Return to search

Feasibility to implement a SIEM based on Open-source applications

As more and more things digitize, the need of logging events and managing these logs increases. To be able to makes sense of these logs, a (Security Information and Event Management) SIEM tool is commonly used both to correlate the events and as a tool to analyze the logs. However, a fully commercial solution in the form of a SIEM can be expensive which might not be an option for smaller companies. This thesis examines the feasibility to develop a lightweight solution based on open-source applications. To be able to develop said solution, research will be done on logging and event correlation to determine the most suitable solutions for this project. The final implementation resulted in a lightweight SIEM with a few rules with a rule-structure to relatively easily add rules. A visual tool to display alarms and logs was also implemented. FortiSIEM, which is a well-known SIEM created by Fortinet will be used as a point of reference to analyze its properties. The implementation is functional, but does not live up to the standard of FortiSIEM. / I takt med att allt fler saker digitaliseras ökar behovet av att logga händelser och hantera dessa loggar. För att kunna få ut något vettigt från loggarna används vanligtvis ett (Security Information and Event Management) SIEM-verktyg för att kunna korrelera händelser samt för att analysera loggarna. Då kommersiella SIEM-lösningar har en tendens att vara dyrt, är detta inte ett alternativ för mindre företag. Examensarbetet undersöker möjligheten att utveckla en lightweight lösning av ett SIEM baserad på applikationer med öppen källkod. För att kunna utveckla denna lösning kommer forskning av loggning samt korrelation av händelser göras för att hitta de mest lämpliga lösningarna för det här projektet. Den slutliga implementeringen resulterade i ett lightweight SIEM med ett fåtal regler samt en regelstruktur som gör det relativt enkelt att lägga till nya regler. Ett visuellt verktyg för att kunna visa larm och loggar implementerades också. En analys kommer även göras av verktyget med FortiSIEM som referenspunkt, vilket är ett välkänt SIEM verktyg skapat av Fortinet. Implementation i sig fungerar men saknar en del av funktioner jämfört med FortiSIEM.

Identiferoai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-313831
Date January 2022
CreatorsBjörk, Robin
PublisherKTH, Skolan för elektroteknik och datavetenskap (EECS)
Source SetsDiVA Archive at Upsalla University
LanguageEnglish
Detected LanguageSwedish
TypeStudent thesis, info:eu-repo/semantics/bachelorThesis, text
Formatapplication/pdf
Rightsinfo:eu-repo/semantics/openAccess
RelationTRITA-EECS-EX ; 2022:109

Page generated in 0.0023 seconds