Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel

Detalhes bibliográficos
Autor(a) principal: Dionísio, Diogo António Cardoso
Data de Publicação: 2019
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/40156
Resumo: Trabalho de projecto de mestrado, Engenharia Informática (Arquitetura, Sistemas e Redes de Computadores) Universidade de Lisboa, Faculdade de Ciências, 2019
id RCAP_68d00d84b69a8a3a863f7bc2b8c0f23e
oai_identifier_str oai:repositorio.ul.pt:10451/40156
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Sistema automático para recolha de OSINT e integração com plataforma de Threat IntelThreat IntelMISPCortexSIEMSOCIOCTrabalhos de projecto de mestrado - 2019Departamento de InformáticaTrabalho de projecto de mestrado, Engenharia Informática (Arquitetura, Sistemas e Redes de Computadores) Universidade de Lisboa, Faculdade de Ciências, 2019As novas ameaças surgem permanentemente, atormentando a nova era tecnológica. A cada uma delas, estão inerentes características específicas, bastante variadas entre si, tal como formas distintas de comportamento. Cada comportamento e característica de uma ameaça possuí indicadores associados a ele e são chamados de Indicators of Compromise (IOCs) que podem ser IPs, domínios, hashes, entre outras. Os IOCs são considerados artefactos forenses e são utilizados como sinal de que um sistema foi comprometido ou infetado por um determinado software malicioso. Assim, é necessário que haja exatidão na recolha de informação para encontrar diferentes IOCs. Deste modo, é importante a existência de standards e de plataformas autónomas para a partilha e recolha de informação de cyber segurança de forma a ajudar as organizações a tornarem-se cada vez mais resilientes a novas ameaças. As plataformas autónomas atualmente existentes para a recolha e análise de indicadores são sistemas ainda muito independentes entre si, o que dificulta a automatização do processo na integração com as plataformas de Security Information and Event Management (SIEM) para a correlação de eventos. A existência de um sistema de Threat Intel capaz de recolher vários indicadores de diferentes fontes abertas (Open Source Intelligence ou OSINT) e de análises manuais internas dos analistas, é uma mais valia que facilita esta integração com diferentes infraestruturas/redes. Este projeto teve como base fundamental a plataforma Malware Intelligence Sharing Platform (MISP). O MISP funcionará como uma base de dados de indicadores, de forma a que a mesma seja consultada para a procura de IOCs, facilitando não só a prevenção, como também a fase de análise de um malware. Para além disso, na recolha de informação será usada informação real recolhida por inúmeras vias, entre elas: SIEM; Feeds OpenSource; e ferramentas internas à LAYER8, não esquecendo também as análises manuais que são de facto uma mais valia. Por último, na fase da análise de IOCs e com vista a automatizar este processo, será realizada uma combinação de vários sistemas de análise, na qual os mesmos serão ligados à plataforma MISP. Em suma, este projeto será assim um laboratório de análise de ameaças, recolha e partilha de IOCs, dando a estes um nível de confiança adequado para serem usados posteriormente.There are constantly new threats surging, tormenting the new technological era. To each of these, there are inherent specific characteristic, which can widely vary from one another, as well as their distinctive behaviours. Each behaviour and characteristic of a threat carries associated indicators denominated Indicators of Compromise (IOCs) that can be IPs, domains, hashes, in-between others. The IOCs are considered forensic artefacts and used as a symbol that a system has been compromised or infected by a certain malicious software. Therefore, it is necessary that the data recovery is accurate so that different IOCs may be identified. In this way, the existence of standards and autonomous platforms to share and collect cyber security information in order to help organisations becoming more resilient to new threats, becomes crucial.The currently existent autonomous platforms for data collection and analysis of indicators are still very independent in between one another’s, which makes difficult the automatization of the process in the incorporation with the Security Information and Event Management (SIEM) platforms, to enable event correlation. The existence of a system of Threat Intel capable of collecting multiple indicators from different open sources (Open Source Intelligence ou OSINT) and of analysing internal manuals from analysts, is an added value that eases this integration with different infrastructures/networks. This project was fundamentally based on the Malware Intelligence Sharing Platform (MISP). The MSIP will work as a data base of indicators, in order to facilitate the same to be consulted for the search for IOCs. This will ease not only the prevention, as well as the analysis phase of a malware. Furthermore, the collection of information will use real data collected through numerous pathways, such as: SIEM; Feeds OpenSource; and LAYER8 internal tools, keeping in mind the manual analyses that are in themselves a plus. Lastly, during the analysis phase of the IOCs, and looking to automate this process, a combination of various analysis systems will be conducted, in which the mentioned will be connected to the MISP platform. Ultimately, this project will be a threat analysis laboratory, collecting and sharing IOCs, providing those with an adequate trust level to enable their future use.Moniz, Luís Manuel Ferreira Fernandes, 1968-Repositório da Universidade de LisboaDionísio, Diogo António Cardoso2019-11-18T14:24:58Z201920192019-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/40156TID:202387771porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:39:19Zoai:repositorio.ul.pt:10451/40156Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:53:53.604013Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
title Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
spellingShingle Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
Dionísio, Diogo António Cardoso
Threat Intel
MISP
Cortex
SIEM
SOC
IOC
Trabalhos de projecto de mestrado - 2019
Departamento de Informática
title_short Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
title_full Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
title_fullStr Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
title_full_unstemmed Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
title_sort Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
author Dionísio, Diogo António Cardoso
author_facet Dionísio, Diogo António Cardoso
author_role author
dc.contributor.none.fl_str_mv Moniz, Luís Manuel Ferreira Fernandes, 1968-
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Dionísio, Diogo António Cardoso
dc.subject.por.fl_str_mv Threat Intel
MISP
Cortex
SIEM
SOC
IOC
Trabalhos de projecto de mestrado - 2019
Departamento de Informática
topic Threat Intel
MISP
Cortex
SIEM
SOC
IOC
Trabalhos de projecto de mestrado - 2019
Departamento de Informática
description Trabalho de projecto de mestrado, Engenharia Informática (Arquitetura, Sistemas e Redes de Computadores) Universidade de Lisboa, Faculdade de Ciências, 2019
publishDate 2019
dc.date.none.fl_str_mv 2019-11-18T14:24:58Z
2019
2019
2019-01-01T00:00:00Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/40156
TID:202387771
url http://hdl.handle.net/10451/40156
identifier_str_mv TID:202387771
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134478129430528

Registros relacionados