Lokienhallintajärjestelmän soveltuvuusselvitys : SIEM-järjestelmät

Abstract

Lokitietojen hallinta on ollut esillä Euroopan tietosuoja-asetuksen vuoksi, joka tuli voimaan keväällä 2018. SIEM-järjestelmät nähdään hyvänä vaihtoehtona lokitietojen hallinnan osalta. SIEM-järjestelmällä on mahdollista parantaa organisaation tietoturvaa ja tehostaa IT-ympäristön valvontaa, koska SIEM-järjestelmän avulla voidaan toteuttaa tehokasta lokitietojen analysointia.

Tein opinnäytetyöni keskisuurelle yritykselle. SIEM-järjestelmällä halutaan täyttää Euroopan tietosuoja-asetuksen vaatimukset ja siirtää tärkeät lokitiedot keskitettyyn säilytyspaikkaan, jotta tietojenkäsittelyä voidaan valvoa tehokkaammin.

Opinnäytetyön tavoitteena oli kertoa SIEM-järjestelmistä ja lisätä tietoisuutta niiden toiminnasta. Opinnäytetyössä käsiteltiin myös mitä kaikkea SIEM-järjestelmällä kannattaa seurata. Tämän lisäksi tarkastelin kolmea SIEM-järjestelmää, jotka olivat vaihtoehtoina soveltuvuusselvityksen tekoon ja lopuksi tein soveltuvuusselvityksen yhdestä järjestelmästä. Soveltuvuusselvitykseen annettiin tietyt tavoitteet ja näihin tavoitteisiin päästiin valitun SIEM-järjestelmän kanssa. Tavoitteet soveltuvuusselvityksessä olivat lokitietojen haku tietokannasta ja näkyvyyden lisääminen. Soveltuvuusselvityksessä kerron myös oman näkökulman SIEM-järjestelmän käytöstä organisaation IT-ympäristössä.

Log management has been on the carpet last few years because of the European Union General Data Protection Regulation. SIEM system is a good option for log management because SIEM system offers many capalities to log analysis.

This thesis has been made to mid-sized organisation. Organisation wants to fulfill GDPR requirements in regards of log data. Log data needs to be transfered from distributed locations to centralized location. When log data is in centralized location organisation can supervise data processing more effectively.

Purpose of this thesis is to reveal how SIEM systems work and what to monitor with SIEM. After that I reviewed few SIEM system alternatives and made proof of concept with selected SIEM system. Proof of concept objectives were to transfer log data from database and to increase visibility of the IT enviroment. Those objectives were fulfilled in this thesis. Lastly I talk about my own experience about selected SIEM system and how it worked in the organisation’s IT enviroment.