SOAR Playbook Implementation - Incident Deduplication and Its Effects
Purujoki, Jani (2020)
Purujoki, Jani
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020121127711
https://urn.fi/URN:NBN:fi:amk-2020121127711
Tiivistelmä
Opinnäytetyön toimeksiantaja toimi Nixu Oyj. Opinnäytetyön tavoitteena oli suunnitella ja toteuttaa pelikirja Security Orchestration, Automation and Response (SOAR) -alustalle, joka tunnistaisi ja käsittelisi mahdollisia duplikaatteja tietoturvatapahtumia. SOAR pelikirjan vaikutusta Security Operations Center:n (SOC) hälytysmääriin havainnoitiin tutkimalla, kuinka mahdollisia duplikaatteja tietoturvatapahtumia käsiteltiin tunnistamisen jälkeen. SOC:n hälytysmääriä haluttiin vähentää tunnistamalla duplikaatteja tietoturvatapahtumia ja luomalla prosessi niiden käsittelyyn käyttäen SOAR -alustaa.
Teoriaosuudessa pyrittiin kuvaamaan itse SOC ja sen toimintaa sekä työkaluja, joihin myös SOAR kuuluu. Toteutusvaiheessa käytiin läpi, miten SOAR pelikirjan työnkulku suunniteltiin, kuinka tämä toteutettiin käytännössä pelikirjaan sekä käytiin läpi, miten mahdollisia duplikaatteja tunnistettiin käyttäen SOAR automaatioskriptiä.
Tuloksissa havaittiin, että SOAR automaatioskriptin tunnistamia mahdollisia duplikaatteja oli merkittävä osuus suhteessa kaikkeen tietoturvatapahtumiin. Mahdollisista duplikaateista kuitenkin paljastui vain hyvin pienen osuuden olevan oikeita duplikaatteja. Huonosti toimiva SOAR automaatioskripti puolestaan johti tietoturvatapahtumien käsittelyyn tavalla, joka vääristi tuloksiin tarkoitettua dataa. Datasta voitiin kuitenkin päätellä, että toteutuksen positiiviset vaikutukset olivat lähes olemattomat.
Lopputuloksena todettiin että pelikirja käsitteli mahdollisia duplikaatteja hyvin, mutta itse duplikaattejen tunnistaminen vaatii jatkokehitystä, jotta täysin automatisoidun deduplikointiprosessin toteuttaminen olisi mahdollista. Toteutuksen ensimmäinen versio johti myös korjaustoimenpiteisiin SOAR pelikirjassa, jotta manuaalisesti vaaditut työtehtävät olivisat minimaaliset.
Teoriaosuudessa pyrittiin kuvaamaan itse SOC ja sen toimintaa sekä työkaluja, joihin myös SOAR kuuluu. Toteutusvaiheessa käytiin läpi, miten SOAR pelikirjan työnkulku suunniteltiin, kuinka tämä toteutettiin käytännössä pelikirjaan sekä käytiin läpi, miten mahdollisia duplikaatteja tunnistettiin käyttäen SOAR automaatioskriptiä.
Tuloksissa havaittiin, että SOAR automaatioskriptin tunnistamia mahdollisia duplikaatteja oli merkittävä osuus suhteessa kaikkeen tietoturvatapahtumiin. Mahdollisista duplikaateista kuitenkin paljastui vain hyvin pienen osuuden olevan oikeita duplikaatteja. Huonosti toimiva SOAR automaatioskripti puolestaan johti tietoturvatapahtumien käsittelyyn tavalla, joka vääristi tuloksiin tarkoitettua dataa. Datasta voitiin kuitenkin päätellä, että toteutuksen positiiviset vaikutukset olivat lähes olemattomat.
Lopputuloksena todettiin että pelikirja käsitteli mahdollisia duplikaatteja hyvin, mutta itse duplikaattejen tunnistaminen vaatii jatkokehitystä, jotta täysin automatisoidun deduplikointiprosessin toteuttaminen olisi mahdollista. Toteutuksen ensimmäinen versio johti myös korjaustoimenpiteisiin SOAR pelikirjassa, jotta manuaalisesti vaaditut työtehtävät olivisat minimaaliset.