SIEM-järjestelmän sääntöjen keskitetty hallinta ja automatisointi
Liimatainen, Niko (2022)
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022121328359
https://urn.fi/URN:NBN:fi:amk-2022121328359
Tiivistelmä
Opinnäytetyön tilaajana toimi Loihde Trust Oy, jonka CSOC-yksikkö tarvitsi tutkimus- ja kehitystyötä SIEM -sääntöjen automaatioon. Tarkempana toimeksiantona oli perehtyä Azure Sentinelin tarkkailulistoihin, niiden automaatioon ja keskittämiseen. Tavoitteena oli toteuttaa soveltuvuusselvitys automaatiota varten ja
tutkia mahdollisia vaihtoehtoja automaation toteuttamiseen. Työ toteutettiin osana sääntöjen keskittämisprojektia ja sen työmenetelmissä käytettiin projektityöskentelyn menetelmiä. Työssä kehitettiin sääntöjen tarkkailulista-automaatiota SOAR-tuotteen pelikirjojen avulla. Lisäksi työn aikana kartoitettiin Azure Sentinelin API-rajapintaa ja vertailtiin SOAR-pelikirjojen käyttöä automatisoinnissa Logic Apps vastaan.
Työn tuloksena tehtiin kolme soveltuvuusselvitys toiminnallisuutta: kaksi käyttäen hyväksi SOAR-tuotetta ja yksi käyttäen hyväksi Microsoft Azuren Logic Apps -palvelua. Sentinelin tarkkailulistoja käsittelevän API:n kartoitus tuotti kattavan näkymän rajapinnan toiminnallisuuksista sekä sen asettamista rajoitteista pelikirjojen ja tarkkailulistojen välikätenä. API-kartoituksen ja toteutettujen toiminnallisuuksien avulla CSOC voi lähteä jatkokehittämään automaatiota eteenpäin kohti tuotantokelpoista ratkaisua käyttäen hyödyksi opinnäytetyön tuloksia. Automaation
ansiosta CSOC pystyy vähentämään manuaalisen työn määrää, sekä tehostamaan yhtenäisyyttä SIEM -säännöstön kautta. This thesis was commissioned by Loihde Trust Oy, whose CSOC needed research and development work for SIEM rule automation. Thesis subject was set to be more specifically focused on Azure Sentinel watchlists and how to automate and centralize them. The objective of the thesis was to provide proof of concept
functionalities for automation and to research possible alternative methods of implementing said automation. The thesis was done as a part of larger SIEM rule automation project and the thesis utilized project working methods. During the thesis and automation of rule watchlists was developed using SOAR playbooks. Other objectives of the thesis provided research on the functionalities of Sentinel watchlist API and comparison of SOAR playbooks versus Azure Logic apps in automation. During the thesis process, three proof of concept functionalities were developed: two using SOAR playbooks and one utilizing Microsoft Azure Logic Apps service. The research conducted on Sentinel Watchlist API provided a comprehensive view of the API functionalities and the restrictions imposed by the API as a middleman of the playbooks and SIEM watchlists. As a result of the API research and the produced functionalities, the CSOC can further develop the automation towards a production viable solution utilizing the results of this thesis. Thanks to SIEM rule automation, the CSOC can reduce manual tasks needed to upkeep SIEM rules and enhance the integrity of said rule base.
tutkia mahdollisia vaihtoehtoja automaation toteuttamiseen. Työ toteutettiin osana sääntöjen keskittämisprojektia ja sen työmenetelmissä käytettiin projektityöskentelyn menetelmiä. Työssä kehitettiin sääntöjen tarkkailulista-automaatiota SOAR-tuotteen pelikirjojen avulla. Lisäksi työn aikana kartoitettiin Azure Sentinelin API-rajapintaa ja vertailtiin SOAR-pelikirjojen käyttöä automatisoinnissa Logic Apps vastaan.
Työn tuloksena tehtiin kolme soveltuvuusselvitys toiminnallisuutta: kaksi käyttäen hyväksi SOAR-tuotetta ja yksi käyttäen hyväksi Microsoft Azuren Logic Apps -palvelua. Sentinelin tarkkailulistoja käsittelevän API:n kartoitus tuotti kattavan näkymän rajapinnan toiminnallisuuksista sekä sen asettamista rajoitteista pelikirjojen ja tarkkailulistojen välikätenä. API-kartoituksen ja toteutettujen toiminnallisuuksien avulla CSOC voi lähteä jatkokehittämään automaatiota eteenpäin kohti tuotantokelpoista ratkaisua käyttäen hyödyksi opinnäytetyön tuloksia. Automaation
ansiosta CSOC pystyy vähentämään manuaalisen työn määrää, sekä tehostamaan yhtenäisyyttä SIEM -säännöstön kautta.
functionalities for automation and to research possible alternative methods of implementing said automation. The thesis was done as a part of larger SIEM rule automation project and the thesis utilized project working methods. During the thesis and automation of rule watchlists was developed using SOAR playbooks. Other objectives of the thesis provided research on the functionalities of Sentinel watchlist API and comparison of SOAR playbooks versus Azure Logic apps in automation. During the thesis process, three proof of concept functionalities were developed: two using SOAR playbooks and one utilizing Microsoft Azure Logic Apps service. The research conducted on Sentinel Watchlist API provided a comprehensive view of the API functionalities and the restrictions imposed by the API as a middleman of the playbooks and SIEM watchlists. As a result of the API research and the produced functionalities, the CSOC can further develop the automation towards a production viable solution utilizing the results of this thesis. Thanks to SIEM rule automation, the CSOC can reduce manual tasks needed to upkeep SIEM rules and enhance the integrity of said rule base.