Integrating Open Threat Exchange data in a Security Operations Center
Paakala, Santeri (2021)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021121225407
https://urn.fi/URN:NBN:fi:amk-2021121225407
Tiivistelmä
Third party sources of cyber threat intelligence can be used to identify malicious network traffic in a security operations center (SOC). In this Bachelor's thesis, an open cyber threat intelligence source was integrated into a SOC's network monitoring process.
The source in question is Open Threat Exchange (OTX), developed by AT&T Cybersecurity. At the time of writing, OTX is the world's largest open threat intelligence community. It has over 100 000 members contributing over 19 million threat indicators in OTX Pulse feeds daily.
The study utilizes qualitative constructive research methods. The study's focus was on developing an application to integrate OTX Pulse data into a SOC's network monitoring process. The usability and reliability of the data and the application are estimated as a part of the study. Kolmannen osapuolen tuottamaa kyberuhkatietoa voidaan hyödyntää tietoturvahallintakeskuksissa (Security Operations Center, SOC) haitallisen tietoliikenteen tunnistamiseen. Tässä opinnäytetyössä integroitiin avoin kyberuhkatiedon lähde tietoturvahallintakeskukseen.
Kyseessä on AT&T Cybersecurityn kehittämä Open Threat Exchange (OTX), joka on avoin yhteistyöhön perustuva alusta kyberuhkatiedon jakamiseen. Kirjoittamishetkellä OTX on maailman suurin uhkatiedonjakoalusta, jolla on yli 100 000 käyttäjää, ja sen avulla jaetaan päivittäin yli 19 miljoonaa uhkaindikaattoria OTX Pulse syötteissä.
Opinnäytetyössä hyödynnettiin laadullisen konstruktiivisen tutkimuksen menetelmiä. Työssä keskityttiin sovelluksen kehittämiseen, jolla OTX-data integroitiin tietoturvahallintakeskuksen osaksi. Työssä arvioidaan sovelluksen sekä OTX-yhteisön tuottaman datan luotettavuutta ja hyödynnettävyyttä.
The source in question is Open Threat Exchange (OTX), developed by AT&T Cybersecurity. At the time of writing, OTX is the world's largest open threat intelligence community. It has over 100 000 members contributing over 19 million threat indicators in OTX Pulse feeds daily.
The study utilizes qualitative constructive research methods. The study's focus was on developing an application to integrate OTX Pulse data into a SOC's network monitoring process. The usability and reliability of the data and the application are estimated as a part of the study.
Kyseessä on AT&T Cybersecurityn kehittämä Open Threat Exchange (OTX), joka on avoin yhteistyöhön perustuva alusta kyberuhkatiedon jakamiseen. Kirjoittamishetkellä OTX on maailman suurin uhkatiedonjakoalusta, jolla on yli 100 000 käyttäjää, ja sen avulla jaetaan päivittäin yli 19 miljoonaa uhkaindikaattoria OTX Pulse syötteissä.
Opinnäytetyössä hyödynnettiin laadullisen konstruktiivisen tutkimuksen menetelmiä. Työssä keskityttiin sovelluksen kehittämiseen, jolla OTX-data integroitiin tietoturvahallintakeskuksen osaksi. Työssä arvioidaan sovelluksen sekä OTX-yhteisön tuottaman datan luotettavuutta ja hyödynnettävyyttä.