Práce se zabývá systémem pro sběr a vyhodnocování logů z informačních systémů - SIEM (Security Information and Event Management) a jeho rozšířením pro detekování a vyhodnocování anomálií chování uživatelů - UBA (User Behavior Analytics). Práce analyzuje potřebu bezpečnostního monitoringu uživatelů v informačních systémech, vymezuje oblasti sběru a vyhodnocování logů v rámci celého konceptu informační bezpečnosti společnosti. Hlavní část práce je zaměřena na vytvoření plánu nasazení systému SIEM a následnou implementaci konkrétního nástroje IBM QRadar. Závěrečná část ukazuje na praktických příkladech vytváření korelačních pravidel a vyhodnocování detekovaných událostí nežádoucích aktivit uživatele.
Anotace v angličtině
The thesis deals with the system for collecting and evaluating logs from information systems - SIEM (Security Information and Event Management) and its extension for detecting and evaluating user behavior anomalies - UBA (User Behavior Analytics). The thesis analyses the need for security monitoring of users in information systems, defines the scope of log collection and evaluation within the whole concept of information security of the company. The main part of the thesis is focused on the creation of a SIEM deployment plan and the subsequent implementation of a specific IBM QRadar tool. The final part shows practical examples of creating correlation rules and evaluating detected events of adverse user activities.
Práce se zabývá systémem pro sběr a vyhodnocování logů z informačních systémů - SIEM (Security Information and Event Management) a jeho rozšířením pro detekování a vyhodnocování anomálií chování uživatelů - UBA (User Behavior Analytics). Práce analyzuje potřebu bezpečnostního monitoringu uživatelů v informačních systémech, vymezuje oblasti sběru a vyhodnocování logů v rámci celého konceptu informační bezpečnosti společnosti. Hlavní část práce je zaměřena na vytvoření plánu nasazení systému SIEM a následnou implementaci konkrétního nástroje IBM QRadar. Závěrečná část ukazuje na praktických příkladech vytváření korelačních pravidel a vyhodnocování detekovaných událostí nežádoucích aktivit uživatele.
Anotace v angličtině
The thesis deals with the system for collecting and evaluating logs from information systems - SIEM (Security Information and Event Management) and its extension for detecting and evaluating user behavior anomalies - UBA (User Behavior Analytics). The thesis analyses the need for security monitoring of users in information systems, defines the scope of log collection and evaluation within the whole concept of information security of the company. The main part of the thesis is focused on the creation of a SIEM deployment plan and the subsequent implementation of a specific IBM QRadar tool. The final part shows practical examples of creating correlation rules and evaluating detected events of adverse user activities.
Popište základní koncept informační bezpečnosti ve společnosti.
Zhodnoťte možný přínos sběru a vyhodnocování logů pro zvýšení informační bezpečnosti ve společnosti.
Stanovte předpoklady pro nasazení nástrojů pro sběr a vyhodnocování logů, detekování a vyhodnocování anomálií chování uživatelů.
Vytvořte plán nasazení konkrétních nástrojů.
Vytvořte korelační pravidla pro detekování závadného chování uživatelů.
Zásady pro vypracování
Popište základní koncept informační bezpečnosti ve společnosti.
Zhodnoťte možný přínos sběru a vyhodnocování logů pro zvýšení informační bezpečnosti ve společnosti.
Stanovte předpoklady pro nasazení nástrojů pro sběr a vyhodnocování logů, detekování a vyhodnocování anomálií chování uživatelů.
Vytvořte plán nasazení konkrétních nástrojů.
Vytvořte korelační pravidla pro detekování závadného chování uživatelů.
Seznam doporučené literatury
BOLLINGER, Jeff, Brandon ENRIGHT a Matthew VALITES. Crafting the InfoSec Playbook: Security Monitoring and Incident Response Master Plan. Sebastopol: O'Reilly Media, 2015. ISBN 978-1-491-94940-5
DRASTICH, Martin. Systém managementu bezpečnosti informací. Praha: Grada, 2011. Průvodce (Grada). ISBN 978-80-247-4251-9
KOLOUCH, Jan a Pavel BAŠTA. CyberSecurity. Praha: CZ.NIC, z.s.p.o., 2019. CZ.NIC. ISBN 978-80-88168-34-8
MURDOCH, Don. Blue Team Handbook: SOC, SIEM, and Threat Hunting Use Cases Notes from the Field (V1.02): A condensed field guide for the Security Operations team. CreateSpace Independent Publishing, 2019. ISBN 978-1091493896
MILLER, David, Shon HARRIS, Allen HARPER, Stephen VANDYKE a Chris BLASK. Security information and event management (SIEM) implementation. New York: McGraw-Hill, c2011. ISBN 978-0-07-170109-9
Seznam doporučené literatury
BOLLINGER, Jeff, Brandon ENRIGHT a Matthew VALITES. Crafting the InfoSec Playbook: Security Monitoring and Incident Response Master Plan. Sebastopol: O'Reilly Media, 2015. ISBN 978-1-491-94940-5
DRASTICH, Martin. Systém managementu bezpečnosti informací. Praha: Grada, 2011. Průvodce (Grada). ISBN 978-80-247-4251-9
KOLOUCH, Jan a Pavel BAŠTA. CyberSecurity. Praha: CZ.NIC, z.s.p.o., 2019. CZ.NIC. ISBN 978-80-88168-34-8
MURDOCH, Don. Blue Team Handbook: SOC, SIEM, and Threat Hunting Use Cases Notes from the Field (V1.02): A condensed field guide for the Security Operations team. CreateSpace Independent Publishing, 2019. ISBN 978-1091493896
MILLER, David, Shon HARRIS, Allen HARPER, Stephen VANDYKE a Chris BLASK. Security information and event management (SIEM) implementation. New York: McGraw-Hill, c2011. ISBN 978-0-07-170109-9
Přílohy volně vložené
-
Přílohy vázané v práci
schémata, tabulky
Převzato z knihovny
Ne
Plný text práce
Přílohy
Posudek(y) oponenta
Hodnocení vedoucího
Záznam průběhu obhajoby
Součástí prezentace BP nebyla praktická ukázka.
Ing. Milan Navrátil, Ph.D. přečetl posudky vedoucího a oponenta.
Student zodpověděl otázku oponenta v plném rozsahu.
V rámci obhajoby byly položeny následující dotazy:
1. V první kapitole uvádíte, že pojem kybernetická bezpečnost není pevně stanoven. V tom s vámi nesouhlasím. (doc. Ing. Ivo Pikner, Ph.D.)
Student zodpověděl všechny otázky komise.