Publicação
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
| Resumo: | No âmbito da conclusão do mestrado em Segurança Informática, foi proposto, pela Altice Portugal, o seguinte projeto. Este consistiu na integração dos alertas de segurança referentes às plataformas cloud da Microsoft – Azure e Office 365 – no IBM QRadar, o SIEM (Security Information Management System) do CyberSOC (o Security Operations Center da Altice Portugal). Para este efeito, o primeiro passo foi o estudo das tecnologias a utilizar e os seus registos (logs). Com isto, foi possível definir estratégias diferentes para a implementação da solução. A seguida foi o uso das potencialidades dos sistemas e produtos Azure, com grande ênfase no uso do seu SIEM – o Azure Sentinel – que teve o papel “cérebro” da operação, visto que era o responsável pela configuração e deteção de incidentes dos quais emitia um alerta. Os restantes produtos Azure foram utilizados com o intuito do desenvolvimento de uma pipeline robusta e rápida para o tratamento e encaminhamento dos alertas na ligação Azure – Altice. Pode ser dito que a solução foi implementada com sucesso até certo ponto, visto que permite que os alertas sejam visualizados no IBM QRadar de forma legível e intuitiva; isto aliado à implementação de um encaminhamento rápido, algo essencial neste tipo de soluções de segurança. Em contrário, por uma questão temporal, não foi possível desenvolver a correlação entre os novos alertas e as fontes de dados já configuradas no QRadar, aproveitando mais potencialidades de um SIEM além da visualização dos alertas, sendo que foi um objetivo não alcançado e faz parte do trabalho futuro. Outro ponto importante era a rapidez de todo o processo de encaminhamento. Este trabalho permitiu um maior panorama de monitorização e análise por parte do CyberSOC e a possibilidade de exploração das capacidades da cloud Microsoft e dos seus recursos cloud, de uma forma mais segura. |
|---|---|
| Autores principais: | Galveias, Pedro Martins Gomes Valsassina |
| Assunto: | Cibersegurança SIEM Integração Azure QRadar Trabalhos de projeto de mestrado - 2021 |
| Ano: | 2021 |
| País: | Portugal |
| Tipo de documento: | dissertação de mestrado |
| Tipo de acesso: | acesso aberto |
| Instituição associada: | Universidade de Lisboa |
| Idioma: | português |
| Origem: | Repositório da Universidade de Lisboa |
| Resumo: | No âmbito da conclusão do mestrado em Segurança Informática, foi proposto, pela Altice Portugal, o seguinte projeto. Este consistiu na integração dos alertas de segurança referentes às plataformas cloud da Microsoft – Azure e Office 365 – no IBM QRadar, o SIEM (Security Information Management System) do CyberSOC (o Security Operations Center da Altice Portugal). Para este efeito, o primeiro passo foi o estudo das tecnologias a utilizar e os seus registos (logs). Com isto, foi possível definir estratégias diferentes para a implementação da solução. A seguida foi o uso das potencialidades dos sistemas e produtos Azure, com grande ênfase no uso do seu SIEM – o Azure Sentinel – que teve o papel “cérebro” da operação, visto que era o responsável pela configuração e deteção de incidentes dos quais emitia um alerta. Os restantes produtos Azure foram utilizados com o intuito do desenvolvimento de uma pipeline robusta e rápida para o tratamento e encaminhamento dos alertas na ligação Azure – Altice. Pode ser dito que a solução foi implementada com sucesso até certo ponto, visto que permite que os alertas sejam visualizados no IBM QRadar de forma legível e intuitiva; isto aliado à implementação de um encaminhamento rápido, algo essencial neste tipo de soluções de segurança. Em contrário, por uma questão temporal, não foi possível desenvolver a correlação entre os novos alertas e as fontes de dados já configuradas no QRadar, aproveitando mais potencialidades de um SIEM além da visualização dos alertas, sendo que foi um objetivo não alcançado e faz parte do trabalho futuro. Outro ponto importante era a rapidez de todo o processo de encaminhamento. Este trabalho permitiu um maior panorama de monitorização e análise por parte do CyberSOC e a possibilidade de exploração das capacidades da cloud Microsoft e dos seus recursos cloud, de uma forma mais segura. |
|---|