SIEM rīka IBM QRadar efektivitātes novērtējums

Abstract

Bakalaura darba mērķis ir veikt pētījumu, analizējot iegūto informāciju no SIEM IBM Qradar rīka, kas apstrādājis žurnālierakstus pēc dažāda veida notikumu inicializācijas autora izveidotajā virtuālajā IT infrastruktūrā. Pētījuma gaitā tika veikta padziļināta zināšanu ieguve par SIEM rīka komponentēm un tā mijiedarbību ar individuāli izstrādāto IT infrastruktūru, sniedzot iespēju veikt rīka efektivitātes novērtējumu. Pētījuma praktiskā daļa sastāv no Windows un Unix operētājsistēmu klientu datortīkla izveides, implementējot SIEM rīku kopējā ekosistēmā. Klientu darbstacijas tika veidotas ar mērķi kolekcionēt un nodot SIEM rīkam uzģenerētos žurnālierakstus, kuri sniedz liecības par dažādu notikumu norisi. Pētījuma teorētiskā daļa ietver no IBM QRadar iegūto datu analīzi, radot iespēju novērtēt SIEM rīka efektivitāti saskarsmē ar dažādu operētājsistēmu žurnālierakstu apstrādi. Rezultātu apkopošanas gaitā tika secināts, ka autora veiktās modifikācijas SIEM rīka notikumu apstrādes loģikā kopumā labvēlīgi iespaidoja rīka spēju reaģēt uz autora inicializētajiem notikumiem. Darbs ir autora kursa darba turpinājums, detalizētāk analizējot un padarot efektīvāku definēto notikumu atspoguļošanu SIEM rīka konsolē.

The purpose of the bachelor's thesis is to conduct research by analyzing the information obtained from the SIEM IBM QRadar tool, which has processed log entries after the initialization of various types of events in the virtual IT infrastructure created by the author. In the course of the research, in-depth knowledge acquisition was carried out on the components of the SIEM tool and its interaction with the individually developed IT infrastructure, providing the opportunity to evaluate the effectiveness of the tool. The practical part of the study consists of creating a computer network of Windows and Unix operating system clients, implementing the SIEM tool in the common ecosystem. The client's workstations were created with the aim of collecting and transferring to the SIEM tool the generated log entries, which provide evidence of various events. The theoretical part of the study includes the analysis of data obtained from IBM QRadar, creating an opportunity to evaluate the effectiveness of the SIEM tool in dealing with the processing of logs of different operating systems. In the process of gathering the results, it was concluded that the modifications made by the author in the event processing logic of the SIEM tool generally had a favorable effect on the tool's ability to react to the events initiated by the author. The work is a continuation of the author's course work, analyzing in more detail and making the representation of the defined events in the console of the SIEM tool more effective.