Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal
Autor(a) principal: | |
---|---|
Data de Publicação: | 2021 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
Texto Completo: | http://hdl.handle.net/10451/51239 |
Resumo: | Trabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2021 |
id |
RCAP_ecffd553317f4f465dd95ed39d4f246a |
---|---|
oai_identifier_str |
oai:repositorio.ul.pt:10451/51239 |
network_acronym_str |
RCAP |
network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository_id_str |
7160 |
spelling |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice PortugalCibersegurançaSIEMIntegraçãoAzureQRadarTrabalhos de projeto de mestrado - 2021Departamento de InformáticaTrabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2021No âmbito da conclusão do mestrado em Segurança Informática, foi proposto, pela Altice Portugal, o seguinte projeto. Este consistiu na integração dos alertas de segurança referentes às plataformas cloud da Microsoft – Azure e Office 365 – no IBM QRadar, o SIEM (Security Information Management System) do CyberSOC (o Security Operations Center da Altice Portugal). Para este efeito, o primeiro passo foi o estudo das tecnologias a utilizar e os seus registos (logs). Com isto, foi possível definir estratégias diferentes para a implementação da solução. A seguida foi o uso das potencialidades dos sistemas e produtos Azure, com grande ênfase no uso do seu SIEM – o Azure Sentinel – que teve o papel “cérebro” da operação, visto que era o responsável pela configuração e deteção de incidentes dos quais emitia um alerta. Os restantes produtos Azure foram utilizados com o intuito do desenvolvimento de uma pipeline robusta e rápida para o tratamento e encaminhamento dos alertas na ligação Azure – Altice. Pode ser dito que a solução foi implementada com sucesso até certo ponto, visto que permite que os alertas sejam visualizados no IBM QRadar de forma legível e intuitiva; isto aliado à implementação de um encaminhamento rápido, algo essencial neste tipo de soluções de segurança. Em contrário, por uma questão temporal, não foi possível desenvolver a correlação entre os novos alertas e as fontes de dados já configuradas no QRadar, aproveitando mais potencialidades de um SIEM além da visualização dos alertas, sendo que foi um objetivo não alcançado e faz parte do trabalho futuro. Outro ponto importante era a rapidez de todo o processo de encaminhamento. Este trabalho permitiu um maior panorama de monitorização e análise por parte do CyberSOC e a possibilidade de exploração das capacidades da cloud Microsoft e dos seus recursos cloud, de uma forma mais segura.Following the conclusion of a master’s degree in Information Security and its final dissertation, Altice Portugal proposed the present project. It consisted in the integration of Microsoft cloud platforms security alerts – Azure and Office 365 – in the IBM QRadar, CyberSOC’s (Altice Portugal’s Security Operations Center) SIEM (Security Information Event Management) system. The first step was to study the technologies to use and its logs. With this, it was possible to define a series of different approaches to implement the final solution. Secondly, was the use of the Azure system’s potentialities and products, with great emphasis on its SIEM – Azure Sentinel – that turned out to be the brain of the operation, being responsible for the configuration and detection of incidents for which it would then emit an alert. The other Azure solutions were used with the intent of developing a solid, and fast pipeline for processing and then sending these alerts from Microsoft Azure to Altice’s intranet. One might say that the solution was, to a certain level, successfully enforced, considering that it allows the alerts to be viewed on the QRadar Console in an easy and comprehensive way, provided by a fast execution pipeline – an important aspect in this type of solutions. However, due to lack of time, it was not possible to develop correlation between the new alerts and the data sources previously configured in QRadar, that would allow to take advantage of more potential of a SIEM system beyond, the visualization of these alerts. Since this objective was not achieved, it is part of this project’s future work. This work allowed, therefore, CyberSOC to have an enhanced monitoring and analysis panorama and the possibility of exploring the capabilities of the Microsoft cloud and its computing resources, now in a safer way. The remaining document is written in Portuguese.Ferreira, Bernardo Luís da SilvaRepositório da Universidade de LisboaGalveias, Pedro Martins Gomes Valsassina2022-02-12T13:57:21Z202120212021-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/51239TID:202934110porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:55:50Zoai:repositorio.ul.pt:10451/51239Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T22:02:34.312500Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
dc.title.none.fl_str_mv |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal |
title |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal |
spellingShingle |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal Galveias, Pedro Martins Gomes Valsassina Cibersegurança SIEM Integração Azure QRadar Trabalhos de projeto de mestrado - 2021 Departamento de Informática |
title_short |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal |
title_full |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal |
title_fullStr |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal |
title_full_unstemmed |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal |
title_sort |
Azure2SOC: Integração de Tecnologias de Segurança MS AZURE no Ecossistema do CyberSOC da Altice Portugal |
author |
Galveias, Pedro Martins Gomes Valsassina |
author_facet |
Galveias, Pedro Martins Gomes Valsassina |
author_role |
author |
dc.contributor.none.fl_str_mv |
Ferreira, Bernardo Luís da Silva Repositório da Universidade de Lisboa |
dc.contributor.author.fl_str_mv |
Galveias, Pedro Martins Gomes Valsassina |
dc.subject.por.fl_str_mv |
Cibersegurança SIEM Integração Azure QRadar Trabalhos de projeto de mestrado - 2021 Departamento de Informática |
topic |
Cibersegurança SIEM Integração Azure QRadar Trabalhos de projeto de mestrado - 2021 Departamento de Informática |
description |
Trabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2021 |
publishDate |
2021 |
dc.date.none.fl_str_mv |
2021 2021 2021-01-01T00:00:00Z 2022-02-12T13:57:21Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10451/51239 TID:202934110 |
url |
http://hdl.handle.net/10451/51239 |
identifier_str_mv |
TID:202934110 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
instacron_str |
RCAAP |
institution |
RCAAP |
reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
repository.mail.fl_str_mv |
|
_version_ |
1799134575152070656 |