Cybersäkerhet i nätverk med hjälp av SIEM-övervakning av NMAP-loggar : en undersökning av SIEM plattformen Wazuh och dess mottaglighet för integration

Abstract

Detta arbete undersöker möjligheten för integrering av en tredje partens nätverksskanner, NMAP, med en så kallad Security Information & Event Manager (SIEM), plattformen Wazuh. Integrering av en sådan anpassbar nätverksskanner skulle ge fler alternativ till nätverkets administratörer och stärka säkerheten för hela informationssystemet. Denna undersökning har gjorts praktiskt genom att arbeta fram en fungerande integration. På det sättet kunde hela processen undersökas.

Arbetet visar att Wazuh är mycket modulär, och är uppbyggd med tanke på integrering. Plattformen är alltså lämplig för diverse typer av nätverk, och tillämpning av verktyget kan ge nätverksadministratörer större inblick i den tekniska miljöns hälsa. I synnerhet medelstora nätverk kan få stor nytta av Wazuh, eftersom det blir svårare att hålla koll på nätverk när de växer, men Wazuh är ändå gratis och har öppen källkod. Större nätverk kanske tilltalas mera av fullständiga och licenserade lösningar med konsulterande stöd.

Tässä tutkimuksessa tarkastellaan mahdollisuutta integroida kolmannen osapuolen verkkoskanneri NMAP, Security Information & Event Manager (SIEM) -alustaan Wazuhiin. Tällaisen mukautettavan verkkoskannerin integrointi tarjoaisi verkon ylläpitäjille enemmän työkaluja ja vahvistaisi koko tietojärjestelmän turvallisuutta. Tutkimus toteutettiin käytännössä kehittämällä toimiva integrointi, jolloin koko prosessi voitiin tutkia perinpohjaisesti.

Tutkimuksen tulokset osoittavat, että Wazuh on erittäin modulaarinen ja suunniteltu integroitavaksi. Alusta soveltuu siten monenlaisiin verkkoihin, ja työkalun käyttöönotto voi tarjota verkon ylläpitäjille paremman käsityksen teknisen ympäristön tilasta. Erityisesti keskikokoset verkot voivat hyötyä Wazuhista, sillä verkon valvonta vaikeutuu sen kasvaessa. Wazuh on kuitenkin ilmainen ja avoimen lähdekoodin ratkaisu. Suuremmat verkot saattavat puolestaan olla kiinnostuneempia kattavammista ja lisensoiduista ratkaisuista, joihin sisältyy konsultointitukea.

This thesis examines the possibility of integrating a third-party network scanner, NMAP, with a Security Information & Event Manager (SIEM) platform, Wazuh. Integrating such a customizable network scanner would provide network administrators with more options and enhance the security of the entire information system. This investigation was conducted practically by developing a functioning integration, allowing the entire process to be examined.

The thesis demonstrates that Wazuh is highly modular and built with integration in mind. Thus, the platform is suitable for various types of networks, and implementing the tool can give network administrators greater insight into the health of the technical environment. Medium-sized networks, in particular, can benefit greatly from Wazuh, as it becomes more challenging to monitor networks as they grow, and Wazuh is free and open-source. Larger networks may be more attracted to comprehensive, licensed solutions with consulting support.