SIEM-HÄLYTYSSTÄÄNTÖJEN YLLÄPITO SOAR-JÄRJESTELMÄN AVULLA
Mittilä, Osmo (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202503013534
https://urn.fi/URN:NBN:fi:amk-202503013534
Tiivistelmä
Opinnäytetyön tarkoituksena oli tutkia FortiSIEM- ja XSOAR-järjestelmien vä-listä integraatiota ja toteuttaa mahdollisia SIEM-hälytyssääntöjen ylläpitoon liittyviä toimintoja XSOAR-pelikirjan avulla, sekä tutkia SOAR-järjestelmän muita mahdollisia toteutustapoja automaatiolle. Työn toimeksiantajana on Istekki Oy, joka halusi selvittää, kuinka uusia tietoturvatuotteita voidaan käyt-tää yhdessä.
Opinnäytetyön teoriaosuudessa selvitetään, miksi SIEM- ja SOAR-järjestelmiä on kehitetty. Lisäksi selvitetään, mistä SIEM-järjestelmä koostuu ja minkälai-sia ominaisuuksia voi olla osana järjestelmää sekä SOAR:n toimintaa. Opin-näytetyö on rajattu käsittelemään järjestelmien teknisiä toiminnallisuuksia.
Opinnäytetyön käytännön osuudessa tutustutaan Fortinetin FortiSIEM -järjestelmään ja Palo Alton Cortex XSOAR -järjestelmään. FortiSIEM -järjestelmän osalta perehdytään hälytyssäännön toteutukseen, jotta ymmärre-tään miten hälytykset nousevat ja päätyvät XSOAR-tapahtumiksi. XSOAR:lla toteutetaan yksinkertainen pelikirja, jolla voidaan lisätä tietoa FortiSIEM-tarkkailulistalle. Vaihtoehtona pelikirjalle toteutetaan myös sama toiminnalli-suus koodilla, joka voidaan liittää esimerkiksi painonappiin tai ajaa erillisenä komentona.
Hälytyssääntöjen prosessin avulla voidaan jatkossa kehittää omia sääntöjä FortiSIEM:ssä. Pelikirjojen logiikan ja automaation selvityksen perusteella voidaan jatkossa kehittää automaatiota vastamaan tietoturvakeskuksen tar-peita ja vähentämään toistuvaa manuaalista työtä.
Lopputuloksena valmistui pelikirja ja koodi, joilla voidaan lisätä tietoa For-tiSIEM-tarkkailulistalle. Pelikirja ja koodi tarjoavat pohjan, jota voidaan käyttää eri käyttötarkoituksiin tehtäviin pelikirjoihin ja koodeihin. Työn tuloksessa nähdään, kuinka automaation avulla voidaan selkeä prosessi automatisoida.
Asiasanat: SIEM, SOAR, tarkkailulista, hälytyssääntö
Opinnäytetyön teoriaosuudessa selvitetään, miksi SIEM- ja SOAR-järjestelmiä on kehitetty. Lisäksi selvitetään, mistä SIEM-järjestelmä koostuu ja minkälai-sia ominaisuuksia voi olla osana järjestelmää sekä SOAR:n toimintaa. Opin-näytetyö on rajattu käsittelemään järjestelmien teknisiä toiminnallisuuksia.
Opinnäytetyön käytännön osuudessa tutustutaan Fortinetin FortiSIEM -järjestelmään ja Palo Alton Cortex XSOAR -järjestelmään. FortiSIEM -järjestelmän osalta perehdytään hälytyssäännön toteutukseen, jotta ymmärre-tään miten hälytykset nousevat ja päätyvät XSOAR-tapahtumiksi. XSOAR:lla toteutetaan yksinkertainen pelikirja, jolla voidaan lisätä tietoa FortiSIEM-tarkkailulistalle. Vaihtoehtona pelikirjalle toteutetaan myös sama toiminnalli-suus koodilla, joka voidaan liittää esimerkiksi painonappiin tai ajaa erillisenä komentona.
Hälytyssääntöjen prosessin avulla voidaan jatkossa kehittää omia sääntöjä FortiSIEM:ssä. Pelikirjojen logiikan ja automaation selvityksen perusteella voidaan jatkossa kehittää automaatiota vastamaan tietoturvakeskuksen tar-peita ja vähentämään toistuvaa manuaalista työtä.
Lopputuloksena valmistui pelikirja ja koodi, joilla voidaan lisätä tietoa For-tiSIEM-tarkkailulistalle. Pelikirja ja koodi tarjoavat pohjan, jota voidaan käyttää eri käyttötarkoituksiin tehtäviin pelikirjoihin ja koodeihin. Työn tuloksessa nähdään, kuinka automaation avulla voidaan selkeä prosessi automatisoida.
Asiasanat: SIEM, SOAR, tarkkailulista, hälytyssääntö