Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal

Detalhes bibliográficos
Autor(a) principal: Galveias, Pedro Martins Gomes Valsassina
Data de Publicação: 2021
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/51239
Resumo: Trabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2021
id RCAP_ecffd553317f4f465dd95ed39d4f246a
oai_identifier_str oai:repositorio.ul.pt:10451/51239
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice PortugalCibersegurançaSIEMIntegraçãoAzureQRadarTrabalhos de projeto de mestrado - 2021Departamento de InformáticaTrabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2021No âmbito da conclusão do mestrado em Segurança Informática, foi proposto, pela Altice Portugal, o seguinte projeto. Este consistiu na integração dos alertas de segurança referentes às plataformas cloud da Microsoft – Azure e Office 365 – no IBM QRadar, o SIEM (Security Information Management System) do CyberSOC (o Security Operations Center da Altice Portugal). Para este efeito, o primeiro passo foi o estudo das tecnologias a utilizar e os seus registos (logs). Com isto, foi possível definir estratégias diferentes para a implementação da solução. A seguida foi o uso das potencialidades dos sistemas e produtos Azure, com grande ênfase no uso do seu SIEM – o Azure Sentinel – que teve o papel “cérebro” da operação, visto que era o responsável pela configuração e deteção de incidentes dos quais emitia um alerta. Os restantes produtos Azure foram utilizados com o intuito do desenvolvimento de uma pipeline robusta e rápida para o tratamento e encaminhamento dos alertas na ligação Azure – Altice. Pode ser dito que a solução foi implementada com sucesso até certo ponto, visto que permite que os alertas sejam visualizados no IBM QRadar de forma legível e intuitiva; isto aliado à implementação de um encaminhamento rápido, algo essencial neste tipo de soluções de segurança. Em contrário, por uma questão temporal, não foi possível desenvolver a correlação entre os novos alertas e as fontes de dados já configuradas no QRadar, aproveitando mais potencialidades de um SIEM além da visualização dos alertas, sendo que foi um objetivo não alcançado e faz parte do trabalho futuro. Outro ponto importante era a rapidez de todo o processo de encaminhamento. Este trabalho permitiu um maior panorama de monitorização e análise por parte do CyberSOC e a possibilidade de exploração das capacidades da cloud Microsoft e dos seus recursos cloud, de uma forma mais segura.Following the conclusion of a master’s degree in Information Security and its final dissertation, Altice Portugal proposed the present project. It consisted in the integration of Microsoft cloud platforms security alerts – Azure and Office 365 – in the IBM QRadar, CyberSOC’s (Altice Portugal’s Security Operations Center) SIEM (Security Information Event Management) system. The first step was to study the technologies to use and its logs. With this, it was possible to define a series of different approaches to implement the final solution. Secondly, was the use of the Azure system’s potentialities and products, with great emphasis on its SIEM – Azure Sentinel – that turned out to be the brain of the operation, being responsible for the configuration and detection of incidents for which it would then emit an alert. The other Azure solutions were used with the intent of developing a solid, and fast pipeline for processing and then sending these alerts from Microsoft Azure to Altice’s intranet. One might say that the solution was, to a certain level, successfully enforced, considering that it allows the alerts to be viewed on the QRadar Console in an easy and comprehensive way, provided by a fast execution pipeline – an important aspect in this type of solutions. However, due to lack of time, it was not possible to develop correlation between the new alerts and the data sources previously configured in QRadar, that would allow to take advantage of more potential of a SIEM system beyond, the visualization of these alerts. Since this objective was not achieved, it is part of this project’s future work. This work allowed, therefore, CyberSOC to have an enhanced monitoring and analysis panorama and the possibility of exploring the capabilities of the Microsoft cloud and its computing resources, now in a safer way. The remaining document is written in Portuguese.Ferreira, Bernardo Luís da SilvaRepositório da Universidade de LisboaGalveias, Pedro Martins Gomes Valsassina2022-02-12T13:57:21Z202120212021-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/51239TID:202934110porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:55:50Zoai:repositorio.ul.pt:10451/51239Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T22:02:34.312500Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
title Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
spellingShingle Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
Galveias, Pedro Martins Gomes Valsassina
Cibersegurança
SIEM
Integração
Azure
QRadar
Trabalhos de projeto de mestrado - 2021
Departamento de Informática
title_short Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
title_full Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
title_fullStr Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
title_full_unstemmed Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
title_sort Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
author Galveias, Pedro Martins Gomes Valsassina
author_facet Galveias, Pedro Martins Gomes Valsassina
author_role author
dc.contributor.none.fl_str_mv Ferreira, Bernardo Luís da Silva
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Galveias, Pedro Martins Gomes Valsassina
dc.subject.por.fl_str_mv Cibersegurança
SIEM
Integração
Azure
QRadar
Trabalhos de projeto de mestrado - 2021
Departamento de Informática
topic Cibersegurança
SIEM
Integração
Azure
QRadar
Trabalhos de projeto de mestrado - 2021
Departamento de Informática
description Trabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2021
publishDate 2021
dc.date.none.fl_str_mv 2021
2021
2021-01-01T00:00:00Z
2022-02-12T13:57:21Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/51239
TID:202934110
url http://hdl.handle.net/10451/51239
identifier_str_mv TID:202934110
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134575152070656

Registros relacionados