Webová aplikace pro generalizaci SIEM korelačních pravidel
Loading...
Date
Authors
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
S rozvojom technológií vzrastá zo strany organizovaného zločinu riziko útokov na organizácie. Vznikajú útoky na modifikáciu dát a na získanie prístupu do firemnej siete. Kombináciou vhodných nástrojov, ako je dohľad nad prevádzkou v sieti, sondy na detekciu a prevenciou útokov a nástroje na koreláciu incidentov a udalostí SIEM je možné podozrivé chovanie v sieti identifikovať a vykonať opatrenia na odvrátenie a obmedzenie dopadu kybernetického útoku. Hlavným prínosom práce je vytvorenie webovej aplikácie slúžiacej ako generalizovaný nástroj na správu korelačných pravidiel pre rôzne platformy SIEM riešení. Pomocou webovej aplikácie je možné spravovať všetky verejne dostupné Sigma pravidlá a konvertovať ich do cieľových SIEM. Užívateľovi je umožnené ich ukladanie do vlastnej užívateľskej sekcie spolu s konverziami SIEM a vizuálne zobrazenie pokrytia techník podľa kategorizácie MITRE ATT@CK a LogSource uložených užívateľských pravidiel. Teoretická časť práce obsahuje spracovanie problematiky bezpečnostného monitoringu, vysvetlenie prínosu platformy Sigma a analýzy webovej aplikácie. Je definovaný model prípadu užitia, špecifikované funkčné a nefunkčné požiadavky na popis výsledného systému a je vykonaná analýza nástrojov na konverziu dostupných pravidiel Sigma. Praktická časť sa zameriava na návrh webovej aplikácie, v ktorom je stanovená architektúra aplikácie. Je vytvorený návrh serverovej a klientskej časti s vysvetlením základných funkcionalít. V rámci praktickej implementácie výsledného riešenia práce sú vysvetlené postupy vytvorenia mikroservís, klientskej časti a spustenia webovej aplikácie. Vo výslednom stave riešenia je zhrnuté vytvorené riešenie. Na konci práce je vykonané testovanie klientskej časti aplikácie, ktorého súčasťou sú aj snímky obrazovky funkčného užívateľského rozhrania. V druhej časti je zobrazený proces testovania Sigma pravidiel, ktoré sú pomocou webovej aplikácie konvertované a z funkcionálnej stránky overené pomocou testovacieho SIEM riešenia RSA NetWitness.
The risk of attacks on companies by organized crime increases as technology advances. Attacks that focus on modifying data or gaining access to a company's network are constantly developed. The sophisticated nature of advanced threats distinguishes them from broad-based attacks that rely on automated scripts. However, organizations can mitigate this risk by utilizing a combination of appropriate tools. These include network flow monitoring, probes for detecting and preventing attacks, and Security Information and Event Management (SIEM) tools for correlating incidents and events. By leveraging these tools, suspicious behavior in the network can be identified, and measures can be taken to prevent and mitigate the impact of cyber attacks. The main contribution of this thesis is the development of a web application that serves as a general tool for managing correlation rules across various SIEM solutions. Through the use of this web application, publicly available Sigma rules can be managed and converted into target SIEM solutions. Users are given the ability to save these rules to their personal user section, alongside SIEM conversions and visual representations of technique coverage based on categorization by MITRE ATT@CK and LogSource of stored user rules. The theoretical part of the thesis comprises an analysis of security monitoring issues, an explanation of the benefits of the Sigma platform and an analysis of the web application. A use case model is defined, functional and non-functional requirements are specified to describe the resulting system. Additionally, the analysis of available tools for converting Sigma rules is performed. The practical portion of the thesis begins with a focus on the design of the web application, including the architecture of both the server-side and client-side components, as well as an explanation of the core functionalities. The resulting solution is then implemented, with detailed procedures for creating microservices, client-side development, and launching the web application. The final state of the project summarizes the result. The thesis concludes with a testing phase, the client side of the web application is evaluated through functional user interface screenshots. The thesis also includes a demonstration of the process for testing Sigma rules, which involves converting the rules using the web application and subsequently carrying out functional verification using the RSA NetWitness SIEM test solution.
The risk of attacks on companies by organized crime increases as technology advances. Attacks that focus on modifying data or gaining access to a company's network are constantly developed. The sophisticated nature of advanced threats distinguishes them from broad-based attacks that rely on automated scripts. However, organizations can mitigate this risk by utilizing a combination of appropriate tools. These include network flow monitoring, probes for detecting and preventing attacks, and Security Information and Event Management (SIEM) tools for correlating incidents and events. By leveraging these tools, suspicious behavior in the network can be identified, and measures can be taken to prevent and mitigate the impact of cyber attacks. The main contribution of this thesis is the development of a web application that serves as a general tool for managing correlation rules across various SIEM solutions. Through the use of this web application, publicly available Sigma rules can be managed and converted into target SIEM solutions. Users are given the ability to save these rules to their personal user section, alongside SIEM conversions and visual representations of technique coverage based on categorization by MITRE ATT@CK and LogSource of stored user rules. The theoretical part of the thesis comprises an analysis of security monitoring issues, an explanation of the benefits of the Sigma platform and an analysis of the web application. A use case model is defined, functional and non-functional requirements are specified to describe the resulting system. Additionally, the analysis of available tools for converting Sigma rules is performed. The practical portion of the thesis begins with a focus on the design of the web application, including the architecture of both the server-side and client-side components, as well as an explanation of the core functionalities. The resulting solution is then implemented, with detailed procedures for creating microservices, client-side development, and launching the web application. The final state of the project summarizes the result. The thesis concludes with a testing phase, the client side of the web application is evaluated through functional user interface screenshots. The thesis also includes a demonstration of the process for testing Sigma rules, which involves converting the rules using the web application and subsequently carrying out functional verification using the RSA NetWitness SIEM test solution.
Description
Citation
MATUŠICOVÁ, V. Webová aplikace pro generalizaci SIEM korelačních pravidel [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2023.
Document type
Document version
Date of access to the full text
Language of document
sk
Study field
bez specializace
Comittee
doc. Ing. Václav Zeman, Ph.D. (předseda)
doc. Ing. Petr Münster, Ph.D. (člen)
Ing. Rudolf Vohnout, Ph.D. (člen)
Ing. Jan Dvořák, Ph.D. (člen)
doc. JUDr. Matěj Myška, Ph.D. (člen)
doc. Mgr. Karel Slavíček, Ph.D. (místopředseda)
Date of acceptance
2023-06-07
Defence
Studentka prezentovala výsledky své práce a komise byla seznámena s posudky. Studentka obhájila diplomovou práci a odpověděla na otázky členů komise a oponenta.
Otázky:
Jak náročné je realizované řešení z hlediska prostředků na serveru? Mohlo by být provozováno i menší organizací, či je potřeba velké investice do hardwarové výbavy a infrastruktury?
Je do budoucna zvažována integrace pySigma nástroje místo knihovny Sigmac, pokud bude pySigma rozšířena o chybějící integrace s komerčními řešeními? Jak složitá by byla výměna tohoto nástroje?
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení