dc.contributor.advisor | Αλέπης, Ευθύμιος | |
dc.contributor.author | Ανδριώτης, Ναπολέων | |
dc.date.accessioned | 2024-11-25T05:38:27Z | |
dc.date.available | 2024-11-25T05:38:27Z | |
dc.date.issued | 2024-09 | |
dc.identifier.uri | https://dione.lib.unipi.gr/xmlui/handle/unipi/17098 | |
dc.identifier.uri | http://dx.doi.org/10.26267/unipi_dione/4521 | |
dc.description.abstract | Ο σκοπός της εργασίας είναι να αναδυχθεί η τέχνη του εντοπισμού και αντιμετώπισης κινδύνων σε ένα Security Operation Center(SOC). Για τη δημιουργία του χρησιμοποιώντας το IBM QRadar, η διαδικασία ξεκίνησε με την εγκατάσταση του VMware σε έναν windows 10 υπολογιστή και την ανάπτυξη ενός εικονικού μηχανήματος QRadar Community Edition 7.5.0 από ένα αρχείο ISO. To QRadar λειτουργεί ως κεντρική πλατφόρμα παρακολούθησης και ανάλυσης. Στη συνέχεια, δημιουργήθηκαν αρκετά εικονικά μηχανήματα: ένας υπολογιστής με Windows 10 Pro, ένας υπολογιστής με Kali Linux και ένα honeypot με CentOS 8. Κάθε υπολογιστής ρυθμίστηκε για τη δημιουργία και την αποστολή καταγραφών στο QRadar, όπου παραμετροποιήθηκαν τα αντίστοιχα Log Sources για την εισαγωγή και την ερμηνεία αυτών των δεδομένων.
Μόλις η υποδομή ήταν έτοιμη, καθορίστηκαν εννέα Use Cases για να προσομοιώσουν διάφορα σενάρια επίθεσης, με στόχο να δοκιμαστεί και να επικυρωθεί το Rule Correlation Engine του QRadar. Η μεθοδολογία περιλάμβανε την εκτέλεση επιθέσεων κατά των εικονικών μηχανημάτων, την παρακολούθηση και την ανάλυση των καταγραφών που δημιουργήθηκαν μέσα στο QRadar. Βασιζόμενοι στα παρατηρούμενα πρότυπα και συμπεριφορές, δημιουργήθηκαν και εφαρμόστηκαν προσαρμοσμένοι κανόνες συσχέτισης στο QRadar για την ανίχνευση και την αντιμετώπιση αυτών των προσομοιωμένων απειλών. Στη συνέχεια, η αποτελεσματικότητα αυτών των κανόνων επικυρώθηκε με την επανεκτέλεση των επιθέσεων για να εξασφαλιστεί ότι το QRadar αναγνώρισε σωστά και ανταποκρίθηκε σε κάθε σενάριο. Αυτή η ολοκληρωμένη εγκατάσταση εργαστηρίου και διαδικασία δοκιμής αναπαριστά αποτελεσματικά τη ροή εργασίας και τις δυνατότητες ενός πραγματικού SOC, επιδεικνύοντας πώς οι προσαρμοσμένοι κανόνες μπορούν να ενισχύσουν την προστασία δικτύου με την ανίχνευση και την απόκριση ενεργειών ασφαλείας. | el |
dc.format.extent | 42 | el |
dc.language.iso | el | el |
dc.publisher | Πανεπιστήμιο Πειραιώς | el |
dc.rights | Αναφορά Δημιουργού 3.0 Ελλάδα | * |
dc.rights | Αναφορά Δημιουργού 3.0 Ελλάδα | * |
dc.rights.uri | http://creativecommons.org/licenses/by/3.0/gr/ | * |
dc.title | Ενίσχυση των δυνατοτήτων ανίχνευσης απειλών σε περιβάλλοντα Windows και CentOS μέσω της ανάλυσης συστημικών και firewall logs από το QRadar | el |
dc.title.alternative | Enhancing threat detection capabilities in Windows and Centos environments through QRadar analysis of system and Firewall logs | el |
dc.type | Bachelor Dissertation | el |
dc.contributor.department | Σχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Πληροφορικής | el |
dc.description.abstractEN | The purpose of this work is to explore the art of identifying and addressing risks within a Security Operations Center (SOC). For its creation using IBM QRadar, the process began with the installation of VMware on a Windows 10 computer and the deployment of a QRadar Community Edition 7.5.0 virtual machine from an ISO file. QRadar functions as a central monitoring and analysis platform. Subsequently, several virtual machines were created: a Windows 10 Pro computer, a Kali Linux computer, and a honeypot running CentOS 8. Each machine was configured to generate and send logs to QRadar, where the respective Log Sources were configured for the ingestion and interpretation of this data.
Once the infrastructure was ready, nine use cases were defined to simulate various attack scenarios, aiming to test and validate QRadar’s Rule Correlation Engine. The methodology involved executing attacks against the virtual machines, monitoring, and analyzing the logs generated within QRadar. Based on the observed patterns and behaviors, custom correlation rules were created and implemented in QRadar to detect and respond to these simulated threats. The effectiveness of these rules was then validated by re-executing the attacks to ensure that QRadar accurately recognized and responded to each scenario. This comprehensive lab setup and testing process effectively represent the workflow and capabilities of a real SOC, demonstrating how custom rules can enhance network protection through the detection and response to security incidents. | el |
dc.subject.keyword | SOC | el |
dc.subject.keyword | Qradar | el |
dc.subject.keyword | Cybersecurity | el |
dc.subject.keyword | Windows | el |
dc.subject.keyword | CentOS | el |
dc.date.defense | 2024-09 | |