Keskitetyn lokienhallintajärjestelmän kehitys
Parkkonen, Marko (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020121728855
https://urn.fi/URN:NBN:fi:amk-2020121728855
Tiivistelmä
Opinnäytetyön tavoitteena on dokumentoida ja toteuttaa yhtiön kyberturvatiimille keskitetty lokienhallintajärjestelmä käyttäen jo olemassa olevaa Graylog-järjestelmää. Tarkoituksena oli kehittää kyberturvatiimille enemmän työkaluja yhtiön tietoturvan parantamiseen hakemalla tiettyjä lokitietoja tietyistä tapahtumista.
Lokitiedolla tarkoitetaan jonkin laitteen tai palvelun keräämää tietoa tietyn ajan tapahtumasta. Lokitiedot sisältävät vaihtelevasti erilaista tietoa, joista yleisimpiä ovat aikaleimat, käyttäjätiedot, autentikointitiedot ja palvelimen tai laitteen vastauskoodi. Lokitietoja keräävät mm. tietokoneet, verkkolaitteet ja palvelimet. Yhtiön tietoturva paranee huomattavasti, kun käytössä on lokienhallintajärjestelmä, josta voidaan tarkastella tapahtumia ja niiden tietoja.
Toteutettavan järjestelmän päätehtävä oli kerätä ja tallettaa yrityksen tietoturvalokeja lyhyen aikaa, jotta niitä kaikkia voitaisiin tarkastella keskitetystä paikasta. Lokeja piti kyetä rajaamaan niin, että vain tietyt käyttäjät pystyivät tekemään hakuja ja näkymiä tietoturvalokeille. Järjestelmän oli myös tuettava määräaikoja jotka oli annettu yhtiön lokikuvauksessa, sekä mahdollistaa lokien kierrättäminen.
Järjestelmän laajentamisessa käytettiin apuna nykyistä järjestelmää ja sen dokumentaatiota uusien lähteiden lisäämisestä. Kyberturvatiimin lähteiden kanssa vaadittiin lisäselvityksiä esimerkiksi lokitiedostojen siirtämisestä Logstash-kerääjän kautta klusteriin.
Lokienhallintajärjestelmän laajennettu osa on kyberturvan käytettävissä, kun sen pitää päästä käsiksi DC- & DHCP-lokitietoihin. Lokitietojen haku on rajattu vain admin-käyttäjille, ettei niitä päästä tarkastelemaan muilta tasoilta. Tietoturvalokien tuominen klusteriin auttaa kyberturvatiimiä löytämään tarvitsemansa tiedon yhdestä sijainnista eri laitteiden lokien selaamisen sijaan.
Lokitiedolla tarkoitetaan jonkin laitteen tai palvelun keräämää tietoa tietyn ajan tapahtumasta. Lokitiedot sisältävät vaihtelevasti erilaista tietoa, joista yleisimpiä ovat aikaleimat, käyttäjätiedot, autentikointitiedot ja palvelimen tai laitteen vastauskoodi. Lokitietoja keräävät mm. tietokoneet, verkkolaitteet ja palvelimet. Yhtiön tietoturva paranee huomattavasti, kun käytössä on lokienhallintajärjestelmä, josta voidaan tarkastella tapahtumia ja niiden tietoja.
Toteutettavan järjestelmän päätehtävä oli kerätä ja tallettaa yrityksen tietoturvalokeja lyhyen aikaa, jotta niitä kaikkia voitaisiin tarkastella keskitetystä paikasta. Lokeja piti kyetä rajaamaan niin, että vain tietyt käyttäjät pystyivät tekemään hakuja ja näkymiä tietoturvalokeille. Järjestelmän oli myös tuettava määräaikoja jotka oli annettu yhtiön lokikuvauksessa, sekä mahdollistaa lokien kierrättäminen.
Järjestelmän laajentamisessa käytettiin apuna nykyistä järjestelmää ja sen dokumentaatiota uusien lähteiden lisäämisestä. Kyberturvatiimin lähteiden kanssa vaadittiin lisäselvityksiä esimerkiksi lokitiedostojen siirtämisestä Logstash-kerääjän kautta klusteriin.
Lokienhallintajärjestelmän laajennettu osa on kyberturvan käytettävissä, kun sen pitää päästä käsiksi DC- & DHCP-lokitietoihin. Lokitietojen haku on rajattu vain admin-käyttäjille, ettei niitä päästä tarkastelemaan muilta tasoilta. Tietoturvalokien tuominen klusteriin auttaa kyberturvatiimiä löytämään tarvitsemansa tiedon yhdestä sijainnista eri laitteiden lokien selaamisen sijaan.