Avoimeen lähdekoodiin perustuvien DFIR-työkalujen vertailu korkeakoulun CSIRT-toiminnoille
Kari, Kasimir (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023121336759
https://urn.fi/URN:NBN:fi:amk-2023121336759
Tiivistelmä
Tietoturvapoikkeamien tutkinta- ja käsittelyohjelmiston (DFIR) integroiminen Computer Security and Incident Response Team (CSIRT) -ryhmän toimintaan tukee kattavaa suojaustietojen ja tapahtumienhallinnan (SIEM), päätelaite- ja palvelinvalvonnan (EDR), päätelaitteiden tietoturvaratkaisun (EPP) ja palomuurin kokonaisuutta. Tämä mahdollistaa tietoturvapoikkeamien tehokkaan käsittelyn ja tutkinnan sekä tarjoaa paremman näkyvyyden tietoliikenneverkkoon.
Tämän opinnäytetyön tavoite oli vertailla ja dokumentoida, mikä avoimeen lähdekoodiin perustuva DFIR-työkalu soveltuisi parhaiten Turun yliopiston digipalveluiden CSIRT-toimintojen tietoturvapoikkeamien tutkimiseen sekä niiden käsittelyyn. Työkalu tulee olemaan osana Microsoft Windows-toimialueen käyttäjätietokanta- ja hakemistopalvelutoimialuetta (Active Directory), joka mahdollistaa eri Windows-työasemien tutkimisen etänä niin yliopiston kampusverkossa kuin Always On virtuaalisen erillisverkon (VPN-yhteyden) kautta.
Vertailut toteutettiin pilotoimalla etukäteen kartoitettuja avoimen lähdekoodin ratkaisuja. Pilotoinnin aikana dokumentoitiin ja kerättiin huomioita, jotta opinnäytetyötä ja sen tuloksia voitaisiin hyödyntää Turun yliopiston digipalveluiden CSIRT-toimintojen parantamisessa.
Tämän opinnäytetyön tavoite oli vertailla ja dokumentoida, mikä avoimeen lähdekoodiin perustuva DFIR-työkalu soveltuisi parhaiten Turun yliopiston digipalveluiden CSIRT-toimintojen tietoturvapoikkeamien tutkimiseen sekä niiden käsittelyyn. Työkalu tulee olemaan osana Microsoft Windows-toimialueen käyttäjätietokanta- ja hakemistopalvelutoimialuetta (Active Directory), joka mahdollistaa eri Windows-työasemien tutkimisen etänä niin yliopiston kampusverkossa kuin Always On virtuaalisen erillisverkon (VPN-yhteyden) kautta.
Vertailut toteutettiin pilotoimalla etukäteen kartoitettuja avoimen lähdekoodin ratkaisuja. Pilotoinnin aikana dokumentoitiin ja kerättiin huomioita, jotta opinnäytetyötä ja sen tuloksia voitaisiin hyödyntää Turun yliopiston digipalveluiden CSIRT-toimintojen parantamisessa.