Palveluna toimitettavan SIEM-järjestelmän valvonta yritysverkossa

Abstract

Opinnäytetyön tarkoituksena oli suunnitella ja toteuttaa palveluna toimitettavan SIEM-järjestelmän valvonta käyttöjärjestelmä- ja käyttöliittymätasolla. Työn lähtökohdaksi asetettiin täysin erillisen verkkolaitteiden toiminnan valvontaan erikoistuneen järjestelmän asennus. Ennen työn toteuttamista SIEM-järjestelmä oli täysin omavaraisten hälytysten varassa. Tätä ei yrityksessä koettu riittävän kattavaksi valvonnaksi. Tässä työssä käytettäväksi valvontaohjelmistoksi valittiin OP5 Monitor. Käytettävä tuote valittiin lisensointiin liittyvistä syistä. Tämä työ ei käsittele vertailua muiden markkinoilla olevien tuotteiden kanssa.

Työn toteuttamista varten oli ensin tutustuttava toteutuksessa käytettäviin verkkoprotokolliin sekä asennusympäristön tietoturvavaatimuksiin. Valvonnassa käytettäviksi protokolliksi valittiin SNMP ja HTTPS. Näillä kahdella protokollalla oli mahdollista valvoa sekä järjestelmän alla olevaa Linux-käyttöjärjestelmää, että selaimessa toimivaa käyttöliittymää. Verkkoliikenne palvelimien välillä minimoitiin vain vaadittaviin protokolliin. Tällä tavalla oli mahdollista rajata mahdollisia tietoturvauhkia. Asennusympäristö oli yrityksen oma sisäinen tietoverkko.

Ulkoisen valvontajärjestelmän asennus oli helppo ja nopea toimenpide. Järjestelmä asennettiin valmiin Linux-palvelimen päälle. Lisenssin lisäämisen jälkeen OP5 Monitor oli käytännössä täysin käyttövalmis. SIEM-järjestelmä lisättiin valvottavaksi kohteeksi automaattisen asennusvelhon avulla. SIEM erosi rakenteeltaan normaalista Linux-palvelimesta, joten esimerkiksi muutamia levyosioita oli lisättävä jälkikäteen valvottaviksi kohteiksi. Käyttöliittymän valvonta oli myös määriteltävä erikseen. Valvonnassa käytettyjen lisäosien asetuksia muokattiin SIEM-järjestelmän valvontaan sopiviksi. Hälytysrajoja nostettiin normaalia korkeammaksi, jotta vääriä hälytyksiä ei olisi tullut käsiteltäväksi.

Työ saatiin valmiiksi ja tavoiteltu valvonnan taso saavutettiin. Työn tuloksista saatiin myös paljon ideoita valvonnan jatkokehittämiselle. Alkuperäinen valmistajan tarjoama dokumentaatio oli huonoa. Työn ohessa kirjoitettu ohjeistus mallikuvineen loi hyvät edellytykset valvonnan käyttöönottoon muissakin ympäristöissä.

The goal of this thesis was to design and implement a simple network monitoring system and procedure. Targeted host for monitoring was a SIEM system which was delivered as a service to customers. Both the web-based interface and the underlying Linux operating system were monitored. Before this thesis started, the company did not have any kind of external monitoring. All monitoring was done on the SIEM system itself. This was not seen as sufficient solution. The chosen network monitoring system was OP5 Monitor. It was chosen due to licensing reasons. This thesis does not include any comparison between other systems or providers in the market today.

Before installing the system, there was a need to research the protocols used in monitoring. The basic guidelines for secure network infrastructure were also studied. The chosen protocols for monitoring were SNMP and HTTPS. These protocols enabled the monitoring for the underlying Linux system and for the user interface. Network traffic between these servers was limited to absolute minimum. This was to ensure a more secure network. The implementation environment was one of many internal networks in this company.

The installation of the external monitoring system was simple and fast procedure. The system was installed on top of Linux server that was prepared in advance. After a license was applied, the OP5 Monitor was basically ready to be used. The SIEM was added as monitored host using the automated host installation wizard. The SIEM was a bit different than a normal Linux system so there were some monitored services to add afterwards. Those were for example various disk partitions. The monitoring of user interface also had to be added separately. The plugins used in this thesis were modified to better suit the SIEM system. The limits for alerts were tuned a bit higher in order to prevent unnecessary alarms.

Thesis was finished and the objective was achieved. The results also gave many ideas for further development. The original documentation provided by the OP5 was quite limited and poor. The documentation written during the thesis made the implementation of monitoring easier in other environments.