Arquitetura de um SIEM tolerante a falhas para análise forense

Fernandes, Pedro Dinis Reis

Arquitetura de um SIEM tolerante a falhas para análise forense

Detalhes bibliográficos
Autor(a) principal:	Fernandes, Pedro Dinis Reis
Data de Publicação:	2015
Tipo de documento:	Dissertação
Idioma:	por
Título da fonte:	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo:	http://hdl.handle.net/10451/20375
Resumo:	Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015

Metadados do item

id	RCAP_02b901649f59cd169612578cd3799e6b
oai_identifier_str	oai:repositorio.ul.pt:10451/20375
network_acronym_str	RCAP
network_name_str	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str	7160
spelling	Arquitetura de um SIEM tolerante a falhas para análise forenseSegurançaForenseSIEMConformidadeTolerânciaFaltasTeses de mestrado - 2015Departamento de InformáticaTese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015A segurança informática, que surge da necessidade de várias organizações em salvaguardar os seus ativos de forma segura, tem vindo a ser entendida nos últimos anos como sendo fulcral para a continuidade dos seus negócios. Esta consciência surge do facto de, com tendência crescente, os ativos dessas mesmas organizações se encontrarem no meio digital. Adicionalmente, os ataques informáticos (ações que se traduzem na tentativa de exploração de vulnerabilidades de sistemas, com fins maliciosos, para poder tirar partido dos mesmos) têm vindo a sofrer uma evolução ao longo do tempo tanto em número como em sofisticação. Perante estas duas situações (necessidade de segurança dos ativos das organizações e existência de ameaças à sua integridade e confidencialidade) existe a necessidade de se estudarem e desenvolverem ferramentas eficazes que permitam o controlo / monitorização destes ativos. Um desses exemplos é a tecnologia SIEM (Security Information and Event Management), que consiste numa ferramenta que permite a monitorização, gestão e armazenamento em tempo-real de eventos gerados dentro de uma determinada rede. As ciências forenses, por sua vez, como ciência interdisciplinar, recorrem à área do digital quando se pretende tirar partido de sistemas de informação, processamento e/ou comunicação para assegurar a idoneidade de um determinado processo, obtendo um ou mais vestígios que poderão constituir prova condenatória ou absolutória. Ao conjunto de procedimentos realizados sobre um determinado sistema com o objetivo de recolher, preservar e analisar a informação dá-se o nome de análise digital forense. Atualmente, existem algumas soluções que permitem a análise forense na tecnologia SIEM, contudo, por motivos de conformidade legal a mesma não pode ser usada como vestígio no meio jurídico, uma vez que não obedece aos requisitos estabelecidos para legislação em vigor e portanto, a sua utilidade pode ser colocada em causa. Os objetivos deste trabalho são: realizar o levantamento de requisitos legais e procedimentais que permitam o uso de um mecanismo de armazenamento de logs ou registos de forma segura e dotar o SIEM ArcSight de mecanismos que permitam o uso desses registos para fins forenses. Como estratégia de validação é realizada a prova de conceito da arquitetura apresentada neste trabalho, usando para tal componentes da tecnologia SIEM ArcSight e outras que se consideraram relevantes para o cumprimento do objetivo proposto.Security Information, which arises from the necessity of several organizations protect their assets it has been understood, in the last years, as being crucial for the continuity of their businesses. This awareness arises from the fact that the assets of these organizations are more and more in the digital format. Cyber-attacks (attempts to exploit vulnerabilities of the systems, with malicious purpose, to take advantage of them) have undergone an evolution over time both in number and in sophistication. Given these two divergent situations (the organizations need for asset security and the existence of threats to its integrity and confidentiality), there is a clearly necessity in studying and developing effective tools to control / monitor these assets. One of these tools are SIEMs (System Information and Event Management), that are systems which allow the real-time motorization and management of all events that occur within a network. Forensic sciences, as an interdisciplinary science, turn to digital area when there are the necessity to take advantage of yours information, processing and / or communication systems to ensure the suitability of a particular process, obtaining one or more traces that may afford evidence conviction or acquittal. The set of procedures performed on a particular system in order to collect, preserve and analyze information have the name of digital forensic analysis. Currently, there are some solutions that enable forensic analysis in SIEM technology, however, for legal compliance reasons, it can’t be used as a trace in the legal environment because it does not meet the requirements for legislation and therefore its utility can be placed in question. The main objectives of this paper are: survey legal and procedural requirements that allow the use of a log storage or securely records mechanism and provide ArcSight SIEM with the mechanisms to use records for forensic purposes. As validation strategy, it was done the proof of concept of the presented methodology in this work, using some components of ArcSight SIEM technology and others that may be considered relevant for the fulfillment of the proposed objective.Lourenço, Carlos Eduardo Ramos dos SantosSá, Sérgio ValentimRepositório da Universidade de LisboaFernandes, Pedro Dinis Reis2015-11-04T10:48:23Z201520152015-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/20375TID:201368013porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:05:46Zoai:repositorio.ul.pt:10451/20375Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:38:24.491246Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv	Arquitetura de um SIEM tolerante a falhas para análise forense
title	Arquitetura de um SIEM tolerante a falhas para análise forense
spellingShingle	Arquitetura de um SIEM tolerante a falhas para análise forense Fernandes, Pedro Dinis Reis Segurança Forense SIEM Conformidade Tolerância Faltas Teses de mestrado - 2015 Departamento de Informática
title_short	Arquitetura de um SIEM tolerante a falhas para análise forense
title_full	Arquitetura de um SIEM tolerante a falhas para análise forense
title_fullStr	Arquitetura de um SIEM tolerante a falhas para análise forense
title_full_unstemmed	Arquitetura de um SIEM tolerante a falhas para análise forense
title_sort	Arquitetura de um SIEM tolerante a falhas para análise forense
author	Fernandes, Pedro Dinis Reis
author_facet	Fernandes, Pedro Dinis Reis
author_role	author
dc.contributor.none.fl_str_mv	Lourenço, Carlos Eduardo Ramos dos Santos Sá, Sérgio Valentim Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv	Fernandes, Pedro Dinis Reis
dc.subject.por.fl_str_mv	Segurança Forense SIEM Conformidade Tolerância Faltas Teses de mestrado - 2015 Departamento de Informática
topic	Segurança Forense SIEM Conformidade Tolerância Faltas Teses de mestrado - 2015 Departamento de Informática
description	Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015
publishDate	2015
dc.date.none.fl_str_mv	2015-11-04T10:48:23Z 2015 2015 2015-01-01T00:00:00Z
dc.type.status.fl_str_mv	info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv	info:eu-repo/semantics/masterThesis
format	masterThesis
status_str	publishedVersion
dc.identifier.uri.fl_str_mv	http://hdl.handle.net/10451/20375 TID:201368013
url	http://hdl.handle.net/10451/20375
identifier_str_mv	TID:201368013
dc.language.iso.fl_str_mv	por
language	por
dc.rights.driver.fl_str_mv	info:eu-repo/semantics/openAccess
eu_rights_str_mv	openAccess
dc.format.none.fl_str_mv	application/pdf
dc.source.none.fl_str_mv	reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP
instname_str	Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str	RCAAP
institution	RCAAP
reponame_str	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv	Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_	1799134283665768448

Arquitetura de um SIEM tolerante a falhas para análise forense

Registros relacionados