Security Threat Detection & Response

Meier, Valentin and Grögli, Nicola (2016) Security Threat Detection & Response. Bachelor thesis, HSR Hochschule für Technik Rapperswil.

Full text not available from this repository.

Abstract

1 Ausgangslage
Für die Bank Vontobel AG wurden während einer Studienarbeit acht Sicherheitsmechanismen innerhalb eines Security Incident and Event Management Systems (SIEM) umgesetzt, welche bösartige Hacker Aktivitäten alarmieren sollen. Neben diesen acht Use Cases wurden ausserdem diverse Umsysteme eingerichtet, welche ebenfalls Alarmierungsfähigkeiten haben. Zusätzlich hat die Bank Vontobel AG weitere Alarme innerhalb des SIEMs aufgeschaltet.

Durch diese Erweiterungen im Bereich Informationssicherheit werden mehr Vorfälle aufgedeckt, Schwachstellen gefunden aber auch Fehlalarme ausgelöst. Um diese dennoch effizient zu bewältigen, wurde eine Möglichkeit benötigt, Alarmen nachgehen zu können und entsprechende Nachforschungen anzustellen, sowie die aktuelle Lage zu dokumentieren und auszuwerten.
Um diesen Anforderungen gerecht zu werden, wurde im Rahmen dieser Bachelorarbeit eine SIEM App in Splunk erstellt, welche die entsprechenden Auswertungen ermöglicht. Zusätzlich wurde eine separate Applikation erstellt, welche die Erfassung und Auswertung der aufgetretenen Events, Schwachstellen sowie durchgeführten Audits vereinfacht.

2 Vorgehen/Technologien
Die Bachelorarbeit wurde in zwei Teile gegliedert. Zuerst wurde die Cyber Defense Threat Detection App (CDTD) für das SIEM erstellt und anschliessend die Webapplikation Cyber Defense Management Application (CDMA), welche beim Verwalten der sicherheitsrelevanten Informationen helfen soll. Die CDTD App wurde innerhalb der bestehenden SIEM Lösung Splunk eingerichtet. Hierbei wurden Übersichten zu vordefinierten Systemen erstellt. Berücksichtigt wurden dabei die Web Proxies, der Antivirenschutz, das Intrusion Prevention System und die Firewalls. Zusätzlich wurden Analyse Dashboards erstellt, mit welchen man nach Benutzer- oder Systeminformationen suchen kann. Die CDMA wurde primär mittels der Programmiersprache C# und dem .NET Framework entwickelt. Sie gliedert sich in eine Back-End und eine Web Front-End Komponente. Zusätzlich wurde die Applikation an Splunk angebunden, worüber sämtliche Informationen ausgewertet werden können.

3 Ergebnis
Sowohl die CDTD App sowie die CDMA konnten erfolgreich umgesetzt werden. Damit stehen der Bank Vontobel AG nun zwei weitere Tools zur Verfügung, welche die Überprüfung von potentiellen Vorfällen, sowie das Führen einer entsprechenden Dokumentation vereinfacht. Mit diesen beiden Applikationen ist nun ein strukturierteres Vorgehen und nachführen von Informationen gegeben.

Item Type: Thesis (Bachelor)
Subjects: Topics > Internet Technologies and Applications > Monitoring
Area of Application > Web based
Area of Application > Security
Technologies > Programming Languages > C#
Technologies > Frameworks and Libraries > .NET
Metatags > ITA (Institute for Internet Technologies and Applications)
Divisions: Bachelor of Science FHO in Informatik > Bachelor Thesis
Depositing User: OST Deposit User
Contributors:
Contribution
Name
Email
Thesis advisor
Steffen, Andreas
UNSPECIFIED
Date Deposited: 17 Oct 2016 06:25
Last Modified: 17 Oct 2016 06:25
URI: https://eprints.ost.ch/id/eprint/547

Actions (login required)

View Item
View Item