Zum Hauptinhalt springen
logo logo

Studierendenprojekte

Security Information and Event Management Systeme

Implementierung und Gegenüberstellung aktueller SIEM Systeme

Eine robuste Absicherung gegenüber Cyberattacken ist ein wichtiger Bestandteil moderner Unternehmensstrukturen. Laut einer aktuellen Cyber Security Studie der KPMG waren 60% der österreichischen Unternehmen im Jahr 2020 mit Cyberangriffen konfrontiert. Eine weitere Umfrage von betroffenen Unternehmen zeigt, dass 42% der Cyberangriffe auf Schadsoftware und Hackerangriffe zurückzuführen sind. Eine direkte Konsequenz ist ein schnell wachsender Markt an Produkten und Konzepten, die auf die Erkennung und Analyse von Cyberbedrohungen spezialisiert sind. Ein spezifisches Werkzeug im Einsatz gegen Cyberangriffe sind Security Information and Event Management Systeme (SIEM). SIEM-Systeme aggregieren sicherheitsrelevante Ereignisse an einer zentralen Stelle und ermöglichen dem Security Operations Center (SOC), der Leitstelle für IT-Sicherheit, komplexe Bedrohungsszenarien zu erkennen. Zudem können Reaktionszeiten verkürzt und der potenzielle Schaden minimiert werden. Jedoch stellt die Implementierung zumeist einen erheblichen Kosten- und Personalaufwand dar. Die Wahl eines konkreten Systems bedarf einer gründlichen Kosten-Nutzen-Analyse. Im Rahmen dieser Bachelorarbeit wird die grundlegende Funktionsweise von SIEM-Systemen und deren Nutzen thematisiert. Außerdem werden Produkte verschiedener Hersteller gegenübergestellt. Ein Augenmerk wird hierbei auf Merkmale, wie dem angedachten Einsatzgebiet, Nutzungs- und Lizenzierungsmodelle, Automatisierungsmöglichkeiten und ingestierbare Logquellen gelegt. In einem praktischen Versuchsaufbau werden zwei SIEM-Systeme (Splunk & QRadar) implementiert. Eine wesentliche Rolle bei der Nutzung von SIEM-Systemen spielen Logquellen. Die Logs ermöglichen dem SIEM-System eine ganzheitliche Sicht auf die Geschehnisse innerhalb eines Netzwerkes. Aus diesem Grund wurde ein Versuchsnetzwerk mit diversen Geräten (u.a. Firewall, Switch, DNS/DHCP-Server) aufgesetzt, welche als Logquelle genutzt und über einen zentralen Log Routing Server an die SIEM-Systeme angebunden sind. Den Abschluss bildet eine Brute-Force-Attacke gegen ein Netzwerkgerät der Versuchsumgebung. Die Fragestellung lautet, wird die Attacke von beiden Systemen erkannt und wie verhalten sich diese im Ernstfall?

Facts:
Projekt-Betreuer: Mag. DI Ulrich Pache, BSc
Typ: Bachelorprojekt
Studiengang: Bachelor Informationstechnik & System-Management

Foto: pixabay/FH Salzburg

Zurück

Alle News

it's MAGAZIN

test

study.work.support.

Alle Events