Tietoliikenneverkon lokitietojen kerääminen ja käsittely
Kuitunen, Santeri (2023)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202304205723
https://urn.fi/URN:NBN:fi:amk-202304205723
Tiivistelmä
Lokitietoa kerätään organisaation verkossa tapahtuvien virhetilanteiden selvittämiseksi tai todistamaan, ettei virheitä ole päässyt tapahtumaan. Pääasiassa loki sisältää tiedon mitä, miksi ja milloin jotakin tapahtui. Kerättyä tietoa voidaan tutkia lokienhallintajärjestelmässä reaaliajassa tai säilöä myöhempää käyttöä varten. Lokien analysointi reaaliajassa auttaa tunnistamaan tietoliikenneverkossa tapahtuvia tietoturvapoikkeamia nopeasti, kun taas säilöttyä tietoa voidaan käyttää apuna jälkeenpäin havaituissa virhetilanteissa.
Tämän kehitystutkimuksen tavoitteena on selvittää, miten toimeksiantaja Kaakkois-Suomen Tieto Oy, voisi kehittää omaa lokienhallintajärjestelmäänsä. Lokienhallintajärjestelmänä käytetään yleisesti Security information and event management -järjestelmää (SIEM). Tutkimuksen lähtökohtana on, ettei lokienhallinta ole riittävällä tasolla ja tulisi selvittää, miten lokien kerääminen ulotetaan yhä useimmille verkon laitteille ja järjestelmille. Tutkimuksessa valitaan SIEM-järjestelmät LogPoint ja Microsoft Sentinel, joita vertaillaan tutkimuskysymysten pohjalta. Tutkimuskysymykset ohjaavat selvittämään, minkälaisia ominaisuuksia järjestelmät tällä hetkellä tarjoavat ja minkälaisiin hinnoittelumalleihin järjestelmien kustannukset perustuvat. Lisäksi haluttiin vertailla kyseisten SIEM-valmistajien Security Orchestration, Automation and Response -järjestelmiä (SOAR) ja näiden integroitumista SIEMin kanssa. Haluttiin myös selvittää, miten SIEM ja SOAR hyödyntävät uhkatietoa ja minkälaisia suunnitelmia toimittajilla on ohjelmistojensa kehityksen suhteen.
Tutkimuksen aineistonkeruu pohjautui valmiisiin aineistoihin. Pääasiassa dokumentaatio haettiin järjestelmävalmistajien omista dokumentaatioista ja white paper -julkaisuista. Lisäksi Sentinelin testiympäristöstä saaduista havainnoista saatuja tuloksia pystyttiin vertaamaan dokumentaatioon. Kokonaisuudessaan kerättyä aineistoa pystyttiin vertaamaan keskenään ja johtamaan tästä tutkimustulokset ja johtopäätökset.
Tutkimuksen tuloksena saatiin kehitysehdotuksia toimeksiantajan lokienhallintajärjestelmää varten. Tämä pitää sisällään lokienvälityspalvelimen rakentamisen sekä SIEMin tarjoamien ominaisuuksien hyödyntämisen. Erityisesti tuloksia SOARin käytöstä ja tästä saaduista hyödyistä toimeksiantaja voi hyödyntää omassa tuotantoympäristössään tehostaakseen tietoturvapoikkeamiin reagointia. Kuitenkin SOARin ollessa kattava tietoturvajärjestelmä, jäi tästä vielä useita kohteita jatkotutkimuksille selvitettäviksi.
Tämän kehitystutkimuksen tavoitteena on selvittää, miten toimeksiantaja Kaakkois-Suomen Tieto Oy, voisi kehittää omaa lokienhallintajärjestelmäänsä. Lokienhallintajärjestelmänä käytetään yleisesti Security information and event management -järjestelmää (SIEM). Tutkimuksen lähtökohtana on, ettei lokienhallinta ole riittävällä tasolla ja tulisi selvittää, miten lokien kerääminen ulotetaan yhä useimmille verkon laitteille ja järjestelmille. Tutkimuksessa valitaan SIEM-järjestelmät LogPoint ja Microsoft Sentinel, joita vertaillaan tutkimuskysymysten pohjalta. Tutkimuskysymykset ohjaavat selvittämään, minkälaisia ominaisuuksia järjestelmät tällä hetkellä tarjoavat ja minkälaisiin hinnoittelumalleihin järjestelmien kustannukset perustuvat. Lisäksi haluttiin vertailla kyseisten SIEM-valmistajien Security Orchestration, Automation and Response -järjestelmiä (SOAR) ja näiden integroitumista SIEMin kanssa. Haluttiin myös selvittää, miten SIEM ja SOAR hyödyntävät uhkatietoa ja minkälaisia suunnitelmia toimittajilla on ohjelmistojensa kehityksen suhteen.
Tutkimuksen aineistonkeruu pohjautui valmiisiin aineistoihin. Pääasiassa dokumentaatio haettiin järjestelmävalmistajien omista dokumentaatioista ja white paper -julkaisuista. Lisäksi Sentinelin testiympäristöstä saaduista havainnoista saatuja tuloksia pystyttiin vertaamaan dokumentaatioon. Kokonaisuudessaan kerättyä aineistoa pystyttiin vertaamaan keskenään ja johtamaan tästä tutkimustulokset ja johtopäätökset.
Tutkimuksen tuloksena saatiin kehitysehdotuksia toimeksiantajan lokienhallintajärjestelmää varten. Tämä pitää sisällään lokienvälityspalvelimen rakentamisen sekä SIEMin tarjoamien ominaisuuksien hyödyntämisen. Erityisesti tuloksia SOARin käytöstä ja tästä saaduista hyödyistä toimeksiantaja voi hyödyntää omassa tuotantoympäristössään tehostaakseen tietoturvapoikkeamiin reagointia. Kuitenkin SOARin ollessa kattava tietoturvajärjestelmä, jäi tästä vielä useita kohteita jatkotutkimuksille selvitettäviksi.