Дипломная работа на тему "ТЮМГУ | Написание правил корреляции событий информационной безопасности для Mахраtrol siem"
1
Похожие работы
Работа на тему: Написание правил корреляции событий информационной безопасности для Mахраtrol siem
Оценка: отлично.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/Anastasiya1---1326
Оценка: отлично.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/Anastasiya1---1326
Демо работы
Описание работы
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИФедеральное государственное автономное образовательное учреждение высшего образования
«ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК
Кафедра информационной безопасности
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
бакалаврская работа
НАПИСАНИЕ ПРАВИЛ КОРРЕЛЯЦИИ СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ МАХРАTROL SIEM
10.03.О1 «Информационная безопасность»
Тюмень 2023
РЕФЕРАТ
Дипломная работа 68 с., 5 рис., 3 табл., 30 источн., 6 прил.
MAXPARTOL SIEM, ПРАВИЛА КОРРЕЛЯЦИИ СОБЫТИЙ, АЛГОРИТМЫ КОРРЕЛИРОВАНИЯ СОБЫТИЙ, АНАЛИЗ АЛГОРИТМОВ, ВНЕДРЕНИЕ SIEM, АНАЛИЗ АКТУАЛЬНЫХ УГРОЗ
Объектом исследования является процесс мониторинга событий информационной безопасности.
Предметом исследования являются правила корреляции событий информационной безопасности.
Цель работы – разработка правил корреляции событий информационной безопасности для внедрения SIEM-системы.
Результатом данной работы будет являться внедренная SIEM-система с примененными правилами корреляции.
Во введении обосновывается актуальность написания правил корреляции, определена цель, объект и предмет исследования и обозначены задачи.
В первой главе рассматриваются SIEM-системы, основы и алгоритмы корреляции событий информационной безопасности. Во второй главе предоставлен анализ актуальных киберугроз и используемых техник. В третьей главе производится настройка SIEM-системы, выполнение задач Заказчика и создание правил корреляции событий на основе актуальных киберугроз.
В работе рассматриваются актуальные проблемы информационной безопасности. Описывается процесс написания правил корреляций событий информационной безопасности. Представлен анализ методов корреляции событий. Также описаны правила корреляции событий и их функционал.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 7
1 Введение в SIEM и корреляцию событий 10
1.1 Роль SIEM систем 10
1.2 Обзор MaxPatrol SIEM 11
1.3 Основы корреляции событий 14
1.4 Анализ алгоритмов 15
1.4.1 Алгоритмы основанные на оценке подобия 15
1.4.2 Алгоритмы основанные на знаниях 17
1.4.3 Алгоритмы основанные на статистике 18
1.4.4 Сравнение алгоритмов 20
1.5 Выводы по главе 1 22
2 Анализ актуальных киберугроз 24
2.1 Обзор современных киберугроз 24
2.2 Обзор техник 28
2.2.1 Lockbit 28
2.2.2 Hive 28
2.2.3 Blackcat 29
2.2.4 Vice Society 30
2.2.5 Conti 31
2.3 Анализ техник 32
2.4 Выводы по главе 2 33
3 Настройка SIEM-системы и написание правил корреляции 34
3.1 Изучение инфраструктуры и настройка системы 34
3.2 Редактирование приостановленных правил корреляции 36
3.3 Контроль входа в учетные записи с правами администратора 37
3.4 Идентификация аномалий в потоке, пики событий 38
3.5 Мониторинг бесперебойной работы источников событий 39
3.6 Правило корреляции на основе анализа техник шифровальщиков 40
3.7 АТАКА SOLARWINDS и правило на ее основе 44
3.7.1 Обзор атаки 44
3.7.2 Правило корреляции 45
3.8 Сбор действий учетный записей после успешного брутфорса 48
3.9 Выводы по главе 3 49
ЗАКЛЮЧЕНИЕ 50
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 52
ПРИЛОЖЕНИЕ А 56
ПРИЛОЖЕНИЕ Б 57
ПРИЛОЖЕНИЕ В 59
ПРИЛОЖЕНИЕ Г 60
ПРИЛОЖЕНИЕ Д 63
ПРИЛОЖЕНИЕ Е 68
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящем отчете о выпускной квалификационной работе (далее – ВКР) применяют следующие термины с соответствующими определениями:
Брутфорс – (brute force) метод взлома учетных записей путем
подбора паролей к ним
Вайпер – вид вредоносного программного обеспечения, целью которого является уничтожение данных
Заказчик – Обслуживающая организация Регионального центра обработки данных
Инцидент – любое непредвиденное или нежелательное событие, нарушившее работу или информационную безопасность
Исполнитель – ООО «Анлим-ИТ» – организация, занимающаяся техническим сопровождением MaxPatrol SIEM для Заказчика
Информационная безопасность
– состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры
Киберугроза – незаконное проникновение или угроза
вредоносного проникновения в виртуальное пространство для достижения политических, социальных или иных, целей
Корреляция – основная функция SIEM, необходимая для выявления атак и информирования об этом
Нормализация событий
– процесс извлечения из событий ключей и их значений. Это необходимо для успешного поиска по событиям
Событие – ситуация, которая может привести к нарушению безопасности информации или инфраструктуры
Фишинг – мошенничество, в котором используется социальная инженерия, чтобы украсть личные данные пользователей
SIEM – (security information and event management, управление событиями и информацией о безопасности) класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности, таких как вредоносная активность или аномалии в сети
ВВЕДЕНИЕ
За последние несколько десятилетий область кибербезопасности быстро развивалась, и с ней необходимость в эффективном управлении событиями и информацией о безопасности становится все более значимой. Программное обеспечение SIEM – сложная система, собирающая воедино множество разнородных данных.
Системы SIEM предназначены для того, чтобы помочь организациям обнаружить и реагировать на угрозы безопасности в режиме реального времени путём нормализации и корреляции событий из нескольких источников и генерируя оповещения при обнаружении подозрительной деятельности.
Так эксперты РТК-Солар заявили о росте количества событий информационной безопасности в первом квартале 2023 года на 60 % по сравнению с аналогичным периодом 2022 года (рисунок 1) [1]. Также эксперты группы Иннотех обнаружили увеличение количества инцидентов
Рисунок 1 – Динамика числа кибератак по кварталам (тысяч событий ИБ)
Однако эффективность системы SIEM в значительной степени зависит от точности и актуальности правил, используемых для корреляции событий. Другими словами, правила, которые регулируют то, как события коррелируют, должны быть тщательно созданы, чтобы гарантировать, что система может идентифицировать угрозы быстро и точно.
В этой работе будет изучаться процесс написания правил корреляции событий в системе MaxPartol SIEM. Начиная с обсуждения важности корреляции событий в контексте кибербезопасности и задач, с которыми сталкиваются организации при попытке выявить угрозы информационной безопасности.
Объектом исследования является процесс мониторинга событий информационной безопасности.
Предметом исследования являются методы и правила корреляции событий информационной безопасности.
Цель данной работы заключается в разработке правил корреляции событий информационной безопасности для внедрения SIEM-системы.
Для достижения поставленной цели были определены следующие задачи:
1) изучить информацию о правилах корреляции и способах их написания, а также работу продукта MaxPatrol SIEM,
2) изучить инфраструктуру компании Заказчика,
3) исследовать актуальные угрозы, атаки, события информационной безопасности,
4) подключить источники событий, настроить SIEM-систему,
5) написать правила корреляции,
6) проверить корректность работы правил.
В рамках работы был проведен анализ алгоритмов правил корреляции и выбран наиболее подходящий вариант. Подключены источники событий и настроена SIEM-системы.
Выполнены задачи Заказчика, такие как:
– контроль входа в учетные записи с правами администратора;
– идентификация аномалий в потоке событий;
– мониторинг бесперебойной работы источников событий;
– сбор действий учетных записей после успешного брутфорса.
Также написаны правила корреляции на основе актуальных атак и используемых техник, которые могут быть переписаны для любой другой SIEM-системы.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1 Кибератаки на российские компании в I квартале 2023 года [Электронный ресурс]. – 2023.
2 Барабошкин Д.А. Инструменты обеспечения информационной безопасности // Проблемы развития современного общества. – 2023. – № 3. – С. 191–194
3 Глубины SIEM: корреляции «из коробки». Часть 3.2. Методология нормализации событий [Электронный ресурс]. – 2018
4 Для чего нужна система SIEM и как её внедрить? [Электронный ресурс].– 2017.
5 SIEM (Security information and event management) [Электронный ресурс].– 2019
6 Обзор MaxPatrol SIEM [Электронный ресурс]. – 2016
7 Королев И.Д., Попов В.И., Ларионов В.А. Анализ проблематики системы управления информацией и событиями безопасности в информационных системах // Инновации в науке. Сер. 88. – 2018. – № 12. – С. 19–26.
8 Системы сбор и корреляции событий безопасности (SIEM) [Электронный ресурс]. – 2021
9 The Definitive Guide to Event Correlation in AIOps: Processes, Tools, Examples, and Checklist [Электронный ресурс]. – 2020
10 Новикова Е.С., Бекенева Я.А., Шоров А.В., Федотов Е.С. Обзор алгоритмов корреляции событий безопасности для обеспечения безопасности облачных вычислительных сред // Информационно- управляющие системы. – 2017. – № 5. – С. 95–103.
11 Москвичев А.Д., Долгачев М.В. Алгоритмы корреляции событий информационной безопасности // Информационные системы. Сер. 61. – 2020. – № 3. – С. 50–59.
12 Котенко И.В., Федорченко А.В., Саенко И.Б., Кушнеревич А.Г. Технологии больших данных для корреляции событий безопасности на основе учета типов связей // Вопросы кибербезопасности. Сер. 24. – 2017.
– № 5. – С. 2–15.
13 Шишков С.А., Путято М.М., Макарян А.С., Немчинова В.О. Разработка методов обнаружения вредоносного воздействия на основе корреляционного анализа событий информационной безопасности в SIEM-системах // Прикаспийский журнал: управление и высокие технологии. Сер. 59. – 2022. – № 3. – С. 103–110.
14 Корреляция SIEM – это просто. Сигнатурные методы [Электронный ресурс]. – 2012.
15 Kotenko I., Gaifulina D., Zelichenok I. Systematic Literature Review of Security Event Correlation Methods // IEEE Access. – 2022. – № 10. – P. 43387-43420.
16 Шестаков Д., Тихонова А., Ростовцев Н., Шамшина Е., Мартинес Р., Дёров О., Боталов С., Чебесов Р., Кокурин С., Тимофеев В., Каракок Б., Владев А. Эволюция киберпреступности // Анализ, тренды и прогнозы 2022/2023 GROUP-IB. – 2022.
17 Кибератаки на российские компании в 2022 году [Электронный ресурс].
– 2023.
18 Разбираем актуальные киберугрозы для российского бизнеса в 3 квартале 2022 года [Электронный ресурс]. – 2022.
19 Киберугрозы и проблемы промышленных предприятий в 2022 году: как предотвратить нарушения [Электронный ресурс]. – 2022.
20 Техники и тактики киберпреступников [Электронный ресурс]. – 2023.
21 Основные киберугрозы 1 квартала 2023 года [Электронный ресурс]. – 2023.
22 #StopRansomware: LockBit 3.0 [Электронный ресурс]. – 2023.
23 #StopRansomware: Hive Ransomware [Электронный ресурс]. – 2022.
24 BlackMatter Ransomware [Электронный ресурс]. – 2021.
25 #StopRansomware: Vice Society [Электронный ресурс]. – 2022.
26 Conti Ransomware [Электронный ресурс]. – 2022.
27 MITRE ATT&CK: TEARDROP [Электронный ресурс]. – 2021.
28 SolarWinds attack explained: And why it was so hard to detect [Электронный ресурс]. – 2020.
29 MITRE ATT&CK: SUNBURST [Электронный ресурс]. – 2020.
30 Какие техники MITRE ATT&CK выявляют продукты Positive Technologies [Электронный ресурс]. – 2022.