EDR-toteutuksen integroiminen CSIRT- ja SOC-toimintaan
Laitila, Ville (2023)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023052614670
https://urn.fi/URN:NBN:fi:amk-2023052614670
Tiivistelmä
Maailman digitalisoituessa yritykset kohtaavat enenevissä määrin erilaisia kyberuhkia. Hyökkääjät yrittävät päästä murtautumaan yrityksen tietoverkkoihin useita eri reittejä pitkin. Yrityksen työntekijöille tarjoamat päätelaitteet ovat vihamielisten tahojen mielenkiinnon kohde. Satoja tietokoneita tulisi pystyä valvomaan keskitetysti, jotta mahdolliset murrot ja epätavallinen toiminta havaittaisiin mahdollisimman nopeasti. Opinnäytetyön tehtävänä oli tutkia päätelaitevalvontaan tarkoitetun EDR-toteutuksen integroimista yrityksen CSIRT:n ja SOC:n toimintaan. Toimeksiantajana toimi kotimainen ICT-alan yritys. Tavoitteena oli myös tutkia, miten EDR-toteutusta hyödynnetään yrityksen tietoturvassa.
Opinnäytetyö tehtiin tutkimuksellisena kehittämistyönä, mutta siinä hyödynnettiin myös jonkin verran kirjallisuuskatsauksen elementtejä. Teoriaosuudessa pyrittiin esittelemään tutkimustapaa, SOC toimintaa, yleistä asiaa tietoturvallisuudesta ja yritysverkoista sekä EDR-teknologiaa. Toteutuksessa kehiteltiin käyttötapauksia EDR-toteutukselle ja näiden käyttötapausten pohjalta pyrittiin vastaamaan tutkimuskysymysiin toimeksiantajan asiantuntijan kanssa.
Tuloksissa ja johtopäätöksissä havaittiin, että EDR-toteutusta voidaan hyödyntää yrityksen tietoturvassa. Käyttötapaukset osoittautuivat asiantuntijan mukaan hyödyllisiksi ja niiden avulla voitiin todeta, että EDR-integroituu hyvin sekä CSIRT:n että SOC:n toimintaan. Käyttötapaukset kuvastivat asiantuntijan mukaan hyvin, miten onnistuneen integraation ansiosta havainnot siirtyivät jouhevasti EDR:ltä SOC:lle ja tarvittaessa CSIRT:lle.
Opinnäytetyö tehtiin tutkimuksellisena kehittämistyönä, mutta siinä hyödynnettiin myös jonkin verran kirjallisuuskatsauksen elementtejä. Teoriaosuudessa pyrittiin esittelemään tutkimustapaa, SOC toimintaa, yleistä asiaa tietoturvallisuudesta ja yritysverkoista sekä EDR-teknologiaa. Toteutuksessa kehiteltiin käyttötapauksia EDR-toteutukselle ja näiden käyttötapausten pohjalta pyrittiin vastaamaan tutkimuskysymysiin toimeksiantajan asiantuntijan kanssa.
Tuloksissa ja johtopäätöksissä havaittiin, että EDR-toteutusta voidaan hyödyntää yrityksen tietoturvassa. Käyttötapaukset osoittautuivat asiantuntijan mukaan hyödyllisiksi ja niiden avulla voitiin todeta, että EDR-integroituu hyvin sekä CSIRT:n että SOC:n toimintaan. Käyttötapaukset kuvastivat asiantuntijan mukaan hyvin, miten onnistuneen integraation ansiosta havainnot siirtyivät jouhevasti EDR:ltä SOC:lle ja tarvittaessa CSIRT:lle.