Tietoturvavalvomon raportoinnin kehittäminen ja automatisointi
Halkosaari, Lassi (2021)
Halkosaari, Lassi
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021112622088
https://urn.fi/URN:NBN:fi:amk-2021112622088
Tiivistelmä
Kyberturvallisuuden ongelmat ovat osa päivittäistä kamppailua yrityksille. Hyökkäysmäärien kasvaessa tietoturvavalvomoilla on tärkeä rooli organisaatioiden kyberuhkien hallinnassa jatkuvan valvonnan ja reagoinnin avulla.
Opinnäytetyön toimeksiantajana toimi Insta Advance Oy. Opinnäytetyön toimeksiantona oli kehittää ja automatisoida tietoturvavalvomon asiakkailleen kuukausittain toimitettavia palveluraportteja. Työn tavoitteena oli kehittää käytössä olevia palveluraportteja antamaan asiakkaille parempi kuva omien järjestelmiensä tietoturvan tilanteesta. Toisena tavoitteena oli automatisoida kuukausittain toimitettavien palveluraporttien luontiprosessia, jonka tavoitteena oli raporttien tekemiseen käytetyn työajan huomattava väheneminen.
Opinnäytetyö toteutettiin soveltavana tutkimuksena. Tietoperustassa tarkasteltiin yleisellä tasolla mitä tietoturvavalvomo, raportointi ja automatisointi pitivät sisällään. Tietoperustan jälkeen tarkasteltiin käytettyjä datalähteitä ja teknologioita. Tarkastelujen jälkeen käytiin läpi tietoturvavalvomon raportoinnin kehittäminen tapaustutkimuksena, jossa ensin kehitettiin käytössä ollutta palveluraporttia paremmaksi ja sen jälkeen kehitettiin teknisesti raportin luontiprosessia.
Opinnäytetyön lopputuloksena oli uusi kehitetty kuukausittain asiakkaille toimitettava palveluraportti sekä pitkälle automatisoitu raportin luontiprosessi. ActiveDocs-ohjelmiston ja datalähteisiin tehtyjen liitosten ansiosta suurin osa palveluraportille tulevista tiedoista saatiin haettua automaattisesti sen luonnin yhteydessä. Uudella kehitetyllä palveluraportilla tuotiin asiakasta varten selkeämmin esille heidän omien järjestelmiensä tietoturvan tilanne.
Merkittävä tulos oli raportointiin käytettävän ajan väheneminen noin kahdesta tunnista noin puoleen tuntiin, jolloin raportoinnin tekijät pystyivät käyttämään säästyneen työaikansa muiden työtehtävien tekemiseen. Tuloksista voi päätellä, että tietoturvavalvomo tarvitsee jatkuvaa kehittämistä ja automatisointia pysyäkseen ketteränä ja tehokkaana jatkuvasti muuttuvassa ympäristössä. Kehitettävää riittää aina, joten kehitystyö ei välttämättä koskaan ole täysin valmis. Cyber security issues are part of the daily struggle for businesses. As the number of attacks increases, Security Operations Centers play an important role in managing organizations' cyber threats through continuous monitoring and response.
The thesis was commissioned by Insta Advance Oy. The assignment of the thesis was to develop and automate the service reports delivered monthly to the customers of the Security Operations Center. The aim of the work was to develop the service reports in use to give customers a better picture of the security situation of their own systems. Another goal was to automate the process of creating monthly service reports, which aimed to significantly reduce the time spent on reporting.
The thesis was carried out as an applied research. At the general level, the knowledge base examined what the Security Operations Center, reporting and automation contained. After the knowledge base, the data sources and technologies used were examined. Following the reviews, the development of the Security Operations Center’s reporting was reviewed as a case study, in which the service report used was first developed to be better and then the report creation process was technically developed.
The end result of the thesis was a new developed monthly service report delivered to customers and a highly automated report creation process. Thanks to the ActiveDocs software and the connections made to the data sources, most of the information coming to the service report was retrieved automatically when it was created. The newly developed service report highlighted the security situation of their own systems for the customer.
A significant result was a reduction in the time spent on reporting from about two hours to about half an hour, when the reporters were able to use their saved working time to perform other work tasks. From the results, it can be concluded that the Security Operations Center needs continuous development and automation in order to remain agile and efficient in an everchanging environment. There is always plenty to develop, so development work may never be complete.
Opinnäytetyön toimeksiantajana toimi Insta Advance Oy. Opinnäytetyön toimeksiantona oli kehittää ja automatisoida tietoturvavalvomon asiakkailleen kuukausittain toimitettavia palveluraportteja. Työn tavoitteena oli kehittää käytössä olevia palveluraportteja antamaan asiakkaille parempi kuva omien järjestelmiensä tietoturvan tilanteesta. Toisena tavoitteena oli automatisoida kuukausittain toimitettavien palveluraporttien luontiprosessia, jonka tavoitteena oli raporttien tekemiseen käytetyn työajan huomattava väheneminen.
Opinnäytetyö toteutettiin soveltavana tutkimuksena. Tietoperustassa tarkasteltiin yleisellä tasolla mitä tietoturvavalvomo, raportointi ja automatisointi pitivät sisällään. Tietoperustan jälkeen tarkasteltiin käytettyjä datalähteitä ja teknologioita. Tarkastelujen jälkeen käytiin läpi tietoturvavalvomon raportoinnin kehittäminen tapaustutkimuksena, jossa ensin kehitettiin käytössä ollutta palveluraporttia paremmaksi ja sen jälkeen kehitettiin teknisesti raportin luontiprosessia.
Opinnäytetyön lopputuloksena oli uusi kehitetty kuukausittain asiakkaille toimitettava palveluraportti sekä pitkälle automatisoitu raportin luontiprosessi. ActiveDocs-ohjelmiston ja datalähteisiin tehtyjen liitosten ansiosta suurin osa palveluraportille tulevista tiedoista saatiin haettua automaattisesti sen luonnin yhteydessä. Uudella kehitetyllä palveluraportilla tuotiin asiakasta varten selkeämmin esille heidän omien järjestelmiensä tietoturvan tilanne.
Merkittävä tulos oli raportointiin käytettävän ajan väheneminen noin kahdesta tunnista noin puoleen tuntiin, jolloin raportoinnin tekijät pystyivät käyttämään säästyneen työaikansa muiden työtehtävien tekemiseen. Tuloksista voi päätellä, että tietoturvavalvomo tarvitsee jatkuvaa kehittämistä ja automatisointia pysyäkseen ketteränä ja tehokkaana jatkuvasti muuttuvassa ympäristössä. Kehitettävää riittää aina, joten kehitystyö ei välttämättä koskaan ole täysin valmis.
The thesis was commissioned by Insta Advance Oy. The assignment of the thesis was to develop and automate the service reports delivered monthly to the customers of the Security Operations Center. The aim of the work was to develop the service reports in use to give customers a better picture of the security situation of their own systems. Another goal was to automate the process of creating monthly service reports, which aimed to significantly reduce the time spent on reporting.
The thesis was carried out as an applied research. At the general level, the knowledge base examined what the Security Operations Center, reporting and automation contained. After the knowledge base, the data sources and technologies used were examined. Following the reviews, the development of the Security Operations Center’s reporting was reviewed as a case study, in which the service report used was first developed to be better and then the report creation process was technically developed.
The end result of the thesis was a new developed monthly service report delivered to customers and a highly automated report creation process. Thanks to the ActiveDocs software and the connections made to the data sources, most of the information coming to the service report was retrieved automatically when it was created. The newly developed service report highlighted the security situation of their own systems for the customer.
A significant result was a reduction in the time spent on reporting from about two hours to about half an hour, when the reporters were able to use their saved working time to perform other work tasks. From the results, it can be concluded that the Security Operations Center needs continuous development and automation in order to remain agile and efficient in an everchanging environment. There is always plenty to develop, so development work may never be complete.