Plataformas SIEM: implementação, configuração e gestão

Detalhes bibliográficos
Autor(a) principal: Cruz, João Pedro Figueiredo da
Data de Publicação: 2012
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/9149
Resumo: Tese de mestrado em Engenharia Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2012
id RCAP_859562765ca177c38205e33c1a96f281
oai_identifier_str oai:repositorio.ul.pt:10451/9149
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Plataformas SIEM: implementação, configuração e gestãoSegurançaRecolha de logsCorrelação de eventosMonitorização de redesResposta a incidentesTeses de mestrado - 2012Tese de mestrado em Engenharia Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2012As organizações estão cada vez mais dependentes dos meios tecnológicos e, dependendo do ambiente em que se inserem, lidam diariamente com informação sensível: Informações pessoais, dados de cartões de crédito, entre outros. Reter toda esta informação torna-as num alvo primordial a atacantes. Com a sofisticação dos ataques a aumentar, a segurança da periferia da infra-estrutura já não é suficiente. É necessário ter uma visão global sobre o que está a acontecer na rede a todo o momento. As plataformas SIEM (Security Information and Event Management) estão cada vez mais a emergir no mercado actual, surgindo não só como necessidade mas como uma obrigação. Têm como objectivo recolher logs dos dispositivos e aplicações, consolidandoos num único repositório e correlacionando a informação relevante de forma a detectar automaticamente comportamentos anómalos para que rapidamente sejam eliminadas as hipóteses de um ataque bem sucedido. A instalação destas plataformas requer trabalho a vários níveis: Desde a análise de requisitos em conjunto com o cliente para determinar quais os logs a recolher e como o fazer, à instalação de agentes que processem esses registos e ao desenvolvimento de agentes que trabalhem sobre logs desconhecidos ao SIEM, até à criação de mecanismos na solução que correlacionem esses eventos de forma a identificar ameaças. Este documento descreve a configuração e personalização de uma solução SIEM numa organização do sector financeiro que necessita também desta ferramenta para demonstrar que cumpre certas normas regulatórias, facto que torna o projecto mais complexo. Como tal, carece de especial atenção dado a rigidez das mesmas. Uma particularidade interessante neste trabalho é o facto de o cliente usar muitas aplicações desenvolvidas internamente cujos logs não são compreendidos nativamente pela plataforma. A sua inclusão, não só levanta questões sobre a forma de os processar, mas também como os utilizar para efeitos de monitorização.Nowadays, organizations depend more and more on their technology and they deal with many confidential information: Personal data, credit card data, and so on. The storage of all this information makes this organizations a desirable target for attackers. These attacks are more powerful today, so periferic security of the core infrastructure is not sufficient anymore. Having a global vision of what’s happening at any moment is mandatory. SIEM solutions (Security Information and Event Management) are more often emerging in today’s market, not only as a need but also as an obligation. Their objectives are to collect logs from devices and applications, store them in a centralized repository and correlate all the relevant information to automatically detect abnormal behaviors and, therefore, quickly eliminate the possibilities of a well succeeded attack. Deploying solutions require work at a few levels: Analyzing customer requirements in order to determine which logs have to be collected and how they will be collected, configuring the collector agents, developing custom collector agents to process logs with an unknown format, and creating resources to monitoring and correlating the data. This report describes the configuration and customization of a SIEM solution in a financial organization, who needs this platform to be compliant with some standards. The customer have many applications, which were developed internally and, consequently, have a log format unknown to the SIEM solution. Including this data sources requires additional work, not only because there are no agents that natively processes them, but also because it’s necessary to include them at the correlation level with other known log sources.Domingos, Maria Dulce Pedroso, 1970-Sá, Sérgio ValentimRepositório da Universidade de LisboaCruz, João Pedro Figueiredo da2013-09-13T14:54:54Z20122012-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/9149porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T15:53:21Zoai:repositorio.ul.pt:10451/9149Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:33:26.166697Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Plataformas SIEM: implementação, configuração e gestão
title Plataformas SIEM: implementação, configuração e gestão
spellingShingle Plataformas SIEM: implementação, configuração e gestão
Cruz, João Pedro Figueiredo da
Segurança
Recolha de logs
Correlação de eventos
Monitorização de redes
Resposta a incidentes
Teses de mestrado - 2012
title_short Plataformas SIEM: implementação, configuração e gestão
title_full Plataformas SIEM: implementação, configuração e gestão
title_fullStr Plataformas SIEM: implementação, configuração e gestão
title_full_unstemmed Plataformas SIEM: implementação, configuração e gestão
title_sort Plataformas SIEM: implementação, configuração e gestão
author Cruz, João Pedro Figueiredo da
author_facet Cruz, João Pedro Figueiredo da
author_role author
dc.contributor.none.fl_str_mv Domingos, Maria Dulce Pedroso, 1970-
Sá, Sérgio Valentim
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Cruz, João Pedro Figueiredo da
dc.subject.por.fl_str_mv Segurança
Recolha de logs
Correlação de eventos
Monitorização de redes
Resposta a incidentes
Teses de mestrado - 2012
topic Segurança
Recolha de logs
Correlação de eventos
Monitorização de redes
Resposta a incidentes
Teses de mestrado - 2012
description Tese de mestrado em Engenharia Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2012
publishDate 2012
dc.date.none.fl_str_mv 2012
2012-01-01T00:00:00Z
2013-09-13T14:54:54Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/9149
url http://hdl.handle.net/10451/9149
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134228543176704

Registros relacionados