Drošības informācijas un notikumu pārvaldības sistēmas (SIEM) integrēšana meduspoda infrastruktūrā kiberuzbrukumu uzraudzībai

Abstract

Kvalifikācijas darbā ir aprakstīta sistēma, kurā drošības informācijas un notikumu pārvaldības (SIEM) sistēma ir integrēta ar urķuslazda infrastruktūru kiberuzbrukumu uzraudzībai reāllaikā. Urķuslazds, kas izvietots tiešsaistes mitināšanas serverī, sastāv no vairākiem Docker konteineriem, kuros tiek mitināta apzināti ievainojama tīmekļa lietotne un apzināti ievainojams serveris, kurā darbojas SQL datu bāze, un tam ir SSH piekļuve. ELK steks (Elasticsearch, Logstash un Kibana) kalpo par galveno SIEM risinājumu, apkopojot žurnālfailus un uzraugot veiktās darbības ar Beats aģentu starpniecību. Minētā sistēma imitē reālu uzbrukuma virsmu, ļaujot novērot un analizēt kiberuzbrukumus reāllaikā. Projekta ietvaros galvenajā mitināšanas serverī ir ieviesti būtiski drošības pasākumi, savukārt Docker konteineros, kuros tiek izvietota ievainojamā tīmekļa lietotne un ievainojamais serveris, apzināti ieviestas ievainojamības, lai piesaistītu potenciālos uzbrucējus. Izstrādātais risinājums sniedz vērtīgu ieskatu uzbrukumu metodoloģijās, veicinot uzlabotas draudu atklāšanas un mazināšanas stratēģijas.

Title: Integrating security information and event management (SIEM) with a honeypot infrastructure for cyberattack monitoring This paper presents a proof-of-concept system integrating a Security Information and Event Management (SIEM) solution with a honeypot infrastructure for real-time cyberattack monitoring. Honeypot is deployed on a dedicated online server, it consists of multiple Docker instances hosting a vulnerable web application and a connected vulnerable server with an SQL database and SSH access. ELK stack (Elasticsearch, Logstash, and Kibana) serves as the core SIEM solution, collecting logs and monitoring activity through Beats agents. This system simulates a realistic attack surface, enabling the observation and analysis of cyberattacks in real time. While the main server is secured, vulnerable components are intentionally exposed to attract potential hackers. The proposed setup provides valuable insights into attack methodologies, contributing to improved threat detection and mitigation strategies.