Tilannetietoisuuden kasvattaminen organisaation kybertoimintaympäristössä : Uudemman sukupolven SIEM-järjestelmien vertailu

Abstract

Uhkien havainnointi kompleksista kybertoimintaympäristöstä aiheuttaa useille yrityksille ja organisaatioille haasteita. Tilannetietoisuuden kasvattamiseksi ja päätöksenteon tueksi vaaditaan erilaisia toimintatapoja ja havainnointivälineitä, joita ovat esimerkiksi erilaiset uudemman sukupolven SIEM-järjestelmät. SIEM-järjestelmien avulla kerätään, hallitaan ja analysoidaan lokitietoja ja kyberturvallisuustapahtumia.

Tavoitteena tutkimuksella oli tehdä toimeksiantajalle vertailu uudemman sukupolven SIEM-järjestelmistä ja löytää näistä sopivin Organisaatio X:n vaatimuksiin ja tarpeisiin nähden. Tutkittaviksi SIEM-järjestelmiksi valittiin kolme johtavaa tuotetta: Splunk Enterprise Security, IBM QRadar ja LogRhythm Next-Gen SIEM.

Tutkimus toteutettiin kehittämistutkimuksena yhdistellen laadullisen ja määrällisen tutkimuksen keinoja. Teoriaosuuteen ja SIEM-järjestelmien ominaisuuksien kartoittamiseen käytettiin laadullisia menetelmiä. Tuotteiden vertailussa taas käytettiin määrällistä menetelmää, jotta saatiin perustellusti valittua Organisaatio X:lle paras tuotevaihtoehto.

Tulokset saatiin toteuttamalla vertailu toimeksiantajan vaatimuksista ja tuotteiden ominaisuuksista sekä asiakasarvioiden perusteella. Tutkimustuloksena Splunk Enterprise Security oli ominaisuuksiensa ja käytettävyytensä puolesta paras vaihtoehto Organisaatio X:lle. Modulaarinen ja integroituva järjestelmä oli helppokäyttöinen monipuolisten lokienhallintaan sekä poikkeamien analysoimiseen liittyvien ominaisuuksiensa lisäksi.

Lopputuloksena saatiin koostettua Organisaatio X:lle tietoa tilannetietoisuuden tärkeydestä, uudemman sukupolven SIEM-järjestelmien arkkitehtuurista ja ominaisuuksista sekä vastattua tutkimuskysymykseen onnistuneesti eri tutkimusmetodeja hyödyntäen.

It is very challenging for many companies and organizations to detect threats from complex cyber environments. In order to increase situational awareness and support decision making, different strategies and observations tools are required, such as next-generation SIEM systems. The SIEM system is used to collect, manage and analyze log information and cyber security events. The purpose of this study was to compare different next-generation SIEM systems and find the most appropriate one for Organization X’s needs and requirements. Three leading products were selected for a more specific inspection: Splunk Enterprise Security, IBM QRadar and LogRhythm Next-Gen SIEM. The research was conducted as a development study, combining qualitative and quantitative research methods. The qualitative methods were used in the theory section and for a survey of the features of the SIEM systems. Quantitative methods were used when products were compared in order to validate the result. The result was obtained by comparing the requirements of Organization X and the features of the SIEM systems as well as taking customer reviews into account. The best option for the needs of Organization X was met with Splunk Enterprise Security due to its features and usability. Splunk Enterprise Security is a very modular, integrating system with ease of use with its versatile log management capabilities and anomaly analysis features. Organization X got a completed study about the importance of situational awareness, architecture and features of next generation SIEM systems. In addition, the study also managed to successfully answer to the research question by using a variety of research methods.