Avoimen lähdekoodin työkalujen tutkiminen ja vertailu tilannetietoisuutta varten poikkeamanhallinnassa

Abstract

Opinnäytetyön toimeksiantajana toimi Jyväskylän ammattikorkeakoulun JYVSECTEC kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus. JYVSECTEC tarjoaa kyberturvallisuuteen liittyvää harjoitustoimintaa, konsultointia, testausta, tutkimusta ja koulutusta. Opinnäytetyön toimeksiantona oli vertailla kahta työkalua tietoturvapoikkeamien kirjaamiseen sekä perehtyä poikkeamanhallinnan toimintaan. Työkalut, joita vertailtiin, olivat TheHive ja FIR (Fast Incident Response). Näistä työkaluista tuli tutkia ja vertailla niiden ominaisuuksia sekä rajapintoja tiedon tuontiin järjestelmään ja tiedon vientiin järjestelmästä. Tässä oli tarkoituksena saada selville saako järjestelmään tuotua monitorointidataa ja saadaanko järjestelmästä vietyä dataa ulos järkevässä muodossa toisiin työkaluihin/järjestel-miin, tässä tapauksessa aikajana/visualisointityökaluun. Opinnäytetyön tuloksina oli TheHive- ja FIR-järjestelmien esittely ja ominaisuuksien dokumentointi, oleellisten ominaisuuksien vertailu ja tiedon tuonnin ja viennin testaaminen järjestelmistä. Ominaisuuksien vertailussa kummassakin järjestelmässä oli hyödyllisiä ja oleellisia ominaisuuksia, joita ei toisessa järjestelmässä ollut. Tämän takia on hankala valita, kumpi näistä järjestelmistä on parempi. Järkevintä on valita käyttötilanteen mukaan pa-rempi järjestelmä. Kuitenkin TheHive-järjestelmä vaikuttaa selkeämmältä ja havainnollisemmalta. Tiedon tuontiin ja vientiin ei ollut käyttöliittymässä toimintoja kummassakaan järjestelmässä, eikä tiedon tuonti onnistu kuin manuaalisesti tapaus ja havainto kerrallaan. Tiedon vienti testattiin TheHive:ssa API-rajapinnan kautta HTTP:n välityksellä ja FIR:ssä MySQL-tietokannan kautta PHP-skriptillä. Tiedon vienti onnistuu molemmista järjestelmistä sellaisessa muodossa, että sitä saa vietyä mahdolliseen aikajanatyökaluun.

The thesis was assigned by JYVSECTEC and implemented at JAMK University of Applied sciences. JYVSECTEC is a Cyber security research, development and training center. The services offered by JYVSECTEC are cyber security exercises, consulting, testing, research and training. The assignment was to compare two systems for logging incidents and to explore incident response process. The compared tools were TheHive and FIR (Fast Incident Response). The goal was to compare the features of the systems. Another goal was to research the APIs for importing and exporting date to the systems. The purpose of this was to find out if one could import monitoring data to the systems and export data in a suitable format to, for example, a visualization/timeline tool. The thesis resulted in introducing TheHive and FIR systems, documenting their features, comparing their essential features and testing importing and exporting data to both systems. While comparing the features, it was found out that both systems have essential and beneficial features that the others system does not have. This made it hard to decide which one of the systems is better; therefore, it is sensible to select the system based on which one performs better in the use case. TheHive system seemed to be clearer and more informative. Neither of the systems had data importing and exporting features in their user interface, and data can be input manually, only one incident case or observation at a time. In TheHive, exporting of the data was tested using TheHive’s API interface through HTTP, and in FIR, the exporting of the data was tested through MySQL database using a PHP script. In both systems, it is possible to export data in a such format that enables its export to a possible timeline tool.