SOAR-järjestelmän testauksen suunnittelu
Köngäs, Mikael (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024112129131
https://urn.fi/URN:NBN:fi:amk-2024112129131
Tiivistelmä
Opinnäytetyössä suunniteltiin toimeksiantajalle yhden uuden SOAR-järjestelmän testaus. SOAR-järjestelmällä tarkoitetaan järjestelmää, joka kykenee keskittämään käytössä olevat tietoturvajärjestelmät yhteen järjestelmään ja automatisoimaan tietoturvavalvontaa.
Työssä suunnittelun tavoitteena oli vähentää testaukseen tarvittavaa aikaa ja kuluja suunnittelemalla testauksen arkkitehtuuri. Testauksen arkkitehtuuri sisältää tarvittavat pelikirjat, integraatiot sekä komennot ja nämä suunniteltiin ennen SOAR-järjestelmän testauksen alkua.
Työn tuloksena oli neljä käyttötapausta ja näihin suunnitellut pelikirjat, joiden avulla SOAR-järjestelmä testattiin. Testaukseen käytettävien pelikirjojen suunnittelussa käytettiin pääosin Microsoftin suosituksia käyttötapauksina olleiden tietoturvapoikkeamien hallintaan. Työ oli toimeksiantajalle merkittävä, sillä työn avulla toimeksiantaja koki kuukauden mittaisen testausvaiheen lopussa saaneensa kaiken tarvittavan tiedon testatun SOAR-järjestelmän eduista, joita SOAR-järjestelmä tuo tietoturvatiimin toimintaan.
Työn lopputuloksena oli, että suunniteltu testaus neljällä pelikirjalla oli sopiva määrä toimintoja, joita voitiin testata yhden kuukauden testausajassa. Työtä voitaisiin jatkaa suunnittelemalla muiden SOAR-järjestelmien testauksia ja tutkia, vaikuttaisiko eri SOAR-järjestelmän testaus vaadittavaan testausaikaan. This thesis is centered around designing a proof-of-concept testing process for a new SOAR system. A SOAR system is a system that is capable of centralizing multiple existing cyber security systems to be controlled and automated by one system.
The objective of the design was to reduce the time and costs associated with proof-of-concept testing by planning a testing architecture. This architecture included the necessary playbooks, integrations, and commands, all of which were planned prior to starting the SOAR system testing.
The result of this thesis was four use cases and corresponding four playbooks planned to comprehensively test the SOAR system. The methods of building playbooks in this thesis consist of industry’s best practices, particularly those outlined by Microsoft for handling cybersecurity incidents. This thesis was significant to the client because the design allowed them to test the SOAR system as thoroughly as possible, despite the constraints of a one-month testing period.
The conclusion of the work was that testing with the four designed playbooks was an appropriate number of functionalities to cover within the one-month testing period. Future work could include designing tests for other similar SOAR systems and exploring whether testing different SOAR systems would affect the required testing time.
Työssä suunnittelun tavoitteena oli vähentää testaukseen tarvittavaa aikaa ja kuluja suunnittelemalla testauksen arkkitehtuuri. Testauksen arkkitehtuuri sisältää tarvittavat pelikirjat, integraatiot sekä komennot ja nämä suunniteltiin ennen SOAR-järjestelmän testauksen alkua.
Työn tuloksena oli neljä käyttötapausta ja näihin suunnitellut pelikirjat, joiden avulla SOAR-järjestelmä testattiin. Testaukseen käytettävien pelikirjojen suunnittelussa käytettiin pääosin Microsoftin suosituksia käyttötapauksina olleiden tietoturvapoikkeamien hallintaan. Työ oli toimeksiantajalle merkittävä, sillä työn avulla toimeksiantaja koki kuukauden mittaisen testausvaiheen lopussa saaneensa kaiken tarvittavan tiedon testatun SOAR-järjestelmän eduista, joita SOAR-järjestelmä tuo tietoturvatiimin toimintaan.
Työn lopputuloksena oli, että suunniteltu testaus neljällä pelikirjalla oli sopiva määrä toimintoja, joita voitiin testata yhden kuukauden testausajassa. Työtä voitaisiin jatkaa suunnittelemalla muiden SOAR-järjestelmien testauksia ja tutkia, vaikuttaisiko eri SOAR-järjestelmän testaus vaadittavaan testausaikaan.
The objective of the design was to reduce the time and costs associated with proof-of-concept testing by planning a testing architecture. This architecture included the necessary playbooks, integrations, and commands, all of which were planned prior to starting the SOAR system testing.
The result of this thesis was four use cases and corresponding four playbooks planned to comprehensively test the SOAR system. The methods of building playbooks in this thesis consist of industry’s best practices, particularly those outlined by Microsoft for handling cybersecurity incidents. This thesis was significant to the client because the design allowed them to test the SOAR system as thoroughly as possible, despite the constraints of a one-month testing period.
The conclusion of the work was that testing with the four designed playbooks was an appropriate number of functionalities to cover within the one-month testing period. Future work could include designing tests for other similar SOAR systems and exploring whether testing different SOAR systems would affect the required testing time.