Utilization of SIEM systems for network events monitoring

Thesis title: Využití SIEM systémů při monitorování síťových událostí
Author: Kopřiva, Milan
Thesis type: Diplomová práce
Supervisor: Čermák, Igor
Opponents: Habáň, Přemysl
Thesis language: Česky
Abstract:
V posledních letech jsme svědky narůstajícího počtu bezpečnostních incidentů lišících se svým zaměřením, motivy k jejich vykonání a úspěšností. Útoky často výborně znalostně vybavených zájmových skupin zvyšují svou sofistikovanost i efektivitu. Z těchto důvodů se bezpečnost informačních systémů dostala do popředí zájmu expertů v oblasti IT. Tato diplomová práce se zabývá využitím technologie Security Information and Event Management pro detekci potenciálně škodlivé aktivity v interních sítích společností. V prvních kapitolách jsou do kontextu nejprve zasazeny elementární pojmy z oblasti bezpečnosti. Dále se práce zabývá samotnou technologií, její jasnou definicí a popsáním základní funkcionality. Závěr teoretické části je věnován autorovu pohledu do budoucna a problémům při implementaci SIEM nástrojů včetně výpočtu návratnosti investice do bezpečnostních opatření a jejích specifik. Hlavním přínosem závěrečné práce je popis a jasné vytvoření uživatelských případů pro detekci podezřelé aktivity v interní počítačové síti s využitím SIEM nástroje v reálném prostředí. Praktická část je tedy věnována konfiguraci a připojení vybraného zařízení k nástroji SIEM, vyhodnocení využitelnosti generovaných bezpečnostních událostí pro detekci známých hrozeb. Na základě tohoto vyhodnocení dojde k návrhu případů užití pro detekci hrozeb a jejich praktickému nasazení v testovacím prostředí. Výsledky jednotlivých případů užití jsou vyhodnoceny a následně optimalizovány za účelem zvýšení přesnosti detekce. Práce vnáší do oblasti SIEM technologií ucelený pohled na definici a funkcionalitu tohoto fenoménu. Primárním cílem práce je pak navrhnutí případů užití, využitelných v praktickém prostředí pro detekci známých hrozeb v reálném čase.
Keywords: management bezpečnostních informací a událostí; hrozba ; případ užití; informační bezpečnost; SIEM
Thesis title: Utilization of SIEM systems for network events monitoring
Author: Kopřiva, Milan
Thesis type: Diploma thesis
Supervisor: Čermák, Igor
Opponents: Habáň, Přemysl
Thesis language: Česky
Abstract:
In the last years we can observe an increasing number of security incidents varying in their focus, motives and success rate. Attacks are often conducted by very skilled organized groups with high knowledge base and they are increasing in their sophistication and efficiency. Because of those reasons information security is now one of the main fields of interest of IT experts. This thesis deals with Security information and Event Management technology and its usage for the detection of potentially harmful activity in a company's internal network. In the first chapter the elementary concepts of security are placed into the context of this thesis. Next chapter deals with security information and event management technology itself, its clear definition and describing the main functionality. The end of the theoretical part is dedicated to the author's view of the future and also to the problems concerning the implementation of SIEM solutions including return on investment calculation which has certain specifics in security field. Main benefit coming from this thesis is a clear description and creation of use cases aimed at the detecting suspicious activity in internal computer networks combined with their deployment in SIEM solution in real environment. The practical part of this thesis is dedicated to the configuration of the chosen device and its connection to the SIEM solution, and the assessment of usability of security events generated by the threat detecting device. Based on this assessment the use cases will be modelled and then deployed in the test environment. This thesis aims to bring on overall view into the security information and event management technology, starting with its definition and base functions. The primary goal of this thesis is use case designing for real time threat detection in a practical environment.
Keywords: threat; SIEM; use case; information security; Security Information and Event Management

Information about study

Study programme: Aplikovaná informatika/Informační systémy a technologie
Type of study programme: Magisterský studijní program
Assigned degree: Ing.
Institutions assigning academic degree: Vysoká škola ekonomická v Praze
Faculty: Faculty of Informatics and Statistics
Department: Department of Information Technologies

Information on submission and defense

Date of assignment: 5. 2. 2015
Date of submission: 30. 4. 2015
Date of defense: 2. 6. 2015
Identifier in the InSIS system: https://insis.vse.cz/zp/51557/podrobnosti

Files for download

    Last update: