used in two modern SIEM solutions were performed. The second phase focuses on the design of different views that can be used to provide a pleasant, intuitive and interactive environment for displaying user rules. The visualization designs include the components available in the D3.js library and working with the MITRE ATT&CK matrix. The second phase also includes the creation of a structure for the layout of the elements in the web application. The third phase is oriented towards approaching the actual implementation of the appropriate views that result from the analysis performed in the second phase. It also includes a description of the experimental environment in which the application was developed and how the data was obtained. The last phase focuses on testing the visual part of the application from the user’s perspective. The whole thesis finishes with a conclusion, which summarizes the results of the bachelor’s thesis, which have been achieved, and suggestions for improving the application in the future.
In a world of constantly evolving modern technologies, there is a growing need of developing cyber security strategies to protect digital infrastructures as the number of cyber attacks is rapidly increasing. The main goal of the bachelor thesis is to create a tool for visualizing correlation rules of SIEM systems. The tool is implemented as an extension to an existing web application and aims to allow a security expert or application user to explore user Sigma rules according to different criteria and based on different views. From a theoretical point of view, the bachelor’s thesis focuses on introducing the reader to the basics of cyber security in terms of the motivation for providing security, explaining the basic concepts necessary to understand the content of the thesis and analyzing the perspectives in which cyber attacks can be viewed. It also contains a description of selected cyber attacks, the selection of which is based on the statistics of cyber attacks on the Czech Republic for the first three quarters of the year 2023. This is followed by an explanation of the principles of detection and prevention of cyber incidents, technologies for ensuring protection in cyberspace, including the issue of log sources and platforms for detecting information about threats and the principles of cyber incident investigation. This is followed by an introduction to the legal regulation of cyber security, including a description of ENISA recommendations. The practical part of the bachelor thesis is further divided into four chapters. In the first part, an analysis of available web frameworks that can be used in application development and an analysis of the rule visualization methods used in two modern SIEM solutions were performed. The second phase focuses on the design of different views that can be used to provide a pleasant, intuitive and interactive environment for displaying user rules. The visualization designs include the components available in the D3.js library and working with the MITRE ATT&CK matrix. The second phase also includes the creation of a structure for the layout of the elements in the web application. The third phase is oriented towards approaching the actual implementation of the appropriate views that result from the analysis performed in the second phase. It also includes a description of the experimental environment in which the application was developed and how the data was obtained. The last phase focuses on testing the visual part of the application from the user’s perspective. The whole thesis finishes with a conclusion, which summarizes the results of the bachelor’s thesis, which have been achieved, and suggestions for improving the application in the future.
Description
Citation
ZÁVIŠKOVÁ, H. Nástroj pro vizualizaci a analýzu korelačních pravidel SIEM nasazených v kyberprostoru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
bez specializace
Comittee
prof. Ing. Jan Hajný, Ph.D. (předseda)
Mgr. Václav Stupka, Ph.D. (místopředseda)
Ing. Radovan Juráň (člen)
Ing. Tomáš Gerlich (člen)
Ing. Tomáš Mácha, Ph.D. (člen)
Ing. František Urban, Ph.D. (člen)
Ing. Martin Zukal, Ph.D. (člen)
Date of acceptance
2024-06-10
Defence
Studentka prezentovala výsledky své práce a komise byla seznámena s posudky.
Studentka obhájila bakalářskou práci a odpověděla na otázky členů komise a oponenta.
Otázky:
-Bude Vaše práce někde konkrétně využívána v praxi? - studentka dostatečně vysvětlila otázku
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení