Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM

Detalhes bibliográficos
Autor(a) principal: Santos, Rodrigo Serrano dos
Data de Publicação: 2018
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/35521
Resumo: Trabalho de projecto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018
id RCAP_ccbacf3241e6e3ba1b394c469f6fa183
oai_identifier_str oai:repositorio.ul.pt:10451/35521
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USMEventos de segurançaMS WindowsSIEMDeteção de intrusõesCibersegurançaTrabalhos de projecto de mestrado - 2018Departamento de InformáticaTrabalho de projecto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018Atualmente, vivemos numa era cada vez mais digital, onde o cibercrime tem vindo rapidamente a ganhar terreno através de redes organizadas mais sofisticadas, e com acesso a mais e melhores recursos. Neste contexto, os CSOC (Cyber Security Operation Center) são indispensáveis para detetar, analisar e combater esse avanço, e garantir a cibersegurança das organizações, sobretudo aquelas em que as suas redes assumem uma dimensão elevada, ou que esteja envolvida nos seus processos informação sensível. Por forma a ser humanamente possível tratar a informação recebida pelo CSOC, esta deverá passar por um processo onde são coletados eventos das fontes de informação (dispositivos de rede, plataformas de segurança e sensores), sendo estes filtrados, normalizados, classificados e correlacionados num SIEM (Security Information and Event Management), dando origem à geração de alertas em caso de incidentes de segurança. Este projeto visa adicionar fontes de informação que atualmente a Altice Portugal não dispõe no SIEM Alienvault USM (Unified Security Management), relativas aos eventos de segurança das inúmeras estações de trabalho e servidores MS (Microsoft) Windows a operar dentro da rede corporativa e infraestruturas de datacenter (perto de 25 mil). Esta informação irá permitir uma melhor cobertura da sua infraestrutura, e deteção de anomalias de segurança em tempo real. Estas capacidades são fundamentais, dado que a maioria dos ataques com recurso a malware são direcionados aos ecossistemas MS Windows. Torna-se assim necessário, desenvolver um processo técnico robusto e eficiente de fazer chegar, de forma adequadamente filtrada ao SIEM, os eventos relevantes de segurança dos dispositivos MS Windows (tipicamente associados a Indicators of Compromise (IoC) conhecidos). De igual forma, é necessário desenvolver regras personalizadas no SIEM, que permitam endereçar os alertas relevantes ao CSOC, através da correlação e deteção de padrões anómalos dos eventos recebidos. A ferramenta proposta neste projeto aumenta o nível de segurança da infraestrutura de rede da empresa, oferecendo uma melhor visibilidade dos sistemas MS Windows, de forma não intrusiva. Esta solução apresenta uma elevada capacidade de escalabilidade a nível da recolha e centralização de eventos, assim como na deteção de comportamentos anómalos, através da criação de diretivas personalizadas no SIEM.Nowadays, we live in an increasingly digital age, where cybercrime has growing very quickly, through increasingly sophisticated organized networks and the ease of access to more and better resources. In this context, Cyber Security Operation Centers (CSOC) are indispensable to detect, analyze and face this advance, and guarantee the cyber security of organizations, especially those in which their networks are large, or sensitive information is involved in their processes. In order to be humanly possible to handle the information received by the CSOC, it must pass through a process where network and platform events are collected by sensors, which are filtered, normalized, classified and correlated in a SIEM (Security Information and Event Management), to be able of rise alarms in case of security incidents. This project aims to add sources of information that currently Altice Portugal does not have in the Alienvault USM (Unified Security Management) SIEM, related to the security events of MS (Microsoft) Windows workstations and servers operating within the corporate network and datacenter infrastructures (about 25 thousand). This will enable a better coverage of their infrastructure, and detection of security anomalies in real time. These are key capabilities, as most malware attacks target MS Windows ecosystems. It is therefore necessary to develop a robust and efficient technical process to ensure that relevant security events of the MS Windows devices (typically associated with known Indicators of Compromise (IoC)) arrive in an adequately filtered way to the SIEM. Likewise, it is necessary to develop customized rules in the SIEM, which allow addressing relevant alerts to the CSOC team, through the correlation and detection of anomalous patterns of the events received. The tool proposed in this project increases the level of security of the company's network infrastructure, offering better visibility of MS Windows systems, in a non-intrusive way. This solution reveals a high scalability in the event collection and centralization environment, as well in the detection of abnormal behaviors, through the creation of customized directives in SIEM Alienvault USM.Domingos, Maria Dulce Pedroso, 1970-Alegria, José António dos SantosRepositório da Universidade de LisboaSantos, Rodrigo Serrano dos2018-11-28T16:52:04Z201820182018-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/35521TID:202191230porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:31:36Zoai:repositorio.ul.pt:10451/35521Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:49:59.646257Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM
title Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM
spellingShingle Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM
Santos, Rodrigo Serrano dos
Eventos de segurança
MS Windows
SIEM
Deteção de intrusões
Cibersegurança
Trabalhos de projecto de mestrado - 2018
Departamento de Informática
title_short Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM
title_full Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM
title_fullStr Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM
title_full_unstemmed Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM
title_sort Controlos de cibersegurança em ambientes MS Windows de grandes empresas: integração efetiva de eventos relevantes de segurança no SIEM AlienVault USM
author Santos, Rodrigo Serrano dos
author_facet Santos, Rodrigo Serrano dos
author_role author
dc.contributor.none.fl_str_mv Domingos, Maria Dulce Pedroso, 1970-
Alegria, José António dos Santos
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Santos, Rodrigo Serrano dos
dc.subject.por.fl_str_mv Eventos de segurança
MS Windows
SIEM
Deteção de intrusões
Cibersegurança
Trabalhos de projecto de mestrado - 2018
Departamento de Informática
topic Eventos de segurança
MS Windows
SIEM
Deteção de intrusões
Cibersegurança
Trabalhos de projecto de mestrado - 2018
Departamento de Informática
description Trabalho de projecto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018
publishDate 2018
dc.date.none.fl_str_mv 2018-11-28T16:52:04Z
2018
2018
2018-01-01T00:00:00Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/35521
TID:202191230
url http://hdl.handle.net/10451/35521
identifier_str_mv TID:202191230
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134433434927104

Registros relacionados