NDLTD Global ETD Search
Return to search

SIEM : Praktisk implementation av ett säkerhetssystem

Description

In a large computer system or in a single personal computer, there are both internal and external threats to the system. For a seasoned user who knows what is important to monitor and which files are sensitive, it is possible to have control over the system. If, on the other hand, it is an inexperienced user or a larger system of several computers, networks, routers, switches and maybe services that are wholly or partly located on the Internet, it is very difficult to monitor the whole system. Where do infringement attempts occur? Did it just happen, or was it a couple of weeks ago? Are repeated login attempts by a specific user to be considered an intrusion? What has happened to the firewall and to the network? Who has queried the database? To monitor the whole system and get answers to these questions, you can use a SIEM system. It is designed to collect data, process and analyze it and present it in a way that is clear to the user. Today, there are SIEM systems on the market with parts of or complete solutions. Depending on what is needed or requested, the cost of these also varies. The report describes how the project is planned and goes through how a SIEM system is constructed and what parts are included. In the project, a SIEM system has been built up with some of the parts found in ready-made solutions today. The focus has been on retrieving data and systematically storing them in a PostgreSQL database. With so many different modules that will interact and work together, most of the time and energy has been spent on the design part of the SIEM system. The programming code is made in Python and Node JS. / I ett stort datorsystem eller i en enskild persondator så finns det både in- terna och externa hot mot systemet. För en van användare som vet vad som är viktigt att övervaka och vilka filer som är känsliga är det möjligt att ha kontroll över systemet. Är det däremot en ovan användare eller ett större system av flera datorer, nätverk, routrar, switchar och kanske tjänster som helt eller delvis ligger ute på Internet så är det väldigt svårt att övervaka hela systemet. Var sker intrångsförsök? Hände det nyss, el- ler var det för ett par veckor sedan? Är upprepade inloggningsförsök från en specifik användare att betrakta som ett intrång? Vad har skett mot brandväggen och mot nätverket? Vem har ställt förfrågningar mot databasen? För att övervaka hela systemet och få svar på dessa frågor går det att använda ett SIEM-system. Ett sådant är uppbyggt för att in- hämta data, behandla och analyser den samt presentera den på ett för användaren överskådligt sätt. Det finns idag SIEM-system på markna- den med delar av eller helt färdiga lösningar. Beroende på vad som be- hövs eller efterfrågas så varierar också kostnaden för dessa. Rapporten beskriver hur projektet är planerat och går igenom hur ett SIEM-system är uppbyggt och vilka delar som ingår. I projektet har ett SIEM-system byggts upp med några av de delar som återfinns i färdiga lösningar idag. Fokus har lagts på inhämtning av data och att på ett systematiskt sätt lagra dessa i en PostgreSQL-databas. Med så många olika moduler som ska samspela och fungera tillsammans har den mesta tiden och energin lagts på konstruktionsdelen av SIEM-systemet. Programmering- en har skett i Python och Node JS.

Links & Downloads
  1. http://urn.kb.se/resolve?urn=urn:nbn:se:miun:diva-39332
  2. Local DT-V20-G3-036
Tags
SIEM-system
Python
Node JS
SIEM-system
Python
Node JS
Software Engineering
Programvaruteknik
Additional Fields
Identiferoai:union.ndltd.org:UPSALLA1/oai:DiVA.org:miun-39332
Date January 2020
CreatorsStrömberg, Anders
PublisherMittuniversitetet, Institutionen för informationssystem och –teknologi
Source SetsDiVA Archive at Upsalla University
LanguageSwedish
Detected LanguageSwedish
TypeStudent thesis, info:eu-repo/semantics/bachelorThesis, text
Formatapplication/pdf
Rightsinfo:eu-repo/semantics/openAccess

Page generated in 0.0017 seconds