Global ETD Search

1	SIEM : Praktisk implementation av ett säkerhetssystem Strömberg, Anders January 2020 (has links) In a large computer system or in a single personal computer, there are both internal and external threats to the system. For a seasoned user who knows what is important to monitor and which files are sensitive, it is possible to have control over the system. If, on the other hand, it is an inexperienced user or a larger system of several computers, networks, routers, switches and maybe services that are wholly or partly located on the Internet, it is very difficult to monitor the whole system. Where do infringement attempts occur? Did it just happen, or was it a couple of weeks ago? Are repeated login attempts by a specific user to be considered an intrusion? What has happened to the firewall and to the network? Who has queried the database? To monitor the whole system and get answers to these questions, you can use a SIEM system. It is designed to collect data, process and analyze it and present it in a way that is clear to the user. Today, there are SIEM systems on the market with parts of or complete solutions. Depending on what is needed or requested, the cost of these also varies. The report describes how the project is planned and goes through how a SIEM system is constructed and what parts are included. In the project, a SIEM system has been built up with some of the parts found in ready-made solutions today. The focus has been on retrieving data and systematically storing them in a PostgreSQL database. With so many different modules that will interact and work together, most of the time and energy has been spent on the design part of the SIEM system. The programming code is made in Python and Node JS. / I ett stort datorsystem eller i en enskild persondator så finns det både in- terna och externa hot mot systemet. För en van användare som vet vad som är viktigt att övervaka och vilka filer som är känsliga är det möjligt att ha kontroll över systemet. Är det däremot en ovan användare eller ett större system av flera datorer, nätverk, routrar, switchar och kanske tjänster som helt eller delvis ligger ute på Internet så är det väldigt svårt att övervaka hela systemet. Var sker intrångsförsök? Hände det nyss, el- ler var det för ett par veckor sedan? Är upprepade inloggningsförsök från en specifik användare att betrakta som ett intrång? Vad har skett mot brandväggen och mot nätverket? Vem har ställt förfrågningar mot databasen? För att övervaka hela systemet och få svar på dessa frågor går det att använda ett SIEM-system. Ett sådant är uppbyggt för att in- hämta data, behandla och analyser den samt presentera den på ett för användaren överskådligt sätt. Det finns idag SIEM-system på markna- den med delar av eller helt färdiga lösningar. Beroende på vad som be- hövs eller efterfrågas så varierar också kostnaden för dessa. Rapporten beskriver hur projektet är planerat och går igenom hur ett SIEM-system är uppbyggt och vilka delar som ingår. I projektet har ett SIEM-system byggts upp med några av de delar som återfinns i färdiga lösningar idag. Fokus har lagts på inhämtning av data och att på ett systematiskt sätt lagra dessa i en PostgreSQL-databas. Med så många olika moduler som ska samspela och fungera tillsammans har den mesta tiden och energin lagts på konstruktionsdelen av SIEM-systemet. Programmering- en har skett i Python och Node JS. SIEM-system Python Node JS SIEM-system Python Node JS Software Engineering Programvaruteknik
2	Intrustion Detection in Soho Networks using Elasticsearch SIEM Nwosu, Ikechukwu C. 05 October 2021 (has links) No description available. Information Technology Intrusion Detection Soho Networks SIEM SNORT
3	IBM QRadar SIEM: : Undertitel: Installation, dokumentation och utvärdering Zetterlund, Rickard January 2018 (has links) Detta arbete har utförts på uppdrag av ett konsultföretag vars systemkonsult önskar dokumentera grundläggande kunskap gällande IBM Qradar SIEM. Arbetet beskriver vad IBM QRadar SIEM är och vad det kan göra,samt går igenom installation av QRadar Community Edition och information gällande händelser och flöden i en virtuell miljö. Arbetet redovisar även den uppskattade tiden det tar att installera QRadar CE och de applikationer som användes i detta arbete. En dokumentation skapades för systemkonsulten innehållandes denna information. Det tar även upp en etisk diskussion angående SIEM, andra SIEM-lösningar samt olika typerav nätverksattacker. / This work has been performed on behalf of a consulting company whose system consultant wishes to document basic knowledge regarding IBM QRadar SIEM. The work describes what IBM QRadar SIEM is and what it can do, as well as reviewing the installation of QRadar Community Edition and information about events and flows in a virtual environment. The work also reports the estimated time it takes to install QRadar CE and the applications used in this work. A documentation was created for the system consultant containing this information.This work has been performed on behalf of a consulting company whose system consultant wishes to document basic knowledge regarding IBM QRadar SIEM. The work describes what IBM QRadar SIEM is and what it can do, as well as reviewing the installation of QRadar Community Edition and information about events and #ows in a virtual environment. The work also reports the estimated time it takes to install QRadar CE and the applications used in this work. A documentation was created for the system consultant containing this information. It also addresses an ethical discussion regarding SIEM, other SIEM solutions and various types of network attacks. QRadar SIEM CentOS WinCollect SysMon Installation Event Flow QRadar SIEM CentOS WinCollect SysMon Installation Händelse Flöde Computer Engineering Datorteknik
4	Feasibility to implement a SIEM based on Open-source applications Björk, Robin January 2022 (has links) As more and more things digitize, the need of logging events and managing these logs increases. To be able to makes sense of these logs, a (Security Information and Event Management) SIEM tool is commonly used both to correlate the events and as a tool to analyze the logs. However, a fully commercial solution in the form of a SIEM can be expensive which might not be an option for smaller companies. This thesis examines the feasibility to develop a lightweight solution based on open-source applications. To be able to develop said solution, research will be done on logging and event correlation to determine the most suitable solutions for this project. The final implementation resulted in a lightweight SIEM with a few rules with a rule-structure to relatively easily add rules. A visual tool to display alarms and logs was also implemented. FortiSIEM, which is a well-known SIEM created by Fortinet will be used as a point of reference to analyze its properties. The implementation is functional, but does not live up to the standard of FortiSIEM. / I takt med att allt fler saker digitaliseras ökar behovet av att logga händelser och hantera dessa loggar. För att kunna få ut något vettigt från loggarna används vanligtvis ett (Security Information and Event Management) SIEM-verktyg för att kunna korrelera händelser samt för att analysera loggarna. Då kommersiella SIEM-lösningar har en tendens att vara dyrt, är detta inte ett alternativ för mindre företag. Examensarbetet undersöker möjligheten att utveckla en lightweight lösning av ett SIEM baserad på applikationer med öppen källkod. För att kunna utveckla denna lösning kommer forskning av loggning samt korrelation av händelser göras för att hitta de mest lämpliga lösningarna för det här projektet. Den slutliga implementeringen resulterade i ett lightweight SIEM med ett fåtal regler samt en regelstruktur som gör det relativt enkelt att lägga till nya regler. Ett visuellt verktyg för att kunna visa larm och loggar implementerades också. En analys kommer även göras av verktyget med FortiSIEM som referenspunkt, vilket är ett välkänt SIEM verktyg skapat av Fortinet. Implementation i sig fungerar men saknar en del av funktioner jämfört med FortiSIEM. IT-security log management open-source SIEM Correlation engine IT-säkerhet Loghantering Öppen-källkod SIEM Korrelationsmotor Computer and Information Sciences Data- och informationsvetenskap
5	Modeling a Security Operations Center / Modellering av ett Security Operations Center Tannous, Mario, Ayhan, Emre January 2022 (has links) Security breaches caused by hackers are a significant issue for businesses. This illustrates the need for protection against these attacks. Using a Security Operations Center (SOC) solution to detect attacks against ones corporation is an essential step in doing that. How should businesses deploy their SOC? This thesis compares traditional and modern SOC both by means of a literature study and hands-on experimentation, to evaluate which approach is appropriate for the current situation. The SOC solutions were set up to monitor a simulated office environment, using only free, open-source software. This thesis sheds light on both subtle and significant differences betweenthe two solutions. This thesis also concludes that the time for establishing a traditional SOC has passed. The advantages of utilizing a virtual SOC and its accompanying tool sare too significant to ignore. / Dataintrång orsakade av hackare är ett stort problem för företag. Detta belyser vikten av att ha skydd mot attacker. Användning av en SOC (Security Operations Center) lösning för att upptäcka attacker är ett viktigt steg i denna process. Hur bör företag implementera sin SOC lösning? Denna rapport jämför traditionella och moderna lösningar genom delvis litteraturstudie och sedan ett laborativt moment, för att slutligen komma fram till vilken lösning som passar dagens företag. SOC lösningarna implementerades i syfte att övervaka en simulerad kontorsmiljö. Endast gratis programvara medöppen källkod användes. Rapporten belyser både subtila och större skillnader mellan de två lösningarna. I rapporten framgår slutsatsen att det traditionella sättet att ta fram en SOC lösning på är förlegat. Fördelarna med moderna lösningar och dess tillhörandeverktyg är för omfattande för att inte dra nytta av. SOC SIEM SIM SEM Virtual SOC On-site SOC Modern SOC Traditional SOC SOC SIEM SIM SEM Virtuell SOC On-site SOC Modern SOC Traditionell SOC Computer Sciences Datavetenskap (datalogi)
6	A Real- time Log Correlation System for Security Information and Event Management Dubuc, Clémence January 2021 (has links) The correlation of several events in a period of time is a necessity for a threat detection platform. In the case of multistep attacks (attacks characterized by a sequence of executed commands), it allows detecting the different steps one by one and correlating them to raise an alert. It also allows detecting abnormal behaviors on the IT system, for example, multiple suspicious actions performed by the same account. The correlation of security events increases the security of the system and reduces the number of false positives. The correlation of the events is made thanks to pre- existing correlation rules. The goal of this thesis is to evaluate the feasibility of using a correlation engine based on Apache Spark. There is a necessity of changing the actual correlation system because it is not scalable, it cannot handle all the incoming data and it cannot perform some types of correlation like aggregating the events by attributes or counting the cardinality. The novelty is the improvement of the performance and the correlation capacities of the system. Two systems are proposed for correlating events in this project. The first one is based on Apache Spark Structured Streaming and analyzed the flow of security logs in real- time. As the results are not satisfactory, a second system is implemented. It uses a more traditional approach by storing the logs into an Elastic Search cluster and does correlation queries on it. In the end, the two systems are able to correlate the logs of the platform. Nevertheless, the system based on Apache Spark uses too many resources by correlation rule and it is too expensive to launch hundreds of correlation queries at the same time. For those reasons, the system based on Elastic Search is preferred and is implemented in the workflow. / Korrelation av flera händelser under en viss tidsperiod är en nödvändighet för plattformen för hotdetektering. När det gäller attacker i flera steg (attacker som kännetecknas av en sekvens av utförda kommandon) gör det möjligt att upptäcka de olika stegen ett efter ett och korrelera dem för att utlösa en varning. Den gör det också möjligt att upptäcka onormala beteenden i IT- systemet, t.ex. flera misstänkta åtgärder som utförs av samma konto. Korrelationen av säkerhetshändelser ökar systemets säkerhet och minskar antalet falska positiva upptäckter. Korrelationen av händelserna görs tack vare redan existerande korrelationsregler. Målet med den här avhandlingen är att utvärdera genomförbarheten av en korrelationsmotor baserad på Apache Spark. Det är nödvändigt att ändra det nuvarande korrelationssystemet eftersom det inte är skalbart, det kan inte hantera alla inkommande data och det kan inte utföra vissa typer av korrelation, t.ex. aggregering av händelserna efter attribut eller beräkning av kardinaliteten. Det nya är att förbättra systemets prestanda och korrelationskapacitet. I detta projekt föreslås två system för korrelering av händelser. Det första bygger på Apache Spark Structured Streaming och analyserade flödet av säkerhetsloggar i realtid. Eftersom resultaten inte var tillfredsställande har ett andra system införts. Det använder ett mer traditionellt tillvägagångssätt genom att lagra loggarna i ett Elastic Searchkluster och göra korrelationsförfrågningar på dem. I slutändan kan de två systemen korrelera plattformens loggar. Det system som bygger på Apache Spark använder dock för många resurser per korrelationsregel och det är för dyrt att starta hundratals korrelationsförfrågningar samtidigt. Av dessa skäl föredras systemet baserat på Elastic Search och det implementeras i arbetsflödet. Correlation SIEM Security Logs Apache Spark Elastic Search Korrelation SIEM Säkerhetsloggar Apache Spark Elastic Search Elektroteknik och elektronik
7	Bezpečnostní analýza síťového provozu / Security inspection of network traffic Kult, Viktor January 2017 (has links) Thesis topic concerns the issue of information security in corporate environments. Literature search includes information obtained by studying articles and literature in the field of information security. Resources were selected with a focus on the security risks, security technologies and legislative regulation. Attention is focused on technology that supports monitoring of communication flows in the data network. Overview of traffic operating a data network provides important information for the prevention or investigation of security incidents. Monitoring also serves as a source of information for the planning of the network infrastructure. It can detect faults or insufficient transmission capacity. The practical part is dedicated to implementation of the monitoring system in the real corporate networks. Part of the experience is the analysis of the network structure and choice of appropriate tools for actual implementation. When selecting tools, you can use the scoring method of multicriterial analysis options. The integration of the monitoring system is also the configuration of active network elements. Subsequent analysis of network traffic provides information about the most active users, most used applications or on the sources and targets of data transmitted. It provides a source of valuable information that can be used in case of failure on the network or security incident. The conclusion is a summary of the results and workflow.
8	Förstudie till införandet av centralt loggsystem hos Försvarsmakten / Prestudy for the Introduction of a Central Logging System for the Swedish Armed Forces Hellqvist, Olof January 2011 (has links) Modern IT systems tend to become more and more complex, while the number of active systems in companies increases. Furthermore, the number of security-related incidents is at an all-time high. These new conditions impose new demands on organizations. For example, it is no longer possible to manually collect and examine the systems log messages. The purpose of this thesis has been to make a comprehensive study of solutions for automated collecting and managing of log messages, analyze the Swedish Armed Forces specification for solutions for central log collection and management, and evaluating exis- ting solutions. The work consisted primarily of literature studies and evaluations of two of the Swedish Armed Forces of selected products: NetIQ Security Manager and Splunk. The conclusion was that neither of the two products met the non-optional requirements posed by the specification. I personally think that the Swedish Armed Forces’ requirements specification for the central log management is far too strict and should hence be revised. A number of requirements in the current specification can be removed. Other requirements should be reformulated and/or re-evaluated. / Moderna IT-system tenderar att bli mer och mer komplexa, samtidigt som antalet ak- tiva system i ett fo ̈retag o ̈kar. Vidare a ̈r antalet sa ̈kerhetsrelaterade incidenter ho ̈gre a ̈n n ̊agonsin. Dessa nya omsta ̈ndigheter sta ̈ller nya krav p ̊a organisationer. Exempelvis a ̈r det inte la ̈ngre mo ̈jligt att manuellt samla in och granska systemens loggmeddelanden. Avsikten med den ha ̈r uppsatsen har varit att go ̈r en o ̈vergripande granskning av lo ̈sningar fo ̈r automatisk insamling och analys av loggmeddelanden, analysera de krav som Fo ̈rsvarsmakten sta ̈ller p ̊a lo ̈sningar fo ̈r central logghantering, samt utva ̈rdera befintliga lo ̈sningar. Arbetet bestod huvudsakligen av litteraturstudier samt utva ̈rderingar av tv ̊a av Fo ̈rsvarsmakten utvalda produkter: NetIQ Security Manager och Splunk. Slutsatsen blev att ingen av de tv ̊a produkterna uppfyller Fo ̈rsvarsmaktens samtliga krav fo ̈r central logghantering. Personligen anser jag att Fo ̈rsvarsmaktens kravspecifikation fo ̈r central logg- hantering a ̈r fo ̈r strikt och bo ̈r omarbetas. Ett antal krav i den nuvarande specifikationen kan med fo ̈rdel tas bort. Andra krav bo ̈r omformuleras och/eller omva ̈rderas. SIEM Syslog EVT EVTX IDXP Splunk NetIQ Security Manager Computer Sciences Datavetenskap (datalogi)
9	Návrh monitoringu kritické komunikační infrastruktury pro energetickou společnost / A concept of monitoring critical information infrastructure for energetic company Ševčík, Michal January 2018 (has links) Diploma thesis deals with monitoring critical infrastructure, critical information infrastructure and network monitoring in energetic industry. The goal is to create analytical environment for processing logs from the network, to map the most critical segments of the network and implementation of monitoring and network devices, that increase security and mitigate risks of security events or security incidents
10	Zvýšení bezpečnosti nasazením SIEM systému v prostředí malého poskytovatele internetu / Security Enhancement Deploying SIEM in a Small ISP Environment Bělousov, Petr January 2019 (has links) Diplomová práce se zaměřuje na zvýšení bezpečnosti v prostředí malého poskytovatele internetu nasazením SIEM systému. Dostupné systémy jsou porovnány a zhodnoceny v souladu s požadavky zadávající firmy. Projekt nasazení systému SIEM je navržen, implementován a zhodnocen v souladu s unikátním prostředím firmy.

Search results