Document details

Gerador de eventos para testes de configurações de um SIEM

Author(s): Mendonça, Nuno Miguel Lobão

Date: 2015

Persistent ID: http://hdl.handle.net/10451/20559

Origin: Repositório da Universidade de Lisboa

Subject(s): SIEM; Security configuration auditing; Security attack event database; ArcSight; Computer security; Teses de mestrado - 2015; Departamento de Informática; Departamento de Informática; Departamento de Informática


Description

Os ataques informáticos são uma ameaça emergente para empresas que trabalham com dados sensíveis. Neste contexto, as ferramentas SIEM (Security Information and Event Management) ajudam na monitorização e correlação de eventos com o objetivo de detetar ataques informáticos. A enorme quantidade de dados recolhidos pelos SIEMs dificulta o trabalho de configurar a deteção de ataques na prática. Os SIEMs trazem configurações de segurança instaladas de raiz, contudo estas configurações provam-se muitas vezes insuficientes, pois as infraestruturas variam muito de acordo com as empresas e por esse motivo é frequente existirem “buracos” nas configurações de segurança que devem ser tratados pelas equipas de segurança responsáveis para tornar os seus SIEMs eficazes. Propomos neste documento uma solução para ajudar as equipas de segurança a identificarem os “buracos” nos seus SIEMs. Apesar de existirem ferramentas que possibilitam a injeção de eventos num SIEM para testes, a nossa difere dessas na medida em que conta com uma base de dados de eventos representativos de ataques reais, dessa forma aliviando as equipas da tarefa de identificação de eventos apropriados para testar os seus SIEMs eficazmente. A nossa ferramenta foi bem-sucedida na identificação de “buracos” em configurações de SIEMs supostamente robustas, dessa forma provando a sua utilidade prática.

Cyber-attacks are an increasing threat to organizations working with sensitive data. In this context, SIEMs (Security Information and Event Management tools) help in monitoring and correlating network events with the goal of detecting cyber-attacks. The enormous amount of data collected by SIEMs makes the job of configuring attack detectors very hard in practice. SIEMs already come with pre-installed security configurations, however these are often insufficient because network environments vary widely across organizations, hence there are often configuration "holes" that security teams must address to make their SIEMs effective. We propose a novel solution to help security teams in identifying configuration "holes" in their SIEMs. Like existing solutions ours can be used to inject network events to test the effectiveness of SIEMs, however it differs from these solutions in that it leverages a database of high-quality events representative of complex real-life attacks, thus alleviating security teams from the non-trivial task of identifying events to test their SIEMs effectively. Our solution was successful in identifying "holes" in a supposedly robust SIEM configuration created by a qualified security team, thus proving its practical usefulness.

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015

Document Type Master thesis
Language Portuguese
Advisor(s) Guimarães, Mário Luís de Jesus Rodrigues; Sá, Sérgio Valentim
Contributor(s) Mendonça, Nuno Miguel Lobão
facebook logo  linkedin logo  twitter logo 
mendeley logo

Related documents

No related documents